Spätestens mit Ausbruch der Covid-19-Pandemie musste Österreich einen Weg finden, die Wissensvermittlung selbst bei geschlossenen Schulen und digital zu ermöglichen. Vergangenen September begann das Bildungsministerium deshalb mit der Auslieferung von 150.000 Laptops und Tablets an Schülerinnen und Schüler. Ein wichtiger Schritt – dessen Umsetzung laut der Grundrechtsorganisation Epicenter Works allerdings massive Datenschutzmängel aufweisen soll.

Grund dafür ist unter anderem, dass primär Windows-Laptops, -Tablets und iPads zum Einsatz kommen, auf denen die Betriebssysteme der Hersteller installiert sind. Für den Unterricht selbst werde außerdem primär Microsoft Teams und Google Classroom genutzt, also US-amerikanische Softwarelösungen mit Servern in den Vereinigten Staaten. Daraus resultieren laut der NGO massive Bedenken, da mitunter sensible Daten von Schülerinnen und Schülern im Ausland verarbeitet werden und nicht sichergestellt werden könne, dass diese vor US-Behörden sicher sind.

Problematischer Fernzugriff?

Aber nicht nur das: Die Geräte gehen in den Privatbesitz der Kinder und Jugendlichen über, können also ausdrücklich auch außerhalb des Unterrichts genutzt werden. Dennoch ist auf diesen sogenannte "Mobile Device Management"-Software installiert. Das ermögliche dem Lehrpersonal laut Epicenter Works, aus der Ferne auf Notebooks oder Tablets zuzugreifen, "Software zu sperren oder den Bildschirm der Schüler:innen einzusehen". Das sei nicht nur problematisch. Aus Sicht der NGO sei die Installation sogar "illegal", da es sich eben um Privatbesitz handelt.

Gegenüber dem STANDARD weist das Bildungsministerium diesen Vorwurf zurück. Entsprechende Software würde "einen sicheren Betrieb der Geräte im Schulnetzwerk sowie im Internet" ermöglichen, aber weder den Fernzugriff auf die privaten Schülergeräte noch eine Einsicht in das Nutzungsverhalten außerhalb des Unterrichts erlauben.

Das Problem mit der Cloud

Den Einsatz von US-Cloud-Anbietern wie Microsoft kritisiert Epicenter Works, weil Daten und Dokumente damit auf Servern in den Vereinigten Staaten gespeichert werden. Für den Einsatz entsprechender Services schreibe die Datenschutzgrundverordnung (DSGVO) laut dem Bericht deshalb eine Datenschutzfolgeabschätzung vor. Zumindest dann, "wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bestehen".

Eine solche Einschätzung soll bis heute fehlen, obwohl durchaus eine Überwachungsgefahr durch US-amerikanische Regierungsbehörden bestehe. "Seit Einführung des Cloud Act gibt es Zugriffsmöglichkeiten der US-Behörden auf die Server von US-Firmen wie Microsoft in europäischen Datenzentren in Frankfurt oder Schwechat", schreiben die Datenschützer. Dabei handelt es sich um ein US-Gesetz aus dem Jahr 2018, das den Zugriff auf private Nutzerinformationen erlaubt, sofern diese auf den richtigen Servern verarbeitet werden. Zwar sollen Noten und Verhaltensdaten der Schüler explizit nicht in der Cloud gespeichert werden. Eine strikte Trennung sei in der Praxis aber gar nicht möglich.

Das Bildungsministerium betont hingegen, dass man den Einsatz bereits vor Einführung der DSGVO evaluiert habe. Außerdem habe das Ministerium zwei Institutionen damit beauftragt, bei der Erstellung und Aktuellhaltung einer Datenschutzfolgeabschätzung zu helfen. Eine Maßnahme sei, wie oben erwähnt, dass US-Cloud-Anbieter nur für den IT-gestützten Unterricht genutzt werden dürfen, nicht aber für die Verwaltung. Schülertestungen etc. würden demnach ausschließlich in nationalen Rechenzentren wie dem Bundesrechenzentrum (BRZ) gehostet werden.

Unmögliches Ausweichen

Zu einem anderen Anbieter zu wechseln soll für Lehrende trotz der genannten Bedenken nicht möglich sein. Selbst dann, wenn sie das auf eigene Faust machen wollen. Grund dafür seien Einschränkungen in der Software, zum Beispiel beim Notenexport aus Excel, bemängelt Epicenter Works. Für diesen soll ein bestimmtes Makro notwendig sein, das mit Open-Source-Programmen wie Libre Office oder Only Office gar nicht kompatibel ist. Das sei nicht nur teuer, viel mehr seien hiesige Schulen "auf dem besten Weg, ihre digitale Souveränität zu verlieren". Heißt: Die Abhängigkeit von Microsoft und Co wird größer, obwohl es eigentlich ein "Bekenntnis zu Open Source" brauche.

Entsprechende Projekte seien jedoch unterfinanziert, heißt es im Bericht. Und das, obwohl sie teils günstiger, leichter zu bedienen und datenschutzfreundlicher seien. Als Beispiel wird Eduvidual genannt, eine Lernplattform, die von rund 1.000 österreichischen Schulen genutzt werde. Noch 2020 soll diese um eine Finanzspritze in Höhe von 50.000 Euro gekämpft haben, um aktiv bleiben zu können – während das Beratungsunternehmen Accenture für das "Portal Digitale Schule" 6,7 Millionen Euro erhielt. Dieses soll Schülerinnen und Lehrenden ermöglichen, mit einem einzigen Login auf mehrere Anwendungen zuzugreifen.

Diesbezüglich führt das Bildungsministerium aus, dass Schülern und Lehrenden alle Open-Source-Lizenzen zur Verfügung stehen, die mit vorhandenen Endgeräten kompatibel sind. "Eine Rolle der Schule ist es, die Vor- und Nachteile beider Lizenzformen zu thematisieren, damit eine freie und bewusste Nutzungsentscheidung ermöglicht wird", heißt es gegenüber dem STANDARD. Man empfehle jedoch ausdrücklich, auch mit freier Software zu arbeiten. (Mickey Manakas, 26.4.2022)