Es ist kein Geheimnis, dass Kopano proprietären Software-Lösungen kritisch gegenübersteht. Die digitale Souveränität steht an oberster Stelle und alle Kopaneros und Kopaneras arbeiten jeden Tag mit Verve daran, dies umzusetzen. Auch und gerade deshalb lassen uns Artikel wie dieser in der FAZ nicht unberührt. Einerseits freut man/frau sich natürlich, dass Annahmen und Hypothesen richtig sind. Andererseits ärgert man sich, dass es mit der digitalen Souveränität so schleppend voran geht oder wie im aktuellen Fall sogar behindert wird.
Microsoft ist nichts für Schulen
„Microsoft ist zu riskant für die Schule“ titelt die FAZ und bezieht sich dabei auf MS 365, die Microsoft-Cloudlösung, die während der Corona-Pandemie verstärkt für den Distanzunterricht in Schulen zum Einsatz kam. Baden-Württemberg hatte im Herbst 2020 daraus ein Pilotprojekt gestartet, welches die damalige Kultusministerin Susanne Eisenmann nachdrücklich förderte. Bereits vor Beginn erntete das Projekt nicht nur Kritik von Datenschützer:innen, sondern auch von etlichen Initiativen wie dem Landesschüler-, dem Landeseltern-, dem Landeslehrerverband und dem Philologenverband, die eine gemeinsame Stellungnahme gegen den Einsatz von MS 365 veröffentlichten. Die Kernkritikpunkte waren – neben der mangelhaften Datenschutzlage – einseitige Medienbildung sowie fehlende digitale Souveränität (Quelle: https://www.swr.de/swr2/wissen/baden-wuerttemberg-kein-platz-fuer-microsoft-an-schulen-100.html).
In der aktuellen Pressemeldung des baden-württembergischen Datenschutzbeauftragten Stefan Brink vom 07. Mai 2021 rät dieser nun offiziell von MS 365 ab:
„BildungsplattformBW: LfDI rät aufgrund hoher datenschutzrechtlicher Risiken von der Nutzung der geprüften Version von Microsoft Office 365 an Schulen ab – Alternativen sollten gestärkt werden“
Interessant ist in diesem Zusammenhang, dass es sich hier nicht um die Standardversion von MS 365 handelt, sondern eine extra für den Schulbetrieb konfigurierte Lösung. D.h. noch nicht einmal in dieser speziellen Version kann MS 365 eine ausreichend souveräne Lösung anbieten.
Konkret wurden folgende Punkte geprüft:
- Abhilfemaßnahmen zur Minimierung der Risiken der Microsoft-Software
- Messbarkeit von Datenflüssen beim Pilotbetrieb (Erkennbarkeit unerwünschter oder nicht angeforderter Datenverarbeitungen, z.B. Telemetrie-, Diagnose-(oderanders bezeichneten) Daten)
- Feststellbarkeit von Verarbeitung personenbezogener Daten von Lehrern und Schülern zu eigenen Zwecken Microsofts
- Datenabfluss in Drittstaaten außerhalb des Geltungsbereichs der DS-GVO
- Möglichkeiten zur Einschränkung des Zugriffs durch den Anbieter oder Dritte durch sichere verschlüsselte Kommunikation
Laut Bewertung des Datenschutzbeauftragten haben die verantwortlichen Schulen (nach Art. 4 Nr. 7 DS-GVO) weder vollständige Kontrolle über das Gesamtsystem noch den US-amerikanischen Software-Anbieter. Weiterhin können sie „…nicht ausreichend nachvollziehen, welche personenbezogenen Daten wie und zu welchen Zwecken verarbeitet werden und sie können nicht nachweisen, dass die Verarbeitung auf das für diesen Zweck notwendige Minimum reduziert ist.“
Brink schließt hypothetisch nicht aus, dass weitere Modifizierungen des Produktes zu einem rechtskonformen Einsatz führen könnten, allerdings scheint dies mit Microsoft nicht realisierbar zu sein:
„Es ist in den vergangenen Monaten auch nach intensiver Zusammenarbeit und mit hohem Personaleinsatz aber nicht gelungen, eine solche Lösung zu finden.“
Falsche Annahmen und blinde Flecken
Menschen, die sich mit digitaler Souveränität beschäftigen, dürfte diese Bewertung nicht überraschen, im Gegenteil. Was uns in diesem Zusammenhang immer wieder auffällt ist, dass der nahezu flächendeckende Nutzung von Microsoft in Wirtschaftsbetrieben als positive Referenz für dessen Passung in andere Bereiche genannt wird. So hatte auch Brink die Annahme, dass „was sich über Jahrzehnte in Betrieben und Verwaltungen bewährt hat, sollte eigentlich auch in Schulen reibungslos funktionieren.“ (Quelle: FAZ-Artikel s.o.).
An dieser Stelle sei kritisch angemerkt: Nur, weil etwas scheinbar bewährt im Sinne von ständig genutzt sein soll, ist es noch lange nicht gut oder sicher. Die Entscheidung, Microsoft-Produkte im Unternehmen einzusetzen, ist meiner Beobachtung nach, keine aktive und reflektierte Entscheidung. Es scheint eher ein Herdenverhalten zu sein: Man macht es, weil man es nicht anders kennt, weil die Produkte schon so lange am Markt sind, weil die Kenntnis zu Alternativen fehlt. Als Mitarbeiter:in hat man im Normalfall kein Mitspracherecht, was das Betriebssystem oder Office-Software angeht. Daher fügt man sich in die bestehende Infrastruktur. Das gemeinsame Fluchen über Office-Produkte stärkt mitunter sogar das Zusammengehörigkeitsgefühl unter Kolleg:innen.
Daher ist es verständlich, dass Wirtschaftskreise nun Kritik am Ergebnis des Datenschutzbeauftragten üben. Es spart schließlich Aufwand und Kosten, wenn Schüler:innen sich bereits mit Microsoft-Produkten auskennen. Ihre Kenntnisse kommen so unmittelbar den Unternehmen zugute.
Jedoch wächst das Bewusstsein für digitale Abhängigkeit gerade in einer jüngeren Generation, die sich Gedanken um ihre Zukunft macht und die lieber selbst Unternehmen gründet als sich fest anstellen zu lassen. Ein verantwortungsvoller Schulbetrieb sollte sich daher nicht zum Lieferanten der Wirtschaft machen.
In diesem Sinne: Keine abhängige Software von einem Einzelanbieter in systemrelevanten Strukturen wie Verwaltungen, Schulen und Universitäten!
Zum Weiterlesen:
https://digitalcourage.de/blog/2020/breiter-protest-gegen-microsoft-in-baden-wuerttemberg
https://digital-souveraene-schule.de/2020/09/18/big-brother-award-fuer-frau-eisenmann-zurecht/#bba20