Ein kritischer Blick auf das Portal digitale Schule (Pods)

Das Portal Digitale Schule ist eine zentrale Plattform für Lehrende, Schülerinnen und Schüler und künftig auch Erziehungsberechtigte. Das Portal bietet derzeit für mittlere und höhere Bundesschulen die Möglichkeit, durch eine einzige Anmeldung auf eine Vielzahl von Funktionen und Anwendungen zuzugreifen, die für den Schulalltag nützlich sind. Das Portal Digitale Schule soll nicht nur die Zusammenarbeit zwischen Lehrenden, Schülerinnen und Schülern sowie Erziehungsberechtigten stärken, sondern auch den Schulalltag für alle Beteiligten erleichtern.

https://www.pods.gv.at/willkommen/

Eine whois-Abfrage (z.B.: https://viewdns.info/reverseip/) für die Domain www.pods.gv.at (51.138.102.4) legt offen dass die Webseite auf einem Microsoft-Server gehostet wird.

inetnum: 51.136.0.0 – 51.138.255.255
org: ORG-MA42-RIPE
netname: MICROSOFT
descr: Microsoft Limited UK
country: GB

Das Land lässt sich mit der IP-Adresse auch herausfinden. Die Website wird in den Niederlanden gehostet – in der Azure Cloud von Microsoft. (Man kann sich die IP-Ranges der Azure Cloud [https://www.microsoft.com/en-us/download/details.aspx?id=56519] herunterladen und wird dort einen Eintrag „51.138.0.0/17“ finden unter „region“: „westeurope“, „regionId“: „18“, in diesen fällt die obige IP-Adresse)

Das heißt „die zentrale Plattform für Lehrende, Schülerinnen und Schülern und künftig auch Erziehungsberechtigte“ wird nicht in Österreich gehostet.

Wie sieht es dabei mit dem Datenschutz aus? Grundsätzlich kann man sagen, dass nicht viel gegen ein Hosting innerhalb der EU spricht. Warum, weil die DSGVO in allen EU-Ländern dafür sorgt, dass der Datenschutz eingehalten und entsprechend hoch ist. Soweit die Theorie.

Aus meiner Sicht ist aber hier das Problem, dass der Hoster – in diesem Fall Microsoft – ein US-amerikanisches Unternehmen ist.

Der Europäische Gerichtshof hat in einem wegweisenden Urteil (Urteil vom 16. Juli 2020, Rechtssache C-311/18 — „Schrems II“) über Instrumente für internationale Datentransfers entschieden.
Er hat den sogenannten EU-U.S.-Privacy Shield (Beschluss 2016/1250 — „Privacy Shield“) für unwirksam erklärt.

Auch die Standardvertragsklauseln, auf die sich MS gerne beruft, fallen hier durch, weil die US-Datenschutzgesetze in den USA viel lascher sind als die europäischen. Das gleiche Datenschutzniveau kann also hier nicht garantiert werden.

Die Eigenerklärung Microsofts, die auf der BMBWF Homepage [https://www.bmbwf.gv.at/dam/jcr:48f70bf3-9b09-43c4-b6eb-013f07df85ed/ms_eek.pdf] gelistet ist, gibt zwar einige Antworten, aber gegen den Cloud Act [https://de.wikipedia.org/wiki/CLOUD_Act] oder den Patriot Act [https://de.wikipedia.org/wiki/USAPATRIOTAct] (Mehr unter: https://www.kuketz-blog.de/der-lange-arm-uebersicht-us-geheimdienstrecht/) wird diese vermutlich nichts bewirken. Welchen Rechtscharakter hat ein solches „öffentliches Versprechen“? Ich vermute keines.

Dass Microsoft immer wieder Dinge behauptet, die sich im Nachhinein als unrichtig erweisen, wissen wir spätestens seit Edward Snowden. https://www.sueddeutsche.de/digital/snowden-enthuellungen-wie-microsoft-der-nsa-zugang-zu-outlook-com-und-skype-ermoeglicht-1.1719887
Dass das immer noch vorkommt ist ja auch belegt.
https://www.kuketz-blog.de/kommentar-datenschutz-bei-microsoft-teams/
https://www.derstandard.at/story/2000113199881/microsoft-liess-skype-gespraeche-praktisch-ohne-datenschutz-in-china-auswerten

https://www.zdnet.com/article/i-looked-at-all-the-ways-microsoft-teams-tracks-users-and-my-head-is-spinning/

https://netzpolitik.org/2021/microsoft-scannt-alles-skype-chats-auf-terrorverdacht-durchleuchtet/

https://www.cr-online.de/blog/2020/11/22/zusatz-zu-standardvertragsklauseln-massenweise-nebelkerzen-von-microsoft-und-manchen-datenschutz-aufsichtsbehoerden/

Dass Microsoft mittlerweile sehr gerne und sehr viele Daten sammelt ist ja auch kein Geheimnis mehr.

https://www.heise.de/newsticker/meldung/Untersuchung-Microsoft-Office-sammelt-Daten-und-verstoesst-gegen-die-DSGVO-4224823.html

https://www.datenschutz-praxis.de/verarbeitungstaetigkeiten/telemetriedaten-von-windows-10-auf-der-spur/
Auch in den Open Source Produkten von Microsoft (z.B. Visual Studio Code, .Net, …) ist die Telemetrie standardmäßig aktiv. Warum ist das nicht Opt-in sondern immer Opt-Out?
Manche Daten wurden auch an Firmen weitergegeben. Das hat Microsoft mittlerweile auch eine Klage eingebracht. https://www.itpro.co.uk/business-strategy/data-insights/356518/microsoft-sued-for-sharing-office-365-customer-data-with

https://www.techradar.com/news/microsoft-sued-for-sharing-office-365-user-data-with-facebook-and-others

Generell verstehe ich nicht, warum man sich dieser Rechtsunsicherheit ausliefert und diesem Unternehmen die Daten unserer Kinder anvertraut. Das Portal Digitale Schule könnte ohne großen Aufwand auch von einem Österreichischen Provider bzw. dem Bundesrechenzentrum gehostet werden. Das hätte diverse Vorteile:

Digitale Souveränität
Know-How halten, erweitern und aufbauen
DSGVO-konform
Wertschöpfung und Jobs in Österreich

Dass die Daten von Kindern nach DSGVO, Erwägungsgrund 38 besonders schützenswert sind, lässt man hier auch außer Acht.

Über die Rahmenbedingungen von Clouddiensten hatten wir ja schon einen Beitrag [https://linux-bildung.at/2020/10/clouddienste-rahmenbedingungen/]. Interessant wären die Antworten aus dem Fragenkatalog an US-basierte Cloud-Dienste. Wird dieser veröffentlicht? Warum/Warum nicht?
Bereits damals wurde kritisiert, dass dieses Dokument sehr einseitig für die US-Konzerne formuliert ist. Und so US-affin, wie in diesem BMBWF-Dokument dargestellt, sind die nördlichen Nachbarn bei weitem nicht, bzw. hat sich so manche Einstellung dazu geändert:

• Bayern wird MS Teams durch eine bayrische Lösung Videokonferenzlösung ersetzent
• Hessen stoppt ebenfalls die Duldung von MS-Teams
• Dortmund setzt auf Open Source
• Der Landesbeauftragte für Datenschutz in MV und der dortige Rechnungshof fordern von der Landesregierung, ab sofort keine Microsoft-Produkte mehr zu verwenden
• eine ganze Liste von Organisationen und Vereinen (Philologenverband, Gewerkschaft Erziehung und Wissenschaft) läuft auch dagegen Sturm

Das BMBWF hält nach wie vor an Microsoft fest. Warum eigentlich?

Pods und die Integration mit Web-Untis

In Web-Units kann man die Integration mit Pods aktivieren. Dort heißt es:

„Weiters wird der Datenaustausch zwischen den Diensten ermöglicht. Wird diese Funktion aktiviert, schickt WebUntis täglich Stammdaten von Schüler*innen, Lehrkräften, Klassen und Fächern sowie die zugehörigen Unterrichte an das Portal Digitale Schule.“

In den Datenschutzbestimmungen zum Pods steht:

„Das PoDS ist nicht als zentraler Speicherort für Daten konzipiert, sondern als zentraler Einstiegspunkt, um die Datenhaltung im Schulalltag zu erleichtern.“

Interessant – Pods ist nicht „der zentrale“ Speicherort, aber die Stammdaten (welche sind das konkret? In WebUntis findet man unter Stammdaten unter anderem: Vorname, Nachname, Geburtsdatum, Klasse, Geschlecht, Eintrittsdatum) aus WebUnits werden regelmäßig mit Pods synchronisiert.

Wenn jetzt alle Schulen mitmachen – Laut BMBWF umfasst der Benutzerkreis 1,2 Millionen Schüler/innen, 120.000 Lehrer/innen an 6.000 Schulen – bekommt Microsoft die Stammdaten von 1,4 Mio Lehrenden und Schülerinnen und Schüler.

Aber das ist noch nicht alles.

„Zunächst sollen Lehrkräfte sowie Schülerinnen und Schüler in Bundesschulen auf das Portal zugreifen können. Ab Dezember will man auch die Erziehungsberechtigten teilhaben lassen – so könnten etwa Frühwarnungen oder Entschuldigungen für Fehlstunden künftig online abgewickelt werden, hieß es bei der Präsentation.“

https://www.derstandard.at/story/2000121256317/neue-plattform-des-ministeriums-soll-schulbetrieb-digitalisieren

Die Eltern sollten sich ja auch noch auf dem Portal einloggen können. Wenn wir überschlagsmäßig von 2 Kindern pro Eltern ausgehen, macht das noch zusätzlich 600000 Eltern. In Summe liegen dann in der Microsoft Cloud 2 Mio. Stammdaten aus Österreich. Das sind dann mehr als 20% aller Österreicherinnen und Österreicher. Microsoft wird das freuen. Datenschützer werden sich fragen, warum machen wir das?

Heißt das, dass man als Elternteil dann über die Microsoftplattform mitteilt, dass die Tocher/der Sohn erkrankt ist, einen Zahnarzttermin, einen Krankenhausaufentahlt oder Arztbesucht hat, beziehungsweise erfährt, dass er/sie Gefahr läuft in einem bestimmten Fach mit nicht genügend beurteilt zu werden? Das halte ich für sehr bedenklich.

Neben den Datenschutzrelevanten Argumenten gäbe es auch noch ethisch/moralische.
Dass diese in der Politik im Moment keine große Rolle spielen, wird regelmäßig von dieser selbst beweisen. Aber auch darüber könnte man zumindes nachdenken.

So hat Microsoft einen 10 Mrd. US-Dollar Auftrag des CIA erhalten.

https://www.heise.de/newsticker/meldung/US-Verteidigungsministerium-legt-sich-fest-JEDI-Auftrag-geht-an-Microsoft-4886198.html

Auch für das Militär hat Microsoft einen 22 Mrd. US-Dollar Deal an Land gezogen.
https://www.zeit.de/news/2021-04/01/microsoft-erhaelt-milliardenschweren-grossauftrag

Das Microsoft auch Gesichtserkennungssoftware in seinem Repertoire hat, ist bekannt.

https://blogs.perficient.com/2020/09/30/build-employee-face-detection-service-with-microsoft-azure-cognitive-services-in-three-steps/

https://www.techradar.com/news/microsoft-teams-ai-could-soon-tell-you-which-attendees-are-most-engaged

Meine Wertehaltung würde Kooperationen mit so einem Unternehmen nicht zulassen. Im Bildungsministerium hat man da aber leider eine andere Wertevorstellung.

Gibt es Alternativen?

Denken wir an Eduvidual, WebUntis, SchoolFox oder an die Universität Wien, die BigBlueButton selber hostet. An diesen Beispielen sieht man sehr wohl, dass es Know How und Wissen gibt, eine Web-Anwendung für viele Schulen/Studenten in entsprechender Größe in Österreich zu hosten, ohne Daten an große IT-Konzerne zu liefern. Mebis in Bayern oder Moodle in BaWü beweisen ähnliches.

Es fehlt einfach am Willen, Pods ohne Microsoft umzusetzen – warum auch immer. Die Notwendigkeit dazu besteht sicherlich nicht.
Generell wäre ja wünschenswert, dass Software, die mit Steuergeld finanziert wird, auch als Open Source veröffentlicht werden muss. Dann könnte man auch sehen, was tatsächlich mit den Daten passiert. Wo etwas wie gespeichert wird… Darüber hinaus könnte man auch eigene Integrationen zu einem offenem Pods hinzufügen. Ich denke da an unser Elternsprechtagssystem, das sich auch außerhalb Österreichs schon gut bewährt hat. Davon könnten alle Schulen profitieren.

Abschließend stellt sich noch die Frage nach dem Mehrwert für die Lehrerschaft, den Schülerinnen und Schülern sowie den Eltern. Als Lehrer sehe ich den großen Zusatznutzen nicht wirklich. Auf der Schulhomepage finde ich alle Infos die ich so brauche, und werde so auch über aktuelle Projekte anderer Klassen informiert. Weiters haben viele Schulen Single-Sign-On schon umgesetzt. Das heißt ich komme vom Intranet ins Moodle, Webuntis, …
Für die Schülerinnen und Schüler sehe ich das ähnlich. Für Webuntis nutzen viele die Handy-App. Auch sie kommen von der Schulhomepage zu allen relevanten Informationen und Lernplattformen mit einem Klick.
Als Elternteil schaut man gerne einmal auf der Schulhomepage vorbei, um zu sehen was dort so alles geschieht. Krankmeldungen kann man per Telefon oder auch elektronisch per E-Mail durchführen. Um den Supplierplan müssen sich aber die Kinder schon selber kümmern.
Was kostet dieser aus meiner Sicht geringe Mehrwert dem Steuerzahler? Das wäre interessant zu erfahren. Wir können nur hoffen, dass es nicht ähnlich wie bei „kauf-haus Österreich“ ist.

^{Bild von Pete 😀 auf Pixabay}