Thought Leadership
Der in Hannover bekannt gewordene Vorgang rund um den Einsatz von Microsoft 365 an Schulen wirft gleich mehrere grundsätzliche Fragen auf. Die Verwaltungspraxis einer einzelnen Kommune ist dabei nur der Ausgangspunkt – der Blick muss auf die strategische Ausrichtung öffentlicher IT-Beschaffung in Deutschland und Europa insgesamt fallen.
Nach aktueller Berichterstattung hat die Stadt Hannover Microsoft-365-Education-Lizenzen im Wert von rund 324.000 Euro erworben, ohne zuvor die für den Schulbetrieb zwingend erforderliche datenschutzrechtliche Grundlage sicherzustellen. Beim Kauf wurde lediglich ein Standard-Datenverarbeitungsvertrag geschlossen, anstatt das für Schulen gültige Data Processing Agreement zu vereinbaren. Eine vorliegend erforderliche Datenschutzfolgenabschätzung fand erst im Nachgang statt. In der Folge musste das System vollständig abgeschaltet werden, obwohl die Lizenzen weiterhin gültig sind. Irritierend ist dabei, dass bislang eine nachvollziehbare Erläuterung fehlt, warum eine nachträgliche Korrektur oder Ergänzung der Datenschutzvereinbarungen nicht möglich gewesen sein soll. Gerade im Bildungsbereich ist seit Jahren bekannt, dass der Einsatz solcher Cloud-Dienste regelmäßig zusätzlicher vertraglicher und organisatorischer Absicherungen bedarf.
Noch schwerer wiegt allerdings, dass offenbar auch eine ergebnisoffene Betrachtung möglicher Alternativen vor der Beschaffung unterblieben ist. Weder ein systematischer Vergleich mit regelmäßig datenschutzfreundlicheren Optionen wie lokal betriebenen On-Premises-Lösungen noch die Einbeziehung klassischer Kauflizenzen scheint vor der Beschaffung erfolgt zu sein. Stattdessen entsteht der Eindruck, die Stadt habe zunächst Fakten geschaffen und rechtliche Fragen erst im Nachgang adressiert – mit dem bekannten Ergebnis der Komplettabschaltung und eines erheblichen wirtschaftlichen Schadens.
Cloud-Abonnements: Nutzungsrecht statt Eigentum
Der Fall macht zugleich ein strukturelles Problem moderner Cloud-Abonnements sichtbar, das über den konkreten Datenschutzverstoß hinausgeht. Öffentliche Stellen erwerben bei solchen Modellen keine eigentumsähnliche Rechtsposition, sondern lediglich ein zeitlich befristetes Nutzungsrecht. Dieses kann bei rechtlichen Neubewertungen, regulatorischen Änderungen oder vertraglichen Einschränkungen jederzeit faktisch wertlos werden, selbst dann, wenn bereits erhebliche Mittel geflossen sind. Hannover ist dafür ein Lehrstück: 324.000 Euro verausgabt, kein einziger Schüler kann die Software nutzen. Bei klassischen Kauflizenzen wäre ein solches Totalausfallszenario kaum denkbar.
Denn Kauflizenzen, wie sie auch auf dem Markt für gebrauchte Software gehandelt werden, bieten eine grundlegend andere Qualität. Sie vermitteln eine dauerhafte, bestandsfeste Nutzungsposition, verbunden mit Investitionsschutz, Weiterveräußerbarkeit und Unabhängigkeit von laufenden Abonnementbedingungen. Für die öffentliche Hand bedeutet das planbare Kosten, höhere Rechtssicherheit und die Möglichkeit, Software langfristig einzusetzen, ohne bei jedem regulatorischen Risiko sofort handlungsunfähig zu werden. Die international renommierte Strategieberatung Gartner empfiehlt bereits seit Jahren Perpetual-Lizenzen und hat diesen Ratschlag angesichts der Kostenexplosionen diverser Cloud- und Abo-Modelle erst kürzlich bekräftigt.
Schulen als Einstiegsplattform für dauerhafte Abhängigkeiten
Über den Einzelfall hinaus darf auch die bildungspolitische Dimension nicht ausgeblendet werden. Dass Schülerinnen und Schüler bereits im schulischen Umfeld faktisch auf ein bestimmtes proprietäres Produktökosystem festgelegt werden, wird häufig mit dem Argument begründet, man bereite sie auf das spätere Berufsleben vor. So auch in Hannover, wo die Stadt trotz des Debakels an der Einführung von Microsoft festhalten will. Dieses Argument mag kurzfristig pragmatisch wirken, verstetigt aber langfristig die technologische und wirtschaftliche Abhängigkeit Europas von wenigen außereuropäischen Anbietern.
Im Bildungsbereich besteht ein besonderes strategisches Interesse der Software-Hersteller: Schüler frühzeitig und damit oft dauerhaft an ihre Produkte zu gewöhnen. Daher verwundert es auch nicht, dass es seitens Herstellern wie Microsoft in diesem Marktsegment die mit größtem Abstand höchsten Rabatte gibt. Umgekehrt besteht ein besonderes Schutzbedürfnis von Kindern und Jugendlichen. Hinzu kommt die Vorbildfunktion des Staates, wenn dieser einerseits Datenschutzkonformität von Unternehmen abverlangt, während dann manch politischer Entscheidungsträger selbst Ausnahmen zulassen will. Das Gefährdungspotenzial ist angesichts besonders sensibler Daten wie Zeugnissen, Verhaltensprofilen und Einordnungen von Begabungen und Intelligenz leicht nachvollziehbar. Solange datenschutzrechtliche Bedenken nicht ausnahmslos ausgeräumt werden, kann es keine Nutzung entsprechender Lösungen geben.
Digitale Souveränität: Zwischen Sonntagsrede und Montagmorgen
Wenn staatliche Stellen zugleich regelmäßig digitale Souveränität beschwören, selbst aber kaum Alternativen prüfen oder vorleben, entsteht ein widersprüchliches Signal. Schulen wären prädestiniert, als Ort technologischer Mündigkeit und Vielfalt zu fungieren. Wie ist es ethisch vertretbar, dass Vorbildinstitutionen wie Schulen eine nachlässige Datenschutz-Praxis vorleben und so an die zukünftigen Generationen weitergeben? Kinder wachsen ganz selbstverständlich und in allen möglichen Alltagssituationen mit dem Internet, künstlicher Intelligenz und Datenräumen auf. Wir dürfen Kinder mit diesen komplexen und intransparenten Vorgängen nicht allein lassen und müssen frühzeitig auch über deren Risiken aufklären, anstatt die resignative Abhängigkeit zu demonstrieren, wie sie leider viel zu häufig sogar institutionell zu konstatieren ist.
Alternative IT-Konzepte wagen
Der hannoversche Vorgang zeigt daher weniger ein einzelnes Lizenzproblem als vielmehr ein grundlegendes Defizit bei strategischer IT-Beschaffung, Datenschutz-Governance und langfristigem Denken im öffentlichen Sektor. Die Verantwortlichen müssen den verführerischen Trend der Cloud kritisch hinterfragen und alternative Lösungsansätze in den Mittelpunkt ihrer IT-Strategie rücken. On-Premises-Lösungen und hybride IT-Modelle bieten die Möglichkeit, kritische Daten und Anwendungen sicher im eigenen Haus zu verwalten und gleichzeitig flexibel auf Veränderungen zu reagieren. Ergänzt durch ein modernes Lizenzmanagement, das den gezielten Einsatz gebrauchter Software integriert, entsteht ein IT-Ökosystem, das wirtschaftlich attraktiv und langfristig unabhängig agiert.
Daten sind das Rückgrat staatlicher Prozesse und das Vertrauen der Bürger ein hohes Gut. Öffentliche Institutionen dürfen sich daher nicht blind einer externen Infrastruktur ausliefern. Eine unkritische und schnelle Entscheidung ausschließlich zugunsten der Cloud wird sich langfristig als Bumerang erweisen, finanziell, datenschutzrechtlich und sicherheitspolitisch. Hannover hat diese Lektion auf die denkbar teuerste Art gelernt.
