Aus Sicht der Stiftung Datenschutz 02/21: Ein Hoch auf die Zwischenlösung

Informatiker Henning Tillmann wird nicht müde, auf das Verbesserungspotenzial der deutschen App hinzuweisen. Dazu können z. B. QR-Codes an Orten mit vielen Menschen gehören, so dass Risiken nicht abstrakt, sondern mit Bezug zur Umgebung ermittelt würden und Risikobewusste gegebenenfalls darauf reagieren könnten. Doch werden diese Vorschläge leider nicht aufgegriffen. Stattdessen wird öffentlich lieber über grundrechtlich fragwürdige Forderungen und Überwachungsmodelle diskutiert. Die künstliche Dichotomie lautet „Datenschutz oder Infektionsschutz“.

Lesen Sie hier den Beitrag mit allen Fußnoten im pdf.

Datenschutz vs. Bildung?

Ein ähnliches Muster lässt sich für schulisches und universitäres Lernen beobachten. Dort lehnt der eine Rand des Meinungsspektrums den Einsatz sämtlicher Videokonferenz-Software aus Nicht-EU-Ländern konsequent ab, mit Verweis auf unklare oder offensichtlich fehlende Datenschutzkonformität. Genutzt werden sollten stattdessen heimische Angebote. Falls keine Angebote verfügbar seien, dann müsse der pandemiebedingte Digitalunterricht eben auf Papier oder am Telefon stattfinden. Der andere Rand des Meinungsspektrums nimmt diese unerbittliche Haltung zum Anlass, die Datenschützer zu diskreditieren und ihnen Ignoranz gegenüber den Bedürfnissen der Praxis vorzuwerfen. Auch hier bleiben leider die Zwischentöne auf der Strecke.

„Alles rechtswidrig!“

Ich verstehe, dass beide Seiten ungehalten sind. So ist auf der einen Seite die klare Haltung der Datenschutzaufsicht seit langem bekannt – insbesondere nach dem Urteil des EuGH zum „EU-US Privacy Shield“. Jede Schulbehörde jedes Bundeslandes hätte auf Anfrage bei „ihrer“ Datenschutzbehörde ziemlich eindeutige Aussagen zu unmodifiziertem Einsatz von Zoom oder Microsoft Teams in Schulen erhalten. Daraufhin hätten alle Anstrengungen und viele Mittel der Schulverwaltungen in den Aufbau und Ausbau datenschutzkonformer Lösungen für den Digitalunterricht fließen müssen. Entschuldigende Argumente fallen mir kaum ein. Weder „Schulschließungen gibt’s bestimmt nie wieder“ noch „Digital- unterricht hat doch eh keine Zukunft“ mögen so recht verfangen. Es war schlicht ein massives Versäumnis, den Sommer 2020 nicht zu nutzen, um in digitale Infrastruktur für und in Schulen zu investieren. Testläufe mit den landeseigenen Lösungen wären nötig gewesen: Wie reagiert das System, wenn sich tausende Schülerinnen und Schüler gleichzeitig einloggen? Welche umsetzbaren Rezepte gibt es bei unzureichender Bandbreite? Mittelaufwendungen hierfür wären selbst für den erfreulichen Fall, dass Präsenzunterricht möglich geblieben wäre, verschmerzbare Kosten gewesen. Passiert ist jedenfalls (zu) wenig. Angesichts solcher Trägheit der Bildungsverwaltung waren die Datenschutzbeauftragten auch nicht bereit zu akzeptieren, dass mangels stabiler Alternativen US-amerikanische Anbieter genutzt werden können.

„Lieber Zoom als nichts!“

Doch auch die andere Seite lässt sich hören: Sollen nun etwa Lehrerschaft und Schülerschaft gemeinsam ausbaden, dass die Verwaltung es versäumt hat, stabil laufende, DSGVO-konforme Instrumente für den Distanzunterricht auf- und auszubauen? So sehr es die Aufsichtsbehörden also ärgert: Hier müssen sie zumindest zeitweilig über ihren Schatten springen. Der Landesbeauftragte von Rheinland- Pfalz hat es vorgemacht und im Januar erklärt, dass es „angesichts der derzeitigen Ausnahmesituation und bestehender technischer Probleme“ vertretbar sei, wenn Schulen im laufenden Schuljahr außereuro- päische Videokonferenzsoftware verwenden, um dem Bildungsauftrag nachzukommen. Um die Schulen beim Datenschutz nicht alleinzulassen, scheint solch pragmatische Herangehensweise sehr geeignet. Auch ist es kein Blanko-Scheck, der hier ausgestellt wird, denn die temporäre Duldung von mit datenschutzrechlichen Zweifeln belasteten Lösungen erfolgt nicht ohne ein paar Leitplanken. So sollten die Produkte der US-amerikanischen Anbieter auf schuleigenen Systemen betrieben oder zumindest die Konferenzdaten auf heimischen Systemen verarbeitet werden. Außerdem fordert die Mainzer Aufsicht eine datensparsame Konfiguration und die Bereitstellung pseudonymisierter Zugangsdaten durch die Schule. Schließlich müsste die Verwendung von Nutzungsdaten für Werbezwecke vertraglich ausgeschlossen werden. Wie sich diese behördlichen Maßgaben von den Schulen im Alltag umsetzen lassen, wird sich zeigen. Doch ein Ausweg ist hiermit eröffnet, falls die eigentliche Lösung einmal wieder hakt.

Dieser kompromissbereiten Sicht hat sich mittlerweile auch die Berliner Datenschutzaufsicht angeschlossen. Während dort im vergangenen Jahr sogar Verwarnungen ausgesprochen wurden, als Schulen sich auf der Suche nach stabil laufenden Diensten auch bei Microsoft-Angeboten bedienten, hat die Berliner Landesbeau tragte im Januar angekündigt, ihrer „Auf- sichtstätigkeit mit Augenmaß nachzugehen und von Maßnahmen gegen einzelne Schulen, die problematische Dienste einsetzen, abzusehen“. Dieser Ankündigung stellt sie – ganz zu Recht – die Erwartung an die Seite, dass der kommende Sommer von der Landesverwaltung nun auch wirklich genutzt wird, einen datenschutz- gerechten und störungsfreien digitalen Unterricht „bis zum neuen Schuljahr“ zu ermöglichen.

Nichts ist alternativlos

Eins muss an dieser Stelle jedoch betont werden: Es gibt sie bereits, die Alternativen. Und es geht auch ohne DSGVO-Bedenken – ob es nun etablierte Lösungen wie die Schul-Cloud des Hasso-Plattner- Instituts oder junge Start-ups, die erst im vergangenen Jahr in den Bereich der Videokonferenzsysteme eingestiegen sind. Nur sind viele europäische Lösungen eben noch nicht so bekannt wie die internatio- nalen, auch hapert es oft noch an Verfügbarkeit, Skalierbarkeit und Stabilität. Geben wir den vielversprechenden Alternativen etwas Zeit und eine Chance – und mögen wir bis dahin pragmatisch bleiben.