KARLSRUHE. Das Oberlandesgericht Karlsruhe hat ein wegweisendes Urteil zum Datenschutz (auch) an Bildungseinrichtungen gefällt. Öffentliche Auftraggeber, also auch Schulen und Schulträger, können darauf vertrauen, wenn ihnen IT-Anbieter Datenschutz-Kompatibilität zusichern – und sie beauftragen. Das bedeutet im Umkehrschluss: Die Kampagne insbesondere gegen Microsoft in Schulen, die von Datenschutzbeauftragten einiger Bundesländer geführt wird, dürfte so nicht länger haltbar sein.
Wohlgemerkt: Es geht nicht um festgestellten Missbrauch von Schülerdaten. Den gibt es nämlich nicht. Es geht allein um die Möglichkeit, dass US-Konzerne deutsche Schülerdaten missbrauchen könnten. Schon dies genügt Datenschutzbeauftragten als Begründung dafür, um Schulen und Schulträger unter Druck zu setzen, die Nutzung von Microsoft-Produkten wie MS365 umgehend einzustellen – wie unlängst in Baden-Württemberg geschehen.
„Um den Schutz des Grundrechts der informationellen Selbstbestimmung auszulösen, bedarf es keiner festgestellten Verletzung dieses Grundrechts, sondern die Möglichkeit (!) einer solchen Verletzung reicht bereits aus (Bundesverfassungsgericht, Urteil v. 15.12.1983- 1 BvR 209/83 – Rn. 150 ff.)“, so schrieb der Thüringer Datenschutzbeauftragte Lutz Hasse im Leserforum von News4teachers – Ausrufezeichen im Zitat.
„Grundsätzlich ist davon auszugehen, dass ein Anbieter seine vertraglichen Zusagen erfüllen wird“
Die Konsequenz dieser forschen Rechtsauffassung: Schulleitungen, die Microsoft-Produkte nutzen wollen, wurden in Baden-Württemberg aufgefordert zu beweisen, dass Microsoft Schülerdaten grundsätzlich nicht missbräuchlich im Sinne der europäischen Datenschutzverordnung nutzen könnte – ein Ansinnen, das gar nicht realisierbar ist und für kein anderes digitales Produkt verlangt wird. Der Datenschutzbeauftragte drohte mit Folgen, sollten die Schulleitungen nicht auf andere (nämlich deutsche Open-Source-Lösungen) umsteigen: „Wir behalten uns vor, gegebenenfalls nach pflichtgemäßem Ermessen, ein Verfahren entsprechend §25 Absatz 4 des Landesdatenschutzgesetzes einzuleiten“, so heißt es in einem Brief vom 26. April 2022, der News4teachers vorliegt.
Schulen fühlten sich erpresst. Im Netz war von einer „Kommunikation wie bei der Mafia“ die Rede. News4teachers-Herausgeber Andrej Priboschek kommentierte seinerzeit mit Blick auf die Datenschutzbeauftragten: „Spinnen wir den Faden doch mal weiter: Unternehmen könnten möglicherweise auch Steuern hinterziehen oder ihre Kunden betrügen (soll es bei deutschen Autokonzernen ja mal gegeben haben), vielleicht könnten hinter Bürotüren sogar Mord und Totschlag geschehen, wer weiß – brauchen wir deshalb Aufsichtsbeamte in jedem Betrieb? Oder sind das nicht vielmehr Allmachtsfantasien von Staatsbediensteten, die zunehmend ihren eigentlichen Auftrag, den unbestreitbar notwendigen Datenschutz in einer Informationsgesellschaft zu sichern und (echte) Missbräuche zu ahnden, aus dem Blick verlieren?“
Das sieht das Oberlandesgericht (OLG) Karlsruhe nun offensichtlich genauso – und schiebt mit einem Urteil überzogenem Datenschutz einen Riegel vor. Öffentliche Auftraggeber, im verhandelten Fall zwei Krankenhausgesellschaften in kommunaler Hand, dürfen sich auf die bindenden Zusagen des Anbieters verlassen, dass die Daten ausschließlich in Deutschland verarbeitet und in kein Drittland übermittelt werden (in dem dann die strengen europäischen Datenschutzregeln nicht gelten), befanden die Richter.
Bemerkenswert ist auch die Begründung: Grundsätzlich sei davon auszugehen, dass ein Bieter seine vertraglichen Zusagen erfüllen werde. Erst wenn sich aufgrund konkreter Anhaltspunkte Zweifel daran ergäben, müsse der öffentliche Auftraggeber ergänzende Informationen einholen und die Erfüllbarkeit des Leistungsversprechens prüfen, entschieden die Richter (Az.: 15 Verg 8/22). Damit ist der Fall rechtskräftig entschieden.
Wörtlich führt der Senat aus: „Anders als die Antragstellerin (ein Konkurrenzunternehmen, d. Red.) meint, musste nicht allein die Tatsache, dass die A. ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen (die beklagten Krankenhausgesellschaften, d. Red.) an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.“
„Amazon, Microsoft oder Google dürfen weiter auf Aufträge deutscher Behörden hoffen“
Die „Frankfurter Allgemeine Zeitung“ sieht die grundsätzliche Bedeutung des Urteils: Das OLG Karlsruhe habe „überzogene datenschutzrechtliche Bedenken“ kassiert, so heißt es. Die Konsequenz: „Amazon, Microsoft oder Google dürfen weiter auf Aufträge deutscher Behörden hoffen.“ Also auch von Schulen und Schulträgern.
Microsoft selbst beteuert, sämtliche der in Deutschland und Europa geltenden Datenschutzregeln einzuhalten. „Alle Microsoft Produkte und Dienste können in der Privatwirtschaft und im öffentlichen Sektor (z. B. an Schulen) datenschutzkonform eingesetzt werden und sind auch selbst datenschutzkonform. Microsoft hält die Anforderungen des geltenden Datenschutzrechts ein“, so erklärt Wolfgang Döring, Leiter der Rechtsabteilung bei Microsoft Deutschland. Er betont weiter: „Microsoft bietet Kunden vertragliche Zusagen und technische Mittel, um Microsoft Produkte und Dienste datenschutzkonform nutzen zu können, insbesondere vertragliche Zusagen: z. B. verwendet Microsoft Kundendaten nicht für sachfremde Zwecke wie Werbung und ergreift rechtliche Schutzmaßnahmen gegen unrechtmäßige Herausgabeverlangen von Behörden oder Dritten.“
Dass Datenschutzbeauftragte solche Erklärungen einfach mal pauschal in Zweifel ziehen – um Schulen unter Druck zu setzen, auf sogenannte Open-Source-Lösungen umzusteigen –, dürfte sich mit dem Urteil erledigt haben. News4teachers
Hier geht es zur Urteilsbegründung des OLG Karlsruhe.
Endlich ein Richter der denkt wie ein normaler Mensch.
Ja, leider. Ich hätte mir auch mehr Tiefe gewünscht. Die generelle Aussage mag stimmen und den Kunden Rechtsicherheit geben, aber nach dem Safe Harbour so spektakülär geplatzt ist, hätte ich es mir gewünscht, wenn das OLG sich auch mit der Firma genauer auseinandersetzt, um die es geht. Ebenso um den Einsatz von amerikanischen Geheimgerichten, die, ohne das der Angeschrieben es publik machen darf, die Herausgabe von Nutzerdaten befehlen können. Da müssen wir wohl auf Europa warten.
jaja, die gefährlichen Geheimgerichte…
… haben schon Hunderte von deutschen Schülern zu Guantanamo verurteilt… weiß nur keiner (ist ja geheim).
Diese Geheimgerichte wollen auch unbedingt die e-mail-Adresse von Hänschen Müller aus Hintertupfing haben!! (Ironie off)
Die Aussage, dass man grundsätzlich den Aussagen eines Vertragspartners zunächst mal vertrauen muss, ist doch die Grundlage allen Wirtschaftens.
Jubel!!!
Es siegt hier ausnahmsweise mal der gesunde Menschenverstand.
Warum nicht viel öfter so?
„„Amazon, Microsoft oder Google dürfen weiter auf Aufträge deutscher Behörden hoffen““
Die Hoffnung stirbt zuletzt 😉
Uff!
Als wäre der Datenschutz das einzige Problem mit diesen Produkten… Aber hier prallen einfach unvereinbare Welten aufeinander.
Und die Begründung, dass eine Zusicherung reicht, bleibt völlig hahnebüchen. Als gäbe es keine Beispiele für Missbrauch von Daten in den USA. Zudem gibt es ja eine ganz konkrete Rechtsprechung in den USA, die von den Datenschutzbehörden als Grundlage für ihre Entscheidungen genannt wird.
Und es ist schon interessant, mit welcher Euphorie diese Gesetzgebung vielen Menschen völlig am Allerwertesten vorbei geht. Hauptsache, ich darf weiter meine geliebt-vertraute Standardsoftware nutzen 🙂
Aber das ist eben der Horizont, mit dem in Deutschland IT gemacht wird. Und der Grund, warum sich die deutsche IT auch weiterhin nicht emanzipieren wird und stattdessen Millionen für Millionen zahlt, um die eigene Abhängigkeit und Perspektivlosigkeit an zukünftige Generationen weiterzugeben.
Es ist schon interessant, wer darüber meint jubeln zu müssen…
Was gibt ’s denn noch für ein Problem mit diesen Produkten? Ich kenne keins.
Zusicherungen von Unternehmen reichen nicht? Dann müssen wir wohl das Wirtschaftsleben einstellen. Weiß ja keiner, ob die nicht alle Gift in ihre Lebensmittel rühren oder uns Mikrochips heimlich einpfanzen…
Nur Deutschen kann man natürlich vertrauen. Deutsche Unternehmen – wie die tollen Automobilhersteller zum Beispiel – sind ja bekanntlich ein Ausbund an Ehrlichkeit und Transparenz und würden ihre Kunden niemals bescheißen.
So etwa?
Schön, dass Sie mit dem Beispiel der Automobilhersteller Ihre Frage der Zusicherungen an die Wand fahren. Genau. Zusicherungen genügen nicht.
Aber allgemein: Es ist der Hang zur Faulheit, der die Auseinandersetzung mit sinnvollen Open Source Produkten verhindert.Ohne zentrale Strukturen wie MS können Daten gar nicht erst abfließen. Ich bin mir nicht sicher, wie weit MS Deutschland/Europa von der Mutter in den USA entfernt ist, um nicht doch in die Reichweite von Geheimgerichten (vgl. Mailservice Google, Yahoo usw) zu gelangen. Ich kann die Aussage des OLG in dem Sinne verstehen, dass als Kunde die Möglichkeiten der Überprüfung von Aussagen des Herstellers irgendwo zu trauen ist, aber hier gibt es meines Erachtens schon genug Gegenbeispiele, die eben diese Aussage von MS auf tönernen Füßen stehen lassen.
Das Setzen auf MS heißt auch immer, auf proprietäre Formate zu setzen und sich in Abhängigkeiten zu begeben, die mit quelloffenen Formaten nicht bestehen. Ist halt nicht so einfach.
„Zusicherungen genügen nicht.“
Da bin ich mal gespannt, eine Schilderung Ihrer Lebensweise zu bekommen – Gemüse nur aus dem eigenen Garten, das Haus selbst gebaut, den Strom selbst erzeugt, die IT selbst entwickelt, die Kinder selbst beschult…
Ist ja keinem zu trauen in dieser Welt. Pssst … Geheimgerichte.
„Da bin ich mal gespannt, eine Schilderung Ihrer Lebensweise zu bekommen – Gemüse nur aus dem eigenen Garten, das Haus selbst gebaut, den Strom selbst erzeugt, die IT selbst entwickelt, die Kinder selbst beschult…“
Alles gute Beispiele dafür, wo sich ein Gericht nicht damit zufriedenstellen lassen würde, wenn man einfach nur etwas zusichert.
Sollten solche unterschiedlichen rechtsstaatliche Standards nicht eher zum Nachdenken bringen? Ich stelle den Gedanken einfach einmal in den Raum, weil mir solche juristische „Ausrutscher“ in letzter Zeit immer öfter auffallen.
Mir fällt immer öfter auf, dass wir zu viele Leute haben, die ganz genau wissen, wie etwas geht, nur leider kaum jemanden, der danach arbeiten will.
Woran könnte das liegen?
Wenn es ’sinnvolle Open Source Produkte‘ in diesem Bereich gäbe, die die nötigen Aufgaben erfüllen und nicht 1000fach umständlicher zu bedienen sind, dann ja – aber: wo sind die? Was die Kumis bisher kostenlos so zusammenstricken lassen, ist doch für den A …
Ihre Alternative? Problemlos integrier- und skalierbare OpenSource Produkte mit standardisierten Schnittstellen zu eigener oder Software von Drittanbietern? OpenSource Produkte, mit denen sich durch voll integrierte und aufeinander abgestimmte Funktionalitäten ein Modern WorkPlace gestalten lässt?
Kennen Sie? Dann mal her mit den Infos! Kommen Sie mir jetzt aber bitte nicht mit Libre Office & Co.
Wir z.B. nutzen eine selbsgehostete Owncloud/SDcloud mit integrierten Officeprodukten zum kollaborativen Arbeiten an gemeinsamen Dokumenten im Browser.
Läuft stabil, ist sicher und datenschutzkonform. Verlangt natürlich IT-Wissen und die Bereitschaft, andere Wege zu gehen.
Hier seh ich die Länder viel mehr in der Pflicht. Nicht verzweifelt an alten Systemen festhalten sondern vorangehen und das Wissen in die Schulen tragen bzw. die Systeme bereitstellen,
Solchen politisierten Agitprop im Gewand des „Datenschutz“ braucht keiner.
Gerne können Sie ja – kostelos, versteht sich! – mal so ein tolles Open Source Paket zusammenstellen und dauerhaft pflegen.
Genau..Deutsche Firmen wie z.B. VW oder Wirecard sind vertrauensvoll und halten sich an ihre Zusagen gegenüber ihren Kunden..den Millionen und Kundenbetrug lassen wir einfach aussen vor..es sind ja schliesslich deutsche Firmen..= schlechter Scherz wie schlechter Tipp und unwahr
Mein Automechaniker hat mir auch vertraglich zugesichert Öl und Zündkerzen zu wechseln. Muss ich nun erst nachprüfen, ob er dies auch wirklich gemacht hat? Muss ich mich nicht auch einfach auf Verträge verlassen können?
Es gibt also doch noch Menschen hier, die spannen was lost ist. Danke, du rettest mir gerade den Abend.
Der Todesstoß für eigenständige IT im EU Raum. Mal sehen, was der EuGH dazu sagt. Google, Amazon, Microsoft, Apple – das Gas der Amerikaner.
Ach so, ich dachte es ginge darum, dass Schulen vernünftig arbeiten können – es geht in Wahrheit darum, dass Deutschland/Europa sich von den USA abkoppelt.
Funktionierende Technologie – „das Gas der Amerikaner“? Da macht es natürlich sehr viel Sinn, wenn heimische Schulen zu Schrott-IT verdonnert werden. Hauptsache teutsch.
Ich finde, das sollte auch für andere Bereiche gelten: Hollywood-Filme – „die Droge der Amerikaner“. Stattdessen: Traumschiff für Deutschland. Rockmusik – „die Schokolade der Amerikaner“. Stattdessen: Helene Fischer für deutsche Ohren. Kann man so fortsetzen…
Man kann auch ohne die Datenkraken sehr gut arbeiten. Aber wir warten einfach mal ein paar Jährchen ab und sehen was passiert …
Von „teutsch“ war übrigens nie die Rede. Aber Lesen ist schwer …
Verstehe schon, es geht um Antiamerikanismus.
… demgegenüber ist die Frage, ob deutsche Schulen vernünftig arbeiten können, natürlich nebensächlich. Wer braucht schon Bildung?
Nein, es geht um Abhänigigkeiten und alternative Produkte, die eine top Leistung bringen.
Wenn die so eine Top-Leistung bringen, muss ja nichts verboten werden – dann kommen doch die Schulen von selbst.
Es gibt aber diese Quasi-Verbote, sogar in ziemlich direkter Form alleine schon durch die Marktmacht bestimmter Unternehmen. Beispiel ist das Vorgehen von Microsoft bei der Durchsetzung von UEFI, wodurch die Verbreitung anderer Betriebssysteme erschwert und sogar (insbesondere war das bei alten UEFI-Versionen noch direkt so) verhindert wird.
Wer von Ihnen hier kennt denn überhaupt die Alternativen? Wer von Ihnen hier hat diese dann auch schon einmal ausprobiert? Da fängt das doch schon an.
Nicht unbedingt, da das Geld für Bildung chronisch knapp ist.
MS macht hier ordentlich die Preise kaputt, indem sie für Schülerkonten keine Lizenzgebühren nehmen und die Kosten dafür quersubventionieren (können). Ein Schelm, wer Böses dabei denkt.
Welche dieser Produkte bringen denn die gleiche „Top-Leistung“? Jetzt aber bitte nicht mit LibreOffice kommen. Der künftige Moden Workplace besteht aus Kollaboration-Tools, die integriert und aufeinander abgestimmt ein vom festen Arbeitsplatz abgelöstes Arbeiten bei gleichzeitiger Kommunikation und Bereitstellung von Daten für verteilte Arbeitsgruppen und Projektteams ermöglichen.
Welche Produkte kennen Sie, die das leisten? Her mit den Infos!!
Erwarten Sie ernsthaft eine Antwort auf eine spekulative Frage, bei der die Unternehmen aktuell sich selbst nicht (wenn Sie schon LibreOffice mit reinziehen wollen) an der „Kollaboration“ beteiligen? Selbst die Unternehmen (und auch die Behörden) benutzen aus Sicherheitsgründen eben nicht MS 365, sondern MS Office 2016 oder 2019, weil es ein Irrsinn wäre seine Unternehmensgeheimnisse (an der vielleicht sogar die Existenz des Unternehmens hängt) auf fremde Server auszulagern.
Die arbeiten also auf dem Stand von LibreOffice.
Und natürlich gibt es für die unterschiedlichsten Zwecke unterschiedliche Open-Source-Lösungen, auch und gerade um nicht auf fremde Dienste wie MS OneDrive, Apple iCloud, Amazon AWS usw. im Internet ausgeliefert zu sein. Ihre eigene Cloud können Sie sogar im Intranet mit NextCloud betreiben und mit OnlyOffice haben sie auch gleich ihr eigenes Open Source 365 mit integriert. Voila!
Kennen Sie überhaupt den Unterschied zwischen Office 2019, MS365 und MS365 Desktop? Offensichtlich nicht.
Sie haben sowas von Recht – ich bin ja ein so unbeleckter Newbie.
Was ist denn ihre Qualifikation, wenn ich fragen darf?
Seit der Excel und Word Version von 1985/86 Office Dozent. Consultant für MS365 Migration und Migrationen von Groupwise und ehem. LotusIBM) Notes nach Outlook für Umgebungen mit bis zu 12.000 Nutzer. Da dürfte ich diese Software wohl deutlich besser kennen als Sie. Und ich bleibe dabei: Sie kennen offensichtlich die Unterschiede nicht.
Dann sind Sie ja kompetent, uns diese Unterschiede einfach zu vermitteln, anstatt mit Ihrem „Geheimwissen“ andere Foristen niederzumachen. Bitte „zur Sache“ statt „zur Person“ – gilt auch für Streamer01.
Es kommt mir vor, als sei diese Rede von den ‚Datenkraken‘ zu einer Variante der Verschwörungstheorien geworden.
Man kann auch ohne Office 365 und Co. absolut produktiv arbeiten. Alternativen gibts mehr als genug. Und nein, die sind kein „Schrott“. Durch die bessere Anpassungsfähigkeit an den Kunden und direkten Entwicklersupport ist der Workflow oft sogar besser, als bei den Standardprodukten.
Von „teutsch“ habe ich übrigens nichts geschrieben und auf die großen amerikanischen Musikikonen, wie z.B. Deep Purple, Beatles oder Bob Marley möchte ich natürlich nicht verzichten.
… und weil es so tolle Alternativen sind, muss Microsoft den Schulen verboten werden, damit die gefälligst auch merken, was das für tolle Alternativen sind. Mit Leistung überzeugen, das geht natürlich bei den störrischen Lehrkräften nicht.
Microsoft muss verboten werden, weil es nicht die DSGVO garantieren kann. Laut EuGH zumindest. Wenn alle Politiker in USA und Brüssel einen gemeinsamen Konsenz finden würden und die Rechte der Europäer dann auch garantiert würden, kann man es gerne wieder erlauben.
Wo muss es denn verboten werden? Bei mir zuhause nicht – in den Aber-Tausenden von Unternehmen, Behörden, Krankenkassen, Ministerien, Arztpraxen etc. in Deutschland, die Office 365 nutzen, auch nicht.
Oder haben die ihre Zugänge alle in niederländischen Coffee-Shops gekauft?
Wenn jede Bürger*in, Lehrer*in und Schüler*in weiter seine digitale Souveränität behalten kann, spricht ohne die Abhängigkeit von Großkonzernen in einem freien Land arbeiten und lernen kann, kann dürfen die anderen sich gerne von was auch immer abhängig machen. – Pädagogische Verantwortung sieht aber anders aus.
… vielleicht wollen die Bürger dieses Landes, die Mütter und Väter, nicht so paternalistisch zwangsbeglückt werden von Ihrem Datenschutzaktivismus? Schon mal darüber nachgedacht, dass ich die Freiheit haben möchte, für mich und mein Kind genau diese Dienste nutzen zu wollen?
Lasst mich nur in Ruhe mit diesem ideologischem Gesims!
Steht ja jedem frei, solange es jedem anderen frei steht von den Großkonzernen frei zu sein… Einfache Kiste.
Vergiss es, selbst wenn eine komplette Grundschule eine Drive als Ablage nutzen möchte, wird es von Aufsichtsbehörden verboten… und selbst wenn dich ein oder zwei Eltern dagegen stellen:
Darf eine kleine Minderheit der Mehrheit diese Auffassung aufs Auge drücken?
Mit zusammengezimmerter Murks-Software hantieren, in die jeder russische Troll in Minuten eindringen kann – das ist pädagogische Verantwortung? Ahja.
Statistiken belegen zweifelsfrei, dass die Gefahr von Viren und Konsorten bei gängigen Betriebssystemen von Endgeräten (von namhaften Großkonzernen) am größten ist. Was soll nun die Konsequenz daraus sein?
Jo, Sie Experte. Weil die entsprechenden Programmierer der Schadsoftware natürlich immer auf die am stärksten verbreiteten Systeme zielen.
Wenn man diesen simplen Sachverhalt bedenkt, sind die „erdrückenden“ Zahlen schnell erklärt.
Über digitale Souveränität (die ein aus meiner subjektiven Sicht absolut vorrangiges Staatsziel in einem funktionierenden Staat sein sollte – bei uns also nicht) kann man sich unterhalten, wenn zumindest mal Heizung, Strom und Kreide gesichert ist.
Prioritäten, Prioritäten. Ganz einfache Sache.
Dem Widerspreche ich doch gar nicht. Der T**fel macht immer auf den dicksten Haufen. – Das spricht aber nicht dafür sich an dem Haufen zu beteiligen… – Und wenn digitale Souveränität ein vorrangiges Staatsziel sein sollte, dann erreichen wir das nicht, wenn wir das Ziel aufgeben. Ich halte Heizung, Strom und mit Einschränkungen Kreide (dafür aber noch Nahrungsmittel, Grundbedürfnisse etc.) auch für essentiell. Ich dachte aber hier geht es Digitalisierung bzw. um die Ausgestaltung einer digitalen Gesellschaft…
Wenn Ihre Kenntnisse von der Leistungfähigkeit der OpenSource Software von der Qualität sind wie Ihre Kenntnisse der Popmusik, dann kann ich nur sagen: Finger weg!!
Deep Purple und die Beatles waren englische Gruppen und Bob Marley Jamaikaner.
Das war die Antwort auf den Kollegen, der mir unterstellen wollte, dass man ohne amerikanische Musik nicht leben kann. Der Beitrag enthält Spuren von Ironie.
Klappt so gut mit der eigenen EDV bei Logineo in NRW. Und so schnell und günstig
Vergleich Logineo mit Office 365? = Diskussion beendet, weil Äpfel und Birnen.
Daran sind Microsoft & co aber nicht schuld, sondern die EU selbst. Sie fand es in den vergangenen Jahrzehnten viel wichtiger, einen gendergetriebenen Wasserkopf aus Bürokraten und Lobbyisten anzuhäufen.
In dem Artikel befinden sich in meinem Augen mindestens die folgenden Falschaussagen:
1. „Die Kampagne insbesondere gegen Microsoft in Schulen, die von Datenschutzbeauftragten einiger Bundesländer geführt wird..“ Nun kann man sich darüber streiten ob die Anwendung von Gesetzten eine Kampagne ist (führen die Polizisten auch Kampagnen gegen Autofahrer durch, wenn sie die Geschwindigkeit messen?), Fakt ist, dass sich die Mehrheit der Datenschutzbeauftragten gegen die Verwendung der Cloudlösung Microsoft 365 (es geht also nicht gegen Microsoft generell sondern „nur“ um 365) ausgesprochen hat (https://www.heise.de/news/Datenschuetzer-sehen-Microsoft-365-in-Behoerden-als-nicht-rechtskonform-an-4893604.html )
2. Es geht nicht um festgestellten Missbrauch von Schülerdaten. Den gibt es nämlich nicht. Es geht allein um die Möglichkeit, dass US-Konzerne deutsche Schülerdaten missbrauchen könnten.
Es gibt – im Rahmen eines Pilotprojekts in Baden-Württemberg – nachgewiesene Abweichungen; Beispiel: „Sie [die Schulen] können nach der Bewertung des Landesbeauftragten derzeit nicht ausreichend nachvollziehen, welche personenbezogenen Daten wie und zu welchen Zwecken verarbeitet werden und sie können nicht nachweisen, dass die Verarbeitung auf das für diesen Zweck notwendige Minimum reduziert ist. All das müssten sie aber, um ihrer Rechenschaftspflicht aus Artikel 5 Absatz 2 DS-GVO gerecht zu werden“ (https://www.baden-wuerttemberg.datenschutz.de/lfdi-raet-aufgrund-hoher-datenschutzrechtlicher-risiken-von-der-nutzung-der-geprueften-version-von-microsoft-office-365-an-schulen-ab/)
3. Das Microsoft über 365 Daten außerhalb des Geltungsbereichs der DSGVO speichert, ist entgegen der Aussagen Ihres Artikels, keine fiktive Behauptung, sonder nachgewiesen. Im Rahmen des Pilotversuchs stellt der LfDI aus BW fest: „Es bestehen zahlreiche Datentransfers in die USA….“ (https://fragdenstaat.de/anfrage/neubewertung-des-lfdi-bezuglich-der-dsfa-von-microsoft-office-365-1/626585/anhang/2021-04-23_Empfehlung_LfDI.pdf )
An dieser Stelle sollte man bedenken, dass der Pilotversuch mit einem verbesserten System und nur über mit der Browservariante (die entsprechende Desktop-Variane stand nicht zur Verfügung) durchgeführt wurde. Die normale Variante, die aktuell an Schulen eingesetzt wird, hat wahrscheinlich einen schlechteren Datenschutz.
Es ergibt sich in meinen Augen nicht viel Neues durch das Urteil des OLGs.
Natürlich kann man sich darüber streiten, ob die Anforderungen der DSGVO richtig sind oder überzogen; aber dass Microsoft diese mit seinem 365 Angebot nicht einhält ist bewiesen. Wichtig ist zudem dass es hier „nur“ um 365 geht nicht um Microsoft insgesamt. Office Produkte können natürlich lokal installiert und genutzt werden.
Für mich gibt es im Unterricht keinen Grund 365 einzusetzen. Daten Verteilen, Daten einsammeln, E-Mails empfangen,… geht ebenso wie mein Schülerwiki auch mit OpenSource.
Endlich einmal jemand, der auch Ahnung von der Materie hat.
Danke!!!
Uiuiui, steile Ansage zum Schuldatenschutz, abgeleitet aus einem Urteil zum Vergaberecht. Geht denn ja auch schief – in aller Kürze:
OLG Karlsruhe:“Sie hat in diesem Zuge zugesichert, dass personenbezogene Gesundheitsdaten ausschließlich an die ……., übermittelt werden und auch zu ihrer Verarbeitung die EU nicht verlassen, sondern nur in Deutschland verarbeitet werden.“ (juris Rn.34).
„Der öffentliche Auftraggeber darf ohne Widerspruch zu § 127 Abs. 4 Satz 1 GWB grundsätzlich davon ausgehen, dass ein Bieter seine vertraglichen Zusagen erfüllen wird (OLG Düsseldorf, Beschluss vom 26.08.2018, Verg 23/18, juris Rn. 71; KG, Beschluss vom 21.11.2014, Verg 22/13, juris, Rn. 36). Erst wenn sich konkrete Anhaltspunkte dafür ergeben, dass dies zweifelhaft ist, ist der öffentliche Auftraggeber gehalten, durch Einholung ergänzender Informationen die Erfüllbarkeit des Leistungsversprechens beziehungsweise die hinreichende Leistungsfähigkeit des Bieters zu prüfen (OLG Düsseldorf, a.a.O.; KG, a.a.O.; OLG Frankfurt a.M., Beschluss vom 16.06.201, 11 Verg 3/15, juris, Rn. 82; OLG Brandenburg, Beschluss vom 20.11.2012, Verg W 10/12, juris Rn. 21).“(juris Rn. 29)
Diese Vorgaben des Urteils (Daten verlassen EU nicht) passen nun gar nicht auf MS 365, da MS selbt in seinem Datenschutznachtrag zu den Produkten und Services von MS unter der Überschrift „Datenübermittlungen“ wissen lässt (= konkreter Anhaltspunkt, s.o.), dass personenbezogene Daten (!) in die USA (!) oder andere Länder übermittelt werden.
Weiterhin lässt MS in dem genannten Dokument unter der Überschrift „Offenlegung verarbeiteter Daten“ wissen, dass es Daten so offenlegen wird, wie dies gesetzlich vorgeschrieben ist. Gesetzlich vorgeschrieben kann dies auch nach amerikanischem Recht sein; FISA und Cloud Act sollen hier nur 2 Stichworte sein.
Interessierte Leser, vielleicht auch Schulleitungen, die in der datenschutzrechtlichen Verantwortung stehen, sollten sich durch juristische Salti nicht verblüffen lassen, sondern den bisher nicht entkräfteten Argumenten des LfD Ba-Wü folgen ( https://fragdenstaat.de/anfrage/neubewertung-des-lfdi-bezuglich-der-dsfa-von-microsoft-office-365-1/626585/anhang/2021-04-23_Empfehlung_LfDI.pdf) und den Argumenten der Datenschutzkonferenz (TOP 9 und Anhang: https://www.datenschutzkonferenz-online.de/media/pr/20201030_protokoll_3_zwischenkonferenz.pdf ).
Klar ist, dass Verantwortliche sehr schlecht beraten sind, wenn sie sich auf ein Urteil berufen sollten, dessen Voraussetzungen gar nicht vorliegen.
Wie kommt es denn dann, dass Sie als Datenschutzbeauftragter sich lediglich an den Schulen abarbeiten – gilt die DSGVO für Unternehmen, die sensible Arbeitnehmer- und Kundendaten verarbeiten, für Arztpraxen, in denen Patientendaten verwaltet werden, oder für Jugendämter, in denen deutlich sensiblere Kinderdaten gesammelt werden als Schulnoten, nicht?
Wo bleibt denn Ihre Kampagne, allen Behörden und der Wirtschaft in Deutschland Microsoft-Produkte zu verbieten? Trauen Sie sich an die etwa nicht heran? Uiuiui…
Das ist genau der Punkt: Ich würde erwarten, dass bei entsprechend vorliegenden „Verstößen“ gehandelt und nicht nur geduldet wird und zwar über alle Anwendungsszenarien egal in welchen Einrichtungen. Bitte nicht nur auf die Bühne stellen und irgendwelche Drohgebärden verlautbaren lassen. Seit mehr als 16 Jahren arbeite ich mit O365 und seinen Derivaten. Immer wieder wurde auf die vermeintlichen/tatsächlichen Datenschutzverstöße von M365 hingewiesen. Was ist passiert? Richtig, nix (eigentlich wie immer in Deutschland). Mal davon abgesehen, dass wir uns aus meiner Sicht mit wichtigeren Dingen im Leben beschäftigen sollten, z. B. eine zentrale Datenschutzbehörde und nicht sechzehn „unabhängige“ Landesbehörden mit ihren Landesfürsten im Datenschutz.
Sie arbeiten seit mehr als 16 Jahren mit einer Softwareumgebung, die (la. Wikipedia) 2011 erstmalig bereitgestellt wurde? Beeindruckend.
Heute sollte man auch allerhand klimaschädliche Technologien einschränken oder verbieten. Richtig unethisch wird es aber, wenn man eine junge Generation noch davon abhängig macht.
Was wird das hier – eine sozialistische Verbotsorgie?
… leben wir etwa im Überwachungskapitalismus?
https://www.3sat.de/wissen/scobel/the-social-dilemma-wie-google-und-co-uns-verkaufen-102.html
Kleiner Tipp noch: Ich argumentiere hier für individuelle, freie Software mit offenen Standards.
„Wie kommt es denn dann, dass Sie als Datenschutzbeauftragter sich lediglich an den Schulen abarbeiten – gilt die DSGVO für Unternehmen, die sensible Arbeitnehmer- und Kundendaten verarbeiten, für Arztpraxen, in denen Patientendaten verwaltet werden, oder für Jugendämter, in denen deutlich sensiblere Kinderdaten gesammelt werden als Schulnoten, nicht?“
Warum sollten die Mitarbeiter sorgfältiger mit sensiblen Daten umgehen, wenn sich schon seit der Schule gelernt haben, dass das doch nur übertriebener Unsinn ist und sowieso keine Alternativen kennen?
Wenn Sie und Ihre Kompagnons so sicher sind, dass Microsoft 365 geltendes Recht verletzt: Warum klagen Sie dann eigentlich nicht und erwirken ein Gerichtsurteil? Oder ist die rechtliche Lage vielleicht doch nicht so eindeutig, wie Sie es in Ihrer penetranten und zynischen Öffentlichkeitsarbeit oft kolportieren? Nicht nur innerhalb Europas, sondern selbst innerhalb Deutschlands kommen Datenschutzbeauftragte zu unterschiedlichen Entscheidungen: Mal wird Office 365 komplett verboten, mal wird nur die Videokonferenzfunktion verboten, mal dürfen es Berufsschulen nutzen, in anderen Bundesländern wird es für Schulen offiziell angeboten. Entweder ist die Nutzung illegal – oder eben nicht. Sonst müssen Sie sich eben den Vorwurf gefallen lassen, ideologiegetrieben Ihre Agenda durchsetzen zu wollen, ohne dass eine nachweisliche Straftat vorliegt.
Bei einer gerichtlichen Aufarbeitung könnte man weniger Raunen… und am allerschlimmsten: Dann muss das virgelegte Material eventuell auch einer öffentlichen, ungeframten Prüfung standhalten…
Ja nee, ist klar, ich verlasse mich als Verantwortlicher natürlich auf den supertollen Freak… ähm Fachdienst in BW statt auf ein Oberlandesgericht. Wenn SIE das sagen… wird schon stimmen.
Auch tolle Quellen, auf die man sich berufen kann:
Ganz unironisch:
Wenn es tatsächlich nichts wichtigeres für Sie zu tun gibt, als darauf zu achten, dass die CIA nichts von Kevins Mathebegabung erfährt, sind Sie mehr als flüssig.
Warum sollte denn Kevin später als Mitarbeiter sorgfältiger mit sensiblen Daten umgehen, wenn Kevin schon seit der Schule gelernt hat, dass das doch nur übertriebener Unsinn ist und er sowieso keine Alternativen kennt?
Und wissen Sie überhaupt was Kevins Vati und Mutti so arbeiten und was Herr Schulz so über Kevins Verhalten und Äußerungen so für Notizen macht?
Uff. Das ist mal eine Aussage. Ich lese hier: Eltern und Kinder sind unfähig, unreflektiert und naiv. Lehrer und das Schulsystem kennen sich aus und können jede Situation richtig und besonnen einschätzen. Ich lese auch: nur das Denken und Verhalten von Lehrern und Schule ist richtig.
Ich wünsche mir, dass Kevin diese Überheblichkeit und Arroganz nicht fürs weitere Leben mitnimmt.
Und ich „lese“ hier, dass Sie gar nicht gelesen haben, aber dafür umso mehr interpretieren.
Sie bringen es auf den Punkt: Es geht um Sabotage, wichtig sein, Antiamerikanismus.
Ein beliebtes Mittel dazu ist die absolute Fixierung auf einige wenige (eventuell sogar wirklich kritikwürdige, im Gesamtbild aber unwichtige) Teilaspekte.
Und natürlich das Bedienen im NGO-Dschungel je nach gesuchter Munition, die dann vom gleichen Netzwerk bzw. der gleichen ideologischen Hausnummer geliefert wird.
Ganz unironisch:
Es gibt keine ernstzunehmenden Fachleute, die die Meinung der Microsoft365-Befürworter hier teilen. Das gilt auch und erst Recht für die Schlussfolgerung in dem Artikel oben, die Kritik an US-Anbietern im Behördenbereich hätte sich mit dem Urteil „erledigt“. Die Datenübermittlung im Rahmen von Microsoft365 ist unter verschiedenen Gesichtspunkten rechtswidrig; da gibt es nichts zu deuteln.
Und wenn einer dieser Fachleute Sie darauf aufmerksam macht, dass hier ein Journalist ein Gerichtsurteil (massiv) missverstanden hat, sollte das in erster Linie eins zur Folge haben:
Dankbarkeit für den Zeitaufwand. Und eine Korrektur des Artikels, journalistischen Standards folgend, natürlich.
Sagt Ihnen ein anderer Fachmann, der anwaltlich Unternehmen im Datenschutzrecht berät und ganz sicher kein Datenschutz-Taliban ist.
Na, da sind es dann schon mal zwei, die das Urteil angeblich „(massiv) missverstanden“ haben: Wir – und die „Frankfurter Allgemeine Zeitung“. Ob wir uns korrigieren müssen, wird ja dann wohl ein künftiges Urteil zeigen, auf das diese Auseinandersetzung scheinbar zwingend hinausläuft.
Und was die Datenübermittlung betrifft – Microsoft selbst schreibt: „Bereits jetzt speichert Microsoft Daten weitgehend regional in Rechenzentren in der EU. Zusätzlich – obwohl es keine gesetzliche Verpflichtung dazu gibt – wird die Microsoft EU Data Boundary es künftig in der EU ansässigen Kunden aus dem öffentlichen Sektor und Unternehmenskunden ermöglichen, ihre Daten innerhalb der EU zu verarbeiten und zu speichern.“ Quelle: https://news.microsoft.com/wp-content/uploads/prod/sites/40/2022/08/Microsoft-Statement_Datenschutzkonformitaet-von-Microsoft-365-und-Microsoft-Teams.pdf
Damit hat sich das Argument wohl erledigt.
Herzliche Grüße
Die Redaktion
Die Datenschutzkonferenz steht noch in Verhandlungen mit MS. Diese Phase endet aber nun.
Bitte noch ein klein wenig Geduld, dann wird die DSK sich dazu melden und die Aufsichtsbehörden werden sich bei entsprechendem Ergebnis dann auch endlich trauen.
Braucht leider alles zu viel Zeit…
Sie stehen noch in Verhandlungen mit Microsoft, kennen das Ergebnis aber schon? Ist das hier eigentlich noch ein Rechtsstaat?
Alle Augen blicken gebannt auf die Konklave. Nicht.
Microsoft 365 wird von Datenschützern nicht nur deswegen kritisiert, weil das Daten in die USA übermittelt (das ist unbestritten so, steht in den Verträgen drin). Sondern weil dessen Einsatz zahlreiche andere Rechtsverstöße mit sich bringt.
Siehe dort https://www.baden-wuerttemberg.datenschutz.de/ms-365-schulen-hinweise-weiteres-vorgehen/#weitere_informationen
Als Kehrer solltet ihr ja lesen können.
ich bin ja echt für Datenschutz, aber Microsoft sagt doch selbst, dass alles in Ordnung ist und den Datenschutz einhält. Also kann man auch darauf vertrauen! Danke, endlich mal ein vernünftiges Gericht!
Ich sage dem Finanzamt doch auch selbst, dass alle Ausgaben so sind, wie ich behaupte und die sagen echt, dass ich das trotzdem für alles Belege vorlegen müsse… werde wohl zukünftig ein Gericht bemühen müssen.
Komisch meine Steuererklärung ist schon seit ca. 5 Jahren belegfrei…
Nicht eine Nachforderung 😉
Und MS hat durch das Logo auf dem Bildschirm schon Jahrzehnte lang bewiesen, dass sie immer recht haben. Per Definition.
Quatsch. Der Verantwortliche (=die Schule!) heißt der Verantwortliche, weil er verantwortlich ist. Das heißt: die Schule muss nachweisen, dass alles rechtmäßig ist. Kann sie das nicht, ist der Einsatz nicht rechtmäßig. Ganz einfach.
Lesen bildet: https://www.baden-wuerttemberg.datenschutz.de/ms-365-schulen-hinweise-weiteres-vorgehen/
Einfach mal lesen. Ja, lesen!
Die Schulleiterin oder der Schulleiter, nicht die Schule ist für den Schutz der Daten und die Einhaltung der datenschutzrechtlichen Bestimmungen in der Schule verantwortlich.
Und die Erde ist eine Scheibe
Man kann laut Urteil (s.u.) aber eben nicht vertrauen – und das ist der ausschlaggebende Punkt -,wenn es konkrete Anhaltspunkte für Datenschutzverstöße gibt.
Und die gibt es eben, öffentlich zugänglich (s.u.).
Also ist ein Vertrauen eben nicht schutzwürdig; eine verantwortliche Schulleitung oder eine verantwortliche Lehrkraft bleibt somit datenschutzrechtlich in der Verantwortung!
Eine Berufung auf das Urteil verpufft damit hier, das sollte man nicht einfach ignorieren.
Man darf nur darauf vertrauen, wenn – so das OLG Karlsruhe (s.u.) – keine konkreten Anhaltspunkte für Zweifel an der Zusicherung bestehen.Das ist ein entscheidender Punkt, denn die Richter haben hier einen Vorbehalt eingebaut.
Diese konkreten Anhaltspunkte liegen hier jedoch vor (s.u.).
Damit ist ein etwaiges Vertrauen eben nicht mehr schutzwürdig und verantwortliche Schulleitungen oder verantwortliche Lehrkräfte bleiben damit in der datenschutzrechtlichen Verantwortung!
Das Urteil verpufft damit im hier diskutierten Zusammenhang.
Das einfach so beiseite.zu schieben, kann ich wirklich nicht anraten.
Gäbe es noch das Neo Magazin Royale, wären die Kommentare hier wirklich ein gefundenes Fressen! lmao
Wie man aus einem Urteil, das eine vergaberechtliche Frage (zutreffend) klärt und darlegt, dass Verarbeiter in der EU (!) nicht schon dewegen von einem Vergabeverfahren ausgeschlossen werden können, weil eine nur theoretische (!) Möglichkeit der Übermittlung in die USA bestehe, den Schluss ziehen kann, dass Datenübermittlungen in die USA datenschutzrechtlich immer zulässig seien, das ist mir nicht ganz klar.
Klingt irre, ist aber so: Alle Daten (ja, alle) des gesamten offenen Internets der BRD werden in die USA „übertragen.“ (Ich sage nicht „ausgewertet“, „gesichtet“ o. ä.)
Also ist ja die Sache klar:
Äxte und Brechstangen raus, Internet raus aus allen Schulen! Weil Daaaatäähhhnschutz!
Wer das jetzt für Satire hält, möge sich informieren.
Das gleiche gilt für jedes Gerät mit wesentlichen US-Komponenten neuerer Bauart oder gar OS aus den USA.
Jepp, keine Satire.
Also dann… auf zum schulischen Abrisstrupp?
Jedes Smartphone ist eine definitive potentielle Wanze. Und überträgt im Schulbetrieb Daten in die USA.
Also – Smartphones werden SuS zukünftig bei Betreten der Svhule abgenommen und in Aluboxen gelagert.
Grundgütiger Herr im Himmel…
Lesen bildet. https://www.baden-wuerttemberg.datenschutz.de/ms-365-schulen-hinweise-weiteres-vorgehen/
An MS 365 ist US-Transfer erstens nicht das große Thema (lesen bildet!) und zweitens sagt Microsoft selbst, dass US-Transfer vorkommt. MS365 geht NICHT ohne. Also ist alles hier dazu hinfällig.
Man kann nur jeder Schulleitung davon abraten, sich auf diese „juristische“ Interpretation eines in gänzlich anderem als dem schulischen Kontext getroffene Urteils von News4Teachers zu verlassen oder gar zu stützen.
Schön die Angst am Leben halten… sehr gut.
Office gibt‘s übrigens auch ohne 365 – welche Bedenken bestehen hierbei?
Was ist denn bitte eine „Datenschutz-Kompatibilität“?
Dass ein System den Bestimmungen des Datenschutzes entsprechend angewendet werden kann (ein System gewährleistet niemals per se den Datenschutz; es kommt immer auf die konkrete Anwendung an). Gerne hier nachlesen: https://www.news4teachers.de/2021/07/datenschutz-an-schulen-6-mythen-und-fakten-teil-2/
Herzliche Grüße Die Redaktion
Achtung, in der Entscheidung geht es nicht unmittelbar um Datenübertragungen zu Drittlandsanbietern, sondern um eine europäische Tochterfirma.
Großartig! Dann müssen sich die ganzen Denkfaulen, die sowas als ‚gesunden Menschenverstand‘ feiern, wenigstens nicht mit datenschutzfreundlichen Lösungen im Sinne der Schüler beschäftigen, sondern können es sich weiterhin möglichst bequem machen.
Bitter.