Damian Duchamps' Blog

Mal ganz ehrlich, Datenschutz und Schule gehen momentan gar nicht zusammen. Schulen sollen digitale Lösungen in den Unterricht integrieren, doch ständig erhebt jemand warnend den Zeigefinger und sagt, in Bezug auf den Schutz der persönlichen Daten der Schülerinnen und Schüler und Lehrkräfte geht dieses nicht und das nicht und grundsätzlich geht sowieso gar nichts. Mit solch einem Ansatz werden wir nicht weiterkommen. Das ist nichts anderes als Verhinderungskultur. Was wir brauchen, sind Lösungsansätze, die uns im schulischen Alltag weiterbringen anstatt uns zu blockieren. Datenschutzschutzbeauftragte sollten nicht nur sagen, was nicht geht, sondern Schulen helfen, pragmatische Lösungen zu finden.

Damit hier kein Missverständnis aufkommt aufkommt, den Schutz der persönlichen Daten von Schülerinnen und Schülern halte ich für absolut unverzichtbar.

Wenn wir in der Schule vom Schutz der persönlichen Daten sprechen, gehen wir von Vorstellungen aus, die meiner Meinung nach völlig unrealistisch und überzogen sind. Natürlich sollen und müssen persönliche Daten geschützt werden. Dazu sind wir verpflichtet und es ist selbstverständlich. Ein Restrisiko ist jedoch nie auszuschließen, wie überall im Leben. Beim Datenschutz versuchen wir jedoch genau dieses. Man tut so, als müsse ist den perfekten Schutz geben, und ist man sich da nicht sicher, so ist die Lösung tabu, die Lernplattform, das App, das Lernmanagementsystem können nicht genutzt werden.

Landesdatenschutzbeauftragte geben für die Microsoft Cloud Deutschland kein grünes Licht, weil noch Unklarheit über irgendein Komma besteht in der Dokumentation. Derweil nutzen große Konzerne die Lösung schon lange, denn diese Lösungen sind von diversen Instituten der Wirtschaft und von anderen Institutionen zertifiziert und geprüft. Das gilt auch für die G-Suite von Google. Bei Firmen geht es um Wirtschaftsdaten und Wirtschaftsspionage. Das hat in der Regel mehr Gewicht als persönliche Daten, denn es geht um Millionen- oder Milliardenbeträge.
Man fragt sich, warum geht in Schule nicht, was in der Wirtschaft geht? Die Wirtschaft hat nicht weniger zu verlieren als Schule mit persönlichen Daten.

Wenn es um Schule und Datenschutz geht, fehlt uns ein vernünftiges Maß. Im Schulleben außerhalb der digitalen Welt sieht das völlig anders aus. Seien wir doch mal realistisch. Verzichten wir darauf, mit unseren Schülerinnen und Schülern ins Schwimmbad zu gehen, nur weil eventuell ein Kind sich nicht an die Regeln halten könnte und vom Rand ins Becken springt, oder heimlich auf das Dreimeterbrett klettert unter herrunter springt? Nein, tun wir nicht. Wir nehmen das Risiko in Kauf, denn es gibt keinen absoluten Schutz. Ja, aber beim Schutz der persönlichen Daten, könnte so etwas doch lebenslange Folgen haben, wird mancher nun entgegnen. Doch könnte es nicht auch lebenslange Folgen haben, wenn eines der Kinder beim Schwimmunterricht nun doch vom Rand springt und verletzt sich dabei so, dass es lebenslänglich unter den Folgen zu leiden hat? Ich hoffe, an diesem Beispiel aus der analogen Welt wird deutlich, dass wir, wenn wir vom Thema Datenschutz sprechen, vollkommen überzogen reagieren. Den absoluten Schutz der persönlichen Daten gibt es nicht. Das soll nicht heißen, dass wir leichtfertig oder fahrlässig umgehen sollten mit den persönlichen Daten der uns anvertrauten Schülerinnen und Schüler. Was wir jedoch brauchen, sind pragmatische Lösungen, die einen möglichst großen Schutz der persönlichen Daten ermöglichen und Schule gleichzeitig nicht unnötig ausbremsen, indem jegliche Lösung aus Datenschutzgründen negiert wird.

Um dieses zu erreichen, braucht es eigentlich gar nicht viel. Für mich gibt es einige Grundsätze, die, wenn man sie beachtet, viele Lösungen ermöglichen.

Persönliche Daten von Schülerinnen und Schülern gehören grundsätzlich nicht in Lernplattformen, Lernmanagementsysteme, Apps oder ähnlich
Namen

Wer zwingt uns dazu, dass Schülerinnen und Schüler mit ihren echten Namen in einem Lernmanagementsystem angemeldet sein müssen? Eine pragmatische Lösung könnte darin bestehen, stattdessen Pseudonyme zu verwenden oder anonymisierte Account Namen. Natürlich müssen Lehrkräfte in der Lage sein, diese Pseudonyme oder anonymisierten Accountnamen Schülern zuzuordnen. Man kann jetzt einwenden, dass sich diese Daten verbinden lassen und schon weiß man wieder, wer wer ist. Das funktioniert immer. Und selbst aus anonymisierten Daten kann man mit etwas Geschick wieder eine Zuordnung herstellen, wenn man das will. Den perfekten Schutz vor “bösen” Konzernen oder Geheimdiensten gibt es nicht. So realistisch muss man einfach sein. Und selbst wenn wir ein System haben, welches den deutschen Datenschutzvorgaben absolut genügt (auf Server in Deutschland laufend, alle Vorschriften erfüllt und so weiter), auch dann gibt es keine absolute Sicherheit. Die Server könnten gehackt und die Kontodaten gestohlen werden. Und wenn die Schüler sich von ihren Smartphones oder von zu Hause aus in der Plattform einloggen, mit einem Pseudonym oder anonymisierten Account, dann könnten natürlich, wenn man Standortdaten oder Gerätedaten ausliest und diese möglicherweise noch mit gestohlenen Daten vom Einwohnermeldeamt kombiniert oder mit Daten von einem sozialen Netzwerk, die exakten persönlichen Daten der Personen herausgefunden werden. Lässt sich alles konstruieren, alles ist möglich. Aber hallo! Bleiben wir doch einfach mal realistisch. Auf dem Weg in die Schule sind auch schon Kinder überfahren worden. Lassen wir die Kinder deshalb nicht in die Schule laufen? Es gibt immer ein gewisses Restrisiko im Leben.

Noten

Es sollte auch völlig klar sein, dass Noten in jeglicher Form, Leistungsbewertungen, nichts in Lernplattformen, Lernmanagementsystem oder ähnlich zu suchen haben. Das schließt aber nicht aus, dass man innerhalb der Plattform Feedback gibt und Angaben macht, ob eine Aufgabe gelöst ist oder nicht. Das genau ist eine der Stärken digitaler Plattformen, das unmittelbare Feedback, um Schülerinnen und Schülern in ihren Lernprozessen zu unterstützen. Und solange Schülerinnen und Schüler keine Accounts nutzen, die direkt über den Namen persönlich zuordenbar sind, sehe ich darin kein Problem. Und da es auch keine Erfordernis gibt, Noten direkt über eine Plattform mitzuteilen, sehe ich darin auch keinen Grund, solche Plattformen nicht zu nutzen.

Nutzungsordnung & pädagogischer Auftrag

Dass persönliche Daten in schulischen digitalen Anwendungen nichts zu suchen haben, kann man Schülerinnen und Schülern durchaus verständlich machen. Auch in anderen Plattformen sollten Schülerinnen Schüler mit ihren persönlichen Daten sparsam umgehen. In einer schulischen Anwendung können sie lernen, wie man persönliche Daten vermeidet. Es ist ein pädagogischer Auftrag der Schule, dieses zu vermitteln. Ich nutze Google Classroom und meine Schülerinnen und Schüler wissen, dass persönliche Daten nichts in der Plattform zu suchen haben. Sie sprechen sich untereinander in der Plattform mit ihren englischen Pseudonymen an. Das funktioniert wunderbar. Über eine Nutzungsordnung haben wir geregelt, dass persönliche Daten nicht in Google Classroom auftauchen. Geregelt ist dort auch, dass der Nutzer Account nicht mit privaten Accounts verknüpft wird. Was aber, wenn sich jemand nicht an diese Regel hält? Was wenn die Accounts zu Hause auf dem heimischen PC verknüpft werden, da auf dem gleichen PC auch die Daten des privaten Accounts sind? Was, wenn auf dem privaten Gerät ein Trojaner mitliest? Pech gehabt! Auch wenn wir unsere Schülerinnen und Schüler immer wieder ermahnen, nicht auf dem Treppengeländer herunter zu rutschen, so tun es leider doch immer wieder welche und alle Jahre wieder liegt jemand unten am Fuß der Treppe und hat sich den Arm gebrochen. So ist das Leben.

Pragmatismus ist gefragt

Wie ich hoffentlich zeigen konnte, kann man, wenn man mit den Anforderungen an den Schutz der persönlichen Daten unserer Schülerinnen und Schüler auf einem realistischen, alltagstauglichen Maß bleibt, durchaus pragmatische Lösungen finden, um im schulischen Alltag zurecht zu kommen. Es bringt niemanden weiter, wenn wir durch überhöhte, unrealistische und auch praktisch nicht einlösbare Anforderungen in Bezug auf den Datenschutz an der Nutzung sehr vieler digitaler Angebote gehindert werden. Leider haben deutsche Firmen im internationalen Vergleich kaum etwas zu bieten, was vergleichbar wäre zu Office 365 mit der Cloud, G-Suite for Education oder Edmodo, Formative und vielen weiteren Apps und Plattformen, die für ein zeitgemäßes Lernen in Schule unverzichtbar sind. Und ganz ehrlich, wer garantiert uns, dass deutsche Firmen und Geheimdienste weniger Interesse an den persönlichen Daten der uns anvertrauten Schülerinnen und Schülern haben?

Datenschützer sind gefragt, praktikable Lösungen zu bieten

Meiner Meinung nach sollten die Datenschützer auf jeder Ebene, vom schulischen Datenschutzbeauftragten bis zu den Landesdatenschutzbeauftragten und den entsprechenden Verantwortlichen in den Ministerien für Schule ihre Aufgabe nicht primär darin sehen, nur den warnenden Zeigefinger zu heben und dieses und jenes zu verbieten. Natürlich sollen sie Schulen helfen, den Schutz der persönlichen Daten ihrer Schülerinnen Schüler so gut wie möglich sicherzustellen und nicht in irgendwelche Fallen zu tappen. Ganz wichtig wäre jedoch auch, dass diese Institutionen nach Lösungen suchen, wie man digitale Angebote trotzdem nutzen kann, ohne die persönlichen Daten der Schülerinnen und Schüler zu gefährden, und Schulen beim Finden solcher Möglichkeiten unterstützen. Außerdem sollten sie eine Aufgabe darin sehen, gemeinsam mit den Anbietern digitaler Angebote Lösungen zu finden, welche Schulen in ihren Verpflichtungen in Bezug auf den Datenschutz unterstützen. Bei der Vielzahl der Angebote kann dieses sicher nicht nur mit einer begrenzten Zahl von Angeboten erfolgen. Es wäre aber schon hilfreich, wenn es englischsprachige Orientierungshilfen für die Anbieter von Lernplattformen, Apps und LMS gäbe, die ihnen helfen könnten, ihre Angebote auf deutsche Datenschutzanforderungen auszurichten. Darauf könnten dann Schulen, die ein Angebot nutzen wollen, diese Anbieter verweisen. Wenn wir hier pragmatischer sind, wenn Schulen Unterstützung erhalten, wenn sie loslegen können, dann wird der deutsche Markt für Anbieter aus anderen Ländern auch attraktiver und das wiederum macht es für diese Firmen interessanter, den deutschen Markt mit seinen speziellen Anforderungen stärker bei der Entwicklung von Angeboten zu berücksichtigen, sei es dass man beispielsweise Server in Deutschland aufstellt oder anmietet oder dass man angepasste Formen der Nutzerregistrierung und -verwaltung und der Speicherung von Daten anbietet.

Datenschutz und Schule muss definitiv neu gedacht werden, vor allem von den oben genannten Institutionen. Wir brauchen pragmatische Lösungen, keine Kultur der Verhinderung und Beschränkung, sondern eine der Ermöglichung.

Noch gut zu wissen

Was vielen vermutlich nicht klar ist: wenn wir ohne persönliche Daten arbeiten, entfallen viele der engen Vorschriften der Datenschutzgesetzgebung. Werden keine persönlichen Daten verarbeitet, braucht es kein Verfahrensverzeichnis und auch keinen Vertrag zur Datenverarbeitung im Auftrag mit dem Anbieter einer digitalen Plattform. Eine Absicherung mit einer Nutzungsvereinbarung ist dabei aber unbedingt erforderlich. Ohne begibt sich die Schule auf juristisches Glatteis! Sind die Produkte, welche Schüler etwa in einer Plattform wie Office 365 mit der Cloud produzieren, frei von persönlichen Daten und auch sonst nicht zuordenbar, sehe ich keine Erfordernis diese Daten als persönliche Daten zu behandeln. Wenn überhaupt, dann geht es hier noch um Urheberrechte der Schüler. Es muss an dieser Stelle jedoch angemerkt werden, dass dieses nicht jeder Datenschutzbeauftragte das so sieht. Genauso, wie es auch Datenschutzbeauftragte gibt, die meinen, auch nicht persönliche Daten dürfen nicht in Drittstaaten gehen. Deshalb auch mein Appell, pragmatisch zu denken.

Auch mit einer informierten und freiwilligen Einwilligung der Betroffenen geht eigentlich alles. Für Schulen ist dieses allerdings eine Lösung, von der ich abraten würde.