Adressat:

1. Datenschutzbeauftragte, wenn benannt
2. oder aber Schulleitung

Sehr geehrte Damen und Herren,

ich spreche sie als verantwortliche Person für den Datenschutz der {Name der Institution} an.

Ich habe in der letzten Zeit immer häufiger über datenschutzrechtliche Probleme bei dem Einsatz von Cloud Lösungen an Schulen gelesen. In den Berichten tauchten vor allem Angebote wie Office 365, Google Education, Apple School und auch its learning auf.

Zum Beispiel haben der hessische und der brandenburgische Datenschutzbeauftragte sowie die niederländische Regierung festgestellt, dass der Einsatz von Office 365 im schulischen Umfeld (s.u.) mit geltendem europäischem und deutschem Recht nicht in Einklang gebracht werden kann.

Darüber hinaus sind US-amerikanische Unternehmen gesetzlich verpflichtet, den US-Behörden uneingeschränkten Zugriff auf deren Kundendaten - unabhängig von Server-Standorten - zu gewähren, ohne dass dies den Betroffenen transparent wird.

Schulen tragen hier eine besondere, auch gesetzlich verankerte Verantwortung für das besondere Schutzbedürfnis der Privatsphäre der ihr anvertrauten Kinder und Jugendlichen¹. Dies gilt auch für alle *Daten von Mitarbeiterinnen**. Und nicht zuletzt bedarf es zwingend der freiwilligen schriftlichen Zustimmung der Eltern, der *volljährigen Schülerinnen und Schüler sowie der Mitarbeiterinnen**. Daher scheint es mir mehr als geboten, alle Schulbeteiligten in den Entscheidungsprozess über die Gestaltung der digitalen Arbeits- und Lernumgebung sowie deren Verwaltung mit ein zu beziehen und gemeinsam tragfähige Lösungen zu entwickeln.

Vor diesem Hintergrund möchte ich Sie bitte, mir folgende Fragen zu beantworten:

1. Welche meine Person betreffende Daten haben Sie aktuell gespeichert?
2. Zu welchem Zweck werden die über mich gespeicherten Daten verwendet?
3. Wie betreiben Sie eine Datensicherung der über mich gespeicherten Daten?
4. Mit welchen Anbietern haben Sie Verträge über die Verarbeitung meiner Daten?
5. Welche meiner Daten werden durch Sie oder Dritte in Cloud basierten Diensten verarbeitet?
6. Falls Sie Teile meiner Daten außerhalb der Schule verarbeiten lassen, teilen Sie mir bitte mit in welchen Ländern die zur Verarbeitung genutzen Server betrieben werden? Insbesondere möchte ich wissen ob meine Daten ausserhalb der EU verarbeitet werden.
7. Welche Personen haben zu welchen Teilen meiner Daten Zugang. An der Stelle reicht mir eine Aussage zu Ihrem Rollen- und Berechtigungskonzept.
8. Bitte teilen Sie mir auch mit, welche Einverständniserklärungen Ihnen zur Datenverarbeitung und Speicherung meiner Daten vorliegen.
9. Bitte teilen Sie mir mit, auf welcher Rechtsgrundlage Sie meine Daten verarbeiten?
10. Bitte machen Sie mir die Datenschutzfolgenabschätzung zugänglich, anhand der Sie die Risikobeurteilung der Datenverarbeitungsvorgänge vorgenommen haben, innerhalb welcher meine Daten in Ihrer Zuständigkeit (ggf. auch durch Auftragsdatenverarbeiter) verarbeitet wurden und werden. ²?

Ich rege hiermit an, dass wir uns gemeinsam und selbstbewusst auf die Suche nach guten Alternativen machen: Vielerorts werden diese schon geschaffen, darunter auch von der Evangelischen Landeskirche ³ und dem Bundesland Bremen⁴. Und auch die Elternschaft der Evengelischen Schule Berlin Mitte (ESBM) und Evengelischen Schule Berlin Zentrum (ESBZ) evaluieren und betreiben schon seit zwei Jahren mit gutem Erfolg eine Open Source basierte Schul-Portal-Lösung⁵.

Weiterhin möchte ich Sie auf die Initiative Cyber4EDU⁶ aufmerksam machen. Diese Initiative arbeitet zur Zeit an konkreten Kriterien zur Auswahl von Hardware, Software und Lerninhalten im schulischen Umfeld. Eines der zentralen Anliegen ist es, die Privatsphäre an Schulen zu wahren und freie Software zu fördern.

Wir haben jetzt noch die Möglichkeit, als Schule {oder zusammen mit anderen schulnahen Institutionen}, datenschutzrechtlich unbedenkliche Alternativen einzuführen und in einem demokratischen Prozess eine tragfähige Lösung zu erarbeiten, die im Einklang mit unseren Werten steht und die eine wichtige Strahl- und Signalwirkung für den achtsamen Umgang mit der Privatsphäre der Kinder, Jugendlichen und Mitarbeiter*innen an den Schulen hat.

Mir erscheint ebenfalls ein sehr wichtiger Punkt zu berücksichtigen, dass Fehler im Umgang mit Daten nicht wieder rückgängig gemacht werden können. Sind Daten erstmal in die falschen Hände geraten, entziehen sie sich vollständig unserer Kontrolle. Aus diesem Umstand ergibt sich meiner Meinung nach eine ganz besondere Verantwortung.

Ich hoffe, Sie verstehen mein Interesse daran, zu erfahren wie es um den Schutz meiner personenbezogenen Daten steht. Mir liegt meine Privatsphäre und der Schutz meiner persönlichen Daten sehr am Herzen. Sehr gerne bin ich zu einem konstruktiven Diskurs bereit, falls es Diskussionsbedarf geben sollte. An der Stelle möchte auch noch einmal auf die Initiative Cyber4EDU⁶ verweisen, die Hilfe auf vielen Ebenen anbietet oder noch erarbeitet.

Mit herzlichen Grüßen, XYZ

Anlage

In der Anlage finden sie Links und Zitate, die meinen Standpunkt deutlich machen.

Stellungnahme des hessischen Datenschutzbeauftragten:

„Selbst, wenn diese Speichercomputer in Europa stünden, könnten US-amerikanische Behörden oder andere Personen zumindest potenziell auf Informationen zugreifen, meint Ronellenfitsch. Das widerspreche der EU-Datenschutzgrundverordnung (DSGVO). Dasselbe gelte für Cloud-basierte Anwendungen wie GoogleDocs oder iWork von Apple.“

(Quelle: https://www.welt.de/wirtschaft/article197952453/DSGVO-Schulen-bei-Office-365-Einsatz-in-Rechtsunsicherheit.html, abgerufen am 14.09.2019)

Heise Online 12/2019: „Digitalpakt Schule: Informatiker kritisieren Einsatz von Microsoft-Produkten“

"Das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) protestiert, weil über den Digitalpakt Schule oft als Software Lockvogel-Angebote von Microsoft genutzt werden. Den meisten Schulträgern oder einzelnen Lehranstalten werde eine 'kostenlose' Lizenz von Office 365 Education in der Vertragsvariante A1 angeboten."

(Quelle: https://www.heise.de/newsticker/meldung/Digitalpakt-Schule-Informatiker-kritisieren-Einsatz-von-Microsoft-Produkten-4603602.html)

Clearview

"Eine obskure US-Firma hat laut einem Bericht der New York Times rund drei Milliarden Bilder von Menschen aus dem Internet zusammengestellt, um eine umfassende Datenbank zur Gesichtserkennung zu entwickeln."

(Quelle: https://www.heise.de/newsticker/meldung/Bericht-US-Firma-sammelte-Milliarden-Fotos-fuer-Gesichtsdatenbank-4641569.html

https://www.nytimes.com/2020/01/18/technology/clearview-privacy-facial-recognition.html)

Kommentar: Microsoft, Google, Apple und Co. aus Bildungseinrichtungen verbannen

"Dieses Drogendealer-Modell von Microsoft und Co. funktioniert erschreckend effektiv. Schüler und Lehrer erhalten die Produkte bzw. Lizenzen zumeist kostenlos."

(Quelle: https://www.kuketz-blog.de/kommentar-microsoft-google-apple-und-co-aus-bildungseinrichtungen-verbannen/)

Auszug aus einer Dienstanweisung der Charite

"Patientenbezogene Daten haben ein sehr hohes Schutzbedürfnis. (...) Daten von Patienten dürfen ausnahmslos nicht in Office 365 verarbeitet werden. Hierfür sind ausschließlich die klinischen Systeme zu nutzen."

(Quelle: Interne Dienstanweisung der Charite 5.6.2019)

Auszüge aus IT-Fachmagazinen

IX, 5/2019: "Die Datenschutz-GAUs in Office 365 (...) Ein sicherer, datenschutzkonformer Betrieb von Office365 würde erst einmal erfordern, dass sich Microsoft an geltende EU-Gesetze hält"

(Quelle: https://www.heise.de/select/ix/2019/5/1907710505118147453)

Golem Online, 7/2019: "eine Analyse zeigt weiterhin Probleme mit onlinebasierten Office-Produkten"

(Quelle: https://www.golem.de/news/microsoft-telemetrie-weiter-datenschutzprobleme-mit-office-und-windows-1907-142861.html"

Heise Online: 8/2019: "Nach Ansicht der niederländischen Datenschutzbehörde verstoßen Windows 10 Home und Pro durch die Sammlung von Telemetriedaten weiterhin gegen die DSGVO."

(Quelle: https://www.heise.de/newsticker/meldung/Windows-10-erneut-im-Fokus-der-EU-Datenschuetzer-4509119.html)