Drücken Sie „Enter“, um den Inhalte zu überspringen

Datenschutz an Schulen: Microsoft Teams oder Nichts

Wenn ich an die letzte Stelle des Aktivitätenverlaufs meines Sprachassistenten schaue, sehe ich dort “Hey Google, wie wird das Wetter”. Ja, ich hatte einen Sprachassistenten, der meine Sprachkommandos irgendwo auf einen mir unbekannten Server in die Welt schickte. Einmal sagte ich zu einer Freundin: “Ich will, dass Google alle meine Kontakte hat, damit sie mir noch besser helfen können”. Ich habe die Dienste geliebt, die ich heute um alles in der Welt meiden will. Wenn das Unternehmen mich fragte, ob ich Daten zur “Produktverbesserung” bereitstellen wollte, willigte ich ohne Nachdenken ein – es schien ja für einen gemeinnützigen Zweck zu sein. Wie viele Accounts ich bei Anbietern hatte, die mir scheinbar kostenlose Dienste angeboten haben? Ich weiß es nicht mehr. Aber ich habe mit der Zeit herausgefunden, dass sie viel mehr kosteten als Geld.

Der Verlauf meiner Aktivitäten bei Google endet im Oktober 2018. Zu diesem Zeitpunkt verstand ich, dass Digitalisierung auf Dauer nicht funktioniert ohne gewisse Rahmenbedingungen. Dies war vermutlich davon geprägt, dass ich schon viele Jahre programmierte und ich mich immer mehr für die Hintergründe der undurchschaubaren digitalen Welt interessierte. Ich distanzierte mich von Anwendungen der Unternehmen, die mir nicht transparent darlegen konnten, welche Daten sie wie nutzten. Ich wollte nicht mehr in der Währung Daten bezahlen.

Während ich im privaten Bereich selbst entscheiden kann, was ich nutzen möchte, war es jedoch ein weiter Weg, das auch in der Schule zu erreichen.

Datenverarbeitung gegen meinen Willen

Meine Schule verarbeitet diverse Daten. Das fängt beim zentralen Schulnetzaccount an. Mit diesem meldet man sich bei den schuleigenen Diensten sowie bei Cloud-Diensten an. Neben Diensten wie dem Lernmanagementsystem Moodle, das auf dem Schulserver vor Ort gehosted wird, fließen auch Name und Geburtsdatum zu Microsoft. Diese Daten können dann von dem US-Unternehmen genutzt werden, indem sie mit Nutzungsdaten verknüpft werden, die während der Verwendung der Dienste wie etwa Microsoft Teams anfallen. Dazu kommen je nach Nutzung dann noch Informationen, die man aktiv eingibt, zum Beispiel ein Text im Rahmen des Politikunterrichts.

Es gibt keine Zweifel: Um solche Arten von Daten verarbeiten zu dürfen, bedarf es in der Europäischen Union einer Rechtsgrundlage. Viele Schulen in Deutschland setzen hierbei auf die Einwilligung der Betroffenen. Sie müsste von den Eltern oder ab 16 Jahren von den Schüler:innen selbst eingeholt werden. An meiner Schule hat es sowas aber nie gegeben. Rechtlich abgesichert hat sich die Schule lediglich zur Veröffentlichung von Fotos.

Während so eine Einwilligung Datenverarbeitungen legitimieren kann, die wie bei dem selbst gehosteten Moodle auf dem Schulserver bleiben, ist es umstritten, ob und inwieweit die Einwilligung eine ausreichende Rechtsgrundlage für die Verwendung von Microsoft-Produkten an Schulen darstellt. Der hessische Datenschutzbeauftragte stellte 2019 beispielsweise fest, dass Microsoft Office 365 selbst mit Einwilligung nicht an Schulen verwendet werden darf. An vielen Schulen aber wird so verfahren und auch ich wollte, dass wir besser informiert werden und eine Wahlmöglichkeit bekommen.

Im Netz gibt es viele Muster-Vorlagen für Einwilligungserklärungen für die Nutzung von Microsoft-Produkten an Schulen. Man könnte meinen, es sei einfach, die Schule zum Verteilen einer simplen Einwilligung zu bewegen, bei der man ankreuzen kann, welche Dienste man nutzen will und welche Daten verarbeitet werden sollen. Das war es nicht.

Über Jahre hinweg verarbeitete die Schule Daten, ohne damit transparent umzugehen. Zu dem Zeitpunkt, zu dem ich auf die Schule gekommen bin, wurde ich darüber nicht informiert. Ein halbes Jahr sollte es dauern, bis ich erfahren habe, dass Daten für Cloud-Dienste überhaupt verarbeitet werden und am Ende sogar das Schulgebäude verlassen. Realisiert habe ich das, als ich aufgefordert wurde, mich bei Moodle anzumelden. Handeln wollte ich, als ich mich zusätzlich bei Microsoft anmelden sollte.

Ein schwieriger Start

Es war Ende April im Corona-Jahr 2020, als eine Mathestunde online stattfinden sollte. Erstmal unterstützte ich das sehr, da nach einer langen Phase des selbstständigen Lernens mit schriftlichen Aufgaben nun endlich wieder die Möglichkeit bestehen sollte, mündlich Fragen zu stellen.

Aber es kam, wie es komme sollte: Die Software Microsoft Teams wurde ausgewählt. Ich wollte kein Kunde von Microsoft mehr sein und meine Daten unkontrolliert verbreiten. Aber für den Moment hatte ich keine andere Wahl, als die Software zu installieren, sonst hätte ich den Unterricht verpasst.

Ich begann also, meinem Lehrer zu schreiben, der als IT-Beauftragter mitverantwortlich für den Betrieb der Software ist. Ich legte ihm meine Bedenken dar, wieso ich mit der Auswahl der Software nicht einverstanden war. Außerdem fragte ich ihn, wie die Verwendung der Software auch rechtlich zu legitimieren war.

Die Antwort kann man so zusammenfassen: Name und Geburtsdatum werden an Microsoft gesendet. Den Standort der Server müsse er mir nicht mitteilen, es fielen laut ihm keine personenbezogenen Daten an. Neben dem Fakt, dass eben genau diese Daten personenbeziehbar sind, musste ich nicht lange nachdenken, dass bei der Verwendung der Software natürlich mehr Daten anfallen. Schon allein, dass Daten versendet wurden, wenn ich das Teams-Fenster mit dem Mauszeiger verlassen habe, widerlegt diese Aussage. Und was bedeutete wohl das hundertfache Vorkommen des Wortes “Telemetry” in der Log-Datei, die während der Mathestunde generiert wurde?

Auch ein interessanter Artikel:  Datenschutz verletzt: WhatsApp soll 225 Millionen Euro Strafe zahlen

Der Einfall der Schule war, daraufhin einfach meinen Account zu löschen. Eine Option war das für mich nicht, da ich dadurch auch den Zugang zu Moodle und damit dem gesamten Online-Unterricht verloren hätte und genau das schrieb ich dann auch zurück. Mein Account wurde daraufhin wiederhergestellt, wobei noch alle Kurse vorhanden waren und somit das Konto auch nie wirklich gelöscht wurde. Der entsprechende Lehrer teilte mir außerdem noch mit, dass er mit meinen Eltern sprechen wolle. Zu dem Gespräch kam es allerdings nie.

Keine Kooperationsbereitschaft

Im nächsten Schritt kontaktierte ich nun den Datenschutzbeauftragten der Schule. Ich bat ihn um ein Gespräch, insbesondere, da es auch noch weitere Probleme (etwa Google Analytics auf der Website) gab, die für diesen Fall keine Rolle spielen. Ich erwartete, dass ich als Antwort einen Vorschlag bekommen würde, wann und wie das Treffen stattfinden sollte.

Fehlanzeige – ich erhielt folgende Antwort: „Alle anderen von Dir gewünschten Gesprächsthemen müssen und werden wir nicht mit Dir diskutieren – hierüber besteht Einigkeit auch seitens der Schulleitung.“ Des Weiteren könnte ich gerne eine Selbstauskunft anfordern. Meiner Meinung nach gab es bei keiner meiner Fragen Diskussionsbedarf. Zu eindeutig war, dass eine Einwilligung notwendig war. Deswegen antwortete ich ihm mit der Bitte, mir meine Fragen schriftlich zu beantworten. Meine E-Mails wurden ab da einfach ignoriert.

Nach den Ferien bin ich deswegen persönlich zum Datenschutzbeauftragten gegangen. Reden wollte er nicht mit mir, er meinte nur, ich sollte zur Schulleitung gehen. Das führte dazu, dass ich mit Freund:innen eine “DDoS-Aktion” begann. Wir suchten Schüler:innen zusammen, die dann jeweils eine Datenanfrage an den Datenschutzbeauftragten schickten. Ziel war es, der Schule zu zeigen, dass es noch mehr Menschen gibt, denen es nicht egal ist, wie ihre Daten geschützt werden.

Schon nach drei Personen erklärte mir dann mein Informatiklehrer, dass die Schule wohl einen Fehler gemacht habe. Selbstverständlich würde es nun eine Einwilligung geben, sie sei bisher einfach vergessen worden. Schon einen Tag später schickte er mir einen ersten Entwurf.

Ein langer Weg zum Ziel

Es vergingen dann aber noch fast vier Monate, bis ich am 7. Dezember wieder den Datenschutzbeauftragen per E-Mail kontaktiere. Ich wollte wissen, wie der Stand der Einwilligungserklärung sei. Ich konfrontierte ihn mit meiner Meinung, dass ich sein Verhalten als fahrlässig ansah und mich notfalls an die Aufsichtsbehörde wenden würde, wenn nicht in kürzester Zeit eine Veränderung erfolgt. Überraschend schnell erhielt ich dieses Mal eine Antwort. Meine E-Mail sei zur Kenntnis genommen worden, Dinge seien angestoßen worden.

Ende Dezember dann der Lichtblick – eine Vorabversion der finalen Einwilligungserklärung, die im Januar verteilt werden soll. Und plötzlich ist es auch möglich, dass die Dienste getrennt genutzt werden. Ich hatte das von Beginn an gefordert, doch die Schule sagte mir bis dahin immer, dass das technisch nicht möglich sei.

Jetzt im Januar habe ich positive wie auch negative Erfahrungen gemacht. Während durch den Distanzunterricht zwar momentan noch nicht die Einwilligungserklärung ausgeteilt werden konnte, setzten die Lehrer:innen zumindest in meinen Kursen auf das von der Schule neu angemietete BigBlueButton und eine Jitsi-Instanz. Neulich wurde ich dann doch aufgefordert, Microsoft Teams für eine Konferenz zu verwenden. Ich schrieb der Lehrkraft, dass ich das nicht tun möchte und erfuhr dabei, dass die Schulleitung scheinbar immer noch davon überzeugt ist, die Datenverarbeitung sei rechtmäßig. Nach einer Diskussion darüber, ob es als Fehlstunde anzusehen ist, wenn ich die Teilnahme an einer nicht datenschutzkonformen Videokonferenz verweigere, wurde am Ende doch lieber BigBlueButton verwendet.

Es gibt also Fortschritte, auch wenn es mühsam war und noch ein langer Weg vor uns liegt. Am Ende geht es mir nicht darum, dass nach einem Jahr (vielleicht) irgendwann eine Rechtsgrundlage für die Verarbeitung der Daten geschaffen wird. Es geht mir auch um Grundsätzliches. Man stelle sich vor, dass ich in 20 Jahren vor einem intransparenten Algorithmus stehe, der mich für einen Job ablehnt, weil ihm ein Text nicht passt, den ich damals im Politikunterricht geschrieben habe,

Es braucht ein Verständnis, warum Datenschutz an Schulen wichtig ist – und ein Umdenken bei den Beauftragten der Schule. Außerdem sollte es nicht vorkommen können, dass eine Schule jahrelang Daten unberechtigt verarbeitet. Die besten Datenschutzgesetzte bringen nichts, wenn sie kategorisch nicht eingehalten werden und ein Vorgehen gegen eine Verletzung so schwierig ist wie in meinem Fall.

Lukas Wagner besucht die 12. Klasse einer gymnasialen Oberstufe in Hessen.


Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Hier weiter lesen...