Datenschutz in der Schule

Digitaler Nachholbedarf

Mit fortschreitender Digitalisierung aller Lebensbereiche und der damit einhergehenden zunehmenden Verarbeitung personenbezogener Daten rücken Fragen des Datenschutzes immer stärker in das gesellschaftliche Bewusstsein. Diese Entwicklung macht auch vor den Schulen unseres Landes nicht Halt. Doch wie muss schulischer Datenschutz aussehen und wie kann man ihn verbessern?
Datenschutz in der Schule

Foto: eternalcreative/istock.de

Alle Vorschriften des Datenschutzes dienen der Gewährleistung des Rechts auf informationelle Selbstbestimmung. Dieses Grundrecht besagt, dass jede natürliche Person grundsätzlich selbst über die Preisgabe und Verwendung von Informationen über die eigene Person entscheidet. Eingriffe in dieses Recht bedürfen wie bei jeder Grundrechtseinschränkung  einer gesetzlichen Grundlage. Ohne explizite Rechtsgrundlage dürfen personenbezogene Daten nur mit Einwilligung der Betroffenen verarbeitet werden. Verboten ist also alles, was nicht ausdrücklich erlaubt ist. Datenschutz schützt auf diese Weise vor unzulässigen Eingriffen in Persönlichkeitsrechte, wird aber häufig mit Datensicherheit verwechselt. Letztere bezieht sich auf die technische und organisatorische Umsetzung des Persönlichkeitsschutzes, ist also lediglich ein nachrangiger wenngleich unverzichtbarer Aspekt des Datenschutzes.

Die Theorie: Wie Datenschutz in Schulen implementiert sein müssteDie meisten Konflikte rund um schulische Datenverarbeitung könnten vermieden werden, wenn Schulen die gesetzlichen Vorschriften bei der Implementierung von Verfahren, bei denen personenbezogene Daten verarbeitet werden, besser beachten würden. Zugegeben: eine harte Formulierung. Was steckt dahinter und was müsste getan werden? Bevor datenverarbeitende Stellen ein Verfahren einführen, bei dem personenbezogene Daten verarbeitet werden, muss es gemäß dem oben dargestellten Rechtsprinzip auf Zulässigkeit geprüft werden. Hierzu müssen sie das Verfahren nach einer gesetzlich verankerten Struktur beschreiben (§ 8 Datenschutzgesetz NRW, kurz: DSG NRW), es vom zuständigen Datenschutzbeauftragten auf Rechtskonformität überprüfen lassen und die Verfahrensdokumentation einschließlich der schriftlichen und begründeten Stellungnahme des Datenschutzbeauftragten für jedermann zur Einsicht bereithalten (§ 31 DSG NRW). Unter anderem müssen Zweck und Rechtsgrundlagen des Verfahrens, betroffene Personengruppen, verarbeitete Daten, Kreis der Zugriffsberechtigten sowie die getroffenen organisatorischen und technischen Schutzmaßnahmen angegeben werden. Nur wenn vor Einführung eines Verfahrens diese Angaben zusammengetragen und vom Datenschutzbeauftragten überprüft werden, kann man von rechtskonformer Implementation des Datenschutzes in der Schule sprechen.

Doppelrolle von Lehrer*innen und RechtsgrundlagenDas pädagogische Personal an Schulen ist in zwei Rollen an der Verarbeitung personenbezogener Daten beteiligt. Zum einen verarbeiten LehrerInnen selbst personenbezogene Daten von Schüler*innen und deren Erziehungsberechtigten. Zum anderen werden ihre eigenen Personaldaten in der Schule verarbeitet; hier sind sie die Betroffenen. Die Rechtsgrundsätze sind in beiden Rollen dieselben, die konkreten Bestimmungen sind jedoch in unterschiedlichen Rechtsverordnungen geregelt: Während in der VO-DV-I die Verarbeitung von Daten der Lernenden und ihrer Erziehungsberechtigten durch die Schule geregelt ist, beinhaltet die VO-DV-II die Vorschriften zur Verarbeitung der Beschäftigtendaten.

Schülerdaten auf privaten Geräten: Nur mit Genehmigung!Beide Verordnungen sagen unmissverständlich, dass personenbezogene Daten ausschließlich auf Datenverarbeitungsanlagen verarbeitet werden dürfen, die für Verwaltungszwecke eingerichtet wurden (§ 2 [1] VO-DV-I / § 2 [1] VO-DV-II). In beiden Fällen dürfen im Rahmen einer „Datenverarbeitung im Auftrag“ gemäß Paragraf 11 DSG NRW zuverlässige Stellen mit der Verarbeitung schulischer Daten beauftragt werden. Die Schule behält hierbei stets die Verantwortung und Kontrollberechtigung. Schüler*innendaten  nicht Beschäftigtendaten dürfen teilweise unter bestimmten Voraussetzungen auch auf privaten Geräten der Lehrkräfte verarbeitet werden (Anlage 3 zu § 2 [2] VO-DV-I). Dies muss einschließlich des Nachweises über einen angemessenen Zugriffsschutz bei der Schulleitung beantragt und von dieser genehmigt werden (§ 2 [2] VO-DV-I). Untersuchungen zur konkreten Praxis an Schulen liegen nicht vor, die Erfahrung zeigt jedoch: Kolleg*innen sind oft überfordert, ihre Sicherheitsmaßnahmen nachvollziehbar zu dokumentieren. Schulleitungen sind überfordert, die oftmals schwer nachvollziehbar dokumentierten
Sicherheitsmaßnahmen zu beurteilen. Die schulischen Datenschutzbeauftragten haben keine ausreichenden Ressourcen, um die Beteiligten bei Antragsformulierung und Bewertung zu unterstützen. KollegInnen, die keine entsprechende Genehmigung haben, dürfen keine personenbezogenen Daten auf ihren privaten Geräten verarbeiten. Was eine kollektive Verweigerung der Beantragung oder der Genehmigung  für die schulische Praxis bedeuten würde, kann man sich leicht ausmalen. Ein mehr oder minder unreflektiertes Ausfüllen und Abheften von Formularen mag zwar formalen Erfordernissen entsprechen, verbessert aber den praktischen Datenschutz nicht.

Dienstliche E-Mails: Nur nachdatenschutzrechtlicher Prüfung!Fragen der dienstlichen E-Mail-Nutzung berühren sowohl das Dienstrecht als auch den Datenschutz. Letzterer bezieht sich dabei auf die Inhalte der Kommunikation, die Geräte, auf denen die Kommunikation stattfindet, sowie auf die Beauftragung der Mail-Provider durch die Schule. All diese Bausteine müssen den  genannten Grundsätzen genügen, bedürfen also auch einer entsprechenden Verfahrens-dokumentation und einer Vorabkontrolle durch den Datenschutzbeauftragten. Alle weiteren Fragen, zum Beispiel Abrufintervalle, sind aus dienstrechtlicher Sicht zu behandeln.

Soziale Netze: Keine dienstliche Kommunikation ohne Rechtssicherheit!

Da die Betreiber sozialer Netze keine den Anforderungen des DSG NRW entsprechende „Datenverarbeitung im Auftrag“ anbieten, ist die dienstliche Nutzung von Facebook und Co grundsätzlich nicht gestattet. Natürlich wissen auch Datenschützer*innen, welche Chancen soziale Netze bieten, um die Kommunikation zwischen Lehrenden und Lernenden zu optimieren. Doch Lehrkräfte sollten auch die besten pädagogischen Absichten nicht unter Inkaufnahme einer Durchmischung von privater und beruflicher Kommunikation verfolgen.

Vertretungsplan online: Auch mit Passwortschutz nicht rechtskonform!Verbreitet wird die Meinung vertreten, dass vollständige Vertretungspläne online in passwortgeschützten Umgebungen der Schulöffentlichkeit also dem Kollegium, den Lernenden und ihren Erziehungsberechtigten  zur Kenntnis gegeben werden dürfen. Meiner Auffassung nach gibt es jedoch weder ein Erfordernis noch irgendeine Rechtsgrundlage solche Informationen in den privaten Bereich Nicht-Betroffener zu übermitteln oder zum Abruf bereitzuhalten. Selbstverständlich ist nicht zu beanstanden, wenn unmittelbar Betroffene informiert werden. Übrigens: Auch ohne Namensnennung sind Vertretungsinformationen personenbezogene Daten, weil der Personenbezug durch Kenntnis des regulären Stundenplans einfach herzuleiten ist.

Onlinedienste: Nur mit Einwilligung oder Datenverarbeitung im Auftrag!Lernmanagementsysteme, Lernportale und ähnliche Onlinedienste erleichtern vielfach den Arbeitsalltag. Da sie jedoch personenbezogene Daten außerhalb der Schule verarbeiten, bedarf es zu ihrer Nutzung entweder einer Einwilligung aller Betroffenen oder eines Vertrags über eine sogenannte „Datenverarbeitung im Auftrag“. Da hierbei der Auftragnehmer dem Auftraggeber also der Schule weitgehende Kontrollbefugnisse einräumen muss, die auch alle Unterauftragsverhältnisse einschließen müssen, bieten bislang nur wenige Anbieter derartige Verträge an.

Schulischen Datenschutz verbessern – aber wie?Datenschutz ist auch und vor allem eine Frage des persönlichen Verhaltens. Würden alle an Schule Beteiligten den Grundsatz beherzigen, nur die Daten zu verarbeiten, die für die konkrete Aufgabe wirklich erforderlich sind, würden sich die Probleme schon deutlich verringern. Hierzu gehört auch die Löschung nicht mehr benötigter Daten. Des Weiteren sollten die Schulen dringend damit beginnen, die Verfahrensweisen des Datenschutzes in ihr System zu implementieren und nicht jedes neue Verfahren sofort einsetzen, sondern im Vorfeld zunächst selbst und dann von ihrem Datenschutzbeauftragten prüfen lassen. Das Problem der Datenverarbeitung auf privaten Geräten wird man wohl so lange nicht in den Griff bekommen, bis allen Lehrkräften dienstliche Geräte zur Verfügung gestellt werden. Dies ist in anderen Bereichen unbestrittener Standard – auch und gerade aus Gründen des Datenschutzes. Etwas einfacher, weil deutlich preiswerter, ist die Bereitstellung datenschutz-gerechter Onlinesysteme, wie sie derzeit zum Beispiel mit LOGINEO NRW oder ucloud@school geplant beziehungsweise verfügbar sind. Aber auch bei ihrer Nutzung wird die Frage bleiben, mit welchen Geräten diese Systeme genutzt werden.

Wolfgang Dax-Romswinkel // In: nds 11/12-2015