Microsoft 365 in Schulen: didacta-Interview zum Datenschutz

Die didacta 2023 ist kein Heimspiel für Cornelia Schneider-Pungs. Sie vertritt Microsoft Deutschland auf der Bildungsmesse in Stuttgart – also ausgerechnet in Baden-Württemberg. Dort geht die verantwortliche Datenschutzbehörde ja besonders aktiv gegen Microsoft 365 in Schulen vor, drohte zuletzt sogar mit möglichen Schadenersatzforderungen.

Im Interview auf großer Bühne hat sich Schneider-Pungs meinen kritischen Fragen gestellt und zu den anhaltenden Vorwürfen geäußert:

  • Wie reagiert Microsoft auf die Beanstandungen der Datenschützer?
  • Wie diskutiert man bei Microsoft intern über das Thema?
  • Was will das Unternehmen tun, um das Vertrauen seiner Kunden und Partner im Bildungsbereich zurückzugewinnen?

Ich kenne Cornelia Schneider-Pungs von Microsoft seit einigen Jahren persönlich. Deshalb haben wir uns im Gespräch geduzt. Trotzdem konnte und wollte ich sie beim Thema Datenschutz in Schulen nicht schonen.

In diesem Beitrag fasse ich die Kernaussagen aus unserem Interview auf der didacta 2023 in Stuttgart zusammen.

Vorwürfe der Datenschützer schaden Microsoft

Beim Interview auf der didacta in Stuttgart fühle ich mich an das Brettspiel Risiko erinnert, bei dem es Länder zu erobern gilt. Auf der Deutschlandkarte scheint Microsoft jedenfalls kein Bundesland aufgeben zu wollen.

Auch Baden-Württemberg habe man noch nicht verloren, behauptet Schneider-Pungs. Dort gebe es noch viele Schulen, Behörden und Unternehmen, die mit der umstrittenen Cloud-Software arbeiten.

Cornelia Schneider-Pungs, Microsoft Deutschland
Cornelia Schneider-Pungs, Microsoft Deutschland

Im Gespräch räumt sie aber ein, dass die Vorwürfe der Datenschützer in Baden-Württemberg deutschlandweit, teilweise darüber hinaus Konsequenzen für Microsoft haben.

„Grundsätzlich richtet das natürlich einen gewissen Schaden an, weil die Verunsicherung einfach riesig ist. Eins will ich hier klarstellen: Unsere Lösungen können im schulischen Bereich datenschutzkonform eingesetzt werden. Das vertreten wir so.“

Das hatte bislang vor allem Dr. Stefan Brink bestritten. Der zuständige Landesdatenschutzbeauftragte ist seit Anfang des Jahres nicht mehr Amt.

„Wie habt Ihr das geschafft?“, frage ich Schneider-Pungs forsch. Unter Gelächter des Publikums beteuert sie: „Wir haben damit nichts zu tun!“


Konkrete Maßnahmen für besseren Datenschutz

Um den datenschutzkonformen Einsatz der Software zu gewährleisten, gebe es seit Januar 2023 eine „EU-Datengrenze“. Microsoft unterbinde seitdem sämtliche Datenabflüsse in die USA: „Alle Daten verbleiben in der EU.“

Gleichzeitig spricht Cornelia Schneider-Pungs von „Rest-Diskussions-Punkten“. So brauche man noch bis zum Jahresende, um personenbezogene Daten auch innerhalb der EU anonym bzw. pseudonymisiert zu verarbeiten.

Dazu gehören die sogenannten Telemetrie-Daten. Kurz erklärt: Microsoft analysiert unser Nutzerverhalten, um seine Software zu verbessern und schneller Fehler zu beheben.

Damit Schulen die Cloud-Software datenschutzkonform nutzen können, müsse man erst an den Grundeinstellungen im Hintergrund schrauben und den Einsatz von Microsoft 365 entsprechend dokumentieren.

„In Schulen haben wir es mit Minderjährigen zu tun. Dafür gibt es bestimmte Richtlinien, die man einstellen sollte. […] Das wollen wir nochmal etwas verfeinern – speziell für unsere deutschen Anforderungen, so dass das unseren Sicherheitsbedürfnissen entspricht.“

Schneider-Pungs empfiehlt, sich dafür von IT-Dienstleistern mit Erfahrung im Bildungsbereich beraten zu lassen.

Deutschland sei beim Datenschutz halt ein „besonderer Fall“. Das Thema werde international oft anders gesehen als hierzulande. Das betrifft offenbar auch die Kommunikation zwischen Microsoft Deutschland und der Zentrale in den USA.

Immerhin verstehe man mittlerweile den „Wunsch nach einer gewissen digitalen Souveränität Europas“ – erst recht in der aktuellen politischen Situation:

„Wenn es hart auf hart kommt, dann will man eben doch auch Lösungen zu Hause haben – und das haben wir mit der EU Boundary geschaffen.“

Trotz aller erhobenen Daten könne man übrigens nur schätzen, wie viele Schulen in den einzelnen Bundesländern überhaupt mit Microsoft 365 arbeiten. Es gebe eine „hohe Dunkelziffer“.

Überholter Praxistest des LfDI

Der LfDI und die DSK berufen sich bei ihrer Kritik immer wieder auf einen „intensiven Praxistest“ aus dem Jahr 2021.

Damals habe man eine spezielle Konfiguration der Cloud-Software geprüft und dabei diverse Datenflüsse festgestellt. Nicht mal Microsoft selbst habe der Aufsichtsbehörde sagen können, welche Daten da eigentlich übermittelt werden.

Auch damit konfrontiere ich Schneider-Pungs im Interview: „Kennt Ihr Eure eigene Software nicht gut genug?“

„Wir wissen sehr genau, was da passiert. Das Problem ist manchmal der Detailgrad, der seitens der Behörden zum Teil abgefragt wird. […] Wenn etwas nicht in Ordnung war, dann haben wir es behoben.“

Aus technischer Sicht sei der Test zudem überholt, weil es zu dem Zeitpunkt die nun eingeführte „EU-Datengrenze“ noch nicht gab (s. o).

Außerdem habe Microsoft die begleitende Dokumentation zur Software überarbeitet, damit ihr Einsatz für Kunden transparenter und verständlicher ist.

In den letzten Wochen und Monaten sehe man immerhin wieder große Gesprächsbereitschaft – auch von Kritikern. Man sei in sehr gutem und offenem Austausch mit allen Bundesländern.

Interview auf der didacta 2023 in Stuttgart
Interview auf der didacta 2023 in Stuttgart

Einen konkreten Zeitpunkt für eine verlässliche Lösung kann Schneider-Pungs nicht nennen, Sie würde aber gerne „auf die Tube drücken“ und nicht auf mögliche Abkommen zwischen der EU und den USA warten.

Wir können auf die Politik nicht warten, weil einfach die Schulen nicht mehr warten können. […] Schulen und auch Behörden wollen nicht länger warten auf schnell nutzbare und praktische Technologien, die den Alltag erleichtern.“


„Warum läuft Eure Kommunikation so schlecht?“

Microsoft hat sich in der Vergangenheit selten öffentlich zu den Vorwürfen der Datenschützer geäußert und höchstens reagiert, statt proaktiv zu informieren. Ich habe die spärliche Kommunikation schon oft kritisiert – auch hier im Blog.

Offenbar wollte man das Thema Datenschutz an Schulen möglichst lange möglichst klein halten und aussitzen. Hochgekocht ist es in den vergangenen Monaten trotzdem.

Nach internen Diskussionen habe sich die externe Kommunikation von Microsoft aber spürbar geändert, meint Cornelia Schneider-Pungs auf der didacta-Bühne:

„Vielleicht ist einfach eine gewisse Eskalationsstufe erreicht, bei der wir gesagt haben: Okay, jetzt möchten wir doch mal auf den ein oder anderen Punkt eingehen.“

Microsoft Deutschland äußere sich jetzt zum Beispiel mit offensiveren Stellungnahmen zu öffentlicher Kritik und biete mehr Informationsmaterial.

Trotz allem kreisen wir in unserem Interview auf der didacta 2023 immer wieder um die Vertrauensfrage: Können wir uns wirklich darauf verlassen, dass Microsoft 365 rechtskonform nutzbar ist? Cornelia Schneider-Pungs antwortet in Stuttgart pragmatisch:

„Wir sind ein Unternehmen. Wir verkaufen Lizenzen auf der Basis von Vertrauen unserer Kunden. Cloud-Produkte nutzen Kunden nur, wenn sie dem Anbieter vertrauen, und das müssen wir herstellen. […] Wenn jemand sagt: ‚Ich vertraue Euch aber trotzdem nicht‘ – dann ist da ein eingeschränkter Handlungsspielraum für uns.“

Man wolle Kunden und Partner im Bildungsbereich jedenfalls nicht mit der Verunsicherung beim Dauerbrenner Datenschutz allein lassen. Eine größere Kampagne plane Microsoft aber nicht.

„Ein Aufreger-Thema wird es immer bleiben, und wir werden auch weiterhin nicht über jedes Stöckchen springen. […] Wir können die öffentliche Diskussion als Anbieter nicht selber maßgeblich steuern. Das wollen wir auch gar nicht. Wir liefern die Technologie. Das ist unser Job.“

Ich habe dieses unabhängige Interview am 8. März 2023 auf der Bildungsmesse didacta in Stuttgart geführt. Weder Microsoft noch mein dortiger Auftraggeber AixConcept hatten vorab, währenddessen oder nachträglich Einfluss auf meine inhaltliche Vorbereitung, meine gestellten Fragen oder diese Zusammenfassung.

Über den Autor

Ich bin Stefan Malter, Autor und Medientrainer aus Dortmund. In meinen Büchern und Schulungen lernst Du, digitale Tools produktiv und kreativ einzusetzen.

Weitere Tipps für Microsoft 365 sowie die enthaltenen Apps findest Du hier auf Malter365.de.

Schreibe einen Kommentar

Einführung von Microsoft 365

Praxis-Leitfaden für Firmen und Schulen

Die wichtigsten Tipps, bevor Du Microsoft 365 als Software-Paket für Deine Organisation anschaffst:

Einführung von Microsoft 365 - Leitfaden
OneNote für Lehrer: Handbuch für Microsoft OneNote in Schule und Unterricht

OneNote für Lehrer

Die leicht verständliche Anleitung für Schule und Unterricht inkl. Kursnotizbuch