Teams und Datenschutz

Datenschutz und Datensicherheit bewegen und beim Einsatz von Cloud-Lösungen schon lange vor der ersten Umsetzung. Mit Covid-19 und der Nutzung in Schulen ist die Problematik in aller Munde. Gerade hier werden schon fast religiöse Grabenkämpfe und Marketingschlachten hochstilisiert. Letztlich ist aber doch die passende Lösung für eine Aufgabenstellung gefragt.

Mein Standpunkt

Damit sie mich als Autor und die hier gemachten Aussagen besser einschätzen können, möchte ich ein paar Aussagen vorweg schicken:

  • Lösungsorientiert arbeiten
    Seit 1992 bin ich in der IT Selbständig und wenn ich keine Lösungen für meine Kunden schaffe, die sich von den Kosten rechnen und die sozialen und gesetzlichen Rahmenbedingungen einhalten, gäbe es unter anderem diese Webseite nicht.
  • Datenschutz ist mir sehr wichtig
    Ich bin 50+, habe Orwell gelesen und finde einige Entwicklungen in unserer Gesellschaft und Ansichten von dem ein oder anderen Minister hinsichtlich Datenschutz sehr bedenklich. Ich zähle mich aber nicht zu Verschwörungstheoretikern oder der "Aluhut"-Fraktion aber gebe immer zu bedenken, dass ein auf den ersten Blick gut gemeinte Funktion auch eine andere Seite hat. 100% Sicherheit gibt es nicht und ohne etwas Unordnung kann nichts Neues entstehen.
  • Anwender müssten bezüglich Daten besser geschützt werden
    Aus meiner Sicht erlauben sich einige Firmen viel zu viel, ohne dafür straf- oder zivilrechtlich belangt zu werden. Ich denke nur an die Tracker auf Webseite und insbesondere Smartphone-Apps und soziale Netzwerke, bei denen die Anwender unwissend "mit ihren Daten" zahlen. Hier würde ich aber Microsoft auch nicht ausnehmen. Telemetrie ist z.B. wichtig aber sie muss transparent und steuerbar sein.
  • Firmenkunden brauchen kritische Mitarbeiter
    Wenn ich bei meinen Kunden entsprechende Auswertungen z.B. über Exchange anfertige, dann anonymisiere ich sogenannte Personally Identifiable Information (PII)-Daten möglichst schon an der Quelle. Bei Auswertungen über Postfächer muss ich nicht wissen wer es ist, um auf das Volumen und den Migrationsaufwand zu schließen. Aber viele Firmen schöpfen auch gar nicht die Informationen aus, die sie legitim sammeln dürfen.
  • Cloud ist nicht automatisch schlecht
    Ich bin überzeugt, dass Firmen mit eigenen Servern viel mehr Sicherheitslöcher und Datenschutzprobleme habe, als Cloud-Anbieter. Bei meinem Postfach in der Cloud fühle ich mich besser aufgehoben als auf dem eigenen Server. Keiner meiner eigenen Datenspeicher und auch die wenigsten Systeme der Kunden sind so umfangreich zertifiziert wie die meisten professionellen Cloud-Anbieter. Es ist schwer, teuer und zum Teil gar nicht möglich, die gleichen Leistungen einer Cloud im Eigenbetrieb bereitzustellen.
  • Firmen und Staaten
    Bei mir ist das Zitat "Einen Server in der Cloud kann die Polizei nicht beschlagnahmen" hängen geblieben, als ich einen Umzug beim SPIEGEL Verlag in die Cloud begleitet habe und man mich fragte, ob ich die "Spiegel Affäre" (https://de.wikipedia.org/wiki/Spiegel-Aff%C3%A4re) kenne. Natürlich gibt es bei einer Ablage in einer Cloud das ungute Gefühl, dass Fremde ohne mein Wissen heimlich an die Daten kommen. Maulkörbe in Form einer "Gag Order" (https://en.wikipedia.org/wiki/Gag_order), "National Security Letter" (https://en.wikipedia.org/wiki/National_security_letter) oder auch die Hintergrund und Meldung nach strafbaren Bildern in Cloud-Speichern zeigen, was technisch möglich ist.

All die Argumente sind aber vor Gericht nicht belastbar und helfen ihnen nicht weiter. Es gibt Herausforderungen, denen sich ein Administrator, ein Consultant aber auch ein CTO, CIO und CEO aber auch ein Schulleiter und Bildungsminister nun mal stellen müssen.

Es gibt aber Schulen und Schulleiter, die sich trotzdem etwas trauen. Ich kenne mehrere Schulen mit Teams in Paderborn, die Realschule meiner Kinder nutzt Google Classroom obwohl sie auch einen Office 365 Tenant haben, andere Schulen nutzen Zoo, Slack oder sogar schon länger richtige kommerzielle "Lernplattformen". Es gibt aber auch eine Schule, die Aufgaben per Mail an die Eltern zum ausdrucken sendet und die die Eltern danach die von den Schülern beschriebenen Antwortblätter per Smartphone abfotografieren und wieder zurück senden.

DSGVO - ein Totschlagargument?

In jeder Diskussion gibt es Aussagen, die eine gepflegte Auseinandersetzung mit einem Thema fast immer zum erliegen bringen. Das können Sätze wie "Das haben wir noch nie so gemacht" oder "Das machen wir schon immer so" sein. Manchmal fällt ein "Dafür haben wir kein Geld". In die Kategorie fällt aus meiner Sicht auch die DSGVO-Frage, wenn Sie verallgemeinert oder zum falschen Zeitpunkt gebracht wird.

Die DSGVO hat ihre Berechtigung und ich bin froh, dass es sie gibt. Sie geht an einigen Stellen aus meiner subjektiven Sicht noch nicht weiter genug oder ist ein stumpfes Schwert. Hier ein paar Beispiele, die komplett versandet sind und sich solange wiederholen, bis endlich einmal spürbare Strafen folgen würden.

Auf der anderen Seite wird die DSGVO aber gerne zur Blockierung oder zumindest Verzögerung von eigentlich sinnvollen Plattformen verhindert. Die "Konformität" einer Lösung kann nicht allein an dem Produkt fest gemacht werden sondern hängt auch von der Umsetzung und Nutzung ab. Wenn ich in Teams ein geschlossenes Teams nutze, in dem es weder Gäste noch anonyme Meeting-Teilnehmer gibt, dann ist das System aus meiner Sicht sicher zu betreiben. Ob die NSA, CIA, GCHQ, oder andere Dienste mitlesen, steht auf einem anderen Blatt. Das würde ich aber nicht mal für einen "selbst betrieben" Server ausschließen wollen. Selbst wenn die Server sicher sind so sind die Clients als auch die über Übertragungswege zu hinterfragen.

Es gibt hier keine 100%tige Aussage genauso wenig wie ein Produkt eine "Revisionssichere Archivierung" zusichern kann. Man kann zwar sehr viel tun, um möglichst alle Anforderungen möglichst gut zu erfüllen aber am Ende ist es doch eine Frage, ob sich ein Richter im Streitfall darauf einlässt. Und wenn eine große Unternehmensberatung oder ein TÜV eine individuelle Installation "testiert", dann kann man eher davon ausgehen, dass ein eh überlasteter Richter an einem Amtsgericht den einfachen Weg geht und es nicht in Zweifel zieht.

Natürlich kann ein Hersteller schreiben:

We meet more than 90 regulatory and industry standards To comply with global, national, regional, and industry-specific regulations, Teams supports more than 90 regulatory standards and laws, including HIPAA, GDPR, FedRAMP, SOC, and Family Educational Rights and Privacy Act (FERPA) for the security of students and children."
https://www.microsoft.com/en-us/microsoft-365/blog/2020/04/06/microsofts-commitment-privacy-security-microsoft-teams/ 

Wie wäre es, wenn das BSI oder ein Datenschutzbeauftragter mal ein Prüfprogramm anbietet, damit ein Hersteller seine Lösung mit einer bestimmten Konfiguration überprüfen lassen kann und endlich mal eine klare Aussage möglich ist. Es mag ja sein, dass Teams in der Standardinstallation die ein oder anderen Unklarheiten hat. Aber vielleicht gibt es ja endlich eine "Deutschland-kompatible" Konfiguration.

Solange aber niemand eine DSGVO-Konformität testieren kann, sondern Hersteller diese immer nur behaupten und irgendjemand es ungestraft in Zweifel ziehen kann, kommen wir nie zu einem Ergebnis.

Private Meinung
Jedes Fahrzeug auf deutschen Straßen muss zugelassen und TÜV-geprüft sein. Die Nutzung eines nicht zugelassenen Fahrzeugs ist verboten und wird auch sanktioniert. Das Regelwerk für "Cloud-Dienste" stellt die DSGVO fest und wie wäre ein "Verbot der Inverkehrbringung"? Ich bin sicher, dass jeder Anbieter sehr schnell sein Angebot regelkonform machen würde.

Schulen und Kollaboration

Ein besonderes Thema ist der Datenschutz bei Bildungsrichtungen. Hier kommen ganz viele Komponenten zum Tragen:

  • Schulpflicht und Alter der Personen (Minderjährig)
    Als Schüler sind sie meist nicht volljährig und ihre Daten sind daher besonders zu schützen. Zudem können Sie aufgrund der Schulpflicht gar nicht verhindern, dass die Daten verarbeitet werden.
  • "Dreigestirn" aus Land, Gemeinde/Stadt und Schulleiter
    Es ist auch dem Föderalismus geschuldet, dass es keine "Bundesschulbehörde" gibt, die von oben herab bestimmen kann. Die Gründungsväter nach dem dritten Reich wollten damit auch verhindern, dass ein neuer Diktator zu einfach das Bildungssystem gleichschalten kann. Das führt aber auch dazu, dass jeder einzelne Schulleiter die Verantwortung für den Datenschutz trägt aber die Gemeinde/Stadt die Gebäude und IT-Ausstattung beschaffen muss während das Land die Löhne/Gehälter der Lehrer zahlt. Wenn der Bund dann noch ein Förderprogramm auflegt ,dann wird es nicht einfacher

Bei "Zwang"-Verwendung wird die Bewertung noch kniffliger. Sie können als Kunde sich war ihren Lieferanten, ihren Arzt, ihre Krankenkasse aussuchen. Als Bürger können sich aber nur bedingt auf die Verarbeitung ihrer Daten bei der Gemeinde oder Stadt Einfluss nehmen und auch bei monopolartigen Geschäftsbeziehungen sind die Hürden höher.

COVID-19 und die Situationen bei Schulen ist hier das Paradebeispiel. Ich kenne verschiedene Schulen, die alle unterschiedliche Cloud-Produkte nutzen. Sei es Teams, Slack, Zoom, WebEx, GoToMeeting oder WhatsApp. Zu allen Produkten gibt es Berichte über "Unsicherheit" und Datenschutzproblemen und es findet sich immer jemand, der die eigne Lösung als "am wenigsten problematisch" bezeichnet. Es gibt aber auch Aussagen, die das auch wiedergeben:

Mich ärgert sehr, dass wir in der schulischen Digitalisierung sehr häufig an den Hürden des Datenschutzes scheitern, weil sich Datenschutzbeauftragte in den Schulen mit Vehemenz darauf berufen. Es gibt Lehrpersonal, dass zum Beispiel nur dann Videoübertragungen einsetzen möchte, wenn die Programme datenschutzrechtlich völlig unbedenklich und entsprechend zertifiziert sind. Eine solche Software gibt es aber so gut wie nicht auf dem Markt. Aus meiner Sicht wird hier der Datenschutz höher bewertet als die gerade jetzt dringend notwendige Ausbildung der Kinder.
Quelle: https://www.verl.de/leben-in-verl/aktuelles/aktuelle-informationen-zum-coronavirus/buegermeister-michael-esken?tx_news_pi1%5Baction%5D=detail&tx_news_pi1%5Bcontroller%5D=News&tx_news_pi1%5Bnews%5D=4584&cHash=400c0f1437bbfa5bd2987484c3a5f950

Leider tun sich auch die Datenschützer der Länder schwer damit, denn niemand einem Produkt die „DSGVO-Konformität bescheinigen, denn Produkte ändern sich und auch es hängt auch von dem Einsatz und er Konfiguration ab. Problematisch wäre das aber nur, wenn es nur ein Produkt gäbe. Vielfalt ist aber durchaus gewünscht. Dann müsste sich jemand einfach mal hinsetzen und sagen, dass Microsoft Teams oder Google Classroom oder auch eine Kombination von Zoom und Slack mit bestimmten Einstellungen in Ordnung ist. Es kann doch wohl nicht sein, dass die Schulleiter wochenlang im Unklaren gelassen werden.

Anforderungen

Es bringt aber nichts zu lamentieren oder sich Argumente um die Ohren zu hauen, wenn in der Zwischenzeit die Schüler mehr recht als schlecht, in einigen Fällen würde ich schon "unprofessionell" sagen, beschult werden. Sie können die gleiche Aussage aber auch über Firmen machen, bei denen es unterschiedliche Ausprägungen von "Homeoffice" gibt. Wir bei Net at Work haben den Vorteil, dass wir schon seit Beginn mit Teams begonnen haben und seit Juni 2019 damit sogar unsere bisherige TK-Lösung abgelöst haben. Das gibt mir vielleicht den Vorteil die Anforderungen einer modernen Kommunikation und einige Vertreter einmal vorzustellen.

Ich habe die Spalte "Gewichtung extra frei gelassen, da Sie selbst bestimmen müssen, wie relevant die jeweilige Funktion für sie ist und welche Produkte Sie dafür in Erwägung ziehen. Nicht jedes Produkt ist in jedem Bereich gleich stark oder überhaupt vorhanden und natürlich können Sie auch unterschiedliche Produkte parallel einsetzen.

Für jeden Dienst müssen Sie nun überlegen, welche Bedeutung dieser für den Datenschutz hat. Vergessen Sie dabei auch nicht, dass es mehrere Parteien gibt. Bei einer Firma muss man die Firma, die Mitarbeiter, die Kunden und Lieferanten betrachten. Eine Schule muss neben der Schulleitung auch die Lehrer, die Schüler und auch die Eltern mit einbeziehen. Für eine einfache Konsumierung bleibt fast nur der Browser oder eine App, denn ich glaube nicht, dass jemand mit SMB, FTP, SSH. RSYNC o.ä. über das Internet sich verbinden kann.

Anforderung Beschreibung Gewichtung Produkte

1:1 Textkommunikation

Der Papierbrief wurde schon lange durch Mails abgelöst aber die Nutzung von Mail nimmt ab und wird aus meiner Sicht nur noch für "Ergebnisse" genutzt. Es ist viel einfacher per Chat interaktiv zu kommunizieren und später nur die Ergebnisse als Mail oder Dokument zusammen zu fassen. Schauen Sie sich die Nutzung von WhatsApp im Privatbereich an. Dennoch sollte auch Mail für gewisse Informationen verfügbar sein. Leider können Eltern wohl kaum ein Postfach in der Schule erhalten, so dass sich diese externe Kommunikation dann nur über die Postfächer der Schüler bereitstellen lässt. Über Drittprodukte wie NoSpamProxy könnte eine Schule aber Mails auch an externe Postfächer senden und z.B. eine PDF-Verschlüsselung erzwingen.

 

  • WhatsApp, Telegram, Signal, Wire
  • Teams Chat
  • Slack
  • SMS
  • MailServer

1: N Allgemein Information

Es gibt immer Informationen, die einer breiten Leserschaft bereitgestellt werden. Für anonyme Leser ist das eine Webseite und mit entsprechender Authentifizierung lässt sich auch ein "Intranet" aus dem Internet erreichen. In vielen Firmen werden aber Intranets immer weniger genutzt und stattdessen auch intern "Social Media"-Ansätze z.B. mit Yammer umgesetzt.

 

  • Webseite, Wordpress, CMS
  • Yammer, Intranet, Globales Team

Lehrer an Schüler

Vergleichen Sie diese Kommunikation mit dem Austeilen von Arbeitszetteln, Ausleihen von Büchern oder auch die Vorführung eines Films. Das können eigene interne Portale und Media-Services sein. Bei Firmen ist das dann der Teamleiter an die Arbeitsgruppe

 

  • Teams
  • YouTube
  • eBooks
  • OneNote

Dokumente Schüler an Lehrer

Während in Firmen ein gemeinsame Arbeitsbereich üblich ist, stellt sich bei einer Schule schon die Anforderung, dass jeder Schüler seine eigenen Lösungen mit dem Lehrer teilt während andere Mitschüler diese Daten nicht sehen. In der "Teams for Education"-Version wird dies durch OneNote realisiert. Mit einen Dateiserver (OwnCloud) könnte jeder Schüler die Daten in seinem privaten Verzeichnis ablegen und dieses mit dem Lehrer teilen.
Ein Versand und Empfang solcher Informationen per Mail würde ich nicht als Lösung ansehen.

 

  • Teams
  • OneNote
  • NextCloud
  • G Classroom

Konferenzen (Chat/Audio/Video/Sharing)

Natürlich gehören Konferenzen mit allen vier Funktionen nicht nur in der Schule sondern auch in Firmen dazu

  • Audio
    Der direkte weg für einen Sprecher/Lehrer ein Thema vorzutragen und für allgemeine Fragen der Teilnehmer/Schüler
  • Video
    Hier sind die Meinungen getrennt, ob Video wirklich hilft. Wenn eine Lösung "die ganze Klasse" anzeigen soll, werden die Bilder nichtsagend und auf das Thema Datenschutz (Hintergrund, Blick in die Privatwohnung) ist knifflig. Aber den Lehrer beim Sprechen zu sehen könnte schon die Aufmerksamkeit und "Ernsthaftigkeit" beeinflussen. Allerdings ist keine Konferenzlösung eine Ersatz für eine "Sprachlabor-Umgebung", bei der ein Lehrer sich auf den Schüler "aufschalten" kann. Ein gutes Video kann aber auch eine Tafel zeigen und damit Skizzen erlauben.
  • Desktopfreigabe/Whiteboard
    Und ist aber allen klar, dass Konferenz-Schulungen eher auf einem virtuellen Whiteboard oder einem geteilten Desktop oder Präsentationsfolien (PowerPoint) erfolgen. Das Problem ist hier, dass viele Lehrer ihrer Unterlagen noch gar nicht für die neue Technik aufbereitet haben. Interessant könnte es aber sein, wenn der Lehrer in der Schule ist und das elektronische Whiteboard Teil der Konferenz ist.
  • n_m Chat
    Der themenbezogene "Klassenraum-Chat" erlaubt eine Interaktion aller Teilnehmer und wenn die Gruppe homogen ist, kann es hier sogar gegenseitige Unterstützung geben. Über Richtlinien kann gesteuert werden, ob Anwender ihre Nachrichten wieder löschen können oder Einsendungen moderiert sind

Bei der Auswahl an Produkten ist hier Vorsicht geboten, da nicht alle Produkte alle Funktionen in gleichem Maß unterstützen. Als "Präsenter" muss man schon darauf achten, dass die Teilnehmer auch dabei sind. Dazu eignen sich durchaus Umfragen oder Quiz-Einlagen zur Verständniskontrolle aber auch der Mitarbeit.

 

  • Teams
  • Slack
  • Google Meet/Hangout
  • GotoMeeting
  • WebEx
  • Jitsi

Simulation/Test

Speziell für Schulen könnte es natürlich den Bedarf nach einer aktiven "Lernkontrolle" geben. Auch im Business-Umfeld gibt es entsprechende Plattformen zur Prüfung von Teilnehmern.

 

Keine Liste

Die von mir aufgeführten Produkte sind nur eine kleine Auswahl. Ich habe mittlerweile die Rückmeldung, dass fast alle Produkte bei der ein oder anderen Schule mit unterschiedlicher Ausprägung im Einsatz sind. Es gibt tatsächlich Schulen mit Teams aber auch mit Zoom. Auch der Eigenbetrieb von ownCloud als Web-Plattform, eines Jitsi-Servers für Audio/Video, eines IMAP4-Mailservers und eines XMPP-Service für Chat wird genutzt. Die Produkte "kosten" zwar keine Lizenzen aber die Hardware, IP-Adresse und Leitung, Zertifikate und DNS-Namen und natürlich der Serverbetrieb kann keine Schule alleine auf Dauer stemmen. Aus meiner Sicht macht es auch keinen Sinn, dass jede Schule in ihrer Besenkammer einen eigenen Server betreibt. Da wären dann eher kommunale Rechenzentren oder das Bundesland gefordert.

Ich kenne und mag die Funktionen von Teams, weil ich den Einsatz in Firmen seit mehreren Jahren unterstütze und begleite, Einblicke in die zukünftige Entwicklung und ein gewisses Vertrauen in die Cloud-Angebote von Microsoft habe. Wenn wir die Grundschulen (ca. 15.0009 außen vor lassen, gibt es aber allein ein Deutschland ca. 15.000 weiterführende Schulen, die jetzt für die COVID-19-Situation eine Lösung suchen aber vielleicht auch in Zukunft eine moderne Bildungsplattform nutzen wollen. Ich erlebe aktuell nur, wie unterdurchschnittlich die Möglichkeiten genutzt werden.

Geschlossenes System

Am wenigsten Probleme mit der DSGVO sollten wir mit einem komplett geschlossenen System haben. Für den Einsatz im Bereich einer Schule oder auch bei Firmen kann z.B. Teams so konfiguriert werden, dass alle Kommunikation intern bleibt. Am Beispiel von Teams könnte das so aussehen. Die Beschreibung eines "abgedichteten Systems" gilt für Schulen als auch für sensible Firmen. Ich nutze eine Schule als Beispiel.

  • Ein Office 365 Mandant mit der passenden Lizenz
    Für Schulen wäre das dann die kostenfreie A1-Lizenz und optional ein paar A3-Lizenzen, wenn die Schulverwaltung selbst z.B. Word nutzen will
  • Namentlich benannte Benutzer
    Alls Lehrer, das Sekretariat aber auch jeder Schüler bekommt ein Office 365 Konto mit seinem Namen und seiner "Schul-Mailadresse".
  • Beschränkte Lizenzen
    Ein Postfach ist für Schüler und Lehrer immer noch ein effektiver Kommunikationskanal. Über die Lizenzvergabe können sie aber den Funktionsumfang je nach Anwender oder Schüler steuern.
  • Exchange Transportregeln und Empfangsbeschränkungen
    Wenn die Schüler eine Mailbox haben sollen, die aber nicht von extern erreichbar ist, dann ist das recht einfach zu konfigurieren. Über Transportregen kann gesteuert werden, wer eine Mail extern senden kann. Über Empfangsbeschränkungen oder Transportregeln kann auch der externe Empfang unterbunden werden. Die Schüler können auch eine eigene Subdomain (vorname.nachname@schueler.<schuldomain> mit einem MX-Record auf 127.0.0.1 oder Transportregel erhalten. Damit ist nur eine interne Kommunikation möglich.
  • Kein Gastzugriff
    Wenn Sie auf dem Mandanten den Gastzugriff komplett unterbinden, ist das System "geschlossen" gegenüber anderen Office 365 Mandanten. Alle Anwender müssen mit einem Benutzer in diesem Mandanten anmelden. Damit bleiben auch alle Dateien in Teams intern. Aber auch SharePoint und Office Groups sind damit beschränkt.
  • Keine Federation aber interne Präsenz
    Der "Präsenzstatus" ist für die interne Kommunikation sehr hilfreich aber die externe Sichtbarkeit kann problemlos unterbunden werden. Leider geht das noch nicht pro Person oder Gruppe sondern nur global. Es könnte aber schon reichen, wenn explizite externe Domänen erlaubt werden. Bei Teams sind alle Personen ja identifiziert. SPAM over Instant Messaging lässt sich leicht ermitteln. Leider lässt sich die interne Präsenzanzeige nicht abschalten.
  • Meeting-Policy: anonyme Teilnehmer beschränken
    Wir möchten natürlich auch nicht, dass jemand einen Link zu einem Meeting bekommt. Diese Einstellung ist per Richtlinie sogar nach Anwendern steuerbar. So kann die Lehrkraft sehr wohl ein "Elternabend" als Teams-Meeting starten während Klassenmeetings intern bleiben.
  • Teams anlegen und Sichtbarkeit
    Natürlich wird blockiert, dass Schüler eigene Teams anlegen und Personen einladen. Auch das Auffinden von Teams anhand des Namens kann unterbunden werden
  • OneDrive-Sharing
    Neben den Dateiablagen in SharePoint und Teams hat jeder Nutzer auch einen kleinen privaten Arbeitsbereich. Über Einstellungen im OneDrive Admin Center können Sie die "Freigabe" über einen Link ebenfalls unterbinden
  • Datenausleitung
    Technisch könnte ein Schüler natürlich Informationen aus dem geschlossenen Bereich über einen USB-Stick oder sein Mailprogramm außerhalb des geschützten Speichers ablegen. Aber hier könnte man mit Azure Information Protection eine Nutzung blockieren. Der Zugriff per Mail per IMAP4/POP3/Outlook kann blockiert und nur ein Browser erlaubt werden, in dem dann Anlagen nicht gespeichert werden. (OWA Policies). 100% Schutz gibt es hier aber nie. Den erreichen Sie aber auch mit selbst betriebenen Lösungen nicht.
  • Übertragungswege
    Jegliche Kommunikation mit der Cloud sind zumindest bei Microsoft verschlüsselt. Das bedeutet aber nur, dass die Übertragungswege abgesichert sind. Dass ihre Provider auch im Staatsauftrag protokollieren kann, welche Dienste sie nutzen (Metadaten), lässt sich nicht vermeiden. Fast alle Cloud-Dienste entschlüsseln aber die Daten auf ihrer Seite. Eine echte End2End-Verschlüsselung zwischen zwei Clients geht nur mit ganz wenigen Diensten, z.B. einem 1:1 VoIP-Gespräch aber nicht für die Ablage der Daten.

Ich habe sicher nicht alle Aspekte hier aufgeführt und alle Hintertüren geschlossen und bin schon gar nicht sicher, ob Teams damit "DSGVO"-konform betrieben werden kann. Darum geht es mir aber hier nicht. Primär muss die Diskussion in Gang kommen, wie Schulen eine geeignete Plattform sicher nutzen können. Die gleichen Fragen und Einstellung können Sie ja mit Google Classroom, Zoom, Slack oder anderen Diensten umsetzen.

Was Sie nicht unterbinden können ist die Weitergabe der Anmeldedaten des Nutzers oder Schülers an eine andere Person oder dass jemand den Bildschirm "abfotografiert" oder Dateien ausdruckt. Letztlich müssen Sie Microsoft auch vertrauen, dass die Daten nicht von fremden Personen eingesehen werden. Das muss nicht immer ein "Geheimdienst" oder fremde Regierung sein. Auch Software-Fehler sind nie auszuschließen. All diese "Lücken" gelten aber für alle Services und betreffen auch selbst betriebene Plattformen und für jegliche "Cloud". Da helfen auch Versprechen und Gesetze nicht. Beide können gebrochen werden. Aber wenn so etwas irgendwann doch rauskommt dann dürfte zumindest das Geschäftsmodell dieses Cloud-Service einem hohen Risiko ausgesetzt sein. Das dürfte viel mehr Gewicht haben als ein eine Regelung auf einem Papier.

Übrigens: In der Schule geht es "nur" Unterrichtsinhalte, die nach einem Jahr sogar gelöscht werden könnten. Firmen haben bei der Nutzung solcher Systeme viel mehr zu verlieren, d.h. kostbare Daten zu Patenten, Prozessen, Einkaufpreisen, Angebotskalkulationen. Sie können ja man prüfen, wer schon Teams nutzt. Diese Firmen müssen also auch entsprechende Abwägungen zu Datenschutz, Betriebsrat, Kosten, Nutzen angestellt haben. Auch ineffektive Bildung kostet die Gesellschaft etwas. 

BSI - Bitte liefern!

Aus meiner Sicht müsste die Politik hier entsprechende Vorleistungen erbringen und für Schulen aber vielleicht auch für Firmen beschreiben, wann welche Dienste DSGVO-Konform genutzt werden können. Sie könnte sogar beschreiben, welche Einstellungen eine Firma zum Schutz ihrer Daten, und damit indirekt auch zum Schutz der Wirtschaftsleistung am Standort Deutschland und damit die Steuereinnahmen, vornehmen sollte. Das BSI wäre aus meiner Sicht eine mögliche Behörde, die ja heute schon im Rahmen des Grundschutz Handbuchs.

Es gibt hier sogar sehr viele produktspezifische Seiten wie:

Hingegen gibt es im Bereich der "Applikationen" schon mal "Exchange und Outlook"

Und auch "Home Office" ist bereits abgedeckt

Die Hinweise zur Cloud ist dann aber recht allgemein gehalten.

Es fehlen aber entsprechende Handreichungen für alle Cloud Produkte. Das betrifft nicht nur Teams, sondern auch Google Classroom. Auch Datenspeicher wie OneDrive, GoogleDrive, Dropbox, ICloud etc. finden ebenso wenig statt wie Konferenzsysteme, Chat-Systeme u.a. Ich würde mir wünschen, dass zumindest die Produkte aufgenommen werden, die von staatlichen Einrichtungen und Schulen, Energiewirtschaft, Militär, Zivilschutz und Medizin eingesetzt werden. Ich bin sicher, dass wir dann auch die meisten Produkte in der freien Wirtschaft abgedeckt hätten.

Hier könnte der Bund einige Mittel investieren, um nicht nur die Schulen voran zu bringen, sondern ganz allgemein die Wirtschaft zu unterstützen und die Hersteller zumeiner DSGVO-konformen Betrieb ihrer Produkte zu drängen. Bis dahin kann ich nur mit Dokumentationen von Microsoft dienen

Land NRW

Etwas überrascht hat mich eine Aussage der Landesregierung NRW zum Thema Schulen. In mehreren Tageszeitungen (z.B. Westfalenblatt) erschien am 8 Dez 2ß20. ein Artikel mit den folgenden Zitaten:

Die Landesregierung hat dabei keine Bedenken hinsichtlich des Datenschutzes: „Das Risiko einer Herausgabe von Daten nach dem Cloud-Act würde überhaupt nur dann bestehen, wenn gegen Nutzende des Messenger ein Ermittlungsverfahren einer amerikanischen Strafverfolgungsbehörde eröffnet worden ist.“ Zudem verweist die Regierung auf AWS-Referenzprojekte: die Deutsche Bahn, Europol und die TU München.

Quelle: Westfalenblatt Nr. 287 vom 8. Dez 2020, Bereich OWL/NRW
Zitiert aus der Antwort der Landesregierung NRW auf eine Anfrage der Grünen-Fraktion. Drucksache 17/11713
https://www.landtag.nrw.de/portal/WWW/dokumentenarchiv/Dokument/MMD17-11713.pdf 

Ich denke nicht, das ein FBI-Mitarbeiter mal so eben eine Wohnung oder Computer in Deutschland durchsuchen dürfte.

Der Datenschützer sieht die Nutzung von Cloud-Diensten für Schulen etwas anders.

Kritisch sehen Datenschützer auch den Messenger-Dienst der landesweiten Lernplattform Logineo NRW. Im August eingeführt, verspricht er laut Landesregierung eine „einfache, schnelle und sichere digitale Kommunikation“ zwischen Lehrern und Schülern. Über 1200 Schulen nutzen das kostenfreie Angebot bereits. Betreut wird es aber vom Subunternehmen Amazon Web Services (AWS) – einer Tochterfirma des US-Internetriesen mit Sitz in Luxemburg. Demnach unterliegt der AWS dem Cloud Act: Ein Gesetz, das es US-Behörden erlaubt, auf personenbezogene Daten im Internet zuzugreifen, also auch auf sensible Schülerdaten wie Noten.

Quelle: Westfalenblatt Nr. 287 vom 8. Dez 2020, Bereich OWL/NRW
Zitiert aus der Antwort der Landesregierung NRW auf eine Anfrage der Grünen-Fraktion. Drucksache 17/11713
https://www.landtag.nrw.de/portal/WWW/dokumentenarchiv/Dokument/MMD17-11713.pdf

Wenn sich schon die Institutionen eines Bundeslandes nicht abstimmen und es an Vorgaben mangelt, dann bezeichne ich das fehlende Fachkompetenz. Eigentlich ein Grund für die Personen den Platz frei zu machen.

Beispiel: Berliner Datenschutzbeauftragter

Diverse Datenschutzbeauftragte haben sich zum Thema Video-Konferenz, Kollaboration u-a. schon geäußert. Sie werden ja sicher verstärkt gefragt aber die Antwort ist aus meiner Sicht bislang nicht wirklich hilfreich. Hier einmal ein Beispiel mit meinen Kommentaren:

Berliner Datenschutzbeauftragte zur Durchführung von Video
https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2020-BlnBDI-Empfehlungen_Videokonferenzsysteme.pdf

 Die Berliner Datenschutzbeauftragte beschreibt erst einmal die Grundlagen, Zusammenhänge und Risiken. um dann aber sogar eine Empfehlung auszusprechen.

Alle folgenden Zitate stammen aus https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2020-BlnBDI-Empfehlungen_Videokonferenzsysteme.pdf sofern nicht anders angegeben.

Sie haben daher keine Wahl: Sie müssen dem Anbieter Ihres Videokonferenzdienstes vertrauen. Sie können ihn jedoch zumindest vertraglich binden.

Der Satz beschreibt das Dilemma, dass das Fernmeldegeheimnis nur die Übertragung schützt aber nicht abdeckt. dass der Konferenz-Mixer die verschlüsselt übertragenen Video-Streams zu einem neuen Stream für die Teilnehmer zusammenbauen" muss. Das wird auch technisch knifflig, wenn jeder zu jedem eine 1:1 Ende2Ende-Verschlüsselung haben sollte und eine zentrale Aufzeichnung wäre auch nicht möglich.

Bei den Empfehlungen beginnt es dann mit:

Als erstes sollten Sie prüfen, ob anstelle von Videokonferenzen auch Telefonkonferenzen ausreichen könnten, um die gewünschte Abstimmung untereinander herbeizuführen

Datensparsamkeit ist ein Grundprinzip und sicher ist Video nicht immer erforderlich. Aber es geht ja auch um Desktop-Sharing u.a. Zudem habe ich die Erfahrung gemacht, dass Video ein Meeting aufwerten kann. Ich lese Tageszeitung, und höre Nachrichten im Autoradio aber Fernsehnachrichten sind halt schon was anderes.

Sind Videokonferenzen nötig, ist es am besten, einen eigenen Dienst mit öffentlich verfügbarer Software bereitzustellen

Ist es so schwer hier mal ein paar Programme zu nennen oder einen Link auf die eigene Webseite zu addieren, auf der Programme und die Prüfergebnisse aufgelistet werden? Vielleicht wäre Jitsi ja nicht schlecht. Oder die verschiedenen kommunalen IT-Rechenzentren tun sich mal zusammen. Es muss ja auch bei einem föderalen System nicht jeder das Rad neu erfinden. Es hat sich aber wohl rumgesprochen, dass das dann nicht schnell genug geht und daher ist der nächste Satz:

Selbstverständlich ist auch der Einsatz kommerzieller Software möglich, ...
...Auf der nächsten Stufe empfehlen wir Ihnen zu prüfen, ob eine der Lösungen europäischer Anbieter Ihren Bedürfnissen entspricht..

Die Berline Datenschutzbeauftragte liefert selbst keine Liste aber verweist nach Kiel:

Die Seite listet die bekannten Produkte (Office 365, Google Suite, Cisco WebEx, Slack, GoTomeeting, Zoom, Discord, Box, NextCloud) und schreibt dazu auch:

Alle genannten Lösungen sind laut deren Eigenangabe DSGVO-konform.
Quelle: https://www.digitales-kompetenzzentrum-kiel.de/homeoffice.html

Die Datenschutzbeauftrage Berlin sagt zu der Liste aber

Die Vertragsgestaltungen der dort genannten Anbieter konnten wir bisher jedoch noch nicht überprüfen

Ich erwarte ja nicht, dass nun Berlin für alle Länder alle Produkte prüft. Aber wir haben 16 Bundesländer mit eigenen Datenschutzbeauftragten, die hoffentlich miteinander sprechen. Könnte man da nicht....  Bei der Energiewirtschaft ist das ja auch möglich. Wenn ich als Dienstleister für ein AKW eine "Atomrechtliche Zuverlässigkeitsüberprüfungs-Verordnung (AtZüV)" in einem Land ablege, dann kann ich diese auch für die Nutzung in anderen Bundesländern freigeben.

Interessant wird es aber hier:

Erfüllt eine Lösung Ihre geschäftlichen Anforderungen, dann prüfen Sie, ob der Anbieter vertrauenswürdig ist, ausreichende Datensicherheit (zum Beispiel durch Zertifizierung) nachweisen kann, Ihnen die Verschlüsselung der Datenübertragung garantiert und bereit ist, mit Ihnen einen gesetzeskonformen Auftragsverarbeitungsvertrag zu schließen

Soweit ich weiß, erfüllt Teams diese Anforderungen zumindest auf dem Papier.

Aber alle Papier-Zertifikate können die die Möglichkeit einer missbräuchlichen Nutzung nicht gänzlich ausschließen. So wird Microsoft Teams exemplarisch aufgeführt

Der Anbieter muss Ihnen auch darlegen, ob er außereuropäische Dienstleister zur Erbringung der Leistung hinzuzieht. Einige Anbieter ....lassen einen wesentlichen Teil der Dienstleistung von außereuropäischen Unternehmen der gleichen Unternehmensgruppe erbringen. In den beiden letztgenannten Fällen gewinnen Sie zwar einen europäischen vertraglichen Ansprechpartner. Die oben beschriebenen Risiken verbleiben jedoch. Prominentes Beispiel sind die Dienstleistungen der Unternehmensgruppe von Microsoft Corporation (z. B. Microsoft Teams)

Andere Anbieter werden sogar explizit negativ genannt.

Leider erfüllen auch einige der Anbieter, die technisch ausgereifte Lösungen bereitstellen, die datenschutzrechtlichen Anforderungen bisher nicht. Dies trifft derzeit (Stand 2. April 2020) z. B. auf Zoom Video Communications, Inc. zu.

Aus meiner Sicht ist das Dokument eine Ansammlung von Trivialaussagen im Stiel eines "Der Ball ist rund" oder "morgen kann es vielleicht regnen", aber es bringt die verantwortliche Person (Rektor, IT-Leiter etc.) nicht weiter sondern erschwert eher die Arbeit, da man sich nun nicht mehr auf "das habe ich nicht gewusst" berufen kann. Das funktiniert beim Datenschutz aber nicht.

Habe ich im vorherigen Abschnitt noch dem BSI eine zentrale Rolle zugedacht, könnten sich natürlich auch die Datenschutzverantwortlichen der 16 Bundesländer mal zusammentun und quasi eine gemeinsame Datenbank aufbauen, in der alle geprüften Produkte mit Datum, prüfende Behörde und der Konfiguration samt deren Ergebnis aufgeführt werden. Ich habe auf dieser Seite weiter oben ja mal mögliche Einstellungen für einen "geschlossenen Betrieb" von Teams beschrieben.

Irgendwie ist es mit dem Datenschutz wie mit den Steuergesetzen: Sie sind so schwammig formuliert oder schwer zu durchschauen, dass findige Berater z.B. CumEx, CumCumEx und andere Steuerschlupflöcher finden, die vielleicht erst Jahre später vor Gericht entschieden werden. Bei der Bildung sollten wir aber nicht Jahre auf Gerichte warten, wenn Deutschland nicht abgehängt werden soll.

Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenz-Diensten
https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2020-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf

Weitere Links