GEW lehnt Unterstützung ab: Warum wir staatlich einheitliche Lösungen für Schulen brauchen
Seit April 2021 wird zur Unterzeichnung einer Petition gegen das „Verbot“ von MSTeams - einem von Microsoft entwickelten digitalen Hub, der Unterhaltungen, Videokonferenzen, Dateien und Apps zusammen bringt - mit folgender Begründung aufgerufen: „Bei vielen Schulen und Lehrern in Hessen wächst der Unmut über das Verbot von Microsoft Teams. Auch Elternverbände zeigen Widerstand: Sie haben wenig Verständnis für die geplante Umstellung mitten in der Corona-Pandemie. Mit einer Online-Petition wollen die Betroffenen gegen das Pauschalverbot von Microsoft Teams als verlässliches Videokonferenzsystem kämpfen.“(2)
Erst „Duldung“, dann „Verbot“?
Da das Hessische Kultusministerium (HKM) bisher nicht in der Lage war, ein funktionierendes Videokonferenzsystem über das Schulportal anzubieten, hat der Hessische Datenschutzbeauftragte (HBDI) eine bis zum 31. Juli 2021 befristete „Duldung“ der Verwendung von Microsoft Teams an Schulen ausgesprochen. Am 31. März 2021 teilte er mit „Eine weitere Verlängerung dieser Duldung ist ausgeschlossen und steht auch nicht auf der Tagesordnung, sowohl des HBDI als auch des HKM“.
EuGH-Urteil: Unzureichender Datenschutz
Aufgrund der Entscheidung des Europäischen Gerichtshofs (EuGH) aus dem Juli 2020 ist die Datenübermittlung in Staaten ohne angemessenes Schutzniveau nach der europaweit geltenden Datenschutz-Grundverordnung (DSGVO) grundsätzlich nicht erlaubt. Selbst wenn die Server von Teams in der EU stehen, kann Microsoft als US-Unternehmen verpflichtet sein, den US-Behörden Daten zu übergeben.(3)
Datenschutzbeauftragte stellen weitere Mängel fest
In einem Beschluss vom 22. September 2020 beanstandete das gemeinsamen Gremium der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) die ungenauen Angaben in den Online Service Terms (OST) von Microsoft darüber, welche Daten zu welchen Zwecken verarbeitet werden. Zudem gebe es für die Verarbeitung von Daten zu Microsoft-eigenen Zwecken, etwa von Telemetrie- und Diagnosedaten über die Nutzung und Leistung von Anwendungen und ihrer Komponenten, keine zureichende Rechtsgrundlage. Somit bestehe für die Software Microsoft 365 mit ihren vielen Anwendungen von Word, Excel oder Outlook über OneDrive bis hin zum Videokonferenz-Tool Teams ein erhebliches Datenschutzrisiko.
Einsatz in öffentlichen Verwaltungen ausgeschlossen
Besonders problematisch findet die DSK den Einsatz von Microsoft 365 in öffentlichen Stellen, also der Verwaltung. Denn: Der legitime Geschäftszweck, den Microsoft als Rechtsgrundlage für die eigene Nutzung der Daten nennt, gilt in aller Regel nicht für die Verwaltung. Laut DSK bedarf es zur Speicherung in der Microsoft-Cloud einer eigenen Rechtsgrundlage, "die es der öffentlichen Verwaltung erlaubt, Daten von Beschäftigten oder Bürgerinnen und Bürgern für diese Zwecke zur Verfügung zu stellen".(4)
Für staatliche einheitliche Lösungen!
Aber es gibt noch einen weiteren Grund, weshalb die GEW eine Unterstützung der Online-Petition „Verhindert das Verbot von Microsoft Teams“ ablehnt: So wird in der Petition ein klares „Bekenntnis“ des HKM und des HBDI zu den „Lösungen anderer hessischer Schulen, mit anderen Systemen“ gefordert. Und noch deutlicher: „Wir stellen uns klar gegen eine staatliche einheitliche Lösung!“ Dies widerspricht diametral dem Standpunkt der hessischen GEW die sich in ihren Beschlüssen für genau solch eine Lösung ausspricht, da nur so Schulleitungen und Lehrkräfte von der individuellen Verantwortung für die Einhaltung geltender Rechtsvorschriften entlastet werden.
Wie soll es weiter gehen?
Zwischenzeitlich hat das HKM eine Ausschreibung für die „Bereitstellung und Betrieb einer Videokonferenzsystem-Umgebung einschließlich technischem Support“ auf den Weg gebracht. Ziel ist es, dieses innerhalb des Schulportals Hessen bis zum 1.August 2021 den rund 2000 hessischen Schulen zur Verfügung zu stellen.
Wenn dieses Vorhaben gelingt, steht allen Nutzern an hessischen Schulen ein sicheres System zur Verfügung, was alle datenschutzrechtlichen Vorgaben erfüllt, so dass es keine Notwendigkeit mehr gibt, auf andere Systeme zurückzugreifen.
Christoph Baumann
(1) Beschluss des Geschäftsführenden Landesvorstands vom 21.4.2021
(2) Gestartet wurde die Petition von Elias Sauer, einem Frankfurter Oberstufenschüler. Verbreitet wird sie u.a. über den Blog Microsoft 365 für Lehrerdes Journalisten Stefan Malter. Er ist laut seiner Homepage Microsoft Innovative Education Expert, Microsoft Most Valuable Professional, Microsoft Innovative Education Fellow, Microsoft Certified Educator und wurde für seine Arbeit mehrfach von Microsoft ausgezeichnet. Hier läuft erkennbar eine Kampagne, an der deutlich wird, welchen Effekt diese Lehrerprogramme eines Konzerns haben, wenn er sich Vertreter:innen heranbildet, die dann scheinbar basisdemokratisch und unabhängig im Sinne des Konzerns aktiv werden.
(3) CLOUD Act (Clarifying Lawful Overseas Use of Data Act): Dieses US-Gesetz gestattet Ermittlungsbehörden wie dem FBI, auf personenbezogene Daten zuzugreifen, die US-Provider wie Microsoft in europäischen Rechenzentren speichern. Die Richter stellten fest, dass auch der sogenannte „Datenschutzschild“ Privacy Shield ungültig ist. Bei der Übertragung von Daten europäischer Verbraucher in ein Drittland müsse ein Schutzniveau gewahrt werden, das dem der DSGVO entspreche. Davon könne auf Grundlage der US-Gesetzgebung nicht ausgegangen werden. Vor allem aber hätten Europäer keine Klagemöglichkeit, falls sie eine missbräuchliche Verarbeitung persönlicher Informationen vermuteten.
(4) Quelle: heise online News 10/2020 „Datenschutzbehörden erklären den Einsatz von Microsoft 365 für rechtswidrig“
