MICROSOFT-DATENSCHUTZ-KRITIK: BEIM EINSATZ VON M365 DROHT SCHADENERSATZ

Teilen Sie diesen Artikel

Digitale Daten gelten als das neue Gold. Die Einzelheiten der Datensammlung, -verarbeitung, -analysen und -prozesse sind jedoch oft undurchsichtig. Dieses Problem nimmt im internationalen Kontext noch an Intensität und Quantität zu. Aber obwohl Datenschutz von großer Bedeutung ist, gibt es weiterhin kein allgemeines Bewusstsein dafür. Erst wenn Kinder und Jugendliche betroffen sind, wird das Thema für viele greifbar und spürbar – wie beim Einsatz von Microsoft 365 in Schulen. Jetzt stellen die Aufsichtsbehörden sogar Schadenersatzforderungen in den Raum.

Schon lange steht Microsoft wegen mangelndem Datenschutz in der Kritik. Dabei geht es vor allem um die Telemetriedaten, die von Microsoft-Anwendungen umfangreich in die USA übertragen werden. Bereits 2019 veranlasste das niederländische Justizministerium eine datenschutzrechtliche Überprüfung von Windows- und Office-Versionen und bemängelte ein hohes Maß an Intransparenz. Auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) stellte im November 2022 fest, dass der Einsatz von Microsoft 365 derzeit nur mit zusätzlichen Schutzmaßnahmen rechtskonform erfolgen könne. Die Verwendung von Microsoft 365 in Schulen scheint vorerst ausgeschlossen.

Seit dem sogenannten „Schrems II“-Urteil Mitte 2020 steht die Übermittlung von personenbezogenen Daten in die USA auf unsicheren Füßen. Der EuGH hatte damals das EU-US-Privacy-Shield für unwirksam erklärt. Um die dadurch entstandene Rechtsunsicherheit zu mindern, veröffentlichte die Europäische Kommission im Juni 2021 neue Standardvertragsklauseln, die sich mit Drittländern vereinbaren lassen (Beschluss 2021/914/EU). Tatsächlich bestehen für die USA, wo Microsoft bekanntlich seinen Hauptsitz hat, aber dieselben Zweifel, die das EU-US Privacy Shield zu Fall brachten. Microsoft versucht, der Datenschutzkritik mit dem EU Data Boundary zu begegnen. Dieses soll Kunden aus dem öffentlichen Sektor und der Wirtschaft eine datenschutzkonforme Verarbeitung zusichern. Das grundsätzliche Problem, dass US-Behörden aufgrund des Cloud Acts Einsicht in Daten fordern können, bleibt aber weiterhin bestehen.

Schlechter Datenschutz in Microsoft 365 gefährdet Schüler

Aus strategischen Gründen haben Software-Hersteller, insbesondere Microsoft, ein starkes Interesse daran, Schüler frühzeitig an ihre Produkte zu binden. Dies spiegelt sich in den erheblichen Rabatten für Bildungseinrichtungen wider. Gleichzeitig besteht ein erhöhtes Schutzbedürfnis von Kindern und Jugendlichen, dem der Staat als Vorbild nachkommen muss. Trotz großer Proteste startete Baden-Württemberg aber 2020 ein Pilotprojekt an Schulen, bei dem speziell konfigurierte Microsoft-Produkte in die geplante Bildungsplattform integriert werden sollten. Der damalige Landesbeauftragte für Datenschutz (LfDl) Dr. Stefan Brink kritisierte, dass es keine Rechtsgrundlage für zahlreiche Datenflüsse und Übermittlungen personenbezogener Daten gäbe. Kürzlich forderte er, den Einsatz von Microsoft 365 oder Microsoft Teams an Schulen zu beenden und auf Alternativen umzusteigen. Im Tätigkeitsbericht des LfDl im Jahr 2022 steht dazu: „Wir empfehlen dringend allen Schulen rasch umzustellen […], um die Rechte und Freiheiten der betroffenen Personen schneller zu gewährleisten.“

Datenschutz-Kritik ist im schulischen Kontext unbedingt geboten, denn der Staat muss seiner Schutzpflicht gegenüber Kindern und Jugendlichen kompromisslos nachkommen, um sie vor Tracking, Profilbildung und anderer rechtswidriger Datenverarbeitung zu bewahren. Angesichts besonders sensibler Daten wie Zeugnissen oder der Einordnung von Begabungen ist das Gefährdungspotenzial hier immens.

Bei der Microsoft-Datenschutz-Kritik geht es auch um ethische Aspekte

Grundsätzlich ist es wichtig zu betrachten, wie eine ethisch und rechtlich vertretbare Speicherung, Analyse, Verknüpfung und Verarbeitung von Daten gewährleistet werden kann. Schulen haben hier eine Vorbildfunktion. Wir können es uns nicht leisten, wenn diese Institutionen eine nachlässige Datenschutzpraxis vorleben und an zukünftige Generationen weitergeben. Während unsere Kinder mit dem Internet, künstlicher Intelligenz und Datenräumen aufwachsen, dürfen wir sie nicht alleine lassen mit diesen komplexen und undurchsichtigen Prozessen. Vielmehr müssen wir sie frühzeitig über die Risiken aufklären, statt zu resignieren und Abhängigkeit zu demonstrieren, wie sie leider oft sogar institutionell zu beobachten ist.

Vehement für Datenschutz eintreten

Es wäre blauäugig, Datenschutz als Selbstverständlichkeit von US-Branchenriesen wie Microsoft zu erwarten. Naturgemäß stehen bei solchen Konzernen rein wirtschaftliche Interessen im Vordergrund. Vielmehr müssen wir alle vehement und mit langem Atem für die Sache eintreten. Dass der Einsatz von Microsoft Cloud-Diensten in Schulen keine rechtssichere Option ist, sollte mittlerweile auf der Hand liegen. Aber auch jeder Entscheider in Unternehmen sollte sich fragen, ob er unbedingt Microsoft Abo- und Cloud Services braucht. Selbst die renommierte Strategieberatung Gartner empfiehlt bereits seit Jahren, lieber auf Perpetual-Lizenzen zu setzen, wo es möglich ist. Diese bieten immense Vorteile bei Datenhoheit, Datenschutz und Ökologie. Wenn Kunden das europäische Juwel des Gebrauchtsoftware-Marktes nutzen, profitieren sie zudem von günstigen Preisen.