Gedanken zum Datenschutz beim Einsatz von digitalen Lernplattformen an Schulen

Kommentar von Karsten Steinkühler //

In den letzten zehn Monaten hat sich das Leben und die Arbeitsweise an Schulen massiv geändert – durch pandemiebedingte Schulschließungen waren Schulen gezwungen, vom Präsenzunterricht in einen Distanzunterricht zu wechseln. Dabei wurde deutlich, dass Schulen eine verlässliche digitale Plattform benötigen, über die Kommunikation zwischen Lehrenden und Lernenden stattfinden kann und Arbeitsmaterialien ausgetauscht werden können.  

Das Angebot für solche Plattformen ist groß. Neben staatlichen Lösungen, die im Auftrag der Schulministerien entwickelt wurden (z.B. Logineo LMS, Niedersächsische Bildungscloud, bayerische Lernplattform mebis) existieren etablierte Systeme wie Moodle und kommerzielle Systeme wie z.B. iServ oder Microsoft 365.  

Neben z.T. gravierenden Unterschieden hinsichtlich Funktionsumfang und Leistungsfähigkeit spielt bei der Entscheidung für eine Lösung auch immer das Thema Datenschutz eine wichtige Rolle, da beim Einsatz einer digitalen Plattform personenbezogene Daten von Schülerinnen/Schülern und Lehrerinnen und Lehrern verarbeitet werden.  

Die Diskussionen um dieses Thema werden z.T. hitzig geführt und treiben merkwürdige Stilblüten: so verbieten manche Aufsichtsbehörden für den Datenschutz schlicht den Einsatz von Microsoft 365/Teams (Berlin), andere dulden den Einsatz bestenfalls (Hessen, Bayern, NRW). Auch andere Tools wie Google Docs, Padlet oder Zoom stehen in der Kritik, wohingegen man bei den Lösungen, die von den Ländern zur Verfügung gestellt werden, automatisch von Datenschutzkonformität ausgeht.  

Grund für die Ablehnung von z.B. Microsoft 365 ist i.d.R. die Tatsache, dass es sich um ein System eines amerikanischen Herstellers handelt, das dem sog. Cloud Act unterlieg. Dieser Cloud Act ist ein US-Gesetz zum Zugriff der US-Behörden auf gespeicherte Daten im Internet, der auch dann gewährleistet ist, wenn die Speicherung nicht in den USA erfolgt.  

Die Diskussionen um den Datenschutz werden in einer Phase geführt, in der pragmatische Lösungen dringend erforderlich sind und führen zu einer Verunsicherung und zu Entscheidungen für Systeme wie Logineo LMS, das vermeintlich datenschutzkonform aber hinsichtlich Funktionsumfang vielfach nicht ausreichend ist.  

Vermeintlich datenschutzkonform, da bei beim ersten Login eine Einwilligung der Nutzer erforderlich ist, die nicht zu umgehen ist und damit weder wie vorgeschrieben freiwillig, noch gut informiert erfolgt (grundsätzlich ist die Einwilligung als Rechtsgrundlage ungeeignet, da sie neben der o.a. Punkte jederzeit widerrufen werden kann und die Schule damit vor große Probleme stellt). Darüber hinaus wird innerhalb des Kommunikationstools Logineo Messenger als Subauftragsverarbeiter Amazon Webservices (AWS) eingesetzt, der genau wie Microsoft 365 dem Cloud-Act unterliegt. Aus der Antwort der Landesregierung auf eine kleine Anfrage der Grünen geht hervor, dass die Landesregierung in diesem Fall den Cloud-Act nicht als Sicherheitsrisiko ansieht und keine Datenschutzbedenken hat. https://www.landtag.nrw.de/portal/WWW/dokumentenarchiv/Dokument/MMD17-11271.pdf 

Die Datenschutzdebatte über digitale Werkzeuge lenkt von den wahren Problemen mit dem Datenschutz an Schulen ab: 

Grundlegende Dokumentationen wie Verzeichnisse der Verarbeitungstätigkeiten oder der technisch-organisatorischen Maßnahmen fehlen, vorgeschriebene Informationen gem. Art. 13ff DSGVO sind nicht vorhanden. Lehrerinnen und Lehrer kommunizieren in der Praxis mit Kindern und Eltern über WhatsApp und erarbeiten in Ermangelung von Dienstgeräten Zeugnisse, Notenlisten und Gutachten auf privaten Endgeräten und versenden diese Dokumente anschließend in offenen E-Mails.  

Die Schuld den Schulen und den Lehrern in die Schuhe zu schieben, ist aber zu kurz gesprungen: es fehlt an Beratungen, Schulungen und Information für Schulleitungen und Kollegien. Niemand kann ernsthaft erwarten, dass Schulleitungen, Lehrerinnen und Lehrer sich in Eigenverantwortung in das Thema Datenschutz einarbeiten. Die Unterstützung des Verantwortlichen ist die klassische Aufgabe des Datenschutzbeauftragten. 

Die bestellten behördlichen Datenschutzbeauftragten kommen wegen totaler Überlastung allerdings ihren in Art. 39 DSGVO festgelegten Aufgaben nicht nach. So gibt es Landkreise, in denen bei ca. 45.000 Schülerinnen und Schülern und ca. 5.000 Lehrerinnen und Lehrern allen Schulen lediglich ein Datenschutzbeauftragter zur Verfügung steht. Die dringend notwendige qualifizierte Beratung und Unterstützung der Schulen findet nicht statt, die in Art. 39 DSGVO vorgeschriebenen Aufgaben des Datenschutzbeauftragten werden nicht erfüllt. 

Kontrollen oder Sanktionierungen seitens der Aufsichtsbehörden? Fehlanzeige! 

Was fehlt, sind Datenschutzmanagementsysteme und eine ernsthafte Beschäftigung mit dem Thema Datenschutz. 

Die aufgeführten Versäumnisse würden in der freien Wirtschaft zu erheblichen Bußgeldern führen, im öffentlichen Bereich verhindert dies §43 Abs. 3 BDSG neu: „gegen Behörden und sonstige öffentliche Stellen […] werden keine Bußgelder verhängt.“ 

Die Diskussion über bestimmte Softwareprodukte ist eine Diskussion über Symptome, die Ursachen und die eigentlichen Probleme werden nicht diskutiert.    

Das oft gehörte Argument, Schulen könnten alternative Produkte einsetzen, da u.a. mit Libre-Office, Nextcloud, Moodle oder Jitsi Lösungen aus dem Open-Source Bereich zur Verfügung stehen, ist prinzipiell eine gute Idee. In der Realität müsste man dann aber konsequenterweise auch auf Windows oder iOS verzichten und stattdessen Linux einsetzen. Diese Lösungen werden aber wegen des jetzt schon vielfach fehlenden IT-Personals im 1. und 2.-Level Support scheitern. 

Fazit: solange die beschriebenen grundlegenden Probleme nicht gelöst werden und den Schulen nicht die erforderliche Unterstützung, Beratung, Schulung im Datenschutz und IT-Support an die Seite gestellt wird, geht die Diskussion um den Einsatz von digitalen Werkzeugen am Kernproblem vorbei. 

Statt den Schulen den Einsatz bestimmter Softwarelösungen zu verbieten, sollten die zuständigen Aufsichtsbehörden ihren Beratungsverpflichtungen nachkommen, den Fokus auf die wahren Probleme legen und den Druck auf die Bundesländer und die Bezirksregierungen erhöhen um die personelle Ausstattung und die dringend notwendige Unterstützung in diesem Bereich deutlich zu verbessern. 

Foto: Gerd Altmann auf pixabay