Datenschutz in Schulen

PhilippH · 14. Oktober 2021 um 08:24

Ich spiele mal advocatus diaboli, obwohl ich je eigentlich die “DS-Seite” vertrete.

Zwei Aspekte dazu:

Zumindest in BW dürfte keine Pflichtverletztung vorliegen. Der LfDI hat angekündigt, dass er Beschwerden mit Nachdruck nachgehen wird (siehe Pressemitteilung). Wenn keine Beschwerden kommen, weiß der LfDI auch nichts von einem eventuellen Einsatz von MS 365 an Schulen. Darin ist sicher keine Pflichtverletzung zu erkennen.
Ich versuche eine Doppelperspektive einzunehmen: es gibt das Grundrecht auf informationelle Selbstbestimmung aber es gibt genauso das Grundrecht auf Bildung. Wir wissen nicht genau, was passiert, wenn wir die Schüler den Datenkraken ausliefern - ziemlich sicher nichts Gutes. Wir wissen aber sicher, dass der Mangel an Bildung sehr negative Auswirkungen auf deren Leben haben wird.

Nun könnte man sagen: Bildung - auch digitale Bildung - geht auch datenschutzfreundlich. Das ist korrekt.

Allerdings muss ich eine Lanze für die Schulleitungen brechen: seit langer Zeit nehmen die Aufgaben, für die diese Leute weder ausgebildet wurden noch sie adäquate Stundenanteile dafür bekommen stetig zu.
Vor 30 Jahren hat eine SL eine Schule vorwiegend pädagogisch geleitet. Heute ist sie Diplom Verwaltungswirt, Brandschutzsachverständige, Fachkraft für Arbeitssicherheit, IT-Fachkraft, Datenschutzexperte, Urheberrechts-Spezialist, Volljurist, Psychologe, Arbeitsrechtler, Krisenmanager, medizinische Fachkraft (Maskenatteste, Masernimpfnachweise…), Organisationstalent, Blitzableiter für Lehrer und vor allem für Eltern und und und - ach so und nebenbei noch pädagogische Leitung und Lehrer mit Unterrichtsverpflichtung.
Massiv verschärft hat sich das durch Corona (alleine die zeitweise fast wöchentliche Änderung der CoronaVO und CoronaVO Schule in BW hat Aufwand mit sich gebracht, der bis dato nicht gekannt war - ganz toll: Änderungen wurden meistens an Freitagen besprochen, Nachmittags publiziert und waren bis Montag umzusetzen - ich glaube seit April 2020 hatten die meisten SL ca. 0-2 freie Wochenenden, von “Ferien” reden wir gar nicht).

Zusammenfassend: dass in den Schulen daher oft der “einfachste Weg” gesucht wurde - schnell irgendwas her, was funktioniert, einfach zu bedienen ist, keine Schulungen erfordert, möglichst kostenlos ist und keinen Verwaltungsaufwand mit sich bringt (gefühlt) - einfach nur um einen Basis-Schulbetrieb aufrecht zu erhalten ist verständlich. Dafür habe ich sogar als Datenschützer Verständnis.

In BW kam die spezielle Situation der geplanten Bildungsplattform mit MS 365 hinzu - durch die Stellungnahme des LfDI musste das ausgerechnet dann gestoppt werden, als ein breites, funktinierendes Angebot vom Land am dringsten benötigt wurde (ich will das nicht werten - das ist einfach für alle Beteiligten schief gelaufen).

Die Probleme kommen jetzt - denn mit der Normalisierung der Lage muss klar gemacht werden, dass so manch liebgewonnenes supereinfacher und bequemes Tool halt doch nicht das Richtige ist - und die blöden Datenschützer sind Schuld daran…

Aber können die Schulen etwas dafür? Mal ehrlich: man schaue sich doch mal das Angebot von kommerziellen Anbietern im Bildungsbereich an - wie viel Prozent der beliebten Apps, die das Schulleben erleichtern sind trackingfrei - und wenns nur Crashlytics ist - meistens aber viel, viel mehr? Wo werden keine Daten zu eigenen Zwecken verarbeitet? Wo findet kein Drittlandtransfer statt? Welches Tool würde überhaupt eine Zertifizierung bekommen? Wo wäre meine DSFA unter Beachtung der Rechte Minderjähriger nicht im tief-roten Bereich?
Und was ist bei den Großen? Appel School Manager, Google Classroom, MS 365 etc.?

Eigentlich müsste man schätzungweise 90%+ der im Schulalltag mittlerweile selbstverständlich verwendeten Software verbieten… und dann?

Das hat also zwei Seiten und ich versuche das irgendwie so zu handhaben, dass die Schulen arbeiten können und dennoch auch in den Datenschutzspiegel schauen können - mindestens mit einem Auge…

Domasla · 14. Oktober 2021 um 12:18

Muss ja nicht gleich das rächende Flammenschwert sein. (“Gleich” wäre Mai 2018 gewesen. Oder April 2020 . Oder November. Seit März, spätestens Juli, September oder wann bei euch schon wieder ein neues Schuljahr angefangen hat sind wir deutlich nach “gleich”.)

Wenn etwas offensichtlich nicht rechtskonform ist, lässt es sich nicht wegen guter Erfahrungen oder Umstellungsschwierigkeiten zulässig machen. Die Plattformfrage lässt sich mit der noch vor… 40 Jahren gängigen Praxis vergleichen, wo den Banken und Krankenkassen Daten der Schulabgänger mitgeteilt wurden, weil im Gegenzug jemand von der AOK kam und einen Vortrag hielt, oder jemand von der Sparkasse Geld zeigte. Würde heute auch keine Schule mehr auf die Idee kommen…

Die Schulen bzw. Schulträger oder Ministerien hätten mehrmals Zeit gehabt, Lösungen zu suchen. (Geeignete Lösungen! Nicht die Schulen günstig mit Microsoft zusammenbringen, ohne die Verantwortung zu übernehmen.) Hätte gereicht, über Tellerränder zu blicken. Überall gibt es was bzw. gab es schon vorher (BBB, mebis, HPI-Cloud, Nextcloud, Moodle, Threema…).

Für Unterrichtsthemen gibt es Materialsammlungen. Warum nicht auch Listen geprüfter Software? Die müsste natürlich die “Datenschutz-Schleife” machen, damit es nicht heißt, eine Lehrerplattform hätte sie empfohlen /das KuMi hätte sie vorgegeben. Das kann dann bleiben, bis der Anbieter es mit Quatsch verbessert oder bis neue Anforderungen nicht mehr abgedeckt werden.

D., der sich nicht abstrampeln mag, was Zulässiges auf den Tisch zu bringen bzw. Argumente gegen unzulässigen Mainstream zu finden, während es anderen so egal sein kann.

DSB_kommunal · 14. Oktober 2021 um 13:40

Da liegt auch ein weiteres Problem. Wer soll die Software prüfen? Eine Schulleitung hat sicherlicht nicht das nötige Know How, um das abzudecken. Zeit sowieso schon gleich gar nicht. Das hat @PhilippH in seiner Antwort ja wirklich schon zur genüge ausgeführt.
Es müssten Siegel, Zertifizierungen oder auch Gewährleistungsmarken für DSGVO-konfrome Software erstellt werden. Da könnten Ministerien natürlich vorangehen oder es greift jemand anderes diese Idee auf und vermarktet sie
Bis dahin müssen wir wohl abwägen, was erstmal noch eingesetzt werden darf und was jetzt definitiv durch datenfreundlichere Alternativen ersetzt werden muss.

Eine Sache zur DSFA: In unserer Umgebung haben die Schulen neben MS auch noch jeweils unterschiedliche Software im Einsatz. Daher wird eine DSFA über das Kultusministerium oder die Landratsämter wohl eher nur in kleinem Rahmen möglich sein. Für die gängigen Dienste wäre das natürlich sinnvoll, da hat dann jeder auch die selben Vorgaben. Aber für einzelne Software wird das eher nicht umzusetzen sein. Da muss dann doch wieder die Schulleitung ran

dsb_wollst · 12. Juni 2023 um 13:25

Hallo Freunde,

es gibt doch genaue Vorgehensweisen wann eine DSFA durchzuführen ist, wie und bei welchen Verarbeitungstätigkeiten. Ich halte mich da gerne an die DSK.
Hier mal auf die Schnelle ein Link der DSK für welche VT´s eine DSFA durchzuführen ist:
DSFA-Muss-Liste als PDF

Auf dieser Seite kann man das Kurzpapier zur DSFA downloaden. Wenn man dieses Papier als Grundlage nimmt, kann man ein standardisiertes Verfahren abbilden, das auf alle VT´s anzuwenden ist.
Kurzpapiere DSK

DtnSchtz · 29. August 2023 um 07:26

als externer DSB einer Schule, habe ich diese Prüfung mit begleitet bei der es auch um den Einsatz von Microsoft geht.

Hier das Ergebnis der Prüfung (jedoch vor dem Data-Privacy-Framework)

https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/licht-und-digitaler-schatten-222362.html
→ PDF → Vollständiger Bericht

Frage 14
“Nutzen Sie im Rahmen von Lernplattformen, Videokonferenzen, Messenger oder
anderen Anwendungen Microsoft-365-Produkte?
Wenn ja, bitte ich um folgende Auskünfte:
a. Haben Sie für den Einsatz der Microsoft-365-Produkte einen
Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO geschlossen? Wenn ja,
reichen Sie diesen bitte ein.
b. Ich bitte um schriftliche Erläuterung, wie Sie den datenschutzkonformen Einsatz
dieser Produkte im Hinblick auf die Übermittlung personenbezogener Daten in
die USA unter Berücksichtigung des Kapitels V DS-GVO sowie der
Anforderungen aus dem Schrems II-Urteil des EuGH4 sicherstellen. In dem
Zuge bitte ich insbesondere um Mitteilung, welche personenbezogenen Daten
in die USA ausgeleitet werden (z. B. Telemetriedaten, Daten von Nutzerkonten,
Word- oder Excel-Dokumente). Weiter bitte ich um Angabe des Serverstandorts
für die in der Cloud (OneDrive oder andere) gespeicherten Dokumente”

“Zur Nutzung von MS 365-Produkten:
15 Schulen, überwiegend aus dem Bereich der Berufsbildenden Schulen, nutzen Produkte
aus der MS-365-Palette, wobei 5 Schulen wohl eine Variante anbieten, die ohne eine
Verarbeitung personenbezogener Daten auskommt. Ein Teil der Schulen, die MS 365 unter
Verarbeitung von SchülerInnendaten verwenden, verlassen sich auf die Darstellung von
Microsoft, das dies datenschutzkonform sei. Zum Teil werden diese Produkte aber auch von
den Schulträgern vorgegeben, so dass sich die Schulen insoweit gebunden fühlen. Einige
Schulen aus dem Bereich der Berufsbildenden Schulen haben erklärt, die MS 365-Produkte
im Rahmen des sog. Innovationsprojektes des MK zu den dortigen Rahmenbedingungen bis
Ende 2022 zu nutzen.
Insgesamt ist festzustellen, dass die Schulen den datenschutzkonformen Einsatz von MS 365-
Produkten gegenwärtig nicht darstellen können. Dieser Komplex soll im Rahmen der
Schulprüfung gegenwärtig nicht weiter vertieft werden. Die Thematik wird zu einem späteren
Zeitpunkt erneut überprüft werden.”