Datenschutz : Verantwortung für den Datenschutz nicht auf Lehrkräfte abwälzen!

In unserem Berufsalltag verarbeiten wir tagein, tagaus Daten unserer Schülerinnen und Schüler: Wir erheben Noten, erfassen Krankenstände und kommunizieren mit Eltern oder Kolleginnen und Kollegen über die Belange der uns anvertrauten Lernenden – analog und digital.

Die pandemiebedingten Schulschließungen und das „Hybride Lernen“ rücken ein nicht erst seit Corona existierendes Spannungsfeld in den Fokus: Auf der einen Seite genießen die Daten unserer zum größten Teil minderjährigen Lernenden zu Recht besonderen Schutz. Auf der anderen Seite stehen Schulen in der Pflicht, ihrem Bildungsauftrag, wenn nötig, mithilfe digitaler Tools nachzukommen, welche zwangsläufig Daten der Lernenden verarbeiten.

Es ist an der Zeit, die Verantwortung dafür nicht nur bei den Schulen zu sehen, sondern sich einmal kritisch mit der Rolle von Bildungsverwaltungen und Datenschutzbehörden auseinanderzusetzen. Sie und uns eint das Ziel, die Daten unserer Schülerinnen und Schüler bestmöglich zu schützen. Doch dafür benötigen wir mehr Unterstützung!

Berliner Beauftragte für den Datenschutz hat Rote Liste herausgegeben

Zwei Beispiele aus Berlin illustrieren die Komplexität des Themas Datenschutz im Schulkontext. Im Juli 2020 – da waren die Berliner Schülerinnen und Schüler schon in den Sommerferien – veröffentlichte die Behörde der Berliner Datenschutzbeauftragten Maja Smoltczyk Hinweise zu Anbietern von Videokonferenzdiensten.

Rot markiert wurden Anbieter, bei denen Mängel vorliegen, die eine rechtskonforme Nutzung des Dienstes ausschließen, darunter auch „Cisco Webex Meetings“, „Microsoft Teams“ als Teil von „Office 365 Education“ und „Google Meet“ als Teil der „G Suite for Education“. Dies überrascht – schließlich ist Cisco Webex sogar in den „Lernraum“, die von der Bildungsverwaltung zur Verfügung gestellte Lernplattform, eingebunden.

Grundverordnung zum Datenschutz legt Bedingungen für die Datenspeicherung fest

Die US-amerikanischen Anbieter Microsoft und Google bieten für Bildungseinrichtungen extra angepasste Verträge, um die Angemessenheits- und Sicherheitsanforderungen der EU-Datenschutz-Grundverordnung (DSGVO) zu erfüllen. Schließlich legt die DSGVO für den Fall der Speicherung personenbezogener Daten in Nicht-EU-Ländern zu Recht bestimmte Bedingungen fest.

Wer nachvollziehen möchte, weshalb ihre Dienste in Smoltczyks Datenschutz-Test trotzdem durchfallen, muss sich durch die rechtlichen Details der angebotenen Verträge zur sogenannten Auftragsverarbeitung kämpfen. Die Datenschützerinnen und Datenschützer finden Mängel nämlich häufig im Kleingedruckten. Wie vertrackt die datenschutzrechtliche Prüfung ist, zeigt schon allein die Tatsache, dass sich Smoltczyks Behörde seit der Veröffentlichung in einem Rechtsstreit mit Microsoft befindet, das seinen Videokonferenzdienst „Teams“ zu Unrecht als rot markiert ansieht.

Hat die Datenschutzbehörde nichts Besseres zu tun, als sich in rechtliche Details einer von der öffentlichen Hand verwalteten, mit Servern in Berlin ausgestatteten Lernplattform zu verbeißen?

Ein zweites Beispiel betrifft die schon angesprochene Berliner Lernplattform „Lernraum“ Tausende Lehrkräfte sollen ihre Schülerinnen und Schüler darüber mit Aufgaben versorgen. Jedoch wird ebendiese Plattform von der Berliner Datenschutzbeauftragten kritisiert. Konkret bemängelt Smoltczyk, dass die Einwilligungserklärung keinen Hinweis enthält, auf welchem Weg Schülerinnen und Schüler Materialien erhalten, wenn sie oder ihre Eltern nicht in die Nutzung des „Lernraums” einwilligen.

Das klingt für Sie wie eine Lappalie? Für uns auch! Hat die Datenschutzbehörde nichts Besseres zu tun, als sich in rechtliche Details einer von der öffentlichen Hand verwalteten, mit Servern in Berlin ausgestatteten Lernplattform zu verbeißen? Und warum kann dieser Streit nicht behördenintern geklärt werden? Das eigentlich Gravierende ist nämlich, dass Smoltczyk diesbezüglich eine fehlende Kooperationsbereitschaft der Bildungsverwaltung beklagt.

Fortbildungen zum Datenschutz? Fehlanzeige!

Die Berliner Situation steht exemplarisch für eine deutschlandweit wachsende Unsicherheit unter Lehrerinnen und Lehrern, die von Datenschutzbehörden und Bildungsverwaltungen geschürt wird. Ab März waren wir wochenlang in der völlig neuen Situation, unsere Schülerinnen und Schüler aus der Ferne zu beschulen, ohne dass von der Bildungsverwaltung sofort alle nötigen Dienste zur Verfügung standen.

Komplexe datenschutzrechtliche Prüfungen möglicher Anbieter? Mussten wir selbst vornehmen! Vorlagen für die zu erstellenden Einwilligungserklärungen und Auftragsverarbeitungsverträge auf den Websites der Datenschutzbehörden zum Download? Oftmals nicht existent – oder gut versteckt! Fortbildungen zum Datenschutz seitens der Bildungsverwaltung? Fehlanzeige!

Lehrkräfte müssen Entscheidungen treffen, für die ihnen die nötige Expertise fehlt

Stellen Sie sich folgende im deutschen Schulalltag nicht unrealistische Situation vor: Ihre Schulleitung hat keinen Auftragsverarbeitungsvertrag mit einem bestimmten Videokonferenz-Anbieter abgeschlossen, den alle Lehrpersonen der Schule nutzen könnten. Warum auch? Schließlich gab es bis dahin noch keinen Bedarf. Sie sprechen sich mit Ihren Kolleginnen und Kollegen ab, doch letztlich ist jeder auf sich allein gestellt.

Ihre Videokonferenz über einen datenschutzrechtlich unbedenklichen europäischen „Open Source“-Dienst ist das dritte Mal in Folge zusammengebrochen. Der Dienst eines US-Anbieters liefert ein funktionierendes Tool zu einem aus Ihrer Sicht akzeptablen Datenschutz-Niveau, verfügt jedoch über Löschfristen, die von der DSGVO abweichen. In der nächsten „Online-Stunde“ erwarten 30 Kinder von Ihnen, dass sie wie versprochen ihre Lernergebnisse präsentieren können. Die nötigen Einwilligungserklärungen könnten Sie erstellen und noch schnell per Mail an die Eltern senden. Wie entscheiden Sie?

Wenn schon auf Verwaltungsebene keine Einigkeit herrscht – wie sollen dann Tausende Lehrpersonen immer die richtigen Entscheidungen treffen?

Für Lehrerinnen und Lehrer, die in Zeitnot solche Entscheidungen treffen mussten, waren die angedrohten Bußgeldbescheide von Thüringens Datenschutzbeauftragtem Lutz Hasse ein Schlag ins Gesicht. Wenn schon auf Verwaltungsebene keine Einigkeit herrscht – wie sollen dann Tausende Lehrpersonen immer die richtigen Entscheidungen treffen?

Da auch Weiterbildungen oder Nachbesserungen in der Ausbildung bei uns Lehrkräften kein Jurastudium ersetzen,  benötigen wir also Unterstützung. Bei kleineren digitalen Unterrichtsvorhaben wie der Nutzung einer gängigen Lern-App wären Muster und Vorlagen für die Erstellung der nötigen datenschutzrechtlichen Dokumente wünschenswert, die auf den Seiten der Datenschutzbehörden zum Download bereitgestellt werden sollten.

Im Extremfall wählt jede Lehrkraft einen anderen Anbieter

Bevor die Nutzung einer App möglich ist, müssen die unterschriebenen Einwilligungserklärungen aller Lernenden bzw. ihrer Eltern jedoch immer noch gesammelt werden. Um Bürokratie abzubauen, sollte man bei solch kleineren Vorhaben folgende Rechtsauslegung der DSGVO prüfen: Die Betroffenen werden per Mail über die Verwendung der Daten aufgeklärt und können in einer bestimmten Frist der Einwilligung widersprechen, die andernfalls als erteilt gilt.

Bei größeren und längerfristigen Unterrichtsvorhaben wie der Nutzung einer Lernplattform haben die einzelnen Lehrkräfte und Schulen weder die Expertise noch die Ressourcen, die infrage kommenden digitalen Dienste hinsichtlich Funktionalität und Datenschutz selbst zu prüfen und auszuwählen. Hinzu kommt: Wenn jede Schule oder im Extremfall jede Lehrperson andere Anbieter wählt, bleiben Schülerinnen und Schüler und ihre Eltern in diesem Wirrwarr verzweifelt zurück.

Viele landesweite Lernmanagementsysteme zeigen bei hoher Auslastung Mängel

Es muss daher Aufgabe der Bildungsverwaltungen sein, Rahmenverträge mit geeigneten Anbietern abzuschließen. Am besten deckt ein Anbieter alle benötigten Dienste – von Lernplattform über Videokonferenzfunktion bis hin zu E-Mail, Kalender und schulischem Messenger – in einem System ab.

Zahlreiche Bundesländer haben selbst oder in Zusammenarbeit mit Partnern solche Systeme entwickelt, beispielsweise Bayern („Mebis“), Berlin („Lernraum“) oder Niedersachsen („Bildungscloud“). Dieser Fortschritt ist zu begrüßen, jedoch offenbaren diese Systeme hinsichtlich Funktionalität und Performance bei hoher Auslastung Mängel.

Wenn die nötige Abstimmung zwischen Schule, Bildungsverwaltung und Datenschutzbehörde aus Angst vor der pauschalen Ablehnung der Datenschützer ausbleibt, ist in der Sache nichts gewonnen.

Die Bildungsverwaltungen sollten den Schulen daher die Alternative bieten, funktionierende Systeme wie die von Microsoft oder Google zu nutzen, und hierfür entsprechende DSGVO-konforme Rahmenverträge abschließen. Es ist Aufgabe der Datenschutzbehörden, den Bildungsverwaltungen hierzu lösungsorientierte Beratung anzubieten. Wenn die nötige Abstimmung zwischen Schule, Bildungsverwaltung und Datenschutzbehörde aus Angst vor der pauschalen Ablehnung der Datenschützer ausbleibt, ist in der Sache nichts gewonnen.

Datenschutzbehörde und Bildungsverwaltung müssen zusammenarbeiten

Fazit: Es darf nicht sein, dass Datenschutzprüfungen auf uns Lehrpersonen abgewälzt werden, weil den Behörden Ressourcen fehlen oder weil sie gegeneinander arbeiten. Vielmehr muss ein verzahntes Arbeiten von Datenschutzbehörde und Bildungsverwaltung stattfinden, um uns Lehrerinnen und Lehrern datenschutzkonformes Arbeiten im digitalen Raum zu ermöglichen.