Digitalisierung und Datenschutz in Schulen

Die Einbindung des Datenschutzes in den digitalen Unterricht in Schulen stellt eine brisante Thematik dar. Umgebungen für das digitale Lernen müssen nach pädagogischen sowie datenschutzrechtlichen Aspekten ausgewählt werden. Dies stellt aufgrund der Komplexität der Datenschutzanforderungen für Schulen eine enorme Herausforderung dar.

Hintergrund: Nachsicht und Duldung zu Pandemiebeginn

Zu Beginn der Coronapandemie wurden die Schulen kurzfristig geschlossen und auf Distanzunterricht und digitales Lernen umgestellt. Durch die quasi nicht vorhandene Umstellungszeit standen Schulen vor der Herausforderung dies zu organisieren. Defizite bei der Digitalisierung der Schulen wurden hier offengelegt. Folglich stellten Schulen oftmals datenschutzrechtliche Aspekte hinten an und nutzen Lernumgebungen und Videokonferenzsysteme, die die Standards nicht erfüllen.

Dies betrifft etwa das Konferenzsystem Microsoft Teams oder den Messengerdienst WhatsApp. Die Nutzung solcher US-amerikanischer Anbieter ist spätestens seit der Entscheidung „Schreems II“ des EuGH kritisch zu überprüfen. Hierüber haben wir schon den zwei Blogbeiträgen „Aktuell: Privacy-Shield durch EuGH für ungültig erklärt“ und „Auswirkungen des Falls Schrems II auf die Standardvertragsklauseln“. berichtet.

Der Einsatz solcher nicht datenschutzkonformer Programme führte auch zu konkreten Gefährdungen und Verletzungen der Rechte der Schülerinnen und Schüler. Der baden-württembergische Landesbeauftragte für Datenschutz und Informationsfreiheit nennt etwa den Fall einer Freiburger Schule. Hier wurden während einer Video-Schulstunde bei der Nutzung des Dienstes Zoom pornografische Bilder eingespielt (Quelle: https://www.baden-wuerttemberg.datenschutz.de/lfdi-gute-entscheidung-fuer-threema-schulen-brauchen-mehr-orientierung/).

Mädchen vor Laptop im Distanzunterricht

Quelle: pixabay.com

Datenschutzbeauftragte der Länder standen bei der Entwicklung und Auswahl von digitalen Lernumgebungen beratend zur Seite um so geschaffene Datenschutzmissstände so schnell wie möglich nachbessern zu können. Die Berliner Beauftragte für gibt an, dass sie in der ersten Welle der Pandemie keinerlei Sanktionsmaßnahmen ergriffen habe, wenn nicht datenschutzgerechte Lehrmittel eingesetzt wurden. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit sprach hierfür eine Duldung von US-amerikanischen Videokonferenzsystemen bis zum 31.Juli 2021 aus. Diese ist hier nachzulesen.

Die aktuelle Lage

Nun erschien aktuell der Jahresbericht 2020 der Berliner Beauftragten für Datenschutz und Informationssicherheit Maja Smoltczky. Hierin kritisiert sie die Digitalisierung an Berlins Schulen als „BER 2.0“:

„Es ist ernüchternd, feststellen zu müssen, dass mit Blick auf eine nun bereits viele Monate andauernde Pandemie und erneut notwendige Schulschließungen auch zum Ende des Jahres 2020 keine positive Bilanz gezogen werden kann. Im Gegenteil: Die im Frühjahr festgestellten Defizite bestehen teilweise unverändert fort.“

Im Jahresbericht bemängelt sie, dass die Datenschutzbeauftragte nur „unzureichend“ miteinbezogen wurde. Dies betrifft beispielsweise die Weiterentwicklung der Berliner Lernumgebung „Lernraum Berlin“, welche mittlerweile den datenschutzrechtlichen Anforderungen entspreche oder die Kommunikation über unzulässige Messengerdienste, auch wenn datenschutzkonforme Alternativen existieren.

Rahmenbedingungen für Videokonferenzen in Schulen

Um Abhilfe für den Einsatz von Videokonferenzen im schulischen Kontext zu schaffen, hat sich der Landesbeauftragte für Datenschutz und Informationsfreiheit in Baden-Württemberg damit auseinandergesetzt. In seinem Tätigkeitsbericht 2020 gibt er Aspekte an, die bei der Durchführung von Videokonferenzen Beachtung finden sollten. Sie sollen im Folgenden zusammengefasst werden.

Die Aspekte stellen einen Zusatz zu einer datenschutzkonformen Auswahl eines Videokonferenzsystems dar. Hierzu finden Sie weitere Informationen in unserem Blogartikel „Kriterien und Maßnahmen zur Auswahl und Inbetriebnahme eines Online-Meeting-Tools“.

Rechtsgrundlage

Bezüglich der Rechtsgrundlage der Datenverarbeitung bei Einsatz von Videokonferenzsystemen im schulischen Kontext wird unterschieden zwischen passiver und aktiver Teilnahme von Schülerinnen und Schülern.

  • passive Teilnahme ohne Übertragung des eigenen Bildes und Tons aber mit Nutzung des Text-Chats

Bei einer lediglich passiven Teilnahme kann die hierdurch entstehende Verarbeitung personenbezogener Daten durch den bestehenden Erziehungs- und Bildungsauftrag der Schulen durch Art. 6 Abs. 1 S. 1 lit. c DS-GVO i. V. m. § 1 Schulgesetz Baden-Württemberg gerechtfertigt werden.

  • aktive Teilnahme mit Übertragung des eigenen Bildes und Tons

Die Erfassung und Übertragung des Bildes und Tons stellt einen tieferen Grundrechtseingriff dar, der einer besonderen Rechtsgrundlage bedarf. Dies hat der Gesetzgeber des Schulgesetzes grundsätzlich erkannt und eine spezielle Ermächtigung geschaffen. Diese greift jedoch nach Ansicht des Landesbeauftragten an dieser Stelle nicht.

Auch das häusliche Umfeld muss bei der aktiven Teilnahme berücksichtigt werden, da dies durch das Grundgesetz (Schutz der Wohnung in Art. 13 des Grundgesetzes) besonders geschützt ist.

Aufgrund dessen ist der Landesbeauftragte der Meinung, dass eine Einwilligung (nach Art. 7 DS-GVO) nötig ist. Diese ist von den Schülerinnen und Schülern sowohl von den mitbetroffenen, zu Hause wohnenden, Eltern zu erteilen. Diese muss jederzeit zu widerrufen sein. Ein Problem bei einer solchen Einwilligung stellt das Über-/Unterordnungsverhältnis zwischen Schule und Schülerinnen und Schüler dar. Die Freiwilligkeit der Einwilligung kann etwa durch sozialen Druck durch Klassenangehörige beeinträchtigt werden. Durch den rechtlichen Anspruch auf Erziehung und Bildung und der Freiwilligkeit der Einwilligung müssen Schülerinnen und Schülern vergleichbare Bildungs- und Erziehungsangebote unterbreitet werden, wenn sie nicht einwilligen.

Ebenso ist nach dem Prinzip der Datenminimierung im Einzelfall zu prüfen, ob die Übertragung des Bildes und des Tons notwendig ist.

Formale Vorgaben

Als formale Vorgabe muss die Schule den Betrieb eines Videokonferenzsystems in ihrem Verzeichnis der Verarbeitungstätigkeiten (vgl. Art. 30 DS-GVO) führen.

Bei der Verwendung eines Fremdanbieters muss die Schule einen Vertrag zur Auftragsdatenverarbeitung (Art. 28 DS-GVO) mit diesem abschließen. Ebenso sind wie oben erwähnt datenschutzrechtliche Aspekte bei der Wahl des Fremdanbieters zu beachten.

Empfehlungen zum Einsatz des Videokonferenzsystems

Folgende Aspekte sollten laut dem baden-württembergischen Landesbeauftragten zusätzlich berücksichtigt werden:

  • datensparsame Konfigurierung des Videokonferenzsystems (Privacy by Default)
  • Freigabe und Sperrung einzelner Funktionen (Videobild, Ton, Bildschirm oder Oberfläche eines Programms, Text-Chat) für die Lernenden durch die Lehrkraft sollte möglich sein
  • Wissen aller Teilnehmenden über aktuelle und potentielle Teilnehmende sollte vorhanden sein
  • grundsätzliche Deaktivierung der Aufnahmefunktion
  • Aufstellung einer Nutzungsordnung mit Sanktionen (keine Teilnahme im Beisein anderer Personen und in öffentlich zugänglichen Räumen; Verbot der Anfertigung von Mitschnitten, Positionierung der Kamera, sodass möglichst wenig des häuslichen Umfelds übertragen wird oder Verwendung eines virtuellen Hintergrunds)

Fazit

Insgesamt ist zu sagen, dass sich Schulen spätestens jetzt mit der datenschutzkonformen Organisation des digitalen Unterrichts auseinandersetzen sollten, da in vielen Bundesländern die Schonfristen für den Einsatz umstrittener Dienste verstreichen. Dabei sollten die Schulen Lernumgebungen und Dienste auswählen, die den datenschutzrechtlichen Anforderungen entsprechen. So sind beispielsweise die Dienste Jitsi und BigBlueButton von baden-württembergischen Landesbeauftragten schon als datenschutzkonform bezeichnet worden (Quelle: https://www.baden-wuerttemberg.datenschutz.de/lfdi-begleitet-pilotprojekt-des-kultusministeriums-zur-nutzung-von-microsoft-office-365-an-schulen/). Eine individuelle Prüfung ist jedoch immer notwendig. Dabei bieten verschiedene Landesbeauftragte für Datenschutz eine Beratung an.

Kontaktieren Sie uns!

Sollten Sie zu diesem oder zu anderen Themen weitergehende Fragen im Bereich des Datenschutzes haben, stehen wir Ihnen gerne jederzeit zur Verfügung.

Wir betreuen Unternehmen, Vereine oder gemeinnützige Organisationen bei der Umsetzung des betrieblichen Datenschutzes in der Datenschutz-Grundverordnung (DS-GVO) und im Gesetz über den Kirchlichen Datenschutz (KDG). Hierzu entwickeln wir auf Ihr Unternehmen, ihren Verein oder ihre gemeinnützige Organisation abgestimmte Datenschutzkonzepte und unterstützen Sie aktiv bei der Umsetzung. Gerne beraten wir auch Sie bei der Umsetzung Ihres Projektes.

Nehmen Sie gerne jederzeit Kontakt zu uns auf.

zurück zum Blog