Datenschutz versus Funktionalität: Das Dilemma der deutschen Schulen

Ist Datenschutz ein Innovationshindernis? Und seine Lockerung zugunsten digitaler Bildungschancen unvermeidlich? Im Gegenteil! Nikolai Horn und Philipp Otto (iRights.Lab) beschreiben, warum Datenschutz für Schulen unverzichtbar ist und welche personellen, infrastrukturellen und kooperativen Voraussetzungen es braucht, um unsere Kinder zu digital mündigen Bürgerinnen und Bürgern zu erziehen.

Dieser Artikel ist Teil unseres Dossiers "Digitale Schule: Lektionen aus der Pandemie".

Ein Schlüssel steckt in einem Türschloss, darunter eine schwarze Türklinke

Zu den Lebensbereichen, die immer stärker von der Digitalisierung durchdrungen werden, gehört der Bildungssektor. Immer mehr Unternehmen beschäftigen sich mit der Entwicklung von Lern-Hardware einerseits und von Lernprogrammen und Software für den Einsatz im Bildungsbereich – den sogenannten EdTech – andererseits. Nachdem in den vergangenen Jahren die Implementierung digitaler Anwendungen in die Unterrichtspraxis in Deutschland nur zögerlich voranging, führte die Corona-Pandemie die Notwendigkeit eines flächendeckenden Ausbaus digitaler Bildungsangebote deutlich vor Augen. Während die Schulen den Digitalisierungsrückstand mit Ad-hoc-Maßnahmen zu beheben suchten, wurde in der breiten Öffentlichkeit in Deutschland zugleich eine Warnung immer lauter: die Warnung vor Verstößen gegen den Datenschutz.

Die Datenschutzdebatte in Deutschland ist oft bizarr: Mal wirkt Datenschutz wie ein Selbstzweck, dem sich alle anderen Bereiche unterzuordnen haben, dann wiederum wird er zum Sündenbock für alle möglichen Versäumnisse der Vergangenheit gemacht. Insbesondere bei der Digitalisierung von Bildungsangeboten seit der Corona-Pandemie werden die Stimmen lauter, die den Datenschutz als „Innovationshindernis“ ausmachen und seine Lockerung zugunsten digitaler Bildungschancen fordern. Dabei ist für eine erfolgreiche Implementierung und Nutzung digitaler Hilfsmittel im Bildungsprozess eine differenzierte, sachliche Betrachtung vonnöten.

Datenschutz in Deutschland und Europa ist ein Grundrecht

Zunächst ist festzuhalten, dass Datenschutz nicht die Daten „schützt“, sondern der Selbstbestimmung des Individuums dient. Als Grundrecht ist er in Artikel 8 der Europäischen Menschenrechtskonvention sowie den Artikeln 7 und 8 der Europäischen Charta der Grundrechte verankert. Sein Ziel ist dabei nicht nur der Schutz der Privatsphäre, sondern er dient auch der Selbstbestimmung des Menschen über die Verwendung von personenbezogenen Daten und dem Schutz vor deren Missbrauch durch Dritte. In Deutschland – seit 1970 dem Geburtsland des weltweit ersten Datenschutzgesetzes im Bundesland Hessen – drückt sich der Datenschutz im „Recht auf informationelle Selbstbestimmung“ aus. Aus deutscher und europäischer Perspektive zielt der Datenschutz also nicht nur darauf, Personen und ihre Privatsphäre vor Übergriffen zu schützen, sondern er soll sie auch zum souveränen Umgang mit ihren personenbezogenen Daten und Informationen befähigen. Die Menschen sollen ihre digitalen Abbilder und Datenspuren steuern – nicht umgekehrt.

Die praktische Umsetzung des Datenschutzes ist in der Europäischen Union in der seit Mai 2018 gültigen EU-Datenschutz-Grundverordnung (DSGVO) geregelt. Dabei geht es insbesondere um die Umsetzung der folgenden Grundsätze:

  • Der Grundsatz der „Datenminimierung“ beschränkt die Datenverarbeitung auf das Notwendigste.
  • Zweckbindung“ erlaubt die Datenverarbeitung nur für einen bestimmten und nicht für beliebige Zwecke.
  • Vertraulichkeit“, „Integrität“, „Verfügbarkeit“ zielen auf eine Gewährleistung der IT-Sicherheit und auf eine fehlerfreie Funktion von IT-Systemen ab.
  • Dem Grundsatz der „Intervenierbarkeit“ entsprechen Auskunfts-, Berichtigungs- und Widerspruchsrechte der Bürgerinnen und Bürger hinsichtlich ihrer Daten.
  • Zur „Transparenz“ gehört für Betroffene die Nachvollziehbarkeit dessen, was mit ihren Daten passiert, von wem, wozu und wie sie verarbeitet werden.

Jeder dieser sieben Grundsätze dient dem Datenschutz, ohne dass dieser auf einen dieser Aspekte beschränkt werden kann: Man agiert beispielsweise nicht allein schon deswegen datenschutzkonform, weil ein Lernprogramm nur die wirklich notwendigen Daten verarbeitet und sie nicht für zweckfremde Dienste weiterleitet – das Programm soll darüber hinaus auch ein angemessenes IT-Sicherheitsniveau haben. Eine sichere IT-Umgebung ist ihrerseits allein auch kein Garant für Datenschutzkonformität, wenn die Zwecke der Datenverarbeitung für die Nutzerinnen und Nutzer nicht nachvollziehbar sind. Datenschutz in seiner praktischen Umsetzung betrifft also mehrere Aspekte, die ineinandergreifen, einander bedingen und erst im Zusammenspiel Sinn ergeben. Datenschutz ist damit ein Prozess, der nie auf einen einzigen Aspekt beschränkt werden kann.

Bildungsanbieter/innen haben eine besondere Verantwortung für Schüler/innendaten

Bei digitalen Bildungsangeboten gewinnen die oben genannten Grundsätze eine besondere Bedeutung. Neben den personenbezogenen Daten von Eltern und Lehrkräften geht es vor allem um den Schutz von Daten der lernenden Kinder und Jugendlichen. Die Daten Minderjähriger verdienen laut DSGVO einen besonderen Schutz, da diese sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind (Erwägungsgrund 38 DSGVO). Aus diesem Grund ist bei der Umsetzung der oben genannten Datenschutz-Gewährleistungsziele im Bildungsbereich eine besondere Achtung geboten. Konkret bedeutet dies: Alle erhobenen Daten sollen nur zu Unterrichtszwecken verarbeitet werden, die IT-Umgebung muss sicher sein, die Betroffenenrechte müssen unkompliziert geltend gemacht werden können, und die Datenverwendung auf Lernplattformen muss für die Eltern ebenso nachvollziehbar sein wie für die minderjährige Schüler/innen selbst.

Doch selbst wenn alle oben genannten Grundsätze bei einem digitalen Produkt erfüllt sind, hat es sich mit dem Datenschutz noch lange nicht erledigt: Aus der Perspektive einer einzelnen Schülerin oder eines einzelnen Schülers bringt es wenig, wenn die Lernplattform zwar transparent und sicher ist, dies aber nicht für die Endgeräte gilt. Eine sichere Lernplattform und ein sicheres Endgerät sind alleine noch keine Garanten für einen sicheren Schutz der Daten, wenn es in Problemfällen für Schüler/innen und Lehrerkräfte keine Ansprechpartner/innen gibt, die ihnen bei Nutzungsproblemen Hilfe anbieten können. Beim Datenschutz muss ganzheitlich gedacht werden: Plattformen, Endgeräte, Netzzugang, IT-Unterstützung und digitale Skills der Nutzerinnen und Nutzer gehören zusammen. Wenn man sich nur auf einen dieser Aspekte konzentriert, die anderen aber beiseitelässt, kann ein Digitalisierungsansatz nicht aufgehen. Die Digitalisierung im Allgemeinen und der Datenschutz im Besonderen sind ein ganzheitlicher, iterativer Prozess, der aus einem Zusammenspiel all dieser Aspekte besteht. Um den Schülerinnen und Schülern die informationelle Selbstbestimmung und den souveränen Umgang mit ihren Daten zu ermöglichen, muss an vielen Stellen zugleich angepackt werden.

Eine Besonderheit der Digitalisierung der deutschen Schulen, und damit auch der Umsetzung der Mindeststandards für den Datenschutz, ist der deutsche Föderalismus. Bildung ist in Deutschland Ländersache, fällt also in die Zuständigkeitsbereiche von 16 verantwortlichen Minister/innen bzw. Senator/innen, deren Kooperation durch die Kultusministerkonferenz sichergestellt werden soll. Jedes Bundesland entscheidet selbst über Lehrpläne, Personal oder – wie während der Corona-Pandemie – über die Umstellung auf das sogenannte Distanzlernen. Für die Schulausstattung sind wiederum einzelne (meist öffentliche) Schulträger zuständig, in der Regel sind dies die Kommunen. Ob Internetzugang in der Schule, Beschaffung von Smartboards oder Tablets – jede Stadt, jede Gemeinde und jeder Landkreis handelt im Rahmen eigener Kapazitäten und finanzieller Ressourcen. Mit circa 11.000 Gemeinden in Deutschland ist hierbei die Schulträger-Landschaft ziemlich heterogen. Über den Einsatz einer bestimmten Bildungsplattform entscheidet schließlich meist die Schule selbst – Schulleiter/innen, Arbeitskreise, einzelne Lehrkräfte. Bei vielen Schulen gibt es zusätzlich Digitalisierungsbeauftragte – in der Praxis sind dies oft einzelne Lehrer/innen, die dies als Zusatzaufgabe neben anderen Verpflichtungen übernehmen.

Wie kann der Datenschutz bei digitalen Bildungsangeboten effektiv umgesetzt werden?

Wenn man Digitalisierung und Sicherstellung datenschutzrechtlicher Mindeststandards als einen ganzheitlichen Prozess denkt, ist ein Zusammenspiel aller genannten Akteur/innen geboten. Die Schule wird nicht allein dadurch „digital“, dass die Leitung die Nutzung einer bestimmten Lernplattform anordnet oder eine Kommune neue Tablets bestellt. Wenn Lehrer/innen und Schüler/innen keine Unterstützung bei der Nutzung von Hard- und Software bekommen, wenn kein ausreichender Internetzugang gegeben ist, wenn das Lehrpersonal mit der Umsetzung datenschutzrechtlicher Anforderungen alleingelassen wird, ist ein souveräner Umgang mit digitalen Bildungsangeboten kaum möglich.[1]

Damit Digitalisierung im Bildungsbereich datenschutzkonform und damit erfolgreich sein kann, müssen daher Lehrpläne die Anforderungen an den digitalen Unterricht und die Kapazitäten des Lehrpersonals berücksichtigen, Hardwarebedarfe mit der Nutzung von konkreter Lernsoftware und Lernplattformen abgestimmt sein, die Internet-Bandbreite muss an der Anzahl und Nutzungsart der Endgeräte ausgerichtet sein, die Auswahl der Tools abgestimmt auf die Lehrpläne sowie die den Lehrenden und Lernenden zur Verfügung stehende Hardware erfolgen und die datenschutzrechtliche Konformität eindeutig geklärt sein.[2] Schulleitungen, Schulträger, IT-Dienstleister der Länder, Landesdatenschutzbeauftragte und Schulministerien müssen dabei also auch solche Anforderungen und Gegebenheiten berücksichtigen, die außerhalb ihrer eigenen unmittelbaren Zuständigkeit liegen.

Das bedeutet umgekehrt: Schulnetze, Endgeräte, Server, IT-Unterstützung, organisatorische Maßnahmen in Schulen sind notwendige Bedingungen der Datenschutzkonformität und der Digitalisierung des Bildungssektors, die erfüllt werden müssen, bevor Entscheidungen über konkrete digitale Lerntools gefällt werden. Die Kapazitäten, um die technisch-organisatorischen Grundvoraussetzungen für den datenschutzkonformen digitalen Unterricht zu erfüllen, variieren dabei sowohl zwischen als auch innerhalb der Bundesländer, Städte und ländlichen Regionen mitunter sehr stark. Verfügt eine Schule bereits über eine ausgebaute IT-Infrastruktur, geeignete Endgeräte, IT- und datenschutzgeschultes Personal und Stellen mit hauptamtlichen IT-Administrator/innen, beschäftigt sie sich mit ganz anderen Aspekten der Datenschutzkonformität als eine Schule, die ihren Schüler/innen gerade einmal ein WLAN-Netz mit 50 Megabit/Sekunde und 300 gebrauchte Laptops zur Verfügung stellen kann.

Da die Digitalisierung im Allgemeinen und der Datenschutz im Besonderen ein ganzheitlicher Mehrebenen-Prozess sind, muss bei der Auseinandersetzung mit dem Datenschutz im digitalen Unterricht von allen Verantwortlichen von den Grundvoraussetzungen auf den einzelnen Ebenen her gedacht werden. Eine differenzierte Betrachtungsweise verlangt auch, wie vorangehend beschrieben, im föderalen Bildungssystem einen besonderen Blick auf diejenigen Kommunen zu richten, die aufgrund ihrer Ressourcen besonders große Schwierigkeiten bei der Sicherstellung der Grundvoraussetzungen für einen datenschutzkonformen digitalen Unterricht haben.

Bei der Betrachtung des Reifegrades einzelner Schulen für die Umsetzung datenschutzkonformer digitaler Bildungsangebote lohnt es sich, zwischen organisatorischen Voraussetzungen, dem Einsatz digitaler Lernmittel und der Nutzung digitaler Tools zu unterscheiden.

Digitale Hausmeister/innen“, Datenschutzbeauftragte und datenschutzrechtliche Schulungen

Zu den organisatorischen Voraussetzungen zur Umsetzung datenschutzkonformer Lernangebote gehört, dass die Zuständigkeiten und Verantwortlichkeiten für den Einsatz von Hard- und Software in einer Schule klar definiert sind und das fachliche Know-how aufgebaut ist. Lehrer/innen, Schüler/innen und Eltern brauchen Ansprechpartner/innen, die sie bei Fragen der Nutzung digitaler Produkte und der IT-Sicherheit unterstützen. Zum einen betrifft dies die IT-Infrastruktur in der Schule (Netzwerkadministration, Einsatz von Endgeräten), zum anderen die fachliche Begleitung bei der Umsetzung technischer und organisatorischer Datenschutzmaßnahmen.

Die Rolle einer „digitalen Hausmeisterin“ oder eines „digitalen Hausmeisters“ erfordert eine hohe fachliche IT-Kompetenz. Die betreffende Person muss sich gut mit Datenbankstrukturen, mit Netzwerken und mit häufigen Problemen bei der Hardware-Nutzung auskennen. In einer durchschnittlichen Schule mit 1.000 Schüler/innen und 100 Lehrer/innen bedeutet dies einen Support von über tausend Nutzer/innen, die täglich mit größeren und kleineren IT-Problemen konfrontiert sein dürften. Es gibt viele engagierte Lehrkräfte, die diese Aufgabe zusätzlich zu ihren primären Lehrverpflichtungen vor Ort übernehmen. Allerdings muss sichergestellt werden, dass sie fachlich qualifiziert sind. Zum anderen müssen auch die zeitlichen Kapazitäten vorhanden sein, um neben dem Unterrichten, Erziehen, Beraten und Verwalten eine große Zahl an Personen in IT-Angelegenheiten unterstützen zu können. Bei einem Unternehmen dieser Größe würde dies mindestens eine Vollzeitstelle für eine oder einen IT-Beauftragten erfordern. Ohne diese Voraussetzung ist es sehr schwer, eine reibungslose und sichere Nutzung der IT-Infrastruktur zu gewährleisten.

Weiterhin muss beachtet werden, dass die Schule nach geltendem Recht als öffentliche Stelle, die automatisiert personenbezogene Daten verarbeitet, verpflichtet ist, eine/n behördliche/n Datenschutzbeauftragte/n zu bestellen. Die Aufgaben von Datenschutzbeauftragten sind vielfältig: Sie beraten die Schule, kontrollieren die Umsetzung des Datenschutzes und stehen Eltern, Schüler/innen und Lehrer/innen als Ansprechpartner/innen zur Verfügung. Auch diese Aufgabe wird heute in der Praxis oft von engagierten Lehrer/innen übernommen. Sie ist jedoch alles andere als trivial: Dazu gehören umfassende Dokumentationspflichten, das Führen eines Verzeichnisses der Verarbeitungstätigkeiten, die Auftragsdatenverarbeitung, die Bezeichnung und Umsetzung geeigneter technischer und organisatorischer Maßnahmen, die Vorlage einer Datenschutz-Folgeabschätzung, die Umsetzung von Betroffenenrechten und vieles andere mehr. Auch diese Tätigkeit setzt also fachliches Know-how und große zeitliche Ressourcen voraus. Viele Landesdatenschutzbehörden bieten mit Formularvorlagen und Beratungsangeboten zwar eine gute Unterstützung; die zuständige Lehrkraft muss aber auch von ihren Kapazitäten und Kenntnissen her in der Lage sein, diese Vorgaben umzusetzen und sich kontinuierlich weiterzubilden.

Schließlich gehört zu den organisatorischen Voraussetzungen auch die Datenschutzschulung von Lehrer/innen und Schüler/innen. Damit der Datenschutz und die informationelle Selbstbestimmung als Grundrechte verstanden und wahrgenommen werden, bedarf es eines Kompetenzaufbaus auf der Seite der Nutzer/innen, denn nicht wenige IT-Sicherheits- und Datenschutzpannen sind auf den unachtsamen Datenumgang auf der Nutzer/innenseite zurückzuführen. Es gibt in Deutschland einige Initiativen, wie etwa www.klicksafe.de, die diese Herausforderung im Auftrag der Europäischen Kommission aufgegriffen haben. Dies müsste jedoch auch an Schulen flächendeckend geschehen, um aus heranwachsenden Menschen digitalmündige Bürgerinnen und Bürger zu machen. Geschulte Anwender/innen sind jedenfalls ein wichtiger Bestandteil der Umsetzung von Digitalisierungs- und Datenschutzmaßnahmen.

Integrität versus Funktionalität: Das Datenschutz-Dilemma bei der Auswahl von Tools und Plattformen

Die Umsetzung organisatorischer Voraussetzungen für den datenschutzkonformen Digitalunterricht geht nur mit der Nutzung entsprechender digitaler Lernmittel einher. Dies betrifft sowohl die Nutzung von Endgeräten als auch den Einsatz bestimmter Tools. Leider ist es immer noch sehr oft der Fall, dass Lehrer/innen und Schüler/innen für den digitalen Unterricht (oft auch private) Endgeräte nutzen, deren IT-Sicherheitsniveau für die Verarbeitung mitunter sensibler Daten nicht angemessen ist. Auch beim Einsatz digitaler Tools für Kommunikation und Unterricht wird im Zuge der Ad-hoc-Digitalisierung auf Angebote zurückgegriffen, deren Datenschutzstandards zumindest umstritten sind. Die anfangs beschriebenen Datenschutzaspekte – Datenminimierung, Zweckbindung, Transparenz, Intervenierbarkeit und die drei IT-Sicherheitsgrundsätze „Vertraulichkeit“, „Integrität“ und „Verfügbarkeit“ – müssen bei der Auswahl geeigneter digitaler Lernmittel berücksichtigt werden.

Eine der großen Herausforderungen beim Einsatz digitaler Endgeräte besteht darin, dass einzelne Lehrerkräfte und Schüler/innen bei der Nutzung ihrer Endgeräte de facto allein für die IT-Sicherheit verantwortlich sind. Ob das dort installierte Antivirenprogramm ausreichend ist und regelmäßig aktualisiert wird, bleibt oft dem Zufall überlassen. Auch bei der Beschaffung digitaler Endgeräte durch den Schulträger wird häufig nur auf die Hardware-Eigenschaften geachtet, ohne für ein ausreichendes Cybersicherheits-Niveau durch das Installieren geeigneter Sicherheitsprogramme zu sorgen. In der Praxis darf es jedoch nicht dem Zufall überlassen bleiben, ob Eltern und Lehrerkräfte auf eigene Kosten Sicherheitssoftware beschaffen und installieren. Die Datenschutzgrundsätze „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ (Art. 25 DSGVO) müssen bereits beim Beschaffungsprozess von Endgeräten berücksichtigt werden.

Die Datenschutzgrundsätze müssen auch bei der Auswahl digitaler Tools und digitaler Lernplattformen berücksichtigt werden. Viele IT-Dienstleister der Länder arbeiten an der Entwicklung eigener Lernplattformen, so zum Beispiel die Mebis in Bayern, LOGINEO in Nordrhein-Westfahlen, NiBiS in Niedersachsen oder Lernraum Berlin. Der Vorteil dieser Plattformen ist, dass die Datenschutzanforderungen, wie zum Beispiel die Vorgaben zur Datenspeicherung in der Europäischen Union, dort sehr ernst genommen werden. Zudem sind die Landesdatenschutzbeauftragten sowie die Zivilgesellschaft bereits in der Entwicklungsphase in das Aufspüren und Schließen von Datenschutz- und Sicherheitslücken eingebunden. Die Nachteile dieser Plattformen sind allerdings ihr geringer Reifegrad und ihre häufig mangelnde Funktionalität. Diese liegen oft hinter denen kommerzieller Anbieter, weshalb viele Schulen (auch kostenpflichtige) Tools nutzen, die aus datenschutzrechtlicher Sicht in Deutschland und der EU hochumstritten sind. Die Auswahl digitaler Lehr- und Lernmittel ist eine rechtlich und technisch komplexe Aufgabe, mit der die Schulen nicht allein gelassen werden dürfen. Auch hier gilt: Digitalisierung muss als eine komplexe, institutionenübergreifende Aufgabe gesehen werden.

Schulen und Lernorte brauchen eine digitale Zeitenwende. Sie sind die Schatzkammer einer Wissensgesellschaft. Der Datenschutz hat einen Januskopf-Charakter: Einerseits beinhaltet er komplexe technisch-organisatorische Anforderungen an die Rechtskonformität der Datenverarbeitung, deren Nicht-Einhaltung hart sanktioniert werden kann. Andererseits ist die Umsetzung dieser Anforderungen eine notwendige Voraussetzung für die einwandfreie Funktionsfähigkeit von IT-Systemen in Schulen und praktische Ermöglichung des digitalen Lernens. Schließlich ist das Verständnis des technologischen und verfassungsrechtlichen Hintergrunds von Datenschutzbelangen eine notwendige Voraussetzung, um digitale Lernorte souverän zu nutzen. Datenschutz und Online-Nutzung stehen nicht gegeneinander, sie sind dieselbe Seite einer Medaille. Das Problem liegt weder bei den Schüler/innen noch bei den Lehrkräften, sondern in der fehlenden Digitalkompetenz und mangelnden Priorisierung durch die politisch Verantwortlichen. Die Herausforderung, datenschutzkonform zu sein, soll als Antrieb für die Umsetzung überfälliger Digitalisierungsmaßnahmen verstanden werden. Die Zukunft ist immer nur so gut, wie die, die sie kraft ihres Amtes gestalten können.

Dieser Artikel ist Teil unseres Dossiers "Digitale Schule: Lektionen aus der Pandemie - Ein transatlantischer Erfahrungsaustausch".