WIESBADEN. Hessens Kultusminister Alexander Lorz (CDU) hat – nach langem Hin und Her – das Videokonferenzsystem „Big Blue Button“ auf dem hessischen Schulportal integrieren lassen. Schulen werden nun per Brief von ihm aufgefordert, ihren Betrieb darauf umzustellen. Auch Privatschulen erhielten ein entsprechendes Schreiben. Der Verband Deutscher Privatschulen (VDP) Hessen sowie Rheinland-Pfalz/Saarland beruhigt seine Mitglieder allerdings in einer Rundmail: Das Kultusministerium habe in dieser Frage den freien Schulen nichts vorzuschreiben. Die angeblichen Datenschutzprobleme sehe man derzeit ohnehin nicht.
„Sehr geehrte Damen und Herren, liebe Mitglieder, das Thema ‚Videokonferenzsysteme an Schulen und Datenschutz‘ ist aktuell bei einigen von Ihnen wieder in den Fokus gerückt, da ein Schreiben der Schulämter bzw. des HKM (des Hessischen Kultusministeriums, d. Red.) zur Nutzung des neuen einheitlichen Konferenzsystems auch die Privatschulen erreicht hat“, so heißt es in der Rundmail des VDP, die News4teachers vorliegt. „Dieses Schreiben war nur nachrichtlich an Sie adressiert und das HKM hat – wie bereits in der Vergangenheit von uns geklärt – keine Befugnisse bezüglich der von Ihnen genutzten Videokonferenzsysteme. Diese Prüfung obliegt dem Hessischen Datenschutzbeauftragten.“
Der hessische Datenschutzbeauftragte Alexander Roßnagel hatte bereits im Juni vergangenen Jahres darauf gepocht, dass Schulen zum 31. Juli 2021 auf ein landeseigenes Videokonferenz-System umsteigen und auf Anbieter wie Microsoft Teams verzichten. Dass es ein landeseigenes System seinerzeit gar nicht gab, focht ihn dabei nicht an. Eltern- und Schülervertreter protestierten, weil sie den Verzicht auf ein funktionierendes System nicht nachvollziehen konnten – und Probleme mit einer eilig zusammengezimmerten Staatslösung vorhersahen (News4teachers berichtete).
„Bereits jetzt speichert Microsoft Daten weitgehend regional in Rechenzentren in der EU“
Das Kultusministerium quälte sich derweil durch ein vermurkstes Ausschreibungsverfahren. Die Vergabekammer des Landes hatte die Wiederholung angeordnet, nachdem ein unterlegener Bieter einen Nachprüfungsantrag gestellt hatte. Mittlerweile konnte das Unternehmen German Edge Cloud aus dem hessischen Eschborn mit der Integration der Open-Source-Software „Big Blue Button“ beauftragt werden. Das Unternehmen, das zur Rittal-Gruppe aus Herborn (ebenfalls Hessen) gehört, habe bei einer europaweiten Ausschreibung den Zuschlag erhalten, heißt es in Wiesbaden. Und der Datenschutzbeauftragte? Verlängerte seine Duldung von angeblich nicht datenschutzkonformen Videokonferenzsystemen bis Ablauf des ersten Schulhalbjahres 2022/23.
„Dies betrifft vor allem Systeme von Unternehmen aus den Vereinigten Staaten. Als datenschutzkonforme Lösung wird das landesweite Videokonferenzsystem allen Schulen zur Verfügung stehen“, so hieß es seinerzeit aus dem Kultusministerium.
Mittlerweile allerdings haben sich die Rahmenbedingungen geändert. Microsoft – auf dessen Software-Lösungen hatten sich die Datenschutzbeauftragten einiger Bundesländer wie eben Hessen eingeschossen – erklärte unlängst: „Bereits jetzt speichert Microsoft Daten weitgehend regional in Rechenzentren in der EU.“ Und der Konzern kündigte an: „Zusätzlich – obwohl es keine gesetzliche Verpflichtung dazu gibt – wird die Microsoft EU Data Boundary es künftig in der EU ansässigen Kunden aus dem öffentlichen Sektor und Unternehmenskunden ermöglichen, ihre Daten innerhalb der EU zu verarbeiten und zu speichern.“
Damit entfällt der Hauptkritikpunkt der Datenschutzbeauftragten: dass nämlich Daten von deutschen Schülerinnen und Schüler auf US-Servern gespeichert werden könnten, auf die US-Behörden zugreifen könnten. Microsoft versichert nun: „Alle Microsoft Produkte und Dienste können in der Privatwirtschaft und im öffentlichen Sektor (z. B. an Schulen) datenschutzkonform eingesetzt werden und sind auch selbst datenschutzkonform. Microsoft hält die Anforderungen des geltenden Datenschutzrechts ein.“
„Wir sehen aktuell keine datenschutzrechtlichen Bedenken bezüglich der Nutzung der Microsoftprodukte an Ihren Schulen“
Dass Kunden einer solchen Beteuerung grundsätzlich glauben können – wenn es keine Beweise für das Gegenteil gibt –, legt zudem ein Urteil des Oberverwaltungsgerichts Karlsruhe nahe, das überzogenem Datenschutz einen Riegel vorgeschoben hatte. Grundsätzlich sei davon auszugehen, dass ein Bieter seine vertraglichen Zusagen erfüllen werde. Erst wenn sich aufgrund konkreter Anhaltspunkte Zweifel daran ergäben, müsse ein öffentlicher Auftraggeber ergänzende Informationen einholen und die Erfüllbarkeit des Leistungsversprechens prüfen, entschieden die Richter (Az.: 15 Verg 8/22). (News4teachers berichtete auch darüber.)
Darauf beruft sich nun auch der VDP. Er schreibt an seine Mitglieder: „Wir sehen aktuell keine datenschutzrechtlichen Bedenken bezüglich der Nutzung der Microsoftprodukte an Ihren Schulen und werden in unserer Rechtsauffassung zum einen durch ein Urteil des Oberlandesgericht Karlsruhe von September 2022 bestätigt sowie zum anderen durch die Gespräche und Verhandlungen unseres Dachverbandes mit Microsoft direkt“, so heißt es in dem Schreiben (Verlinkungen im Original, d. Red.).
Erst unlängst hatte es nämlich ein Treffen der VDP-Spitze mit Konzernvertretern gegeben. Ergebnis: Der Verband sieht die Rechtssicherheit für Schulen in freier Trägerschaft im Umgang mit der Software gestärkt. Was dann wohl auch für staatliche Schulen gelten dürfte. News4teachers