Damian Duchamps' Blog

Datenschutz und Schule – wo ansetzen?

Posted in Datenschutz, Google Classroom, Schule und Recht by damianduchamps on April 2, 2018

Meinen letzten Beitrag “Zu Hülfe, der Datenschutz …” hatte ich mit dem Fazit geschlossen “Es müssen nur alle wollen, endlich Stellung beziehen und Schulen und Lehrkräften unterstützend zur Seite stehen.” Bei Twitter stellte später Matthias Förtsch die Frage, wer denn “alle” seien und wo man hier ansetzen müsse.

Bildschirmfoto 2018-04-02 um 09.51.04.png

Im Beitrag hatte ich die Verantwortlichen zwar genannt, möchte hier aber noch einmal konkreter werden.

Das grundlegende Problem für Schulen besteht aktuell darin, dass Lehrkräfte bestimmte Softwareprodukte und Plattformen im Unterricht nutzen möchten, es jedoch in den wenigsten Fällen rechtsverbindliche Aussagen von vorgesetzten Dienststellen gibt, ob und wie die Nutzung in Bezug auf datenschutzrechtliche Vorgaben möglich ist. Die daraus resultierende Unsicherheit bei Lehrern, Schulleitungen und Schulträgern führt dazu, dass viele Lösungen in Schule nie oder nur unbefriedigend realisiert werden können, was zu einer zusätzlichen Erschwernis bei der Entwicklung des Unterrichts mit digitalen Medien führt.

Ein Beispiel aus NRW – keine Hilfe ist wenig hilfreich

Symptomatisch hierfür ist für mich ein Beispiel aus NRW. Hier ging es um ein Berufskolleg, welches Office 365 im Unterricht einsetzen möchte. Man war sich nicht sicher, ob bzw. Wie dieses datenschutzrechtlich möglich ist. Eine Anfrage im Dezember 2016 bei der Landesdatenschutzbehörde erbrachte als Ergebnis lediglich, dass ein Bundesländer übergreifendes Verfahren zur datenschutzrechtlichen Beurteilung von Microsoft Office 365 noch nicht abgeschlossen sei, da Microsoft nicht alle Fragen verbindlich beantwortet habe, und außerdem sei es ohnehin das Ministerium für Schule und Bildung, welches die “datenschutzrechtliche Ressortverantwortung” trage. Eine Empfehlung könne man von Seiten der LDI für die Nutzung von Office 365 wegen der ungeklärten Fragen nicht aussprechen. In einer Antwort bestätigt das Ministerium für Schule und Bildung seine Verantwortung, “der Hinweis der LDI auf die Verantwortung des MSW für die Einhaltung des Datenschutzes im Schulbereich ist ohne jeden Zweifel zutreffend” und verweist dann auf den zuständigen schulischen Datenschutzbeauftragten und ergänzt, dass man “als oberste Landesbehörde die Bearbeitung aller Einzelfälle zu Fragen des schulischen Datenschutzes” nicht übernehmen könne. Dass es hierbei eigentlich nicht um einen Einzelfall, sondern um eine grundsätzliche Frage geht, scheint man nicht zu sehen, will man vielleicht auch nicht sehen. Das Ende vom Lied, es hat sich bis heute nichts getan. Die Schule kommt nicht weiter, wie so viele andere.

Beispiele aus anderen Bundesländern – wo etwas geht

Dass es auch völlig anders gehen kann, zeigt das Beispiel Hessen, wo der dortige Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI) sich im August 2017 ganz klar positionierte in Bezug auf die Nutzung von Office 365 unter Einhaltung datenschutzrechtlicher Vorgaben. Er kommt zu dem Schluss, dass eine Nutzung im pädagogischen Bereich möglich ist und erklärt, was dabei zu beachten ist.

Vergleichbar ist eine offizielle Stellungnahme der LDI von Rheinland Pfalz zu den Anforderungen für den schulischen Einsatz von Google-Classroom und Cloud Angeboten wie Office 365 und Google generell.

Auch in Niedersachsen äußerte sich in einem Tätigkeitsbericht die Landesbeauftragte für Datenschutz zur Nutzung der Cloud Version von Office 365. Sie kam in ihrem Tätigkeitsbericht für 2013/14 zu dem Schluss, dass eine Nutzung nicht zulässig wäre (Anmerkung: das Cloud Angebot entsprach zu der Zeit noch nicht der aktuellen Variante).

In Baden-Württemberg nimmt das Kultusministerium ganz aktuell in der FAQ Datenschutz an Schulen EUDSGVO (03/2018) Stellung zum Thema Cloud Computing und sagt, unter welchen Bedingungen die Nutzung möglich ist und was getan werden muss. Genannt werden als Beispiele Beispiele für Cloud-Computing “Dropbox, Microsoft Cloud Services (z.B. Office365, Azure), Google Drive, iCloud sowie weitere Web 2.0 Anwendungen.” Abschließend gibt sie sogar eine Empfehlung ab. Das ginge sicher noch besser, etwa über einen Rahmenvertrag (siehe unten Beispiel Kanton Zürich) doch hiermit haben Schulen schon einmal eine klare Handlungsmöglichkeit.

Die Zuständigen: Schulministerien und Landesdatenschutzbehörden

Die Zuständigkeiten sind, was Schule und Datenschutz in grundsätzlichen Fragen angeht, eigentlich klar. Das jeweilige Schulministerium eines jeden Bundeslandes trägt die datenschutzrechtliche Ressortverantwortung. Damit liegt es auch an diesen Ministerien, die Schulen zu unterstützen und rechtlich abzusichern, vor allem wenn es um grundlegende Fragen geht. Office 365, G-Suite for Education und Apple und seine Bildungsangebote gehören heute zu den Produkten, welche Schulen vorrangig einsetzen möchten. Oft tun sie dieses auch schon, dann aber entweder mit Einschränkungen und Behelfslösungen oder ohne datenschutzrechtliche Absicherung in einer rechtlichen Grauzone. Und das ist kein haltbarer Zustand.

Neben den Schulministerien spielen jedoch auch die Landesdatenschutzbehörden eine Rolle, wie die Beispiele aus Hessen, Rheinland Pfalz und Niedersachsen deutlich zeigen.

Wie es gehen könnte

Das Beispiel der jetzt kurz vor Inkrafttreten stehenden Datenschutz Grundverordnung zeigt sehr gut, wie Organisationen mit dem Thema Datenschutz umgehen. Man beauftragt in der Regel Juristen damit, die Prozesse innerhalb der Organisation auf die Konformität mit den rechtlichen Vorgaben zu überprüfen und bei Bedarf entsprechende Anpassungen auszuarbeiten. Die Juristen stammen bei großen Organisationen aus der eigenen Rechtsabteilung, bei kleineren Organisationen bedient man sich externer Fachleute. Dieses Vorgehen findet man in der Wirtschaft bei Einzelunternehmen und Verbänden wie auch in Behörden.

Entsprechend dieser Strukturen gibt es auch Mechanismen, die in Gang gesetzt werden, wenn in laufenden Prozessen datenschutzrechtliche Fragestellungen oder Probleme auftreten.

Will eine Organisation die Dienste eines großen Anbieters wie Microsoft, Google, Apple, SAP oder ähnlich nutzen, dann werden hier Verträge abgeschlossen. Und auch hier greifen wieder die Strukturen der Organisation. Es wird geprüft, rechtlich geprüft, ob Dienste des Anbieters den eigenen Ansprüchen in Bezug auf Vertraulichkeit wie aber auch den Vorgaben in Bezug auf den Datenschutz, so zutreffend, entsprechen. Die großen Anbieter digitaler Dienstleistungen verfügen in der Regel über fertige Vertragswerke. Außerdem lassen sich die großen Anbieter von verschiedenen Organisationen zertifizieren. Über die Zertifizierung kann leicht nachgewiesen werden, ob bestimmte rechtliche Vorgaben und Standards eingehalten werden. Wenn dieses nicht ausreichend ist oder den Vorstellungen der Organisation entspricht, wird mit dem Anbieter verhandelt. In der Folge werden Vertragswerke angepasst und bei Bedarf auch Anpassungen an den Diensten des Anbieters entsprechend der Vorgaben der Organisation vorgenommen.

Geht es um die Nutzung von Software oder Cloud-Diensten in Behörden, Universitäten und Schulen werden in der Regel sogenannte Rahmenverträge abgeschlossen. Es kommt dabei jedoch auch darauf an, wer den Rahmenvertrag aushandelt und abschließt. Wie ein solcher Rahmenvertrag für Schulen aussehen könnte, zeigt das Beispiel des Kantons Zürich in der Schweiz. Hier wurde zur datenschutzkonformen Bearbeitung von Personendaten über das Schweizer Medieninstitut für Bildung und Kultur (educa.ch) mit Microsoft ein Rahmenvertrag für den Einsatz von Office 365 in den Primar- und Sekundarschulen geschlossen. Eine Übersicht auf den Seiten des Datenschutzbeauftragten des Kanton Zürich zeigt an, welche Office 365 Komponenten innerhalb des Rahmenvertrages datenschutzkonform genutzt werden können. Bevor dieser Rahmenvertrag möglich wurde, sorgte man in der Schweiz durch eine Vertragsanpassung mit Microsoft dafür, dass die Office 365 Cloud-Dienste von Schulen datenschutzrechtlich unbedenklich eingesetzt werden können.

Auch in Österreich hat man eine Lösung für Schulen geschaffen. Das Bundesministerium für Bildung, Wissenschaft und Forschung hat einen Rahmenvertrag mit Microsoft abgeschlossen. Schulen können die Cloud Lösung von MS Office 365 datenschutzrechtlich sicher nutzen. Welche Bedingungen erfüllt werden müssen, ist klar genannt, eine Einwilligung der Schüler und eine Weiterleitung der Schülerdaten an Microsoft durch die Schule selbst.

Einen Rahmenvertrag gibt es in Deutschland schon

Rahmenverträge mit Microsoft gibt es in Deutschland bereits, für Schulen den mit FWU. Dieser „FWU-Vertrag“ 3.0 wurde Ende 2016 abgeschlossen mit dem Ziel „viele Möglichkeiten der Nutzung von Cloud-Diensten, um für Schulen, Lehrende und Schüler/innen gemeinsam eine moderne und zukunftssichere Lehr- und Lernumgebung zu gestalten.“ Das Problem bei diesem Rahmenvertrag ist jedoch, wie das Beispiel aus NRW zeigt, dass er ohne verbindliche Aussagen des Schulministeriums oder der Landesdatenschutzbehörde für Schulen wertlos ist. Die Aussagen gibt es nicht, da die beiden Behörden mit größter Wahrscheinlichkeit nicht an den Verhandlungen beteiligt waren.

Wie man in Deutschland handeln sollte

Es muss also Klarheit geschaffen werden durch Schulministerien und Landesdatenschutzbehörden. Es reicht nicht, wenn ein Unternehmen wie FWU einen Vertrag mit Microsoft aushandelt, wenn dieses nicht die rechtliche Autorität hat, den Rahmen im Sinne des Datenschutzes für Schulen verbindlich auszuhandeln. Wenn die Datenschutzbehörden weiter auf Antworten von Microsoft waren wollen, wie oben beschrieben, werden sie ewig warten, vermute ich. Man muss verhandeln. Mit der Peitsche der DS-GVO drohen braucht man wohl nicht mehr. Vielleicht hilft es aber, mit der Möhre zu locken.

Ehrlich gesagt sehe ich wenig Sinn darin, wenn jedes Bundesland für sich in Verhandlungen mit den großen Anbietern wie Microsoft, Apple und Google tritt. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder und ihre Arbeitskreise arbeiten ohnehin regelmäßig gemeinsame Positionen zu datenschutzrechtlichen Themen aus, wie Beispiele zu Lernplattformen und Cloud Computing zeigen. Wenn der Bund mit einer Grundgesetzänderung nun ohnehin mehr Verantwortung in der Bildung übernimmt, sollte doch nichts dagegen sprechen, wenn entsprechende Rahmenverträge durch den Bund ausgehandelt würden, einschließlich der dazu notwendigen Vertragsänderungen. Immerhin würde der Bund mehr als 30.000 allgemeinbildende Schulen vertreten mit ungefähr 8,37 Millionen Schülern (statista), eine große Möhre, auch für Microsoft, Apple und Google. Für die Konzerne ginge es um ein größeres Finanzvolumen bzw. im Falle von Google um mehr Nutzer, die sich mit der Marke anfreunden. Damit hätte der Bund wesentlich mehr Gewicht in den Verhandlungen und könnte leichter nationale Datenschutzvorgaben, soweit sie von der DS-GVO abweichen, und Vertragskonditionen durchsetzen. Dass solches Sinn macht und möglich ist, zeigen das Beispiel Österreich.

Die letzte Frage

Die Frage, welche nun am Schluss bleibt, nachdem benannt ist, wer alles wollen muss, ist letztlich, wo genau man nun die Hebel ansetzen muss, um die Schulministerien und Landesdatenschutzbehörden bzw. den Bund zum Handeln zu bewegen.

Meine Recherchen zum Thema lassen vermuten, dass es zwar bei den Schulministerien und Landesdatenschutzbehörden immer wieder vereinzelte Anfragen von Schulen gibt, die dann jedoch, wenn überhaupt, nur einzeln beantwortet werden, und oft mit einer Antwort, die nicht weiterhilft. Einzelne Bundesländer zeigen zumindest, dass sie in die richtige Richtung denken. Es bräuchte aber wohl eine konzertierte Aktion, um alle diese trägen Kolosse von übergeordneten Behörden der Länder (die Schulministerien und Landesdatenschutzbehörden) bzw. des Bundes (das Bundesministerium für Bildung und Forschung und die Bundesdatenschutzbeauftragte) zum Handeln zu bewegen. Vielleicht ist dort nicht einmal klar, dass hier Handeln dringend erforderlich ist, vor allem jetzt,wo Geld kein Problem sein soll, wo Schulen und Schulträger Weichen stellen müssen.

 

Advertisements