Im Schreiben der Schulleitung zur Einführung von Microsoft Office 365 hieß es, wir sollten uns an den Datenschutzbeauftragen der Stadt Köln wenden. Das habe ich bis Ende Juni 2020 auch getan, leider sind meine Fragen dann unbeantwortet geblieben (siehe auch https://www.dr0i.de/forums/index.php?action=vthread&forum=1&topic=2#msg6 ).

Mittlerweile gibt es MitstreiterInnen, es wurde ein offfener Brief aufgesetzt und am 27.9.2020 an Herrn Peitzmeier versendet. Dies ist der offene Brief:

{

Sehr geehrter Herr Peitzmeier,

Den Emailverkehr Ende Juni zwischen Ihnen und Herrn Christoph aufgreifend, möchten wir Sie bitten, dazu Stellung zu nehmen, dass (nicht nur) das baden-württembergischen Kultusministerium und der dortige Landesdatenschutzbeauftragte Stefan Brink noch "offene datenschutzrechtliche Fragen" für Office 365 ausmacht.[1]
Zitat aus dem Heise-Artikel:
<Zitat>
... Prüfbericht der DSFA vom 3. Juli zu ganz anderen Ergebnissen. Der Datenschutzbeauftragte verweist darin auf "strukturelle Mängel des Produkts Microsoft Office 365". Insbesondere könnten Abflüsse personenbezogener
Informationen an den US-Konzern zu eigenen Zwecken nicht vollständig unterbunden werden. Für eine solche Übermittlung sei "keine Rechtsgrundlage erkennbar". Grundsätze der Transparenz, Zweckbindung und Datenminimierung könnten nicht eingehalten werden. Für den Datenschützer erscheint es so fraglich, ob das Kultusministerium beziehungsweise die Schulen im Falle des Einsatzes des Produktes ihrer Rechenschaftspflicht aus der Datenschutz-Grundverordnung (DSGVO) nachkommen könnten.
</Zitat>

In dem Artikel heißt es zudem:
<Zitat>
Datenabflüsse an Microsoft seien gar nicht untersucht worden, obwohl dies unbedingt nötig gewesen wäre.
</Zitat>

Das ist besonders schwerwiegend, da hier nur auf Vertrauen einer Erklärung Microsofts geglaubt wird. Es gibt aber mittlerweile solche Untersuchungen, mit diesem Ergebnis:
<Zitat>
Bei Mitschnitt und Analyse der App-/Webdaten dann eine unschöne Überraschung: Microsoft sendet User-IDs (z.B. 'd_cid') in die Adobe Experience Cloud, an die Adobe-Tochter Marketo, an Google Ads und Scorecardresearch."
</Zitat> [Kuketz]

Weiter im Heise-Artikel:
<Zitat>
Der US Cloud Act schreibe vor, dass US-Firmen wie Microsoft personenbezogene Informationen herausgeben müssen, "egal auf welchem Server sie liegen". US-Recht breche EU-Recht, gibt der Professor zu bedenken. Dies habe der Europäische Gerichtshof (EuGH) inzwischen zweimal bestätigt.
</Zitat>

Letzeres bezieht sich auf das vom EuGH gekippte Abkommen des sog. "Privacy Shields".
<Zitat>
Der Versuch eine Heilung durch eine Einverständniserklärung der Eltern zu erreichen, würde auch die besonderen Schutzrechte von Kindern z.B. nach Art. 8 Datenschutz-Grundverordnung (DS-GVO) nicht hinreichend berücksichtigen. Mit der Einwilligung der Eltern ist das Problem also nicht gelöst.
</Zitat> (Stellungnahme des Hessischen Beauftragten für Datenschutz und
Informationsfreiheit zum Einsatz von Microsoft Office 365 in hessischen Schulen,
09.07.2019)[2]

Und nochmal eine Kritik, diesmal von einer allgemein bekannten Quelle, Stiftung Warentest:
<Zitat>
Die Texte der weiteren Anbieter lassen keine ernsthafte Befassung mit der europäischen Datenschutzgrundverordnung (DSGVO) erkennen. Die Dokumente von Google und Microsoft sind außerdem unzumutbar lang.
</Zitat> [Stiftung Warentest]

Die UnterzeichnerInnen dieser offenen Email befürworten absolut eine Einführung einer digitalen Schulplattform. Die sehr wichtige Frage des Datenschutzes, gerade im Kontext von SchülerInnen, mithin "Schutzbefohlenen", hat dabei aber sehr hohe Priorität. Es muss sichergesetllt werden, dass die Verarbeitung dieser Daten DSGVO konform ist. Da es sich um Kinder handelt, kommt es hier zu einer besonderen Verantwortung.

Office 365 ist nicht alternativlos. Die naheliegendste Alternative ist wohl das vom NRW Schulministerium geförderte LOGINEO - und es gibt noch viele mehr. Was ist der Grund, warum die Stadt Köln nicht LOGINEO einsetzt resp. empfiehlt ? Selbst wenn der Komfort der Alternativen nicht an den von Office 365 heranreicht, schlägt das Argument: bei Kindern gilt: "Datensicherheit ist wichtiger als Komfort".

Wir möchten Ihre Antwort und diesen Brief gerne online veröffentlichen, wenn Sie dem zustimmen.

Mit freundlichen Grüßen und der Bitte um Beantwortung,
die Unterzeichner, Eltern von Kindern der KLS (Pascal Christoph, Alexander Ein Waldt, Markus Schilling, Bettina Grimm)

Köln, 27. September 2020

[1]
https://www.heise.de/news/Microsoft-an-Schulen-Offene-Fragen-beim-Datenschutz-in-Baden-Wuerttemberg-4889715.html
[2]
https://datenschutz.hessen.de/stellungnahme-des-hessischen-beauftragten-f%C3%BCr-datenschutz-und-informationsfreiheit-zum-einsatz-von
[Kuketz] https://www.kuketz-blog.de/kommentar-datenschutz-bei-microsoft-teams/
[Stiftung Warentest]
https://www.test.de/Videochat-Programme-im-Test-Die-besten-Tools-fuer-Video-Telefonie-5605104-5605114/
}

Und dies ist die Antwort. Sie ist interessant (vor allem "Zur Erklärung"), einiges ist aber auch ziemlich skurril (vor allem , dass der Datenschuztbeauftragte nun seinerseits zurückverweist auf die Schulleitung):

{
Sehr geehrter Herr Graef,

für den datenschutzkonformen Einsatz von Softwareprodukten ist allein die Schulleitung ihrer Schule verantwortlich und somit auch für die Herausgabe von Einwilligungsformularen etc. sowie für die Auskunft zu datenschutzrechtlichen Informationen. Daher möchte ich Sie höflich bitten, Ihre Fragen an die dortige Schulleitung zu richten.

Zu den Einwilligungserklärungen muss die Schule Ihnen Informationen gem. Art.13 DSGVO aushändigen. Diesen sollten bereits wesentliche Aspekte Ihrer Fragen zu entnehmen sein. Bei MS365 sind weitere Informationen den OnlineServiceTerms zu entnehmen. https://www.microsoft.com/de-de/licensing/product-licensing/products.aspx

Die Schulen haben von mir eine datenschutzrechtliche Stellungnahme als Beratung zum genannten Produkt bekommen, die sie entsprechend informiert. Gern können Sie die Schulleitung Ihrer Schule um Einsichtnahme vor Ort bitten.

Zur Erklärung:
Die Stadt stellt die Produktfamilie Logineo nicht bereit, dies tut das Land NRW (zusammen mit KRZN und AWS). Die Stadt Köln stellt andere Produkte wie moodle und KiksChat bereit. Eine Videolösung stellen derzeit weder Land noch Kommune bereit, gleichzeitig sind Schulen per Landesmail gehalten, adäquate Lösungen bereit zu halten.

Mit freundlichen Grüßen

Gerd Peitzmeier
Datenschutzbeauftragter für die Schulen der Stadt Köln; Schulamt für die Stadt Köln, Willy-Brandt-Platz 3, 50679 Köln<https://outlook-web.stadt-koeln.de/owa/UrlBlockedError.aspx>
[...]
}

Ich habe also mit der Schulleitung telefoniert.

"Hier das Ergebnisprotokoll vom Telefonat vom 7. Oktober 2020, zwischen der Schulleitung und mir.
Es ist von der Schulleitung und mir verabschiedet.

Thema ist der Einsatz einer digitalen Lernplattform (Learning Management System (LMS)) an der KLS.

Das Telefonat ist die Antwort der Schulleitung auf die Antwort des Datenschutzbeauftragten auf den "Offenen Brief an den Datenschutzbeauftragten".[1]

Es besteht Einigkeit, dass:

1. ein einsatzbereites, digitales LMS unabdingbar ist
2. datenschutzrechtliche Aspekte sehr wichtig sind

Zu einer guten LMS gehört die Möglichkeit einer Videokonferenz.
Leider stellt weder das Land noch die Stadt Köln ein LMS mit diesem notwendigen Kriterium zur Verfügung.
Es blieb nur Microsoft Office Teams 365.

Die Schulleitung trägt nach §1 Abs. 3 VO-DV I die Verantwortung zum datenschutzkonformen Einsatz der Software persönlich.[2] Die Bezirksregierung hat im Dezember 2019 ihre Bedenken zu dieser Lösung zurückgenommen. Ebenso hat sich der Datenschutzbeauftragte der Stadt Köln geäußert. Auf dieser Grundlage sowie der Anschaffung der Lizenzen durch die Stadt Köln als Schulträger beruht der Einsatz an der KLS.

Die Schulleitung würde lieber ein Produkt einsetzen, bei dem der datenschutzrechtliche Aspekt bessere Berücksichtigung findet. In der aktuellen Rezeption wird MS Office 365 Teams mehrheitlich bescheinigt, nicht den deutschen Datenschutzregeln zu entsprechen. Die Schulleitung ist in einem Dilemma, da sie zwar die datenschutzrechtliche Verantwortung zu tragen hat, jedoch keine Expertin auf dem Gebiet ist. Sie muss sich auf die Empfehlungen der Bezirksregierung verlassen. Zudem steht z.B. auch LOGINEO in Kritik, da die Software teilweise Daten auf Servern von Amazon auslagert, also einer US Firma, folglich, mit dem Fall des EU-Privacy Shields, ebenfalls nicht EU-konformen Datenschutz bietet. Die Qualität des Verstoßes ist bei LOGINEO wahrscheinlich geringer, jedoch ist dies nicht abschließend geklärt.

Der Vertrag für den Einsatz der Microsoft Software wurde von der Stadt Köln geschlossen für 3 Jahre.
Wenn es eine funktionierende Alternative gibt (z.B. LOGINEO mit Videokonferenz) wird von der Schulleitung angestrebt, das datenschutzkonformere LMS zum Einsatz zu bringen.

Der produktive Einsatz einer LMS an der gesamten Schule, nach etlichen Jahren Verspätung im Vergleich zu vielen anderen Ländern und Institutionen, wird positiv bewertet. Aufgrund der Corona-Pandemie ist ein LMS tatsächlich schlicht alternativlos. Aber die eingesetzte Software ist nicht alternativlos.
Die Entwicklung eines alternativen LMS wird weiterhin beobachtet. Die Diskussionen rund um die Daten und Metadaten der SchülerInnen und LehrerInnen soll weiter verfolgt werden.

Pascal Christoph, Köln im 2. November 2020

[1] https://www.dr0i.de/forums/index.php?action=vthread&forum=1&topic=6
[2] https://recht.nrw.de/lmi/owa/br_text_anzeigen?v_id=10000000000000000576
"

LOGINEO läuft in der AWS Cloud und hat damit leider auch Datenschutzrechtliche Probleme. Daher ist auch dies mit Hinblick auf den "Cloud ACT" mehr als problematisch und sollte nicht eingesetzt werden wenn man Datenschutz ernst nimmt.

pharmacy cheap no prescription

canadian online pharmacy