1. Was soll denn jemand mit den Daten meiner Kinder wollen, wir haben doch nix zu verbergen. Zur Antwort…
2. Sind die Daten, die an Schulen anfallen, wirklich so sensibel? Zur Antwort…
3. Wie finde ich raus, wer welche Daten über mich speichert? Zur Antwort…
4. Kann ich vor der Einführung von Microsoft 365 erfahren, wie meine oder die Daten meines Kindes genutzt werden? Zur Antwort…
5. Was kann ich tun, wenn Microsoft 365 an meiner Schule eingesetzt wird? Zur Antwort…
6. Wer hat überhaupt Einsicht in die Verarbeitung der Daten? Zur Antwort…
- Was soll denn jemand mit den Daten meiner Kinder wollen, wir haben doch nix zu verbergen.
Daten sind die heißeste Währung, die das digitale Zeitalter bereit hält. Alle wollen sie haben, deswegen geben sie euch Dinge wie WhatsApp, Instagram und, wie hieß das blaue Ding nochmal, völlig kostenlos. Verdient wird das Geld im Hintergrund mit Werbung und der Analyse eurer Daten. Klingt verrückt? Ist aber so. Wer mehr Details braucht, liest hier weiter: https://www.stern.de/digital/online/facebook-packt-aus–diese-gruseligen-daten-sammelt-das-netzwerk-ueber-sie-8122958.html
Und das ist nur die kommerzielle Seite. Dazu kommt noch, dass Daten Begehrlichkeiten wecken, wenn sie erst einmal vorhanden sind. Aktuelles Beispiel: die Corona-Kontaktlisten von Restaurants. Eingeführt, um Ansteckungsketten nachzuvollziehen, wurden sie innerhalb kürzester Zeit zum Fahndungsinstrument der Polizei: https://www.tagesschau.de/inland/corona-gaestelisten-polizei-101.html
Wer es noch gruseliger mag, sollte sich damit beschäftigen, was Edward Snowden ans Tageslicht gefördert hat. Geheimdienste überwachen unschuldige Bürgerinnen und Bürger in großem Stil. https://www.spiegel.de/netzwelt/netzpolitik/edward-snowden-anwaelte-werfen-europa-feigheit-vor-a-1211954.html
Einige Denkanstöße, was mit Daten passieren kann und warum der Schutz von Daten wichtig ist: https://wiki.piratenpartei.de/Ich_habe_nichts_zu_verbergen%21
2. Sind die Daten, die an Schulen anfallen, wirklich so sensibel?
Das Recht auf Schutz meiner Daten gilt zunächst einmal unabhängig davon, um welche Daten es sich handelt und ob die Daten aktuell als sensibel eingestuft werden. In der Vergangenheit hat sich gezeigt, dass neue Technologien oder veränderte politische Umstände Daten, die bislang scheinbar unbedeutetnd waren, plötzlich für einen ganz anderen Zweck eingesetzt werden (siehe die Beispiele auf der Seite Mahnmal)
Daten einiger Bereich werden in der DSGVO aber schon jetzt als besonders schützenswert hervorgehoben. Über die Daten von Kindern und Jugendlichen heißt es:
„Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind.“
Erwägungsgrund 38 Besonderer Schutz der Daten von Kindern https://dsgvo-gesetz.de/erwaegungsgruende/nr-38/
Desweiteren gilt nach Art. 9 der DSGVO „Verarbeitung besonderer Kategorien personenbezogener Daten“:
Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen […] ist untersagt.
Art. 9 DSGVO https://dsgvo-gesetz.de/art-9-dsgvo/
Wie kann an Schulen sichergestellt werden, dass derartige Daten im Schulbetrieb nicht anfallen, wo Kinder und Jugendliche auch dahingehend unterrichtet werden, ihre Meinungen und Überzeugungen argumentativ darzulegen? Wie sieht es mit Daten aus, die im Zusammenhang mit dem Religions- oder Ethikunterricht anfallen? Ein naheliegender Schluss wäre, dass solche Daten allenfalls anonymisiert erfasst werden dürfen, so dass kein Rückschluss auf die einzelne Person gezogen werden kann.
Wem das immer noch zu abstrakt ist, der denke einfach mal an die Kinder geflüchteter Familien in Deutschland. Dass US-Geheimdienste an dieser Personengruppe ein besonderes Interesse haben und versuchen, Zugriff auf deren Daten und Informationen zu bekommen, ist bekannt (siehe z.B. https://netzpolitik.org/2017/bnd-befragte-gefluechtete-zusammen-mit-den-usa-und-weiss-nicht-was-mit-den-daten-passierte/#vorschaltbanner). Wie einfach wäre es, auf Daten dieser Personengruppe im Schulsystem zuzugreifen, wo US-Geheimdienste auf die Daten von US-amerikanischen Unternehmen Zugriff haben, siehe z.B. https://www.heise.de/ix/meldung/Im-Widerspruch-CLOUD-Act-gegen-EU-DSGVO-4103247.html
Zur Veranschaulichung, welche Daten im Schulalltag verarbeitet werden, hier eine Liste aus der Datennutzungsauskunft einer Familie in Baden-Württemberg:
Allgemeine Daten von Schülerinnen und Schülern:
Name
Vornamen
Adresse
Kontaktdaten (z.B. Telefonnr., Faxnr., E-Mail)
Fahrschüler (ÖPNV)
Geschlecht
Geburtsdatum
Geburtsort und Geburtsland
Staatsangehörigkeit
Religionszugehörigkeit, Konfession
Gesundheitliche Beeinträchtigungen, soweit sie für den Schulbesuch erheblich sind
Behinderungsart/Förderschwerpunkt
Daten der Erziehungsberechtigten
Name, Vornamen, Titel
Geschlecht
Adresse
Staatsangehörigkeit
Kontaktdaten (z.B. Telefonnr., Faxnr., E-Mail)
Unterschrift Erziehungsberechtigte
Schulische Daten, Schullaufbahndaten
Teilnahme am Unterricht (insbesondere Klasse, Bildungsgang, Fach, Unterrichtsfächer, Anforderungsniveau, Eigenschaft des Unterrichts, Kurse, Arbeitsgemeinschaften, Teilnahme an Stütz- und Fördermaßnahmen einschl. LRS- und Sprachheilkurse,
sonderpädagogische Betreuung im Rahmen der Kooperation mit Sonderschulen, Teilnahme am Religionsunterricht bzw. am Ethikunterricht, Abmeldung vom Religionsunterricht)
Schullaufbahn: vorzeitige Aufnahme, Eintritt in die Schule/Austritt/Grund, bisher besuchte Schulen und Bildungsgänge, Jahr der Ersteinschulung, Schulwechsel, Name und Anschrift der aufnehmenden Schule, schulische Herkunft, schulische Vorbildung, Wiederholungen von Klassen, Art der Wiederholung, Überspringen von Klassen,
Fremdsprachenfolge und Dauer
Schulpflicht
Schulanfänger (Nichteinschulung wg. Zurückstellung oder Befreiiung)
Grundschulempfehlung und ggf. weitere Bildungsempfehlungen
Teilnahme am besonderen Beratungsverfahren
Versäumnisse des Unterrrichts
Erziehungs- und Ordnungsmaßnahmen
Zusatzversicherungen
Teilnahme an Betreuungsangeboten (z.B. Ganztagesschule, verlässliche Grundschule, Hortbesuch), Betreuungsumfang
Leistungsdaten, Prüfungsdaten (Noten & Punktzahl)
Zeitpunkt und Ergebnis von Prüfungen und Versetzungskonferenzen
Nichtzulassung zu Prüfungen
Zeugnisbemerkungen
Bildungsziel (höchster angestrebter Abschluss)
Erworbener Schulabschluss (auch Teilnahme an Nichtschülerprüfung)
Schulentlassener
Teilnahme an Bundesjugendspielen (Sportart, Erwerb von Urkunden)
Preise bei Wettbewerben (z.B. Jugend musiziert, Jugendkunstpreise
Zusatzdaten bei Schulen mit Heim
Krankenkasse
Vorerkrankung
Gesundheitszeugnis
3. Wie kann ich rausfinden, wer welche Daten über mich speichert?
Das Datenschutzrecht der EU gibt uns das Recht, von allen Stellen, die Daten über uns speichern, eine Auskunft darüber zu verlangen, welche Daten gespeichert und verarbeitet werden. https://netzpolitik.org/2017/hol-dir-deine-daten-zurueck-so-kannst-du-herausfinden-was-unternehmen-ueber-dich-wissen/ Wie schwierig das trotz der rechtlichen Grundlage sein kann, vor allem, wenn man man bei US-amerikanischen Unternehmen nachfragt, kann man hier nachlesen: https://netzpolitik.org/2020/dsgvo-der-steinige-weg-zu-den-eigenen-daten/
Eltern, die wissen wollen, welche Daten ihrer Kinder an der Schule wie erhoben und verarbeitet werden, können von ihrem gesetzlichen Auskunftsrecht Gebrauch machen. Textvorlagen finden sich beim Verein Digitalcourage: https://digitalcourage.de/blog/2020/datenverarbeitung-an-schulen-nutzen-sie-ihre-rechte Zu diesem Thema gab es bereits eine intensive Diskussion, ob man Lehrkräfte jetzt zusätzlich auch noch mit diesen Formalitäten belasten soll. Mir meinen: geltendes Recht ist geltendes Recht. Allerdings soll auch hier noch einmal klar gesagt werden: eine Lehrkraft muss über Grundkenntnisse im Bereich des Datenschutzes verfügen, die für die Ausübung ihrer Tätigkeit notwendig sind. Die administrativen Tätigkeiten und Formalitäten, wie z.B. das Anfertigen eines Verzeichnisses von Verarbeitungstätigkeiten oder das Erstellen einer Datenauskunft, kann nicht allein von Lehrkräften gestemmt werden, sondern benötigt die Unterstützung von spezialisierten Datenschutzbeauftragten.
4. Kann ich vor der Einführung von Microsoft 365 erfahren, wie meine oder die Daten meines Kindes genutzt werden?
Bei jeder Datennutzung an Schulen muss es im Vorfeld zu einer Information der Eltern bzw. der Jugendlichen kommen: wer ist der oder die Verantwortliche für die Daten, wer ist Datenschutzbeauftragte*r und wie ist die Art und der Umfang der erhobenen Daten.
Was die Verarbeitung der Daten angeht, ist man allerdings auf die Aussagen der Behörden und Einrichtungen angewiesen, dass das Produkt rechtskonform eingesetzt wird. Öffentliche Einrichtungen wurden im Landesdatenschutzgesetz übrigens von der Verhängung von Geldbußen ausgenommen, weil man davon ausging, dass diese Insitutionen sich immer innerhalb des geltenden Rechts bewegen. An diese Verpflichtung möchten wir hier noch einmal eindringlich appellieren. (Dieser Satz fühlt sich echt schräg an, wir leben doch nicht in einer Bananenrepublik…)
Wenn alle Stricke reißen und sich wider Erwarten eine nicht-rechtskonforme Lösung abzeichnet, haben gezwitschert bekommen, dass es im Verwaltungsprozessrecht in sehr begründeten Fällen die Möglichkeit des „vorbeugenden Rechtsschutzes“ gibt:
„Mit dem vorbeugenden Rechtsschutz soll der Eintritt eines nicht wiedergutzumachenden Schadens verhindert werden, wenn der nachgängige Rechtsschutz – einschließlich des einstweiligen Rechtsschutzes – mit unzumutbaren Nachteilen verbunden wäre.“
https://de.wikipedia.org/wiki/Vorbeugender_Rechtsschutz
5. Was kann ich tun, wenn Microsoft 365 an meiner Schule eingesetzt wird?
Zuerst einmal: schließt euch mit anderen Eltern zusammen, so könnt ihr dem Druck am besten entgegenwirken. Nichts ist schlimmer, als die Vorstellung, das eigene Kind durch kritische Fragen in eine exponierte Position zu rücken, aus der ihm eventuell Nachteile entstehen können oder es gar selbst diesem Druck ausgesetzt wird. Gemeinsam können Eltern diese Position viel einfacher vertreten.
Von zentraler Bedeutung ist, ob vor der Einführung von Microsoft 365 an der Schule offiziell festgestellt wurde, dass das Produkt datenschutzrechtlich konform eingesetzt wird. Wenn ja, besteht von Seiten der Schule lediglich eine Informationspflicht der Betroffenen. Dem Einsatz der Software kann man dann nicht widersprechen, allerdings hat man laut DSGVO jeder Zeit das Recht, die Zustimmung zur Verarbeitung der Daten zu entziehen. Für diese Fälle müssten sich Schulen alternative Beschulungskonzepte überlegen.
Falls das Produkt nicht offiziell als datenschutzkonform eingestuft wurde, ist der rechtskonforme Einsatz nicht möglich. Auch wenn Eltern eine Einverständniserklärung unterschreiben, bleibt die Nutzung unrechtmäßig.
Für die aktuelle Situation in Baden-Württemberg bleibt also abzuwarten, wie das Produkt eingeführt werden würde. Klar ist, dass alle bekannten Datenschutzprobleme, die der Einsatz von Microsoft 365 bringen kann, im Vorfeld vom Kultusministerium adressiert und beseitigt werden müssen, um eine rechtskonforme Nutzung des Produkts zu ermöglichen.
6. Wer hat dann überhaupt Einsicht in die Verarbeitung der Daten?
Hat man den Verdacht, dass Daten missbräuchlich verwendet werden, kann man eine Beschwerde beim jeweils zuständigen Landesdatenschutzbeauftragten einlegen (Online-Formular für BaWü z.B. hier: https://www.baden-wuerttemberg.datenschutz.de/online-beschwerde/). Er kann dann auf die Schule zugehen und bekommt Einsicht in die Verarbeitung der Daten, um diesen Verdacht zu prüfen.
Die Gretchenfrage – unabhängig vom Thema Schule: Wie kann Microsoft 365 oder andere datenverarbeitende Dienste aus oder mit Verbindung in die USA DSGVO-konform eingesetzt werden?
Ich maße mir nicht an, diese Frage zu beantworten, über der Fachleute seit Monaten brüten und für deren abschließende Klärung vermutlich auch noch internationale Abkommen fehlen. Ich möchte hier deswegen mit euch nur die Bröckchen meines Wissens teilen, so dass ihr euch selbst ein Bild machen könnt:
- Das Privacy Shield sollte sicherstellen, dass personenbezogene Daten von EU-Bürgerinnen und Bürgern, die in den USA verarbeitet werden, in gleichem Maß geschützt sind, wie in der EU. Der europäische Gerichtshof stellte im Juli 2020 nach einer Klage von Max Schrems fest, dass insbesondere die Überwachung der US-Nachrichtendienste nicht auf ein „zwingend erforderliche Maß“ beschränkt seien und damit mehr Datenzugriffe möglich sind als in der EU. Die Absprache wurde vom europäischen Gerichtshof deswegen gekippt: https://www.deutschlandfunk.de/privacy-shield-gekippt-eu-muss-datentransfer-auf-eine-neue.720.de.html?dram:article_id=480718
- Was das für die aktuelle Nutzung von datenverarbeitenden Diensten aus den USA bedeutet, hat der Landesdatenschutzbeauftragte Baden-Württemberg in einer Orientierungshilfe zusammengefasst: https://www.baden-wuerttemberg.datenschutz.de/orientierungshilfe-des-lfdi-bw-was-jetzt-in-sachen-internationaler-datentransfer/Darin stellt er fest: „Eine Übermittlung von Daten mithilfe der Standardvertragsklauseln ist in die USA daher nur mithilfe zusätzlicher Garantien(z.B. Verschlüsselung und Anonymisierung, s.o.) möglich. Dies hilft aus Sicht des LfDI derzeit jedoch nur in einer eng begrenzten Zahl von Fallkonstellationen und stellt daher keine Lösung für die Mehrzahl der Datentransfers in die USA dar.“
- Eine wichtige Rolle spielt ebenfalls der seit März 2018 geltenden CLOUD Act. Dieses Gesetz in den USA, ermöglicht es US-Behörden auch dann auf gespeicherte Daten von US-Unternehmen zuzugreifen, wenn die Speicherung nicht in den USA erfolgt. Konkret bedeutet das, dass auch wenn ein US-amerikanisches Unternehmen Daten in der EU speichert, können US-Geheimdienste darauf zugreifen. Darin sieht der EuGH einen massiven Verstoß gegen das EU-Datenschutzrecht. https://www.datacenter-insider.de/unterschiedliche-reaktionen-auf-das-eugh-urteil-zum-privacy-shield-a-949718/. Ebenfalls nicht konform mit dem europäischen Datenschutzrecht sind Zugriffe auf Kommunikationsdaten von Nicht-US-Bürgern nach dem FISA (Foreign Intelligence Surveillance Act), die ohne einen gerichtlichen Beschluss stattfinden können und gegen die Nicht-US-Bürger keine rechtlichen Mittel einlegen können.
- Es bestehen weiterhin Möglichkeiten, datenübertragende Dienste auch mit den USA zu nutzen. Die genauen Anforderungen und Möglichkeiten kristallisieren sich erst heraus, die Hürden und der Aufwand hierfür werden jedoch erheblich sein. Folgende Möglichkeiten kommen in Betracht (siehe iX 9/2020, allerdings Bezahlartikel: https://www.heise.de/select/ix/2020/9/2014815103195169373):
- Nutzung der Standardvertragsklausel: Wie der LfDI anmerkt, kann dies nur in sehr wenigen Fällen vor allem mit den USA wirksam zum Tragen kommen. „Gemäß diesem Beschluss müssen der Datenexporteur und der Empfänger der Übermittlung vorab prüfen, ob das erforderliche Schutzniveau im betreffenden Drittland eingehalten wird, und der Empfänger muss dem Datenexporteur gegebenenfalls mitteilen, dass er die Standardvertragsklauseln nicht einhalten kann. Daraufhin müsse der Exporteur die Datenübermittlung aussetzen und/oder vom Vertrag mit dem Empfänger zurücktreten.“ https://handelskammer.blog/eugh-erklaert-eu-us-privacy-shield-fuer-unwirksam/ Der Zugriff durch Geheimdienste bleibt auch nach dieser Formulierung nicht-DSGVO-konform.
- Verschlüsselte oder anonymisierte Daten: z.B. wenn Anbietende ihr Angebot so umbauen, dass Daten der Nutzenden verschlüsselt und nur vom Nutzenden selbst entschlüsselt werden können.
- Einwilligung: Diese Einwilligung muss allerdings freiwillig und informiert getroffen werden, d.h. für den schulischen Bereich dürfte dies überhaupt nicht in Frage kommen, auch im Rahmen von Dienstverhältnissen besteht für Arbeitnehmende keine Freiwilligkeit. Was mir unklar ist: danach dürfte dann doch z.B. Facebook kein Problem haben. Die weisen doch jetzt schon auf alles hin und lassen die Nutzenden das Abklicken… ?
- Klar ist: das Kippen des Privacy Shields ohne Übergangsfrist stellt in der Praxis eine große Herausforderung dar. Weder können internationale Abkommen derartig schnell vereinbart werden, noch können Unternehmen oder Einrichtungen von heute auf morgen ihre komplette Infrastruktur auf DSGVO-konforme Angebote umstellen. Dazu fällt uns auch noch auf die Füße, dass wir in der EU die Entwicklung eigener Dienst völlig vernachlässigt haben und uns in eine massive Abhängigkeit, v.a. US-amerikanischer Dienste begeben haben: https://www.heise.de/news/Digitale-Souveraenitaet-c-t-uplink-34-3-4885414.html.
Mein aktuelles Fazit: Alle wissen, dass momentan der Einsatz von datenverarbeitenden Diensten aus den USA ohne Expertenwissen, ausgefeilte Konfigurationen, permanente Aktualisierung dieser Konfiguration, viel administrativem Aufwand oder einer Änderung des US-amerikanischen Rechts nicht möglich ist. Aktuell will niemand dagegen vorgehen, weil es (scheinbar) an Alternativen mangelt und die Umstellungen einen enormen Aufwand bedeuten würde.
Wir sehen eine Menge Leute, die vor diesen Fakten die Augen verschließen und hoffen, dass die ganze Situation, auch ohne dass sie etwas tun, vorbeigehen wird. Wenn aber eines sicher ist, dann, dass das nicht passieren wird. Max Schrems hat bereits Beschwerde gegen 101 Unternehmen eingelegt, die auf die neue Sachlage noch nicht reagiert haben und deswegen gegen geltendes Recht verstoßen: https://noyb.eu/de/update-zu-noybs-101-beschwerden-ueber-eu-us-datentransfer
Update 3.11.2020 Der EU Datenschutzbeauftragte hat ein Papier veröffentlicht, das Empfehlungen für das weitere Vorgehen für EU-Instituation bezüglich des Schrems II Urteils gibt und rät ausdrücklich „Verarbeitungsvorgänge zu vermeiden, die die Übermittlung von personenbezogenen Daten an die Vereinigten Staaten beinhalten“. https://edps.europa.eu/sites/edp/files/publication/2020-10-29_edps_strategy_schremsii_en_0.pdf
Bildquelle: https://pixabay.com/de/vectors/teufel-flirt-m%C3%A4dchen-imp-frau-2028624/