Noch genießt ein Großteil des Landes Sommerferien. Dabei bleibt unklar, wie sich das Infektionsgeschehen hierzulande über den Sommer entwickelt und ob ab Herbst Präsenzunterricht stattfinden kann. Absehbar ist aber, dass sich Lehrer, Eltern und Schüler aus Datenschutzgründen vom Einsatz gängiger Videosysteme wie Microsoft Teams oder Zoom verabschieden müssen.
Viele Landes-Datenschutzbeauftragte wollen die Nutzung entweder verbieten, zeitlich limitieren oder zumindest an strenge Bedingungen knüpfen. Gegner und Befürworter starten Petitionen, bilden Gruppen, steigen auf die Barrikaden und verbreiten ihre Pros und Contras medial.
Dieser Beitrag stellt drei Gründe zusammen, die für einen klaren Weg sprechen: eine schnelle und begleitete Gewöhnung an leistungsfähige, europäische Lösungen für sicheren Distanz- und Wechselunterricht.
Doch von welcher Basis aus kann die Reise starten? Gehen wir zurück in den Juli 2020: Im „Schrems II-Urteil“ erklärte der Europäische Gerichtshofs (EuGH) die EU-US-Datenschutzvereinbarung „Privacy Shield“ für ungültig. Damit ist die Übermittlung personenbezogener Daten europäischer Bürger:innen in Staaten untersagt, die nicht den Datenschutzstandard der EU-Datenschutz-Grundverordnung (DSGVO) garantieren. Dazu zählen auch die USA, wo ein Großteil der Microsoft Server steht.
Problematisch ist in diesem Kontext auch ein US-amerikanisches Gesetz, dem zufolge US Unternehmen die Daten ausländischer Nutzer:innen preisgeben müssen, wenn es die Sicherheitsbehörden verlangen. Denken wir dies zu Ende, so könnten flapsige bis kritische Bemerkung von Schüler:innen in MS Teams-Videokonferenzen bei der Einreise in die USA, bei einer Bewerbung als Au-pair oder bei einer US-amerikanischen Hochschule zu Problemen führen. Der Schutz persönlicher Daten aber ist ein europäisches Grundrecht, was auch in der Europäischen Grundrechtecharta verankert ist. Ein Dilemma!
Zahlreiche Datenschützer fordern die Schulen aktuell auf, bei Videokonferenzsystemen ausschließlich Anbieter zu wählen, die ihre Dienstleistung ohne Drittlandtransfers anbieten. Beim Einsatz von MS Teams verlangen sie zusätzliche technische Maßnahmen, um ein angemessenes Schutzniveau herzustellen. Was auch immer das heißen mag…
Die nachfolgenden fünf Punkte zeigen auf, warum Videokonferenzen europäischer Anbieter kompromisslos sind:
1. Einwilligungserklärungen ohne Substanz
Die datenschutzrechtliche Verantwortung für den Schutz personenbezogener Daten liegt in den Händen der Schulleitung. Um sich vermeintlich abzusichern, lassen sich Einrichtungen von Schüler:innen Einwilligungserklärungen zur Nutzung von Microsoft Teams unterschreiben. Da es sich zumeist um Minderjährige handelt, muss die Unterschrift durch Erziehungsberechtige erfolgen. Mit der Einwilligung stimmen Eltern zu, dass ein personalisierter Benutzerzugang erstellt, und Vor- sowie Nachname des Kindes an Microsoft in Irland übermittelt wird. Als formale Grundlage finden sich in den Erklärungen Formulierungen wie:
„Microsoft Office 365 erfüllt die Anforderungen der EU-Datenschutzrichtlinie 95/46/EG sowie der SAS[1]70- und ISO-27001-Zertifizierung für Rechenzentren mit Standorten in Deutschland und in der EU sowie die ISO-27018-Zertifizierung für höchsten Datenschutz.“
Die erwähnte Richtlinie ist jedoch nicht mehr gültig und wurde durch die Datenschutz Grundverordnung am 25. Mai 2018 abgelöst. Spätestens mit dem oben im Text erwähnten Fall des EU-US-Privacy Shields steht fest, dass der Einsatz von US-Konferenz-Tools an Schulen nicht DSGVO konform ist.
2. Keine Digitalisierung nach Lehrplan
Die Klarheit um diese Tatsache, gekoppelt mit partieller Digitalverweigerung und personellen Engpässen – das sind die Stolpersteine auf dem Weg zur datensicheren Videokonferenz im Unterricht. Es braucht ein umfassendes Verständnis, warum Datenschutz an Schulen wichtig ist – und ein Umdenken bei den Verantwortlichen im Lehrerzimmer und im Direktorat. Kurzum: Lehrkräfte benötigen für den Wechsel ein anderes Mindset. Ein Mindset, in dem sie mit Selbstverständlichkeit Datenschutz im Distanzunterricht priorisieren und auch begleitend durch Externe überall da an die Hand genommen werden, wo interne IT- und Datenschutzbeauftragte fehlen. Das ist die eigentliche Hausaufgabe. Im Rahmen von Schulungen zum Umgang mit digitalen Räumen sollten Themen wie Passwortvergaben und das Erkennen von DDoS Angriffen auf dem Lehrplan stehen.
3. Support your local Service
Die Wahl für oder gegen US-Software und IT-Strukturen der großen Hyperscaler hat auch eine wirtschaftliche Ebene. Diese betont auch eine Initiative von Lehrer-, Eltern- und Schülerverbände in Baden-Württemberg. Alleine aus wirtschaftlichen Gründen sei auf das Produkt des US-Konzerns zu verzichten, so heißt es in der Erklärung: „Wer in Baden-Württemberg Arbeitsplätze und Know-how sichern will, sollte vorrangig heimische Unternehmen einbinden und deren Produkte bei der Bildungsplattform einsetzen.“1
In Deutschland gibt es nun verschiedene Anbieter, die eine steigende Nachfrage nach geschütztem und DSGVO-konformen Online-Austausch mit Schülern und dem Kollegium bedienen können. Als Software-Basis kommen hier zumeist Open Source Lösungen wie Jitsi Meet zum Einsatz, die verschlüsselte Videokonferenzen möglich machen und auf individuelle Anforderungen von Bildungseinrichtungen eingehen. Im Vergleich zu US-Standardlösungen stehen dem Lehrpersonal persönliche Berater zur Seite, die die Implementierung über Monate begleiten können. Betrieben auf eigenen Managed Servern in Deutschland, garantieren sie sichere digitale Meetings per Web Browser. Die Einrichtung von Meetings und Teilnahme ohne Client-Installation gewährleistet die nahtlose Integration aller Endgeräte unter Einhaltung der Compliance. Bei genauerer Betrachtung der Lizenzverträge sind diese lokalen Lösungen zudem günstiger.
Was spricht für europäisch-unabhängige Lösungen
- Lokaler Ansprechpartner vor Ort, der auch Lehrer schult, wie sie Schulserver aufsetzen sollten
- Verlässliche Handlungssicherheit für Schulverantwortliche in Krisenzeiten durch datenschutzkonforme Systeme
- Kein Zugriff auf Schülerdaten durch US-Sicherheitsbehörden
Andres Dickehut, geschäftsführender Gesellschafter bei Consultix, www.consultix.de