Datenschutz ist seit der Corona-Pandemie eine ständige Begleiterscheinung im Alltag und Unterricht geworden. Ein Datenschutz-Zettel im Restaurant? Unterschrieben. Ein Zettel, den das Kind aus der Schule mitbringt, „Vereinbarung zur Auftragsverarbeitung gem. Art. 28 EU-DS-GVO“? Unterschrieben. Wenn dann noch mehr Zettel ins Haus flattern, „Vereinbarung gem. Art. 13“ oder „Vereinbarung gem. Art. 6“, oder man selbst als Lehrkraft ständig solche Zettel ausgibt und einsammelt, ist es nachvollziehbar, dass sich eine gewisse Resignation und Unsicherheit einstellt. Die Frage stellt sich: Warum machen wir das eigentlich? Und schützen diese unterschriebenen Zettel wirklich Daten?
Dieser Artikel soll Antworten auf die beiden Fragen geben. Denn ganz so einfach ist es natürlich nicht – und ein klareres Verständnis der Thematik Datenschutz wird gleichzeitig immer relevanter.
Man kann ob der Flut an Zetteln, die man links und rechts unterschrieben austeilt schnell zu dem Schluss kommen, dass Datenschutz ja irgendwie auch egal sei. Zu inflationär begegnet einem das Thema, „Daten“, ja die sind irgendwie überall und nirgends – und man selbst hat doch eigentlich auch nichts zu verbergen. Ob man sich nun ein bestimmtes Youtubevideo anschaut oder nach günstigen Produkten sucht, wen sollte das interessieren?
Das mag im Einzelfall sicher auch richtig sein, der Kniff bei personenbezogenen Daten ist allerdings ihre schiere Menge! Das einzelne Youtubevideo sagt noch nicht viel über jemanden aus – eine jahrelange Chronik davon, gepaart mit allen Websites, die Sie je besucht haben ergibt dann aber doch ein sehr umfangreiches Bild einer Person. Nimmt man das Smartphone hinzu, das stets in der Hosentasche mitgeführt wird und nachweislich Gesprächsfetzen analysiert, den eigenen Standort kennt und die meisten Ihrer Kommunikationen mitliest, wird es schnell intim. (Probieren sie es gerne einmal selbst aus, mit diesem Link gelangen sie zu der Übersicht ihres Google-Kontos, auf der sie zumindest im Ansatz sehen können, was Google über sie zu wissen glaubt.)
Tech-Riesen wie Google gründen ihr Geschäft vor allem auf diese Datensammlungen: Die Geräte, die Sie online benutzen sind meist eindeutig zuzuordnen – und mit dieser Eindeutigkeit kann ein Profil erstellt werden, in dem alles, was über Sie an Metadaten gesammelt wurde, gebündelt wird. Solche Profile werden dann verkauft, meistens an Werbetreibende, die ihre Werbung dann auf Sie zuschneiden können. Google selbst bezeichnet diese Dienste auch als Service für die Benutzer:innen: Das Online-Erlebnis soll so verbessert werden, Sie bekommen genau das angezeigt, was Sie auch brauchen.
Doch es ist kein weiter Weg vom angeblichen Service zur Manipulation: Die Wahl von Donald Trump zum Präsidenten wurde beispielsweise maßgeblich von dem Unternehmen „Cambridge Analytica“ beeinflusst. Es sorgte dafür, dass Wählern in den USA Inhalte angezeigt wurden, die genau ihre Interessen bedienten und dabei die Vorteile von Trump unterstrichen. Aus normalen Wählern wurden Fans, es bildeten sich sogenannte „Filterblasen“, in denen Trump-Wähler ausschließlich Inhalte im Netz sahen, die ihre Meinung unterstützen – und gegensätzliche Meinung so als Verschwörung und „Fake News“ wahrnahmen.
Neben zielgerichteter Werbung können diese Profile aus geschnürten Datenpaketen allerdings auch missbraucht werden: Betrüger können erfahren, ob ein Opfer möglicherweise bereits betagt ist und alleine wohnt, sogenannte „Loverboys“ schreiben gezielt Menschen an, die gerade eine Trennung hinter sich haben, Emails mit Viren können auf einzelne Personen zugeschnitten werden, um echter zu wirken. Und Werbung kann ebenfalls schnell zu Diensten führen, die nichts gutes im Sinn haben: Spiele mit hohem Suchtfaktor, Schneeballsysteme oder sektenartige Organisationen.
Datenschutz – also das Verhindern, dass solche Datenpakete mit Daten bestückt werden, ist daher durchaus wichtig – gerade für Schüler:innen. Denn in der Schule werden zum Teil auch sehr sensible Daten erhoben, beispielsweise im Krankheitsfall oder Klassenbucheinträge. Deshalb gibt es seit 2016 die Datenschutzgrundverordnung (DSGVO), eine Europäische Gesetzgebung, die die Erhebung und Verarbeitung personenbezogener Daten einheitlich im gesamten EU-Raum regelt.
Die bereits erwähnten zahlreichen Zettel, die Sie ausfüllen oder austeilen sind tatsächlich nicht der Schutz der Daten an sich, sie sind eher eine Begleiterscheinung: Gesetzlich sind sämtliche dieser personenbezogenen Daten nämlich erst einmal „unter Verschluss“. Das Recht auf Informationelle Selbstbestimmung des Einzelnen ist ein Grundrecht und schützt alle mit einer Person verbundenen Daten. Mit den verschiedenen Unterschriften auf Zetteln wird dabei die Erlaubnis von ihnen eingeholt, dass Daten von Ihnen – oder Schüler:innen – verarbeitet werden dürfen. Dies geschieht mit Berufung auf Artikel 7 der DSGVO, das heißt, dass die Einwilligung informiert, freiwillig und ausdrücklich abgegeben wurde – zustimmendes Schweigen reicht zum Beispiel nicht. An vielen Punkten sind die Verantwortlichen dabei in der Pflicht, noch einmal konkretere Einwilligungen einzuholen – so entstehen die ganzen verschiedenen Datenschutzzettel, die unterschrieben werden müssen.
„Verarbeitung von personenbezogenen Daten“ ist dabei nur ein anderer Ausdruck für „Informationen, die gespeichert werden“. In der Schule können dies Fotos, Adressen, Kommentare und ausgefüllte Arbeitsblätter sein, schlicht, alles, was über Schüler:innen im Unterricht bekannt ist und digital erfasst wird. Die entsprechende Erlaubnis, bzw. Einwilligung können Kinder bis zum vollendeten 16. Lebensjahr noch nicht geben – sie kann allerdings von Erziehungsberechtigten erteilt werden. Dies wird im Artikel 8 der DSGVO geregelt.
Kinder und ihre Erziehungsberechtigten haben dabei das Recht, diese Einwilligung jederzeit zu widerrufen (Artikel 21), sie haben das Recht, zu erfahren, wie ihre Daten verarbeitet werden (Artikel 13 und 15) und sie können fordern, ihre Daten zu löschen, nachdem der Zweck, für den sie gespeichert wurden erloschen ist (Artikel 17).
An diesem Punkt kommt die Schule, im Besonderen die Schulleitung ins Spiel. Jene ist zum einen dafür verantwortlich, sämtliche Einwilligungen einzuholen, zum anderen muss sie auch einen Datenschutzbeauftragten an der Schule beschäftigen, der sich um Fragen des Datenschutzes kümmert. Denn die Schule ist in der Pflicht, die Technik, mit der sie arbeitet auf ihre Sicherheit hinsichtlich von Schülerdaten zu prüfen, das geht aus Artikel 28 der DSGVO hervor. Sie bleibt in der Haftung, wenn Schaden aus Daten entsteht, die eben nicht sicher gespeichert wurden. Hier liegt ein wesentlicher Knackpunkt des Datenschutzes: Die Verträge mit Dritten.
Denn Schulen können natürlich durchaus dafür sorgen, dass Lehrer bloß an Heimcomputern arbeiten. Sie müssen keine Cloud oder ähnliches benutzen und können damit die Daten der Betroffenen schützen. Wenn allerdings Software von Dritten, wie Google, Microsoft oder beispielsweise die Lernplattform Antolin eingesetzt werden, sind die Abläufe der Datenspeicherung erheblich undurchsichtiger. Viele Unternehmen speichern Daten ihrer Nutzer auf internationalen Servern, womit es sehr schwer wird, nachzuvollziehen, was denn jetzt mit den Daten Einzelner passiert. Auch hier ist es der Artikel 28 der DSGVO, der die Rechtslage klärt: Dienstleister müssen nachweisen können, dass sie den Datenschutzanforderungen in Bezug auf Schüler:innen genügen. So etwas kann zum Beispiel mit einem Zertifikat nachgewiesen werden. Dieser Prozess nennt sich „Auftragsdatenverarbeitung“ und stellt eine der größten Herausforderungen des Datenschutzes im Schulbereich dar.
Die Datenschutzgrundverordnung scheint zwar klare Richtlinien zu setzen und es ist sicher bemerkenswert, dass diese für die gesamte EU vereinheitlicht wurden – die praktische Umsetzung steht allerdings auf einem anderen Blatt. Dies fängt bereits bei zuletzt genanntem Artikel 28 an: Welche Grundschulleitung hat die Fähigkeiten, selbst nachzuprüfen, wo Softwarekonzerne wie Microsoft ihre Daten lagern – und ob dies sicher geschieht? Die Weiterbildung einer Lehrkraft zur Datenschutzbeauftragten trägt dabei kaum zur Lösung dieser mangelnden Kompetenzen bei – um so etwas befriedigend zu prüfen ist ein ganzes Team an IT-Fachkräften nötig. Die Schulleitung, die sich in der Haftung befindet, kann also an sich nur auf die Versicherung der Dienstleistenden vertrauen, dass die Datenschutzvorgaben eingehalten werden würden.
Neuere Studien stellten aber fest, dass solche Zusicherungen mitnichten immer der Wahrheit entsprechen: Während einige Unternehmen selber Daten sammelten, mussten andere Unternehmen einräumen, dass auch sie wiederum die Services von Drittanbietern in Anspruch nahmen und nicht lückenlos nachvollziehen konnten, was mit den Daten geschehen würde, deren Speicherung sie auslagerten. Führende Tech-Konzerne wie Google oder Microsoft arbeiten natürlich bereits mit Deutschland und der EU zusammen – wie zum Beispiel bei Googles Programm „Google for Education“ – um die Auflagen für Schulen zu erfüllen. Jüngst stellte sich allerdings heraus, dass bereits die Geräte, die Google für den Unterricht zur Verfügung stellt – die sogenannten „Chromebooks“ – an mehreren Punkten Daten von Schüler:innen sammeln, um diese weiterzuverkaufen.
Lehrer:innen, Eltern und Schulen stehen solchen Wirrungen hilflos gegenüber und es bleibt eigentlich nur übrig, auf Empfehlungen der Bundesländer zu vertrauen. Diese haben im Zweifel mehr Ressourcen und ausgebildete Fachkräfte, die Software auf genau solche Schwächen prüfen können. So hat das Land Nordrhein-Westfalen zum Beispiel die Lernplattform „Logineo“ ins Leben gerufen, die genau auf die Datenschutzbedürfnisse von Bildungseinrichtungen zugeschnitten ist – Drittanbieter müssen dann allerdings auch spezielle Software extra für diese Plattform entwickeln.
Ob die DSGVO die Daten der Schüler:innen Deutschlands schützt ist also leider fraglich. Die ganzen Zettel die ausgefüllt werden – sie sollten eigentlich die Ausnahme darstellen, die Freigabe von Daten der Kinder, während sie sonst nicht freigegeben sind. In der Praxis scheinen sich die entsprechenden Unternehmen diese Daten allerdings leider trotzdem zu holen, auf die eine oder andere Weise. Es bleibt zu hoffen, dass die heutigen Schüler:innen im späteren Erwachsenenleben zumindest das Recht geltend machen können, das ihnen nach Artikel 17 der DSGVO zusteht: Das Recht auf digitales Vergessenwerden.
Haben Sie selbst Bedenken bezüglich Datenschutz im schulischen Raum? Oder sind Sie von dem verwalterischen Mehraufwand genervt, den Datenschutzauflagen mit sich bringen? Schreiben Sie uns Ihre Meinung und Erfahrungen in die Kommentare!