Fragen und Antworten : Datenschutz sorgt an Schulen weiter für Verunsicherung

Auch vier Jahre nach Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) stehen Schulen vor vielen Fragen, was den Datenschutz betrifft. Während in der Corona-Pandemie aus der Not heraus die Nutzung vieler Tools erlaubt war, rudern jetzt einige Länder wieder zurück und untersagen die Nutzung von Produkten, weil sie nicht die EU-Standards zum Datenschutz erfüllen. Lehrerinnen und Lehrer müssen sich bei der Auswahl passender digitaler Medien im Unterricht also immer wieder neu orientieren. Aber das ist nicht die einzige Herausforderung beim Thema Datenschutz in Schulen. Das Schulportal zeigt die größten Baustellen und Lösungsansätze vier Jahre nach Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) auf.

Annette Kuhn 23. August 2021 Aktualisiert am 24. Mai 2022 3 Kommentare
Inhalt
Datenschutz Hand mit Smartphone
Datenschutz in der Schule ist ein großes Thema, aber nur wenige Lehrkräfte fühlen sich bei dem Thema ausreichend informiert.
©tommy/Getty Images

Während der Corona-Pandemie hat das Thema Datenschutz in den meisten Schulen stark an Bedeutung gewonnen. Viel mehr Lehrkräfte setzen heute Apps, Lernplattformen und andere digitale Medien im Unterricht ein und kommunizieren mit Schülerinnen und Schülern sowie ihren Eltern über die verschiedensten digitalen Kanäle.

Bei all diesen Prozessen werden auch personenbezogene Daten gespeichert. Aber bei jeder App zu durchschauen, welche Daten erhoben werden und was mit diesen Daten passiert, überfordert die meisten Lehrkräfte und Schulleitungen. Sie geraten in ein Dilemma: Einerseits müssen und wollen sie die Daten ihrer Schülerinnen und Schüler schützen, andererseits wollen sie den Unterricht auch mithilfe digitaler Medien weiterentwickeln. Und während der Schulschließungen hatten Schulen oft gar keine andere Möglichkeit, um ihre Schülerinnen und Schüler zu erreichen.

Wie schwierig es ist, sich zwischen diesen beiden Anforderungen zu bewegen, haben eine Lehrerin und ein Lehrer eines Berliner Gymnasiums in ihrem Gastbeitrag „Verantwortung für den Datenschutz nicht auf Lehrkräfte abwälzen!“ beschrieben.

Entwicklung einer länderübergreifenden Prüfstelle

Bislang gibt es kaum Handreichungen und Empfehlungen für datenschutzkonforme digitale Tools vonseiten der Schulverwaltungen, Kultusministerien oder Datenschutzbehörden. Um Lehrkräften Unsicherheiten beim Umgang mit digitalen Medien zu nehmen, wird auch schon lange eine länderübergreifende Prüfstelle angemahnt.

In Zukunft soll es die auch geben. Die Länder haben im August 2021 ein neues gemeinsames Projekt auf den Weg gebracht, das Schulen bei der Auswahl digitaler Medien Unterstützung bieten soll. Im Projekt „eduCheck digital“ (EDCD) sollen Kriterien, Standards, Verfahren und technische Systeme für digitale Bildungsmedien entwickelt werden, damit diese im Unterricht technisch zuverlässig und datenschutzkonform eingesetzt werden können. „Das Projekt ,eduCheck digital‘ ist ein wichtiger Baustein im Gesamtkonzept der KMK-Strategie ,Bildung in der digitalen Welt‘ zur sicheren Nutzung von digitalen Bildungsmedien an unseren Schulen“, sagte die damalige Präsidentin der Kultusministerkonferenz, Britta Ernst (SPD), bei der Vorstellung des Projekts.

Die Finanzierung läuft über den Digitalpakt Schule. Rund 2,5 Millionen Euro sind nach einer Mitteilung der Kultusministerkonferenz für das Projekt angesetzt. Die Federführung für das Projekt hat das Land Rheinland-Pfalz. Mit der Umsetzung ist das Medieninstitut der Länder FWU – Institut für Film und Bild in Wissenschaft und Unterricht – beauftragt.

In den EDCD-Arbeitsgruppen sollen neben Expertinnen und Experten des Medieninstituts und der Länder auch Spezialistinnen und Spezialisten aus Unternehmen und Hochschulen sowie Anwenderinnen und Anwender mitwirken.

Was müssen Schulen über die Datenschutzgrundverordnung wissen?

Seit 25. Mai 2018 muss die neue Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union angewendet werden. Ziel der Überarbeitung der DSGVO war es, einen sicheren Umgang mit personenbezogenen Daten zu gewährleisten, insbesondere auch vor dem Hintergrund der immer stärkeren Nutzung digitaler Medien. Das spielt insbesondere auch für den Datenschutz in der Schule eine wichtige Rolle. Entscheidend ist dabei der Artikel 5 der DSGVO. Er nennt die Grundsätze der Verarbeitung personenbezogener Daten:

  • Verarbeitung der Daten von Personen muss auf rechtmäßige Weise, nach Treu und Glauben und mit Transparenz erfolgen.
  • Datenverarbeitung darf nur für festgelegte, eindeutige und legitime Zwecke erfolgen.
  • Datenminimierung: Datenerhebung soll auf das notwendige Maß beschränkt sein.
  • Nur sachlich richtige Daten dürfen gespeichert werden, andere Daten sind unverzüglich zu löschen.
  • Daten dürfen nur so lange gespeichert werden, wie es unbedingt erforderlich ist.
  • Integrität und Vertraulichkeit muss gesichert sein, d.h. es darf keine unrechtmäßige Verarbeitung erfolgen.

Wann spielt der Datenschutz in der Schule eine Rolle?

Überall dort, wo Daten erfasst oder verarbeitet werden, spielt auch der Datenschutz eine Rolle. In der Schule betrifft das sämtliche Beteiligten: die Schülerinnen und Schüler genauso wie das Kollegium und das weitere Schulpersonal. Von allen werden personenbezogene Daten erfasst und verarbeitet: zum Beispiel bei der Erfassung von Fehlzeiten, bei der Besprechung von Noten für die Zeugnisse, bei der Feststellung von Förderbedarfen oder bei Ausflügen und Klassenfahrten.

Auch Schülerfotos sind ein klassisches Thema beim Datenschutz. Da die Aufnahme von Fotos nicht notwendig für den Schulbetrieb ist, dürfen sie auch nicht ohne Einwilligung erstellt und veröffentlicht werden.

Insbesondere wenn all diese Daten mit digitalen Tools erfasst werden, müssen dabei noch mehr Aspekte beachtet werden. „Wenn Informationen zu Unterrichtsaufgaben, zu Noten, zu Krankheiten oder zum Verhalten zwischen Lehrkräften und Schülerinnen und Schülern hin-und-herfließen, lesen Dritte mit und erstellen daraus Profile. Werbung ist da noch der harmloseste Zweck“, hat Thüringens Datenschutzbeauftragter Lutz Hasse in einem Interview mit dem Schulportal gewarnt.

Problematisch ist außerdem, dass die meisten Lehrerinnen und Lehrer im Unterricht mit ihrem eigenen digitalen Endgerät arbeiten müssen. Laut einer Mitgliederbefragung der Gewerkschaft GEW haben zu Beginn der Corona-Pandemie 90 Prozent der Lehrkräfte für die Unterrichtsgestaltung das eigene Gerät verwendet. Inzwischen sind zwar mehr Kollegien mit Dienst-Laptops oder -Tablets ausgestattet, aber längst nicht alle. Bei der Verwendung privater Geräte verstärkt sich das Problem, dass privat installierte Programme auf die Daten von Schülerinnen und Schülern oder Kolleginnen und Kollegen zugreifen können.

Welche Herausforderungen stellen sich beim Datenschutz an Schulen?

Schon vor der Corona-Pandemie gab es in den Ländern Lernmanagementsysteme, die zwar oft datenschutzkonform waren, aber deren Angebot und Benutzerfreundlichkeit zum Teil recht eingeschränkt waren. Vor allem aber waren sie dem großen Ansturm an Nutzerinnen und Nutzern, die im Distanzunterricht damit arbeiten wollten, häufig nicht gewachsen.

Selbst die vom Hasso-Plattner-Institut in Potsdam entwickelte „HPI Schul-Cloud“, die vom Bundesministerium für Bildung und Forschung (BMBF) als Pilotprojekt gefördert wurde und einen geschützten Lernraum verspricht, ist nur in wenigen Bundesländern verbreitet.

Viele Schulen haben daher im Fernunterricht auf kommerzielle, oft leistungsstärkere Anbieter zurückgegriffen. Einige Kultusministerien haben auch entsprechende Lizenzen erworben, um den Schulen im Land flächendeckend eine kommerzielle Lernplattform oder ein kommerzielles Kommunikationssystem zur Verfügung zu stellen. Allerdings sind einige dieser Anwendungen aus Sicht von Datenschutzbeauftragten wenig empfehlenswert, was den Datenschutz anbelangt. So hat die Datenschutzkonferenz von Bund und Ländern (DSK) im September 2020 verkündet, dass der Einsatz von „Microsoft Teams“ nicht den Vorgaben der Datenschutz-Grundverordnung (DSGVO) entspricht.

In der Konsequenz haben sich erste Länder von gängigen Anbietern wie „Microsoft Teams“ oder „Zoom“ verabschiedet oder die Nutzung nur mit zusätzlichen Maßnahmen zum Datenschutz erlaubt. Die Schulen und Lehrkräfte sowie Schülerinnen und Schüler haben sich aber gerade an die Arbeit mit diesen Systemen gewöhnt und müssen nun womöglich ihren Unterricht erneut umstellen.

Standort des Servers für Datenschutz entscheidend

Bei der Nutzung von Apps, Lernplattformen oder Messengerdiensten müssen Lehrkräfte und Schulleitungen wissen, wo die erfassten Daten landen, wie sie verarbeitet und gespeichert werden. Je nachdem wo der Server eines Software-Anbieters ist, gilt auch die dortige Datenschutzverordnung.

Digitale Produkte von US-Anbietern, wie Microsoft Teams, haben ihre Server in den USA, das heißt: Für sie gilt nicht die Datenschutz-Grundverordnung (DSGVO) der EU. Nachdem im Sommer 2020 mit einem Urteil des Europäischen Gerichtshofs das „Privacy Shield“-Abkommen – die Datenschutzvereinbarung zwischen der EU und den USA – gekippt wurde, dürfen personenbezogene Daten europäischer Bürgerinnen und Bürger nicht mehr in Staaten übermittelt werden, die nicht den Standards der DSGVO entsprechen, wenn nicht eine entsprechende Einwilligung vorliegt.

Der Standort eines Servers allein ist aber noch keine Garantie für einen ausreichenden Datenschutz. Was mit den erfassten Daten passiert, steht zwar grundsätzlich in den Datenschutzhinweisen oder den Allgemeinen Geschäftsbedingungen einer App oder eines Programms. Aber das Lesen und Verstehen dieser Angaben ist keineswegs trivial, sondern erfordert Zeit und meist auch viel Sachverstand.

Wer ist für den Datenschutz an Schulen zuständig?

Der Datenschutzgrundverordnung (DSGVO) zufolge trägt die Schulleitung die Verantwortung für die Verarbeitung aller in der Schule erhobenen Daten. Jede öffentliche Schule in Deutschland muss daher einen Datenschutzbeauftragten bestellen. Wer das ist, ist in den Ländern unterschiedlich geregelt. Das kann eine Lehrerin oder ein Lehrer der Schule sein, dies kann aber auch eine externe Stelle sein, die für mehrere Schulen zuständig ist.

Oft wird aber bemängelt, dass viele Datenschutzbeauftragten an Schulen neben ihrem regulären Stundenkontingent auch noch für den Datenschutz zuständig sind und dass sie nur wenig Weiterbildungsmöglichkeiten haben.

Umfrage zum Datenschutz

Im Herbst 2021 wollten wir von Ihnen wissen:

Gibt es einen Beauftragten für Datenschutz an Ihrer Schule?

Hier sehen Sie das Ergebnis der Umfrage:

71 Personen haben an der Abstimmung teilgenommen.

Datenschutz als Schulfach?

Nach Ansicht des Thüringer Landesdatenschützers Lutz Hasse sollten Schülerinnen und Schülern sowie Lehrerinnen und Lehrern mehr Kompetenzen im Umgang mit digitalen Medien und zum Datenschutz vermittelt werden. Wir stellen uns vor, dass es ein eigenes Fach gibt, sagte Hasse im Februar 2022 bei einer Videokonferenz zum Safer Internet Day.

In anderen Ländern gebe es solche Konzepte bereits. Wir arbeiten daran, dass das passiert, dass ein Verständnis bei den Schülerinnen und Schülern geweckt wird: Was passiert da eigentlich und wozu kann ich Algorithmen auch missbrauchen?, sagte Hasse, der im Kreis der 16 Landesdatenschützer in Deutschland die Arbeitsgruppe Datenschutz und Bildung leitet.

Dafür brauche es aber auch Lehrkräfte, die ein solches Fach unterrichten könnten. Wir können jetzt nicht so richtig erkennen, dass diese zumindest an den Universitäten ausgebildet werden, sagte Hasse. Dies sei ein Hemmschuh. dpa

Wie gut sind Lehrkräfte über den Datenschutz informiert?

In der Folgebefragung für das Deutsche Schulbarometer, die im Dezember 2020 durchgeführt wurde, gaben 58 Prozent der befragten Lehrkräfte an, dass sie sich nicht ausreichend informiert sehen über die datenschutzrechtlichen Bestimmungen, die bei der Verwendung digitaler Tools an der Schule zu beachten sind.

Und in der GEW-Umfrage sahen 39 Prozent der Befragten den Datenschutz an ihrer Schule „eher nicht“ oder „überhaupt nicht“ geregelt. 65 Prozent gaben in der Befragung außerdem an, sie würden von der Arbeitgeberseite – also meist den Kultusministerien – „nicht ausreichend“ unterstützt, um die Anforderungen des Datenschutzes bei der Arbeit in der Schule zu bewältigen.

Eine Ursache dafür ist wohl auch, dass der Datenschutz im Lehramtsstudium und bei der Fortbildung noch immer eine eher untergeordnete Rolle spielt. „Datenschutz und Medienkompetenz müssten schon in der Lehrerausbildung Thema sein, aber da tut sich bisher noch zu wenig“, sagt zum Beispiel der Thüringer Datenschutzbeauftragte Lutz Hasse im Schulportal-Interview.

Mehr zum Thema

Das Forum Bildung Digitalisierung hat im Mai 2021 das Impulspapier „Datenschutz und digitale Schule“ veröffentlicht. Darin werden aktuelle Herausforderungen und Lösungsansätze dargestellt, wie Schulen beim Thema Datenschutz entlastet werden können.

Zehn Forderungen haben Expertinnen und Experten hier genannt, wie Lehrkräfte im Umgang mit dem Datenschutz besser unterstützt werden könnten:

  • Eine zentrale Prüfstelle schaffen.
  • Vorlagen für Einwilligungen und andere Dokumente zur Organisation des Datenschutzes bereitstellen.
  • Datenschutz- und IT-Beauftragte an Schulen stärken.
  • Die Zusammenarbeit zwischen Schulen und Schulträgern bei Fragen zum Datenschutz stärken.
  • Einen engeren Austausch zwischen Schulen, Schulträgern, Schulverwaltung und Datenschutzbehörde erreichen.
  • Mehr Aus- und Weiterbildungsangebote zum Datenschutz schaffen.
  • Rechtssichere Endgeräte für Schülerinnen und Schüler sowie Lehrerinnen und Lehrer bereitstellen.
  • Eine Beratungsstelle zum Datenschutz schaffen.
  • Anreize für datensparsame Anwendungen für Anbieter schaffen.
  • Gesetzliche Grundlagen für die Datenverarbeitung schaffen, statt Einwilligungen in der Schule einzuholen.

Hinweise und Informationen rund um den Datenschutz in der Schule gibt es auch auf den Seiten der Datenschutzbeauftragten der Länder. Die Links zu allen Behörden sind auf der Seite der Datenschutzkonferenz aufgelistet.