Digitalisierung an Schulen – so nicht!
FIfF kritisiert Digitalpakt mit Windows 10 und Office 365, 19.11.2019
Der Digitalpakt für Schulen wurde im Mai 2019 für ganz Deutschland – trotz seines Eingriffs in die Föderalisierung – im Rahmen der Strategie für Digitalisierung durch die Bundesregierung verabschiedet. Der Bund stellt hierfür über einen Zeitraum von fünf Jahren insgesamt fünf Milliarden Euro zur Verfügung, davon in dieser Legislaturperiode 3,5 Milliarden Euro.
Aufgrund des Charakters der Bundesmittel als Finanzhilfen bringen die kommunalen und privaten Schulträger bzw. Länder zusätzlich einen finanziellen Eigenanteil ein. Zusammengenommen stehen dann insgesamt mindestens 5,55 Milliarden Euro bereit. Rein rechnerisch bedeutet dies für jede der ca. 40.000 Schulen in Deutschland im Durchschnitt einen Betrag von 137.000 Euro oder umgerechnet auf die derzeit ca. 11 Millionen Schülerinnen und Schüler eine Summe von 500 Euro pro Schüler in dem Finanzierungszeitraum.
Den Verantwortlichen, somit Schulträgern oder Schulen, steht es zunächst frei, wofür konkret sie diese Gelder zur Modernisierung der IT-Infrastruktur einsetzen. Bereits im laufenden Schuljahr 2019/2020 sollen diese Gelder abgerufen werden, um z. B. Tablets zu kaufen. Zum funktionstüchtigen Einsatz solcher Tablets ist oftmals noch ein schulinternes WLAN zu implementieren. Mit diesen Anschaffungen und dem dauerhaften Betrieb solcher Elemente einer IT-Infrastruktur sind die Mittel pro Schüler verbraucht. Eine Hardware ohne Software ist untauglich. Als Software-Lösung sollen Verträge mit Microsoft geschlossen werden. Den meisten Schulträgern oder Schulen wird eine Lizenz von Office 365 Education unter A1 angeboten, das „Rundum-Wohlfühlpaket“, welches mit dem genehmigten Digitalpakt bzw. realisierbaren Kosten für Schulen noch betrieben werden könnte. Umfassendere Lizenzen, wie A3 oder gar A5, mit denen Verantwortliche Software-Dienste konfigurieren könnten, sind jedoch aus Kostengründen wohl kaum vermittelbar.
Das FIfF kritisiert diese Lizenz-Politik und fordert, die datenschutzkonforme Verarbeitung der Daten von Schülerinnen und Schülern, die zumeist minderjährig sind. Warum wird hier nicht eine äquivalente Open-Source-Software-Lösung eingesetzt, wie sie z. B. von der Open Business Alliance [1] angeboten wird. Mit solchen Lösungen könnten deutsche Schulen und Institutionen die Kontrolle über ihre Daten behalten, datenschutzkonforme Implementierungen leichter umsetzen und transparent die Datenschutzbestimmungen sicherstellen. Letzteres ist jedoch bei der im Rahmen der oben erwähnten Finanzierung verfügbaren Lösung mit Microsoft 365 unter A1 kaum bis gar nicht zu garantieren. Mindestens sind spezielle Regelungen in der Datenschutzgrundverordnung (DSGVO) anzuwenden, die aufbauend auf Art. 5, 6 und 7 DSGVO in Art. 8 DSGVO konkretisiert sind.
Das FIfF fordert Aufklärung, welche Interessen Microsoft verfolgt, denn die Deutsche Telekom AG hat die eigene deutsche Microsoft Cloud zum 31. August 2019 eingestellt. Das Treuhändermodell für Microsoft bei T-Systems ist damit ausgelaufen [2]. Microsoft wird ab 14. Januar 2020 für die Betriebssysteme auf den Servern 2008 und 2008 R2 den Support einstellen und die auf ihnen laufende Software statt dessen in ihre Cloud Azure migrieren, und damit auch alle Daten in Azure in den USA stellen (siehe [3]). Danach wird keine Kontrolle von Seiten deutscher Institutionen mehr möglich sein, und es besteht die Gefahr, dass Inhalts- und Verbindungsdaten ohne Wissen oder Genehmigung Betroffener auch an Schulen – weiter gesammelt und per Gesetz an die NSA weitergegeben werden können. Solches hat Microsoft in anderen Zusammenhängen bereits getan, siehe z. B. [4].
Wie gefährlich die – schließlich lebenslang mögliche – Speicherung und Nutzung von Daten, Bildern, Medien- und App-Nutzung und alle Arten von Kommunikation für unsere Kinder ist, ist inzwischen hinlänglich bekannt geworden. Aber die Interessen und fundamentalen Rechte und Freiheiten von Kindern müssen vor allem auch an Schulen garantiert werden: Wenn ein hohes Risiko durch die Anwendung bzw. Umsetzung von Aufgaben im hoheitlichen Bereich durch IT-gestützte Prozesse in einer komplexen IT-Landschaft vorausgesetzt wird (die insbesondere nicht als IT-Landschaft vor Ort beim Schulträger oder in der Schule betrieben wird), ist eine Datenschutz-Folgenabschätzung entsprechend Art. 35 DSGVO durchzuführen. Mit einer solchen Datenschutz-Folgenabschätzung geht folglich einher, dass für Kinder bzw. Schulen technisch-organisatorische Maßnahmen höheren Anforderungen auch bzgl. der IT-Sicherheit genügen müssen. Vertraulichkeit und Integrität sind ebenso höher zu bewerten (Art. 25 und Art. 32 DSGVO). Zur Umsetzung im Besonderen auch dieser datenschutzrechtlichen Anforderungen muss verlangt werden, dass sichere Verschlüsselungen für Transport und Inhalt zu gewährleisten wären.
Das FIfF ruft dazu auf, Einspruch gegen die Regelungen des Digitalpakts einzulegen. Einsprüche gegen die derzeit bestehenden Verträge im Digitalpakt sind sachlich wie zeitlich höchst dringlich, da es Schulen jederzeit möglich ist, sich aus dem Digitalpakt zu bedienen und es bereits einzelne Schulen gibt, die dies getan haben. Was passiert, wenn ein solcher Digitalpakt und damit verbundene Nutzung von Software für Hochschulen geschlossen würde? Ähnliche Implementierungen planen Länder ja in den öffentlichen Verwaltungen, Kommunen und Städten, die ggf. auf Microsoft-Enterprise-Lizenzen basieren sollen.
Referenzen
[2] https://www.heise.de/newsticker/meldung/Auslaufmodell-Microsoft-Cloud-Deutschland-4152650.html
[4] https://www.ft.com/content/7d3e0d6a-87a0-11e9-a028-86cea8523dc2