Berlin - Am Telefon ist Frank Rosenkranz, Junior-Professor für Bürgerliches Recht im digitalen Zeitalter an der Ruhr-Universität Bochum, außerdem geschäftsführender Direktor des Instituts für geistiges Eigentum, Datenschutz und Informationstechnologie. Wir wollten von ihm wissen, was in der aktuellen Notsituation wichtiger ist: dass die Schulen das Recht auf Unterricht garantieren können oder dass sie strengen Kriterien für Datensicherheit genügen?

Herr Rosenkranz, Tausende von Schulen in Deutschland haben im Moment dasselbe Problem: Entweder benutzen sie Schulclouds, die gut funktionieren, aber nicht datenschutzkonform sind, oder aber Schulclouds, die datenschutzkonform sind, aber nicht gut funktionieren. Wie kommen wir heraus aus diesem Schlamassel?

Von welchen Schulclouds sprechen Sie denn?

In Berlin wird den Schulen geraten, den landeseigenen Lernraum Berlin zu nutzen. Aber viele Lehrer und Schüler raufen sich regelmäßig die Haare, wenn sie sich morgens mal wieder nicht anmelden können. Andere Berliner Schulen arbeiten fröhlich, still und heimlich mit Google Classroom, Zoom oder Microsoft Teams, obwohl klar ist, dass die Berliner Datenschutzbeauftragte die Nutzung verbietet.

Auch die Datenschutzbeauftragten in anderen Bundesländern verbieten die Nutzung. Viele verfolgen dieselbe Linie.

Warum ist das so?

Das liegt an der Datenschutz-Grundverordnung (DGSVO), die seit Mai 2018 in allen Mitgliedstaaten der Europäischen Union unmittelbare Geltung hat. Artikel 44 besagt, dass personenbezogene Daten nur unter besonderen Voraussetzungen in Drittländen verarbeitet werden dürfen. Aber genau das passiert ohne Beachtung dieser Vorgaben, z. B. bei Microsoft Teams. Die Server liegen in den USA und außerdem behält das Unternehmen sich vor, die Daten der Schüler zu eigenen Zwecken zu verarbeiten. Darunter könnten dann auch sämtliche geschäftlichen Interessen fallen.

Könnte man denn nicht mit Microsoft verhandeln, dass sie in Deutschland angesiedelte Server benutzen und den Schulträgern vertraglich zusichern, dass sie die Schülerdaten eben nicht zu eigenen Zwecken verarbeiten?

Das wurde schon versucht. Aber bisher scheint sich Microsoft da überhaupt nicht zu bewegen. Ist ja auch verständlich, denn das Unternehmen hat ein Interesse daran, seine Produkte zu einheitlichen Bedingungen anzubieten und alle eingesammelten Daten unternehmensintern in einen einheitlichen Datenpool einzuspeisen. Zudem benötigen viele Schulen und Unternehmen die Dienste zeitnah.

Und dann gibt es ja noch den sogenannten Cloud Act und die Angst, dass die Daten beim amerikanischen Geheimdienst landen. Können Sie erläutern, was es damit auf sich hat?

Der Cloud Act soll den US-Behörden Zugriff verschaffen auf Daten, die amerikanische IT-Dienstleister im Ausland speichern und verarbeiten. Er zielt gerade auch auf Daten von Nicht-US-Bürgern. Damit steht das Gesetz in einem grundlegenden Konflikt zur DSGVO.

Kämpfen die Internetriesen denn eigentlich gegen den Cloud Act?

Es ist durchaus bekannt, dass auch in den USA ansässige IT-Dienstleister das Gesetz nicht uneingeschränkt begrüßen. Denn ohne eine völkerrechtliche Vereinbarung zwischen EU und USA werden ihre Produkte nur schwerlich jemals EU-datenschutzkonform sein, wenn sie auf dem europäischen Binnenmarkt Geschäfte machen wollen. Aber diese Unternehmen sind auch den Gesetzen an ihrem Unternehmenssitz unterworfen und stecken insofern in einer Zwickmühle.

Aber was ich nicht verstehe: Ich kenne sehr viele deutsche Unternehmen, die Teams benutzen, und es scheint kein Problem zu sein. Wieso dieser doppelte Standard? Stefan Bayer, der Gründer von Sofatutor, kommentierte dazu auf Twitter: „Von Finnland bis zu den Philippinen nutzen Schulen in diesem Winter Microsoft Teams. Banker, Polizisten, Investoren, Politiker, Anwälte auch. An Berliner Schulen ist es … streng verboten.“ Lässt man die Unternehmen in Ruhe, weil man ahnt, dass man große Teile der deutschen Wirtschaft herunterfahren müsste, wenn man den Umgang mit Microsoft Teams und Office 365 untersagt?

Die datenschutzrechtlichen Vorgaben der DSGVO für digitale Kommunikation und insbesondere für Videokonferenzsysteme sind im Wesentlichen dieselben für private Unternehmen oder staatliche Schulen. Als Privatperson hat man aber eher die Möglichkeit, die Suche nach rechtskonformen Lösungen hintanzustellen und darauf zu hoffen, dass die Behörden hiervon keinen Wind bekommen. Der Staat hingegen hat insofern auch eine Vorbildfunktion. Und im schulischen Kontext gilt das wohl erst recht, denn den Kindern soll ja gerade ein sensibler Umgang mit ihren personenbezogenen Daten beigebracht werden.

Die Schulstiftung der EKBO hat schon im ersten Lockdown für etliche Schulen eine Teams-Lizenz gekauft, sodass diese im zweiten Lockdown nun ziemlich effektiv damit arbeiten – bewegen sich diese Schulen in einem illegalen Raum?

Nicht zwingend. Es gibt durchaus Möglichkeiten, Videokonferenzsysteme rechtskonform zu betreiben. Eine davon wäre es, dass die betroffenen SchülerInnen oder ihre Eltern in deren Nutzung ausdrücklich einwilligen, und zwar nach umfassender Information über die daraus folgenden Konsequenzen. Das Problem ist nur: Im schulischen Kontext liegen schnell Situationen vor, in denen die Einwilligungen nicht wirklich freiwillig sind. Eltern, die nicht unterschreiben, machen beispielsweise sich und ihre Kinder zu Außenseitern.

Wenn ein Elternteil nicht unterschreibt, muss die Schule analoge Lernmittel bereithalten. Was natürlich sehr lästig ist.

Ja, doch ohne die Möglichkeit, Nein zu sagen, wäre Einwilligung nicht freiwillig. Da sind wiederum die Schulen in der Zwickmühle.

Foto: RUB/Kramer
Zur Person: 

Dr. Frank Rosenkranz hat an der Europa-Universität Viadrina in Frankfurt (Oder) studiert  und wurde an der Ruhr-Universität in Bochum im Bereich des Europarechts promoviert. Nach Forschungsaufenthalten an der Harvard Law School und der Kyoto University ist er seit 2016 Junior-Professor für Bürgerliches Recht im digitalen Zeitalter an der Ruhr-Universität Bochum, außerdem geschäftsführender Direktor des Instituts für Geistiges Eigentum, Datenschutz und Informationstechnologie.

Und wenn ein Elternteil sich bei der Datenschutzbeauftragten beschwert, muss sie eine Rüge aussprechen.

Auch den Datenschutzbehörden sind hier die Hände gebunden. Zwar haben die Datenschutzbehörden ein Ermessen hinsichtlich der Auswahl der zu ergreifenden Sanktionen, und das wird ja auch genutzt. Aber sobald sie von einem Verstoß Kenntnis erlangen, können sie nicht untätig bleiben. Wie überall gilt auch hier: Wo kein Kläger, da kein Richter – aber sobald eine Klage eingeht, muss auch gerichtet werden.

So wie beim Fall der Lichtenberger Brodowin-Schule. Dort hat sich ein Elternteil beschwert, die Schule wurde abgemahnt und trat dann in eine Art Digitalstreik. Sie nutzte gar keine digitalen Mittel mehr, nur noch Kopien … Weil sie die Politik und die Berliner Behörden dazu zwingen wollte, endlich vernünftige rechtliche Rahmenbedingungen zu schaffen.

Im zweiten Lockdown scheint es immer noch viele Schulen zu geben, die keine funktionierende Schulcloud zu bieten haben und keinen funktionierenden Digitalunterricht. Man darf aber nicht sämtliche digitalen Angebote in einen Topf werfen. Bloß weil bestimmte Videokonferenzsysteme nicht erlaubt sind, ist damit beispielsweise der Versand von Unterlagen per E-Mail nicht ebenso verboten.

Dennoch gibt es im Moment erschreckend viele Schüler, die ihrer Schulpflicht nicht richtig nachkommen können. Müsste in einer solchen Notsituation – und wie viele Kinder und Jugendliche aus schwierigen Familien sind wirklich in Not!  – das Recht auf Bildung nicht schwerer wiegen als das Recht auf Datenschutz? Mir scheint, dass man die Datenschutzgrundverordnung in Deutschland sehr oft verabsolutiert – und so tut, als könnte es keine Güterabwägung geben, keine Spielräume bei der Auslegung.

Ja, das stimmt. Aber zugleich muss man sagen: Die DSGVO ist sehr konkret formuliert, und gerade beim Artikel 44 sehe ich eigentlich keine Spielräume. Und erst recht nicht seit dem Schrems-II-Urteil des europäischen Gerichtshofes vom Juli 2020.

Doch wurde die DSGVO schon Jahre vor Corona geschrieben und vom Europäischen Parlament beschlossen.  

Damals konnte man die aktuelle Situation natürlich nicht voraussehen.

Müsste sie dann nicht vielleicht aktualisiert und umformuliert werden?

Das wäre natürlich das Beste, doch ein komplizierter politischer Prozess.

Und könnte eine Schule wie die Brodowinschule beim Europäischen Gerichtshof klagen und so eine Neuinterpretation erzwingen?

Ja, eventuell, auch wenn es wenig vorstellbar ist, dass sich staatliche Stellen hier untereinander vor ein Gericht zerren. Zudem dauert so ein Verfahren auch Monate oder Jahre. Aber ganz grundsätzlich scheint es mir nicht förderlich, sich für Unternehmen und deren Produkte einzusetzen, die den Eindruck erwecken, als würden sie Verstöße gegen die DSGVO in Kauf nehmen. Denn so wird letztlich den Anbietern rechtskonformer Dienstleistungen der Marktzutritt erschwert.

Sicher, es gibt Alternativen. Doch seit Monaten warten wir in Berlin vergeblich darauf, dass die Datenschutzbeauftragte und die Senatsverwaltung eine Positivliste von Schulclouds veröffentlicht, die Schulen ohne Bedenken nutzen können. Warum passiert das nicht?

Wie so oft steckt der Teufel im Detail. Wahrscheinlich hat man Angst, die Absolution zu erteilen für einen bestimmten Anbieter – ohne hundertprozentig wissen zu können, welche Eigenschaften die Produkte haben oder später entwickeln. Beispielsweise hängt die Rechtmäßigkeit des Datentransfers ins Nicht-EU-Ausland häufig von den konkret vereinbarten Verträgen mit den IT-Dienstleistern ab. Aber auch im Hinblick auf die Datenverarbeitung zu eigenen Zwecken können äußerlich unscheinbare Änderungen in den AGB einen großen Unterschied machen. Deshalb wäre auch eine Positivliste immer nur eine Momentaufnahme.

Der Gegensatz, der anfangs aufgebaut wurde, ist zu scharf. Es gibt Schulclouds wie Itslearning, die sowohl gut funktionieren als auch datenschutzkonform sind. In Schleswig-Holstein hat die Bildungsverwaltung Lizenzen gekauft, sodass alle Schulen, die wollen, Itslearning kostenlos nutzen können. In Berlin ist das seit Anfang Januar auch möglich.

Aber natürlich haben sich jetzt viele Schulen schon an ein anderes System gewöhnt – und es mag mühsam sein, sich mitten im Lockdown auf ein neues System einzustellen. Das kann man Pfadabhängigkeit nennen. Aber Pfadabhängigkeit ist kein ausreichendes Argument, um gegen die DSGVO zu verstoßen. Insofern tut es mir leid, dass ich Ihnen keine einfacheren Antworten geben kann.