In Baden-Württemberg müssen Schulen auf Anordnung von Dr. Stefan Brink, dem Landesbeauftragten für den Datenschutz und Informationsfreiheit (LfDI), die Nutzung von Microsoft 365 bis zu den Sommerferien entweder einstellen oder den "datenschutzkonformen Betrieb eindeutig nachweisen". Brink erwartet also, dass Schulen auf Alternativen zu Microsoft 365 umsteigen oder den Dienst mit geeigneten Mitteln absichern.
Ähnliche Situationen kommen nach Ansicht von Elmar Eperiesi-Beck, Gründer und CEO von Eperi, bald auch auf Schulen in anderen Bundesländern zu. In Bayern und Hessen gab es schon Gegenwind. Er erwartet, dass auch weitere Datenschutzbeauftragte aufhören, ein Auge zuzudrücken, was sie vor allem wegen der Pandemie getan haben, und geltendes Recht anwenden - insbesondere die Datenschutzgrundverordnung (DSGVO) und das Schrems-II-Urteil des Europäischen Gerichtshofs. Beide stellten eine Einhaltung ihrer Vorgaben nicht ins Belieben von Unternehmen oder Behörden, sondern verlangen diese eindeutig.
Ungesunder Fokus auf unbeliebte Alternativen
Der Aufschrei dürfte groß sein. Denn die meisten Nutzer sind mit den Alternativen zu Microsoft 365 nicht zufrieden. Sie decken entweder nur Teilbereiche ab oder weisen funktionale Lücken auf. Nicht zuletzt fürchten viele Eltern - in der Regel zu Unrecht - ihre Kinder würden abgehängt, wenn sie nicht schon in der Schule in den Unternehmen gängige Software nutzen.
Gleichzeitig scheint wenig bekannt zu sein, dass Microsoft eben ein Modell der geteilten Verantwortung ("Shared Responsibility") anbietet und damit nicht nur die Verantwortung für bestimmte Bereiche den Anwendern zuweist, sondern auch die technischen Möglichkeiten bietet, dass die wahrgenommen werden können. Und dass es zahlreiche Anbieter gibt, die sich inzwischen gut darauf vorbereitet haben, diese Bereiche abzudecken.
Verschlüsselung als Option zu wenig bekannt
Diese Unwissenheit kommt auch in einer aktuellen Stellungnahme des - allerdings durch die zuständige Ministerin als sehr Microsoft-freundlich bekannten - Kultusministeriums Baden-Württemberg zum Ausdruck. Darin heißt es, dass "es bislang nicht gelungen ist, eine Lösung vor Ort zu finden, die den Interessen von Schülerinnen und Schülern, Eltern, Lehrkräften und Schule gerecht wird. Diesen Beschwerden nachzugehen ist die Pflicht des LfDI, mittlerweile wurden 40 Schulen angeschrieben und eine Lösung angemahnt."
Eperiesi-Beck begrüßt dagegen die Initiative von Dr. Stefan Brink eindeutig. "Er zieht die von der EU geforderten Konsequenzen aus DSGVO und Schrems II-Urteil und schafft zweifelsfrei Klarheit für alle Beteiligten." Seit Beginn der Pandemie würden Tools und Lösungen weitgehend an geltenden Datenschutzbestimmungen vorbei genutzt. Dass es den Kultusministerien in mehr als zwei Jahren nicht gelungen sei, eine Lösung zu finden, ist laut Eperiesi-Beck "einer der schlechteren Witze in der behördlichen Nutzung von IT. Das ärgert mich auch als Vater schulpflichtiger Kinder."
Denn die Lösung sei ganz einfach und die zuständigen Stellen müssten dazu keinesfalls das Rad neu erfinden. "Privatunternehmen machen seit Jahren vor, wie sich amerikanische Cloud-Dienste DSGVO-konform nutzen lassen: durch den Einsatz von Verschlüsselungstechnologien", erklärt Eperiesi-Beck. Er empfiehlt vor allem den Einsatz eines Cloud-Verschlüsselungs-Gateways.
Was ein Cloud-Verschlüsselungs-Gateway kann
"Ein solches Gateway ist ein Tool, das zwischen einem Cloud-System und einem In-House-System platziert ist und die Verschlüsselung oder Anonymisierung von Daten vor der Übertragung durchführt. Wenn das Gateway von der Schule selbst betrieben oder in einem deutschen Rechenzentrum gehostet wird, ist die Einhaltung der DSVGO gewährleistet, weil niemals unverschlüsselte oder personenbezogene Daten in die Microsoft-Cloud geraten."
Mit solch einem Gateway lasse sich prinzipiell jeder Cloud-Dienst datenschutzkonform nutzen - gewisse Anpassungen an den jeweiligen Dienst am Gateway vorausgesetzt. "Viele Schulen verfügen zugegebenermaßen nicht über die Ressourcen, ein solches Verschlüsselungs-Gateway selbst zu betreiben, oder sie wollen sich nicht mit der erforderlichen Technik auseinandersetzen", räumt Eperiesi-Beck ein. "Für diesen Fall gibt es IT-Dienstleister, welche die Verschlüsselung als Managed Service anbieten."
Ein Beispiel sei etwa T-Systems mit seinem Cloud Privacy Service. Aber auch die Profi AG bietet eine entsprechende Lösung an - nicht nur für Microsoft 365. Ein auf die Ausstattung von Schulen spezialisierter IT-Dienstleister aus Baden-Württemberg erklärte ChannelPartner gegenüber, dass erste Kunden von ihm nach Open-Source-Alternativen zu Microsoft 365 suchen und den Umstieg vorbereiten. Verschlüsselung habe er bereits in Betracht gezogen, die Kosten seien dafür für Schulen aber zu hoch gewesen. Da meist nach Nutzern abgerechnet werde, gingen die schnell in die Tausende pro Monat. Das sei mit dem Budget vieler Schulen nicht vereinbar.
Nutzen Sie Office 365 datenschutzkonform?
Datenschutz in Microsoft Office 365 lückenhaft
Rückschlag für Microsoft 365 an Schulen in Baden-Württemberg