Datenschutz in Schulen

Ich spiele mal advocatus diaboli, obwohl ich je eigentlich die “DS-Seite” vertrete.

Zwei Aspekte dazu:

  1. Zumindest in BW dürfte keine Pflichtverletztung vorliegen. Der LfDI hat angekündigt, dass er Beschwerden mit Nachdruck nachgehen wird (siehe Pressemitteilung). Wenn keine Beschwerden kommen, weiß der LfDI auch nichts von einem eventuellen Einsatz von MS 365 an Schulen. Darin ist sicher keine Pflichtverletzung zu erkennen.

  2. Ich versuche eine Doppelperspektive einzunehmen: es gibt das Grundrecht auf informationelle Selbstbestimmung aber es gibt genauso das Grundrecht auf Bildung. Wir wissen nicht genau, was passiert, wenn wir die Schüler den Datenkraken ausliefern - ziemlich sicher nichts Gutes. Wir wissen aber sicher, dass der Mangel an Bildung sehr negative Auswirkungen auf deren Leben haben wird.

Nun könnte man sagen: Bildung - auch digitale Bildung - geht auch datenschutzfreundlich. Das ist korrekt.

Allerdings muss ich eine Lanze für die Schulleitungen brechen: seit langer Zeit nehmen die Aufgaben, für die diese Leute weder ausgebildet wurden noch sie adäquate Stundenanteile dafür bekommen stetig zu.
Vor 30 Jahren hat eine SL eine Schule vorwiegend pädagogisch geleitet. Heute ist sie Diplom Verwaltungswirt, Brandschutzsachverständige, Fachkraft für Arbeitssicherheit, IT-Fachkraft, Datenschutzexperte, Urheberrechts-Spezialist, Volljurist, Psychologe, Arbeitsrechtler, Krisenmanager, medizinische Fachkraft (Maskenatteste, Masernimpfnachweise…), Organisationstalent, Blitzableiter für Lehrer und vor allem für Eltern und und und - ach so und nebenbei noch pädagogische Leitung und Lehrer mit Unterrichtsverpflichtung.
Massiv verschärft hat sich das durch Corona (alleine die zeitweise fast wöchentliche Änderung der CoronaVO und CoronaVO Schule in BW hat Aufwand mit sich gebracht, der bis dato nicht gekannt war - ganz toll: Änderungen wurden meistens an Freitagen besprochen, Nachmittags publiziert und waren bis Montag umzusetzen - ich glaube seit April 2020 hatten die meisten SL ca. 0-2 freie Wochenenden, von “Ferien” reden wir gar nicht).

Zusammenfassend: dass in den Schulen daher oft der “einfachste Weg” gesucht wurde - schnell irgendwas her, was funktioniert, einfach zu bedienen ist, keine Schulungen erfordert, möglichst kostenlos ist und keinen Verwaltungsaufwand mit sich bringt (gefühlt) - einfach nur um einen Basis-Schulbetrieb aufrecht zu erhalten ist verständlich. Dafür habe ich sogar als Datenschützer Verständnis.

In BW kam die spezielle Situation der geplanten Bildungsplattform mit MS 365 hinzu - durch die Stellungnahme des LfDI musste das ausgerechnet dann gestoppt werden, als ein breites, funktinierendes Angebot vom Land am dringsten benötigt wurde (ich will das nicht werten - das ist einfach für alle Beteiligten schief gelaufen).

Die Probleme kommen jetzt - denn mit der Normalisierung der Lage muss klar gemacht werden, dass so manch liebgewonnenes supereinfacher und bequemes Tool halt doch nicht das Richtige ist - und die blöden Datenschützer sind Schuld daran…

Aber können die Schulen etwas dafür? Mal ehrlich: man schaue sich doch mal das Angebot von kommerziellen Anbietern im Bildungsbereich an - wie viel Prozent der beliebten Apps, die das Schulleben erleichtern sind trackingfrei - und wenns nur Crashlytics ist - meistens aber viel, viel mehr? Wo werden keine Daten zu eigenen Zwecken verarbeitet? Wo findet kein Drittlandtransfer statt? Welches Tool würde überhaupt eine Zertifizierung bekommen? Wo wäre meine DSFA unter Beachtung der Rechte Minderjähriger nicht im tief-roten Bereich?
Und was ist bei den Großen? Appel School Manager, Google Classroom, MS 365 etc.?

Eigentlich müsste man schätzungweise 90%+ der im Schulalltag mittlerweile selbstverständlich verwendeten Software verbieten… und dann?

Das hat also zwei Seiten und ich versuche das irgendwie so zu handhaben, dass die Schulen arbeiten können und dennoch auch in den Datenschutzspiegel schauen können - mindestens mit einem Auge…

3 „Gefällt mir“

Muss ja nicht gleich das rächende Flammenschwert sein. (“Gleich” wäre Mai 2018 gewesen. Oder April 2020 . Oder November. Seit März, spätestens Juli, September oder wann bei euch schon wieder ein neues Schuljahr angefangen hat sind wir deutlich nach “gleich”.)

Wenn etwas offensichtlich nicht rechtskonform ist, lässt es sich nicht wegen guter Erfahrungen oder Umstellungsschwierigkeiten zulässig machen. Die Plattformfrage lässt sich mit der noch vor… 40 Jahren gängigen Praxis vergleichen, wo den Banken und Krankenkassen Daten der Schulabgänger mitgeteilt wurden, weil im Gegenzug jemand von der AOK kam und einen Vortrag hielt, oder jemand von der Sparkasse Geld zeigte. Würde heute auch keine Schule mehr auf die Idee kommen…

Die Schulen bzw. Schulträger oder Ministerien hätten mehrmals Zeit gehabt, Lösungen zu suchen. (Geeignete Lösungen! Nicht die Schulen günstig mit Microsoft zusammenbringen, ohne die Verantwortung zu übernehmen.) Hätte gereicht, über Tellerränder zu blicken. Überall gibt es was bzw. gab es schon vorher (BBB, mebis, HPI-Cloud, Nextcloud, Moodle, Threema…).

Für Unterrichtsthemen gibt es Materialsammlungen. Warum nicht auch Listen geprüfter Software? Die müsste natürlich die “Datenschutz-Schleife” machen, damit es nicht heißt, eine Lehrerplattform hätte sie empfohlen /das KuMi hätte sie vorgegeben. Das kann dann bleiben, bis der Anbieter es mit Quatsch verbessert oder bis neue Anforderungen nicht mehr abgedeckt werden.

D., der sich nicht abstrampeln mag, was Zulässiges auf den Tisch zu bringen bzw. Argumente gegen unzulässigen Mainstream zu finden, während es anderen so egal sein kann.

Da liegt auch ein weiteres Problem. Wer soll die Software prüfen? Eine Schulleitung hat sicherlicht nicht das nötige Know How, um das abzudecken. Zeit sowieso schon gleich gar nicht. Das hat @PhilippH in seiner Antwort ja wirklich schon zur genüge ausgeführt.
Es müssten Siegel, Zertifizierungen oder auch Gewährleistungsmarken für DSGVO-konfrome Software erstellt werden. Da könnten Ministerien natürlich vorangehen oder es greift jemand anderes diese Idee auf und vermarktet sie :wink:
Bis dahin müssen wir wohl abwägen, was erstmal noch eingesetzt werden darf und was jetzt definitiv durch datenfreundlichere Alternativen ersetzt werden muss.

Eine Sache zur DSFA: In unserer Umgebung haben die Schulen neben MS auch noch jeweils unterschiedliche Software im Einsatz. Daher wird eine DSFA über das Kultusministerium oder die Landratsämter wohl eher nur in kleinem Rahmen möglich sein. Für die gängigen Dienste wäre das natürlich sinnvoll, da hat dann jeder auch die selben Vorgaben. Aber für einzelne Software wird das eher nicht umzusetzen sein. Da muss dann doch wieder die Schulleitung ran :worried: