Baden-Württemberg und Bayern haben den Schulen erlaubt, das Videokonferenzsystem Microsoft Teams zu nutzen – für den Fernunterricht in Zeiten von Corona. Das Problem: Microsoft müsste Kundendaten herausgeben, wenn US-Sicherheitsdienste es verlangen. Auch die von Schülern und Lehrern. Dass der Europäische Gerichtshof (EuGH) am 16. Juli das “Privacy Shield” kippte, weil es davor nur vermeintlich schützt, hat also auch für Schulen Folgen. Der Leipziger Anwalt Peter Hense fordert ein Umdenken.
SZ: Herr Hense, hat das Urteil des Europäischen Gerichtshofs Auswirkungen auf Lernplattformen an deutschen Schulen?
Peter Hense: Ja, das hat ganz klar Folgen für den Umgang mit dem digitalen Leben unserer Kinder. Der EuGH hat mit dem Privacy Shield das letzte Feigenblatt niedergerissen, mit dem die Europäische Kommission einen schweren Mangel im transatlantischen Datenverkehr kaschieren wollte.
Es ist keine Fantasie, dass ein kritischer Aufsatz oder persönlicher Chat von Neuntklässlern auf der Lernplattform von US-Anbietern dem vollen Zugriff von US-Behörden unterliegt – mit allen Konsequenzen.
Müssen Eltern in Baden-Württemberg und Bayern Angst vor einer Datenüberwachung in den USA haben?
Es ist keine Fantasie, dass ein kritischer Aufsatz oder persönlicher Chat von Neuntklässlern auf der Lernplattform von US-Anbietern dem vollen Zugriff von US-Behörden unterliegt – mit allen Konsequenzen.
Warum geben die Landesdatenschutzbeauftragten über den Datenschutz bei Microsoft eigentlich keine klare Auskunft?
Weil sie dafür zu schwach sind. Die Datenschutzbehörden sind unterfinanziert, unterbesetzt, unterkompetent. Sie nehmen oft politische Rücksichten und verteilen ihren Sanktionsdruck mitunter unfair: inländische und kleine Unternehmen werden gebissen, sehr große Anbieter geschont.
Wer Datenschutz nicht will, mag ihn demokratisch abschaffen – aber nicht bürokratisch aushöhlen.
Sie wollen sagen, auf dem Gebiet der IT funktioniert der Rechtsstaat nicht?
Man scheut sich vor der konsequenten Anwendung geltenden Rechts. Wer Datenschutz nicht will, mag ihn demokratisch abschaffen – aber nicht bürokratisch aushöhlen.
Wäre es denn so kompliziert, die Rechtslage im Fall Microsoft zu klären?
Trivial ist es nicht. Die Analyse einer Software wie Office365, wovon MS Teams ja Bestandteil ist, gestaltet sich technisch hochaufwendig. Sie erfordert Expertise von spezialisierten Technikern und Juristen. Und eine ernsthafte Prüfung hätte auch gravierende Auswirkungen. Sie könnte Teile der Wirtschaft und der öffentlichen Verwaltung zum Erliegen bringen…
… weil die fast ausschließlich mit Microsoft-Produkten arbeitet?
Ja, wenn das Ergebnis “rechtswidrig” lautet, müsste man das abschalten und ersetzen. Das ist auf die Schnelle nicht machbar – wegen des Quasi-Monopols von Microsoft in den Amtsstuben.
Bayerns Kultusminister lässt eine Erklärung verteilen, die Eltern unterzeichnen können – um das Videokonferenzsystem “MS Teams” so in die Schulen zu bringen.
Die Einwilligungserklärung, die Michael Piazolo Eltern und Schülern in Bayern vorlegen lässt, ist eine Zumutung.
Sie nennen das Papier des Kultusministers eine Zumutung?
Dieses Dokument ist rechtlich ohne Wert. Ich frage mich, wie ein Minister so etwas empfehlen kann. Das Kultusministerium war nicht mal in der Lage, die klarsten Kriterien des Gesetzes zu Informationspflichten Schritt für Schritt zu erfüllen.
Man könnte E-Learning auch gesetzlich regeln und legalisieren. Stattdessen schickt man überforderte Schulen in einen Papierkrieg mit besorgten Eltern. Rechtswidrige Einwilligungserklärungen sind gleich doppelt problematisch.
Zum Beispiel?
Da müsste ein Verantwortlicher von Microsoft aufgeführt sein, außerdem fehlen die Hinweise auf Widerrufsmöglichkeit und zum Drittstaatentransfer. Lassen Sie es mich so sagen: Bei einer Einwilligungserklärung gilt, wenn sie zu 95 Prozent korrekt formuliert ist, dann ist sie immer noch zu 100 Prozent rechtswidrig. Wir aber reden hier von einem Fall, in dem nicht mal fünf Prozent korrekt sind.
Warum greift der Staat beim Datenschutz auf solche Hilfskonstrukte zurück?
Weil es an der behördlichen Kompetenz und Zusammenarbeit mangelt. Man könnte E-Learning auch gesetzlich regeln und legalisieren. Stattdessen schickt man überforderte Schulen in einen Papierkrieg mit besorgten Eltern. Rechtswidrige Einwilligungserklärungen sind gleich doppelt problematisch.
Warum?
Weil man niemanden faktisch dazu zwingen sollte, einer Handlung zuzustimmen, die gesetzeswidrig ist. Es gibt einen Kern an Rechten, der nicht verzichtbar ist, so wollen es das Bundesverfassungsgericht und nun wieder der EuGH. Für Schulen heißt das: Die Daten von Schülern gehören nicht in die Hände von Dienstleistern, deren Zuverlässigkeit nicht nachgewiesen ist. Dieses Problem heilt man nicht dadurch, dass man Eltern eine uninformierte Zustimmung abluchst.
Weil sie nur halbfreiwillig ist?
Ja, und weil sie ohne Angabe von Gründen widerrufen werden kann. Man muss sich vorstellen, was es für eine Schule bedeutet, wenn plötzlich in einer Klasse ein paar Eltern die Zustimmung zurücknehmen.
Das gemeinsame Lerninstrument – das Videokonferenzsystem – wäre nicht mehr für alle Schüler der Klasse nutzbar. Das untergräbt, nein zerstört die Idee der allgemeinen Schulpflicht, die ja alle zusammenbringen soll.
Dann wäre die Klasse keine Klasse mehr.
Das gemeinsame Lerninstrument – das Videokonferenzsystem – wäre nicht mehr für alle Schüler der Klasse nutzbar. Das untergräbt, nein zerstört die Idee der allgemeinen Schulpflicht, die ja alle zusammenbringen soll. Nur in wenigen Ausnahmefällen ist es gestattet, sich vom Unterricht zu absentieren. Bei der Digitalisierung erlaubt der Staat das plötzlich. Das sehen wir ja auch beim Corona-Homeschooling.
Wie könnte man die Persönlichkeitsrechte der Schüler wahren?
Für von der Schule benutzte Systeme wie MS-Teams müsste eine vollständige Datenschutzfolgeabschätzung erfolgen. Die wäre schon deshalb zwingend nötig, weil es um große Datenmengen geht, darunter auch sensible Daten. Und: weil die Rechte von Kindern betroffen sind.
Was bedeutet es, darauf zu verzichten?
Dass es nicht geschieht ist ein schwerwiegender Rechtsverstoß. Es geht hier um elementare Rechte, nämlich die Frage, ob ich die Lernprofile, Chatverläufe und Gedanken einer ganzen Generation dem direkten Zugriff ausländischer Behörden aussetzen möchte. Kreidetafeln oder Sportgeräte genau auf Qualität zu prüfen, ist eine Selbstverständlichkeit. Nur bei Software sieht der Staat keinen Handlungsdruck – obwohl seine originäre Aufgabe ist, die Rechte von Kindern und Eltern zu wahren.
Was kritisieren Sie an Microsoft?
Es lässt sich nicht mal dazu herab, seine Datenschutzhinweise in gutem Deutsch bereitzustellen. Die Texte lesen sich, als hätte sich ein Siebtklässler an der Übersetzung versucht. Trotz dieser Nachlässigkeit glauben manche Bundesländer, Microsoft-Produkte wären der neue Goldstandard der Digitalisierung im Bildungswesen. Und viele Lehrer glauben das auch.
Wie reagieren die Aufsichtsbehörden?
Google, Amazon, Apple und Facebook können sich in Europa Dinge herausnehmen, für die sie in den USA längst unter staatliches Monitoring gestellt worden wären. In der EU ist oft die irische Datenschutzbehörde DPC zuständig, weil die großen IT-Konzerne dort aus steuerlichen Gründen ihren Sitz haben. Da die DPC jedes effektive Handeln gegen die weltgrößten Datensammler blockiert, hat sie den hübschen Namen “Untätigkeitsbehörde” erhalten. Zu Recht.
Warum passt sich Microsoft den europäischen Bedürfnissen nicht ungefragt an?
Microsoft bemüht sich zweifellos, seine Produkte zu verbessern. Aber vergessen wir nicht: IT-Konzerne stehen weltweit in einem harten Wettbewerb, und das europäische Recht hat sich ihnen gegenüber bislang als zahnlos erwiesen.
Das US-Recht ist stärker?
Ein Grundproblem für den schulischen Einsatz sind und bleiben US-Rechtakte wie Fisa oder der Cloud-Act. Microsoft ist danach verpflichtet, die Daten, gegebenenfalls auch die von Schülern, an die US-Regierung herauszugeben. Das ist, selbst wenn es womöglich nur wenige Fälle sind, nicht hinnehmbar.
In den Niederlanden hat die von Ihnen geforderte Abschätzung der Datenschutzfolgen stattgefunden. Wie ist das Resultat?
Dabei wurden bei Microsoft 365 eine Reihe von Datenabflüssen bemerkt, etwa über sogenannte Telemetrieabfragen, die Microsoft regelmäßig vornimmt.
Hat Microsoft diese Mängel abgestellt?
Manche ja. Aber selbst das war, wie so oft bei einem Konzern dieser Größenordnung, ein zähes Hin und Her. Einige Mängel wurden behoben, andere inzwischen entdeckt. Immerhin gibt es in den Niederlanden aus dieser Folgeabschätzung heraus konkrete Ratschläge, wie der Nutzer Office 365 einstellen sollte, damit möglichst keine Schülerdaten abfließen.
Solange in Deutschland die Datenschutzfragen für Microsoft-Produkte an Schulen ungeklärt sind: Sollten Baden-Württemberg und Bayern ihr vorläufiges Okay zurückziehen?
Sollten? Sie müssen. Sie sind gesetzlich dazu verpflichtet. Ohne eine detaillierte Auseinandersetzung mit dem Datentransfer in die USA und andere Drittstaaten, denen ein angemessenes Schutzniveau fehlt, sind diese Produkte nicht genehmigungsfähig.
Dieser Artikel erschien zuerst in der Süddeutschen Zeitung (28.7.20)
