Damian Duchamps' Blog

Datenschutz und Schule – wo ansetzen?

Posted in Datenschutz, Google Classroom, Schule und Recht by damianduchamps on April 2, 2018

Meinen letzten Beitrag “Zu Hülfe, der Datenschutz …” hatte ich mit dem Fazit geschlossen “Es müssen nur alle wollen, endlich Stellung beziehen und Schulen und Lehrkräften unterstützend zur Seite stehen.” Bei Twitter stellte später Matthias Förtsch die Frage, wer denn “alle” seien und wo man hier ansetzen müsse.

Bildschirmfoto 2018-04-02 um 09.51.04.png

Im Beitrag hatte ich die Verantwortlichen zwar genannt, möchte hier aber noch einmal konkreter werden.

Das grundlegende Problem für Schulen besteht aktuell darin, dass Lehrkräfte bestimmte Softwareprodukte und Plattformen im Unterricht nutzen möchten, es jedoch in den wenigsten Fällen rechtsverbindliche Aussagen von vorgesetzten Dienststellen gibt, ob und wie die Nutzung in Bezug auf datenschutzrechtliche Vorgaben möglich ist. Die daraus resultierende Unsicherheit bei Lehrern, Schulleitungen und Schulträgern führt dazu, dass viele Lösungen in Schule nie oder nur unbefriedigend realisiert werden können, was zu einer zusätzlichen Erschwernis bei der Entwicklung des Unterrichts mit digitalen Medien führt.

Ein Beispiel aus NRW – keine Hilfe ist wenig hilfreich

Symptomatisch hierfür ist für mich ein Beispiel aus NRW. Hier ging es um ein Berufskolleg, welches Office 365 im Unterricht einsetzen möchte. Man war sich nicht sicher, ob bzw. Wie dieses datenschutzrechtlich möglich ist. Eine Anfrage im Dezember 2016 bei der Landesdatenschutzbehörde erbrachte als Ergebnis lediglich, dass ein Bundesländer übergreifendes Verfahren zur datenschutzrechtlichen Beurteilung von Microsoft Office 365 noch nicht abgeschlossen sei, da Microsoft nicht alle Fragen verbindlich beantwortet habe, und außerdem sei es ohnehin das Ministerium für Schule und Bildung, welches die “datenschutzrechtliche Ressortverantwortung” trage. Eine Empfehlung könne man von Seiten der LDI für die Nutzung von Office 365 wegen der ungeklärten Fragen nicht aussprechen. In einer Antwort bestätigt das Ministerium für Schule und Bildung seine Verantwortung, “der Hinweis der LDI auf die Verantwortung des MSW für die Einhaltung des Datenschutzes im Schulbereich ist ohne jeden Zweifel zutreffend” und verweist dann auf den zuständigen schulischen Datenschutzbeauftragten und ergänzt, dass man “als oberste Landesbehörde die Bearbeitung aller Einzelfälle zu Fragen des schulischen Datenschutzes” nicht übernehmen könne. Dass es hierbei eigentlich nicht um einen Einzelfall, sondern um eine grundsätzliche Frage geht, scheint man nicht zu sehen, will man vielleicht auch nicht sehen. Das Ende vom Lied, es hat sich bis heute nichts getan. Die Schule kommt nicht weiter, wie so viele andere.

Beispiele aus anderen Bundesländern – wo etwas geht

Dass es auch völlig anders gehen kann, zeigt das Beispiel Hessen, wo der dortige Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI) sich im August 2017 ganz klar positionierte in Bezug auf die Nutzung von Office 365 unter Einhaltung datenschutzrechtlicher Vorgaben. Er kommt zu dem Schluss, dass eine Nutzung im pädagogischen Bereich möglich ist und erklärt, was dabei zu beachten ist.

Vergleichbar ist eine offizielle Stellungnahme der LDI von Rheinland Pfalz zu den Anforderungen für den schulischen Einsatz von Google-Classroom und Cloud Angeboten wie Office 365 und Google generell.

Auch in Niedersachsen äußerte sich in einem Tätigkeitsbericht die Landesbeauftragte für Datenschutz zur Nutzung der Cloud Version von Office 365. Sie kam in ihrem Tätigkeitsbericht für 2013/14 zu dem Schluss, dass eine Nutzung nicht zulässig wäre (Anmerkung: das Cloud Angebot entsprach zu der Zeit noch nicht der aktuellen Variante).

In Baden-Württemberg nimmt das Kultusministerium ganz aktuell in der FAQ Datenschutz an Schulen EUDSGVO (03/2018) Stellung zum Thema Cloud Computing und sagt, unter welchen Bedingungen die Nutzung möglich ist und was getan werden muss. Genannt werden als Beispiele Beispiele für Cloud-Computing “Dropbox, Microsoft Cloud Services (z.B. Office365, Azure), Google Drive, iCloud sowie weitere Web 2.0 Anwendungen.” Abschließend gibt sie sogar eine Empfehlung ab. Das ginge sicher noch besser, etwa über einen Rahmenvertrag (siehe unten Beispiel Kanton Zürich) doch hiermit haben Schulen schon einmal eine klare Handlungsmöglichkeit.

Die Zuständigen: Schulministerien und Landesdatenschutzbehörden

Die Zuständigkeiten sind, was Schule und Datenschutz in grundsätzlichen Fragen angeht, eigentlich klar. Das jeweilige Schulministerium eines jeden Bundeslandes trägt die datenschutzrechtliche Ressortverantwortung. Damit liegt es auch an diesen Ministerien, die Schulen zu unterstützen und rechtlich abzusichern, vor allem wenn es um grundlegende Fragen geht. Office 365, G-Suite for Education und Apple und seine Bildungsangebote gehören heute zu den Produkten, welche Schulen vorrangig einsetzen möchten. Oft tun sie dieses auch schon, dann aber entweder mit Einschränkungen und Behelfslösungen oder ohne datenschutzrechtliche Absicherung in einer rechtlichen Grauzone. Und das ist kein haltbarer Zustand.

Neben den Schulministerien spielen jedoch auch die Landesdatenschutzbehörden eine Rolle, wie die Beispiele aus Hessen, Rheinland Pfalz und Niedersachsen deutlich zeigen.

Wie es gehen könnte

Das Beispiel der jetzt kurz vor Inkrafttreten stehenden Datenschutz Grundverordnung zeigt sehr gut, wie Organisationen mit dem Thema Datenschutz umgehen. Man beauftragt in der Regel Juristen damit, die Prozesse innerhalb der Organisation auf die Konformität mit den rechtlichen Vorgaben zu überprüfen und bei Bedarf entsprechende Anpassungen auszuarbeiten. Die Juristen stammen bei großen Organisationen aus der eigenen Rechtsabteilung, bei kleineren Organisationen bedient man sich externer Fachleute. Dieses Vorgehen findet man in der Wirtschaft bei Einzelunternehmen und Verbänden wie auch in Behörden.

Entsprechend dieser Strukturen gibt es auch Mechanismen, die in Gang gesetzt werden, wenn in laufenden Prozessen datenschutzrechtliche Fragestellungen oder Probleme auftreten.

Will eine Organisation die Dienste eines großen Anbieters wie Microsoft, Google, Apple, SAP oder ähnlich nutzen, dann werden hier Verträge abgeschlossen. Und auch hier greifen wieder die Strukturen der Organisation. Es wird geprüft, rechtlich geprüft, ob Dienste des Anbieters den eigenen Ansprüchen in Bezug auf Vertraulichkeit wie aber auch den Vorgaben in Bezug auf den Datenschutz, so zutreffend, entsprechen. Die großen Anbieter digitaler Dienstleistungen verfügen in der Regel über fertige Vertragswerke. Außerdem lassen sich die großen Anbieter von verschiedenen Organisationen zertifizieren. Über die Zertifizierung kann leicht nachgewiesen werden, ob bestimmte rechtliche Vorgaben und Standards eingehalten werden. Wenn dieses nicht ausreichend ist oder den Vorstellungen der Organisation entspricht, wird mit dem Anbieter verhandelt. In der Folge werden Vertragswerke angepasst und bei Bedarf auch Anpassungen an den Diensten des Anbieters entsprechend der Vorgaben der Organisation vorgenommen.

Geht es um die Nutzung von Software oder Cloud-Diensten in Behörden, Universitäten und Schulen werden in der Regel sogenannte Rahmenverträge abgeschlossen. Es kommt dabei jedoch auch darauf an, wer den Rahmenvertrag aushandelt und abschließt. Wie ein solcher Rahmenvertrag für Schulen aussehen könnte, zeigt das Beispiel des Kantons Zürich in der Schweiz. Hier wurde zur datenschutzkonformen Bearbeitung von Personendaten über das Schweizer Medieninstitut für Bildung und Kultur (educa.ch) mit Microsoft ein Rahmenvertrag für den Einsatz von Office 365 in den Primar- und Sekundarschulen geschlossen. Eine Übersicht auf den Seiten des Datenschutzbeauftragten des Kanton Zürich zeigt an, welche Office 365 Komponenten innerhalb des Rahmenvertrages datenschutzkonform genutzt werden können. Bevor dieser Rahmenvertrag möglich wurde, sorgte man in der Schweiz durch eine Vertragsanpassung mit Microsoft dafür, dass die Office 365 Cloud-Dienste von Schulen datenschutzrechtlich unbedenklich eingesetzt werden können.

Auch in Österreich hat man eine Lösung für Schulen geschaffen. Das Bundesministerium für Bildung, Wissenschaft und Forschung hat einen Rahmenvertrag mit Microsoft abgeschlossen. Schulen können die Cloud Lösung von MS Office 365 datenschutzrechtlich sicher nutzen. Welche Bedingungen erfüllt werden müssen, ist klar genannt, eine Einwilligung der Schüler und eine Weiterleitung der Schülerdaten an Microsoft durch die Schule selbst.

Einen Rahmenvertrag gibt es in Deutschland schon

Rahmenverträge mit Microsoft gibt es in Deutschland bereits, für Schulen den mit FWU. Dieser „FWU-Vertrag“ 3.0 wurde Ende 2016 abgeschlossen mit dem Ziel „viele Möglichkeiten der Nutzung von Cloud-Diensten, um für Schulen, Lehrende und Schüler/innen gemeinsam eine moderne und zukunftssichere Lehr- und Lernumgebung zu gestalten.“ Das Problem bei diesem Rahmenvertrag ist jedoch, wie das Beispiel aus NRW zeigt, dass er ohne verbindliche Aussagen des Schulministeriums oder der Landesdatenschutzbehörde für Schulen wertlos ist. Die Aussagen gibt es nicht, da die beiden Behörden mit größter Wahrscheinlichkeit nicht an den Verhandlungen beteiligt waren.

Wie man in Deutschland handeln sollte

Es muss also Klarheit geschaffen werden durch Schulministerien und Landesdatenschutzbehörden. Es reicht nicht, wenn ein Unternehmen wie FWU einen Vertrag mit Microsoft aushandelt, wenn dieses nicht die rechtliche Autorität hat, den Rahmen im Sinne des Datenschutzes für Schulen verbindlich auszuhandeln. Wenn die Datenschutzbehörden weiter auf Antworten von Microsoft waren wollen, wie oben beschrieben, werden sie ewig warten, vermute ich. Man muss verhandeln. Mit der Peitsche der DS-GVO drohen braucht man wohl nicht mehr. Vielleicht hilft es aber, mit der Möhre zu locken.

Ehrlich gesagt sehe ich wenig Sinn darin, wenn jedes Bundesland für sich in Verhandlungen mit den großen Anbietern wie Microsoft, Apple und Google tritt. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder und ihre Arbeitskreise arbeiten ohnehin regelmäßig gemeinsame Positionen zu datenschutzrechtlichen Themen aus, wie Beispiele zu Lernplattformen und Cloud Computing zeigen. Wenn der Bund mit einer Grundgesetzänderung nun ohnehin mehr Verantwortung in der Bildung übernimmt, sollte doch nichts dagegen sprechen, wenn entsprechende Rahmenverträge durch den Bund ausgehandelt würden, einschließlich der dazu notwendigen Vertragsänderungen. Immerhin würde der Bund mehr als 30.000 allgemeinbildende Schulen vertreten mit ungefähr 8,37 Millionen Schülern (statista), eine große Möhre, auch für Microsoft, Apple und Google. Für die Konzerne ginge es um ein größeres Finanzvolumen bzw. im Falle von Google um mehr Nutzer, die sich mit der Marke anfreunden. Damit hätte der Bund wesentlich mehr Gewicht in den Verhandlungen und könnte leichter nationale Datenschutzvorgaben, soweit sie von der DS-GVO abweichen, und Vertragskonditionen durchsetzen. Dass solches Sinn macht und möglich ist, zeigen das Beispiel Österreich.

Die letzte Frage

Die Frage, welche nun am Schluss bleibt, nachdem benannt ist, wer alles wollen muss, ist letztlich, wo genau man nun die Hebel ansetzen muss, um die Schulministerien und Landesdatenschutzbehörden bzw. den Bund zum Handeln zu bewegen.

Meine Recherchen zum Thema lassen vermuten, dass es zwar bei den Schulministerien und Landesdatenschutzbehörden immer wieder vereinzelte Anfragen von Schulen gibt, die dann jedoch, wenn überhaupt, nur einzeln beantwortet werden, und oft mit einer Antwort, die nicht weiterhilft. Einzelne Bundesländer zeigen zumindest, dass sie in die richtige Richtung denken. Es bräuchte aber wohl eine konzertierte Aktion, um alle diese trägen Kolosse von übergeordneten Behörden der Länder (die Schulministerien und Landesdatenschutzbehörden) bzw. des Bundes (das Bundesministerium für Bildung und Forschung und die Bundesdatenschutzbeauftragte) zum Handeln zu bewegen. Vielleicht ist dort nicht einmal klar, dass hier Handeln dringend erforderlich ist, vor allem jetzt,wo Geld kein Problem sein soll, wo Schulen und Schulträger Weichen stellen müssen.

 

Advertisements

Zu Hülfe, der Datenschutz …

Posted in Datenschutz, Schule und Recht, Schulentwicklung by damianduchamps on März 30, 2018

Vor einem halben Jahr setzte ich mich hier im Blog mit Datenschutz und Schule auseinander und rief zu einem pragmatischen Umgang mit dem Thema Datenschutz auf. Besser geworden ist seither nichts, erwartungsgemäß. Nicht umsonst merkt Svenja Busson, die Schulen weltweit besucht hat, um gelungene Beispiele für den Einsatz von digitalen Medien im Unterricht zu sammeln, im Spiegel Interview kritisch an zur Situation in Deutschland: “Die Lehrer täten sich leichter, wenn der Datenschutz – den ich auch wichtig finde – nicht ganz so rigide wäre.” Datenschutz bremst, so wie er gegenwärtig im Bereich der Bildung gehandhabt wird, Schulen in Deutschland weiterhin massiv aus. Und dieses macht sich jetzt umso mehr bemerkbar, wo sich Schulen in großer Zahl endlich auf den Weg machen, digitale Medien in ihren Unterricht zu integrieren. Geld sei kein Problem und werde es in den nächsten Jahren auch nicht sein, hörte man Ende 2017 bei einer Tagung in Düsseldorf aus dem Ministerium für Schule und Bildung NRW. Klingt gut. Freut uns. Das sind wirklich einmal gute Perspektiven, wenn da der Datenschutz nicht wäre. Wenn Schulen und Schulträger planen, wenn Medienkonzepte und Medienentwicklungspläne erstellt werden, spielt Datenschutz auch dabei eine Rolle, doch eher eine, die Lösungen verhindert. Keiner möchte in die Falle tappen. Alle wollen auf Nummer sicher gehen. Zu viele Fragen sind ungeklärt, zu wenige Antworten zu finden. Allzu oft kommen dann altbewährte Lösungen heraus, abgeschottete Windows Netzwerke mit Thin-Clients, Totalkontrolle und streng gefiltertem Internetzugang, interaktiven Whiteboards und bei IT Dienstleistern gehosteten LMS. Mitunter sind durchaus einmal brauchbare Lösungen dabei, doch meist ist die Umsetzung von pädagogischen Vorstellungen, die auf zeitgemäßes Lernen setzen, die die 4K im Blick haben, kaum möglich. Möchte eine Schule lieber auf iPads setzen, geht dieses leider nur mit Einschränkungen. Keine persönlichen Daten, denn die landen auf Servern von Apple und die können überall stehen, auch in den USA. Da mag Apple ganz aktuell bei der Vorstellung eines neuen iPads und neuer Software in einer Schule in Chicago noch versichern, dass die von Schulen selbst generierten und Schülern zugewiesenen Apple IDs von Apple selbst nie eingesehen würden, egal. Es geht nicht. Shared iPad, die Lösung, mit welcher mehrere Schüler ein iPad teilen können mit eigenen Accounts – geht nicht, da die Daten beim Nutzerwechsel in die iCloud gesichert werden. Die Nutzung der neuen Funktion der iWork Apps Pages, Numbers und Keynote auf iPads zur Echtzeit Kollaboration, ganz im Sinne der 4K, geht nicht, da die Synchronisation über die iCloud läuft und dieses mit den datenschutzrechtlichen Vorgaben, so wie man sie zur Zeit handhabt, nicht vereinbar ist. Am sichersten fährt man als Schule zur Zeit, wenn man iPads ohne individuelle Benutzerkonten für Schüler einsetzt. Auch individuelle Benutzer sind möglich, wenn sie über einen virtuellen Desktop als Zugangsgeräte zu einem Windows Netzwerk eingesetzt werden. Office 365 sieht man von Seiten der Wirtschaft gerne in Schulen, bereitet es doch die zukünftigen Mitarbeiter auf die Nutzung der in Firmen meistverbreiteten Office Suite vor. Das Microsoft Produkt mit OneNote Classroom und Teams bietet tolle Möglichkeiten zum kollaborativen Arbeiten. Und wenn es sein muss, bietet man sogar noch eine Cloud in deutscher Datentreuhand. Alles toll, sollte man meinen. Leider nicht. Es gibt offiziell kein grünes Licht, dass Schulen Office 365 vernünftig nutzen können, ohne datenschutzrechtliche Vorgaben zu verletzen. G-Suite for Education und Chromebooks sind in den USA und vielen Ländern der Welt ein Erfolgsmodell, gut zu nutzen für Schüler wie Lehrkräfte, ideal für die Umsetzung der 4K, einfachst zu administrieren, doch für staatliche Schulen in Deutschland mehr oder weniger ein No-go. Auch hier fehlt grünes Licht für eine datenschutzrechtlich abgesicherte Nutzung. Die Liste ließe sich fortsetzen mit zahllosen Apps und Webplattformen, die für die Unterrichtsentwicklung mit digitalen Medien fantastische Möglichkeiten bieten, wäre da nicht das Thema Datenschutz. Will man in Schule digital arbeiten, so ist dieses eigentlich nur dann sinnvoll, wenn Schüler mit Klarnamen arbeiten können. Die Nutzung von Pseudonymen, wie ich sie im September als pragmatischen Ausweg vorschlug, ist zwar durchaus machbar, doch im schulischen Alltag auf Dauer nicht zweckmäßig. Kommunikation und Kollaboration funktionieren eindeutig besser, wenn man mit echten Namen arbeitet. Auch Lehrkräften kann nicht zugemutet werden, dass sie Pseudonyme mit Listen abgleichen, wenn sie digitale Lernprodukte bewerten sollen.

Im Februar hat das Thema Datenschutz in NRW mit der neuen verpflichtenden Genehmigung, welche Lehrkräfte nun benötigen, wenn sie Daten ihrer Schüler auf einem privaten Endgeräten verarbeiten wollen, zusätzliche Brisanz erhalten. Lehrkräfte und Schulleitungen fühlen sich von den Vorgaben überfordert, Hauptpersonalräte und Gewerkschaften raten davon ab, die Genehmigung zu unterzeichnen und fordern Dienstgeräte. Die LDI NRW liegt mit ihrer Einschätzung auf gleicher Linie. Axel Krommer deutet in seinem Beitrag Anzeichen der Krise II die Genehmigung als ein weiteres Phänomen der Krise in der Übergangszeit zwischen dem Gutenberg-Paradigma und dem Turing-Paradigma. Der Datenschutz, so Krommer, bremse die digitalen Arbeits- und Kommunikationsprozesse aus und unterstütze damit im Extremfall unter dem Motto „Datenschutz vor Pädagogik!“ die Stift-und-Block-Kultur. Die Lösung heißt für ihn deshalb, “Zeitgemäße Bildung wird nur Hand in Hand mit zeitgemäßem Datenschutz möglich sein.”

Als wenn die vielen ungelösten Problem mit dem Datenschutz in Schule nicht reichen würden, rückt nun der Tag näher, an welchem die Datenschutz-Grundverordnung (DS-GVO) in Kraft tritt. Schon seit zwei Jahren wissen wir, was kommt. Die europäischen Länder spezifizieren die nationale Ausgestaltung in Form der Datenschutzgesetze der Länder. Arbeitsgruppen diverser Wirtschaftsbereiche sind seit dieser Zeit damit beschäftigt, Strategien auszuarbeiten, wie man die Vorgaben der DS-GVO umsetzen kann. Die DS-GVO stärkt die Rechte der einzelnen Person im Sinne der informationellen Selbstbestimmung und soll sie vor Missbrauch der personenbezogenen Daten schützen. Entsprechend sind die mit Verstößen verbundenen Sanktionen deutlich stärker als sie es bisher waren.

Auch vor der Bildung macht das Thema DS-GVO nicht halt, wenngleich aktuell noch keine unmittelbar davon abgeleiteten Regelungen im schulischen Bereich bekannt sind, zumindest nicht in NRW. Veröffentlicht wurden bisher nur eine Übersicht und Hilfestellungen der Datenschutzkonferenz zu den anstehenden Veränderungen in Schule. “Zusammenfassend ist festzuhalten, dass die DS-GVO für die Datenverarbeitung durch öffentliche Stellen eine Vielzahl von Veränderungen vorsieht.” fasst die Landesbeauftragte für Datenschutz in Niedersachsen die Lage zusammen.

Und als wenn das noch nicht genug wäre, sorgen sich nun auch bloggende Lehrkräfte und Verantwortliche für Schulhomepages, aufgeschreckt durch Artikel wie Datenschutzgrundverordnung: Neue Abmahngefahren für Websites und DSGVO: Was freie Journalisten und Blogger jetzt tun müssen, ob ihnen bei ihren Blogs irgendwelche Gefahren durch die Nutzung von Inhalten aus fremden Quellen, Web-Fonts und Analyse-Tools drohen.

Zu Hülfe, der Datenschutz … möchte man rufen. Wie ein drohendes Unwetter zieht der 25. Mai herauf und keiner weiß so recht, was passieren wird. Statt Klarheit herrscht überall Unsicherheit. Wie bei so vielen Dingen fehlen klare, eindeutige Vorgaben, an denen man sich orientieren kann.

Das Recht auf informationelle Selbstbestimmung ist ein Grundrecht und Datenschutz damit Pflicht. Wie die unermessliche Datensammelwut von Facebook und Co. und Datenskandale wie Cambridge Analytica bestens illustrieren, sind Regelungen dringend von Nöten, um das Individuum zu schützen. Das Kind ist, was den Datenschutz angeht, quasi schon in den Brunnen gefallen. Die riesigen Internetkonzerne, die mittlerweile teilweise das wirtschaftliche Volumen großer Volkswirtschaften haben, konnten das Internet quasi in Wildwest Manier ungehindert und unreguliert für sich erobern. Die DS-GVO Europas kommt nun im letzten Moment um die Ecke, um zu retten, was noch zu  retten ist, und um für die Zukunft die Weichen zu stellen für einen besseren Schutz der personenbezogenen Daten der Menschen.

Bei der DS-GVO geht es um Recht und Gesetz, wie auch bei den davon abgeleiteten nationalen Regelungen, den Datenschutzgesetzen und Verordnungen. Wenn das Recht eindeutig wäre, bedürfte es nicht Heerscharen von Juristen, die es auslegen. Am Ende entscheidet die Auslegung über die Durchsetzung von Recht, in letzter Instanz vor Gericht. Und so gibt es auch beim Datenschutz keine absolute Eindeutigkeit. Man findet Auslegungen, die eher restriktiver Natur sind und solche, welche die Paragraphen freiheitlicher interpretieren.

Und so kann man ziemlich sicher davon ausgehen, dass es den Schöpfern der DS-GVO nicht darum geht, das Internet zu zerbrechen, denn dafür ist seine Bedeutung zu groß.

Vor diesem Hintergrund sollte man auch die aktuelle Situation betrachten. Wenn man die anfangs beschriebenen Schwierigkeiten, die wir als Lehrkräfte, Schulleitungen und Schulträger (und bloggende Lehrer) mit dem Datenschutz haben, zusammengefasst betrachtet, so haben alle die gleichen Ursachen: Überforderung, Unsicherheit, Angst.

  • Als Nutzer digitaler Medien sind wir alle mit dem Datenschutz, so wie er momentan in Deutschland gehandhabt wird, komplett überfordert.
  • Überfordert scheinen auch die verantwortlichen Stellen, Ministerien und Landesdatenschutzbehörden, denn anders ist nicht zu erklären, warum von diesen keine eindeutigen Aussagen zu erhalten sind, ob und wie die oben genannten Plattformen genutzt werden können.
  • In Folge herrscht unter Lehrkräften, Schulleitungen und Schulträgern eine extreme Unsicherheit.
  • Jeder hat Angst vor den möglichen rechtlichen Konsequenzen, falls mal etwas schief geht.

Und in dieser Kombination lähmt der Datenschutz die Entwicklung in Deutschland massiv. Vieles, was möglich wäre, unterbleibt.

Was wir brauchen, um aus dieser Misere herauszukommen, ist ein Ende der Unsicherheit. Verantwortliche Stellen müssen klare Stellung beziehen, eindeutige Aussagen machen, was geht und was nicht – und dabei sollte man die Vorgaben der Datenschutz Gesetzgebung eher freiheitlich und ermöglichend auslegen als restriktiv und verhindernd.

Dass dieses möglich ist, zeigen die Beispiele vieler Länder um uns herum. Der Schweiz, deren Schulen beispielsweise G-Suite for Education nutzen können, wird vermutlich niemand vorwerfen wollen, leichtfertig mit den personenbezogenen Daten ihrer Bürger umzugehen. Was in anderen Ländern möglich ist, sollte also auch bei uns in Deutschland gehen.

Die Sorge, dass große Konzerne wie Microsoft, Apple und Google die Daten von Schülern und Lehrern für eigene Zwecke missbrauchen könnten, ist sicherlich berechtigt. Doch auch hier gibt es Lösungen. Die heißen Gesetze. Man braucht Institutionen, die über die Einhaltung der Vorgaben des Datenschutzes wachen. Es gibt sie, von staatlicher Seite wie im NGO Bereich. Und werden Verstöße festgestellt, werden die Verantwortlichen mit den Mitteln des Gesetzes zur Rechenschaft gezogen und mit Sanktionen belegt.

Nicht verhindern können wir, wenn im Zuge polizeilicher oder geheimdienstlicher Ermittlungen US Behörden Zugriff auf Daten erhalten, die auf den europäischen Servern von US Firmen liegen. Dass man darin jedoch einen Grund sieht, die Cloud Produkte von US Firmen für deutsche Schulen generell zu verbieten, halte ich für absolut übertrieben. Greifen europäische und deutsche Ermittlungsbehörden nicht auch auf diese Daten zu?

Auch für die Genehmigung für Lehrkräfte in NRW, schulische Daten auf privaten Endgeräten zu verarbeiten, sind praktikable Lösungen möglich. Der aktuelle Ansatz, die rechtliche Verantwortung komplett auf Schulleitungen und Lehrkräfte abwälzen zu wollen, ist ganz sicher nicht der richtige Weg. Hier muss die Landesregierung dringend nachbessern. Dienstgeräte sind eine Möglichkeit, aber keine billige, denn diese Geräte müssen nicht nur beschafft, sondern auch professionell gemanagt werden, um Sicherheit zu bieten. Das Land muss die Lehrkräfte und Schulleitungen aus der alleinigen Haftung entlassen und sie rechtlich absichern. Klar ist, wenn grobe Fahrlässigkeit nachzuweisen ist mit einem Datenschutzverstoß, dann sollte das auch rechtliche Konsequenzen haben. In allen anderen Fällen sollte jedoch das Land die Haftung für seine Schulleitungen und Lehrkräfte übernehmen. Vielleicht sollte das Land NRW hier eine entsprechende Versicherung abschließen. Außerdem sollte es möglich sein, dass Lehrkräfte, die auf ein Dienstgerät verzichten und lieber ein eigenes Gerät nutzen, dieses tun können. Auch sie müssen vom Land rechtlich in Schutz genommen werden, wenngleich bei ihnen eine begrenzte Mithaftung vorstellbar wäre. In der Regel werden vor allem erfahrenere Benutzer eigene Geräte anstelle von Dienstgeräten haben wollen, und die wissen meist, was sie tun.

Das Inkrafttreten der DS-GVO wird in Bezug auf den Datenschutz nicht nur einen besseren Schutz für die Bürger bringen, sondern für Schule auch neue Möglichkeiten eröffnen. Warum? Da die DS-GVO dafür sorgt, dass wir in allen europäischen Mitgliedstaaten ein einheitliches Datenschutzrecht habe und damit auch ein einheitliches Datenschutzniveau, können wir in Deutschland endlich auch die tollen Online Angebote aus anderen europäischen Ländern nutzen, die uns bisher verwehrt geblieben sind. Sie haben ab dem 25. Mai 2018 den gleichen datenschutzrechtlichen Status wie deutsche Angebote.

Und was die Sorgen der bloggenden Lehrkräfte angeht und die Betreiber von Schulhomepages, hier sollte man mit dem rechten Augenmaß an die Sache herangehen. Es ist durchaus zu erwarten, dass Abmahn-Haie in der Anfangszeit nach Inkrafttreten der DS-GVO ihr Unwesen treiben werden. Allerdings ist auch damit zu rechnen,  dass die Gesetzgeber diesem Treiben schnell ein Ende setzen werden. Dass man sich als Blogger Gedanken machen muss, ob bei der Nutzung von Google Web Fonts, von Google Analytics, der Einbindung von LearningApps und von YouTube Videos oder beim Abgeben von Kommentaren Daten erhoben werden, ist abstrus. Das hat auch nichts mehr mit Datenschutz zu tun im Sinne der Gesetzgebung zu tun. Diese Daten werden überall erhoben. Sie gehören zum Internet und jeder, der als medienkompetenter Nutzer im Internet unterwegs ist, ist sich darüber im Klaren. Das ist wie im Straßenverkehr. Jeder kennt die Regeln, weiß, wie es läuft, und nur, wenn es Abweichungen davon gibt, werden wir durch Schilder darauf hingewiesen. Viel wichtiger ist es für Betreiber von (nichtkommerziellen) Webseiten, dass sie grundsätzlich versuchen, die Erhebung von Daten der Besucher auf ein notwendiges Minimum zu beschränken und dass sie die Erhebung außergewöhnlicher Daten anzeigen und genau dafür eine Einwilligung einholen.

So aussichtslos wie manches scheint, ist es in Bezug auf den Datenschutz und die Schule eigentlich gar nicht bestellt. Alle beschriebenen Probleme sind lösbar. Es müssen nur alle wollen, endlich Stellung beziehen und Schulen und Lehrkräften unterstützend zur Seite stehen. Und auch für die Blogger wird nichts so schlimm kommen, wie von manchen befürchtet. Und die DS-GVO wird nach einigen Anlaufschwierigkeiten mit der alltäglichen Umsetzung ein Gewinn sein, für alle.

Datenschutz & Schule – nur Pragmatismus bringt uns weiter

Posted in Datenschutz, Medienwelt, Schulentwicklung, Schulpolitik by damianduchamps on September 29, 2017

Mal ganz ehrlich, Datenschutz und Schule gehen momentan gar nicht zusammen. Schulen sollen digitale Lösungen in den Unterricht integrieren, doch ständig erhebt jemand warnend den Zeigefinger und sagt, in Bezug auf den Schutz der persönlichen Daten der Schülerinnen und Schüler und Lehrkräfte geht dieses nicht und das nicht und grundsätzlich geht sowieso gar nichts. Mit solch einem Ansatz werden wir nicht weiterkommen. Das ist nichts anderes als Verhinderungskultur. Was wir brauchen, sind Lösungsansätze, die uns im schulischen Alltag weiterbringen anstatt uns zu blockieren. Datenschutzschutzbeauftragte sollten nicht nur sagen, was nicht geht, sondern Schulen helfen, pragmatische Lösungen zu finden.

Damit hier kein Missverständnis aufkommt aufkommt, den Schutz der persönlichen Daten von Schülerinnen und Schülern halte ich für absolut unverzichtbar.

Wenn wir in der Schule vom Schutz der persönlichen Daten sprechen, gehen wir von Vorstellungen aus, die meiner Meinung nach völlig unrealistisch und überzogen sind. Natürlich sollen und müssen persönliche Daten geschützt werden. Dazu sind wir verpflichtet und es ist selbstverständlich. Ein Restrisiko ist jedoch nie auszuschließen, wie überall im Leben. Beim Datenschutz versuchen wir jedoch genau dieses. Man tut so, als müsse ist den perfekten Schutz geben, und ist man sich da nicht sicher, so ist die Lösung tabu, die Lernplattform, das App, das Lernmanagementsystem können nicht genutzt werden.

Landesdatenschutzbeauftragte geben für die Microsoft Cloud Deutschland kein grünes Licht, weil noch Unklarheit über irgendein Komma besteht in der Dokumentation. Derweil nutzen große Konzerne die Lösung schon lange, denn diese Lösungen sind von diversen Instituten der Wirtschaft und von anderen Institutionen zertifiziert und geprüft. Das gilt auch für die G-Suite von Google. Bei Firmen geht es um Wirtschaftsdaten und Wirtschaftsspionage. Das hat in der Regel mehr Gewicht als persönliche Daten, denn es geht um Millionen- oder Milliardenbeträge.
Man fragt sich, warum geht in Schule nicht, was in der Wirtschaft geht? Die Wirtschaft hat nicht weniger zu verlieren als Schule mit persönlichen Daten.

Wenn es um Schule und Datenschutz geht, fehlt uns ein vernünftiges Maß. Im Schulleben außerhalb der digitalen Welt sieht das völlig anders aus. Seien wir doch mal realistisch. Verzichten wir darauf, mit unseren Schülerinnen und Schülern ins Schwimmbad zu gehen, nur weil eventuell ein Kind sich nicht an die Regeln halten könnte und vom Rand ins Becken springt, oder heimlich auf das Dreimeterbrett klettert unter herrunter springt? Nein, tun wir nicht. Wir nehmen das Risiko in Kauf, denn es gibt keinen absoluten Schutz. Ja, aber beim Schutz der persönlichen Daten, könnte so etwas doch lebenslange Folgen haben, wird mancher nun entgegnen. Doch könnte es nicht auch lebenslange Folgen haben, wenn eines der Kinder beim Schwimmunterricht nun doch vom Rand springt und verletzt sich dabei so, dass es lebenslänglich unter den Folgen zu leiden hat? Ich hoffe, an diesem Beispiel aus der analogen Welt wird deutlich, dass wir, wenn wir vom Thema Datenschutz sprechen, vollkommen überzogen reagieren. Den absoluten Schutz der persönlichen Daten gibt es nicht. Das soll nicht heißen, dass wir leichtfertig oder fahrlässig umgehen sollten mit den persönlichen Daten der uns anvertrauten Schülerinnen und Schüler. Was wir jedoch brauchen, sind pragmatische Lösungen, die einen möglichst großen Schutz der persönlichen Daten ermöglichen und Schule gleichzeitig nicht unnötig ausbremsen, indem jegliche Lösung aus Datenschutzgründen negiert wird.

Um dieses zu erreichen, braucht es eigentlich gar nicht viel. Für mich gibt es einige Grundsätze, die, wenn man sie beachtet, viele Lösungen ermöglichen.

Persönliche Daten von Schülerinnen und Schülern gehören grundsätzlich nicht in Lernplattformen, Lernmanagementsysteme, Apps oder ähnlich
Namen

Wer zwingt uns dazu, dass Schülerinnen und Schüler mit ihren echten Namen in einem Lernmanagementsystem angemeldet sein müssen? Eine pragmatische Lösung könnte darin bestehen, stattdessen Pseudonyme zu verwenden oder anonymisierte Account Namen. Natürlich müssen Lehrkräfte in der Lage sein, diese Pseudonyme oder anonymisierten Accountnamen Schülern zuzuordnen. Man kann jetzt einwenden, dass sich diese Daten verbinden lassen und schon weiß man wieder, wer wer ist. Das funktioniert immer. Und selbst aus anonymisierten Daten kann man mit etwas Geschick wieder eine Zuordnung herstellen, wenn man das will. Den perfekten Schutz vor “bösen” Konzernen oder Geheimdiensten gibt es nicht. So realistisch muss man einfach sein. Und selbst wenn wir ein System haben, welches den deutschen Datenschutzvorgaben absolut genügt (auf Server in Deutschland laufend, alle Vorschriften erfüllt und so weiter), auch dann gibt es keine absolute Sicherheit. Die Server könnten gehackt und die Kontodaten gestohlen werden. Und wenn die Schüler sich von ihren Smartphones oder von zu Hause aus in der Plattform einloggen, mit einem Pseudonym oder anonymisierten Account, dann könnten natürlich, wenn man Standortdaten oder Gerätedaten ausliest und diese möglicherweise noch mit gestohlenen Daten vom Einwohnermeldeamt kombiniert oder mit Daten von einem sozialen Netzwerk, die exakten persönlichen Daten der Personen herausgefunden werden. Lässt sich alles konstruieren, alles ist möglich. Aber hallo! Bleiben wir doch einfach mal realistisch. Auf dem Weg in die Schule sind auch schon Kinder überfahren worden. Lassen wir die Kinder deshalb nicht in die Schule laufen? Es gibt immer ein gewisses Restrisiko im Leben.

Noten

Es sollte auch völlig klar sein, dass Noten in jeglicher Form, Leistungsbewertungen, nichts in Lernplattformen, Lernmanagementsystem oder ähnlich zu suchen haben. Das schließt aber nicht aus, dass man innerhalb der Plattform Feedback gibt und Angaben macht, ob eine Aufgabe gelöst ist oder nicht. Das genau ist eine der Stärken digitaler Plattformen, das unmittelbare Feedback, um Schülerinnen und Schülern in ihren Lernprozessen zu unterstützen. Und solange Schülerinnen und Schüler keine Accounts nutzen, die direkt über den Namen persönlich zuordenbar sind, sehe ich darin kein Problem. Und da es auch keine Erfordernis gibt, Noten direkt über eine Plattform mitzuteilen, sehe ich darin auch keinen Grund, solche Plattformen nicht zu nutzen.

Nutzungsordnung & pädagogischer Auftrag

Dass persönliche Daten in schulischen digitalen Anwendungen nichts zu suchen haben, kann man Schülerinnen und Schülern durchaus verständlich machen. Auch in anderen Plattformen sollten Schülerinnen Schüler mit ihren persönlichen Daten sparsam umgehen. In einer schulischen Anwendung können sie lernen, wie man persönliche Daten vermeidet. Es ist ein pädagogischer Auftrag der Schule, dieses zu vermitteln. Ich nutze Google Classroom und meine Schülerinnen und Schüler wissen, dass persönliche Daten nichts in der Plattform zu suchen haben. Sie sprechen sich untereinander in der Plattform mit ihren englischen Pseudonymen an. Das funktioniert wunderbar. Über eine Nutzungsordnung haben wir geregelt, dass persönliche Daten nicht in Google Classroom auftauchen. Geregelt ist dort auch, dass der Nutzer Account nicht mit privaten Accounts verknüpft wird. Was aber, wenn sich jemand nicht an diese Regel hält? Was wenn die Accounts zu Hause auf dem heimischen PC verknüpft werden, da auf dem gleichen PC auch die Daten des privaten Accounts sind? Was, wenn auf dem privaten Gerät ein Trojaner mitliest? Pech gehabt! Auch wenn wir unsere Schülerinnen und Schüler immer wieder ermahnen, nicht auf dem Treppengeländer herunter zu rutschen, so tun es leider doch immer wieder welche und alle Jahre wieder liegt jemand unten am Fuß der Treppe und hat sich den Arm gebrochen. So ist das Leben.

Pragmatismus ist gefragt

Wie ich hoffentlich zeigen konnte, kann man, wenn man mit den Anforderungen an den Schutz der persönlichen Daten unserer Schülerinnen und Schüler auf einem realistischen, alltagstauglichen Maß bleibt, durchaus pragmatische Lösungen finden, um im schulischen Alltag zurecht zu kommen. Es bringt niemanden weiter, wenn wir durch überhöhte, unrealistische und auch praktisch nicht einlösbare Anforderungen in Bezug auf den Datenschutz an der Nutzung sehr vieler digitaler Angebote gehindert werden. Leider haben deutsche Firmen im internationalen Vergleich kaum etwas zu bieten, was vergleichbar wäre zu Office 365 mit der Cloud, G-Suite for Education oder Edmodo, Formative und vielen weiteren Apps und Plattformen, die für ein zeitgemäßes Lernen in Schule unverzichtbar sind. Und ganz ehrlich, wer garantiert uns, dass deutsche Firmen und Geheimdienste weniger Interesse an den persönlichen Daten der uns anvertrauten Schülerinnen und Schülern haben?

Datenschützer sind gefragt, praktikable Lösungen zu bieten

Meiner Meinung nach sollten die Datenschützer auf jeder Ebene, vom schulischen Datenschutzbeauftragten bis zu den Landesdatenschutzbeauftragten und den entsprechenden Verantwortlichen in den Ministerien für Schule ihre Aufgabe nicht primär darin sehen, nur den warnenden Zeigefinger zu heben und dieses und jenes zu verbieten. Natürlich sollen sie Schulen helfen, den Schutz der persönlichen Daten ihrer Schülerinnen Schüler so gut wie möglich sicherzustellen und nicht in irgendwelche Fallen zu tappen. Ganz wichtig wäre jedoch auch, dass diese Institutionen nach Lösungen suchen, wie man digitale Angebote trotzdem nutzen kann, ohne die persönlichen Daten der Schülerinnen und Schüler zu gefährden, und Schulen beim Finden solcher Möglichkeiten unterstützen. Außerdem sollten sie eine Aufgabe darin sehen, gemeinsam mit den Anbietern digitaler Angebote Lösungen zu finden, welche Schulen in ihren Verpflichtungen in Bezug auf den Datenschutz unterstützen. Bei der Vielzahl der Angebote kann dieses sicher nicht nur mit einer begrenzten Zahl von Angeboten erfolgen. Es wäre aber schon hilfreich, wenn es englischsprachige Orientierungshilfen für die Anbieter von Lernplattformen, Apps und LMS gäbe, die ihnen helfen könnten, ihre Angebote auf deutsche Datenschutzanforderungen auszurichten. Darauf könnten dann Schulen, die ein Angebot nutzen wollen, diese Anbieter verweisen. Wenn wir hier pragmatischer sind, wenn Schulen Unterstützung erhalten, wenn sie loslegen können, dann wird der deutsche Markt für Anbieter aus anderen Ländern auch attraktiver und das wiederum macht es für diese Firmen interessanter, den deutschen Markt mit seinen speziellen Anforderungen stärker bei der Entwicklung von Angeboten zu berücksichtigen, sei es dass man beispielsweise Server in Deutschland aufstellt oder anmietet oder dass man angepasste Formen der Nutzerregistrierung und -verwaltung und der Speicherung von Daten anbietet.

Datenschutz und Schule muss definitiv neu gedacht werden, vor allem von den oben genannten Institutionen. Wir brauchen pragmatische Lösungen, keine Kultur der Verhinderung und Beschränkung, sondern eine der Ermöglichung.

Noch gut zu wissen

Was vielen vermutlich nicht klar ist: wenn wir ohne persönliche Daten arbeiten, entfallen viele der engen Vorschriften der Datenschutzgesetzgebung. Werden keine persönlichen Daten verarbeitet, braucht es kein Verfahrensverzeichnis und auch keinen Vertrag zur Datenverarbeitung im Auftrag mit dem Anbieter einer digitalen Plattform. Eine Absicherung mit einer Nutzungsvereinbarung ist dabei aber unbedingt erforderlich. Ohne begibt sich die Schule auf juristisches Glatteis! Sind die Produkte, welche Schüler etwa in einer Plattform wie Office 365 mit der Cloud produzieren, frei von persönlichen Daten und auch sonst nicht zuordenbar, sehe ich keine Erfordernis diese Daten als persönliche Daten zu behandeln. Wenn überhaupt, dann geht es hier noch um Urheberrechte der Schüler. Es muss an dieser Stelle jedoch angemerkt werden, dass dieses nicht jeder Datenschutzbeauftragte das so sieht. Genauso, wie es auch Datenschutzbeauftragte gibt, die meinen, auch nicht persönliche Daten dürfen nicht in Drittstaaten gehen. Deshalb auch mein Appell, pragmatisch zu denken.

Auch mit einer informierten und freiwilligen Einwilligung der Betroffenen geht eigentlich alles. Für Schulen ist dieses allerdings eine Lösung, von der ich abraten würde.

Differenzieren in Google Classroom

Posted in Creative Commons, Datenschutz, Google Classroom, Tools by damianduchamps on September 11, 2016
Ein Hinweis zur datenschutzrechtlichen Problematik der Nutzung von Google Classroom in deutschen Schulen findet sich am Ende des Beitrags

Eines für alle

Problem

Innerhalb von Google Classroom kann man über das Anhängen von Dateien an ein Assignment an alle Schüler nur ein und dasselbe Material austeilen. Jeder erhält so das gleiche Material. Was, wenn man gerne differenzieren möchte?

Lösung

Will man differenzieren, muss man sich mit einem kleinen Trick behelfen.
Anstelle eines Materials, welches jeder Schüler in Kopie gleich erhält, wird ein nicht bearbeitbares Hyperdokument erstellt. Das ist nichts anderes als ein Dokument, welches Links enthält, die auf weitere Materialien verweisen.
Über dieses Hyperdokument, im Folgenden als das zentrale Arbeitsblatt bezeichnet, werden die Links zu den Differenzierungsmaterialien weitergegeben, welche die Schüler dann in ihren Drive kopieren, bearbeiten und anschließend als Lösung über die Aufgabenstellung/Assignment einreichen können.

(more…)

Schulhomepage – Datenschutzfalle – Social Plugins?

Posted in Datenschutz, Schule und Recht by damianduchamps on April 17, 2016

Auch auf Schulhomepages ist es nicht unüblich, Social Plugins wie den Facebook Like oder Teilen auf Facebook Button, einen Twitter, Google+ oder Pinterest Button anzubieten. Im Prinzip ist das auch keine schlechte Idee, ermöglicht man so den Besuchern, Gefallen anzuzeigen oder Inhalte der Schulhomepage in ihren sozialen Netzwerken zu teilen.

Aber leider gibt es da ein klitzekleines Problemchen.

social_longshadow_icons_by_aha_soft_icons-d7ynkqo

By aha-soft-icons, deviant art; CC BY 3.0

Über Social Plugins hinterlassen Besucher einer Webseite Spuren. Klickt ein Besucher also den Facebook Like Button unter einem interessanten Beitrag über eine tolle Schulveranstaltung, so wird dieses bei Facebook registriert und mit dem Profil des Facebook Nutzers verknüpft. Das gilt auch, wenn man den Inhalt über Facebook teilt. Als Facebook User fügt man so wieder ein kleines Mosaiksteinchen zu seinem Persönlichkeitsprofil hinzu und hilft Facebook damit, ein gläsernes virtuelles Double seiner selbst zu erstellen. Den meisten Facebook Usern wird dieses nicht einmal bewusst sein.Doch wer sich jedoch mit diesen Dingen beschäftigt, sollte das wissen. Vielen ist allerdings nicht bekannt, dass die Tracking Funktion des Facebook Like Buttons auch aktiv ist, ohne dass der Button aktiv geklickt wird. Der Like Button registriert dann zumindest den Besuch der Seite – und auch das ist keine wertlose Information für Facebook. Was für den Facebook Like Button gilt und natürlich auch den Teilen auf Facebook Button, das gilt auch für viele andere Social Plugins von Twitter und Pocket bis zu WordPress und Pinterest. Solange der User nicht anonym im Netz unterwegs ist, erfassen diese Plugins seine Spur und zeichnen sie beim jeweiligen Anbieter auf, auch ohne dass „Gefällt mir“ oder „Teilen“ geklickt wurde.

Und hier wird die Sache nun spannend, egal ob es sich um gewerbliche Internetauftritte handelt oder um die von Schulen. In dem Moment, wo auf einer Schulhomepage Social Plugins integriert sind, kann durch diese Plugins das Thema Datenschutz zum Problem werden. Gemäß Paragraf 13 des TMG (Telemedien Gesetzes) ist es rechtswidrig, personenbezogene Daten ohne Zustimmung der Nutzer an Dritte – Betreiber entsprechender Dienste – zu übertragen. Und genau das geschieht hier. Gleiches gilt übrigens auch, wenn die Schulhomepage externe Statistik-Tools nutzt oder Web-Schriftarten („Webfonts“), die nicht auf dem Webserver der Schulhomepage selbst gespeichert sind, sondern von Anbietern wie Google fremdgeladen werden beim Aufruf eines Inhalts von der Homepage der Schule.

Das Landgericht Düsseldorf entschied Anfang 2016 (Az. 12 O 151/15, pdf), dass durch die Einbindung von Social Plugins auf Webseiten gegen die Datenschutzvorschriften verstoßen wird.

Welche Möglichkeiten hat man nun als Betreiber einer Schulhomepage, nicht gegen die Datenschutzvorschriften zu verstoßen?

  1. Social Plugins entfernen – anders als Firmen sind Schulen nicht existentiell auf die Dienste von Facebook & Co. angewiesen, um die soziale Reichweite der Informationen auf der Schulhomepage zu vergrößern
  2. Datenschutzerklärung anpassen – viele Schulen werden zwar ein Impressum für ihre Homepage haben, denn das ist verpflichtend. Eine Datenschutzerklärung werden sie aber oft nicht haben. Es wäre also vielleicht eine Idee, einmal eine solche anzulegen. Das kann man kostenlos auf e-recht24.de (Datenschutzerklärung erstellen) erledigen.
  3. Sharing Buttons ändern – es gibt die Möglichkeit, die Sharing Buttons von Facebook & Co. anzupassen, so dass sie beim Aufruf einer Webseite vom User bei Bedarf aktiviert werden müssen, bevor man sie zum Teilen nutzen kann.

Datenschutz auf der Schulhomepage ist nun die eine Sache, was diese Social Plugins angeht. Versäumnisse, eine entsprechende Datenschutzerklärung auf der Webseite vorzuhalten, könnten aber Folgen haben, wie man damals bei Einführung der Impressumspflicht sah. Firmen wurden reihenweise abgemahnt von spezialisierten Anwälten. Ob Ähnliches nun auch hier folgen wird, ist schwierig abzuschätzen. Inwieweit damals auch Schulen abgemahnt wurden oder ob es überhaupt solche Fälle gab, ist mir nicht bekannt. Von daher ist es auch nicht einfach zu sagen, ob für Schulen von einer fehlenden Datenschutzerklärung ein Gefahr ausgehen könnte. Ich denke, es muss noch etwas Zeit ins Land gehen, bevor einschlägige Seiten oder Ministerien hier Empfehlungen abgeben.

Wie man die Sharing Buttons ändert und noch ein paar Hintergründe zur Thematik findet man unter Abmahnwelle durch Social Plugins? So kannst du dich schützen (auf t3n).

Mehr zum Fall vor dem Landgericht Düsseldorf gibt es unter Gerichtsurteil: „Social-Plugins“ dürfen keine Daten ohne Zustimmung erheben auf Netzpolitik.org

Und Cookies?

Wie man seit einiger Zeit beim Besuch vieler Webseiten sieht, ist auch das Thema Cookies aktuell. Mit einem Screen am oberen oder unteren Rand der Webseite wird man über den Einsatz von Cookies informiert. Auch hier geht es um Datenschutz. Dass Cookies für Schulhomepages ein Thema sein können, zeigt beispielsweise ein Beitrag auf lo-recht von 2003. Wer mehr zum Thema Cookies und Datenschutz wissen möchte, liest den Beitrag Cookie-Hinweis gemäß Google ab 30.09.2015 Pflicht! Was haben Websitebetreiber zu beachten?