Schulen finden, wie nicht anders zu erwarten, auch im jetzt veröffentlichten 37. Tätigkeitsbericht Datenschutz des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden Württemberg Eingang. Berichtet wird über den erfolglosen Piloten, welchen das Schulministerium mit Beteiligung der Aufsichtsbehörde und Microsoft zu Microsoft 365 durchführte. Das Ergebnis wird auf den Seiten 47f kurz und knapp zusammengefasst. Auch wenn die Pilotierung nicht zum erhofften Ergebnis führte bezweifelt die Aufsichtsbehörde nicht, dass die Nutzung von Cloud-Diensten möglich sein kann:
„Dabei ist es nicht etwa generell unmöglich, Cloud-Dienste mit dem Funktionsumfang von Microsoft 365 datenschutzkonform zu betreiben. Microsoft als Hersteller und Diensteanbieter hat sich aber dazu entschieden, eine intransparente Anzahl an Verarbeitungen auch zu eigenen Zwecken durchzuführen und zahlreiche nicht ausreichend dokumentierte Datenflüsse zu implementieren.“
Baden Württemberg hatte danach eine Lernplattform ausgeschrieben. Die Aufsichtsbehörde war jedoch nicht an der Erstellung der Ausschreibung beteiligt. Den Zuschlag erhielt dann itslearning. Die Datenschutzdokumentation des Anbieters erhielt die Aufsichtsbehörde erst auf Nachfrage und eine Beratung war nicht erwünscht. Später dann erhielt die Aufsichtsbehörde die aktualisierten Datenschutzunterlagen mit der Bitte um Beratung und eine Datenschutz Folgenabschätzung. In der Prüfung der Unterlagen ermittelte die Aufsichtsbehörde
„datenschutzrechtliche Probleme, vor allem in Bezug zur zwar vertraglich ausgeschlossenen, aber dennoch stattfindenden Verarbeitung personenbezogener Daten in Drittstaaten, der Verarbeitung zu Zwecken von Auftragsverarbeitern und Prüfungen der technisch-organisatorischen Maßnahmen,“
schätze diese jedoch als behebbar ein. Vor dem Hintergrund der Pandemie hielt man eine Ausrollung in die Schulen für vertretbar. Da sich die aufgefundenen Probleme „nur auf einzelne Werkzeuge von itslearning bezögen, solle man diese erst nach deren Behebung freischalten. Es ging dabei um die Microsoft Office Online Komponente von itslearning. Wie aus dem Tätigkeitsbericht zu erfahren, hat das Schulministerium hier schon umgesteuert und angekündigt, auf eine Open-Source Lösung umzustellen, also vermutlich Only-Office oder Collabora Online.
Eingebunden in die Beratungen ist die Aufsichtsbehörde auch bei einem Identity and Access Managementsystem (IdAM), welches den dritten Baustein der der Digitalen Bildungsplattform des Landes Baden Württemberg darstellt. Die Aufsichtsbehörde empfiehlt dem Schulministerium für das IdAM und auch Vor allem hier
die weiteren Teile der Bildungsplattform „systematische Audits, IT-Sicherheitsanalysen und Penetrationstests durchführen zu lassen, bevor mit realen Daten gearbeitet wird.“
Nach den Erfahrungen aus den Beratungen rund um die digitale Bildungsplattform kommt man zu einem interessanten Schluss: „Während Projekte, die an externe Anbieter vergeben wurden, tendenziell besondere datenschutzrechtliche Herausforderungen mit sich bringen oder gar daran scheitern, sind diese Probleme bei den vom Land selbst betriebenen Diensten wie Moodle und BigBlueButton nicht festzustellen.“
Bewertung
Mit Bezug auf Microsoft 365 bringt der Tätigkeitsbericht erwartungsgemäß keine Neuigkeiten, da viele dieser Informationen bereits von der Aufsichtsbehörde selbst publik gemacht worden waren oder durch Anfragen im Rahmen des Informationsfreiheitsgesetzes veröffentlicht wurden. Interessant ist aber, dass die Plattform itslearning, welche vom Schulministerium sicherlich auch wegen der integrierten Microsoft Office Online Komponente den Zuschlag erhielt, jetzt auf genau diese Komponente verzichten muss, wieder aus Datenschutzgründen. Die Erfahrungen bezüglich der datenschutzrechtlichen Herausforderungen bei der Vergabe von Projekten an externe Anbieter hat in den Fällen, um die es hier ging, sicherlich vor allem mit diesen Anbietern zu tun. Verallgemeinern kann man dieses sicherlich nicht, denn es gibt auch viele Anbieter am Markt, die Probleme nicht haben. Die im Fall von Baden Württemberg vom Land selbst betriebenen Lösungen Moodle und BigBlueButton laufen ohne datenschutzrechtliche Probleme. Das ist gut. Allerdings zeigt die Erfahrung, dass gerade Landesprojekte oftmals nicht rund laufen. Vielleicht ist der Datenschutz OK, doch dann skalieren die Plattformen vielleicht nicht ausreichend.
1 thought on “Schule im Tätigkeitsbericht 2021 – Aufsichtsbehörde Baden Württemberg”