Das Urteil kam zur Unzeit: Schulen und Schulträger hatten in wenigen Wochen den digitalen, fernmündlichen Unterricht für ihre Schüler*innen aus dem Boden stampfen müssen. Jetzt, im Juli 2020, verkündete der Europäische Gerichtshof (EuGH) sein Urteil im Fall Schrems vs. Facebook (“Schrems II”) – und legte damit die Basis für einen schwelenden Streit zwischen Datenschutzbeauftragten und Kultusministerien. In der Schusslinie: Kommunen und andere Schulträger. Die Tragweite für die Digitalisierung der Schulen im Corona-Jahr könnte nicht größer sein.
Die Bedeutung von Schrems II
Was war dieses schwerwiegende Urteil? Es geht um den Schutz persönlicher Daten durch die Europäische Datenschutzgrundverordnung EU-DSGVO. Das seit dem Jahr 2018 geltende Gesetz verpflichtet Unternehmen, die solche Daten speichern, zu deren Schutz, zur Rechenschaft darüber, was mit den Daten geschieht, unterbindet die unberechtige Weitergabe und gibt den Bürger*innen weitgehende Selbstbestimmung darüber, wem sie ihre Daten für welchen Zwecke geben – inklusive des Rechts der Löschung. Diese DSGVO (oder “GDPR”) ist eines der weitreichendsten, fortschrittlichsten Gesetze, die in diesem Bereich je erlassen worden sind.
Um es US-Firmen einfach zu machen, die persönlichen Daten von EU-Bürger*innen zu speichern und zu verarbeiten, vereinbarten die EU und die USA 2000 (lange vor der EU-DSGVO) das “Safe Harbour”-Abkommen. Es gab US-Unternehmen die Möglichkeit, sich mittels einer Selbstverpflichtung als den europäischen Datenschutzvorschriften konform zu erklären. Es wurde durch eine Klage des österreichischen Juristen Max Schrems 2015 vom EuGH für ungültig erklärt. Als Ersatz schlossen die EU und die USA das “Privacy Shield”-Abkommen, welches mit leichten Änderungen den gleichen Inhalt hatte. Es war vielen Kennern der Materie klar, dass es spätestens mit Inkrafttreten der DSGVO das gleiche Schicksal erleiden würde wie sein Vorgänger Safe Harbour. Im Urteil Schrems vs. Facebook II erklärte der EuGH Privacy Shield für unvereinbar mit europäischem Recht. Mehr noch: das Gericht machte klar, dass kein bilateraler Vertrag mit den USA das nötige Schutzniveau für die Daten von EU-Bürgern garantieren kann, solange die USA nicht ihre Geheimdienstgesetze wie den Cloud Act oder Fisa ändern. Diese gelten für alle US-Unternehmen und verpflichten sie, auf Anfrage sämtliche Daten zugänglich zu machen, auf die sie Zugriff haben.
Wie betrifft das Urteil die Schulen?
Warum ist das von Bedeutung für Schulen in Deutschland? Es gibt zweierlei relevante Bereiche.
- Zum einen ist da der Digitalpakt. Er gewährt Schulen 5 Milliarden Euro an Fördermitteln für die digitale Ausstattung. Dies soll die digitale Teilhabe der Schüler ermöglichen, Digitalkompetenz vermitteln, kurz: die digitale Transformation des Unterrichts unterstützen. Ein Großteil dieses Geldes ist noch nicht ausgezahlt worden, da die Planung, Ausschreibung und Antragstellung aufwändig sind.
- Zweitens besteht das Problem des Remote-Unterrichts, den die Corona-Krise nötig gemacht hat. In einem schier unglaublichen Schub dezentraler Innovation haben Schulen in Deutschland innerhalb kürzester Zeit Lösungen aufgebaut, um ihren vom Lockdown betroffenen Schüler*innen zumindest eine Minimalversion von Unterricht zu erteilen. Das verlief weder reibungslos, noch sei hier bestritten, dass ein Großteil der entfallenden pädagogischen Arbeit auf die Schultern der Eltern abgeladen wurde. Im Gegenteil: dies belegt, dass es ein organisatorischer Kraftakt war, der nur gelingen konnte, indem an jedem Punkt erhebliche Zugeständnisse gemacht wurden.
Eines dieser Eingeständnisse war der Datenschutz. In der Not griffen Schulen auf jedes digitale Mittel zurück, das sich schnell und unkompliziert einsetzen ließ. Bedenken bezüglich der Sicherheit und Datensicherheit gerieten dabei ins Hintertreffen. Diese pragmatische Entscheidung wurde vielerorts gedeckt durch die Kultusministerien: Der Freistaat Bayern fällt durch eine besonders Microsoft-freundliche Politik auf. Erst Anfang August hatte er allen Schulen des Bundeslandes Microsoft Teams zur Nutzung zur Verfügung gestellt. Das US-Unternehmen hat seinen deutschen Hauptsitz übrigens in München, kaum 20 Minuten von der Staatskanzlei entfernt. Auch das Land Baden-Württemberg hatte im Mai die Microsoft-Cloud-Lösung Office 365 für Schulen zugelassen.
Weniger laut waren lange Zeit die warnenden Stimmen der Datenschutzbeauftragten. So schließt die Datenschutzbeauftragte des Landes Berlin Maja Smoltczyk für Zoom, Skype und Teams eine “rechtskonforme Nutzung des Dienstes aus […]” und bescheinigt ihnen unter anderem “Unzulässige Datenexporte”. Die Datenschutzkonferenz von Bund und Ländern (DSK) zeigt Microsoft ebenfalls die rote Karte. Darin fand sich die klare Empfehlung, Lösungen von US-Anbieter*innen wie Microsoft nicht zu verwenden. Das Land Bayern in Person seines Landesbeauftragten für den Datenschutz verzögert derzeit die Veröffentlichung des Berichts.
Aktuell herrscht eine Art Patt-Situation, was die Frage des Datenschutzes bei der Digitalisierung der Schulen angeht. Der EuGH hat die lange gehegten Bedenken der Datenschützer*innen bestätigt. Schulen und Kommunen bewegen sich auf dünnem Eis (es drohen Klagen von Eltern, Rückforderungen von Seiten des Bundes für Fördermittel). Die Kultusministerien scheinen zu hoffen, dass es so schlimm schon nicht kommen wird – Hauptsache, 2020 findet irgendeine Art von Unterricht statt.
Das ist eine pragmatische Herangehensweise – die Schäden, die Schüler*innen und der Gesellschaft durch den entfallenen Unterricht entstehen, sind erheblich. Man kann durchaus der Ansicht sein, dass der Datenschutz weniger schwer wiegt. Doch damit ignoriert man, dass es kaum sensiblere Daten gibt als jene, die im Schulbetrieb verwendet werden. Autoritäre Regimes könnten im Exil lebende Dissidenten damit überwachen. Krankenkassen könnten die Zahl der Fehltage nutzen, um Risikoprofile zu erstellen und gegebenenfalls chronisch kranke Menschen zu benachteiligen. Politische Parteien könnten den formellen Bildungsabschluss nutzen, um einzelne Schüler*innen gezielt mit Propaganda anzusprechen. Es ist eine Lehre der IT, dass jeder Datensatz irgendwann in die Öffentlichkeit gerät, und dass es immer jemanden gibt, der daraus Kapital schlägt. Gerade junge Menschen sollten davor geschützt werden, dass ihre Zukunft durch geleakte Daten beeinträchtigt wird.
Was folgt aus Schrems II? Schulfrei?
Wie geht es weiter? Wir haben vermutlich noch einige Phasen von Remote-Unterricht vor uns. Selbst wenn die Schulen geöffnet bleiben – Lehrer*innen, die Risikopatient*innen sind, sind auf dieses Hilfsmittel angewiesen, um sich selbst zu schützen.
Doch es ist kaum anzunehmen, dass die Kultusministerien jetzt wegen Schrems II den Stecker ziehen und die mühsam provisorisch aufgebaute Lösung zum Einsturz bringen. Sie könnten hoffen, dass es keine Klagen von Bürger*innenseite geben wird, und politischen Druck auf die zuständigen Stellen ausüben, sich mit Rügen zurückzuhalten (so geschehen möglicherweise im Fall des Bayerischen Landesdatenschutzbeauftragten). Es könnte ausreichen, um den Winter 2020/2021 zu überbrücken. Doch spätestens dann muss das geltende Recht in eine klare Handlungsanweisung umgesetzt werden: Lösungen, die Cloud-Technologie von US-Anbieter*innen enthalten, sind für den Schulbetrieb nicht geeignet. Plattformen und Tools wie Teams, Zoom (oder gar Whatsapp) müssen spätestens dann außer Betrieb genommen werden.
Schon jetzt aber sollten die Kultusministerien entsprechende Richtlinien in die Vorgaben zu Projekten im Digitalpakt aufnehmen. Denn auch hier, wo es in erster Linie um Hardware geht, kommt Cloud-Technologie zum Einsatz. Vor allem die Konsolen zur Verwaltung, Steuerung und Wartung der eingesetzten Komponenten sind oft Cloud-basiert. Produkte aus den USA, aus China oder einem anderen Land, dass nicht auf der Empfehlungsliste der EU steht, dürfen nur dann verbaut werden, wenn keine Cloud-Technologie zum Einsatz kommt. Und selbst dann sollten die Schulen auf die No-Spy und No-Backdoor-Klauseln bestehen, welche etwa die EVB-IT (“Ergänzende Vertragsbedingungen für die Beschaffung von IT-Leistungen”) vorgibt.
Fazit: Wer seine Hausaufgaben nicht macht...
Schrems II war ein Erfolg für die Sicherheit und die digitale Souveränität. In untypischer Manier haben Bund und Länder die Konsequenzen, die sich aus dem geltenden Recht ergeben, bisher weitgehend ignoriert. Das mag pragmatisch gewesen sein, darf jedoch nur ein Notnagel in der Corona-Krise sein. Es muss allen Verantwortlichen schon jetzt klar sein, dass ihnen 2021 heftige Nacharbeit sicher ist.
Photo by Austrian National Library on Unsplash
Text: CC-BY-SA 3.0