Nun also doch! In Baden-Württemberg wird kurz- bis
mittelfristig Office 365, das uns sicher durch die Lockdowns brachte, an
Schulen verboten sein. Grund: Es verstößt aufgrund einiger Undurchsichtigkeiten
und weil es von einem US-Amerikanischen Konzern unter gültigem US-Gesetz
betrieben wird gegen den europäischen Datenschutz. Das Gesetz gibt den
zuständigen Datenschützern dann die Möglichkeit, solche Software zu verbieten.
Wohl gemerkt, das ist kein Zwang, nur eine Option. Würden durch ein solches
Verbot irgendwelche Daten unserer Kinder geschützt werden, wäre es natürlich
auch ein probates Druckmittel gegen den Anbieter. Doch, was den Schutz
persönlicher Daten im Internet angeht, so sind bereits vor über zehn Jahren
sämtliche Dämme gebrochen und was der oberste Datenschützer des Landes nun tut,
ist ein Auslassventil zu schließen.
Seine Entscheidung bedeutet einen riesigen Aufwand für alle Schulen, die sich bereits wie gefordert, mit allen Kräften in die Digitalisierung des Bildungssystems stürzen und – über die Unsicherheit, die nun bis zur Findung des endgültigen System bestehen wird – bedeutet es auch für unser Bildungssystem, das, was moderne Bildungsmedien angeht, den Anschluss an internationale Standards verloren hat, einen weiteren Zeitverlust von mindestens fünf bis zehn Jahren. Denn eines ist doch klar: Die Lehrkräfte werden nicht ihre Freizeit in die Erstellung digitaler Lernmedien stecken, wenn sie nicht wissen, ob der Kram mit dem System von morgen noch kompatibel sein wird.
Ist das Einknicken des Kultusministeriums vor der Allmacht
eines – nicht mal demokratisch gewählten – Datenschützers wenigstens zu
irgendwas nütze? Natürlich, werden die Befürworter des Verbotes nun sagen, denn
damit werden die Daten schon einmal nicht mehr an diesen gierigen
Microsoft-Konzern (für manche eben nicht nur eine gewinnorientierte
Kapitalgesellschaft, sondern das Böse schlechthin) abgeführt. Doch stimmt diese
Annahme überhaupt und was ist mit anderen US-Giganten?
Schauen wir uns den Weg der Daten vom PC zum Server einmal
genauer an.
Dabei können wir voraussetzen: Da Clouds eingesetzt werden,
wird auch die Anwendung online, d.h., über einen Browser aufgerufen werden.
Diesen Weg betrachten wir nun.
Wenn ich www.office.com
im Browser eingebe, so lande ich – nach Eingabe der Login-Daten – auf den
Servern von Microsoft. Welche Komponenten sind an diesem Vorgang beteiligt:
- Natürlich das Online-Portal von Microsoft, d.h. personenbezogene Daten werden nun zu Microsoft fließen
- Dann natürlich der Browser auf dem das System läuft. Auch der schickt personenbezogene Daten zum Hersteller. Natürlich lassen sich diese Daten einigermaßen anonymisieren, aber welche Privatnutzer nutzt diese Möglichkeit? Und wie wirksam ist sie wirklich, z.B. wenn ich mit (anderen) Websites interagiere? Ich werde den Browser ja nicht starten, nur damit er läuft (Stichwort: Cookies)!
- Der Browser läuft auf einem Betriebssystem. Egal ob nun Windows, Apple-OS (da gibt es ja zwei) oder Chrome-OS (dazu zählt auch Android): Alle schicken personenbezogene Daten über das Nutzerverhalten und den Zustand der Software an ihre Mutterhäuser. Auch hier gilt natürlich, das könnte man einschränken. Apple macht neuerdings sogar ausdrücklich darauf aufmerksam – wer aber genau liest, der erkennt, Apple hält diese Daten nur vor den Drittanbietern zurück, Apple selbst sammelt fleißig weiter! Und wieder die Frage: Wer nutzt diese Möglichkeit wirklich umfassend? Und wie wirksam ist sie (z.B. wenn ich eine Software starte, die sich nicht an die DSGVO hält)
- Doch damit sind wir noch nicht fertig. Das (grafische) Betriebssystem läuft auf einem maschinennahen Betriebssystem - viele werden schon von BIOS und UEFI gehört haben – und eine weitere Ebene darunter laufen die Firmware-Programme der im Computer verbauten Komponenten. Auch diese übermitteln inzwischen Daten an ihre Mutterhäuser, denn nur erfahren diese zeitnah von Problemen ihrer Hardware und können diese bei späteren Versionen abstellen (z.B. wenn der Fehler dafür sorgen würde, dass die Komponente häufiger während der Garantiezeit kaputt geht).
Und der Datenschützer behauptet nun: Wenn ich statt www.office.com eine andere Adresse eines
datenschutzkonformen Anbieters eingebe, dann wären meine Daten plötzlich
geschützt.
Das Ausmaß dieses Irrtums wird einem erst bewusst, wenn man auch
noch bedenkt, dass dieser Datenstrom ja nicht nur läuft, während ich in Office
(oder einem anderen System) bin. Der läuft, wann immer ich online bin – und das
heißt im Zeitalter der Smartphones: Dieser breite Datenstrom läuft 24 Stunden
am Tag, sieben Tage in der Woche, 365 Tage im Jahr! Dazu muss ich nicht mal
selber im Internet surfen. Die Geräte verschicken diese Daten völlig autonom,
sobald eine Internetverbindung besteht – DSL, Kabel, Glasfaser oder mobile
Daten, ganz egal.
Und es gibt sogar noch eine Gegenrichtung!
Schauen wir uns die Server an. Server sind im Grunde
Computer mit nur einer Funktion: Datenspeicherung und Datenverwaltung. Der Kram muss ja wieder gefunden und ausgeliefert werden, wenn
er von einem anderen Programm angefragt wird. Diese Computer enthalten meistens
Serversoftware auf Linux-Basis, meist Apache und irgend ein Datenbankprogramm –
alles open-source, alles datenschutzkonform oder doch zumindest
datenschutzkonform konfigurierbar. Aber darunter laufen wieder irgend ein BIOS
und irgend eine Firmware, die direkt die Hardwarekomponenten steuert. Diese
maschinennahen Systeme sind meist in den USA entwickelt, werden von US-Konzernen
oder in Kooperation mit diesen vermarktet. Da für diese Firmen auch der CLOUD
ACT der USA gilt, darf man wohl annehmen, dass sich amerikanische Behörden auch
für diese Systeme irgendwelche Hintertürchen haben einrichten lassen. Das
heißt, selbst wenn der Server in Deutschland steht, ist – sobald er online ist
– nicht gesagt, dass US-Behörden nicht (nach US-Recht) ganz legal darauf
zugreifen können.
Und über illegalen Datenklau haben wir hier noch gar nicht
gesprochen. Sobald Daten übers Internet erreichbar sind, sind sie für jeden mit
genügend Know-How auch erreichbar. Und das Wissen, dass das Abgreifen meiner
persönlichen Daten (nur) auf illegalem Weg geschah oder geschieht, ist kein
Trost (für mich). Daten, an die kein anderer kommen darf, dürfen eigentlich nirgendwo online
gespeichert sein, bei allen anderen muss ich selbst für ausreichend Schutz
sorgen, z.B. durch geeignete Verschlüsselung.
Der Datenschützer hat die Datenschutzgrundverordnung buchstabengetreu und streng umgesetzt. Da das Gesetz nicht zwingend vorschreibt, dass seine Aktion auch einen Sinn ergeben muss, hat er formal alles richtig gemacht (außer vielleicht, dass er alles, was hinter Office 365 noch alles an meine Daten kommt und diese weiterleitet offensichtlich ignoriert, weil er sonst zugeben müsste, dass es sich hier um ein Fass ohne Boden handelt). Die Landesregierung hat klein bei gegeben, um nicht den Anschein zu erwecken, sie würde den unabhängig agierenden und entscheidenden Datenschützer in irgend einer Weise unerlaubt in seinen Rechten und Kompetenzen einschränken. Die dann zu erwartende Medienschelte wäre fatal für den gerade anlaufenden Wahlkampf. Leider schützt der Datenschützer damit aber nicht die Daten unserer Kinder (da wäre Aufklärung und Erziehung zum sensiblen Umgang mit persönlichen Daten der bessere und nachhaltigere Weg, aber wir haben uns ja entschieden den Lehrkräften nicht zu vertrauen), er "schützt" unsere Kinder nur davor, den Anschluss an die Welt zu halten (oder irgendwann wieder zu erlagen), denn sie werden später als unbedingt notwendig (und später als alle anderen) an ein (vielleicht, hoffentlich) zukunftstaugliches System kommen, das nicht einmal international kompatibel sein wird, denn es wird sich um einen staatlich geförderten deutschen Sonderweg handeln. Da Bildung ja Ländersache ist, ist auch nicht auszuschließen, dass sich jedes Bundesland sein eigenes System bastelt. Wie kompatibel zueinander diese 16 Systeme dann sein werden, haben wir während der Corona-Krise bei den Datenverwaltungssystemen der Gesundheitsämter erlebt. Wie schön, dass Europa nun endlich zusammenwächst …
PS: Praktischerweise wird im Schreiben des Kultusministeriums ein kostenpflichtiges deutsches System als datenschutzkonform und somit zukunftssicher angepriesen. Wer also nicht die zu erwartende längere Überganszeit (im September erfolgt ja erst mal die EU-weite Ausschreibung) in Unsicherheit verbringen möchte, der wird sich nun genau dieses System kaufen. Das Unternehmen gibt übrigens Google, Microsoft und andere US-Konzerne als Kooperationspartner an. Hoffentlich stellen die US-Riesen keine Systeme zur Datenverarbeitung oder -speicherung zur Verfügung, denn diese befänden sich ja dann wieder quasi im US-amerikanischen Rechtraum, ganz egal, wo sie physisch stehen. Aber wer wird denn so genau hinschauen, wenn es sich um ein Berliner Unternehmen handelt!
Nachtigall, ick hör dir trapsen ... aber so wissen wir wenigstens, wer unseren Datenschützern die ganzen Monate beratend zur Seite stand ... ;-)
Keine Kommentare:
Kommentar veröffentlichen
Hinweis: Nur ein Mitglied dieses Blogs kann Kommentare posten.