Mit Microsoft, ohne Datenschutz
Das Kultusministerium will eine Bildungsplattform aus den USA einsetzen - Grundsätzliche Bedenken von Datenschützern teilt man nicht
Von Jens Schmitz, RNZ Stuttgart
Stuttgart. Kultusministerin Susanne Eisenmann (CDU) macht die geplante digitale Bildungsplattform nicht vom Landes-Datenschutzbeauftragten abhängig. Das geht aus einem Landtagsdokument hervor, das unserer Zeitung vorliegt. Die oppositionelle FDP-Fraktion wirft der Ministerin vor, im Kampf für eine Lösung des US-Riesen Microsoft Scheuklappen angelegt zu haben. Der Chaos Computer Club wittert Wortbruch. Und auch bei den Grünen regt sich Unmut.
"Wir wollen das, aber wir wollen es rechtlich sauber", hatte Eisenmann im Juli unserer Zeitung gesagt. "Wir machen das nicht im Streit." Hintergrund ist ein Dissens zwischen ihrem Haus und dem Landesdatenschutzbeauftragten Stefan Brink. Es geht um Software für die im Aufbau befindliche Plattform für Schulen: Für Dienst-Mails und digitale Lehrer-Arbeitsplätze plant das Ministerium mit dem Paket "Office 365" des US-Konzerns Microsoft, einer der weltweit populärsten Bürolösungen.
Brink sieht allerdings Datenschutzprobleme, die ohne wesentliche Anpassung der Verarbeitung durch Microsoft selbst kaum zu lösen seien. Der Chaos Computer Club Stuttgart warnte in einem offenen Brief vor einem "Kontrollverlust über die Daten der SchülerInnen und LehrerInnen in Baden-Württemberg".
In der Antwort auf eine Landtags-Anfrage des FDP-Bildungsexperten Timm Kern stellt Eisenmann nun klar, dass die Meinung des Datenschutzbeauftragten (LfDI) nichts an ihrem Ziel ändert: "Die Beratung des LfDI bedeutet für das Kultusministerium eine wertvolle Unterstützung auf seinem Weg hin zu einem datenschutzkonformen Einsatz von Microsoft Office 365", schreibt sie. "Aus rechtlicher Sicht steht die Datenverarbeitung durch das Kultusministerium allerdings nicht unter dem Vorbehalt der Zustimmung des LfDI."
Auch interessant
Das Kultusministerium gehe nicht von einem hohen Risiko für die Rechte der betroffenen Personen aus. Es könne durch Maßnahmen wie "den vollständigen Ausschluss bestimmter Datenkategorien von der Verarbeitung" eingedämmt werden, aber auch durch "Verschlüsselungsmodalitäten für die Speicherung und Übermittlung von Inhalten, eine Zwei-Faktor-Autorisierung und die Protokollierung".
Stefan Leibfarth vom Chaos Computer Club Stuttgart glaubt das nicht. Es sei technisch nicht möglich, dafür zu sorgen, dass Daten, die an Microsoft-Server in Deutschland überspielt würden, nicht auch in den USA landeten, erklärte er. Man könne Microsoft auch nicht an der Weitergabe an US-Behörden hindern, denn dazu sei der Mutterkonzern rechtlich gezwungen. Den Landesdatenschutzbeauftragten gegebenenfalls zu übergehen sei "hoch riskant und Wortbruch".
Brinks Behörde stellte derweil einen Leitfaden für Unternehmen online: Einem aktuellen Urteil des Europäischen Gerichtshofs (EuGH) zum Privacy-Shield-Abkommen zwischen der EU und den USA zufolge dürften europäische Unternehmen nämlich Anbieter wie Microsoft streng genommen gar nicht mehr nutzen, heißt es dazu.
Gegenwind kommt sogar vom Koalitionspartner. Der Bildungsfachmann der Grünen, Alexander Salomon, hatte Eisenmann zum EuGH-Urteil Anfang August einen Brief geschrieben. Vergangene Woche twitterte er über ihre Antwort: "Das @KM_BW muss in Sachen Microsoft Office 365 zugeben, dass es eigentlich nichts weiß (über Datenabflüsse und Co.) – daher benötigt man nun eine Pilotphase. Und das bei einer angeblich einsatzbereiten und datenschutzkonformen Software. Unfassbar".
Der Bildungsexperte der Liberalen, Timm Kern, beklagt eine Scheuklappenhaltung bei Eisenmann. Alternativen nennt sie nämlich trotz Nachfrage nicht. Es könne nicht ausgeschlossen werden, folgert Kern, "dass Alternativprodukte nicht ernsthaft in Erwägung gezogen wurden".