Datenschutz ist eines der wesentlichen vom Grundgesetz geschützten und geregelten Rechte in einer demokratischen Gesellschaft. Denn es geht dabei nicht nur um den Schutz von Daten, sondern vielmehr um den Schutz der Rechte derjenigen Personen, die hinter diesen Daten stehen. Der Schutz des allgemeinen Persönlichkeitsrechts nach Art. 2 Abs. 1 GG dient bei der Verwendung von Programmen und Plattformen im Schulunterricht dem Schutz der Schülerinnen und Schüler sowie der Lehrerinnen und Lehrer. Doch bestehen hier ggf. bei der Verwendung kommerzieller Produkte eklatante Lücken, die sich mit der DS-GVO nicht vereinbaren lassen. Auch hier ist eine an rechtlichen Verordnungen angelegte staatliche Regelung wichtig, die den Schulen eine weitestmögliche Kontrolle über ihre Daten bietet. Auch sollte das Wissen der Beteiligten um datenschutzrechtliche Fragen regelmäßig erweitert werden.
In diesem Zusammenhang hat es in Baden-Württemberg einen mehrmonatigen Praxistest einer speziell konfigurierten Version von Microsoft Office 365 gegeben. Dieser hat gezeigt, dass die Schulen keine vollständige Kontrolle über das Gesamtsystem und den Auftragsverarbeiter in den USA haben. Es ist nicht nachvollziehbar, welche personenbezogenen Daten wie und zu welchen Zwecken verarbeitet werden und ob diese auf das notwendige Minimum reduziert sind. So wird in der Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit der Landes Baden-Württemberg (LfDI) vom 7. Mai 2021 ausgeführt: „Schülerinnen und Schüler, Eltern und Lehrerinnen und Lehrer wollen digitale und rechtssichere Lösungen für den Unterricht. Wir unterstützen das“, so Stefan Brink. Deswegen wurde mit hohem Einsatz im Rahmen des Pilotprojekts versucht, Klarheit über Datenflüsse, Rechtsgrundlagen und technische Maßnahmen des Anbieters zu erlangen, was jedoch im Ergebnis nicht zufriedenstellend gelungen sei.
All das müssten die Schulen als Verantwortliche aber ausreichend nachvollziehen können, um ihrer Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO gerecht zu werden. Zudem ist für einige Übermittlungen persönlicher Daten an Microsoft – teilweise auch in Regionen außerhalb der EU – keine Rechtsgrundlage erkennbar, die nach DS-GVO aber erforderlich ist. Das gilt insbesondere auch für internationale Datenflüsse im Lichte des Schrems II-Urteils des Europäischen Gerichtshofs aus dem Jahr 2020.
Für den Schulbereich hat der LfDI daher ein hohes Risiko der Verletzung von Rechten und Freiheiten betroffener Personen festgestellt. Dies gilt für die ins Auge gefasste Erweiterung des Systems um Konten für die Schülerinnen und Schüler umso mehr. Der Staat hat eine Garantenstellung für die in der Regel minderjährigen Schülerinnen und Schüler, welche zudem der staatlichen Schulpflicht unterliegen und daher der Verwendung ihrer persönlichen Daten nicht ausweichen können. In dieser Konstellation bewertet der Landesbeauftragte das Risiko der eingesetzten Software als inakzeptabel hoch.
LfDI Brink: „Es erscheint zwar nicht gänzlich ausgeschlossen, mit anderen Varianten der im Pilotversuch genutzten Produkte und unter wesentlich modifizierten Einsatzbedingungen damit im Schulbereich rechtskonform zu arbeiten. Es ist in den vergangenen Monaten auch nach intensiver Zusammenarbeit und mit hohem Personaleinsatz aber nicht gelungen, eine solche Lösung zu finden.“ Angesichts dieses Ergebnisses erscheint es mehr als fraglich, ob es den für die Datenverarbeitungen verantwortlichen Schulen, auch mit Unterstützung durch das Kultusministerium, in absehbarer Zeit gelingen kann, die getesteten Produkte rechtssicher zu nutzen.
Vor diesem Hintergrund frage ich die Landesregierung:
- Wie bewertet die Landesregierung die Erkenntnisse und Konsequenzen aus dem genannten Modellprojekt in Baden-Württemberg hinsichtlich der Übermittlung von Diagnose- und Telemetriedaten für die Anwendung von Microsoft Office 365 / Microsoft Teams in den Schulen in Nordrhein-Westfalen?
- Gibt es bei den verwendeten Programmen im Hinblick auf den Datenschutz unterschiedliche Behandlungen von Schülerinnern und Schülern und Lehrkräften bei der Sammlung und Übermittlung von Diagnose- und Telemetriedaten?
- Wie wirkt sich die unterschiedliche Behandlung beim Datenschutz auf die Nutzung von digitalen Produkten aus?
- Wie und von wem werden Lehrkräfte, Schülerinnen und Schüler sowie die an den Schulen für den Datenschutz zuständigen Personen in den Grundsätzen von Datenschutz, Datensicherheit und Persönlichkeitsrechten fortgebildet?
- Durch welche konkreten Maßnahme unterstützt die Landesregierung den Schutz der Persönlichkeitsrechte von Lehrkräften und Schülerinnen und Schülern?