Datenschutz in Schulen

Kann mich bitte mal jemand updaten.

Ja, ich gebe zu. Ich bin Extremist. Nein, keine Gewalt, extremer Datenschutz und nicht erst seit Schrems I und Schrems II, wissen wir, dass die Übermittlung von Daten in Drittländer nicht unserem Verständnis von Datenschutz entspricht.

Zuletzt hatte ich mich hier informiert:

https://www.dr-datenschutz.de/microsoft-office-365-fuer-schulen-nicht-datenschutzkonform-nutzbar/

Auch im Unternehmen war das wegen Corona und Videokonferenzen immer ein Thema. Aber die DSGVO verlangt, neben mir als besorgtem Vater, den Schutz von Kindern in erhöhtem Maße.

Nunmehr habe ich wieder ein Angebot unserer Schule für ein vergünstigtes Abo Office 365 erhalten, für unter 10Ocken ein echtes Schnäppchen.

Was ist eigentlich der aktuelle Stand?

A) Biden hat den cloud act für Datenschutzwiedrig erklärt und die USA ist in die Liste der sicheren Länder für England aufgenommen worden? oder

B) Die DSK hat ihren internen Streit und die daraus lang anhaltenden Prüfungen zur Sachlage beendet und finden jetzt dass Office Produkte als auch whats app, Facebook usw. gut in ein modernes digitales Schulbild passen? Oder

c) Keines von Biden

Meines Erachtens nach, ist die Datenverarbeitung in Schulen und damit verbundene Übermittlung der pb Daten in Drittländer weiterhin, nicht legal nach europäischem Recht (DSGVO) durchführbar.

Hilfsweise zweifle ich auch die freiwilligkeit von Schülern und Eltern schon mal an.

Oder habe ich irgendwelche weitragende Entscheidungen der Politik verpasst?

Immerhin scheint es ein Zusatzangebot zu sein und keine Teilnahmepflicht /Einwilligungszwang.

Die Schulen machen was mit Computern. Die Ministerien /Schulträger /IT-Betriebsgemeinschaften haben was vermeintlich Unwiderstehliches angeleiert. Weil es von dort kommt wird es schon in Ordnung sein. Bei den Schülern und Eltern kommen zufällig verschiedene Informationen dazu an.

Aber Microsoft ist immer noch nicht stubenrein (indem es sich durch seine Vertagstexte für die Eignung als Auftragsverarbeiter disqualifiziert). Die Microsoft-eigenen Zwecke sind weder bekannt noch lassen sich Übermittlungen hiefür rechtfertigen. Das Verhältnis der betroffenen Personen zur Schule und zur Plattform ist nicht transparent, indem sich Datenschutzinformationen dieser Stellen überlagern und Microsoft an verschiedenen Stellen am Auftragsverarbeitungsverhältnis vorbei seine Regeln akzeptieren lässt bzw. vermeintliche Einwilligungen zu seinen Gunsten einholt. Die USA schnorcheln immer noch Übertragungen ab und können von Microsoft Datenherausgabe verlangen (was Microsoft auch mit den vermeintlichen zusätzlichen Garantien nicht wirklich beeinflussen kann).

Wer Daten darüber laufen lässt verstößt gegen mehrere Vorschriften, weil die gesetzlichen Anforderungen objektiv nicht erfüllt werden. Bei etwas Mut zum risikoorientiertem Einsatz hätte man die Auswirkungen erst mal zu erkennen und müsste die Rechtmäßigkeit /Transparenz /Vertraulichkeit /… durch entsprechende Vorkehrungen in eine unschädliche Richtung bugsieren. Das bekommt kaum jemand hin.

D., der gestern die Vorgabe einer Schule gelesen hat, 365 im Unterricht usw. zu nutzen, aber wegen des US-Restrisikos eben keine personenbezogenen Daten damit zu verarbeiten.

Was dann? Schon die namentlichen Benutzerkonten werden doch wohl nicht nur schulintern verwaltet, sondern über Azure = Microsoft. Beim Aufruf von zu Hause oder mit Benutzern zuordenbaren Schulgeräten werden den ansonsten meinetwegen nicht personenbeziehbaren Inhalten die Benutzer- und Geräte-IDs zugeordnet, womit es Angaben zu diesen Personen wären. Bei einigen anderen Plattformen vielleicht nicht so tragisch; doch Microsoft kann das mit Daten aus eigenem Profiling, Betriebssystem- und Suchmaschinennutzung zusammenführen, wird es nach eigenem Bekunden nicht für Werbung nutzen, aber wofür denn?

Hallo Paranoia

Ich kenne nicht das genaue Paket was euch angeboten wurde. Allerdings weiß ich das der LFDI BW letztes Jahr ein Projekt an Schulen in BW begleitet hat:
https://www.baden-wuerttemberg.datenschutz.de/lfdi-begleitet-pilotprojekt-des-kultusministeriums-zur-nutzung-von-microsoft-office-365-an-schulen/

Im Mai diesen Jahres wurde dann ein eher ablehnendes Fazit gezogen - zumindest für manche Versionen / Pakete die geprüft wurden:
https://www.baden-wuerttemberg.datenschutz.de/lfdi-raet-aufgrund-hoher-datenschutzrechtlicher-risiken-von-der-nutzung-der-geprueften-version-von-microsoft-office-365-an-schulen-ab/

Ab dies auch für andere Pakete gilt kann ich nicht sagen

Vielen Dank

das bestätigt meine weitere unbeugsame Haltung, gegenüber der US tec Giganten in Deutschen Schulen

Auch hier Danke für die Links.

Interessant ist ja auch, dass meiner Ansicht nach jegliche “spezielle Version” gegen die Bestimmungen der DSGVO verstoßen, da die USA über den “cloud act” immer Zugriff haben dürfen und der Betroffene User sich immer noch nicht juristisch dagen zur Wehr setzen kann.

Weder wird er über die Datenverarbeitung informiert, noch hätte er Rechtsmittel.

Diese “Pilotprojekte” der Länder sind eigentlich obsolet. “Show must go on”.

Zur Info: Dank Informationsfreiheitsgesetz ist nun seit kurzem das vollständigere Gutachten des LfDI BW zu Office 365 bei Frag-den-Staat einsehbar (leider fehlen noch die Anlagen). Ich fand es sehr interessant, solch ein Original-Gutachten einer Aufsichtsbehörde einmal zu lesen:
https://fragdenstaat.de/anfrage/bewertungen-und-empfehlungen-des-lfdi-zu-office-365-an-schulen/

In der Tat moniert der LfDI die Vermischung der Regelungen in einem Auftragsverarbeitungsvertrag (Schule = Auftraggeber) mit der notwendigen Einwilligung der Eltern in die AGBs von Microsoft. Microsoft verfolgt schlichtweg eigene Interessen, für die aber im schulischen Rahmen keine Rechtsgrundlagen existieren (Schulpflicht und Erfüllung des Erziehungs- und Bildungsauftrags der öffentliche Schule).

Dass aber eine betroffene Person eine Einwilligung gegenüber einem Auftragsverarbeiter für dessen eigene Zwecke erteilen muss, ist schon eine sehr gewagte rechtliche Konstruktion. Allein aus diesem Grund hätte ich den Schulen schon die Nutzung von Office 365 untersagt.

Dieses Durcheinander ist mir auch immer wieder aufgefallen. Wer mag damit noch seine Daten verarbeiten lassen…

Bei Auftragsverarbeitung sollte alles zwischen dem Verantwortlichen und dem Auftragsverarbeiter geregelt sein. Die Benutzer bekämen eine Plattform, wo sie keine Rechtsfolgen auslösen (nix falsch machen) können; weder für sich selbst noch für den Verantwortlichen. Ist nur in der Praxis häufig anders, weil überall etwas aufpopt, Regeln und Datenschutzinformationen des Verantwortlichen in Konkurrenz zu denen des Auftragsverarbeiters angezeigt werden, usw. Transparent ist das nicht. (Verstoß für beide.)

Wäre halb so schlimm, wenn eingangs UNMISSVERSTÄNDLICH darüber informiert wird, dass aus technischen Gründen manchmal Zustimmungen o. ä. abgefragt werden, dass nur bestimmte Texte des Verantwortlichen gelten und alles andere ignoriert werden kann. Und dann auch wirklich keine Folgen hätte.

Besonders beim Beispiel Microsoft werden die Benutzer oft eine eigene Rechtsbeziehung mit der Plattform haben, indem sie sich z. B. mit ihrem persönlichen Konto an ihrem Windows anmelden, private Einstellungen ihres Browsers ausgelesen werden (Microsoft auch eine Suchmaschine und Tracking betreibt), und sie das Online-Office der Schule nutzen. Dann gibt es noch Möglichkeiten, innerhalb von 365 Apps oder Zusatzfunktionen zu nutzen, die manchmal über Dritte bzw. außerhalb der Auftragsverarbeitung laufen. Die an verschiedenen Stellen angezeigten Nutzungsbedingungen und Datenschutzinformationen sind intransparent (v. a. Microsoft) bzw. widersprechen sich.

Noch ein Argument, weshalb 365 nicht AV-fähig ist; weil der Verantwortliche keinen Zaun um den beauftragten Bereich und “seine” Daten festlegen kann; weder im Vertrag noch bei der tatsächlichen Nutzung.

Übrigens kann man normalerweise nicht in AGB oder Datenschutzinformationen “einwilligen”. (Also… man kann schon, aber nur in schlechten Filmen, wo die Anbieter die… Physik nicht verstanden haben.) M. E. dürften Datenschutzerklärungen so gut wie nie “akzeptiert /bestätigt /genehmigt /eingewilligt /anerkannt /…” werden, weil sie damit AGB-Charakter erhalten würden. Man kann allenfalls den Erhalt bestätigen. Durch die abverlangte Anerkenntnis erschwert der Verantwortliche den Zugang zur Information und hätte seine Informationspflicht nicht erfüllt. (Ätsch!) Einseitige Informationspflicht vs. zweiseitiger Vertrag - das sind zwei Paar Schuhe; ach was… ein Herrenhandtäschchen und eine Aktienoption.

D., der sich für qualifiziert genug hält, OST und DPA von Microsoft in mehreren Sprachen lesen zu können, sie aber nicht versteht. (Oh doch, er weiß ziemlich genau, was da nicht steht!) Eigentlich nicht verstehen will; auch bei gutem Willen kommen mehr weitere Fragezeichen als Erkenntnisse an.

Guten Morgen Zusammen,

da hier die Stellungnahme des LfDI BW zitiert wurde zur Vollständigkeit: Auch der hessische HBDI hat sich geäußert. Auch hier wird die Nutzung für Schulen abgelehnt. Aktueller Stand:

https://datenschutz.hessen.de/datenschutz/hochschulen-schulen-und-archive/klarstellung-zu-ms-teams-und-dem-auslaufen-der-duldung

In Hessen ist die Frist zur Einstellung der Nutzung etwas enger bemessen (Feb. 2022), als in Baden-Württemberg wo es ein gewisses Moratorium für den aktiven Eingriff der Aufsichtsbehörde bis zur Etablierung einer Alternative in der neuen Bildungsplattform gibt. Aktuell schreibt der LfDI in der PM nur, dass er Beschwerden aktiv nachgehen wird.

Vielleicht noch dies zu dem Modellversuch in BW:
Komponenten von O365 sollten ja Teil der neuen BW Bildungsplattform werden. Die vom LfDI getestete Version (= wie für die Bildungsplattform vorgesehen) war ja eine speziell für das KM BW “datensparsam” konfigurierte bzw. mit besonderen Anforderungen an den DS versehen. Genaue Details sind nicht öffentlich bekannt, aber es ist aus den PMs und der auf “Frag den Staat” veröffentlichten Einschätzung klar, dass diese Version hinsichtlich des DS sagen wir “besser” war, als die frei verfügbaren. Damit kann man den Einsatz letzerer in Schulen nach der Stellungnahme in BW auch klar verneinen.

Die bDSB der Schulen argumentiern meistens so, dass es anhand der verfügbaren Informationen gar nicht möglich sei, eine den Anforderungen entsprechende DSI für den Einsatz zu erstellen und es somit der Schulleitung unmöglich ist ihren Informationspflichten nachzukommen. Gleiches gilt für den Eintrag ins VV, der bestenfalls rudimentär die tatsächlichen Datenverarbeitungsprozesse von MS abbilden kann.
Dass nach den Regelungen in BW (Verwaltungsvorschrift Datenschutz an öffentlichen Schulen) und der DSK Empfehlung auch eine DSFA (durch die einzelne Schulleitung (!!)) notwendig wäre, ist ebenfalls so eine Sache.
Schließlich wird argumentiert, dass es für die Datenverarbeitung zu eigenen Zwecken durch MS keine Rechtsgrundlage im schulischen Kontext zu finden sei.
Natürlich kommt on top noch Schrems II.

Jede Schule seine eigene DSFA. Wer immer diese Regelung sich ausgedacht hat, wird uns erklären können wonach sich das Risiko bei überwiegend gleichem Klientel (Kinder, Lehrer, Eltern) Betroffener und bei überwiegend gleichen Verfahren, unterscheiden soll.

Ist das nicht ein bischen überzogen?

Naja, natürlich muss man Theorie und Praxis unterscheiden.

Zunächst einmal muss die Verantwortliche gemäß Art. 35 Abs. 1 Satz 1 DSGVO eine DSFA durchführen. Verantwortliche für die Daten ihrer Schülerinnen und Schülern sind zunächst die Schulleitung.

Die VwV Datenschutz an öffentlichen Schulen präzisiert und regelt klar, dass die Schule dies zu tun habe.

Nun würde ich nie ernsthaft von einer Schule verlangen, dass Sie eine ordentliche DSFA etwa für O365 macht - das ist nicht möglich. Auch das PIA-Tool dürfte da nicht viel helfen.

Bei technisch “überschaubareren” SaaS Angeboten, die Schulen gerne nutzen dürfte es in der Praxis bei einer oberflächlichen Risikobewertung bleiben, die man mit den vom Anbieter gelieferten TOMs dann in den grünen Bereich bringt . Da muss man einfach realistisch sein.

Wenn man aber bei Schulen nachhaken will, bzw. als bDSB vom Einsatz abraten möchte, dann kann man den Punkt ja durchaus ansprechen.

Natürlich bereitet das Land (jedenfalls in BW) für deren eigene Lösungen DS-rechtlich zentral alles vor - inklusive DSFA, falls nötig. Das ist dann auch ein starkes Argument eben für diese Landeslösungen.

Dass das Kultusministerium selbst für stark nachgefragte kommerzielle Angebote nicht massenhaft Vordrucke für die ganzen DSGVO-Pflichten herausgibt ist aber auch klar.
So wäre es - eigentlich - eben die Plicht jeder einzelnen Schule und darauf wollte ich hinweisen.

Alle Schulen könnten dieselbe DSFA kopieren. Sie können sogar die von Microsoft verwenden und sich deren Argumente zu eigen machen. https://www.microsoft.com/de-de/trust-center/privacy/gdpr-dpia

D., der als Ergebnis einer halbwegs objektiven Folgenabschätzung in diesem Bereich nur sehr geringe Restnutzungsmöglichkeiten erwartet. (Der wie gesagt schon kein Land dafür sieht, die Verträge mit Microsoft als Auftragsverarbeitung bezeichnen zu können.)

Na super, der Bock zum Gärtner. Naja, MS hat auf jeden Fall den besseren Überblick, welche Daten (Alle) in einen Drittstaat gehen, oder zumindest, per cloud act, zur Verfügung gestellt werden.

Ja, ich meine es wäre doch durchaus gangbar, wenn der Sachaufwandträger (Landratsamt) für alle Schulen die DSFA macht. Oder die jeweiligen Kultusminister der Länder. Die Betroffenenrechte einzuhalten funktioniert über die herkömmlichen Wege (Schulleitung) sicherlich reibungslos.

Prinzipiell, sehe ich aber auch eine DSFA für 1 Verfahren (MS Office Anwendung in Schulen) für alle als quasi verpflichtend.

Viele Köche verderben den Brei. Wir sehen ja schon wie unterschiedlich die Landesdatenschützer teils Risiken einschätzen.

Da bin ich als Vater schon bedient genug

Warum soll hier eine DSFA nötig sein?

Den Anhang mit dem zugesagten Speicher ort (in der Vorlage) finde ich nicht - aber mal abgesehen von (möglichen) Ausnahmeregelungen dazu finde ich in den OST: “…beauftragt der Kunde Microsoft, Kundendaten und personenbezogenen Daten in die Vereinigten Staaten von Amerika oder in jedes andere Land zu übermitteln, in dem Microsoft oder ihre Unterauftragsverarbeiter tätig sind, und Kundendaten und personenbezogenen Daten zur Bereitstellung der Onlinedienste zu speichern und zu verarbeiten, ausgenommen wie an anderer Stelle in den DPA-Bestimmungen beschrieben.”

Ich werde nun nicht suchen, wo in welcher DPA und Version was anderes beschrieben ist. Es ist einfach bewußt verschleiert. Und wenn MS nicht anderweitig speichert, so bleiben ja noch deren dienstbare Geister.

Den kannte ich noch nicht… (Bestimmt gelesen, aber in den anderen Unhaltbarkeiten untergegangen.) Um Microsoft damit zu beauftragen, müsste es für die Kunden erst mal zulässig sein. Ist es aber nicht. So nicht (“in jedes andere Land” zu unbestimmt, Anwendbarkeit von Garantien nicht zugeordnet, jeweilige Eignung wäre nicht nachvollziehbar), und abgesehen davon meistens ebenfalls nicht.

Wie gesagt würde bei einer richtigen DSFA nicht viel übrig bleiben, dass die Nutzung noch ein bisschen Spaß machen könnte. Zu heiß, die Sache.

D., der sich von den Befürwortern alle rot markierten Stellen in OST und DPA erläutern lassen möchte. Öffentlich. Wer traut sich?

Hallo Haderner

Nach Art. 35 Abs. 1 DSGVO. Wo sonst, wenn nicht bei Daten von Minderjährigen durch “neue Technologien” aus dem Drittstaat der Datenkraken?

Ja, sorry, denn wir reden hier über Schüler … ansonsten sehe ich das nicht. Und hierbei würde ich eher mit Art, Umfang, Umstände arbeiten, denn neu ist die Technologie nicht.

Mmh, die Aufsichtsbehörden stufen also eine Verarbeitung als nicht rechtskonform ein, sehen sogar ein hohes Risiko für die Schüler, untersagen sie aber nicht umgehend. Verletzen die Aufsichtsbehörden da nicht ihre eigenen Pflichten? Wo steht in der DSGVO, dass eine unrechtmäßige Verarbeitung toleriert werden darf??? Das ist nicht das harte Schwert der DSGVO, das ich mir erhoffe.

Unabhängig davon, dass die DSGVO vor in Kraft treten 2 Jahre lang, gerade von deutscher Seite ziemlich weichgespült wurde, hatte ich nie ein scharfes Schwert erwartet.

Es ist und bleibt höhere Politik. Nicht nur in Irland, mag man sich wundern, auch in Hessen, wo die Schufa so sitzt, werden offenbar andere Bemessungsgrundlagen als in Hamburg oder Bayern angesetzt.

Seit 2010 mach ich das jetzt und es war zumindest, noch nie, langweilig

Erst einmal das Formalargument: Im Regelfall soll der BfDI zunächst die Rechts- oder Fachaufsicht über den Verstoß informieren und um Stellungnahme bitten (§ 16 Abs. 1 Satz 2 BDSG). Hintergrund dessen ist die deutsche Verwaltungsorganisation: keine Behörde steht isoliert, sondern ist eingebettet in den zwei- oder dreistufigen Verwaltungsaufbau. Sind Datenschutzverstöße zu besorgen - also ein Rechtsbruch - ist es zunächst Aufgabe der Rechtsaufsicht, diese Verstöße (wie jeden anderen Rechtsverstoß auch) abzustellen. Dafür gibt es ja die Rechtsaufsicht. In der Bundesverwaltung sind dies die Ministerien, in den Ländern ist meist noch eine Mittelbehörde (hier z. B. das Landesschulamt o.Ä.) zwischengeschaltet. Allein dass eine andere Behörde (die Datenschutzaufsicht) sich extern in dieses Gefüge einklinkt, ist ein Sonderfall innerhalb des Verwaltungsorganisationsrecht. Selbst andere Ministerien haben dieses Recht nicht, sondern gehen den Weg über die Fach- und Rechtsaufsicht - wenden sich also an das zuständige Ministerium.

Dann denk ich gibt es aber noch ein viel stärkeres Argument für die Datenschutzbehörden: Akzeptanz des Datenschutzes in diesen Zeiten. Pragmatismus und ein ganz besonderes Augenmaß bestimmen daher die Tätigkeit der Aufsichtsbehörden. VK-Systeme für Schulen während des Lockdowns verbieten kommt nicht gut an, wenn Kinder keine andere Chance auf Bildung haben.

Hier wird für mich dann auch eine Leerstelle der DSGVO deutlich: so scharf ist dieses Schwert nämlich aus meiner Sicht gar nicht. Was bringt mir Datenschutz by design in Art. 25 DSGVO, wenn diese Verpflichtung den Verantwortlichen trifft und nicht den Softwareentwickler? Ich habe dann die Wahl zwischen Skylla und Charybdis: entweder in den sauren Apfel beißen und die Software verwenden oder die weiße Weste und gar keine Software. Dann bekomme ich schnell solche Vendor-Lock-in-Effekte: Friss oder stirb! Ich denke da z.B. an einen US-Software-Riesen, der irgendwas mit Fenstern macht…

Absolut und zu dem Pragmatisums kommt dann die GMV-Methode (Gesunder Menschenverstand). Und wenn beides zusammenkommt erreicht man vllt nicht 100% Compliance, aber die Akzeptanz des Themas steigt und damit gewinnt man langfristig und stößt Leute nicht vor den Kopf oder erschlägt sie. und damit wird Datenschutz nur noch zum Hindernis anstelle der Chance…

Aber back to topic.