Lukas Wagner besucht die 12. Klasse einer gymnasialen Oberstufe in Hessen und er will nicht, dass seine Schule ohne seine Zustimmung persönliche Daten mit Microsoft teilt. Statt auf die Kritik einzugehen, schlagen die Verantwortlichen vor, dass er nicht am Online-Unterricht teilnimmt. Sein Erfahrungsbericht erschien zuerst auf netzpolitik.org, der Plattform „für digitale Freiheitsrechte“.
Wir danken dem Autor und der Initiative netzpolitik.org für die Möglichkeit für einen aktualisierten Nachdruck.
Ja, auch ich hatte einen Sprachassistenten, der meine Sprachkommandos irgendwo auf einen mir unbekannten Server in die Welt schickte. Ich habe die Dienste geliebt, die ich heute um alles in der Welt meiden will. Wenn ein Unternehmen mich fragte, ob ich Daten zur „Produktverbesserung” bereitstellen wolle, willigte ich ohne Nachdenken ein, denn es schien ja für einen gemeinnützigen Zweck zu sein. Wie viele Accounts ich bei Anbietern hatte, die mir scheinbar kostenlose Dienste angeboten haben? Ich weiß es nicht mehr.
Aber ich habe mit der Zeit herausgefunden, dass sie viel mehr kosteten als Geld. Der Verlauf meiner Aktivitäten bei Google endet im Oktober 2018. Zu diesem Zeitpunkt verstand ich, dass Digitalisierung auf Dauer nicht ohne gewisse Rahmenbedingungen funktioniert. Dabei kam mir zugute, dass ich schon viele Jahre programmierte und mich immer mehr für die Hintergründe der undurchschaubaren digitalen Welt interessierte. Ich distanzierte mich von Anwendungen der Unternehmen, die mir nicht transparent darlegen konnten, welche Daten sie wie nutzten. Ich wollte nicht mehr mit meinen privaten Daten bezahlen. Im privaten Bereich kann ich selbst entscheiden, was ich nutzen möchte, in der Schule nicht. Meine Schule verarbeitet diverse Daten. Das fängt beim zentralen Schulnetz-Account an, mit dem man sich bei den schuleigenen Diensten sowie bei Cloud-Diensten anmeldet.
Neben Diensten wie dem Lernmanagementsystem Moodle, das auf dem Schulserver vor Ort gehostet wird, fließen auch Name und Geburtsdatum zu Microsoft. Diese Daten können von dem US-Unternehmen genutzt werden, indem sie mit Nutzungsdaten verknüpft werden, die während der Verwendung der Dienste wie etwa Microsoft Teams anfallen. Dazu kommen je nach Nutzung noch Informationen, die man aktiv eingibt, zum Beispiel einen Text für den Politikunterricht.
Datenverarbeitung gegen meinen Willen
Um solche Arten von Daten verarbeiten zu dürfen, bedarf es in der EU einer Rechtsgrundlage. Viele Schulen in Deutschland setzen dabei auf die Einwilligung der Betroffenen, die von den Eltern oder ab 16 Jahren von den Schüler:innen selbst eingeholt werden muss. An meiner Schule hat es sowas aber nie gegeben. Rechtlich abgesichert hat sich die Schule lediglich zur Veröffentlichung von Fotos.
Für die Nutzung von Moodle, das auf dem Schulserver gehostet wird, kann eine solche Einwilligung ausreichen, nicht aber für die erwendung von Microsoft-Produkten an Schulen. Der Hessische Datenschutzbeauftragte stellte 2019 fest, dass Microsoft Office 365 selbst mit Einwilligung an Schulen nicht verwendet werden darf. Erst unter dem Druck von Anbietern und Nutzer:innen erteilte er eine befristete Ausnahmegenehmigung, die am 31.7.2021 ausläuft (siehe Kasten).
Im Netz gibt es viele Mustervorlagen für Einwilligungserklärungen für die Nutzung von Microsoft-Produkten an Schulen. Deshalb könnte man meinen, es sei einfach, die Schule zum Verteilen einer simplen Einwilligung zu bewegen, bei der man ankreuzen kann, welche Dienste man nutzen will und welche Daten verarbeitet werden sollen. Das war es nicht.
Ein schwieriger Start
Über Jahre hinweg verarbeitete meine Schule Daten, ohne damit transparent umzugehen. Als ich auf die Schule gekommen bin, wurde ich darüber nicht informiert. Ein halbes Jahr sollte es dauern, bis ich erfahren habe, dass Daten für Cloud-Dienste verarbeitet werden und am Ende sogar das Schulgebäude verlassen. Realisiert habe ich das erst, als ich aufgefordert wurde, mich bei Moodle anzumelden.
Es war Ende April im Corona-Jahr 2020, als eine Mathestunde online stattfinden sollte. Zunächst unterstützte ich das sehr, da nach einer langen Phase des selbstständigen Lernens mit schriftlichen Aufgaben nun endlich wieder die Möglichkeit bestehen sollte, mündlich Fragen zu stellen. Aber es kam, wie es kommen sollte: Die Software Microsoft Teams wurde ausgewählt. Ich wollte aber kein Kunde von Microsoft mehr sein und meine Daten unkontrolliert verbreiten. Für den Moment hatte ich keine andere Wahl, als die Software zu installieren, sonst hätte ich den Unterricht verpasst.
Ich schrieb also an meinen Lehrer, der als IT-Beauftragter mitverantwortlich für den Betrieb der Software ist. Ich legte ihm meine Bedenken dar, wieso ich mit der Auswahl der Software nicht einverstanden war. Außerdem fragte ich ihn, wie die Verwendung der Software rechtlich zu legitimieren war. Die Antwort kann man so zusammenfassen: Name und Geburtsdatum werden an Microsoft gesendet. Den Standort der Server müsse man mir nicht mitteilen, es fielen auch keine sonstigen personenbezogenen Daten an. Da musste ich nicht lange nachdenken, dass bei der Verwendung der Software natürlich mehr Daten anfallen. Schon allein, dass Daten versendet wurden, wenn ich das Teams-Fenster mit dem Mauszeiger verlassen habe, widerlegt diese Aussage. Und was bedeutete wohl das hundertfache Vorkommen des Wortes „Telemetry” in der Log-Datei, die während der Mathestunde generiert wurde?
Die Schule entschied aufgrund meines Einspruchs, einfach meinen Account zu löschen. Eine Option war das für mich nicht, da ich dadurch auch den Zugang zu Moodle und zum gesamten Online-Unterricht verloren hätte. Darauf wurde mein Account wiederhergestellt, wobei noch alle Kurse vorhanden waren und somit das Konto auch nie wirklich gelöscht worden war. Der Lehrer teilte mir außerdem mit, dass er mit meinen Eltern sprechen wolle. Zu dem Gespräch kam es allerdings nie.
Im nächsten Schritt kontaktierte ich den Datenschutzbeauftragten der Schule. Ich bat ihn um ein Gespräch, da es auch noch weitere Probleme wie etwa Google Analytics auf der Website gab. Ich erwartete, dass ich als Antwort einen Vorschlag bekommen würde, wann und wie das Treffen stattfinden sollte. Stattdessen erhielt ich folgende Antwort: „Alle anderen von Dir gewünschten Gesprächsthemen müssen und werden wir nicht mit Dir diskutieren – hierüber besteht Einigkeit auch seitens der Schulleitung.“
Schule ohne Kooperationsbereitschaft
Ich könne gerne eine Selbstauskunft anfordern. Diskussionsbedarf hatte auch ich nicht, denn es war zu eindeutig, dass eine Einwilligung notwendig war. Deswegen bat ich darum, meine Fragen schriftlich zu beantworten. Meine E-Mails wurden ab da einfach ignoriert. Nach den Sommerferien 2020 ging ich deswegen persönlich zum Datenschutzbeauftragten. Reden wollte er nicht mit mir, ich solle zur Schulleitung gehen.
Jetzt wusste ich mir nicht anders zu helfen, als gemeinsam mit Freund:innen eine Datenanfrage-Aktion zu starten. Wir vereinbarten, möglichst viele Anfragen auf Selbstauskunft an den Datenschutzbeauftragten zu schicken, um zu zeigen, dass es noch mehr Menschen gibt, denen es nicht egal ist, wie ihre Daten geschützt werden.
Schon nach drei Personen erklärte mir mein Informatiklehrer, dass die Schule wohl einen Fehler gemacht habe. Selbstverständlich würde es nun eine Einwilligung geben, sie sei bisher einfach vergessen worden. Schon einen Tag später schickte er mir einen ersten Entwurf.Kurze Zeit später wurde ich per Brief zu einem Gespräch eingeladen. Eigentlich war davon auszugehen, dass die Schule nach nunmehr fast einem Jahr endlich Fehler eingesteht und die Situation verbessern will. Anstatt auf Fragen einzugehen, bekam ich allerdings nur Antworten wie, dass Microsoft Teams Industriestandard sei. Der Schulleiter glaube nicht, in der Verantwortung zu sein – ändern will er nichts.
Es stellt sich die Frage: Was ist die Gefahr, wenn nicht nachhaltig digitalisiert wird? Datenschutz spielt hier eine wichtige Rolle. Während einzelne Daten, z.B. wann sich jemand bei Microsoft Teams einloggt, keinerlei Relevanz haben, ändert sich das, wenn von mehreren Millionen Schüler:innen das gleiche Datum erhoben, verknüpft und verglichen wird.
Nun könnte man sagen: Es gibt keine Beweise, dass beispielsweise Microsoft das tut. Aber wenn einmal etwas auf einem Server gespeichert ist, kann man sich relativ sicher sein, dass es nie wieder gelöscht wird. Man stelle sich beispielsweise vor, dass ich in 20 Jahren vor einem intransparenten Algorithmus stehe, der mich für einen Job ablehnt, weil ihm ein Text nicht passt, den ich damals im Politikunterricht geschrieben habe. Es kann nicht sein, dass es möglich ist, dass ein Schulleiter über Jahre hinweg entscheiden kann, sich wissentlich nicht an Gesetze zu halten. Wenn es um die Zukunft von fast 2.000 Schüler:innen geht, ist das mehr als nur bedenklich.
Umdenken: Datenschutz ist wichtig
Am Ende geht es mir nicht darum, dass nach einem Jahr der Schulleiter (vielleicht) irgendwann eine Rechtsgrundlage für die Verarbeitung der Daten schafft. Das ändert dann leider nichts daran, dass die Beauftragten der Schule vorher jahrelang systematisch gegen Gesetze verstoßen haben, hierzu keine Einsicht zeigen und so überzeugt von den Produkten sind, dass sie alle Gefahren der Nutzung hintanstellen. Es braucht ein Verständnis, warum Datenschutz an Schulen wichtig ist, und ein Umdenken bei den Beauftragten der Schule. Die besten Datenschutzgesetze bringen nichts, wenn sie kategorisch missachtet werden und wenn es so schwierig ist, gegen Verstöße vorzugehen wie in meinem Fall.
Lukas Wagner