Aus Sicht der Stiftung Datenschutz 06/21: Datenschutz in Schulen und die Parallelen zur Wirtschaft

Doch erstens haben viele der Lesenden sicherlich auch Kinder in Schulen und zweitens bildet die Debatte um den Schuldatenschutz so manchen Streitpunkt des allgemeinen Datenschutzes lediglich in anderem Umfeld ab.

Wie lässt sich digitaler Schulunterricht datenschutzgerecht gestalten und welche Hindernisse gibt es dabei? Diese Fragen stellten wir uns zum Beginn des neuen Schuljahres – genau genommen des mittlerweile vierten Schulsemesters „unter Corona-Bedingungen“ – und sprachen  dazu mit allen Beteiligten. Das Meinungsspektrum unserer Tagung zum Schuldatenschutz reichte vom Vertreter des  Unternehmens Zoom bis zum Landesdatenschutzbeauftragten von Thüringen, der im Sommer vergangenen Jahres ostentativ die Möglichkeit von Bußgeldern gegen Lehrerinnen und Lehrer bei Nutzung der falschen Unterrichts-Tools in Aussicht gestellt hatte. Diese Bußgelder hat es dann letztlich doch nicht gegeben, die Ankündigung hatte nur ein „Wink mit dem Zaunpfahl“ sein sollen, wie er betonte.

Wie in der Praxis, so auch in der Schule

Da ist zunächst an die fehlenden Ressourcen zu denken: Datenschutzverantwortliche in KMU und in Schulen sind oft gleichermaßen schlecht ausgestattet. Und auch die „Unterstützung von oben“ ähnelt sich leider: Vielen Schulleitungen und Schulträgern erscheinen die Probleme ihrer  Beschäftigten beim Streben nach Rechtskonformität im Datenschutz oftmals leider sehr nachranging. Ebenso handhaben es viele Unternehmensleitungen im Mittelstand, die ihre betrieblichen Beauftragten mitunter als bloße Bedenkenträger geringschätzen. Dabei können die Datenschutzbeauftragten ebenso wenig für ein komplexes Recht mit hohen Bürokratielasten wie diejenigen in den Schulen.

Lesen Sie hier den Beitrag mit allen Fußnoten im pdf.

Alle eint, dass sie von unterschiedlichen Auslegungen des an sich einheitlichen europäischen Datenschutzrechts verunsichert werden. Vertreter von Aufsichtsbehörden betonen gerne, dass man sich ja einfach nur an der allein maßgeblichen Aufsicht des jeweils eigenen Bundeslandes orientieren müsse. Doch schafft es dennoch eine unterschwellige Unsicherheit, wenn in verschiedenen Bundesländern unterschiedliche Ansichten zur DSGVO zu vernehmen sind.

Ein Hauptstreitpunkt ist die Nutzung von Diensten, die internationale Datentransfers auslösen. Der Drittlandsbezug besteht dabei meist zu den USA. Dorthin fließen Daten, die aus Sicht der Datenschutzaufsicht nicht dorthin fließen dürfen, sei es aus den Videokonferenzen mit MS Teams oder aus digitalen Unterrichtspinnwänden wie Padlet. Hier zeigt sich eine weitere Parallele zur Wirtschaft: Wer wenig Ressourcen hat, kommt sich nach der Schrems II-Rechtsprechung ziemlich allein gelassen vor. Zwar gibt es Mittel und Wege, einen Drittlandtransfer einigermaßen rechtssicher hinzubekommen; auch gibt es Anleitungen dazu. Doch haben weder Beschäftigte von Kleinbetrieben noch Lehrverantwortliche in Schulen die Kenntnisse und Kapazitäten, sich mit ergänzenden Maßnahmen zu Standarddatenschutzklauseln im Einzelfall zu befassen.

„Datenschutz? – spielt hier keine Rolle“

Bei unserer Veranstaltung im September sprachen wir nicht nur mit Datenschutzaufsichtsbehörden, Lehrkräften und Vertretern von Kultusministerien. Wir wollten auch von Schülerinnen und Schülern wissen, welche Rolle solche Fragen eigentlich im Unterricht und im Austausch mit der Schule spielen. Werden Aspekte von Datenschutz und Datensicherheit beim Umgang mit Schülerdaten angemessen thematisiert? Spielen die Rechte der Lernenden bei der Auswahl der Instrumente für digitalen Unterricht eine Rolle? Die Antwort, kurz gefasst: Nein. Angesichts dessen, dass öffentlich stets betont wird, wie gefährdet die sensiblen Schülerdaten seien und welch hoher Aufmerksamkeit deren Schutz bedürfe, hat uns das  erstaunt: Wird etwa nur über die Schülerschaft geredet, nicht aber mit ihr?

Wir lernten dabei auch einen Schüler kennen, der in diesem Sommer etwas sehr Ungewöhnliches tat: Während andere sich kurz vor den Sommerferien weiter ärgerten, dass es im Digitalunterricht nicht rund lief, startete er im Juni eine Petition. Sie wandte sich aber nicht etwa gegen den Einsatz US-amerikanischer Videokonferenz-Produkte, sondern spricht sich für deren Nutzung aus. Es gehe ihm allein um Pragmatismus sagte uns der Berufsschüler, denn das Microsoft-Angebot laufe nun einmal problemlos. Für diese Haltung fand er zahlichre Unterstützerinnen und Unterstützer.

Eine allgemein mehrheitsfähige Forderung könnte sicherlich lauten: „Digitalisierung und Datenschutz müssen im Schulkontext immer zusammengedacht werden.“ Doch muss beides auch machbar sein. Was tun nämlich, wenn die Digitalisierung zwingend ist (weil Lockdown-Maßnahmen Distanzunterricht nötig machen), wenn aber DSGVO-Konformität nicht erreichbar ist, (weil keine diesbezüglich einwandfreien Werkzeuge in ausreichendem Maße zur Verfügung stehen)? Soweit keine datenschutzrechtlich unbedenklichen Dienste greifbar sind, kann es dann wohl kaum im Sinne der Bildung sein, wenn es hieße: „Dann eben nicht. Dann eben kein Unterricht.“ In einer Pandemie lässt sich mit dem Distanzlernen nicht warten, bis alles perfekt ist.

An dieser Stelle darf ich eine Lanze für die Datenschutzaufsicht brechen: Einige Behörden zeigten in der Pandemie einen sehr ausgewogenen Ansatz. Während die strengeren Behörden tatsächlich im Sinne jenes „Dann eben nicht“ verlauten ließen, dass auch in der Notzeit allgemeiner Kontaktbeschränkungen die Nutzung von Videokonferenzdiensten unter Inkaufnahme internationaler Datentransfers völlig inakzeptabel wäre, zeigten die pragmatischeren Behörden Verständnis für die Nöte der Schulen. Und das zu Recht, denn in vielen Bundesländern waren die Schulen wiederum von ihren Landesbildungsverwaltungen im Stich gelassen worden. Die Länder hatten keine datenschutzkonformen Alternativen rechtzeitig organisiert. Daher stellte etwa der hessische Landesbeauftragte seine starken Bedenken gegen internationale Dienste im Sinne der Lernenden zurück und räumte den Schulen und Lehrkräften eine Zeit des Übergangs ein, „um eine Belastung der Schülerinnen und Schüler im Rahmen des Distanzunterrichts möglichst zu vermeiden“. Eine bundesweit einheitliche Haltung entstand daraus jedoch nicht. Einige Behörden dulden den Einsatz von US-Angeboten weiterhin, manche, wie Niedersachsen, nicht mehr. Wieder andere, wie Berlin, haben erst nichts geduldet, und dann eher zähneknirschend doch. Damit sind wir wieder bei einem Ausgangspunkt dieser Kolumne angelangt – der für alle  Organisationen gleichermaßen wenig befriedigenden Einheitlichkeit in den Verlautbarungen der Datenschutzaufsicht.