Microsoft 365 an Schulen in der Kritik

Verschlüsselung schützt vor Datenschutznotstand

Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
Bis zu den Sommerferien müssen Schulen in Baden-Württemberg Microsoft 365 abschaffen oder nachweislich datenschutzkonform betreiben. Die Aufregung ist groß und in anderen Bundesländern drohen ähnliche Szenarien.
„Technische Gründe, weshalb der Datenschutz an deutschen Schulen noch immer weitgehend vernachlässigt wird, bestehen nicht. Es wird höchste Zeit, dass Datenschutzbeauftrage und Schulen aktiv werden", sagt Elmar Eperiesi-Beck.
„Technische Gründe, weshalb der Datenschutz an deutschen Schulen noch immer weitgehend vernachlässigt wird, bestehen nicht. Es wird höchste Zeit, dass Datenschutzbeauftrage und Schulen aktiv werden", sagt Elmar Eperiesi-Beck.
Foto: Eperi

In Baden-Württemberg müssen Schulen auf Anordnung von Dr. Stefan Brink, dem Landesbeauftragten für den Datenschutz und Informationsfreiheit (LfDI), die Nutzung von Microsoft 365 bis zu den Sommerferien entweder einstellen oder den "datenschutzkonformen Betrieb eindeutig nachweisen". Brink erwartet also, dass Schulen auf Alternativen zu Microsoft 365 umsteigen oder den Dienst mit geeigneten Mitteln absichern.

Ähnliche Situationen kommen nach Ansicht von Elmar Eperiesi-Beck, Gründer und CEO von Eperi, bald auch auf Schulen in anderen Bundesländern zu. In Bayern und Hessen gab es schon Gegenwind. Er erwartet, dass auch weitere Datenschutzbeauftragte aufhören, ein Auge zuzudrücken, was sie vor allem wegen der Pandemie getan haben, und geltendes Recht anwenden - insbesondere die Datenschutzgrundverordnung (DSGVO) und das Schrems-II-Urteil des Europäischen Gerichtshofs. Beide stellten eine Einhaltung ihrer Vorgaben nicht ins Belieben von Unternehmen oder Behörden, sondern verlangen diese eindeutig.

Ungesunder Fokus auf unbeliebte Alternativen

Der Aufschrei dürfte groß sein. Denn die meisten Nutzer sind mit den Alternativen zu Microsoft 365 nicht zufrieden. Sie decken entweder nur Teilbereiche ab oder weisen funktionale Lücken auf. Nicht zuletzt fürchten viele Eltern - in der Regel zu Unrecht - ihre Kinder würden abgehängt, wenn sie nicht schon in der Schule in den Unternehmen gängige Software nutzen.

Gleichzeitig scheint wenig bekannt zu sein, dass Microsoft eben ein Modell der geteilten Verantwortung ("Shared Resonsibility") anbietet und damit nicht nur die Verantwortung für bestimmte Bereiche den Anwendern zuweist, sondern auch die technischen Möglichkeiten bietet, dass die wahrgenommen werden können. Und dass es zahlreiche Anbieter gibt, die sich inzwischen gut darauf vorbereitet haben, diese Bereiche abzudecken.

Verschlüsselung als Option zu wenig bekannt

Diese Unwissenheit kommt auch in einer aktuellen Stellungnahme des - allerdings durch die zuständige Ministerin als sehr Microsoft-freundlich bekannten - Kultusministeriums Baden-Württemberg zum Ausdruck. Darin heißt es, dass "es bislang nicht gelungen ist, eine Lösung vor Ort zu finden, die den Interessen von Schülerinnen und Schülern, Eltern, Lehrkräften und Schule gerecht wird. Diesen Beschwerden nachzugehen ist die Pflicht des LfDI, mittlerweile wurden 40 Schulen angeschrieben und eine Lösung angemahnt."

Eperiesi-Beck begrüßt dagegen die Initiative von Dr. Stefan Brink eindeutig. "Er zieht die von der EU geforderten Konsequenzen aus DSGVO und Schrems II-Urteil und schafft zweifelsfrei Klarheit für alle Beteiligten." Seit Beginn der Pandemie würden Tools und Lösungen weitgehend an geltenden Datenschutzbestimmungen vorbei genutzt. Dass es den Kultusministerien in mehr als zwei Jahren nicht gelungen sei, eine Lösung zu finden, ist laut Eperiesi-Beck "einer der schlechteren Witze in der behördlichen Nutzung von IT. Das ärgert mich auch als Vater schulpflichtiger Kinder."

Denn die Lösung sei ganz einfach und die zuständigen Stellen müssten dazu keinesfalls das Rad neu erfinden. "Privatunternehmen machen seit Jahren vor, wie sich amerikanische Cloud-Dienste DSGVO-konform nutzen lassen: durch den Einsatz von Verschlüsselungstechnologien", erklärt Eperiesi-Beck. Er empfiehlt vor allem den Einsatz eines Cloud-Verschlüsselungs-Gateways.

Was ein Cloud-Verschlüsselungs-Gateway kann

"Ein solches Gateway ist ein Tool, das zwischen einem Cloud-System und einem In-House-System platziert ist und die Verschlüsselung oder Anonymisierung von Daten vor der Übertragung durchführt. Wenn das Gateway von der Schule selbst betrieben oder in einem deutschen Rechenzentrum gehostet wird, ist die Einhaltung der DSVGO gewährleistet, weil niemals unverschlüsselte oder personenbezogene Daten in die Microsoft-Cloud geraten."

Mit solch einem Gateway lasse sich prinzipiell jeder Cloud-Dienst datenschutzkonform nutzen - gewisse Anpassungen an den jeweiligen Dienst am Gateway vorausgesetzt. "Viele Schulen verfügen zugegebenermaßen nicht über die Ressourcen, ein solches Verschlüsselungs-Gateway selbst zu betreiben, oder sie wollen sich nicht mit der erforderlichen Technik auseinandersetzen", räumt Eperiesi-Beck ein. "Für diesen Fall gibt es IT-Dienstleister, welche die Verschlüsselung als Managed Service anbieten."

Ein Beispiel sei etwa T-Systems mit seinem Cloud Privacy Service. Aber auch die Profi AG bietet eine entsprechende Lösung an - nicht nur für Microsoft 365. Ein auf die Ausstattung von Schulen spezialisierter IT-Dienstleister aus Baden-Württemberg erklärte ChannelPartner gegenüber, dass erste Kunden von ihm nach Open-Source-Alternativen zu Microsoft 365 suchen und den Umstieg vorbereiten. Verschlüsselung habe er bereits in Betracht gezogen, die Kosten seien dafür für Schulen aber zu hoch gewesen. Da meist nach Nutzern abgerechnet werde, gingen die schnell in die Tausende pro Monat. Das sei mit dem Budget vieler Schulen nicht vereinbar.

Mehr zum Thema

Nutzen Sie Office 365 datenschutzkonform?

Datenschutz in Microsoft Office 365 lückenhaft

Rückschlag für Microsoft 365 an Schulen in Baden-Württemberg

Datenschutzbeauftragter gegen Microsoft 365 an Schulen

Ergänzende Lösungen zu Microsoft 365 im Überblick

Zur Startseite