Eingelangt am 05.07.2022
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind möglich.

Anfrage

der Abgeordneten Katharina Kucharowits, Petra Tanzler

Genossinnen und Genossen

an den Bundesminister für Bildung, Wissenschaft und Forschung

betreffend Nutzung von Microsoft und Google an Schulen

 

Es war kaum mehr als eine Randnotiz, etablierte Medien berichteten – wenn überhaupt – nur spärlich darüber, dabei handelte es sich um eine bahnbrechende Entscheidung: Im April diesen Jahres ließ der Datenschutzbeauftragte des deutschen Bundeslandes Baden-Württemberg aufhorchen: Er erwarte „von Schulen, dass sie Schüler_innen bis zu den Sommerferien 2022 Alternativen zum Cloud-Dienst MS 365 für den Schulbetrieb anbieten. Ab dem kommenden Schuljahr ist die Nutzung von MS 365 an Schulen zu beenden oder deren datenschutzkonformer Betrieb ist von den verantwortlichen Schulen eindeutig nachzuweisen.“ Begründet wird diese Entscheidung mit der rechtlichen Auffassung, dass mit der Nutzung von Microsoft 365 Anwendungen „hohe datenschutzrechtliche Risiken“ einhergehen.[1]

Diese rechtliche Begründung basiert auf einer Pilotphase, die in ausgewählten Schulen Baden-Württembergs seit Herbst 2020 durchgeführt wurde. Im Rahmen dieser Pilotphase wurde der Einsatz von Microsoft 365 an Schulen „in einem intensiven und umfangreichen Verfahren“ geprüft. In dieser Zeit arbeiteten das Lehrpersonal, Pädagogi*nnen und Schüler*innen mit einer funktionell eingeschränkten und möglichst datenschutzkonformen Konfiguration. So wurden etwa die Erfassung von Telemetrie- und Diagnosedaten deaktiviert und zusätzliche Sicherheitsstandards gesetzt. Doch selbst in dieser abgeänderten, sozusagen „sicheren“, Variante ließen sich die diversen groben datenschutzrechtlichen Mängel von Microsoft 365 nicht beheben, es konnte kein datenschutzkonformer Betrieb gewährleistet werden.[2]

Die Gründe dafür: „Die Schulen hätten bei MS 365 keine vollständige Kontrolle über das Gesamtsystem und den US-amerikanischen Auftragsverarbeiter, so das Fazit der damaligen Untersuchung. Es sei nicht ausreichend nachvollziehbar, welche personenbezogenen Daten zu welchen Zwecken verarbeitet würden. Zudem könne nicht nachgewiesen werden, dass die Verarbeitung auf das für diesen Zweck notwendige Minimum reduziert wurde. Hinzu komme, dass Daten teilweise in Regionen außerhalb der EU übertragen würden - dafür sei jedoch keine Rechtsgrundlage erkennbar. Eine solche ist jedoch nach der Datenschutzgrundverordnung (DSGVO), insbesondere nach dem Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH), zwingend erforderlich.“ so Brancheninsider Golem.[3]

Das ist – gelinde gesagt – ein gleichsam vernichtendes wie besorgniserregendes Urteil. Denn auch an Österreichs Schulen wird auf Microsoft 365 Produkte and Anwendungen zurückgegriffen. Und auch in Österreich melden Expert*innen schwere Mängel im Umgang mit Daten. So werden mit der Verwendung von Microsoft, einer US-amerikanischen Software, sensible Daten und Dokumente von Pädagog*innen und Schüler*innen auch auf Servern in den Vereinigten Staaten gespeichert. Damit kann auch die U.S. Regierung beliebig und nach Gutdünken auf diese Daten zugreifen – etwas, das seit dem Cloud Act aus dem Jahr 2018 auch explizit rechtlich so geregelt ist.[4] Der Weg hin zu einer digitalen Souveränität Österreichs und der EU sieht anders aus.

 

Aus diesem Grund stellen die unterfertigten Abgeordneten nachstehenden

 

Anfrage

 

1.       Wie viele Schulen (auch in Prozent) in Österreich verwenden a) Microsoft bzw. Microsoft Produkte und Anwendungen und/oder b) Google Produkte und Anwendungen (wie etwa Google Classroom oder Google OS Geräte) im Lehr- und Ausbildungsbetrieb? Bitte um Aufschlüsselung nach Schultyp (Volksschule, Mittelschule, AHS, Berufsbildende mittlere und höhere Schulen, Berufsschulen, Sonderschulen, polytechnische Schulen etc) sowie nach Bundesland.

2.       Welche Microsoft Produkte und Anwendungen bzw. welche Google Produkte und Anwendungen werden an Österreichs Schulen konkret verwendet? Bitte um Auflistung aller Produkte und Anwendungen und wofür die einzelnen Anwendungen konkret im schulischen Alltag verwendet werden.

3.       Stehen die an Schulen verwendeten Microsoft bzw. Google Produkte und Anwendungen in vollem Umfang ihrer Funktionen zur Verfügung? Bitte um Auflistung der einzelnen Produkte und Anwendungen und etwaiger eingeschränkter Funktionen.

a.       Falls nein, gibt es Produkte oder Anwendungen – oder einzelne Funktionen dieser Produkte oder Anwendungen (wie die Erfassung von Telemetriedaten) – die aufgrund datenschutzrechtlicher Sicht nicht verwendet werden? Bitte um Auflistungen der betroffenen Produkte und Anwendungen bzw. deren Funktionen.

4.       Gibt es die Möglichkeit, Microsoft bzw. Google Produkte und Anwendungen an Schulen in einer datenschutzrechtlich angemessenen Konfiguration zu nutzen?

a.       Fall ja, wie gestaltet sich diese datenschutzrechtlich angemessene Konfiguration konkret aus?

b.       Falls ja, wie viele der Schulen verwenden eine datenschutzrechtlich angemessene Konfiguration von Microsoft bzw. Google Produkten und Anwendungen? Bitte um Auflistung wieder nach Schultyp und Bundesland.

c.       Falls nein, warum gibt es diese Möglichkeit nicht?

5.       Gab es vor Einführung von Microsoft bzw. Google Produkten und Anwendungen in Schulen eine Datenschutzfolgeabschätzung?

a.       Falls ja, zu welchem Ergebnis kam diese Datenschutzfolgeabschätzung?

b.       Falls nein, warum gab es keine Datenschutzfolgeabschätzung?

c.       Falls nein, gab es eine andere Form der Evaluierung? Wie hat sich diese Evaluierung konkret ausgestaltet? Bitte um detaillierte Beschreibung!

6.       Nach den Meldungen des Datenschutzbeauftragen aus Baden-Württemberg, ist eine (neuerliche) Datenschutzfolgeabschätzung für Microsoft bzw. auch Google Produkte und Anwendungen an Österreichs Schulen geplant?

a.       Falls ja, läuft diese Datenschutzfolgeabschätzung bereits? Und wann kann mit ersten Ergebnissen gerechnet werden?

b.       Falls nein, warum nicht?

7.       Im Standardartikel (siehe Fußnote 4) verortet die NGO Epicenter Works „massive Datenschutzmängel“ bei der Verwendung von Microsoft Produkten und Anwendungen an Schulen. Die Kritik lautet: Aufgrund der Verwendung von US-amerikanischen Software-Lösungen an Schulen liegen äußerst sensible Daten österreichischer Schüler*innen auf US Servern und sind somit vor dem Zugriff durch die US-Regierung seit dem Cloud Act auch in der EU nicht mehr geschützt?

a.       Wie wird in einem solchen Szenario gewährleistet, dass die Daten von Lehrenden, Pädagog*innen und Schüler*innen angemessen geschützt sind und nicht missbräuchlich verwendet?

8.       Gäbe es rein technisch die Möglichkeit, die an Schulen verwendeten Microsoft bzw. Google Anwendungen auf österreichischen Servern, beispielsweise jenen des Bundesrechenzentrums, zu hosten?

a.       Falls ja, warum wird diese Möglichkeit nicht in Betracht gezogen oder umgesetzt?

b.       Falls nein, warum besteht die Möglichkeit, die an Schulen verwendeten Microsoft bzw. Google Anwendungen auf österreichischen Servern zu hosten?

9.       Laut IKT-Verordnung (https://bit.ly/3OJ2gbT) ist auf den Computern der Schüler*innen neben Mobile Device Management Software auch die Installation von Classroom Management Software erlaubt. Diese ermöglicht es Lehrenden, sich technisch jederzeit via Fernzugriff in den Computer der Schüler*innen einzuklinken. Die Devices gehen in Privatbesitz der Kinder über und eine private Nutzung wird den Eltern auf der Informationswebseite als bedenkenlos empfohlen (https://bit.ly/3njPB36, mit Verweis auf § 6 Abs. 2 SchDigiG https://bit.ly/3OGj8Qa). Welche Device Management Software kommt an österreichischen Schulen zum Einsatz, von wem wurde diese beauftragt, entwickelt und wurde der Quellcode unabhängig auditiert?

a.       Welche Classroom Management Software kommt an österreichischen Schulen zum Einsatz?

b.       Wie wird technisch sichergestellt, dass der Zugriff nicht unbemerkt durch die Schülerin oder den Schüler stattfinden kann?

c.       Wie steht diese Software auf den Computern der Schüler*innen bzw. der dadurch ermöglichte Zugriff von Lehrenden im Einklang mit den Rechten der Kinder und Jugendlichen? Vor allem in Hinblick, dass ein solcher Zugriff eines Arbeitsgebers auf Privatgeräte von Erwachsenen im beruflichen Kontext vollkommen ausgeschlossen wäre?

10.   Laut dem Artikel des Standard (siehe Fußnote 4) ist darüber hinaus auf den Computern der Schüler*innen die Mobile Device Management Software installiert. Diese ermöglicht es Lehrenden, sich jederzeit via Fernzugriff in den Computer der Schüler*innen einzuklinken, auch bei einer etwaigen privaten Verwendung des Computers. Wie steht diese Software auf den Computern der Schüler*innen bzw. der dadurch ermöglichte Zugriff von Lehrenden im Einklang mit den Rechten der Kinder und Jugendlichen?

11.   Vor der Einführung von Microsoft bzw. Google Produkten und Anwendungen an Österreichs Schulen, wurde die Verwendung von alternativen Produkten und Anwendungen, insbesondere Open Source Lösungen, geprüft?

a.       Falls ja, die Verwendung welcher alternativen Produkte und Anwendungen wurde geprüft und wieso hat man sich schließlich gegen diese entschieden?

b.       Falls nein, warum wurden keine Alternativen geprüft?

12.   Gibt es zum Zeitpunkt der Beantwortung dieser Anfrage Bestrebungen, die Verwendung von Microsoft bzw. Google Produkten und Anwendungen an Schulen zu beenden?

a.       Falls ja, ab wann sollen Microsoft bzw. Google Produkte und Anwendungen an Schulen nicht mehr verwendet werden?

b.       Falls ja, welche alternativen Produkte und Anwendungen werden stattdessen zum Einsatz kommen?