Datenschutz in der digitalen Bildung – Anfrage im Landtag BW

Die digitale Bildung boomt in der Covid-19 Krise, da Schulen und auch Universitäten so schnell wie möglich auf Fernschulen und Fernuniversitäten umstellen mussten. Dabei soll und darf der Datenschutz und der Schutz der Jugendlichen nicht hinten anstehen. Eine Anfrage der der Abg. Sandra Boser und Alexander Salomon GRÜNE im Landtag Baden-Würrtemberg sollte in Bezug auf Office 365 EDU mehr Klarheit bringen:

Anfrage

Die Antwort auf die Anfrage kann kostenlos und frei heruntergeladen werden.

https://www.landtag-bw.de/files/live/sites/LTBW/files/dokumente/WP16/Drucksachen/7000/16_7856_D.pdf?fbclid=IwAR3XXyjmafqludHwhW6qeybZj5DdempWN6CrjSftkM4Q8qR2icQDqMQn0YM

 

Office 365 EDU

Zusammenfassung und Kommentar

In der Zusammenfassung ist festgestellt worden, dass auf der einen Seite das Kulturministerium dem Landesdatenschutzbeauftragten noch nicht die erfoderlichen Materialien überreicht hat und auch noch nicht die Entwürfe des Verarbeitungs- und Verfahrensverzeichnisses, sowie der TOMs (technisch-organisatorische Maßnahmen). Der LSDB kann daher keine abschließende Beurteilung geben. 

Es wurden die üblichen Themen wie Telemetrie angesprochen, aber nicht beantwortet. 

Es gibt kein Ergebnis, aber auch keine Empfehlung gegen Office 365 EDU.

 

Fragenstellungen und Antworten

Frage Nr. 4

“Gibt oder gab es die Planung, Produkte der Firma Microsoft einzusetzen, insbesondere Microsoft 365 und Office 365 unter Darstellung – wenn zutreffend – für welche Module der digitalen Bildungsplattform dies vorgesehen ist?”

Antwort

Office Produkte von Microsoft sind bereits Teil des definierten Standardarbeitsplatzes der Landesbediensteten in Baden-Württemberg. Vor diesem Hintergrund prüft das Kultusministerium auch den möglichen Einsatz von Office 365 für die Lehrkräfte, insbesondere für den Bereich Bürokommunikation, die Lehrer-E-Mail und den persönlichen Arbeitsplatz. Damit könnte eine laufende Weiterentwicklung mit Blick auf die Anforderungen der Nutzer und eine verlässliche Nutzbarkeit auch bei hohen Zugriffszahlen gewährleistet werden.

Ist der Datenschutz beteiligt?

Frage Nr. 3

“Inwieweit wurde der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg in die Beratungen zur digitalen Bildungsplattform und speziell in die Vorbereitungen der Ausschreibungen involviert?”

Antwort 3

“Der Behördliche Datenschutzbeauftragte des Kultusministeriums sowie der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) wurden und werden  eingebunden. Insbesondere berät der LfDI BW das Ministerium für Kultus, Jugend und Sport bei der datenschutzkonformen Umsetzung der digitalen Bildungsplattform. Dazu hat der LfDI BW beispielsweise an Arbeitssitzungen und Workshops im Kontext datenschutzrechtlicher Fragestellungen teilgenommen. Der LfDI lieferte wertvolle Hinweise zur datenschutzkonformen Nutzung eines Messengers im  chulischen Kontext. Darüber hinaus findet ein fortlaufender Kommunikationsprozess statt. Grundlegender Bestandteil aller Ausschreibungen ist die Einhaltung aller datenschutzrechtlichen Vorgaben.”

Weiter zu Office 365 

Antwort 3 weiter ausgeführt:

“Inwieweit wurde der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg in die Beratungen zur digitalen Bildungsplattform und speziell in die Vorbereitungen der Ausschreibungen involviert?”

In Bezug auf die digitale Bildungsplattform und die Einrichtung von Lehrer-E-Mails fand Anfang 2019 ein erstes Gespräch zwischen dem LfDI, der BITBW (die das Gespräch im Auftrag des Kultusministeriums führte) und Microsoft zum möglichen Einsatz von MS Office 365 statt. Dabei wurde insbesondere die Möglichkeit des E-MailHostings durch Microsoft angesprochen. Der LfDI betonte die Notwendigkeit einer
Datenschutz-Folgenabschätzung für die Bildungsplattform und damit auch für MS Office 365 oder den Betrieb von E-Mail-Diensten. Anfang August 2019 stellte die Stabsstelle des Kultusministeriums erste Grundzüge des Projekts der neuen digitalen Bildungsplattform gegenüber Mitarbeitern des LfDI dar. In einem Gespräch zwischen Herrn Dr. Brink und Herrn MD Föll vom 21. Oktober 2019 wurde vereinbart, dass das Kultusministerium für dieses Projekt die datenschutzrechtliche Beratung des LfDI in Anspruch nimmt. Ab dem 4. Dezember 2019 fanden sodann einige Beratungstermine statt. Bei diesen informierten die Mitarbeiter des LfDI das Kultusministerium und die weiteren Teilnehmer der Besprechungen über die grundlegenden datenschutzrechtlichen Anforderungen. Insbesondere wurde dargelegt, welche formalen Voraussetzungen (z. B. Erstellung des Verzeichnisses der Verarbeitungstätigkeiten, Abschluss von Verträgen zur Datenverarbeitung im Auftrag bzw. zur gemeinsamen Verantwortung, Erstellung einer Datenschutz-Folgenabschätzung und eines IT-Sicherheitskonzepts) erfüllt werden müssen, welche Informationen insbesondere zu Datenabflüssen und deren Rechtsgrundlagen offengelegt werden müssen und welche Anforderungen an einen Messenger für die Bildungsplattform zu stellen sind. MS Office 365 wurde hierbei immer wieder thematisiert.

Die für eine datenschutzrechtliche Prüfung erforderlichen Dokumente liegen dem LfDI bislang nur für den Messenger-Dienst vor. Insoweit wurden sie bereits geprüft und das Ergebnis dem Kultusministerium übermittelt. Es sind danach aus Sicht des LfDI zwar noch umfangreiche Korrekturen und Arbeiten durch das Kultusministerium erforderlich, substanzielle datenschutzrechtliche Probleme beim Betrieb des Messengers sind jedoch derzeit nicht erkennbar. Was die Einbeziehung des LfDI in die Vorbereitung von Ausschreibungen angeht, gab das Kultusministerium erstmals am 4. Dezember 2019 dem LfDI auf Nachfrage bekannt, dass die Ausschreibung betreffend das Lernmanagementsystem des Kultusministeriums durch die BITBW (Az. 0230/484) am nächsten Tag veröffentlicht werde. Eine Beratung zu den datenschutzrechtlichen Aspekten fand insoweit nicht statt. Weitere abgeschlossene oder laufende Ausschreibungen zur digitalen Bildungsplattform sind uns derzeit nicht bekannt.

 

Weitere Ausführungen

(Anmerkung: Frage 4 erwähnt insoweit „Produkte der Firma Microsoft …, insbesondere Microsoft 365 und Office 365“).

Zu der Produktfamilie Microsoft Office 365:
MS Office 365 wird in vielen unterschiedlichen Varianten und Konfigurationen angeboten. In den  Beratungen (siehe Antwort auf Frage 3) wurde den Beteiligten mitgeteilt, welche datenschutzrechtlichen Eckpunkte erfüllt werden müssen. Ein besonderes Augenmerk bei der Prüfung ist auf die Datenübertragungen an Microsoft (sog. Telemetrie- oder Diagnosedaten), die sichere und verschlüsselte Speicherung von Dokumenten und E-Mails sowie den Umgang mit von der Software erhobenen Nutzungsdaten der Betroffenen zu richten. Da dem LfDI zur konkreten Variante von Office 365 und deren Konfiguration, welche für die Bildungsplattform gewählt werden soll, noch nichts bekannt ist und ihm auch noch keine datenschutzrechtlichen Unterlagen vom Kultusministerium vorgelegt wurden (wie z. B. der Entwurf des Verzeichnisses der Verarbeitungstätigkeiten, der Verträge zur Datenverarbeitung im Auftrag oder evtl. einer Vereinbarung zur gemein- samen Verantwortlichkeit, die Datenschutz-Folgenabschätzung, das ITSicherheitskonzept), ist eine konkrete Bewertung derzeit noch nicht möglich.

Mangels der erforderlichen Unterlagen kann der LfDI bislang auch die Frage, ob überhaupt eine Variante mit entsprechender Konfiguration in datenschutzrechtlich zulässiger Weise im Rahmen der Bildungsplattform eingesetzt werden kann, bisher noch nicht abschließend beurteilen.