Teil 1 – Massive Datenschutzprobleme im Bildungsministerium und fehlende Strategien

Die Pandemie hat der Digitalisierung an den Schulen einen gehörigen Schub verpasst. Was eigentlich eine erfreuliche Meldung wert wäre ist aber leider keine, denn das System der Digitalisierung in den Schulen wurde schon vor der Pandemie wenig strukturiert und ohne Strategie in die Schulen gebracht. Bis heute fanden keine Korrekturen von gravierenden Missständen statt und das alles zum Leidwesen des Schutzes der Daten von Schülerinnen und Schülern. Nicht nur wurde sehr viel Geld verschwendet, leider ist auch das Grundgerüst der IT im Bildungsbereich nicht zukunftstauglich und potentiell sogar illegal. In der folgenden zweiteiligen Artikelserie wollen wir einen Überblick über den aktuellen Stand der wichtigsten Entwicklungen verschaffen und erklären was Bildungsminister Polaschek nun dringend tun sollte.

Das positive zuerst: die Digitale Grundbildung, die bisher nur freiwillig als eigenes Fach in der Sekundarstufe I etabliert wurde, ist ab dem kommenden Schuljahr als ein eigenes verpflichtendes Schulfach in allen 4 Jahrgängen der Unterstufe beschlossen.

Der Lehrplan sieht vor, früh genug gesellschaftliche Aspekte von Medienwandel und Digitalisierung zu etablieren. Informations-, Daten- bzw. Medienkompetenz und kreative Mediengestaltung sollen den jungen Menschen, die sich sowieso selbstverständlich im Internet bewegen frühzeitig vermittelt werden. Ausserdem soll die Fähigkeit komplexe Sachverhalte herunter zu brechen, so dass sie auch von Computern gelöst werden können - Computational Thinking – trainiert werden. Bleibt zu hoffen, dass die Lehrkräfte dafür gut geschult werden und Computational Thinking nicht auf dem Niveau der Erstellung von Exel Tabellen oder anderen Kursen für Microsoft Office stattfindet. Quelloffene Lösungen (Open Source) haben kein Marketing Budget, wären aber gerade aufgrund ihrer offen einsehbaren Funktionsweise sicher das bessere Mittel der Wahl, wenn man jungen Menschen ernsthaft Computational Thinking vermitteln möchte.

Man hat sich entschieden stufenweise Schüler*innen und Lehrkräfte mit Tablets und Laptops auszustatten, deren Finanzierung zum Großteil vom Staat übernommen wird. Gestartet wurde mit 150.000 Geräten, bei denen es jedoch teilweise zu Lieferschwierigkeiten kam. Das kann man gut und gerne als Schulbuchaktion für das 21. Jahrhundert bezeichnen und wir sehen das als einen wichtigen Schritt das Problem des Digital Dividezwischen ärmeren und besser ausgestatteten Schüler*innen zu verbessern.

Leider hat man in der konkreten technischen Umsetzung der Maßnahme gravierende pädagogische und datenschutzrechtliche Fehlentscheidungen getroffen. Die zwei wichtigsten und folgenreichsten sind das bestehen auf proprietären Systemen mit ungeklärter Datenweitergabe in Drittstaaten und umfassender Fernzugriff auf ein privat genutztes Gerät von Schülerinnen und Schülern.

Obwohl ein Viertel der digitalen Geräte noch nicht geliefert wurden oder die von A1 gelieferten Laptops nicht die Hardwareausstattung haben um dem Einsatz in den Schulen zu genügen, wurde bereits die Ausdehnung der Digitalen Grundbildung auf die Volksschulen, mit dem Schuljahr 2023/24 angekündigt. In den Volksschulen ist noch mehr an digitaler Infrastruktur erst aufzubauen, wie eine ausreichende Internetverbindung.

Die Einhaltung der EU-Datenschutzgesetze lässt nach bald vier Jahren weiter auf sich warten

Die Bildungsdokumentation der Schüler*innen ist unter türkis-grün auf 60 Jahre, also das Dreifache, des vorherigen Zeitraumes ausgeweitet worden. Wir haben das schon während dem Gesetzgebungsprozess stark kritisiertund unsere Bedenken auch in einer parlamentarischen Stellungnahme ausgeführt. Diese Vorratsdatenspeicherung reicht von Betragensnoten in der Volksschule bis zu AMS Kursen kurz vor der Pension. Derart heikle Maßnahmen müssen gemäß Artikel 35 der EU-Datenschutzgrundverordnung (DSGVO) einer Datenschutzfolgenabschätzung unterzogen werden.

Während in der Diskussion über das Gesetz unter türkis-blau noch gar keine Datenschutzfolgenabschätzung (DSFA) vorgesehen war, wurde unter türkis-grün in der Wirkungsfolgenabschätzung eine Datenschutzfolgenabschätzung parallel zum Gesetzgebungsprozess im Resort versprochen.

Das Gesetz ging am 18. November in Begutachtung, wurde am 11. Dezember 2020 im Nationalrat beschlossen und ist am 7.Jänner 2021 durch Kundmachung im Bundesgesetzblatt inkraftgetreten. Eine Datenschutzfolgenabschätzung dazu haben wir erst ein halbes Jahr später gefunden. Laut dem Deckblatt ist sie vom Dezember 2020. Im Mai war sie aber noch nicht auf der Webseite, wie wir mit Hilfe des Archivs von web.archive.org herausfinden konnten. In den Metadaten des PDFs sieht man, dass es am 14.6.2021 erstellt wurde. Einen Tag später war es online zu finden.

Eine DSFA mit der Abwägung und Begründung von öffentlichem Interesse und Rechten der Betroffenen, wie sie der Gesetzgeber vorsieht, stand somit während der Begutachtung und öffentlichen Diskussion des Gesetzes nicht zur Verfügung. Die Auswirkungen von Gesetzen auf Grundrechte der Bürger*innen müssten aber bereits in der Wirkungsfolgenabschätzung zum Gesetzesentwurf und damit schon während dem Gesetzgebungsprozess zur Verfügung stehen. Jedes Mal wenn der Gesetzgeber in Grundrechte eingreift, liegt bei ihm die Rechtfertigungslast, wieso er sich im Rahmen der Verfassung und Grundrechte bewegt. Gerade bei lebenslangen Grundrechtseingriffen, die die jüngsten in der Gesellschaft betreffen, sollte darauf besonderer Wert gelegt werden.

Aber auch die Qualität des nachgereichten Dokuments ist nicht tragbar. Eine derart mangelhafte Arbeit würde jeden kleinen oder mittelständigen Betrieb in große Probleme bringen und keinesfalls einer Prüfung durch die Datenschutzbehörde standhalten. Eine Folgenabschätzung dient dazu das Risiko einer Datenverarbeitung abzuschätzen und Maßnahmen zu identifizieren, um diese Risiken zu minimieren. Obwohl hier in die Grundrechte aller Menschen in Österreich eingegriffen wird, bringt dieses Dokument keinerlei Maßnahmen, wie versucht wird mit diesem Risiko umzugehen. Die vorgelegte Risikobewertung ist voll von Gemeinplätzen und ignoriert die Risiken und Rechte der Schüler*innen mit dem Hinweis auf das Disziplinarrecht der Lehrkräfte. Sicherheitsvorkehrungen wiederum werden wie aus dem entsprechenden Informationssicherheitshandbuch plagiiert einfach aufgezählt, ohne ordentliche Erläuterungen und als habe man es mit spezialisierten IT Profis zu tun: Zugriffskontrolle, Berechtigungssysteme, Schlüssel- und Passwortverwaltung, Kryptographie oder incident handling wird lapidar den Schulen übertragen. Jede/r der in letzter Zeit versucht hat eine verschlüsselte E-Mail an eine Schule zu schicken, dürfte über so eine Liste nur mit den Augen rollen. Sie ist fern der gelebten Schulrealität. Weit weg von irgendwelchen Realitäten sind auch die Sicherheitsvorkehrungen für die Auftragsverabeiter. Nach DSGVO haben diese Auftragsverarbeiter Sorge zu tragen, dass sie die Daten auf angemessenem Schutzniveau behandeln. Jedoch ist bis heute nicht rechtssicher geklärt, ob Microsoft und Google Dienste in diesem Sinne überhaupt DSGVO konform betrieben werden können. Die einhergehende Vergläserung der Schüler*innen durch US-Datenriesen wird keinesfalls zufriedenstellend geregelt. Der schnöde Hinweis auf die Verwendung von Microsoft Produkten ist das einzige Detail dazu.

Fehlende Datenschutzfolgenabschätzung für den Einsatz von US Clouddiensten

Viele Daten, die im Schulalltag anfallen werden in der sogenannten Cloud gespeichert. Das Wort „Datenwolke“ meint eigentlich, dass Daten nur in sehr begrenztem Umfang lokal auf Computern gespeichert werden. In den letzten Jahren baute die Datenindustrie dieses Geschäftsmodell zunehmend aus. Es im Markt zu platzieren war relativ einfach, weil es praktisch ist, denn die Daten liegen für alle Zugangsberechtigten über das Netz verfügbar vor. Und die Nutzer*innen sind das Problem der Backups los, bei Clouddiensten gibt es de facto keine Datenverluste, da sich hochbezahlte Profis um die Backups der Server kümmern. Die Kehrseite dieses Speichermodels ist eben die Zentralität und das Vertrauen, dass man dem Dienstleister entgegen bringen muss, da die Daten beim Dienstleister liegen und nicht in der eigenen Obhut. Die DSGVO sieht deshalb eine Datenschutzfolgenabschätzung vor, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bestehen. Im Falle der Clouddienstnutzung durch die Schulen fehlt diese Stand 2022 nach wie vor. Begründet wird das vom BMBWF mit dem Fall des Privacy Shields durch das Schrems II Urteil und einer angeblich dadurch ungeklärten Situation. Das ist aber zu einfach, denn viele offizielle Stellen raten schon lange, genau aufgrund dieser ungeklärten Situation um die eventuelle Weitergabe von Daten, von der Nutzung ab. Vielmehr besagt das Schrems II Urteil ja genau, dass die massive Gefahr der Überwachung durch die NSA dazu führen muss, dass Datenweitergaben in die USA nicht mehr ohne weiteres möglich sind. Dieses abwartende Verhalten entspricht eher einer Taktik des Aussitzens von unangenehmen Wahrheiten. So ein Verhalten ist hinlänglich von großen Playern bekannt, die damit solange wie möglich Fakten schaffen wollen, von Stellen, die den Schutz der nächsten Generationen zu verantworten haben, erwartet man eine bewusstere und proaktivere Handhabung. Denn, das Urteil besagt klar, dass das Schutzniveau bei US-Clouddiensten aus den oben genannten Gründen einfach nicht gegeben ist. Dazu gab es vor Kurzem auch einen Bescheid der österreichischen Datenschutzbehörde, der den Einsatz von Google Analytics als unzulässig erklärt hat^.

Statt dessen gibt es vom BMBWF den Versuch einer Rechtfertigung mit diesem Dokument "Rahmenbedingungen für den Einsatz privater Clouddiensteanbieter im IT-gestützten Unterricht".

Man versucht einen Workaround gegen das offizielle Wissen, dass die Datenverarbeitung eigentlich so nicht geht indem eine nicht mehr existente Abgrenzung der Anwendungskategorien "Verwaltung" und "Pädagogik" angeführt wird. In der Praxis werden jedoch schon längst Microsoft und Google für Datenübertragungen zu Inhalten wie Noten, Verhalten und familiären Problemen von Schüler*innen benutzt.

Aber so ganz sicher scheint man sich auch nicht zu sein: das Ministerium macht(e) trotzdem einen Unterschied zwischen Software die im Unterricht verwendet wird (Bildbearbeitung und Textverarbeitung etc.) und Software die für die Schulverwaltung (also Noten, Abschlüsse, etc.) eingesetzt wird. Zweitere wird allerdings in AT programmiert und im BRZ gespeichert. Das wäre eigentlich prima, aber seit Microsoft und Google für die Schulkommunikation genutzt werden hat das leider keinen Wert mehr, da z.B. Noten, Verhaltensauffäligkeiten etc. über US-amerikanische Software laufen. In dem Datenschutzkonzept des BMBWF wird trotzdem immer noch unterschieden, die Schulkommmunikation gehört jetzt zu Pädagogik und nur die zentrale Speicherung von Abschlüssen und Noten ist Verwaltung. Das macht so absolut keinen Sinn, da die Daten in der Kommunikation noch viel detaillierter und umfangreicher sind, als die in die Verwaltung übernommenen. Und auch die Begründung, andere Länder würden beim Einsatz von US-Cloudddiensten ähnlich vorgehen ändert nichts an dieser falschen Kategorisierung beim Schutzniveau der Schüler*innendaten. Statt sich auf Länder zu berufen die ähnlich fragwürdig vorgehen, hätte man sich an Schulen wie dem BRG Kremszeile orientieren können, die bewusst auf US-Software verzichten.

Das BMBWF hat Microsoft und Google einen Fragebogen geschickt und die ausgefülltenAntworten auf ihrer Datenschutzseite veröffentlicht. Die konkreten Antworten sind haarsträubend und stellenweise wird in den Antworten offen der Bruch mit Gesetzen oder Inkonsistenzen zugegeben:

Frage 9. z.B. fragt nach: „Werden Daten im Rahmen einer Strafverfolgung herausgegeben?“

Antwort : „Microsoft wird verarbeitete Daten gegenüber Strafverfolgungsbehörden nur offenlegen, wenn dies gesetzlich vorgeschrieben ist. .. Wenn Microsoft gezwungen wird, verarbeitete Daten gegenüber einer Strafverfolgungsbehörde offenzulegen, informiert Microsoft den Kunden unverzüglich hierüber ... es sei denn, dies ist gesetzlich untersagt." Spielt man hier den seit Edward Snowden bekannten Usecase der US-Massenüberwachung durch, der zur Aufhebung des Privacy Shield in Schrems II geführt hat, ist klar, dass die Daten der Schüler*innen in Österreich nicht geschützt sind. Überwachungsgesetzte in den USA erlauben den massenhaften und verdachtsunabhängigen Zugriff auf personenbezogene Daten und verbieten die Information der Betroffenen. Wie soll man also in so einem Fall davon wissen? Würden die Daten in Europa oder Österreich an vertrauenswürdigen Stellen bleiben, gäbe es überhaupt kein Problem. Ist die datenschutzrechtliche Unversehrtheit der Kinder Bildungsminister Polaschek nichts wert? Warum baut man keine eigene, europäische Infrastruktur für so ein Projekt? Seit dem Cloud Actgibt es Zugriffsmöglichkeiten der US Behörden auf die Server von US-Firmen wie Microsoft auf europäischen Datenzentren in Frankfurt oder Schwechat, soviel ist bekannt. Google sagt dazu gar nichts und hält sich bedeckt, aber auch bei Google finden die US Gesetze Anwendung.

In der Datenschutzinformation der Schulverwaltung an österreichischen Schulen auf der Seite des BMBWF wird in der verlinkten Datenschutzinformation zu MS Office noch auf das Datenschutzniveau durch das vom EuGH aufgehobene EU-USA Privacy Shield verwiesen. Leider fällt unser Urteil vernichtend aus. Das Bildungsministerium scheitert an der Einhaltung der einfachsten Datenschutzvorgaben und riskiert damit massive, lebenslange Benachteiligungen der Schüler*innen in Österreich. Jede nicht offizielle Stelle hätte mit so einer fehlerhaften DSGVO Information Probleme zu befürchten, das ist keine Liga, die eine damit befasste, offizielle Stelle spielen darf!

Zu Teil 2