Bildungsauftrag gewinnt gegen Datenschutz

NRW setzt weiterhin auf Microsoft 365 in Schulen

Kommentar  von Peter Marwan
Dürfen Schulen Microsoft 365 nutzen oder dürfen sie nicht – und wenn ja, welche Vorkehrungen müssen sie treffen? Diese Frage bewegt Deutschland seit Beginn der Pandemie. Im Herbst 2022 sah es für Microsoft düster aus, jetzt gibt es einen Lichtblick in NRW.
Datenschützer nehmen Microsoft 365 beziehungsweise die dazugehörigen Auftragsverarbeitungsverträge nach wie vor genau unter die Lupe - das Ministerium für Schule und Bildung Nordrhein-Westfalen zeigt sich jetzt jedoch großzügiger.
Foto: dennizn - shutterstock.com

Werkzeug des Teufels und Datenstaubsauger bei Minderjährigen oder unverzichtbare Plattform für die moderne Zusammenarbeit, den Distanzunterricht und die Berufsvorbereitung? Die Meinungen über Microsoft 365 gehen weit auseinander - auch, weil Lehrkräfte mit angebotenen Alternativen oft noch weniger zurechtkommen, als mit dem Cloud-Angebot von Microsoft.

Die inzwischen recht verhärteten Fronten verlaufen nicht nur zwischen Microsoft und Datenschützern, auch zwischen Politik, Eltern, IT-Dienstleistern, Kultusministerien sowie Open-Source-Befürwortern und auch quer durch deutsche Lehrerzimmer. Ärgerlich für viele ist, dass die Bundesländer keine einheitliche Linie finden können. Jetzt hat das Ministerium für Schule und Bildung Nordrhein-Westfalen mit einem aktualisierten Hinweis zum Datenschutz der Debatte neuen Zündstoff gegeben. Um sie zu verstehen, muss man sich noch einmal die Vorgeschichte vor Augen führen.

Im September 2020 kam der Arbeitskreis Verwaltung der Datenschutzkonferenz zum Ergebnis, dass auf Basis der damals vorliegenden Unterlagen (Online Service Terms /OST) sowie Datenschutzbestimmungen für Microsoft-Onlinedienste / Data Processing Addendum / DPA) - "kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich" sei. Er hat daraufhin Gespräche mit Microsoft aufgenommen, um zusammen mit dem Konzern zu prüfen, was der tun kann, um die Nutzung seines Angebots datenschutzkonform zu ermöglichen.

Unterschiedliche Aufgaben der Aufsichtsbehörden

Knifflig ist das Ganze auch deshalb, weil die deutschen Aufsichtsbehörden Microsoft eigentlich gar nichts zu sagen haben. Dafür ist die irische Aufsichtsbehörde zuständig. Sie legt die EU-Vorgaben eher großzügig aus - auch weil sie sonst Irland als europäischen Standort von US-Konzernen gefährden könnte, wie Kritiker behaupten. Die deutschen Aufsichtsbehörden sind dagegen für die Aufsicht von Unternehmen in Deutschland zuständig, also die deutschen Kunden von Microsoft. Deshalb stand auch der Auftragsverarbeitungsvertrag im Mittelpunkt der Prüfung.

Im Herbst 2022 hat Microsoft Ergänzungen zu seinen Datenschutzrichtlinien vorgestellt ("Datenschutznachtrag zu den Produkten und Services von Microsoft" / "Microsoft Products and Services Data Protection Addendum (DPA)"). Die Arbeitsgruppe der Datenschutzkonferenz war mit denn aber nicht zufrieden. Sie bescheinigte Microsoft lediglich "geringfügige Verbesserungen". Zum Beispiel sei die zentrale Frage, in welchen Fällen Microsoft als Auftragsverarbeiter tätig ist und in welchen als Verantwortlicher nicht abschließend geklärt. Microsoft selbst sah dies anders. Es legte seine Position im November 2022 noch einmal ausführlich dar.

Datenschutzkonferenz hat sich kritisch geäußert

Die deutschen Datenschützer hatten zuvor erklärt, die nicht völlig ausgeschlossene Verwendung personenbezogener Daten der Nutzer (z.B. Mitarbeitern oder Schülern) zu eigenen Zwecken schließe den Einsatz eines Auftragsverarbeiters im öffentlichen Bereich und insbesondere an Schulen aus. Damit legitimierten sie auch das zuvor ausgesprochene Ultimatum des Landesdatenschutzbeauftragten in Baden-Württemberg und die frühere Kritik der Berliner Datenschutzbeauftragten.

Aus der nun veröffentlichten Sicht des Ministerium für Schule und Bildung des Landes Nordrhein-Westfalen, ist "ein generelles Verbot der Verwendung von MS-Produkten weiterhin derzeit nicht angezeigt." Begründet wird das in einer FAQ-Liste damit, dass Microsoft 365 eine in Wirtschaft und Verwaltung weit verbreitete Anwendung ist, und damit der Erwerb von Kompetenzen dafür für Studium und Beruf wichtig sei.

NRW geht seinen Sonderweg

Außerdem seien "einzelne Anwendungen, trotz offener datenschutzrechtlicher Fragestellungen, zur Organisation und Durchführung z.B. von digital erteiltem Distanzunterricht vielfach unumgänglich." Zwar verweist das Ministerium auch auf das eigene, auf Moodle basierende Angebot Logineo NRW - disqualifziert dies damit aber im selben Atemzug als unbrauchbar. Gerüchteweise soll es demnächst auch eingestellt werden.

Das Ministerium sieht sich ohne Microsoft 365 nicht in der Lage, in NRW den verfassungsgemäßen Anspruch auf Bildung erfüllen zu können und kommt nach einer Grundrechtsabwägung zu dem Schluss, dass dieser Anspruch in dem Fall die Forderungen des Datenschutzes überwiegt.

Das ist jedoch dünnes Eis: Erst im Zuge der Maßnahmen gegen die Corona-Pandemie wurde heftig darüber diskutiert, inwieweit Grundrechtseinschränkungen vertretbar sind. In Deutschland hat das Bundesverfassungsgericht 1983 das Grundrecht auf informationelle Selbstbestimmung beziehungsweise das Grundrecht auf Datenschutz entwickelt. Datenschutz ist demnach also nicht ein nice-to-have, sondern ein Grundrecht. Und die Einschränkungen eines Grundrechts zur Durchsetzung eines anderen wirft komplexe, juristische Fragen auf.

Das Ministerium für Schule und Bildung Nordrhein-Westfalen hatte sich bereits im Dezember 2022 auf Anfrage des Blogs Malter365 ähnlich wie jetzt auf seiner Webseite geäußert. Begründung Einzelne Produkte "zu prüfen und für bedenklich oder unbedenklich zu erklären, ist angesichts der Anzahl der Schulen landesweit und des großen, ständig aktualisierten Angebotes an Software nicht möglich" und auf die Ergebnisse einer "noch andauernden bundesländerübergreifenden Prüfung der Datenschutzbeauftragten der Länder" verwiesen. Warum es jetzt dann doch eine Empfehlung abgibt, bleibt unklar.

Ein Problem der Nutzung von Cloud-Angeboten an Schulen ist auch, dass die noch nicht verstanden haben, dass Cloud-Angebote kein All-in-One-Paket sind, sondern ergänzende Produkte benötigen, um sicher und datenschutzkonform zu sein.

Bei Firmen hat sich diese Erkenntnis inzwischen weitgehend durchgesetzt - auch weil eben mehr auf dem Spiel steht, als "nur der Datenschutz". E-Mail-Archivierung, Backup, Zugriffsrechte und Schutz vor Spam, Phishing und Ransomware ist aber auch für Schulträger sinnvoll - aber mit dem verfügbaren Budget nicht abbildbar. Ganz abgesehen davon, dass das Personal zur Verwaltung fehlt. Die ideale Lösung wäre, wenn sich Microsoft und die irische Aufsichtsbehörde auf Maßnahme einigen, die Datenschützer in allen EU-Ländern zufriedenstellen.

Ohne solch eine Einigung ist absehbar, dass auch in den kommenden Jahren endlose Scharmützel zwischen allen Beteiligten ausgefochten werden. Denn auch wenn Anbieter von und Dienstleister für Alternativen regelmäßig versichern, dass ihre Angebote konkurrenzfähig sind, wollen viele Eltern und Lehrer das nicht wahr haben: Sie sehen nach wie vor den Anspruch auf Bildung als vorrang und fürchten, dass Kinder, die keine Microsoft-Produkte beherrschen, am Arbeitsmarkt abgehängt werden. Sie kommen in ihrer persönlichen Grundrechtsabwägung also zum selben Schluss wie das Ministerium in NRW. Ihren Beifall hat es also. Ob es auch den Beifall der Juristen findet, bleibt abzuwarten.

Mehr zum Thema

Firmen sehen zusätzlichen Schutzbedarf bei Microsoft 365

Rückschlag für Microsoft 365 an Schulen in Baden-Württemberg

Office 365 sinnvoll und profitabel ergänzen

Ergänzende Lösungen zu Microsoft 365 im Überblick