Skip to content

Instantly share code, notes, and snippets.

@dermicha

dermicha/CloudServicesAnfrageAnSchultraeger.md

Last active January 23, 2020 22:23
Show Gist options
  • Star 0 You must be signed in to star a gist
  • Fork 0 You must be signed in to fork a gist
  • Save dermicha/3effe69546c1dfa426ab6c745aa921db to your computer and use it in GitHub Desktop.
Save dermicha/3effe69546c1dfa426ab6c745aa921db to your computer and use it in GitHub Desktop.
Download ZIP
Raw
CloudServicesAnfrageAnSchultraeger.md

Adressat:

  1. Datenschutzbeauftragte, wenn benannt
  2. oder aber Schulleitung

Sehr geehrte Damen und Herren,

ich spreche sie als verantwortliche Person für den Datenschutz der {Name der Institution} an.

Ich habe in der letzen Zeit immer häufiger über datenschutzrechtliche Probleme bei dem Einsatz von Cloud Lösungen an Schulen gelesen. In den Berichten tauchten vor allem Angebote wie Office 365, Google Education, Apple School und auch its learning auf.

Zum Beispiel haben der hessische und der brandenburgische Datenschutzbeauftragte sowie die niederländische Regierung fest gestellt, dass der Einsatz von Office 365 im schulischen Umfeld (s.u.) mit geltendem europäischem und deutschem Recht nicht in Einklang gebracht werden kann.

Darüber hinaus sind US-amerikanische Unternehmen gesetzlich verpflichtet den US-Behörden uneingeschränkten Zugriff auf deren Kundendaten, unabhängig vom Server-Standorten, zu gewähren, ohne dass dies den Betroffenen transparent wird.

Schulen tragen hier eine besondere gesetzlich verankerte Verantwortung für das besondere Schutzbedürfnis der Privatsphäre der ihr anvertrauten Kinder und Jugendlichen1. Die gilt auch für alle Daten von Mitarbeiter*innen. Und nicht zuletzt bedarf es zwingend der freiwilligen schriftlichen Zustimmung der Eltern, der volljährigen Schülerinnen und Schüler sowie den Mitarbeiter*innen. Da scheint es mir mehr als geboten, alle Schulbeteiligten in den Prozess über die Gestaltiung der digitalen Arbeits- und Lernumgebung sowie der Verwaltung miteinzubeziehen und gemeinsam tragfähige Lösungen zu entwickeln.

Vor dem Hintergrund möchte ich Sie bitte mir folgende Fragen zu beantworten:

  1. Welche meine Person betreffende Daten haben sie aktuell gespeichert?
  2. Zu welchem Zweck werden die über mich gespeicherten Daten verwendet?
  3. Wie betreiben sie eine Datensicherung der über mich gespeicherten Daten verwendet?
  4. Mit welchen Anbietern haben sie Verträge über die Verarbeitung meiner Daten?
  5. Welche meiner Daten werden durch sie oder dritte in Cloud basierten Diensten verarbeitet?
  6. Falls sie teile meiner Daten ausserhalb der Schule verarbeiten lassen, teilen Sie mir bitte mit in welchen Ländern die zur Verarbeitung genutzen Server betrieben werden? Insbesondere möchte ich wissen ob meine Daten ausserhalb der EU verarbeitet werden?
  7. Welche Personen haben zu welchen Teilen meiner Daten Zugang. An der Stelle reicht mir eine Aussage zu ihrem Rollen- und Berechtigungskonzept.
  8. Bitte teilen sie welche Einverständniserklärungen ihnen zur Datenverarbeitung und Speicherung meiner Daten ihnen vorliegt?
  9. Bitte händigen sie mir ihre Datenschutzfolgeabschätzung aus2?

Ich möchte anregen uns gemeinsam und selbstbewusst auf die Suche nach guten Alternativen zu machen: Vielerorts werden diese schon geschaffen, darunter auch von der Evangelischen Landeskirche 3 und dem Bundesland Bremen4. Und auch die Elternschaft der ESBM und ESBZ in Berlin evaluieren und betreiben schon seit 2 Jahren mit gutem Erfolg eine Open Source basierte Schul-Portal Lösung5.

Weiterhin möchte ich sie auf die Initiative6 aufmerksam machen. Diese Initiative arbeitet zur Zeit an konkreten Kriterien zur Auswahl von Hardware, Software und Lerninhalten im schulischen Umfeld. Einer der zentralen Anliegen ist es die Privatsphäre an Schulen zu wahren und freie Software zu fördern.

Wir haben jetzt noch die Möglichkeit, als Schule, datenschutzrechtlich unbedenkliche Alternativen einzuführen und in einem demokratischen Prozess eine tragfähige Lösung gemeinsam zu erarbeiten, die im Einklang mit unseren Werten stehen und die eine wichtige Strahl- und Signalwirkung für den achtsamen Umgang mit der Privatsphäre der Kinder, Jugendlichen Mitarbeiter*innen an den Schulen haben.

Mir erscheint ebenfalls ein sehr wichtiger Punkt zu berücksichtigen, dass Fehler im Umgang mit Daten nicht wieder rückgängig gemacht werden können. Sind Daten erstmal in die falschen Hände geraten, ist dies nie wieder änderbar. Aus diesem Umstand ergibt sich meiner Meinung nach eine ganz besondere Verantwortung.

Ich hoffe sie verstehen mein Interesse daran zu erfahren wie es um den Schutz meiner personenbezogenen Daten steht. Mir liegt meine Privatsphäre und der Schutz meiner persönlichen Daten sehr am Herzen. Sehr gerne bin ich zu einem konstruktiven Diskurs bereit, falls es Diskussionsbedarf geben sollte. An der Stelle möchte auch noch einmal auf die Initiative Cyber4EDU6 verweisen, die Hilfe auf vielen Ebenen anbietet oder noch erarbeitet.

Mit herzlichen Grüßen, XYZ

Anlage

In der Anlage finden sie Links und Zitate, die meinen Standpunkt deutlich machen.

Stellungnahme des hessischen Datenschutzbeauftragten:

„Selbst, wenn diese Speichercomputer in Europa stünden, könnten US-amerikanische Behörden oder andere Personen zumindest potenziell auf Informationen zugreifen, meint Ronellenfitsch. Das widerspreche der EU-Datenschutzgrundverordnung (DSGVO). Dasselbe gelte für Cloud-basierte Anwendungen wie GoogleDocs oder iWork von Apple.“

(Quelle: https://www.welt.de/wirtschaft/article197952453/DSGVO-Schulen-bei-Office-365-Einsatz-in-Rechtsunsicherheit.html, abgerufen am 14.09.2019)

Heise Online 12/2019: „Digitalpakt Schule: Informatiker kritisieren Einsatz von Microsoft-Produkten“

"Das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) protestiert, weil über den Digitalpakt Schule oft als Software Lockvogel-Angebote von Microsoft genutzt werden. Den meisten Schulträgern oder einzelnen Lehranstalten werde eine 'kostenlose' Lizenz von Office 365 Education in der Vertragsvariante A1 angeboten."

(Quelle: https://www.heise.de/newsticker/meldung/Digitalpakt-Schule-Informatiker-kritisieren-Einsatz-von-Microsoft-Produkten-4603602.html)

Clearview

"Eine obskure US-Firma hat laut einem Bericht der New York Times rund drei Milliarden Bilder von Menschen aus dem Internet zusammengestellt, um eine umfassende Datenbank zur Gesichtserkennung zu entwickeln."

(Quelle: https://www.heise.de/newsticker/meldung/Bericht-US-Firma-sammelte-Milliarden-Fotos-fuer-Gesichtsdatenbank-4641569.html

https://www.nytimes.com/2020/01/18/technology/clearview-privacy-facial-recognition.html)

Kommentar: Microsoft, Google, Apple und Co. aus Bildungseinrichtungen verbannen

"Dieses Drogendealer-Modell von Microsoft und Co. funktioniert erschreckend effektiv. Schüler und Lehrer erhalten die Produkte bzw. Lizenzen zumeist kostenlos."

(Quelle: https://www.kuketz-blog.de/kommentar-microsoft-google-apple-und-co-aus-bildungseinrichtungen-verbannen/)

Auszug aus einer Dienstanweisung der Charite

"Patientenbezogene Daten haben ein sehr hohes Schutzbedürfnis. (...) Daten von Patienten dürfen ausnahmslos nicht in Office 365 verarbeitet werden. Hierfür sind ausschließlich die klinischen Systeme zu nutzen."

(Quelle: Interne Dienstanweisung der Charite 5.6.2019)

Auszüge aus IT-Fachmagazinen

IX, 5/2019: "Die Datenschutz-GAUs in Office 365 (...) Ein sicherer, datenschutzkonformer Betrieb von Office365 würde erst einmal erfordern, dass sich Microsoft an geltende EU-Gesetze hält"

(Quelle: https://www.heise.de/select/ix/2019/5/1907710505118147453)

Golem Online, 7/2019: "eine Analyse zeigt weiterhin Probleme mit onlinebasierten Office-Produkten"

(Quelle: https://www.golem.de/news/microsoft-telemetrie-weiter-datenschutzprobleme-mit-office-und-windows-1907-142861.html"

Heise Online: 8/2019: "Nach Ansicht der niederländischen Datenschutzbehörde verstoßen Windows 10 Home und Pro durch die Sammlung von Telemetriedaten weiterhin gegen die DSGVO."

(Quelle: https://www.heise.de/newsticker/meldung/Windows-10-erneut-im-Fokus-der-EU-Datenschuetzer-4509119.html)

Footnotes

  1. siehe hierzu insbesondere die Ausführungen der DSGVO, Artikel 6, https://dsgvo-gesetz.de/art-6-dsgvo/

  2. Datenschutz-Folgenabschätzung: https://dsgvo-gesetz.de/art-35-dsgvo/

  3. Portal der EKBO: https://start.gemeinsam.ekbo.de/

  4. Schul Cloud des Landdes Bremen: https://ogy.de/4ps7

  5. Schulportal det ESBM/ESBZ: https://portal.esbz.org

  6. Initiative für Privatsphäre respektierende freie Software an Schulen: https://cyber4edu.org 2

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment