0911 - 8101 1600, fax: 0911 - 8101 1601 post@ra-rosbach.de

Datenschutzverstoß bei Verwendung von Office 365 an bayerischen Schulen

Bei netzpolitik.org ist mein Beitrag über Verletzungen datenschutzrechtlicher Vorschriften bei der Nutzung von Office 365 an einer bayerischen Schule erschienen.

Im Wesentlichen geht es im Beispielsfall darum, dass die Schule als Verantwortliche ihren Informationspflichten nicht nachkommt und das Vertragsmodell von Microsoft eine klare Trennung von ihrem bisherigen Geschäftsmodell, auch durch Datenverarbeitung Wertschöpfung zu betreiben, nicht erkennen lässt. In den hier untersuchten Vertragsmodellen war für einen Teil der Anwendungen (Word, Excell etc.) die Schule verantwortlich, für andere (Teams, Outlook u.a.) Microsoft selbst. Daher erfolgt die Verarbeitung personenbezogener Daten auch durch Microsoft. Bereits diese Trennung der Verantwortungssphären ist den meisten Beteiligten nicht klar, es wird nicht darüber informiert. Die Vertragsunterlagen von Microsoft tragen eher zur Unklarheit bei.

Datenschutz ist der Schutz der Menschen hinter den Daten. Wenn diese verarbeitet wurden ist es meist bereits zu spät.

Microsoft bestreitet zwar, Daten für Werbung oder anderweitig zu monetarisieren. Den untersuchten Unterlagen, den Datenschutzerklärungen von Microsoft oder den MicrosoftOnlineServicesTerms etc. lassen sich voreingestellte Zustimmungen zur Verwendung der Daten zu Werbezwecken entnehmen, zudem umfangreiche Datenverarbeitung zu einer nicht genauer bestimmten Modellierung der Software. Ebenso behält sich Microsoft weiter die Speicherung der personenbezogenen Daten in den USA vor, was zuletzt wieder durch den EUGH durch das Urteil Schrems II für rechtswidrig erklärt wurde. Hinter der Datenverarbeitung von Microsoft (wie der anderen BigData Unternehmen) stecken also im Wesentlichen folgende Problemlagen:
– Die Daten werden mit Klarnamen oder pseudonymisiert verkauft für Werbung, Versicherungsleistungen etc.
– Die Daten werden zur Modellierung neuer Software verwendet, vor allem zur Bildung von LockInn-Geschäftsmodellen. Besonders im Bildungssektor ein fragwürdiges Modell.
– Die Datenverarbeitung in den USA widerspricht im Besonderen noch einmal den datenschutzrechtlichen Grundlagen, da in den USA eine EU-rechtskonforme Nutzung durch die Geheimdienste nicht gewährleistet wird.

Datenschutz ist nicht Datensicherheit. Der Datenschutz geht im Kern auf das Problem ein, dass Informationen über Menschen die Grundlage für die Ausübung von Macht sind. Es geht dabei nicht nur um den Einzelnen, sondern auch um die Organisation der Individuen in Gruppen, Interssenverbänden, also um die Möglichkeit der Ausübung von Freiheit und ungehinderte Teilnahme am gesellschaftlichen Prozessen: Bildung, Politik, Arbeit. Aus diesem Grund kann ein Einzelner auf sein Grundrecht auf Datenschutz nur in besonderen Fällen verzichten. Er kann etwa nicht sein Telefonbuch „freiwillig“ an WhatsApp freigeben, ohne die dort gespeicherten Personen um ihre Zustimmung gefragt zu haben.

Richtig ist daher, dass jede Datenverarbeitung einen Grundrechtseingriff darstellt, für den es einen Rechtfertigungsgrund geben muss. Das gilt selbstverständlich für öffentliche Stellen, wie Schulen, mehr als für Wirtschaftsunternehmen.

In den Schulen, wie anderswo, wird über die Notwendigkeit und die Grundlagen des Datenschutzes wenig bis nicht informiert. Da keine Sanktionen erfolgen, hält man den Datenschutz bestenfalls für ein Kavaliersdelikt.

Es gehen nach dem Artikel viele Nachfragen ein, wie sich die behandelten Verstöße gegen den Datenschutz mit der Integrität der öffentlichen Verwaltung vereinbaren lassen. Die Frage ist berechtigt, sollte jedoch an die Schulverwaltungen und die Kultusministerien gestellt werden, die sich für Verträge mit Microsoft entschieden haben und seit langem offenbar erfolglos im Hintergrund daran arbeiten, die Verträge datenschutzkonform zu gestalten. Dieses Bevorzugen einer im Kern kritischen Lösung ist zuletzt nicht nur datenschutzrechtlich bedenklich, sondern auch wirtschaftspolitisch. Bedeutet es doch, dass heimische Anbieter, die geltende Gesetze beachten, nicht gleichberechtigt berücksichtigt werden. In Bayern etwa ist nicht bekannt, dass vor der Entscheidung für Microsoft eine Ausschreibung erfolgt wäre.