Office 365, iCloud, G Suite for Education – wo sind die Probleme für Schulen?

Lesezeit: 7 Minuten

Cloud Anwendungen sind heute nicht nur in der Wirtschaft zu finden, sondern auch in Schule. Vor allem beim Thema Kollaboration, einer der vier zentralen Kompetenzen des 21. Jahrhunderts, geht ohne Cloud Anbindung kaum etwas. Außerdem erlauben Angebote wie Office 365, iCloud und G Suite for Education einen Zugriff rund um die Uhr von überall aus, ideal für mobiles Lernen. Und so schauen sich immer mehr Schulen nach entsprechenden Lösungen um. Schulträger favorisieren häufig Microsofts Office 365, da sie es selbst in der Verwaltung einsetzen. iPad Schulen kommen automatisch auf die iCloud, um iPads optimal einsetzen zu können. Die Kollaborations Features von Apple Apps benötigen die iCloud1oder alternativ Box.netAuch die Einrichtung von shared iPads, eine Funktion, die es erlaubt, mehrere Schüler ein einzelnes iPad mit separaten Accounts nutzen zu lassen, geht nicht ohne die iCloud. Die G Suite for Education besticht vor allem durch die kostenfreie, plattformübergreifende und einfache Nutzungbarkeit.

Rein formal betrachtet erfüllen alle drei Anbieter, Microsoft, Apple und Google die Vorgaben der Datenschutzgrundverordnung. Sie stellen Verträge zur Auftragsverarbeitung bzw. andere, gleichwertige Rechtsinstrumente zur Verfügung, die bei Microsoft2siehe hier auch den Beitrag Office 365 und der Vertrag zur Auftragsverarbeitung und Google durch Annahme der Nutzungsbedingungen zustandekommen und bei Apple aus einem PDF bestehen, welches heruntergeladen und unterschrieben wird. Alle drei Anbieter bieten die EU Standardvertragsklauseln an, haben das EU-US Privacy Shield unterschrieben, sind nach diversen ISO zertifiziert und bieten darüber hinaus noch weitere Zusicherungen an bezüglich Einhaltung der Vorgaben der DS-GVO. Microsoft und Google sind beide Player im Business Bereich, zählen große Firmen zu ihren Kunden und können sich hier schon aus Geschäftsgründen keine Blöße geben. Apple nutzt den Schutz personenbezogener Daten als Geschäftmodell und Wettbewerbsvorteil gegenüber der Konkurrenz, bietet aber die iCloud nicht zur Nutzung mit sensiblen Daten für Firmen an. Fragt man persönlich bei Microsoft, Apple und Google nach, wie es mit der Einhaltung der DS-GVO aussieht, versichern einem die Mitarbeiter immer wieder, dass man vollkommen kompliant sei und dieses doch entsprechend dokumentiert ist. Die Sorgen der anfragenden Schulen und Datenschutzbeauftragten kann man nicht nachvollziehen.

Das klingt eigentlich alles gut. Wo liegt also das Problem? Es gibt doch bereits viele Schulen, die eine der drei Plattformen nutzen, oft schon seit Jahren. Mit Microsoft gibt es sogar Rahmenverträge für den Bildungsbereich. Und auch in europäischen Nachbarländern bestehen längst nicht so viele Bedenken wie hierzulande.

Das Problem ist mehrschichtig. Zwei Bereiche stehen aktuell im Vordergrund, einer davon schon länger und der andere wiederholt.

Vertrauen ist gut – Kontrolle ist besser

Microsoft, Apple und Google sind gigantische Unternehmen und in verschiedensten Geschäftsfeldern aktiv. Server und Datenleitungen befinden sich nicht nur in Europa, sondern sind Bestandteil einer weltweiten IT Infrastruktur.  Entsprechend sind die Datenströme innerhalb dieser Unternehmen kaum nachzuvollziehen. Alle drei Unternehmen sind nicht nur Dienstleister, sondern verwerten die personenbezogenen Daten ihrer Nutzer auch für vielfältige eigene Zwecke, und diese reichen je nach Unternehmen und Geschäftsbereich von der Optimierung und Entwicklung von Produkten bis zur Erstellung von Profilen für Werbe- oder andere Zwecke.3Die Bildungsprodukte sind aufgrund gesetzlicher Vorgaben und auch durch Selbstverpflichtungserklärungen der Anbieter von der kommerziellen Auswertung der Nutzerdaten ausgenommen. Dazu kommt, dass es bei allen drei Anbietern in der Vergangenheit auch wiederholt zu Datenpannen gekommen ist. Personenbezogene Daten wurden anders als offiziell angegeben genutzt, ohne Kenntnis der Betroffenen erhoben oder es gab Sicherheitsvorfälle.

Entsprechend der Größe dieser Konzerne, ihrer vielschichtigen Geschäftsfelder und negativer Erfahrungen aus der Vergangenheit ist es schwierig, diesen Anbietern uneingeschränktes Vertrauen zu schenken. Dieses ist jedoch wichtig, da der Verantwortliche auch für das verantwortlich ist, was bei einem Auftragsverarbeiter mit den personenbezogenen Daten der Betroffenen geschieht. Das Bundesdatenschutzgesetz gibt dazu in §62 vor

“Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen.”

In Art. 28 DSGVO wird diese Verantwortung des Verantwortlichen noch weiter spezifiziert. Der Abschluss von Verträgen zur Auftragsverarbeitung oder von anderen Rechtsinstrumenten und darin durch die Auftragsverarbeiter abgegebene Garantien und Erklärungen sorgt dafür, dass der formale Rahmen stimmt. Der Verantwortliche ist damit jedoch nicht seiner Verantwortung enthoben, sicherzustellen, dass alles dieses auch eingehalten wird. Die zentrale Frage hierbei ist immer:

Werden die personenbezogenen Daten der Betroffenen tatsächlich nur den Weisungen des Verantwortlichen entsprechend verarbeitet?

Das heißt, werden diese Daten nicht doch in irgendeiner Form verwertet durch den Auftragnehmer? Erstellt beispielsweise Microsoft eventuell (anonymisierte4Anonymisierung kann ein Schutz sein. Niemand weiß jedoch, ob es nicht durch Zusammenführen mit anderen Daten möglich ist, die anonymisierten Daten wieder Personen zuzuweisen und damit zu personenbezogenen Daten zu machen. Das ist vor allem dann kritisch, wenn nicht bekannt ist, wer wann auf diese anonymisierten Nutzerprofile Zugriff erhält und zu welchem Zweck diese Daten dann genutzt werden.) Nutzerprofile aus den Nutzungsdaten der schulischen Nutzer von Office 365? Trackt Google Nutzer von G Suite for Education außerhalb von Google Classroom? Fließen irgendwo Daten ab? Haben möglicherweise andere Mitarbeiter oder Abteilungen des Anbieters Zugriff auf die personenbezogenen Daten, obwohl dafür im Rahmen der Vertragserfüllung keine Notwendigkeit besteht? Werden die personenbezogenen Daten vielleicht an weltweiten Standorten gespeichert, für welche es keine entsprechenden Garantien gibt?

Es besteht für Verantwortliche also durchaus ein Anlass, die vertraglichen Regelungen und Garantien zu hinterfragen. Gegenbenenfalls muss der Verantwortliche die Einhaltung seiner Weisungen und die technischen und organisatorischen Maßnahmen zur Wahrung des Schutzes und der Sicherheit der Daten, wie sie vertraglich festgelegt wurden, selbst überprüfen, um der eigenen Verantwortung nachzukommen. Das ist bei weltweit agierenden Konzernen letztlich unmöglich. Und Schulen bzw. deren Leitungen können so etwas ohnehin nicht leisten, da ihnen das Hintergrundwissen dazu fehlt. Also hofft man auf grünes Licht von Seiten der Schulministerien oder Aufsichtsbehörden. Doch leider gibt es von keiner Seite eine Empfehlung, denn auch dort steht man vor dem gleichen Dilemma. Man hat nur eingeschränkte Möglichkeiten, die Einhaltung der Vorgaben zu überprüfen.5Einige Kontrollmöglichkeiten bestehen beispielsweise erst dann, wenn man selbst ein Office 365 nutzt und dann Experten die Datenströme kontrollieren können. Doch selbst dann ist nur selten mit 100% Sicherheit zu sagen, dass alles sauber ist. Also gibt es auch von dort keine Empfehlungen, in einigen Bundesländern allerdings von Seiten der Schulministerien Verbote. Dort, wo es weder Empfehlungen noch Verbote gibt, bleiben Schulen auf sich selbst gestellt.6Die einzige Ausnahme bildet aktuell die sogenannte Microsoft Cloud Deutschland, eine technisch rechtliche Konstruktion, bei welcher die personenbezogenen Daten der Betroffenen in Treuhand der Telekom verarbeitet werden. Microsoft selbst hat dabei keinen Zugriff auf die Daten – zumindest offiziell nicht. Hier gibt es tatsächlich eine Empfehlung der hessischen Aufsichtsbehörde, an welche man sich auch in NRW angehängt hat. Für Endnutzer sind die Kosten höher und seit Umsetzung der DS-GVO besteht, zumindest formell, kein Anlass mehr für eine spezielle in Deutschland lokalisierte Cloud. Dieses Angebot wird auch aus diesem Grund Anfang 2019 eingestellt.

Cloud Act

Als wären die Unsicherheiten bezüglich einer Nutzung von Office 365, iCloud und G Suite for Education in Schule durch mangelndes Vertrauen und die Unmöglichkeit einer echten Kontrolle nicht schon groß genug, kommt nun mit dem Cloud Act das nächste Problem. Microsoft, Apple und Google sind US-amerikanische Anbieter und damit der Jurisdiktion ihres Heimatlandes unterworfen. Es war schon immer möglich und sogar DS-GVO konform, dass US Behörden im Rahmen von Rechtshilfeabkommen in Strafsachen (engl. Mutual Legal Assistance Treaty – MLAT) die Herausgabe von personenbezogenen Daten von den drei Anbietern verlangen konnten, auch wenn die betroffenen Server in Europa standen. Eine US Ermittlungsbehörde stellte dann eine Anfrage an die passende europäische Stelle und von dieser wurde die Übergabe der angefragten personenbezogenen Daten an die US Stelle veranlasst. Das trug der Tatsache Rechnung, dass Server, die in Europa stehen, auch europäischem Recht unterliegen, war aber umständlich und zeitaufwändig. Bislang konnten Microsoft, Apple und Google sich auf diesen Sachverhalt berufen, wenn amerikanische Ermittlungsbehörden sich mit ihren Anfragen direkt an die Unternehmen wendeten. Es kam aus diesem Grund zu Auseinandersetzungen, die bis vor US Gerichte gingen.

Mit dem Cloud Act hat dieses sich geändert. Der amerikanische Kongress hat mit diesem Gesetz eine rechtliche Grundlage geschaffen, die Microsoft, Apple und Google dazu verpflichtet, personenbezogene Daten von Servern außerhalb der USA, also auch in Europa, direkt an die US Ermittlungsbehörden zu übermitteln. Zwar gibt der Cloud Act den Cloud Anbietern durchaus die Möglichkeit, einer Anfrage durch eine US Ermittlungsbehörde zu widersprechen, wenn es um nicht US Bürger geht oder ein Konflikt mit der lokalen Gesetzgebung entsteht, doch inwieweit der Cloud Act mit den Vorgaben der DS-GVO vereinbar ist, bleibt vorerst unklar. Zusätzliche Brisanz erhält die mit dem Cloud Act geschaffene Rechtslage, da diese auch das Bestehen des EU-US Privacy Shields gefährdet.7Die EU hatte den USA hier ein Ultimatum gestellt, sich an die Vorgaben des Privacy Shield zu halten oder diese auszusetzen. Das Ultimatum ist verstrichen, eine Konsequenz ist bisher jedoch nicht erfolgt. Und als ob das nicht ausreicht, drohen dem Privacy Shield und den oben erwähnten Standardvertragsklauseln noch von einer weiteren Seite Gefahr. Es gibt hier eine Klage, in welcher die Sicherheit von personenbezogenen Daten vor dem Zugriff durch US Regierungsstellen bei einer Übertragung in die USA in Frage gestellt wird8siehe Schrems Litigation in  Privacy Shield on Shaky Ground: What’s Up With EU-U.S. Data Privacy Regulations.

Da bei einer Nutzung von Cloud Angeboten von Microsoft, Apple und Google, selbst wenn die Daten europäischer Nutzer überwiegend auf europäischen Servern verarbeitet werden, Datentransfers in die USA nicht auszuschließen sind, hängt alles von dem weiteren Bestehen des EU-US Privacy Shields und der Standardvertragsklauseln ab, denn sie gewährleisten – zumindest formell, dass eine Datenverarbeitung im Auftrag im Rahmen der Vorgaben der DS-GVO möglich ist.

Fazit

Noch bestehen der EU-US Privacy Shield und die Standardvertragsklauseln. Solange in einem Bundesland kein ausdrückliches Verbot ausgesprochen wurde, spricht für Schulen von daher gegenwärtig rein formell nichts gegen eine Nutzung von Office 365, iCloud und G Suite for Education, wenn man dabei an einige Grundsätze beachtet. Diese tragen der oben geschilderten Tatsache Rechnung, dass auch wenn formell alles im grünen Bereich ist, man faktisch nicht mit absoluter Sicherheit einen umfassenden Schutz von personenbezogenen Daten garantieren kann. Eine Nutzung von Office 365, iCloud und G Suite for Education ist in Schule möglich, wenn

  • eine Verarbeitung von personenbezogenen Daten aus der Schulverwaltung komplett ausgeschlossen ist,9Dieses schließt auch dienstliche E-Mails ein, wenn sie über einen Cloud Account laufen.
  • die Schulverwaltung die Cloud nur nutzt, um allgemeine Informationen weiterzugeben und Formulare bereitzustellen,
  • Lehrkräfte sie untereinander zur Teamarbeit, zur Erstellung von Unterrichtsmaterialien, Konzeptarbeit, Entwicklung von Fachlehrplänen und ähnlich nutzen,
  • Nutzerkonten pseudonymisiert erstellt werden10Eine Erstellung von Nutzerkennungen nach dem Schema tholler@xyzschule.de oder thom2018@xyzschule.de für Thomas Müller sollte vertretbar sein,
  • per Nutzervereinbarung geregelt wird, dass bei der pädagogischen Nutzung der Plattform personenbezogene Daten auf das absolute Minimum beschränkt werden (z.B. keine Lebensläufe mit Echtdaten),
  • und keine Leistungsdaten dort zu finden sind.

Schulen, die eine der drei genannten Cloud Lösungen einführen wollen, sollten das Mittel der Datenschutz-Folgenabschätzung (DFA) für sich nutzen, um sich Klarheit zu verschaffen, ob das, was man vorhat, Sinn macht und vertretbar ist.11Art. 35 Abs. 7 listet auf, welche Fragen bei einer DFA zu klären sind. So kann eine Schule außerdem nachweisen, dass sie sich systematisch mit dem Thema auseinandergesetzt hat, und kann ihre Entscheidung begründen.

Zusätzlich zu den oben genannten Vorgaben, die man beachten sollte, wenn man eine der drei Cloud Lösungen in einer Schule einsetzen möchte, gibt es die Möglichkeit, den Schutz personenbezogener Daten durch die Nutzung von  sogeannten Hybridlösungen weiter zu optimieren. Hybridlösungen sind Kombinationen aus Cloud und lokaler Speicherung. Mit Office 365 und der iCloud lässt sich so etwas gut realisieren. Im Fall der iCloud wird diese nur für das Anlegen von Managed Apple IDs zur Einrichtung von shared iPads genutzt. Die Synchronisation der iPads mit der iCloud wird auf ein Minimum von App Einstellungen und ähnlich eingeschränkt. Erarbeitete Dateien wie Dokumente oder z.B. BookCreator Bücher werden lokal auf einen Server im Haus, ein NAS12Network attached Storage, eine Netzwerkfestplatte. oder ein anderes Speichermedium abgelegt. Bei Office 365 würde man beispielsweise Dokumente mit personenbezogenen Daten, etwa einen Lebenslauf, lokal auf einem Server in der Schule abspeichern, der nicht in die Cloud synchronisiert wird.

Eine weitere Möglichkeit, den Schutz personenbezogener Daten von Schülern und Lehrern bei der Nutzung der genannten Cloud Dienste zu verbessern, sind sogenannte Single Sign-on (SSO) Lösungen. Dabei erfolgt die Anmeldung an der Cloud Plattform nicht mit individueller Nutzerkennung und Passwort, sondern über eine andere Plattform, die diesen Anmeldedienst bereitstellt. Office 365 und G Suite for Education ermöglichen Single Sign-on, Anbieter wie itslearning oder die HPI Schul Cloud unterstützen dieses Verfahren. Auch eine Landesplattform wie Logineo NRW könnte dafür eingerichtet werden.

Wie man mit Clouds datensparsam arbeiten kann, ist hier nur kurz skizziert. Weitere Informationen folgen später in einem weiteren Beitrag.

Weiter lesen: