Datenschutz Informationen für Schulen

Datenschutz Informationen für Schulen

Die Informationen auf dieser Seite betreffen den Datenschutz in Bezug auf Online Lernportale, Organisationsdienstleistungen und Informationsseiten für Schulen und Kinder. Ebenso auf Angebote für Online-Videokonferenzen. Hier wird an vielen Schulen derzeit alles benutzt, was das Angebot hergibt, ohne dass der Datenschutz tiefer untersucht wird. Das liegt vor allem daran, dass Schulen und Lehrkräfte auf diesem Gebiet komplett alleine gelassen sind. Mit dieser Seite möchte ich auf einfache Weise Hilfe bieten. Einerseits durch einige grundlegende Informationen. Andererseits durch eine konkrete Liste von Anbietern, die danach sortiert ist, wer den Datenschutz einhält bzw. wer dieses nicht tut. Diese Liste basiert auf meiner eigenen Prüfung und ist keine offizielle Liste einer Aufsichtsbehörde oder einer verbindlichen Prüfstelle. Daher kann ich die Listen nur als unverbindliche persönliche Meinung zur Verfügung stellen.

1. Fall der Nutzung von Online Angeboten zur Organisation der Schule

Im Grundsatz gilt hier auch das, was für jedes Arbeitsverhältnis gilt. Der Arbeitgeber, in diese Fall wäre es die Schulbehörde oder Schulleitung, darf jede Software und Online Dienste zur Durchführung der betrieblichen Aufgaben anweisen. Allerdings dürfen nur personenbezogene Daten, die im Zusammenhang mit der Durchführung des Arbeitsverhältnisses und der damit verbundenen Aufgaben stehen, gesammelt und verarbeitet werden. Die Sammlung und Verarbeitung von personenbezogenen Daten zu einem anderen Zweck ist ohne ausdrückliche Einwilligung der Betroffenen nicht gestattet. Daneben ist auch auf eine angemessene Sicherheit der gesammelten Daten in der Anwendung zu achten. Somit muss jede eingesetzte Software und jedes Online Angebot letztlich konform mit dem Datenschutz sein. Diese Tatsache muss auch schriftlich zugesichert werden. In der Regel ist es für den Arbeitgeber, also die Schulen, erforderlich, einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter abzuschließen. In einem AVV sichert der Anbieter den Datenschutz nach DSGVO zu.

Setzt der Arbeitgeber ein mit dem Datenschutz konformes Angebot ein, kann ein Arbeitnehmer die Nutzung aus Datenschutzgründen nicht verweigern. Dieses gilt aber nur für den Einsatz des Angebots auf einem dienstlichen Endgerät. Der Arbeitnehmer, also in diesem Fall die Lehrkräfte, können aus Datenschutzgründen den Einsatz der Angebote auf eigenen Endgeräten ablehnen, sofern dafür die Installation von Software notwendig ist. Ebenso können die Lehrkräfte aus Datenschutzgründen die Teilnahme oder Durchführung von Videokonferenzen in ihrem privaten Räumlichkeiten ablehnen. Das gilt auch für die Durchführung einer Videokonferenz auf dienstlichen Endgeräten, da die private Wohnung grundsätzlich geschützt ist. Eine Lehrkraft kann es aber nicht verweigern eine Videokonferenz auf einem dienstlichen Endgerät in den Schulräumen durchzuführen.

2. Fall des Einsatzes von Lernportalen für Schüler

Dieser Fall kann nicht bundeseinheitlich dargestellt werden, da Bildung Ländersache ist. In diesem Zusammenhang haben verschiedene Bundesländer verschiedene Regelungen hierzu in ihren Schul- und Datenschutzgesetzen erlassen. Hamburg hat diesen Fall zum Beispiel im §98b des HSGB geregelt. Diese Regelung ist im wesentlichen eine Umsetzung des Art. 6. Abs. 1 lit. e.) DSGVO. Daher kann man die hamburgische Gesetzgebung etwas verallgemeinern.

Gemäß §98b HSGB gilt, dass Schulen den Einsatz von Lernportalen anordnen können und dafür nicht die Einwilligung der Eltern brauchen, wenn folgende zwei Fälle vorliegen: Entweder, wenn das Online Angebot von der Schulbehörde zur Verfügung gestellt ist und aus deren Portfolio heraus resultiert. Oder, wenn eine private Anwendung genutzt wird, die mit dem Datenschutz konform arbeitet und der Einsatz notwendig ist. „Notwendig“ ist im juristischen Sinne immer eine schwierige Formulierung. Es gibt hier aber eine gute Übersetzung für Schulen: Notwendig ist der Einsatz, wenn das Angebot nicht in den behördlichen Portfolio enthalten ist, nicht bereits anderweitig an der Schule existiert und zu einem pädagogischen Mehrwert führt. Sind die vorstehenden Kriterien erfüllt, kann ein privates Online Angebot genutzt werden.

Diese Regelung aus dem Hamburger Schulgesetz kann man in soweit verallgemeinern, dass der Art. 6 Abs. 1. lit. e.) DSGVO den Schulen erlaubt, mit dem Datenschutz konforme Angebote, wenn dieses notwendig ist, zur Wahrnehmung der Durchführung ihrer öffentlichen Aufgabe einzusetzen. Die Übersetzung in das „Normaldeutsch“ wäre eben genau die vorherige: Das Angebot darf nicht schon anderweitig an der Schule existieren und muss einen pädagogischen Mehrwert haben.

Wenn man es ganz genau nimmt, dann dürfen in Hamburg gar keine beliebigen Lernportale oder Dienste für Schüler eingesetzt werden, wenn die oben genannten Bedingungen nicht erfüllt sind. Das Lehrkräfte also ohne jeden Entscheidungsfindungsprozess und ohne Abstimmung mit der Schule Angebote einsetzen, wäre damit nach dem Hamburger Schulgesetz nicht zulässig. Auch nicht mit Einwilligung der Eltern. Hingegen könnte das in anderen Bundesländern möglich sein, wenn man als Lehrkraft ein datenschutzkonformes Angebot hat und die Erziehungsberechtigten, sofern die Kinder noch unter 16 Jahren sind, einwilligen.

In diesem Zusammenhang, Datenschutz auch einmal weggelassen, muss man schlichtweg drauf hinweisen, dass die unkontrollierte Nutzung jedes möglichen Anbieters, meistens in Eigenverantwortung der Lehrkräfte und ohne jede Qualitätskontrolle, keine sinnvolle Entwicklung darstellt. Im Internet stellt jeder ein, was ihm gefällt. Es muss nicht inhaltlich richtig sein, es muss nicht pädagogisch sein und es muss auch nicht konform mit dem Datenschutz sein. Letzteres ist ein großes Problem, wie man in den unten folgenden Listen sieht.

3. Fall des Einsatzes von Webseiten zu Informationszwecken oder als Empfehlung an Schüler

Grundsätzlich können auch in Webseiten Tools und Skripte enthalten sein, die nicht mit dem Datenschutz konform sind und personenbezogene Daten sammeln und verarbeiten. Derartige Webseiten sollten weder im Unterricht eingesetzt noch den Schülern empfohlen werden. Dieses beginnt bereits mit der Wahl des Browsers und der Suchmaschinen.

Eine  mögliche Variante wäre der Einsatz eines FireFox Browsers und der Suchmaschine qwant.com bzw. qwantjunior.com. Mann kann dann noch in den Datenschutz-Einstellungen des Browsers die höchsten Sicherheitseinstellungen wählen, womit man das Maximum des Möglichen ausgereizt hat. Ob man in den Suchergebnissen dann Webseiten hat und aufruft, die Tracking benutzen, ist mehr oder minder Glückssache. Findet man ein Formular für eine Einwilligung zu Cookies oder dem Datenschutz vor, sollte man immer „Nur technisch notwendige Cookies“ oder „Alles Ablehnen“ auswählen. Absolute Sicherheit bietet das aber nicht. In vielen Fällen funktionieren diese Einwilligungen nicht richtig oder es werden Daten gesammelt, ohne dass überhaupt eine Einwilligung eingeholt wird. Die Umsetzung des Datenschutzes auf Webseiten nimmt zwar stetig zu. Auf vielen Webseiten wird der Datenschutz dennoch weiterhin nicht umgesetzt. Das gilt leider auch für viele namhafte Verlags- und Medienhäuser.

4. Einsatz von Apps und Software für Schülerinnen und Schüler

Hier wird es wirklich schwierig. Apps und Software, die die Schüler auf ihren eigenen Endgeräten installieren, können in der Regel auf sehr viele Informationen zugreifen. Zum Beispiel auf Kontaktdaten, auf die Kamera, auf das Mikrofon, auf Bilder/Videos und ggf. auf noch mehr persönliche Daten. Ob damit nicht etwas anderes gemacht wird als das, was der Zweck des Angebotes ist, lässt sich kaum überprüfen. Hier ist man sehr weitgehend auf die Seriosität des Anbieters angewiesen. Man sollte daher nur Anbieter wählen, die ihre Daten auf Servern in der EU speichern und verarbeiten sowie einen Auftragsverarbeitungsvertrag zur Verfügung stellen, der den Datenschutz nach DSGVO ausdrücklich zusichert.

Die Installation von Apps und Software auf privaten Endgeräten von Schülerinnen und Schülern stellt grundsätzlich einen Eingriff in die Privatsphäre dar und darf von den Erziehungsberechtigten, mit Verweis auf den Datenschutz, verweigert werden. Unter dem Strich sind Angebote, die Ihre Dienste über Webbrowser zur Verfügung stellen daher zu bevorzugen.

5. Einsatz von Videokonferenz-Angeboten

Hier gilt für Die Kommunikation von Lehrkräften untereinander sowie mit den Schülerinnen und Schülern ein einheitlicher Grundsatz: Das gewählte Angebot für diesen Service muss konform mit dem Datenschutz sein. Das heißt, dass die dabei verarbeiteten Daten zu keinem anderen Zweck genutzt werden, als zur technischen Durchführung der Videokonferenz. Die Server zur Abwicklung sollten in der EU stehen, es sollte eine end-to-end Verschlüsselung bestehen und der Eintritt in die Konferenzen durch dritte Personen unmöglich sein. Personenbezogene Daten, auch Meta-Daten, dürfen nicht gesammelt werden.

Das ist leider bei den meisten Anbietern nicht der Fall. Und die Thematik ist durch ein Urteil des EUGH noch zusätzlich erschwert, welches Anbieter in den USA besondere Erfordernisse auferlegt. Durch letzteres ist auch der legitime Einsatz von „zoom“, auch wenn diese sich auch Standard-Datenklauseln berufen, derzeit sehr fraglich. Modelle von Anbietern, die einen Auftragsverarbeitungsvertrag zur Verfügung stellen und ihre Dienste über Server in der EU abwickeln, sind unbedingt zu bevorzugen. Zu letzteren Angeboten gehört zum Beispiel MS Teams, die ihre Server in der EU stehen haben. Allerdings ist Mikrosoft derzeit mit dem Angebot Office 365, zu dem das Teams gehört, auch wieder unter Beschuss der Datenschutzbehörden. Wie man sieht, ist eine Auswahl gar nicht einfach und, einmal etwas ausgewählt, kann dass zeitnah schon nicht mehr rechtens sein.

Schülerinnen und Schüler nutzen Videokonferenzen in der Regel aus ihren privaten Wohnungen heraus. Dieses stellt grundsätzlich einen Eingriff in die Privatsphäre dar und ist durch den Datenschutz geschützt. Erziehungsberechtigte dürfen diese Teilnahmen aus privaten Wohnungen heraus, mit Verweis auf den Datenschutz, verbieten. Ebenso auch die Installation solcher Software auf den privaten Endgeräten der Schüler. Es wäre aus Sicht des Datenschutzes aber legitim, einen Schüler mit einem Gerät der Schule in der Schule in einen separaten Raum zu setzen und so an der Videokonferenz teilnehmen zu lassen.

6. Die fehlende Komponente

Meiner persönlichen Auffassung nach sind weder Lehrkräfte noch Schulleitungen IT- und Rechtsspezialisten für den Datenschutz, was auch gar nicht ihre Aufgabe ist. Es ist für die Umsetzung eines guten Datenschutzes auch nicht erforderlich. Was uns an den Schulen fehlt, ist die Übernahme von einer klaren Führungsrolle der Schulbehörden auf diesem Gebiet.

Es mangelt an einem funktionierenden Angebotspaket an Online-Diensten der Schulbehörden, das für die Praxis wirklich tauglich ist und die entsprechende Belastbarkeit aufweist. Darüber hinaus braucht es eine zentrale Stelle, die sich nur mit diesem Sachgebiet befasst. Es braucht klare Ansagen von oben, welche Angebote genutzt werden dürfen und welche nicht, und eine Liste mit zulässigen Angebotsdiensten. Man muss nicht alles neu erfinden, denn es gibt gute und funktionierende Lösungen auf dem Markt. Aber das muss irgendwo kompetent geprüft werden, was nicht noch an den Schulen nebenbei erfolgen kann.

Und die Schulen brauchen auch Anweisungen dazu, wie und womit die Endgeräte für Lehrer und Schüler unter Datenschutzaspekten eingerichtet werden dürfen. Offene Fragen, wie „Kann ich die MS Cloud oder Apple Cloud als Speicherort nutzen?“, kann nicht jede Schule individuell, nach eigenem Ermessen, beantworten. Hier brauchen wir kompetente Führung aus den Behörden heraus.

Wenn Sie eine Webseite mit Angeboten für Kinder oder Schulen in den obigen Listen nicht gefunden haben, freue ich mich, wenn Sie mir die URL übermitteln. Ich werde die Seite zeitnah prüfen und in die Liste aufnehmen. Nutzen Sie dafür bitte das Formular.

Kommentar: (freiwillig)