Die Illusion der digitalen Souveränität im Bildungssektor

Was als moderne Schulplattform angepriesen wird, entpuppt sich bei genauerer Betrachtung als weiteres Beispiel für die Abhängigkeit deutscher Bildungseinrichtungen von US-amerikanischen Tech-Konzernen. Die technische Analyse der Logineo NRW Messenger-Infrastruktur offenbart nicht nur interessante DNS-Details, sondern wirft grundlegende Fragen zur digitalen Souveränität und zum Datenschutz auf.

Technische DNS- und Netzwerkanalyse

Die Untersuchung einer anonymisierten Subdomain der Domain logineonrw-messenger.de mittels gängiger Konsolenwerkzeuge liefert aufschlussreiche Ergebnisse. Die durchgeführten Analysen umfassten:

DNS-Auflösung und Infrastruktur

Mit grundlegenden Netzwerkwerkzeugen lässt sich die Infrastruktur des Messengers nachvollziehen:

dig +short [subdomain].logineonrw-messenger.de
host [subdomain].logineonrw-messenger.de
ping -c 4 [subdomain].logineonrw-messenger.de

Die DNS-Abfragen ergeben eine konsistente IPv4-Adresse, die auf eine funktionierende Infrastruktur hindeutet. Interessanter wird es bei der Reverse-DNS-Abfrage:

dig -x [IPv4-Adresse] +short

Hier offenbart sich die wahre Natur der Hosting-Infrastruktur.

WHOIS-Daten und Netzzuordnung

Die WHOIS-Abfrage bringt Klarheit über die tatsächliche Infrastruktur:

whois [IPv4-Adresse]

Die Ergebnisse zeigen die Zuordnung zu einem autonomen System (ASN), Angaben zum Netzblock und vor allem die Organisationsdaten des Netzbetreibers. Diese führen direkt zu Amazon Web Services.

AWS als Subunternehmer: Die Landtagsanfrage von 2020

Bereits im September 2020 stellte die Grünen-Abgeordnete Sigrid Beer eine kleine Anfrage im Landtag NRW zum Thema “LOGINEO Messenger gehostet beim AMAZON WEB SERVICE”. Die Antwort der Landesregierung vom 5. Oktober 2020 (Drucksache 17/11271) ist aus heutiger Sicht bemerkenswert naiv.

Die Argumentation der Landesregierung

Die damalige Schulministerin Yvonne Gebauer argumentierte, dass keine datenschutzrechtlichen Bedenken bestünden, da:

1. Die Server in Frankfurt am Main stünden und somit die DSGVO gelte
2. Eine Ende-zu-Ende-Verschlüsselung implementiert sei
3. Der US Cloud Act nur bei Ermittlungsverfahren gegen konkrete Nutzer greifen würde

Diese Argumentation wirkt heute, nach der Veröffentlichung eines brisanten Gutachtens des Bundesinnenministeriums, bestenfalls weltfremd.

Das BMI-Gutachten: Die Wahrheit über Cloud-Zugriffe

Im Dezember 2024 wurde durch eine Anfrage nach dem Informationsfreiheitsgesetz ein Rechtsgutachten der Universität Köln im Auftrag des Bundesinnenministeriums öffentlich. Die Erkenntnisse sind eindeutig und erschütternd:

Zentrale Erkenntnisse des Gutachtens

• Der Speicherort ist irrelevant: US-Behörden können auf Daten zugreifen, selbst wenn diese physisch in europäischen Rechenzentren liegen
• Entscheidend ist die Kontrolle: Solange ein US-Unternehmen die Kontrolle über die Infrastruktur hat, greift US-Recht
• Der Cloud Act ist weitreichender als angenommen: Nicht nur direkte US-Töchter, sondern auch europäische Unternehmen mit “relevanten geschäftlichen Verbindungen” in die USA können betroffen sein
• Verschlüsselung schützt nicht zwingend: Das US-Prozessrecht kann Unternehmen zur Aufbewahrung und Herausgabe von Daten verpflichten, unabhängig von technischen Schutzmaßnahmen

Das Gutachten kommt zu dem Schluss, dass der Stored Communications Act (SCA), erweitert durch den Cloud Act, sowie Section 702 des Foreign Intelligence Surveillance Act (FISA) US-Behörden umfassende Zugriffsmöglichkeiten einräumen.

Die Problematik im Detail

AWS EMEA SARL: Europäische Fassade, US-Kontrolle

In der Auftragsverarbeitungsvereinbarung von Logineo NRW wird als Subunternehmer die “AWS EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg” genannt. Trotz der luxemburgischen Adresse handelt es sich um eine Tochtergesellschaft der Amazon Web Services, Inc. aus Seattle, Washington – und unterliegt damit vollumfänglich US-amerikanischem Recht.

Der Fachjurist Carlo Pilz kritisierte bereits 2020 die Einschätzung der Landesregierung. Er wies darauf hin, dass die Argumentation mit Ende-zu-Ende-Verschlüsselung die Frage aufwerfe, ob überhaupt eine Auftragsverarbeitungssituation vorliege, wenn AWS keinen Zugriff auf die Daten habe. Wozu dann ein Auftragsverarbeitungsvertrag?

Der Schrems II-Kontext

Nach dem Schrems II-Urteil des Europäischen Gerichtshofs vom 16. Juli 2020, das das Privacy Shield-Abkommen kippte, ist die rechtliche Situation noch prekärer geworden. Der EuGH stellte klar, dass US-Überwachungsgesetze nicht mit europäischem Datenschutzrecht vereinbar sind.

Trotzdem argumentierte die Landesregierung NRW, dass “keine Daten in die USA übertragen werden” und daher das Schrems II-Urteil keine Auswirkungen habe. Diese Argumentation ignoriert die extraterritoriale Wirkung des Cloud Act vollständig.

Verpasste Chancen: Alternativen und europäische Souveränität

Die Entscheidung für AWS wurde im Vergabeverfahren bereits vorgegeben. Laut Landtagsantwort vom 5. Oktober 2020 (Drucksache 17/11271) wurde “ein öffentlich bestellter und vereidigter IT-Sachverständiger einbezogen”, der “eine besondere Expertise für die Umsetzung eines Projekts dieser Größenordnung in der AWS-Umgebung” hatte. Wörtlich heißt es in der Antwort auf Frage 2: “Die projektbetreuenden IT-Sachverständigen hatten eine besondere Expertise für die Umsetzung eines Projekts dieser Größenordnung in der AWS-Umgebung.”

Diese Begründung ist bemerkenswert: Man wählte einen Sachverständigen mit AWS-Expertise und kam dann zur “Erkenntnis”, dass AWS die beste Lösung sei. Ein klassischer Fall von confirmation bias. Die Landesregierung gab selbst zu: “Vor Beauftragung des Betriebs des LOGINEO NRW Messengers wurde ein Vergabeverfahren durchgeführt, das AWS als Cloud-Anbieter vorsah.” (Quelle: Drucksache 17/11271, Antwort zu Frage 2)

Europäische Alternativen existieren

Dabei hätten durchaus Alternativen bestanden:

• Hetzner Online: Der deutsche Hoster betreibt das Logineo NRW LMS über den Anbieter eLeDia erfolgreich. Warum nicht auch den Messenger?
• Open Telekom Cloud: Die Deutsche Telekom betreibt Rechenzentren in Deutschland
• IONOS Cloud: United Internet bietet souveräne Cloud-Infrastruktur
• OVHcloud: Der französische Anbieter betreibt mehrere Rechenzentren in Europa
• Selbstbetrieb: Das Land NRW hätte die Infrastruktur auch selbst oder über kommunale Rechenzentren betreiben können

Stattdessen hat man sich für die bequeme, aber datenschutzrechtlich problematische Lösung entschieden. Die Skalierbarkeit und “Flexibilität” von AWS wurden höher bewertet als digitale Souveränität und Datenschutz.

Die Bedeutung für Schulen und Schüler

Besonders brisant ist die Situation, weil es hier um Minderjährige geht. Lehrer und Schüler kommunizieren über einen Messenger, dessen Infrastruktur potenziell US-Zugriffsbefugnissen unterliegt. Folgende Daten könnten betroffen sein:

• Metadaten der Kommunikation (wer kommuniziert mit wem, wann, wie oft)
• Potenziell Zugriff auf Verschlüsselungsschlüssel
• Nutzungsprofile und Verhaltensanalysen
• Bei Serverausfällen oder Wartungsarbeiten möglicherweise auch Inhalte

Die Landesregierung beruhigte 2020 damit, dass ein Zugriff nur bei “Ermittlungsverfahren einer amerikanischen Strafverfolgungsbehörde” erfolgen würde. Diese Einschätzung ignoriert:

1. FISA 702: Erlaubt anlasslose Massenüberwachung ausländischer Kommunikation
2. Nachrichtendienstliche Befugnisse: Die NSA kann ohne richterlichen Beschluss zugreifen
3. Geheime Gerichtsverfahren: Das FISA-Gericht tagt geheim, Betroffene erfahren nichts von Zugriffen
4. Wirtschaftsspionage: US-Geheimdienste nutzen ihre Befugnisse nachweislich auch für wirtschaftliche Zwecke

Politische Verantwortung und Versäumnisse

Die Entscheidung für AWS war keine technische Notwendigkeit, sondern eine politische Entscheidung. Das Schulministerium NRW hätte von Anfang an auf europäische, idealerweise deutsche Anbieter setzen können.

Verantwortungsdiffusion

Besonders perfide ist die Aussage des damaligen Staatssekretärs, dass “die Schulleitungen die datenschutzrechtliche Verantwortung haben, da sie die Verträge mit LOGINEO NRW Messenger unterzeichneten”. Das Land gibt eine Plattform heraus, empfiehlt deren Nutzung ausdrücklich, schiebt dann aber die Verantwortung auf die einzelnen Schulleiter ab.

Diese Verantwortungsdiffusion ist charakteristisch für den Umgang deutscher Behörden mit US-Tech-Konzernen: Man nutzt deren Dienste, weil sie bequem sind, will aber die Verantwortung nicht tragen.

Aktuelle Entwicklungen: Das BMI reagiert

Die Brisanz des im Dezember 2024 veröffentlichten Gutachtens war so groß, dass das Bundesinnenministerium bereits die Geheimschutzregeln angepasst hat. Die Verarbeitung von Verschlusssachen in US-Clouds ist nun faktisch verboten.

Doch was ist mit den Daten von Schülern und Lehrern? Sind diese weniger schützenswert als Verschlusssachen der Verwaltung?

Technische Analyse im Kontext

Die eingangs beschriebene technische Analyse mittels DNS-Abfragen, Reverse-DNS und WHOIS-Lookups ist mehr als nur ein akademisches Fingerübung. Sie zeigt, dass jeder technisch versierte Nutzer mit einfachsten Mitteln nachvollziehen kann, wo die Daten tatsächlich liegen und wer die Kontrolle hat.

Die Tools sind frei verfügbar:

• dig und host für DNS-Abfragen
• ping für Erreichbarkeitsprüfungen
• whois für Netzzuordnungen

Diese Transparenz ist grundsätzlich positiv. Gleichzeitig zeigt sie, wie leicht sich die wahre Natur der Infrastruktur ermitteln lässt – und wie schwer es ist, diese Wahrheit politisch zu kommunizieren.

Vergleich zu anderen Bundesländern

Andere Bundesländer haben teilweise andere Wege gewählt:

• Baden-Württemberg setzt mit Moodle auf selbstgehostete Lösungen
• Schleswig-Holstein hat als erstes Bundesland den Abschied von Microsoft 365 vollzogen und setzt auf Open Source

NRW hingegen bleibt bei der Abhängigkeit von US-Anbietern. Der Messenger läuft auf AWS, und trotz aller Bedenken der Landesbeauftragten für Datenschutz und Informationssicherheit (LDI NRW) nutzen zahlreiche Schulen zusätzlich Microsoft 365 oder Google Workspace for Education.

Die Microsoft 365-Problematik

Die Datenschutzkonferenz (DSK) stellte bereits im November 2022 einstimmig fest, dass Schulen Microsoft 365 nicht datenschutzkonform nutzen können, da Schulleitungen ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nicht nachkommen können. Die LDI NRW bestätigte dies in ihrem 28. Tätigkeitsbericht und kritisierte die fehlende Transparenz Microsofts.

Trotzdem ist Microsoft 365 an vielen Schulen in NRW weiterhin im Einsatz. Das Schulministerium NRW weist zwar in seinen FAQs auf “datenschutzrechtliche Bedenken” hin und empfiehlt Logineo NRW, verbietet die Nutzung aber nicht. Die LDI NRW geht derzeit nicht aktiv gegen Schulen vor, sondern reagiert nur auf Beschwerden von Betroffenen. Wenn Eltern oder Schüler sich beschweren, muss die Schule für die gesamte Klasse oder Lerngruppe eine datenschutzkonforme Alternative bereitstellen.

Der Google Workspace-Fall: Ein Präzedenz

Noch brisanter ist die Situation bei Google Workspace for Education. In einem wegweisenden Fall klagte ein Schüler eines Dortmunder Gymnasiums gegen die Nutzung der Plattform. Das Oberverwaltungsgericht NRW entschied im Februar 2023, dass Schulen nur Plattformen nutzen dürfen, die vom Schulträger bereitgestellt und auf Datenschutzkonformität geprüft wurden (§ 79 SchulG NRW).

Die Bezirksregierung Arnsberg forderte daraufhin im Mai 2024 mehrere Dortmunder Schulen auf, die Nutzung von Google Workspace for Education bis zum Schuljahresende einzustellen. Das Schulministerium bestätigte in einem Bericht an den Landtag: Schulen haben kein Initiativrecht bei der Auswahl von Plattformen – diese Entscheidung liegt allein beim Schulträger.

Die LDI NRW hatte bereits 2021 in einem Musterschreiben erhebliche datenschutzrechtliche Bedenken gegen Google Workspace geäußert, darunter:

• Unklarheit über Googles Rolle als Auftragsverarbeiter
• Mögliche Verarbeitung von Daten zu eigenen Zwecken
• Zweifel an der Erfüllung der Schrems II-Anforderungen
• Unzureichende Transparenz über Datenverarbeitungsprozesse

Trotzdem wurde die Plattform jahrelang an verschiedenen Schulen eingesetzt – ein Beleg dafür, dass das “Empfehlungsmodell” des Landes nicht funktioniert.

Langfristige Perspektiven: Die Kosten der Abhängigkeit

Die Entscheidung für AWS mag kurzfristig bequem gewesen sein. Langfristig hat sich das Land NRW jedoch in mehrfacher Hinsicht von einem US-Konzern abhängig gemacht:

Technische Abhängigkeit

• Migration zu einem anderen Anbieter wird mit der Zeit immer schwieriger
• AWS-spezifische Implementierungen führen zu Lock-in-Effekten
• Know-how baut sich nur für AWS-Umgebungen auf

Finanzielle Abhängigkeit

• Cloud-Kosten sind intransparent und steigen tendenziell
• Preisgestaltung liegt vollständig beim Anbieter
• Keine langfristige Planungssicherheit

Rechtliche Abhängigkeit

• Änderungen im US-Recht wirken sich direkt aus
• Keine Möglichkeit, auf europäische Rechtsentwicklungen zu reagieren
• Anfälligkeit für geopolitische Spannungen

Fehlende Innovation

• Keine Förderung europäischer Cloud-Anbieter
• Keine Entwicklung eigener Expertise
• Verpasste Chance für nachhaltige, souveräne Infrastruktur

Handlungsempfehlungen

Aus datenschutzrechtlicher und technischer Sicht wären folgende Schritte geboten:

Kurzfristig

1. Transparenz schaffen: Vollständige Information aller Nutzer über die AWS-Infrastruktur
2. Risikobewertung: Ehrliche Einschätzung der Risiken durch US-Zugriffsbefugnisse
3. Minimierung: Reduktion der auf AWS gespeicherten Daten auf das absolute Minimum
4. Alternative Angebote: Schulen sollten echte Wahlmöglichkeiten zwischen verschiedenen Anbietern erhalten

Mittelfristig

1. Migrationsstrategie: Entwicklung eines Plans zur Migration zu europäischen Anbietern
2. Föderierte Strukturen: Aufbau einer föderierten Matrix-Infrastruktur mit verschiedenen Hostern
3. Förderung europäischer Anbieter: Gezielte Vergabe an souveräne Cloud-Anbieter

Langfristig

1. Eigene Infrastruktur: Aufbau landeseigener oder kommunaler Rechenzentrumskapazitäten
2. Open Source First: Konsequente Bevorzugung offener Standards und freier Software
3. Digitale Souveränität: Entwicklung einer Gesamtstrategie für technologische Unabhängigkeit
4. Bildung und Ausbildung: Aufbau eigener Expertise statt Abhängigkeit von Beratern mit Anbieter-Bias

Fazit: Eine verpasste Chance für digitale Souveränität

Der Fall Logineo NRW zeigt exemplarisch die Herausforderungen der deutschen Digitalpolitik. Trotz erklärter Ziele zu digitaler Souveränität und Datenschutz wurde in der Praxis eine Lösung gewählt, die auf US-Hyperscaler mit den damit verbundenen rechtlichen Fragestellungen setzt.

Die technische Analyse zeigt, wie transparent sich die zugrundeliegende Infrastruktur ermitteln lässt. Die rechtliche Analyse verdeutlicht die Komplexität, die mit der Nutzung US-amerikanischer Cloud-Anbieter einhergeht.

Das im Dezember 2024 veröffentlichte Gutachten im Auftrag des Bundesinnenministeriums bestätigt die seit Jahren von Datenschutzexperten geäußerten Bedenken: Der physische Standort eines Rechenzentrums schützt nicht zwingend vor Zugriffsmöglichkeiten nach US-Recht, solange US-Unternehmen die Kontrolle über die Infrastruktur haben. Technische Schutzmaßnahmen wie Verschlüsselung bieten keinen absoluten Schutz, wenn rechtliche Verpflichtungen zur Kooperation bestehen können.

Für Schulen, Lehrer und vor allem Schüler bedeutet dies: Ihre Kommunikation läuft über eine Infrastruktur, bei der rechtliche Unsicherheiten bezüglich möglicher US-Zugriffe bestehen. Diese Entscheidung wurde auf Landesebene getroffen, wobei die datenschutzrechtliche Verantwortung bei den einzelnen Schulen liegt.

Es wäre wünschenswert gewesen, die vorhandenen Möglichkeiten für eine souveräne, europäische Infrastrukturlösung zu nutzen. Die Technik für datenschutzkonforme Messenger-Infrastrukturen existiert, Matrix als Protokoll ist ausgereift, europäische Hoster stehen zur Verfügung. Die Entscheidung fiel jedoch zugunsten einer etablierten US-Cloud-Lösung.

Die DNS-Analyse am Anfang dieses Berichts war der technische Einstieg in eine komplexere Thematik. Die Gesamtbetrachtung zeigt: Ein Bundesland hat sich für die digitale Kommunikation seiner Schulen für einen US-Konzern entschieden, obwohl aktuelle Rechtsgutachten auf bestehende Risiken hinweisen und die Argumentation, dass “Server in Frankfurt” und Verschlüsselung ausreichende Schutzmaßnahmen darstellen, durch neuere Erkenntnisse in Frage gestellt wird.

Die Frage bleibt: Welche Konsequenzen werden aus den neuen Erkenntnissen des BMI-Gutachtens gezogen? Und wann erfolgt eine Neubewertung der getroffenen Infrastrukturentscheidungen im Bildungsbereich?

Quellen und weiterführende Links

• Landtagsanfrage Drucksache 17/11271 - Kleine Anfrage zu AWS beim Logineo Messenger (2020)
• Heise: Gutachten zu US-Cloud-Zugriff - Bericht über das BMI-Gutachten (Dezember 2024)
• de lege data: Schrems II und Cloud Act - Juristische Analyse von Carlo Pilz (2020)
• Datenschutz-Schule.info: Logineo NRW Messenger - Ausführliche Analyse der Datenschutz-Problematik
• FragDenStaat: BMI-Gutachten - IFG-Anfrage zum Cloud-Gutachten
• Tagesspiegel Background: BMI passt Geheimschutzregeln an - Reaktion auf das Gutachten (Dezember 2024)
• Schulministerium NRW: Logineo Informationen - Offizielle Informationen zum Logineo-System
• Schulministerium NRW: FAQ Datenschutz - Position zu Microsoft 365 und Google Workspace
• LDI NRW: 28. Tätigkeitsbericht zu Microsoft 365 - Offizielle Position der Datenschutzaufsicht
• OVG NRW: Beschluss zu Google Workspace - Wegweisendes Gerichtsurteil (2023)
• Datenschutz-Notizen: Microsoft 365 in Schulen - Update der LDI NRW (2023)
• LDI NRW: Musterschreiben zu Google Workspace - Datenschutzrechtliche Bewertung (2021)

Hinweis: Dieser Bericht basiert auf öffentlich zugänglichen Informationen, technischen Analysen und der Auswertung von Landtagsdokumenten, Rechtsgutachten und Fachpublikationen. Die technische DNS-Analyse wurde zum Schutz der konkreten Infrastruktur anonymisiert dargestellt.

Siehe auch

• Wie Israel Teherans Überwachungskameras hackte – und warum Europa sich das nicht leisten kann
• Vier Jahrzehnte strukturelle Überwachung: Warum die Microsoft-365-Problematik keine Trump-Erfindung ist
• Digitale Geiselhaft: Wie die Politik Deutschland und Europa wissentlich in die Abhängigkeit trieb
• Angriff auf den Datenschutz: Wie NRW-Ministerpräsident Wüst nach dem Microsoft-Deal die unabhängige Aufsicht beseitigen will
• Datenschutz ist ein Grundrecht – Warum diese Wahrheit so oft geleugnet wird