Wenn Gesetze und Verordnungen ohne Sinn und Verstand umgesetzt werden ...

Nun also doch! In Baden-Württemberg wird kurz- bis mittelfristig Office 365, das uns sicher durch die Lockdowns brachte, an Schulen verboten sein. Grund: Es verstößt aufgrund einiger Undurchsichtigkeiten und weil es von einem US-Amerikanischen Konzern unter gültigem US-Gesetz betrieben wird gegen den europäischen Datenschutz. Das Gesetz gibt den zuständigen Datenschützern dann die Möglichkeit, solche Software zu verbieten. Wohl gemerkt, das ist kein Zwang, nur eine Option. Würden durch ein solches Verbot irgendwelche Daten unserer Kinder geschützt werden, wäre es natürlich auch ein probates Druckmittel gegen den Anbieter. Doch, was den Schutz persönlicher Daten im Internet angeht, so sind bereits vor über zehn Jahren sämtliche Dämme gebrochen und was der oberste Datenschützer des Landes nun tut, ist ein Auslassventil zu schließen.

Seine Entscheidung bedeutet einen riesigen Aufwand für alle Schulen, die sich bereits wie gefordert, mit allen Kräften in die Digitalisierung des Bildungssystems stürzen und – über die Unsicherheit, die nun bis zur Findung des endgültigen System bestehen wird – bedeutet es auch für unser Bildungssystem, das, was moderne Bildungsmedien angeht, den Anschluss an internationale Standards verloren hat, einen weiteren Zeitverlust von mindestens fünf bis zehn Jahren. Denn eines ist doch klar: Die Lehrkräfte werden nicht ihre Freizeit in die Erstellung digitaler Lernmedien stecken, wenn sie nicht wissen, ob der Kram mit dem System von morgen noch kompatibel sein wird.

Ist das Einknicken des Kultusministeriums vor der Allmacht eines – nicht mal demokratisch gewählten – Datenschützers wenigstens zu irgendwas nütze? Natürlich, werden die Befürworter des Verbotes nun sagen, denn damit werden die Daten schon einmal nicht mehr an diesen gierigen Microsoft-Konzern (für manche eben nicht nur eine gewinnorientierte Kapitalgesellschaft, sondern das Böse schlechthin) abgeführt. Doch stimmt diese Annahme überhaupt und was ist mit anderen US-Giganten?

Schauen wir uns den Weg der Daten vom PC zum Server einmal genauer an.

Dabei können wir voraussetzen: Da Clouds eingesetzt werden, wird auch die Anwendung online, d.h., über einen Browser aufgerufen werden. Diesen Weg betrachten wir nun.

Wenn ich www.office.com im Browser eingebe, so lande ich – nach Eingabe der Login-Daten – auf den Servern von Microsoft. Welche Komponenten sind an diesem Vorgang beteiligt:

1. Natürlich das Online-Portal von Microsoft, d.h. personenbezogene Daten werden nun zu Microsoft fließen
2. Dann natürlich der Browser auf dem das System läuft. Auch der schickt personenbezogene Daten zum Hersteller. Natürlich lassen sich diese Daten einigermaßen anonymisieren, aber welche Privatnutzer nutzt diese Möglichkeit? Und wie wirksam ist sie wirklich, z.B. wenn ich mit (anderen) Websites interagiere? Ich werde den Browser ja nicht starten, nur damit er läuft (Stichwort: Cookies)!
3. Der Browser läuft auf einem Betriebssystem. Egal ob nun Windows, Apple-OS (da gibt es ja zwei) oder Chrome-OS (dazu zählt auch Android): Alle schicken personenbezogene Daten über das Nutzerverhalten und den Zustand der Software an ihre Mutterhäuser. Auch hier gilt natürlich, das könnte man einschränken. Apple macht neuerdings sogar ausdrücklich darauf aufmerksam – wer aber genau liest, der erkennt, Apple hält diese Daten nur vor den Drittanbietern zurück, Apple selbst sammelt fleißig weiter! Und wieder die Frage: Wer nutzt diese Möglichkeit wirklich umfassend? Und wie wirksam ist sie (z.B. wenn ich eine Software starte, die sich nicht an die DSGVO hält)
4. Doch damit sind wir noch nicht fertig. Das (grafische) Betriebssystem läuft auf einem maschinennahen Betriebssystem - viele werden schon von BIOS und UEFI gehört haben – und eine weitere Ebene darunter laufen die Firmware-Programme der im Computer verbauten Komponenten. Auch diese übermitteln inzwischen Daten an ihre Mutterhäuser, denn nur erfahren diese zeitnah von Problemen ihrer Hardware und können diese bei späteren Versionen abstellen (z.B. wenn der Fehler dafür sorgen würde, dass die Komponente häufiger während der Garantiezeit kaputt geht).

Und der Datenschützer behauptet nun: Wenn ich statt www.office.com eine andere Adresse eines datenschutzkonformen Anbieters eingebe, dann wären meine Daten plötzlich geschützt.

Das Ausmaß dieses Irrtums wird einem erst bewusst, wenn man auch noch bedenkt, dass dieser Datenstrom ja nicht nur läuft, während ich in Office (oder einem anderen System) bin. Der läuft, wann immer ich online bin – und das heißt im Zeitalter der Smartphones: Dieser breite Datenstrom läuft 24 Stunden am Tag, sieben Tage in der Woche, 365 Tage im Jahr! Dazu muss ich nicht mal selber im Internet surfen. Die Geräte verschicken diese Daten völlig autonom, sobald eine Internetverbindung besteht – DSL, Kabel, Glasfaser oder mobile Daten, ganz egal.

Und es gibt sogar noch eine Gegenrichtung!

Schauen wir uns die Server an. Server sind im Grunde Computer mit nur einer Funktion: Datenspeicherung und Datenverwaltung. Der Kram muss ja wieder gefunden und ausgeliefert werden, wenn er von einem anderen Programm angefragt wird. Diese Computer enthalten meistens Serversoftware auf Linux-Basis, meist Apache und irgend ein Datenbankprogramm – alles open-source, alles datenschutzkonform oder doch zumindest datenschutzkonform konfigurierbar. Aber darunter laufen wieder irgend ein BIOS und irgend eine Firmware, die direkt die Hardwarekomponenten steuert. Diese maschinennahen Systeme sind meist in den USA entwickelt, werden von US-Konzernen oder in Kooperation mit diesen vermarktet. Da für diese Firmen auch der CLOUD ACT der USA gilt, darf man wohl annehmen, dass sich amerikanische Behörden auch für diese Systeme irgendwelche Hintertürchen haben einrichten lassen. Das heißt, selbst wenn der Server in Deutschland steht, ist – sobald er online ist – nicht gesagt, dass US-Behörden nicht (nach US-Recht) ganz legal darauf zugreifen können.

Und über illegalen Datenklau haben wir hier noch gar nicht gesprochen. Sobald Daten übers Internet erreichbar sind, sind sie für jeden mit genügend Know-How auch erreichbar. Und das Wissen, dass das Abgreifen meiner persönlichen Daten (nur) auf illegalem Weg geschah oder geschieht, ist kein Trost (für mich). Daten, an die kein anderer kommen darf, dürfen eigentlich nirgendwo online gespeichert sein, bei allen anderen muss ich selbst für ausreichend Schutz sorgen, z.B. durch geeignete Verschlüsselung.

Der Datenschützer hat die Datenschutzgrundverordnung buchstabengetreu und streng umgesetzt. Da das Gesetz nicht zwingend vorschreibt, dass seine Aktion auch einen Sinn ergeben muss, hat er formal alles richtig gemacht (außer vielleicht, dass er alles, was hinter Office 365 noch alles an meine Daten kommt und diese weiterleitet offensichtlich ignoriert, weil er sonst zugeben müsste, dass es sich hier um ein Fass ohne Boden handelt). Die Landesregierung hat klein bei gegeben, um nicht den Anschein zu erwecken, sie würde den unabhängig agierenden und entscheidenden Datenschützer in irgend einer Weise unerlaubt in seinen Rechten und Kompetenzen einschränken. Die dann zu erwartende Medienschelte wäre fatal für den gerade anlaufenden Wahlkampf. Leider schützt der Datenschützer damit aber nicht die Daten unserer Kinder (da wäre Aufklärung und Erziehung zum sensiblen Umgang mit persönlichen Daten der bessere und nachhaltigere Weg, aber wir haben uns ja entschieden den Lehrkräften nicht zu vertrauen), er "schützt" unsere Kinder nur davor, den Anschluss an die Welt zu halten (oder irgendwann wieder zu erlagen), denn sie werden später als unbedingt notwendig (und später als alle anderen) an ein (vielleicht, hoffentlich) zukunftstaugliches System kommen, das nicht einmal international kompatibel sein wird, denn es wird sich um einen staatlich geförderten deutschen Sonderweg handeln. Da Bildung ja Ländersache ist, ist auch nicht auszuschließen, dass sich jedes Bundesland sein eigenes System bastelt. Wie kompatibel zueinander diese 16 Systeme dann sein werden, haben wir während der Corona-Krise bei den Datenverwaltungssystemen der Gesundheitsämter erlebt. Wie schön, dass Europa nun endlich zusammenwächst …

PS: Praktischerweise wird im Schreiben des Kultusministeriums ein kostenpflichtiges deutsches System als datenschutzkonform und somit zukunftssicher angepriesen. Wer also nicht die zu erwartende längere Überganszeit (im September erfolgt ja erst mal die EU-weite Ausschreibung) in Unsicherheit verbringen möchte, der wird sich nun genau dieses System kaufen. Das Unternehmen gibt übrigens Google, Microsoft und andere US-Konzerne als Kooperationspartner an. Hoffentlich stellen die US-Riesen keine Systeme zur Datenverarbeitung oder -speicherung zur Verfügung, denn diese befänden sich ja dann wieder quasi im US-amerikanischen Rechtraum, ganz egal, wo sie physisch stehen. Aber wer wird denn so genau hinschauen, wenn es sich um ein Berliner Unternehmen handelt!

Nachtigall, ick hör dir trapsen ... aber so wissen wir wenigstens, wer unseren Datenschützern die ganzen Monate beratend zur Seite stand ... ;-)