Aufregung um Lehrer-Mails, die in Irland gespeichert werden

Zehntausende Lehrer im Bundesdienst bekommen eine neue, einheitliche E-Mail-Adresse mit der Endung @bildung.gv.at. Aufregung gibt es darüber, wie die Verwaltung dieser E-Mail-Adresse samt dazugehörigem Postfach über die Bühne geht. Im Ö1-Morgenjournal am Dienstag kritisiert ein Lehrer, dass der Auftrag für die E-Mail-Adressen an den US-Konzern Microsoft vergeben wurde, der die Daten aus den E-Mail-Postfächern offenbar in Irland speichert. Daher sorgt er sich um die Sicherheit seiner vertraulichen Daten. Durch den Fall aus dem Jahr 2014, bei dem 400.000 österreichische Schüler-Tests im Internet unverschlüsselt einsehbar waren, fühlt sich der Lehrer bestätigt.

Auch Josef Pichlmayr, vom Wiener Sicherheitssoftware-Anbieter Ikarus kritisiert, dass der Auftrag von einem österreichischen Ministerium nicht an ein heimisches Unternehmen vergeben wurde. Schließlich gäbe es genug Firmen hierzulande, die die Verwaltung dieser E-Mail-Adressen ebenso gut hätten umsetzen können. Derartige Vergabeverfahren würden die Abhängigkeit von US-amerikanischen IT-Konzernen verstärken und dem heimischen IT-Sektor, der ohnehin schon mit der Konkurrenz aus den USA zu kämpfen hat, in den Rücken fallen.

Alles halb so schlimm

Beim zuständigen Bildungsministerium (BMB) und dem Bundesrechenzentrum (BRZ) versteht man die Aufregung nicht. „Es wäre rechtswidrig ein österreichisches Unternehmen zu bevorzugen“, heißt es aus dem Bildungsministerium (BMB). „Die Verwaltung der personenbezogenen Lehrerdaten und die Administration der Postfächer erfolgt durch das Bundesrechenzentrum“, heißt es vom BMB sowie vom BRZ. Lediglich der Speicherplatz für die Postfächer wird von Microsoft zur Verfügung gestellt und zwar auf Servern in der EU. Da dies im Rahmen des bereits bestehenden Microsoft School Agreements, einer Vereinbarung zwischen BMB und Microsoft Europa, geschehe, war ohnehin keine Ausschreibung notwendig.

Auch im Hinblick auf den Datenschutz geben BRZ und BMB Entwarnung. Schließlich gelten in Irland, wo die Daten der Lehrer-E-Mails gespeichert werden, dieselben europäischen Datenschutzgesetze wie in Österreich. „Daher ist es unerheblich, ob die Daten im Burgenland oder in einem anderen EU-Land liegen“, sagt auch Datenschutzexperte Georg Markus Kainz vom Datenschutzverein quintessenz.

Außerdem wurde mit Microsoft ein schriftlicher Vertrag abgeschlossen, der sicherstellt, dass alle aktuellen und zukünftigen europäischen Datenschutzgesetze berücksichtigt werden müssen. „Insbesondere ist durch Verschlüsselung wie auch durch rechtliche Vereinbarung sichergestellt, dass weder Microsoft noch das Bundesrechenzentrum oder das Bildungsministerium Zugriff auf die Inhalte der Postfächer haben“, heißt es in einem schriftlichen Statement aus dem Bildungsministerium.

IT im Staat Österreich

Obwohl die Aufregung im Fall der Lehrer-E-Mails wohl zu Recht im Sand verläuft, stellt sich dennoch die Frage, was mit sensiblen Daten der Republik Österreich und ihrer Bürger passiert. Bei IT-Services ist die erste Anlaufstelle für die Republik das Bundesrechenzentrum. Das privatwirtschaftliche Unternehmen entwickelt und betreibt mehr als 400 IT-Anwendungen und E-Government-Lösungen für den öffentlichen Sektor in Österreich. Unter anderem betreibt das BRZ für das Finanzministerium FinanzOnline, die Webanwendung zur Online-Steuerverwaltung oder die Plattform help.gv.at, die das Informationsangebot über Behördenwege bündelt.

Andere sensible Daten wie das zentrale Melderegister oder Strafregister sowie Infos von Verfassungsschutz, Bundeskriminalamt und Polizeidienststellen werden vom Bundesinnenministerium (BMI) verwaltet. Für kritische Anwendungen hat das BMI Aufträge unter anderem an die Wiener Softwarefirma Rubicon IT vergeben.

Hoheit über Daten

Datenschützer Kainz würde sich wünschen, dass sich der Staat Österreich die Hoheit über seine Daten behält und diese nicht an Privatunternehmen abgibt. Ähnlich sieht dies auch Software-Unternehmer Pichlmayr, der trotz einheitlicher EU-Datenschutzgesetze fordert, dass sensible Daten über den Staat und seine Bürger in Österreich bleiben und von heimischen Unternehmen verwaltet werden sollen.