- "Mit einem Bein im Gefängnis": DSGVO an Schulen

(Illustration: Gerd Altmann/pixabay)

Die DSGVO - genau Datenschutzgrundverordnung - ist das auf europäischer Ebene für alle Mitgliedstaaten der EU verabschiedete Regelwerk zum Schutz von Daten. Es löste in Deutschland das Bundesdatenschutzgesetz ab.

Als bürokratisches, juristisches Monster verschrien, hat die Verordnung in der Realität allerdings in allen Mitgliedstaaten ein anderes Gesicht – Interpretationsspielräume sind wegen unsauberer und oft missverständlicher Formulierungen groß. Von Einheitlichkeit, Übersichtlichkeit und Verständlichkeit ist man Lichtjahre entfernt. Die für 2020 geplante Harmonisierung blieb stecken. Vielmehr sind die Regelungen immer noch derartig komplex gehalten, dass selbst Abmahnanwälte anfänglich gar nicht wussten, wo sie einhaken könnten. Die befürchteten Abmahnwellen blieben deshalb aus.

Datenschutzerfahrung von Schulen

Inzwischen hat man einige Jahre Erfahrung mit der Verordnung gesammelt. Deshalb weiß heute jede Schule, dass man auf seine Homepage eine entsprechende Erklärung nach DSGVO setzen muss. Auch dass man das Einverständnis der Eltern einholt, wenn man mit vernetzten Programmen arbeitet, ist gängige Praxis.

Substanziell hat sich wenig gegenüber dem vorherigen Bundesdatenschutzgesetz geändert. Denn selbstredend wäre auch früher eine Schule kaum auf die Idee gekommen, sensible Daten ihrer Schulgemeinde ans Schwarze Brett zu heften. Auch wissen alle Kolleginnen und Kollegen, dass man Datenträger und Computer mit Schülerdaten entsprechend vor unberechtigtem Zugriff schützen und aufheben muss, etwa mit einem Passwort. An vielen Schulen musste man schon vor der DSGVO entsprechende Erklärungen gegenüber den Schulleitungen abgeben.

Herausforderung Fernunterricht

Doch mit dem Fernunterricht im Schullockdown sei alles viel komplizierter – und riskanter. Zumindest wollen einige das den Schulen einreden. Viel Verunsicherung gab es deshalb, als sich übereifrige Datenschutzbeauftragte angebliche Verstöße im Distanzunterricht vorknöpfen wollten. Der Beauftragte aus Thüringen ist sicher noch vielen damit im Gedächtnis, dass er eine regelrechte Hexenjagd lostreten wollte. Dafür bekam er mächtig Gegenwind. Fakt ist aber dennoch, dass jetzt – im zweiten Schullockdown – immer noch manches Kollegium und Schulleitungen verunsichert sind. In dieser Unsicherheit vermeiden sie es, die zur Zeit am Markt pädagogisch und technisch geeignetsten Programme für ihren Distanzunterricht einzusetzen. Es ist die schwierige Abwägung zwischen vermeintlich hundertprozentigem Datenschutz auf der einen - und stabilen, anregenden Tools auf der anderen Seite. Immer noch geht diese Abwägung häufig zu Lasten pädagogisch und technisch sinnvoller Lösungen.

Vollständiger Datenschutz - eine Illusion

Hundertprozentigen Datenschutz gibt es nicht. Alle digitalen Systeme können geübte Hacker knacken. Und tatsächlich ist dies ein eigener Wirtschaftszweig geworden, in dem illegal erworbene Daten gehandelt werden. Doch dies betrifft insbesondere Informationen aus sicherheits-, technologie- und finanzsensiblen Bereichen. Denn Spionage erfolgt im digitalen Zeitalter selbstredend mit Hilfe digitaler Methoden. Schulen gehören nicht zu solchen Zielen. Auch wenn mancher reißerische Bericht das suggeriert, in dem von pornografischem Material im Fernunterricht die Rede ist. Gerne wird übersehen, dass etwa am Rhein kürzlich Schulen von Cyberangriffen auf die Schulnetzwerke der Trägerkommunen betroffen waren. Es kann also keinen alles umfassenden Schutz geben, sobald man sich in einem Netz bewegt. Und Viren, Würmer und Trojaner machen ohnehin nicht davor Halt.

Unkritischer Umgang mit eigenen Daten

Wir bezahlen im Alltag elektronisch, manche sogar mit Smartphone. Wir buchen und bestellen alles Mögliche über das Internet. Einige machen Onlinebanking, wickeln am Kapitalmarkt Käufe und Verkäufe online ab, investieren in Blockchain-Währungen, die eigentlich gar keine Währungen sind, wie Bitcoin, u.v.a.m.. Viele Menschen prostituieren sich geradezu in den sozialen Netzwerken, indem sie alles von sich preisgeben, das man als schützenswert bezeichnen würde.

Das hat Big Data erst zu dem gemacht, was es heute ist. Eine so genannte Datenkrake aus mehreren US-Konzernen. Das Bild suggeriert, dass Facebook, Apple, Microsoft, Google, Alphabet und Co. nach allen Daten greifen, die sie zu fassen bekommen. Im Prinzip ist es auch so, denn darauf basieren viele enorm profitable Geschäftsmodelle. Es werden Daten gesammelt, analysiert, aufbereitet und an Interessierte weiter gegeben. Allein das macht den Börsenwert von Konzernen wie Google oder Facebook aus.

Vorurteil „Mangelnder Datenschutz“ in den USA

Doch das ist nur eine Seite der Medaille. In der Realität gibt es auch in den USA einen strengen Datenschutz. Das heißt, Daten aus Deutschland, die auf US-Server gelangen, unterliegen automatisch dem amerikanischen Datenschutz. Deshalb müssen Digitalkonzerne in den USA Daten erst anonymisieren, bevor sie sie an Dritte weitergeben dürfen. Alles andere wäre auch dort illegal. Einzige Ausnahme: Wenn es sich um Daten handelt, die im Zusammenhang mit strafbaren Handlungen stehen. Beispiel: Jemand steht im Verdacht, eine Straftat gegen die USA als Staat, gegen amerikanisches Eigentum oder gegen einen amerikanischen Bürger geplant oder verübt zu haben. Dann stehen seine Daten automatisch im Blick US-amerikanischer Sicherheitsbehörden, die von Facebook, Google, Twitter, VISA und Co. die Herausgabe verlangen dürfen.

Andernfalls verbleiben die Daten jedoch im jeweiligen Konzern. Anders ist es beim sozialen Netzwerk TikTok, bei dem der chinesische Staat unmittelbar zugreifen kann.

Dass gegenüber Facebook und Co. solches Misstrauen herrscht, ist den frühen Anfängen der Social Media geschuldet. Doch diese haben - auch unter dem Druck des Datenschutzes - in den letzten Jahren sehr viel unternommen, um den Umgang mit den Daten ihrer User zu verbessern. Dennoch halten sich Vorwürfe etwa gegen WhatsApp, das zu Facebook gehört, hartnäckig, individualisierte Daten weiterzugeben. Deshalb ist WhatsApp für die Schulen tabu. Ebenso darf keine Schule mit TikTok arbeiten.

Begründetes US-Kontrollbedürfnis

Man muss wissen, dass bereits in dem Augenblick, in dem man ein Visum für die USA beantragt und einen Flug dorthin bucht, die Daten zum Abgleich in die USA übermittelt werden. Dass die amerikanischen Behörden bei der Frage, wen man ins Land lässt, keine Kompromisse machen wollen, ist dem Terroranschlag vom 11. September 2001 geschuldet. Dadurch soll nie wieder geschehen, dass Amerika hilflos zusehen muss, wie Tausende auf amerikanischem Boden ermordet werden. Denn bis dahin glaubte man sich sicher und weit weg von Bedrohungen. Deshalb ist das Verlangen von US-Behörden nach Kontrolle über ihre Grenzen leicht erklärbar. Und heute bedeutet dies die Kontrolle über Daten.

Deutsche Daten im Netzwerk amerikanischer Konzerne

Außerdem wissenswert ist, dass zum Beispiel Microsoft in Europa eine feste Infrastruktur aus Servern besitzt, auf denen deutsche Daten primär landen. Da jedoch die Server des Konzerns weltweit im Verbund stehen – in der Globalisierung üblich – kann es vorkommen, dass bei starker Auslastung in Deutschland und Europa trotzdem vorübergehend Daten auf Server in den USA gelangen können, wo sie wiederum dem Datenschutz der USA unterliegen.

Vernetzungsidee versus DSGVO

Das Potenzial, das in der Idee der Vernetzung liegt, steht allerdings im Gegensatz zur überregulierten und deshalb kontraproduktiven DSGVO. Denn sie hemmt es, weil aus Unsicherheit und Unwissenheit viele ihre Vorhaben zurückstellen: Schulen, die eigentlich eine leistungsfähige Plattform wünschen; kleinere Unternehmen, die sich zurücknehmen oder gar nicht erst gründen; User, die sich nicht aus ihrem digitalen Vorgarten trauen – aus Angst, sie könnten etwas falsch machen und deshalb zur Kasse gebeten werden. Doch die von manchen Stakeholdern getriggerte Datenschutzaufregung ist in der Regel unbegründet. Und dort, wo man wirklich etwas bemängeln kann, bleiben sie häufig still.

Datenschutzverständnis deutscher Kommunen

Etwa um zu verhindern, dass die Meldebehörde der Heimatgemeinde persönliche Daten an Werbetreibende weitergibt, z.B. an die Deutsche Post Service-Tochter, muss man selbst aktiv werden und in einer schriftlichen Erklärung Widerspruch beim Einwohnermeldeamt einlegen. Und auch die Deutsche Post macht mit ihrem Adressen-Service ein gutes Geschäft. Oft genug kann sich das Unternehmen nicht mehr daran erinnern, dass Betroffene eine entsprechende Unterlassungsaufforderung abgegeben haben.

Fazit: Viel Lärm um nichts

Letztlich gilt, dass keiner etwas befürchten muss, der nichts zu verbergen hat. Auch nicht, wenn er Plattformen wie die von Microsoft nutzt. Massendaten werden immer und überall erhoben. In anonymisierter Form liefern sie Wirtschaft, Staat, Wissenschaft, Geheimdiensten und politischen ThinkTanks relevante Informationen.

Auf diesem Hintergrund fällt Datenschutz immer zuerst in die eigene Verantwortung. Anstatt Lehrerinnen und Lehrer zu verunsichern, sollte man alle Beteiligten besser über die Folgen des persönlichen unkritischen Umgangs mit seinen Daten im Alltag aufklären. Hier ist enormer Handlungsbedarf. Und oft genug relativieren das viele, weil sie auf manche Vorteile nicht verzichten wollen.

Dann denkt man nicht darüber nach, dass das Smartphone von uns Identitäts-, Bewegungs- und Finanzdaten gleichzeitig weitergibt, wenn man damit bezahlt. Im Ergebnis gibt Julia Mustermann damit - wem auch immer - preis, dass sie auf dem Konto ein gewisses Guthaben hat, zu bestimmten Zeiten verreist ist und in einer gut gestellten Gegend wohnt.

LINK-Name

Blog durchsuchen

Schule der Zukunft

- "Mit einem Bein im Gefängnis": DSGVO an Schulen

Meist gelesene Beiträge

Fällt eine Maske? - Ukraine will geflüchtete Kinder in Deutschland isolieren

Soziale Kompetenz - vernachlässigt, unterschätzt

Hohe Inzidenzen - Schulöffnungen als vorsätzliche Gefährdung?

Zurück in die Schule - wie die Infektionsgefahr manipuliert wird

„Tacheles“ – Die Lehrerkolumne: „Faule Säcke“ bei der Digitalisierung