Damian Duchamps' Blog

Vor einem halben Jahr setzte ich mich hier im Blog mit Datenschutz und Schule auseinander und rief zu einem pragmatischen Umgang mit dem Thema Datenschutz auf. Besser geworden ist seither nichts, erwartungsgemäß. Nicht umsonst merkt Svenja Busson, die Schulen weltweit besucht hat, um gelungene Beispiele für den Einsatz von digitalen Medien im Unterricht zu sammeln, im Spiegel Interview kritisch an zur Situation in Deutschland: “Die Lehrer täten sich leichter, wenn der Datenschutz – den ich auch wichtig finde – nicht ganz so rigide wäre.” Datenschutz bremst, so wie er gegenwärtig im Bereich der Bildung gehandhabt wird, Schulen in Deutschland weiterhin massiv aus. Und dieses macht sich jetzt umso mehr bemerkbar, wo sich Schulen in großer Zahl endlich auf den Weg machen, digitale Medien in ihren Unterricht zu integrieren. Geld sei kein Problem und werde es in den nächsten Jahren auch nicht sein, hörte man Ende 2017 bei einer Tagung in Düsseldorf aus dem Ministerium für Schule und Bildung NRW. Klingt gut. Freut uns. Das sind wirklich einmal gute Perspektiven, wenn da der Datenschutz nicht wäre. Wenn Schulen und Schulträger planen, wenn Medienkonzepte und Medienentwicklungspläne erstellt werden, spielt Datenschutz auch dabei eine Rolle, doch eher eine, die Lösungen verhindert. Keiner möchte in die Falle tappen. Alle wollen auf Nummer sicher gehen. Zu viele Fragen sind ungeklärt, zu wenige Antworten zu finden. Allzu oft kommen dann altbewährte Lösungen heraus, abgeschottete Windows Netzwerke mit Thin-Clients, Totalkontrolle und streng gefiltertem Internetzugang, interaktiven Whiteboards und bei IT Dienstleistern gehosteten LMS. Mitunter sind durchaus einmal brauchbare Lösungen dabei, doch meist ist die Umsetzung von pädagogischen Vorstellungen, die auf zeitgemäßes Lernen setzen, die die 4K im Blick haben, kaum möglich. Möchte eine Schule lieber auf iPads setzen, geht dieses leider nur mit Einschränkungen. Keine persönlichen Daten, denn die landen auf Servern von Apple und die können überall stehen, auch in den USA. Da mag Apple ganz aktuell bei der Vorstellung eines neuen iPads und neuer Software in einer Schule in Chicago noch versichern, dass die von Schulen selbst generierten und Schülern zugewiesenen Apple IDs von Apple selbst nie eingesehen würden, egal. Es geht nicht. Shared iPad, die Lösung, mit welcher mehrere Schüler ein iPad teilen können mit eigenen Accounts – geht nicht, da die Daten beim Nutzerwechsel in die iCloud gesichert werden. Die Nutzung der neuen Funktion der iWork Apps Pages, Numbers und Keynote auf iPads zur Echtzeit Kollaboration, ganz im Sinne der 4K, geht nicht, da die Synchronisation über die iCloud läuft und dieses mit den datenschutzrechtlichen Vorgaben, so wie man sie zur Zeit handhabt, nicht vereinbar ist. Am sichersten fährt man als Schule zur Zeit, wenn man iPads ohne individuelle Benutzerkonten für Schüler einsetzt. Auch individuelle Benutzer sind möglich, wenn sie über einen virtuellen Desktop als Zugangsgeräte zu einem Windows Netzwerk eingesetzt werden. Office 365 sieht man von Seiten der Wirtschaft gerne in Schulen, bereitet es doch die zukünftigen Mitarbeiter auf die Nutzung der in Firmen meistverbreiteten Office Suite vor. Das Microsoft Produkt mit OneNote Classroom und Teams bietet tolle Möglichkeiten zum kollaborativen Arbeiten. Und wenn es sein muss, bietet man sogar noch eine Cloud in deutscher Datentreuhand. Alles toll, sollte man meinen. Leider nicht. Es gibt offiziell kein grünes Licht, dass Schulen Office 365 vernünftig nutzen können, ohne datenschutzrechtliche Vorgaben zu verletzen. G-Suite for Education und Chromebooks sind in den USA und vielen Ländern der Welt ein Erfolgsmodell, gut zu nutzen für Schüler wie Lehrkräfte, ideal für die Umsetzung der 4K, einfachst zu administrieren, doch für staatliche Schulen in Deutschland mehr oder weniger ein No-go. Auch hier fehlt grünes Licht für eine datenschutzrechtlich abgesicherte Nutzung. Die Liste ließe sich fortsetzen mit zahllosen Apps und Webplattformen, die für die Unterrichtsentwicklung mit digitalen Medien fantastische Möglichkeiten bieten, wäre da nicht das Thema Datenschutz. Will man in Schule digital arbeiten, so ist dieses eigentlich nur dann sinnvoll, wenn Schüler mit Klarnamen arbeiten können. Die Nutzung von Pseudonymen, wie ich sie im September als pragmatischen Ausweg vorschlug, ist zwar durchaus machbar, doch im schulischen Alltag auf Dauer nicht zweckmäßig. Kommunikation und Kollaboration funktionieren eindeutig besser, wenn man mit echten Namen arbeitet. Auch Lehrkräften kann nicht zugemutet werden, dass sie Pseudonyme mit Listen abgleichen, wenn sie digitale Lernprodukte bewerten sollen.

Im Februar hat das Thema Datenschutz in NRW mit der neuen verpflichtenden Genehmigung, welche Lehrkräfte nun benötigen, wenn sie Daten ihrer Schüler auf einem privaten Endgeräten verarbeiten wollen, zusätzliche Brisanz erhalten. Lehrkräfte und Schulleitungen fühlen sich von den Vorgaben überfordert, Hauptpersonalräte und Gewerkschaften raten davon ab, die Genehmigung zu unterzeichnen und fordern Dienstgeräte. Die LDI NRW liegt mit ihrer Einschätzung auf gleicher Linie. Axel Krommer deutet in seinem Beitrag Anzeichen der Krise II die Genehmigung als ein weiteres Phänomen der Krise in der Übergangszeit zwischen dem Gutenberg-Paradigma und dem Turing-Paradigma. Der Datenschutz, so Krommer, bremse die digitalen Arbeits- und Kommunikationsprozesse aus und unterstütze damit im Extremfall unter dem Motto „Datenschutz vor Pädagogik!“ die Stift-und-Block-Kultur. Die Lösung heißt für ihn deshalb, “Zeitgemäße Bildung wird nur Hand in Hand mit zeitgemäßem Datenschutz möglich sein.”

Als wenn die vielen ungelösten Problem mit dem Datenschutz in Schule nicht reichen würden, rückt nun der Tag näher, an welchem die Datenschutz-Grundverordnung (DS-GVO) in Kraft tritt. Schon seit zwei Jahren wissen wir, was kommt. Die europäischen Länder spezifizieren die nationale Ausgestaltung in Form der Datenschutzgesetze der Länder. Arbeitsgruppen diverser Wirtschaftsbereiche sind seit dieser Zeit damit beschäftigt, Strategien auszuarbeiten, wie man die Vorgaben der DS-GVO umsetzen kann. Die DS-GVO stärkt die Rechte der einzelnen Person im Sinne der informationellen Selbstbestimmung und soll sie vor Missbrauch der personenbezogenen Daten schützen. Entsprechend sind die mit Verstößen verbundenen Sanktionen deutlich stärker als sie es bisher waren.

Auch vor der Bildung macht das Thema DS-GVO nicht halt, wenngleich aktuell noch keine unmittelbar davon abgeleiteten Regelungen im schulischen Bereich bekannt sind, zumindest nicht in NRW. Veröffentlicht wurden bisher nur eine Übersicht und Hilfestellungen der Datenschutzkonferenz zu den anstehenden Veränderungen in Schule. “Zusammenfassend ist festzuhalten, dass die DS-GVO für die Datenverarbeitung durch öffentliche Stellen eine Vielzahl von Veränderungen vorsieht.” fasst die Landesbeauftragte für Datenschutz in Niedersachsen die Lage zusammen.

Und als wenn das noch nicht genug wäre, sorgen sich nun auch bloggende Lehrkräfte und Verantwortliche für Schulhomepages, aufgeschreckt durch Artikel wie Datenschutzgrundverordnung: Neue Abmahngefahren für Websites und DSGVO: Was freie Journalisten und Blogger jetzt tun müssen, ob ihnen bei ihren Blogs irgendwelche Gefahren durch die Nutzung von Inhalten aus fremden Quellen, Web-Fonts und Analyse-Tools drohen.

Zu Hülfe, der Datenschutz … möchte man rufen. Wie ein drohendes Unwetter zieht der 25. Mai herauf und keiner weiß so recht, was passieren wird. Statt Klarheit herrscht überall Unsicherheit. Wie bei so vielen Dingen fehlen klare, eindeutige Vorgaben, an denen man sich orientieren kann.

Das Recht auf informationelle Selbstbestimmung ist ein Grundrecht und Datenschutz damit Pflicht. Wie die unermessliche Datensammelwut von Facebook und Co. und Datenskandale wie Cambridge Analytica bestens illustrieren, sind Regelungen dringend von Nöten, um das Individuum zu schützen. Das Kind ist, was den Datenschutz angeht, quasi schon in den Brunnen gefallen. Die riesigen Internetkonzerne, die mittlerweile teilweise das wirtschaftliche Volumen großer Volkswirtschaften haben, konnten das Internet quasi in Wildwest Manier ungehindert und unreguliert für sich erobern. Die DS-GVO Europas kommt nun im letzten Moment um die Ecke, um zu retten, was noch zu  retten ist, und um für die Zukunft die Weichen zu stellen für einen besseren Schutz der personenbezogenen Daten der Menschen.

Bei der DS-GVO geht es um Recht und Gesetz, wie auch bei den davon abgeleiteten nationalen Regelungen, den Datenschutzgesetzen und Verordnungen. Wenn das Recht eindeutig wäre, bedürfte es nicht Heerscharen von Juristen, die es auslegen. Am Ende entscheidet die Auslegung über die Durchsetzung von Recht, in letzter Instanz vor Gericht. Und so gibt es auch beim Datenschutz keine absolute Eindeutigkeit. Man findet Auslegungen, die eher restriktiver Natur sind und solche, welche die Paragraphen freiheitlicher interpretieren.

Und so kann man ziemlich sicher davon ausgehen, dass es den Schöpfern der DS-GVO nicht darum geht, das Internet zu zerbrechen, denn dafür ist seine Bedeutung zu groß.

Vor diesem Hintergrund sollte man auch die aktuelle Situation betrachten. Wenn man die anfangs beschriebenen Schwierigkeiten, die wir als Lehrkräfte, Schulleitungen und Schulträger (und bloggende Lehrer) mit dem Datenschutz haben, zusammengefasst betrachtet, so haben alle die gleichen Ursachen: Überforderung, Unsicherheit, Angst.

• Als Nutzer digitaler Medien sind wir alle mit dem Datenschutz, so wie er momentan in Deutschland gehandhabt wird, komplett überfordert.
• Überfordert scheinen auch die verantwortlichen Stellen, Ministerien und Landesdatenschutzbehörden, denn anders ist nicht zu erklären, warum von diesen keine eindeutigen Aussagen zu erhalten sind, ob und wie die oben genannten Plattformen genutzt werden können.
• In Folge herrscht unter Lehrkräften, Schulleitungen und Schulträgern eine extreme Unsicherheit.
• Jeder hat Angst vor den möglichen rechtlichen Konsequenzen, falls mal etwas schief geht.

Und in dieser Kombination lähmt der Datenschutz die Entwicklung in Deutschland massiv. Vieles, was möglich wäre, unterbleibt.

Was wir brauchen, um aus dieser Misere herauszukommen, ist ein Ende der Unsicherheit. Verantwortliche Stellen müssen klare Stellung beziehen, eindeutige Aussagen machen, was geht und was nicht – und dabei sollte man die Vorgaben der Datenschutz Gesetzgebung eher freiheitlich und ermöglichend auslegen als restriktiv und verhindernd.

Dass dieses möglich ist, zeigen die Beispiele vieler Länder um uns herum. Der Schweiz, deren Schulen beispielsweise G-Suite for Education nutzen können, wird vermutlich niemand vorwerfen wollen, leichtfertig mit den personenbezogenen Daten ihrer Bürger umzugehen. Was in anderen Ländern möglich ist, sollte also auch bei uns in Deutschland gehen.

Die Sorge, dass große Konzerne wie Microsoft, Apple und Google die Daten von Schülern und Lehrern für eigene Zwecke missbrauchen könnten, ist sicherlich berechtigt. Doch auch hier gibt es Lösungen. Die heißen Gesetze. Man braucht Institutionen, die über die Einhaltung der Vorgaben des Datenschutzes wachen. Es gibt sie, von staatlicher Seite wie im NGO Bereich. Und werden Verstöße festgestellt, werden die Verantwortlichen mit den Mitteln des Gesetzes zur Rechenschaft gezogen und mit Sanktionen belegt.

Nicht verhindern können wir, wenn im Zuge polizeilicher oder geheimdienstlicher Ermittlungen US Behörden Zugriff auf Daten erhalten, die auf den europäischen Servern von US Firmen liegen. Dass man darin jedoch einen Grund sieht, die Cloud Produkte von US Firmen für deutsche Schulen generell zu verbieten, halte ich für absolut übertrieben. Greifen europäische und deutsche Ermittlungsbehörden nicht auch auf diese Daten zu?

Auch für die Genehmigung für Lehrkräfte in NRW, schulische Daten auf privaten Endgeräten zu verarbeiten, sind praktikable Lösungen möglich. Der aktuelle Ansatz, die rechtliche Verantwortung komplett auf Schulleitungen und Lehrkräfte abwälzen zu wollen, ist ganz sicher nicht der richtige Weg. Hier muss die Landesregierung dringend nachbessern. Dienstgeräte sind eine Möglichkeit, aber keine billige, denn diese Geräte müssen nicht nur beschafft, sondern auch professionell gemanagt werden, um Sicherheit zu bieten. Das Land muss die Lehrkräfte und Schulleitungen aus der alleinigen Haftung entlassen und sie rechtlich absichern. Klar ist, wenn grobe Fahrlässigkeit nachzuweisen ist mit einem Datenschutzverstoß, dann sollte das auch rechtliche Konsequenzen haben. In allen anderen Fällen sollte jedoch das Land die Haftung für seine Schulleitungen und Lehrkräfte übernehmen. Vielleicht sollte das Land NRW hier eine entsprechende Versicherung abschließen. Außerdem sollte es möglich sein, dass Lehrkräfte, die auf ein Dienstgerät verzichten und lieber ein eigenes Gerät nutzen, dieses tun können. Auch sie müssen vom Land rechtlich in Schutz genommen werden, wenngleich bei ihnen eine begrenzte Mithaftung vorstellbar wäre. In der Regel werden vor allem erfahrenere Benutzer eigene Geräte anstelle von Dienstgeräten haben wollen, und die wissen meist, was sie tun.

Das Inkrafttreten der DS-GVO wird in Bezug auf den Datenschutz nicht nur einen besseren Schutz für die Bürger bringen, sondern für Schule auch neue Möglichkeiten eröffnen. Warum? Da die DS-GVO dafür sorgt, dass wir in allen europäischen Mitgliedstaaten ein einheitliches Datenschutzrecht habe und damit auch ein einheitliches Datenschutzniveau, können wir in Deutschland endlich auch die tollen Online Angebote aus anderen europäischen Ländern nutzen, die uns bisher verwehrt geblieben sind. Sie haben ab dem 25. Mai 2018 den gleichen datenschutzrechtlichen Status wie deutsche Angebote.

Und was die Sorgen der bloggenden Lehrkräfte angeht und die Betreiber von Schulhomepages, hier sollte man mit dem rechten Augenmaß an die Sache herangehen. Es ist durchaus zu erwarten, dass Abmahn-Haie in der Anfangszeit nach Inkrafttreten der DS-GVO ihr Unwesen treiben werden. Allerdings ist auch damit zu rechnen,  dass die Gesetzgeber diesem Treiben schnell ein Ende setzen werden. Dass man sich als Blogger Gedanken machen muss, ob bei der Nutzung von Google Web Fonts, von Google Analytics, der Einbindung von LearningApps und von YouTube Videos oder beim Abgeben von Kommentaren Daten erhoben werden, ist abstrus. Das hat auch nichts mehr mit Datenschutz zu tun im Sinne der Gesetzgebung zu tun. Diese Daten werden überall erhoben. Sie gehören zum Internet und jeder, der als medienkompetenter Nutzer im Internet unterwegs ist, ist sich darüber im Klaren. Das ist wie im Straßenverkehr. Jeder kennt die Regeln, weiß, wie es läuft, und nur, wenn es Abweichungen davon gibt, werden wir durch Schilder darauf hingewiesen. Viel wichtiger ist es für Betreiber von (nichtkommerziellen) Webseiten, dass sie grundsätzlich versuchen, die Erhebung von Daten der Besucher auf ein notwendiges Minimum zu beschränken und dass sie die Erhebung außergewöhnlicher Daten anzeigen und genau dafür eine Einwilligung einholen.

So aussichtslos wie manches scheint, ist es in Bezug auf den Datenschutz und die Schule eigentlich gar nicht bestellt. Alle beschriebenen Probleme sind lösbar. Es müssen nur alle wollen, endlich Stellung beziehen und Schulen und Lehrkräften unterstützend zur Seite stehen. Und auch für die Blogger wird nichts so schlimm kommen, wie von manchen befürchtet. Und die DS-GVO wird nach einigen Anlaufschwierigkeiten mit der alltäglichen Umsetzung ein Gewinn sein, für alle.