Hinweis: Dieser Text stammt aus dem Februar. Ich werde hier demnächst einen Beitrag mit neuen Informationen zu dem Thema verfassen.
Dieser wissenschaftlich gefasste Text dient als Rechtfertigung und Erklärung gegenüber der Schulleitung und meinen Lehrer*innen.
Am Gymnasium Wilhelmsdorf wird seit Frühling 2020 der Dienst Microsoft Teams zum Fernunterricht eingesetzt. Ich habe mich seit dem aus den folgenden Gründen geweigert, den Dienst zu nutzen. Dies dient dem Schutz meines verfassungsmäßigen Grundrechts auf informationelle Selbstbestimmung [1] und der allgemeinen Handlungsfreiheit und ich versuche dadurch zur allgemeinen Wahrung dieser Grundrechte, die Schule und letztendlich die Exekutive dazu zu bewegen, keine datenschutzverletztenden und rechtswidrigen Dienste einzusetzen und insbesondere niemand zu derer Nutzung de jure oder de facto zu zwingen und sich außerdem zwingend an geltendes Recht zu halten. Es ist absolut inakzeptabel, dass sich die Exekutive nicht an die Gesetze der Legislative hält und ich halte es für meine staatsbürgerliche Pflicht, dagegen zu protestieren.
In diesem Text wird nur auf einige datenschutzrechtliche Aspekte eingegangen. Weitere Informationen lassen sich im meinem Artikel „Verwendung von Microsoft Teams nicht rechtmäßig“ in der 1. Ausgabe der Papaya-Schülerzeitung lesen.
Disclaimer: Ich versuche die Informationen nach bestem Wissen und Gewissen wissenschaftlich zu recherchieren, die Darstellung ist natürlich politisch motiviert. Ich bin kein Anwalt, die Ausführungen sind teilweise verkürzt, weil die Hintergründe zu kompliziert sind und hier nicht weiterführen oder ich von bestimmten Bereichen keine weitreichenden Kenntnisse habe. Auch entnehme ich meine Informationen bestimmten Quellen und kann nicht ausschließen, dass ich bestimmte Dinge nicht beachtet habe, insbesondere da mir bestimmte einschlägige Regelungen nicht bekannt sind. Inhaltliche Einsprüche sind gerne willkommen.
1. Es gibt keine offizielle Ankündigung, dass der Unterricht über Teams stattfindet
Die Schüler*innen wurden nie offiziell dazu aufgefordert, Teams zu nutzen. Auch gibt es aktuell keine zentralen übersichtlichen Informationen, was genau die allgemeinen Anforderungen an die Schüler*innen sind. Auch bei Nutzung eines bestimmten Dienstes kann nicht verlangt werden, diesen ständig zu besuchen, um Änderungen und darüber verteilte Informationen zu erfahren. Über die im Folgenden aufgeführten Gründe hinausgehend kann nicht verlangt werden, ein Programm auf dem Computer oder anderen Endgerät zu installieren (technische Voraussetzungen, keine Rechtsgrundlage, Verträge mit Drittanbietern nötig).
2. Microsoft Teams ist rechtswidrig
Der Dienst Microsoft Teams ist, sowie alle Bestandteile von Microsoft 365, höchstwahrscheinlich an sich schon nicht rechtmäßig, da er gegen die DSGVO verstößt.
2.1 Datenübermittlung in ein Drittland
Der Betreiber Microsoft Corporation hat seinen Sitz im US-Bundesstaat Washington. Die personenbezogenen Daten der Schüler*innen für die Verwendung von Teams werden wahrscheinlich in den USA gespeichert, zumindest aber dort verarbeitet. [2]
Nach Kapitel 5 und insbesondere Art. 44 DSGVO [3] dürfen personenbezogene Daten aus der EU in ein Drittland (hier die USA) nur dann übermittelt werden, wenn dabei die Vorgaben der DSGVO eingehalten werden und das Datenschutzniveau nicht untergraben wird. Dass dies auf die USA zutreffe, hatte die EU-Kommission in dem als „EU-US Privacy Shield“ bekannten Beschlusses nach Art. 45 DSGVO festgestellt. Dies wurde aber am 16.07.2020 (nach dem Beginn des Einsatzes von Teams am Gymnasium) vom Europäischen Gerichtshof in dem als „Schrems II“ (Ireland vs. Facebook + Schrems) bekannten Urteil [4] für ungültig und damit nichtig erklärt. Das Gericht erklärte, das Datenschutz(recht)niveau in den USA sei insbesondere durch Polizei- und Geheimdienstgesetze [5] nicht mit dem in der EU vereinbar (der Sache nach gleichwertig) und damit und weil der Datenimporteur eine Einhaltung der DSGVO und Gewährung der Rechte anderweitig nicht garantieren kann (nach Art. 46 DSGVO) [6], falls er unter US-Überwachungsgesetze fällt, ist eine Übermittlung von personenbezogenen Daten von Nutzern in die USA derzeit nicht zulässig. Eine Lösung des Problems kann abseits eines Wechsels des Anbieters nur durch eine Veränderung des US- oder EU-Rechts oder dadurch, dass die Anbieter die Daten nicht mehr im Zugriffsbereich der US-Behörden verarbeiten und speichern, entstehen. Am naheliegendsten ist letzteres. Die großen Datenverarbeiter (GAFAM - Google, Apple, Facebook, Amazon, Microsoft) scheinen das Urteil und die Rechtslage aktuell aber eher zu ignorieren. Aktuell sind dazu mehrere Verfahren vor Gerichten und Aufsichtsbehörden, die für die Durchsetzung zuständig sind, anhängig. [7]
Microsoft, die sich auf das Privacy-Shield-Abkommen berufen hat, tat dies auch noch einige Zeit nach dem Urteil, mittlerweile zwar nicht mehr, scheint aber an der Datenverarbeitung nichts Wesentliches verändert zu haben. [8] Deswegen dürften fast alle Dienste, die Microsoft in der EU anbietet, zumindest die, die personenbezogene Daten verarbeiten und und in die USA übermitteln und dort speichern, nicht oder in Teilen nicht rechtmäßig sein.
2. Der Einsatz durch die Schule ist rechtswidrig [9]
Da (datenschutz)rechtlich die Schule und letztendlich das Land Baden-Württemberg für alle schulische Datenverarbeitung- und Weitergabe verantwortlich ist, wird hier kein Unterschied gemacht, ob ein Fachlehrer, IT-Administratoren, die Schulleitung oder letztendlich das Land handelt. Staatstheoretisch ist die Schule Bestandteil der (Landes-)Exekutive. Alles, was an die Schule gerichtet ist, ist (insbesondere) auch an die Landesregierung gerichtet.
2.1 Auftragdatenverarbeitungsvertrag
Die Datenverarbeitung über Teams ist mindestens in Teilen und wahrscheinlich vollständig als Auftragsdatenverarbeitung durch Microsoft im Auftrag der Schule anzusehen, dafür wird ein Auftragsdatenverarbeitungsvertrag (AVV) benötigt (Art. 28, DSGVO). Microsoft verarbeitet also im Auftrag und der Verantwortung der Schule Daten der Schüler*innen. Die Nutzer haben also keine (unmittelbaren) Rechtsansprüche gegenüber Microsoft, sondern gegenüber der Schule. Teilweise sendet die Schule personenbezogene Daten an Microsoft, hauptsächlich tun die Schüler*innen dies selbst. Zusätzlich verkompliziert und verproblematisiert in diesem Zusammenhang, dass die Schule sowohl rechtlich als auch praktisch kein direktes Rechtsverhältnis bzw. Kontakt zu Microsoft hat, sondern dies über einen IT-Dienstleiter läuft. Es gibt also (wahrscheinlich) einen AVV mit dem IT-Dienstleister, über den wiederum der AVV mit Microsoft läuft, auf den die Schule gar keinen Zugriff hat. Den AVV mit dem Dienstleister hat mir die Schule bisher nicht zugänglich gemacht, sodass ich ihn bewerten könnte. Der Berliner Datenschutzbeauftragte hatte im Juli eine Untersuchung des AVV verschiedener Anbieter von Videokonferenzsoftware veröffentlicht, auch von Microsofts Teams. [10] Dabei wurden verschiedene rechtliche Mängel festgestellt, die einen rechtskonformen Einsatz auf dieser Grundlage unmöglich machen müssten.
2.2 Fehlende Rechtsgrundlage und Informationen
Nach der DSGVO (Art. 6) ist eine Datenverarbeitung nur rechtmäßig, wenn es eine Rechtsgrundlage dafür gibt (Verbot mit Erlaubnisvorbehalt). Es gibt dabei unterschiedliche Möglichkeiten, z. Bsp. die Einwilligung (Abs. 1, lit. a). Je nachdem, welche Rechtsgrundlage vorliegt, verändern sich die Pflichten des Verantwortlichen und die Rechte des Betroffenen. Der Betroffene hat das Recht, über verschiedene Details der Verarbeitung informiert zu werden, z. Bsp. die Rechtsgrundlage der Verarbeitung (proaktiv, das ist die Datenschutzerklärung, Art. 13 + 14 DSGVO) und auf Nachfrage eine Kopie der Daten und weitere Informationen zu der Verarbeitung zu erhalten (Art. 15 DSGVO).
Die Datenschutzerklärung von Microsoft [11] ist mindestens nicht eindeutig in einigen Aspekten. Dort heißt es im Abschnitt für Arbeits- und Schulkonten: „Sie sollten Ihre Privatsphäre-Anfragen, inklusive aller Anfragen über Ihre Datenschutzrechte an den Administrator Ihrer Organisation stellen.“ Als Zweck wird lediglich angegeben: „Microsoft verarbeitet Ihre personenbezogenen Daten, um das Produkt Ihrem Unternehmen und Ihnen zur Verfügung zu stellen, sowie für die legitimen Geschäftsabläufe von Microsoft im Zusammenhang mit der Bereitstellung des Produkts [...]“ Damit gibt Microsoft die Zuständigkeit für Datenschutzfragen an die Schule ab.
Diese ist also verantwortlich, den Informations- und Auskunftspflichten nachzugehen. Dies tut sie aber nicht, auch auf Nachfrage konnte man mir wichtige Informationen zur Datenverarbeitung nicht nennen, insbesondere die Rechtsgrundlage. Das liegt daran, dass sie organisatorisch kompetenztechnisch gar nicht dafür zuständig ist, das ändert aber nichts an der rechtlichen Verantwortung (siehe 3. Lösungsmöglichkeiten). Als Rechtsgrundlage konnte zunächst die Einwilligung angenommen werden. Normalerweise muss man beim Anlegen eines Accounts den AGBs und Datenschutzbedingungen (ausdrücklich) zustimmen (was eine Einwilligung bedeutet). In diesem Fall war es aber so, dass man sich in einen bereits von der Schule für seine ID angelegten Account anmelden musste und dabei lediglich ein neues Passwort festlegen musste. [12] Dabei wurde man von der Webseite [13] als wiederkehrender Benutzer behandelt, musste also nichts zustimmen. Die auf jeder Seite unten verlinkte Datenschutzerklärung reicht nicht aus für eine Opt-In-Erklärung gemäß Art. 6 DSGVO. Nach den Sommerferien versuchte es die Schule dann mit einer Einverständniserklärung. Die Angaben darauf sind aber ungenau, unzureichend und teilweise auch falsch und erfüllen nicht die Bedingungen der DSGVO (u. a. Art. 13+14) und gewähren keine vollständige Kontrolle und Entscheidungsfreiheit über die eigenen Daten und damit bildet die Unterschrift darunter keine gültige Rechtsgrundlage. Deswegen habe ich dem nicht zugestimmt.
3. Lösungsmöglichkeiten
3.1 Fehlende Rechtsgrundlage und Informationen
Um die Situation besser einschätzen zu können, habe ich die Schule bereits im Frühling gebeten, mir Details zur Datenverarbeitung mitzuteilen, evtl. nach Absprache mit dem IT-Dienstleister und Microsoft, insbesondere die Informationen, die mir nach Art. 12-15 DSGVO zustehen. Diese hat mir zwar einige Informationen mitgeteilt, konnte aber einige zentrale konkrete Fragen nicht beantworten. Die Klärung dieser ist unerlässlich für einen ggf. rechtskonformen Einsatz. Dafür muss die Schule dies mit dem IT-Dienstleister und/oder Microsoft und ggf. mit dem Landesdatenschutzbeauftragten kommunizieren. Für eine formale Rechtsgrundlage könnte die Schule eine erneute Einverständniserklärung, die die Angaben nach Art. 6 + 13 DSGVO vollständig enthält, einfordern. Dies würde aber nichts daran ändern, dass die Schule niemanden dazu zwingen kann.
Eine Rechtsgrundlage könnte für die Zeit der zweiten Schulschließung auch §§ 4 + 6 Landesdatenschutzgesetz in Verbindung mit § 1 Schulgesetz und § 2, Abs. 8 CoronaVO Schule sein. Inwiefern §§ 4 + 6 Landesdatenschutzgesetz i. V. m. § 1 Schulgesetz ausreicht, hängt von schul- und landesrechtlichen Vorschriften ab (die mir nicht im Detail bekannt sind).
3.2 Microsoft Teams
Es ist nicht abzusehen, dass sich die Situation mit Microsoft in unmittelbarer Zukunft ändern wird. Zuständig für die Durchsetzung der DSGVO und des Urteils des EuGH ist dir irische Datenschutzbehörde, da Microsoft dort, wie viele andere Unternehmen, seinen EU-Sitz hat (Microsoft Ireland Operations Limited) [14]. Diese ist aber bekannt dafür, ihre Aufgaben nicht so streng und zügig auszuführen. [15] [16] Das Urteil des EuGH ist gerade dadurch entstanden, dass sie gegen den Aktivisten Max Schrems, der eine Beschwerde gegen Facebook eingereicht hatte, klagte. Auch über die hier ausgeführten rechtlichen Gründe hinaus gibt es viele, die gegen Microsoft (Teams) sprechen. [17] Die Lösung muss also ein möglichst baldiger Verzicht auf Microsoft Teams bedeuten.
3.3 Andere Dienste
Statt Microsoft Teams gibt es noch viele andere Anbieter von Konferenzsystemen, die teilweise die gleichen Probleme mit sich bringen. Es gibt aber auch Open-Source-Programme, die von der Schule, dem Land oder irgendwas dazwischen [18] selbst gehostet werden können, dadurch ergeben sich kaum Datenschutzprobleme. Dies sind insbesondere Jitsi Meet und Moodle mit integriertem BigBlueButton, letzteres wird an der Schule teilweise auch verwendet und soll längerfristig Teams komplett ersetzen. Diese sind theoretisch einsetzbar, zu technischen Problemen insbesondere der Belastung habe ich keine näheren Kenntnisse, es kann aber politisch und rechtlich erwartet werden, dass zehn Monate nach Beginn der ersten Schulschließung entsprechende Schritte unternommen wurden.
Siehe auch: Christian Füller: "Man schickt überforderte Schulen in einen Papierkrieg mit besorgten Eltern" in Süddeutsche Zeitung vom 28.07.2020
Fußnoten
[1] Abgeleitet aus Art. 2, Abs. 1 und Art. 1, Abs. 1 Grundgesetz („Volkszählungsurteil“ des BVerfG)
[2] Whois-Abfragen der verschiedenen Domains und Standorte der entsprechenden IP-Adressen
[3] Verordnung (EU) 2016/179 (https://dsgvo-gesetz.de/kapitel-5/)
[4] Rechtssache C-311/18 (http://curia.europa.eu/juris/document/document.jsf?text=&docid=228677)
[5] Insbesondere § 702 FISA und Executive Order 12333
[6] Ausnahmen wäre nur eine komplette Verschlüsselung oder Annonymisierung
[8] Microsoft: https://blogs.microsoft.com/eupolicy/2020/07/16/assuring-customers-about-cross-border-data-flows/
[9] Die beschriebenen Kenntnisse über die Handhabung an der Schule basieren auf E-Mails und Gesprächen mit der Schulleitung und dem Datenschutzbeauftragten der Schule
[10] https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2020-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf (Seite 10-12); allgemeine Informationen zu datenschutzkonformen Videokonferenzen: https://www.datenschutz-berlin.de/infothek-und-service/themen-a-bis-z/corona-pandemie
[11] https://privacy.microsoft.com/de-de/privacystatement, Stand November 2020
[12] Siehe Elternbrief vom 24.04.2020 (https://papayawdorf.wordpress.com/elternbrief-vom-24-04-2020/)
[13] https://login.microsoftonline.com
[14] https://privacy.microsoft.com/de-de/privacystatement#mainhowtocontactusmodule
[15] https://noyb.eu/de/klage-wegen-ueberlangem-verfahren-gegen-dpc-zugelassen
[16 ] Podcast „Datenfreiheit“ des LfDI BW – Folge 7 (https://www.baden-wuerttemberg.datenschutz.de/podcast-datenfreiheit-folge-7-transparenzregistergesetz/)
[17] https://digitalcourage.de/blog/2020/breiter-protest-gegen-microsoft-in-baden-wuerttemberg
[18] BelWü – Landeshochschulnetz BW
v.1.3.2; Download als PDF
Albert Magellan (Samstag, 22 Mai 2021 21:10)
Hi Ben,
vielen Dank für deinen Kommentar!
Nur weil sie angeben, DSGVO-konform zu sein, sind sie es nicht zwangsläufig. Der (rechtliche und politische) Hauptkritikpunkt der Speicherung außerhalb der EU ist aber natürlich gelöst und das schaut auch ganz gut aus.
Für unsere Schule wäre das jetzt nicht unbedingt was, weil wir die Funktionen, die nicht Videokonferenzen betreffen, bereits über das System Untis haben (insbesondere Stundenpläne und Chats). Wir brauchen also nur Videokonferenzen (und vielleicht noch Clouddienste), was über das teilweise bereits genutzen Moodle mit BigBlueButton oder aber Jitsi Meet gut zu lösen wäre.
(Allgemein ist mir das auch lieber, weil es Open-Source ist und nicht durch ein Unternehmen, sondern durch die Schule/das Landeshochschulnetz selbst betrieben wird.)
Für Schulen, die noch keine allgemeine digitale Schulverwaltungssoftware wie bei uns Untis haben, scheint dies aber eine gute Lösung zu sein.
Ben (Samstag, 22 Mai 2021 19:10)
Hi,
an meiner Schule wird Sdui genutzt. Das ist eine DSGVO-konforme App mit Stundenplan, Videokonferenzen, Chat und Cloud. Vielleicht wäre das auch was für deine Schule. https://sdui.de/
Schöne Grüße :)