Der ORF veröffentlichte am 09.01.2023 in der Reihe digital.leben unter dem Titel Kritik an Microsoft 365 in Schulen einen kurzen Bericht. In diesem geht es um die Kritik von Datenschützern wie Daniel Lohninger vom Verein epicenter.works und der Politikerin Katharina Kucharowits (FPÖ). Im Fokus steht der Einsatz von Plattformen wie Microsoft 365, Teams und Google Workspace for Education und man schaut dabei auf die Entwicklung in Deutschland, vor allem in Baden Württemberg. Kritisch sieht Daniel Lohninger die Speicherung der Daten von Schülerinnen und Schülern und Lehrkräften in US Clouds, da diese im Zugriff von US Behörden liegen. Auch Microsoft Österreich kommt im Beitrag zu Wort und beruft sich dort darauf, dass sich Microsoft 365 datenschutzkonform einsetzen lässt und Kunden in Kürze auch die EU Data-Boundary zur Verfügung stehe, die es allen „EU ansässigen Kunden aus dem öffentlichen Sektor und Unternehmenskunden ermöglicht, ihre Daten innerhalb der EU zu speichern und auch zu verarbeiten.” Das, so der Bericht, sieht die Datenschutzkonferenz (DSK) anders. Sie hält Microsoft in Schulen für nicht rechtssicher und kritisiert, es fehle an Transparenz, wie die Daten der Schülerinnen und Schüler und Lehrenden verarbeitet werden. An diesem Punkt hakt auch Daniel Lohninger noch einmal ein und kritisiert, dass man einfach nicht klar genug wisse, wie Microsoft mit den Produktivitätssignalen und Kommunikationsaktivitäten in Microsoft 365 und Teams umgehe. Der Bericht gibt im Anschluss darauf noch eine Reaktion Microsofts auf die Positionierung der DSK wieder, wonach die “deutsche Datenschutzkonferenz über ihr Ziel hinausschieße. Microsoft Kunden würden nicht in einer isolierten oder akademischen Datenschutz Welt agieren. Dieser ausufernde Aufsichtsansatz würde auch Schulleiter*innen lähmen.” Zu Wort kommt anschließend Katharina Kucharowits, die zu diesem Thema schon im Juli 2022 eine Anfrage an den Bundesminister für Bildung, Wissenschaft und Forschung betreffend Nutzung von Microsoft und Google an Schulen gestellt hatte. Im Beitrag kritisiert sie die Antwort des Bundesministers von September 2022 dahingehent, dass man im Bildungsministerium weder einen Überblick darüber habe, wie viele Schulen Microsoft und Google Produkte bzw. Anwendungen verwenden, noch eine übergeordnete Strategie habe, sondern die Verantwortung, welche Produkte verwendet werden, an die Schule abgebe. Von Seiten des Bildungsministeriums kommt im Beitrag Martin Bauer zu Wort. Er verweist auf ein laufendes Prüfverfahren der österreichischen Datenschutzbehörde zu Microsoft 365, mit welchem Klarheit geschaffen werden soll, welche personenbezogenen Daten der US-Konzern tatsächlich speichert und welche übertragen werden dürfen. Nach seiner Überzeugung lässt sich die Übertragung von personenbezogenen Daten in die USA durch eine datenschutzfreundliche Konfiguration verhindern. Für Daniel Lohninger ist das keine Lösung, da nach seiner Einschätzung immer Daten gespeichert und übertragen werden. Die Lösung lautet für ihn Open Source, und da blickt er wieder nach Baden Württemberg und die Schulen dort, die sich für einen Microsoft-freien Weg entschieden hätten und aktuell Programme und Lernmanagementsysteme auf Open Source umstellten. Katharina Kucharowits teilt diese Position und fordert mehr Open Source Produkte für den Bildungsbereich und die öffentliche Verwaltung.
Bewertung
An Schulen in Deutschland schaut man oft neidvoll nach Österreich, denn dort gestaltet sich die Nutzung von Microsoft 365, Teams und Google Workspace for Education für Schulen weitaus unproblematisch, während hierzulande die Nutzung beständig mit einer großen Verunsicherung verbunden ist. Der Beitrag des ORF zeigt jedoch, auch in Österreich wird der Einsatz der US Plattformen durchaus kritisch gesehen. Es gibt allerdings einen großen Unterschied. Von Seiten des Bildungsministeriums positioniert man sich sehr deutlich, wie die Antwort auf die Anfrage zeigt: „Zum Zeitpunkt des Stichtags dieser Anfrage gibt es seitens des Bundesministeriums für Bildung, Wissenschaft und Forschung keine Bestrebungen, den Einsatz von Microsoft- und Google-Anwendungen an den Schulen zu beenden.“ Das gesamte Dokument ist übrigens sehr lesenswert, da es einen komplett anderen Ansatz zeigt, wie man das Thema angehen kann. So erfährt man beispielsweise, dass das Bildungsministerium Ende 2019 Risikoabschätzungen nach Art. 32 DS-GVO durchführen hat lassen und darauf aufbauend wurde eine „Datenschutzfolgeabschätzung von Expertinnen und Experten der Research Institutes AG & Co KG mit dem Schwerpunkt einer technisch-organisatorischen Betrachtung der Technologieelemente des 8-Punkte-Plans (wie beispielsweise Schulserviceportal, Lernplattformen, Lehrenden-Schülerinnen und Schüler-Eltern Kommunikation und Digitale Endgeräte) und der Verarbeitungstätigkeiten im Rahmen des IT-gestützten Unterrichts“ durchgeführt, die auch weiterhin aktuelle Entwicklungen berücksichtigt. Man orientiert sich dabei an einem risikobasierten Ansatz im Sinne der DS-GVO. Aus den schuldatenschutzrechtlichen Vorgaben Österreichs ergeben sich eine Reihe von Anforderungen an den IT-gestützten Unterricht. Unter Berücksichtigung dieser Vorgaben und dem risikobasierten Ansatz wurden schulische Verarbeitungstätigkeiten kategorisiert und man kam zu dem Schluss: „Diese Abschätzung zu datenschutzrechtlichen Anforderungen im Hinblick auf den Einsatz von Clouddienste-Anbietern im Schulwesen sowie eine Datenschutzfolgeabschätzung im Zusammenhang mit dem Bildungsdokumentationsgesetz 2020 (BilDokG 2020) ergaben, dass bei der Verwendung von Clouddiensten für IT-Services im Schulwesen nur ein sehr geringes Risiko für die Sicherheit der verarbeiteten personenbezogenen Daten besteht.“ Man geht sogar davon aus, dass die Nutzung von privaten Cloudienstanbietern „gegenüber einer Verlagerung von Verarbeitungstätigkeiten auf Server einzelner Schulstandorte beziehungsweise eine „Bring Your Own Device“ (BYOD)-Lösung am schülereigenen Endgerät den Vorteil eines deutlich geringeren IT-Sicherheitsrisikos“ mit sich bringt. Um die Sicherheit zu gewährleisten und die Risiken gering zu halten, werden jedoch auch eine Reihe von Vorgaben gemacht, die anders als in vielen Bundesländern in Deutschland, deutlich konkreter gehalten sind, etwa weil in die Bestimmungen der IKT-Schulverordnung Teile bzw. Funktionen der Datenschutzfolgeabschätzung Eingang gefunden haben. Dort sind konkrete technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung bei schulischen Verarbeitungen vorgegeben wie auch bei digitalen Endgeräten und beim IKT-gestützten Unterricht und für Lern- und Arbeitsplattformen. Hier könnte man sich in deutschen Bundesländern ein Vorbild nehmen und ähnliche Vorgaben schaffen, da diese eine gute Hilfestellung für Schulen, die Verantwortlichen und IT-Administratoren sind, welche Maßnahmen zu treffen sind. Geregelt ist in der ITK-Schuverordnung übrigens auch, dass Clouddienste „nur für schulbezogene ITServices im Rahmen des IT-gestützten Unterrichts eingesetzt“ werden dürfen, wohingegen „der Einsatz von Clouddiensten im Bereich der Schulverwaltung unzulässig ist.“ Auch diese Eindeutigkeit fehlt in den schuldatenschutzrechtlichen Vorgaben der Bundesländer in der Regel.