Datenschutz im Bildungsbereich: Schüler*innendaten in den Händen von Big Tech / Teil 2
Teil 2 – Millionengrab für proprietäre Software, statt ordentlicher Open Source Förderung
Wir hatten uns im ersten Blogpost unserer Reihe zum Thema digitale Bildung in den Schulen ja schon hinreichend mit dem Fehlen von Strategien, Datenschutzfolgenabschätzungen und den Konsequenzen beschäftigt. Nun geht es um die möglichen Folgen, dieser gratis Lobbyarbeit im Sinne von Big Tech.
Software von Big Tech Giganten, muss das sein?
Proprietäre Software gefährdet die Privatsphäre der österreichischen Schüler*innen! Eigentlich müsste das bei kompetenten Informatiker*innen auch in Österreich bekannt sein. Doch Österreich ist schon lange falsch abgebogen und verlässt sich auf US-amerikanische Big Tech Firmen bei der Nutzung von Software im Schulbereich und wohl auch darüber hinaus. Microsoft ist vorherrschend, und auch Google kommt oft zum Einsatz. Neben der Präsenz im Lehrplan werden diese Produkte auch für Mails mit den Schüler*innen und für dienstliche Kommunikation der Lehrenden verwendet. Trotz großer Datenschutzbedenken in gut informierten Kreisen werden sie von offizieller Seite als datenschutzrechtlich unbedenklich angepriesen. Ein unhaltbarer Zustand, wie wir bereits berichtet hatten.
Ebenfalls stellten wir damals eine Frag-den-Staat Anfrage an das Bildungsministerium. Statt das Problem zu verbessern sitzt man es offenbar einfach aus und schafft Fakten. Mittlerweile ist bei der Digitalisierung der Schulen Microsoft noch massiver im Einsatz, zentrale IT-Anwendungen im Unterricht laufen über diese Dienste. Der größte Tabubruch ist jedoch die zwangsweise Nutzung der Betriebssysteme von Microsoft oder Google auf den Endgeräten, die den Schülern zur Verfügung gestellt werden.
Im Jahr 2013 gab Edward Snowden öffentlich bekannt, dass US-Geheimdienste mit Hilfe von Überwachungsprogrammen, wie PRISM, Zugang zu den persönlichen Daten europäischer Nutzer*innen haben. Dieser Zugang wurde durch ein US-Gesetz erleichtert, 50 U.S.C. §1881a (oder Foreign Intelligence Surveillance Act - FISA 702), der es der National Security Agency ermöglicht, die Kommunikation von Ausländern zu überwachen.
In den von Edward Snowden offengelegten Dokumenten sind eine Reihe von US-Unternehmen angeführt, die der US-Regierung Daten für Überwachungsprogramme wie PRISM oder Upstream im Rahmen dieser Bestimmungen zur Verfügung stellen, darunter Apple, Microsoft, Facebook, Google und Yahoo. Microsoft, wird in den von Edward Snowden offengelegten Dokumenten ausdrücklich genannt und gibt offen zu, Daten nach FISA702 an die US-Regierung zu übergeben. Diese Fakten scheinen das Ministerium in Österreich allerdings nicht zu einer Reaktion zu bewegen. Außerdem sichert der Cloud Act, ein US-amerikanisches Gesetz aus dem Jahr 2018, US-Behörden den Zugriff auf Daten, auch wenn diese auf Servern im Ausland gespeichert sind. Dies betrifft weltweit alle Unternehmen, die zumindest eine Niederlassung in den USA haben, damit auch Microsoft und Google, bei denen gemäß dem Cloud Act sowohl auf Verkehrsdaten, als auch auf personenbezogene Daten zugegriffen werden kann. Das bedeutet, dass man in den USA wissen kann, wann welche Schüler*innen in welche Schulform in Österreich gegangen sind, oder wie oft sie ggf. die Schule gewechselt haben. Außerdem könnte man so herausfinden, welche Religion sie ausüben, wer die Klassenkamerad*innen sind und in welchen Stadtvierteln sie wohnen. Selbst wem dieser Datensatz verharmlosend als wenig individuell erscheinen würde, könnte man ihn leicht mit anderen Datensätzen z.B mit Durchschnittseinkommen, Alters oder ethnischer Struktur anreichern und so lebenslange Profile von früh an bilden. Selbstverständlich ist es möglich aus dem Datensatz Rückschlüsse auf Person und Umfeld ziehen. Doch es geht nicht nur um die Datenweitergabe an US-Geheimdienste, es geht auch im großen Stil um Werbung. Microsoft gibt sich zwar datenschutzfreundlich und behauptet die Daten nicht für Werbezwecke zu nutzen. Aber, ob das wahr ist oder nur ein Marketingtrick weiss man nicht. Es konnte bei Microsoft Teams von Bildungskonten bereits das Senden von WerbeIDs an die Adobe Experience Cloud, an die Adobe-Tochter Marketo, an Google Ads und Scorecardresearch nachgewiesen werden.
Und vor Kurzem hat eine Studie festgestellt, dass Microsoft Teams und Webex die Nutzer*innen über das Mikrofon ausspähen, auch wenn es auf "mute" ist. Die Absicht dahinter zeigt sich daran wie perfektioniert der Lauschangriff durchgeführt wird.
Der Berliner Verein cyber4EDU hat in Zusammenarbeit mit weiteren Expert*innen noch mehr Gründe gesammelt, die gegen den Einsatz von Microsoft Teams sprechen.
-
Nutzer*innen können nicht wirklich abschätzen, welche Datenschutzrisiken aufgrund der fehlenden Transparenz mit der Verwendung von Microsoft 365, und damit auch von Teams, für sie verbunden sind.
-
Dass sich Microsoft allein als Auftragsverarbeiter versteht, ist datenschutzrechtlich bedenklich. Die Gestaltung in gemeinsamer Verantwortung gem. Art. 26 DSGVO wäre hier datenschutzkonformer.
-
Ungeklärt ist die Zweckbindungspflicht. Während Art. 5 Abs. 1b der DSGVO fordert, dass der Zweck der Datenverarbeitung vor der Erhebung festgelegt wird, lässt sie Microsoft bei den Telemetrie- und Diagnosedaten im Allgemeinen.
-
Das europäische Datenschutzrecht schreibt vor, dass Daten zu löschen sind, wenn ihr Zweck erfüllt wurde oder eine gesetzliche Aufbewahrungszeit abgelaufen ist. Da Microsoft die Telemetrie- und Diagnosedaten für mindestens 30 Tage und maximal bis zu 18 Monaten auf Servern in den USA speichert, ist ein Zugriff für Produktentwicklung und Analysezwecke in dieser Zeit möglich. Im Einzelfall kann ein Microsoft-Team Teile dieser Daten auch länger nutzen. Die Aufbewahrungsdauer der Diagnosedaten verstößt deshalb gegen die Löschpflicht aus Art. 17 Abs.1 der DSGVO.
Verlust digitaler Souveränität
Ein Schulbetrieb ohne Microsoft ist an österreichischen Schulen in der Praxis kaum noch möglich. Ein Beispiel aus dem Alltag: Für die Korrektur der schriftlichen zentralen Reifeprüfungen gibt es eine eigene Webseite, von der für das jeweilige Fach eine Zip-Datei herunterzuladen ist. Darin befinden sich zum Beispiel Korrektur- und Beurteilungsdokumente, sowie eine Excel-Datei, in die man die Kandidat*innen, Punkte je Aufgabe sowie die jeweilige Noten eintragen muss.
Abschließend ist aus den eingegebenen Daten ein Export zu erstellen. Dazu muss man ein Makro anstoßen, das nur unter Microsoft-Excel funktioniert. Der Export ist weder mit der freien Software LibreOffice noch mit OnlyOffice möglich. Damit zwingt man die Lehrerinnen und Lehrer zur Verwendung von Microsoft-Office – ein klassischer Fall von User Nudging, wie es nicht schöner im Lehrbuch von Big Tech stehen könnte. Würde man die monatlichen Lizenzkosten, die so alleine durch die Lehrenden an Microsoft gehen in Open Source Software stecken, könnte man viel bewegen. Grob geschätzt wären das, laut Listenpreis 3,20 € pro Microsoft Lizenz, für 128.783 Lehrer*innen laut Statistik Austria in der Allgemein- und Berufsbildung ca 400.000 Euro pro Monat. Für diesen Preis könnte man einmalig eine Open Source Lösung bauen und sich alle laufenden Lizenzkosten sparen.
Dem Vernehmen nach soll es im Ministerium Bestrebungen geben bald auch alle Pflichtschüler*innen mit MS Lizenzen auszustatten. Momentan sind diese noch auf die Bundesschulen und damit auf ältere Schüler*innen begrenzt.
Österreichische Schulen sind auf dem besten Weg, bzw. schon mitten drin, ihre digitale Souveränität zu verlieren und damit auch ihre Unabhängigkeit und Selbstbestimmung, wenn wir nicht rasch gegensteuern und die Ausbreitung der IT-Monokultur verhindern und zurückdrehen. Der Fokus in der Bildung muss auf grundlegende Kompetenzvermittlung im IT-Bereich gelegt werden. Schulen dürfen keine Orte für schnöde Produktschulungen werden. Lehrpläne in den Mittel- und Höheren Schulen schreiben den Kompetenzerwerb für verschiedene Betriebssysteme und das Erlernen der damit verbundenen Vor- und Nachteile verpflichtend vor. Anders gesagt, mit Microsoft, Google & Co lassen sich die begrüßenswerten und überfälligen Bildungsziele der neuen Lehrpläne in Wirklichkeit gar nicht erreichen. Es darf kein Gewöhnungseffekt in der Bildung an bestimmte Produkte gekoppelt werden. Das wäre wie Köch*innen in einer Schule mit Fertiggerichten aus dem Beutel der größten Markenanbieter gute Küche vermitteln zu wollen.
Big Tech leistet hier Lobbyarbeit in ihrem Sinne
Der Lobbyismus bzw. die Einflussnahme von Microsoft ist nicht nur im Bildungsbereich erdrückend. Auch der Staat und die EU werden von Lobbyinteressen geprägt. Die Abhängigkeit von Microsoft gefährdet die Souveränität Europas. Amerikanische Big Tech Konzerne geben in Brüssel inzwischen mehr Geld für Lobbying aus als die Pharma-, Öl- oder Bankenindustrie, Zahlen für Österreich fehlen.
Vergleich mit Deutschland
In Deutschland ist das Schulsystem föderaler als in Österreich organisiert und deshalb in jedem Bundesland anders. Das führt dazu, dass dort in einigen Bundesländern Microsoft als nicht geeignet für Schulen befunden wurde, während es in anderen forciert wird. Das hat zu einer stärkeren Diskussion in den unterschiedlichen Bundesländern geführt und erlaubt die verschiedenen Ansätze zu erproben und in ihren Ergebnissen zu vergleichen. Die Datenschutzbehörden der Bundesländer wollen in Form der Datenschutzkonferenz zu einer einheitlichen Sichtweise auf die Problematik kommen. Diese Diskussion wird dem Vernehmen nach noch eine Weile geführt werden. In Österreich wird die datenschutzrechtliche Verantwortung neben der Finanzierung für US-Clouddienste vom BMBWF übernommen. Deshalb gibt es zwar besorgte Eltern, Lehrkräfte und Expert*innen, die Diskussion wird aber vom Ministerium immer wieder ruhig gestellt.
In der Beantwortung einer Anfrage an die Landesbeauftragte für Datenschutz und Informationsfreiheit von Nordrhein-Westfalen weist man auf eine erste Festlegung der Datenschutzkonferenz 2020 hin, in der es klar heißt ein datenschutzkonformer Einsatz der Microsoft 365-Produkte sei nicht möglich. Denn grundsätzlich sei für die Produktfamilie „Microsoft 365“ davon auszugehen, dass eine Übermittlung personenbezogener Daten in die USA stattfindet. Diese Übermittlung findet laut der deutschen Datenschutzbehörden auch dann statt, wenn eine Speicherung der Daten ausschließlich in der Europäischen Union vereinbart ist.
Auch bei Clouddiensten ist man sich der Problematik um US-Unternehmen etwas bewusster, als in Österreich. "Um in der Cloud technologisch souverän agieren zu können, braucht Deutschland eine ebenbürtige Alternative zu Microsoft & Co.", meint ein IT-Bundesbeauftragter.
In Österreich gibt es diesbezüglich keine Strategie. Wir machen uns weiter abhängig und setzten alleine auf Microsoft und Google. Es gibt kein Bekenntnis zu Open Source oder digitaler Souveränität, weder in der Verwaltung, noch in den Schulen. Der IT-Standort Österreich scheint für das Ministerium keine Bedeutung zu haben.
Endgeräte für alle Schüler*innen
Digitale Bildung kann natürlich nicht funktionieren, wenn Kinder und Jugendliche einkommensschwacher Haushalte nicht einmal eigene Geräte besitzen, um dem Unterricht zu folgen, das Internet zu erleben oder erst recht gesellschaftliche Teilhabe über das Internet zu erfahren. Deshalb begrüßen wir die Versorgung von Österreichs Schüler*innen mit Endgeräten, wie es die Bundesregierung inzwischen in die Wege geleitet hat. Das Gerät geht in den Privatbesitz der Schüler*innen über und auf der Informationsseite zu den Schülergeräten wird angegeben, dass sie bedenkenlos auch privat genutzt werden können und sollen.
Nur, möchte man ein Gerät auch privat nutzen, das Lehrkräften umfangreichen Zugriff und dadurch Einsicht und Kontrolle auf das Nutzungsverhalten auf dem Gerät gibt? Aus Datenschutzsicht und aus Nutzerperspektive ist das ein absolutes No-Go. Gerade gegenüber den Lehrkräften als Autoritätspersonen haben Kinder und Jugendliche ein legitimes Interesse ihr Internetverhalten geheim zu halten. Leider ist genau diese Art des Fernzugriffs die Realität des Mobile-Device-Management, das auf den Geräten vorinstalliert ist. Die IKT-Verordnung erlaubt neben der Installation von Device Management Software die Möglichkeit sog. Classroom Management Software auf den Geräten der Schüler*innen zu installieren. Solch eine Software ermöglicht Lehrer*innen z.B. Software zu sperren oder den Bildschirm der Schüler*innen einzusehen. Bisher kam solch eine Anwendung nur auf Schulgeräten z.B. in EDV-Räumen zum Einsatz.
Ein derartiger Zugriff ist bei Arbeitsgeräten, die im Besitz des Arbeitgebers sind und dem Personal für ihre Tätigkeit zur Verfügung gestellt werden, gesetzlich zwar möglich, aber selbst dort nicht unproblematisch und oft ein Thema für Betriebsvereinbarungen mit dem Betriebsrat. Eine Vermischung von Privat- und Schulgeräten mit einem derart massiven Zugriff auf die Daten der Jüngsten unserer Gesellschaft ist sehr kritisch zu hinterfragen. Diese Geräte werden besonders von jungen Schüler*innen als Privatbesitz und nicht als reines Arbeitsgerät gesehen. Gerade weil das Gerät rechtlich in den Privatbesitz übergeht, ist die Installation einer solchen Spionagesoftware aus unserer Sicht illegal.
Jugend Hackt, damit sie nicht vom Lehrer überwacht wird
Derzeit setzt man bei den Schulgeräten rein auf die Betriebssysteme von Microsoft und Google mit allen bereits hinlänglich dargelegten Problemen dieser amerikanischen Technologiefirmen. Gerade vor dem Hintergrund der vorinstallierten Überwachungssoftware auf den Geräten und dem rein rechtlichen Privateigentum der Schüler*innen und Eltern an den Geräten, wäre alternatives Betriebssystem ratsam. Leider scheint das auf diesen Geräten nicht vorgesehen zu sein und deshalb findet man im Internet bereits Anleitungen mit Hacks um alternative Betriebssysteme auf den Schulgeräten nutzen zu können, für Notebooks und Chromebooks. Einen einfachen Weg das Gerät unbeobachtet zu verwenden gibt es von Seiten des Bildungsministeriums bisher nicht.
Zu wenig Geld für Open Source in Österreich
Während immer größere Geldbeträge an Microsoft bezahlt werden und man Lobbying für Google macht, sind Alternativen sehr oft unterfinanziert. In Österreich gibt es neben den Online-Plattformen großer US-Konzerne auch Open Source Plattformen und Softwareangebote, die von den Schulen verwendet werden. Diese haben den Vorteil, dass sie in Österreich gehostet sind und auch hierzulande weiterentwickelt werden. Viele dieser Lösungen sind weitaus einfacher zu bedienen und datenschutzfreundlicher als Google Classroom oder Microsoft Teams. Eine dieser E-Learning-Plattformen ist eduvidual, die 2020 um 50.000 € kämpfen musste, um den Betrieb aufrecht erhalten zu können. Wir haben den Überlebenskampf dieser Plattform, die von mehr als 1000 Schulen in Österreich also von ca. 17 % genutzt wird, damals öffentlich thematisiert.
Portal „Digitale Schule“ – Millionengrab für Accenture zum Ausverkauf der Schülerdaten
Das Portal „Digitale Schule“ ist ein zentraler Einstiegspunkt zur Anmeldung für Schulanwendungen, eine so genante Single-Sign-On-Lösung (SSO). Derzeit ist das für mittlere und höhere Bundesschulen die Möglichkeit, durch eine einzige Anmeldung auf verbundene Anwendungen wie eduvidual, Microsoft u.a. zuzugreifen. Daneben soll das Portal als Kommunikationsplattform dienen, weitere Funktionen sollen in Zukunft hinzugefügt werden. Das PoDS ist nicht als zentraler Speicherort für Daten konzipiert, sondern als zentraler Einstiegspunkt, für die Datenhaltung.
Laut der Datenschutzinformation wird das Portal „Digitale Schule“ im Bundesrechenzentrum gehostet. Eine whois-Abfrage des Portals „Digitale Schule“ ergibt die IP Adresse 51.138.102.4 und die gehört zu einem Microsoft-Rechenzentrum in den Niederlanden.
inetnum: 51.136.0.0 – 51.138.255.255
org: ORG-MA42-RIPE
netname: MICROSOFT
descr: Microsoft Limited UK
country: GB
Man hat sich auch hier in die Hände von Microsoft begeben, um PODS zu betreiben. Um zu erfahren was das konkret bedeutet und welche Daten, in diesem System landen, müsste man mehr über den Aufbau wissen, als angegeben wird.
Fest steht, dass das IT-Projekt nicht billig war. In der Summe wurden bisher über 7,5 Millionen Euro in das Projekt investiert. Aufgrund des tollen Projekts offene Vergabe von unserer Schwesterorganisation Forum Informationsfreiheit können die massiven staatlichen Ausgaben genau nachvollzogen werden. Der Großteil des Geldes – 6,7 Millionen Euro - floß an die ÖVP nahe Beratungsorganisation Accenture:
Accenture 2.361.050,00 €
Accenture 1.991.770,00 €
Accenture 1.788.550,00 €
Accenture 358.530,00 €
Accenture 224.160,00 €
bit media e-solutions GmbH 152.250,00 €
bit media e-solutions GmbH 105.051,00 €
bit media e-solutions GmbH 102.100,00 €
bit media e-solutions GmbH 80.381,60 €
bit media e-solutions GmbH 98.336 €
bit media e-solutions GmbH 55.520 €
ACP IT Solutions GmbH 61.180,00 €
ACP IT Solutions GmbH 72.553,40 €
Cloudflight Austria GmbH 112.384,80 €
An dieser Stelle erinnern wir an die fehlenden 50.000 Euro für den Betrieb der erfolgreichen Open Source Plattform eduvidual.at. Eine quelloffene Plattform, an der sich niemand bereichert, und die ohne Überwachung ein Umfeld für digitales Lernen geschaffen hat, das die Grundrechte von Kindern und Jugendlichen respektiert. Für dieses Geld musste lange gekämpft werden, denn es war dem Bildungsministerium nicht beizubringen, wieso dieses Projekt erhaltenswert ist. Stattdessen hat man 7,5 Millionen für ein Login-Portal ausgegeben, damit hätte der Betrieb der Open Source Plattform 150 Jahre gesichert werden können.
Bildungsdaten sind eine wertvolle Ressource. Werden diese nur noch über proprietäre Cloud-Anwendungen generiert und analysiert, schneiden wir uns den Zugang dazu ab und verlieren die Kontrolle über den Datenschutz der Betroffenen. Wenn im Bildungswesen dagegen Bildungsplattformen transparent und unter eigener Kontrolle weiterentwickelt werden, können Daten entsprechende der DSGVO für Analysezwecke und im Sinne der dafür eingesetzten Steuermittel öffentlich zugänglich gemacht werden, wie auch das Institut für Technikfolgenabschätzung im Monitoring für Zukunftsthemen dem Parlament nahelegt. Open Data aus dem Bildungsbereich könnten eine transparente Grundlage für das Monitoring von Entwicklungen im Bildungsbereich sein und die politische Entscheidungsfindung unterstützen.
Es braucht ein radikales Umdenken der Digitalen Souveränität im Bildungsbereich in Österreich. Bildungsminister Polaschek sollte mit den Altlasten seiner Vorgänger*innen aufräumen und den jungen Menschen in diesem Land in der Schule ein Vorbild in Sachen Datenschutz und selbstbestimmtem Umgang mit Technik sein. Der Lobby-Einfluss von Microsoft, Google, Accenture & Co muss zurückgedrängt werden. Die Verwendung amerikanischer Plattformen sollte im Bildungswesen keine Empfehlung sondern Verboten sein. Wenn die Höchstgerichte angesichts der Massenüberwachung in den USA die Alarmglocken schrillen lassen, Google Produkte der Reihe nach für die Wirtschaft verboten werden, dann sollten wir endlich anfangen den Schutz der Daten an unseren Schulen ernst zu nehmen.
Da du hier bist!
… haben wir eine Bitte an dich. Wenn Regierungen laufend neue Überwachungsmaßnahmen fordern, immer mehr Daten über uns sammeln, oder Konzerne auf unsere Kosten ihre Profite steigern, dann starten wir Kampagnen, schreiben Analysen oder fordern unsere Rechte vor Gerichten ein. Dafür brauchen wir deine Unterstützung. Hilf uns, eine starke Stimme für die Zivilgesellschaft zu sein!
Spenden