Datenschützer warnen vor Microsoft und Google in der Schule

Laut der Datenschutz-NGO "epicenter.works" ist das "Grundgerüst der IT im Bildungsbereich nicht zukunftstauglich und potenziell sogar illegal." Sie warnt vor dem Abfließen von Schülerdaten in die USA durch den großflächigen Einsatz von Produkten und Diensten der "Big Tech"-Anbieter Microsoft und Google bzw. von US-Clouddiensten an Schulen. "Größter Tabubruch" sei dabei die zwangsweise Nutzung der Betriebssysteme von Microsoft oder Google auf jenen Endgeräten, die den Schüler*innen günstig zur Verfügung gestellt werden, heißt es in einer Artikelserie. Auch Lehrer*innen hätten auf diese Zugriff.

Das weist man im Bildungsministerium zurück. Die Entscheidung über den Einsatz von Softwareanwendungen im Unterricht würden die Schulstandorte bzw. die Lehrkräfte treffen. Weder Ministerium noch die Lehrpläne würden dazu Empfehlungen abgeben oder Vorgaben machen, hieß es in einer Stellungnahme. Auch ein Zugriff der Lehrer*innen auf Geräte sei außerhalb des Unterrichts nicht möglich.

Grundsätzlich begrüßt die NGO die zuletzt getroffenen Maßnahmen im Bildungsbereich wie die Umwandlung der Verbindlichen Übung "Digitale Grundbildung" in ein eigenes Pflichtfach ab dem kommenden Schuljahr sowie die Ausgabe günstiger digitaler Endgeräte an Schüler bzw. Lehrkräfte. Dabei habe man aber datenschutzrelevante Fehler gemacht.

Fehlender Datenschutz

Dazu zählt die Organisation etwa die immer stärkere Nutzung sogenannter "proprietärer" Software. Firmen wie Microsoft würden etwa offen zugeben, bestimmte Daten an die US-Regierung zu übergeben. Darüber hinaus sichere der US-Cloud Act amerikanischen Behörden den Zugriff auf Daten, auch wenn diese auf Servern im Ausland gespeichert sind. Dies betreffe weltweit alle Unternehmen, die zumindest eine Niederlassung in den USA haben. Neben der Weitergabe an Geheimdienste könnten die Daten auch für Werbezwecke genutzt werden.

Im Ministerium verweist man darauf, dass US-basierte Cloud-Dienstanbieter nur im Bereich der IT-Services für IT-gestützten Unterricht wie Videokonferenzen genutzt werden. Sensible Daten im Rahmen der Schulverwaltung sowie Schülertestungen würden ausschließlich in nationalen Rechenzentren gehostet.

Das überzeugt die NGO nicht: Der Versuch der Abgrenzung der Bereiche Pädagogik und Verwaltung sei nicht möglich, weil die Kommunikation an den Schulen über Dienste der großen Anbieter laufe. In der Praxis würden "schon längst Microsoft und Google für Datenübertragungen zu Inhalten wie Noten, Verhalten und familiären Problemen von Schüler*innen benutzt".

Zusätzlich kritisiert wird auch die Bildungsdokumentation der Schüler*innen, die unter der türkis-grünen Regierung auf 60 Jahre ausgeweitet wurde. Diese Datenspeicherung reiche von Betragensnoten in der Volksschule bis zu AMS-Kursen vor der Pension. "Derart heikle Maßnahmen müssen gemäß Artikel 35 der EU-Datenschutzgrundverordnung (DSGVO) einer Datenschutzfolgenabschätzung unterzogen werden", heißt es.

Eine Wirkungsfolgenabschätzung wurde parallel zum Gesetzgebungsprozess im Resort versprochen. Allerdings war sie laut epicenter.works erst ein halbes Jahr danach aufzufinden. Dem Deckblatt nach stammt sie zwar vom Dezember 2020, den Metadaten des PDFs nach, wurde es erst am 14. Juni 2021 erstellt.

Beschränkte Software-Auswahl

Abgesehen davon, zwinge man Schulen mehr oder weniger, Produkte von Microsoft zu nutzen. "Ein Schulbetrieb ohne Microsoft ist an österreichischen Schulen in der Praxis kaum noch möglich", betont man bei "epicenter.works". Bei der Korrektur der Zentralmatura müsse von den Lehrern etwa für das Eintragen der Punkteanzahl und der Noten de facto das Microsoft-Programm Excel verwendet werden.

Die Fixierung auf Produkte wie Microsoft Teams oder Google Classroom führt laut "epcienter.works" wiederum dazu, dass zu wenig Geld für Open Source-Plattformen und Softwareangebote. Diese hätten den Vorteil, dass sie in Österreich gehostet und weiterentwickelt werden. Das Bildungsministerium wiederum verweist auf die Schulen: Es sei "ausdrücklich empfohlen, im Rahmen des Unterrichts auch mit freier Software zu arbeiten, unabhängig vom installierten Betriebssystem". Das gelte auch für den Einsatz von Open-Source-Lernplattformen.

Lehrpersonal hat weitgehende Einblicke

Als problematisch sieht die NGO auch den Umstand an, dass Lehrkräfte Zugriff auf die seit dem heurigen Schuljahr ausgegebenen digitalen Endgeräte haben. Diese dürfen und sollen von den Schüler*innen auch privat genutzt werden. Auf den Geräten vorinstalliert sei aber die Möglichkeit eines Fernzugriffs. Die IKT-Verordnung erlaube neben der Installation von Device Management Software auch die Möglichkeit einer "Classroom Management Software" auf den Schülergeräten, monieren die Datenschützer*innen. Damit können Lehrkräfte etwa Software sperren oder den Bildschirm der Schüler einsehen. Diese Anwendung sei bisher nur auf Schulgeräten etwa im EDV-Saal eingesetzt worden, der Einsatz auf Privatgeräten der Schüler wäre illegal.

Im Ministerium verweist man einerseits auf Elternwünsche und andererseits auf die Einschränkung der Zugriffsmöglichkeit auf den Unterricht. Das von der Schule eingesetzte Mobile Device Management für die digitalen Endgeräte ermögliche einen sicheren Betrieb der Geräte im Schulnetzwerk sowie im Internet, "womit auch die diesbezüglichen Forderungen der Erziehungsberechtigten erfüllt werden können". "Für Lehrende ist damit weder ein Fernzugriff auf die privaten Schülergeräte noch eine Einsicht in das Nutzungsverhalten außerhalb des Unterrichts zulässig und daher nicht möglich."