Windows und Datenschutz..geht das eigentlich?

Wir versuchen in unserem pädagogischen Netz (Schüler und Lehrer nicht Verwaltung oder Handy) soviel wie möglich die Telemetriedaten, die verschiedene Programme aber vor allem Microsoft Windows erzeugen, zu verhindern oder zurückzuhalten. Wenn alle Laptops der Schüler erfasst und dann neu bespielt sind, wird ein von uns gepatschtes Windows installiert, das nicht mehr so oft nach Hause telefonieren will. Trotzdem können wir nicht ganz verhindern, dass installierte Software spioniert. Wenn Windows-Endgeräte von Zuhause benutzt werden sind sie natürlich noch ungeschützter. Ich frage mich, ob wir eine entsprechende Warnung an die Eltern zusammen mit einer Einverständniserklärung benötigen.
Der Datenschutzbeauftragte von Mecklenburg-Vorpommern hat jetzt alle Behörden aufgefordert auf Produkte von Microsoft zu verzichten. Da die zugrunde liegende Gesetzeslage in der EU wie auch in Deutschland die gleiche ist, ist es nur eine Frage der Zeit, bis wir auf diese Datenschutzfragen Antworten haben müssen.
Siehe auch: Einer von vielen Artikeln zu der Problematik .
In Hinsicht auf die zu beschaffenden Endgeräte für uns Lehrer bitte ich Euch auch hierüber Gedanken zu machen.

Wenn ihr euch tiefer in die Materie einarbeiten wollt, hier ein paar Hintergrundinfos:

Pharo Smalltalker (recht bekannt im Bereich Netzsicherheit) schrieb am Heute, 09:59: 19.3.2021 im Heiseforum:

Seine Aussagen decken sich recht gut mit vielen anderen Aussagen von anderen Fachleuten.
Sieht man dies im Zusammenhang mit folgendem…

„Da regelmäßig jemand kommt, der meint, dass irgendwelche Dokumente und Datenschutzbestimmungen von Microsoft das Thema erledigen: dem ist nicht so.

Auszug US Cloud Act:

Text - S.2383 - 115th Congress (2017-2018): CLOUD Act | Congress.gov | Library of Congress [quote]Ҥ 2713. Required preservation and disclosure of communications and records

“A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.”.[/quote]

Sämtliche ausländische Tochtergesellschaften der US-Cloudanbieter sind davon betroffen. Es geht genau darum, auf sämtliche Daten der US-Cloudanbieter im Ausland zugreifen zu können.

Und ja, das ist ebenfalls so, wenn die Rechenzentren der Microsoft Cloud (Azure, Teams, Skype, M365, Exchange Online oder was auch immer) in Europa stehen. Alle Daten im US-Ausland von Kunden von MS stehen staatlichen US-Stellen zur Verfügung.

Microsoft hat dagegen geklagt. Es wurde gerichtlich geklärt:

[quote][quote]24. Who is subject to the requirements of the Stored Communications Act? Is it

only U.S. corporations, U.S.-headquartered corporations, or U.S.-owned

companies? Does a warrant under the Stored Communications Act apply to a

company located outside the United States but which provides its services

within the territory of the U.S.?[/quote]

The CLOUD Act did not give U.S. courts expanded jurisdiction over companies. Its amendment to the Stored Communications Act merely clarified the obligations of those providers who are already subject to U.S. jurisdiction by confirming that they are obliged to disclose responsive data within their possession or control, regardless of where it is stored. In order to place legal requirements on a provider, the provider must be subject to U.S. jurisdiction. U.S. jurisdiction is not limited to U.S. corporations, U.S. headquartered companies, or companies owned by U.S. persons. But neither is U.S. jurisdiction unlimited. United States requirements for exercising jurisdiction over a person are often more stringent than those in the law of other countries. Whether a company providing services in U.S. territory is subject to U.S. jurisdiction is a highly fact-dependent analysis regarding whether the entity has sufficient contacts with the U.S. to make the exercise of jurisdiction fundamentally fair. The more a company has purposefully availed itself of the privilege of conducting activities in the United States or purposefully directed its conduct into the U.S., the more likely a U.S. court is to find that the company is subject to U.S. jurisdiction.[/quote]

Es gibt keinerlei Einschränkung für Tochtergesellschaften im Gesetz. Alle Kunden der US-Unternehmen mit allen Daten im US-Ausland sind von dem Gesetz erfasst.

Edit: Selbstverständlich betrifft das Amazon AWS, Google Cloud, Zoom Videokonferenzen und egal welche weiteren Diensteanbieter aus den USA genau so.

Frei davon sind reine EU-Anbieter, die Kundendaten nicht über US Cloudanbieter verarbeiten (und idealerweise möglichst wenig US-Geschäft machen, siehe letzte Sätze MS vs. United States). Diese EU-Anbieter müssen sich nur der EU DSGVO unterwerfen. Es geht definitiv ohne AWS, Windows, Azure, Zoom, Google und wie sie alle heißen.“

Bestärkt es uns, in der Gewissheit, dass wir es bisher mit unserer eigenen Cloudlösung ziemlich richtig gemacht haben, auch unsere Entscheidung für LibreOffice scheint die richtige zu sein. Das Grundproblem bleibt aber Windows.
Bitte bedenkt das bei der Bestellung der Lehrergeräte.