Es mag ein Klischee sein, gilt aber nichtsdestotrotz: In jeder Krise offenbaren sich wichtige Erkenntnisse und formen sich neue Möglichkeiten. Als IT-Sicherheitsspezialist und Vater hat mich in der gegenwärtigen Corona-Situation vor allem der Einsatz digitaler Technologien durch Schulen fasziniert und gleichermaßen ernüchtert. Hier ist es zu einer dramatischen Beschleunigung der Entwicklungen gekommen und vieles ist plötzlich möglich, das zuvor unvorstellbar schien. In der Drucksituation der Corona-Krise hat sich auch deutlich gezeigt, wo es an Kenntnissen, Prozessen und Material mangelt.
Glücklicherweise stehen den Schulen durch den Anfang 2019 angekündigten Digitalpakt Mittel bereit, um die Lehren aus der gegenwärtigen Situation in die Tat umzusetzen. So kann es sich noch als Vorteil erweisen, dass die Bundesländer laut Digitalverband Bitkom bisher nur einen Bruchteil der fünfeinhalb Milliarden Euro abgerufen haben, die im Rahmen des Pakts zur Verfügung stehen.
Ohnehin sollte beim Digitalpakt nachgebessert werden. Dass dies notwendig ist, verdeutlicht eine einfache Rechenaufgabe: Teilt man die fünfeinhalb Milliarden Euro durch die 47.000 allgemeinbildenden und berufsbildenden Schulen in Deutschland, ergibt sich eine Summe von rund 117.000 Euro pro Schule. Mit diesem Geld sollen jede/r LehrerIn und jeder SchülerIn mit der nötigen Hardware ausgestattet und die nötige Infrastruktur geschaffen werden. Und die Mittel aus dem Digitalpakt decken nur die Hardwarekosten ab. Hier zeigen sich im Moment allerdings nicht die größten Probleme. Diese sind eher bei der Software, dem Kenntnisstand und den Zuständigkeiten zu sehen.
Digitale Schule: Homeschooling legt Mängel offen
Zunächst einmal hat die aktuelle Situation deutlich gezeigt, dass es mit der Digitalisierung an Schulen nicht zum Besten gestellt ist. Aus meinem eigenen Umfeld kann ich berichten, dass der gegenwärtige Boom des digitalen Unterrichts ohne die private IT-Ausstattung von LehrerInnen, Eltern und SchülerInnen sicher nicht möglich wäre. Objektive Daten bestätigen diesen Eindruck. So hat das Statista Research Department im April einen Überblick zur digitalen Ausstattung von Schulen veröffentlicht, unter anderem die Ergebnisse einer Umfrage in 2019. In der Umfrage bejahten weniger als 40 Prozent der befragten SchulleiterInnen, dass es an ihren Schulen Zugang zu schnellem Internet und WLAN gebe. Entsprechend bewerten SchülerInnen die digitale Ausstattung der Schulen im Durchschnitt mit der Note 4.
Lesetipp: Homeschooling in Deutschland: Versetzung gefährdet!
Da Bildung in Deutschland in der Verantwortung der Länder liegt, ist der Mangel an Digitalisierung regional unterschiedlich ausgeprägt. So hatte interessanterweise das vergleichsweise kleine Hamburg mit Stand vom 13. März 2020 mit Abstand die größte Summe an Fördergeldern bewilligt. Nirgendwo waren Schulen allerdings auf die aktuelle Abhängigkeit von digitaler Technik im Unterreicht vorbereitet. Das führt zu Improvisation allenthalben. Eltern wollen, dass ihre Kinder auch in diesen Zeiten optimal betreut werden und lassen dies die Lehrer nachdrücklich spüren.
Diese müssten sich beim Kultusminister und Datenschutzbeauftragten über die richtige Verfahrensweise informieren können. In der Praxis werden sie alleingelassen und wissen sich in der Regel auch irgendwie selbst zu helfen. Die Berücksichtigung von Richtlinien, Sicherheitsregeln und Maßnahmen zum Schutz der Privatsphäre bleibt dabei allerdings häufig auf der Strecke. Wie viele Lehrkräfte nutzen in Ermangelung der Angebote ihres Dienstherren ihren privaten Laptop? Wie sieht es mit dem Datenschutz auf diesen Geräten aus? Sind die Lehrkräfte überhaupt selbst verantwortlich und entsprechend ausgebildet?
Das geht weiter mit der Bereitstellung von Lehrmitteln. Um diese ihren Schülern zur Verfügung zu stellen, kopieren und verteilen Lehrer lange Passagen aus Lehrbüchern und in einigen Fällen gleich ganze Lösungsbücher. Häufig handelt es sich um einen klaren Verstoß gegen geltende Urheberrechtsgesetze. Nun stehen Lehrer dadurch nicht gleich mit einem Bein im Gefängnis. Urheberrechtsverletzungen sind allerdings auch kein Kavaliersdelikt. Darum ist es wünschenswert, den Lehrkräften die entsprechenden Schulbücher digital zur Verfügung zu stellen und sie beim Umgang mit den digitalen Medien zu unterstützen. Hier fehlt es auch an Richtlinien, welcher Schulbuchverlag und welches digitale Angebot - gerade aus pädagogischer Sicht - vom Schulamt empfohlen werden. Auch hier sind die Lehrkräfte häufig auf sich gestellt.
Digitalisierung an Schulen: Zwischen Schatten-IT und DSGVO
Auch die Technik, die aktuell im Unterreicht auf Abstand weithin zum Einsatz kommt, ist bedenklich. Das beginnt bei den Videokonferenzdiensten, die für die Kommunikation zwischen Lehrern und SchülerInnen benutzt werden. Hierbei handelt es sich größtenteils um US-amerikanische Cloud-Dienste. Der Anbieter Zoom ist bereits wegen seines laxen Umgangs mit Datenschutzvorschriften in die Kritik geraten, hat er doch beispielsweise Mitschnitte von Videokonferenzen angefertigt und den Datenverkehr nicht ausreichend gegen unbefugten Zugriff gesichert. Auch wenn das Unternehmen inzwischen nachgebessert hat, warnte der Bundesdatenschutzbeauftragte Kelber vor der Nutzung der Plattform. Berlins Datenschutzbeauftragte Maja Smoltczyk erneuerte am 3. Juli 2020 ihre Warnung vor Videokonferenz-Lösungen wie Microsof Teams, Skype, Zoom, Google Meet, GoToMeeting, Blizz und Cisco WebEx. Kritisiert wird unter anderem, dass sich das Verhalten US-amerikanischer Anbieter nur schwer kontrollieren ließe, laufen die Datenströme doch häufig über Server in den USA. Zudem - so die Kritik - können US-Unternehmen in letzter Instanz immer durch US-Behörden zur Herausgabe von Daten gezwungen werden, sofern das politisch opportun erscheine. Übrigens nehmen US-Behörden ihre eigenen LehrerInnen und SchülerInnen gegen unerlaubten Datenzugriff entsprechend in Schutz und haben am 04. April in vielen Bezirken (wie bspw. NYC) den Einsatz von Zoom in Schulen verboten.
Lesetipp: Datenschutz in den USA - Shield Act Reloaded
Neben dem Einsatz von Videokonferenzdiensten aus der Cloud erfreuen sich viele andere Cloud-Dienste verständlicherweise gerade aktuell großer Beliebtheit. Ein anderes gutes Beispiel ist die Nutzung der Büroanwendungen von Microsoft 365, auch bekannt als Office 365. In Hessen beispielsweise ist die Nutzung von Microsoft 365 an Schulen aktuell nicht ohne weiteres gestattet. Wie sich auch auf der Internetseite des Datenschutz Hessen lesen lässt. Und doch kenne ich allein in meinem Heimat-Landkreis fünf Schulen, bei denen Microsoft 365 "einfach so" im Einsatz ist.
Nun ist der Einsatz von Cloud-Diensten nicht an sich unsicher oder sicher und es ist zweifelsohne möglich Microsoft 365 auf sichere Weise zu nutzen. Die unkoordinierte Nutzung dieser Dienste allerdings birgt erhebliche Risiken. Die Situation ist aus manchem Unternehmen bekannt, das seinen MitarbeiterInnen nicht die nötigen IT-Mittel an die Hand gibt, um bestimmte Aufgaben einfach auszuführen. Die Betroffenen greifen dann gerne auf Möglichkeiten außerhalb der offiziellen Unternehmens-IT zurück, um beispielsweise Dateien im Internet zu speichern und zu teilen oder mit Kollegen und Dritten zu chatten. In der Unternehmenswelt ist das Phänomen hinlänglich als "Schatten-IT" bekannt und gilt seit vielen Jahren als wesentliches Sicherheitsproblem.
Wovon reden wir überhaupt, wenn wir von Sicherheit und Datenschutz in der Cloud reden? Ein wichtiges Regelwerk zu diesem Thema ist die Europäische Datenschutzgrundverordnung (EU-DSGVO). Die Vorschrift regelt das Datenschutzrecht, den Umgang mit personenbezogenen Daten, einheitlich für ganz Europa. Ihr Ziel ist mehr Kontrolle der Bürger über ihre Daten und gleiche Wettbewerbsbedingungen für alle Unternehmen, die in der EU tätig sind. Zu den personenbezogenen Daten, die vor unbefugtem Zugriff zu schützen sind, zählen zum Beispiel:
Name,
Geburtsdatum,
E-Mail-Adresse,
IP-Adresse,
Steuernummer,
Autokennzeichen
oder Kontoverbindung.
Die Verantwortung für den Schutz der Daten in der Cloud liegt dabei bei der Organisation, die den Cloud-Dienst nutzt, nicht beim Anbieter des Cloud-Dienstes. Dies gilt bis auf die persönliche Ebene, sodass beispielsweise Geschäftsführer persönlich haftbar sein können, wenn ihr Unternehmen gegen die EU-DSGVO verstößt. Für unsere Diskussion der Nutzung von Schatten-IT durch LehrerInnen und SchülerInnen ist zu befürchten, dass die Verantwortung letztlich bei den LehrerInnen gefunden werden kann. Da bleibt zu hoffen, dass sich kein Kläger finden wird, damit sich kein Richter findet. Es ist klar, dass wir Bürger uns über den Datenschutz bei der Nutzung von Cloud-Diensten an Schulen Sorgen machen und es ist auch klar, bei wem wir die Verantwortlichkeit sehen: Laut einer Umfrage von YouGov sehen 76 Prozent der Befragten die Politik in der Pflicht, verbindliche Vorgaben zum Schutz sensibler Daten in der Cloud zu machen.
Datenschutz in Schulen: Verstößen vorbeugen
In der Praxis können bereits einfache Maßnahmen helfen, die gröbsten Verstöße gegen die EU-DSGVO zu vermeiden. Warum zum Beispiel müssen sich Lehrer und Schüler mit ihrem echten Namen in Cloud-Diensten anmelden, solange der Schutz ihrer Daten nicht gewährleistet ist? Wenn in der Lerngruppe klar ist wer welches Pseudonym nutzt, dann ist dies doch ausreichend. Die Nutzer dieser Dienste können und sollten selbst darauf achten, im Internet so anonym wie möglich unterwegs zu sein.
Lesetipp: So werden Sie (fast) unsichtbar im Netz
Das kann natürlich nicht der Weisheit letzter Schluss ein. Letztendlich müssen die zuständigen Stellen ihrer Verantwortung gerecht werden und schnell für technische Abhilfe sorgen. Es kann nicht sein, dass die LehrerInnen im Lande bei diesem Thema allein gelassen werden.
Auch die Ernennung eines "schulischen Datenschutzbeauftragten" (wie er Pflicht an jeder öffentlichen hessischen Schule ist) löst dieses Problem nur selten. Selten werden hier ausgebildete Experten eingestellt, die sich um die IT-Themen kümmern. Zu häufig sind dies Informatik-Lehrer, die "mal nebenbei" auch für den Datenschutz verantwortlich sind. Technisch gesehen ist eine sichere Nutzung von Cloud-Diensten kein Zauberwerk. Die EU-DSGVO selbst sieht zum Beispiel die Pseudonymisierung der Daten vor. Da pseudonymisierte Daten von Dritten nicht nutzbar sind, ist es nicht einmal gefährlich, wenn sie sich unbefugten Zugriff darauf verschaffen.
Die Einführung entsprechender technischer Maßnahmen kann allerdings nicht unkoordiniert erfolgen, weil es sonst weiterhin zu Inseln unsicherer Schatten-IT kommen wird. Meine eigene Erfahrung in den letzten Wochen stimmt mich nicht allzu optimistisch, dass die Verantwortlichen schnell handeln werden; Föderalismus sei Dank. Und dann schieben sich das zuständige Kultusministerium und der jeweilige Landesdatenschützer den Schwarzen Peter gegenseitig zu. Der Datenschutzbeauftragte des Landes Hessen hat leider auf meine Anfrage von vor zwei Monaten bisher nicht geantwortet. Eventuell liegt das an dem aktuellen Notdienst in der Institution.
Als optimistischer Mensch kann ich die Hoffnung allerdings nicht aufgeben. Meine dringende Aufforderung an die verantwortlichen Stellen ist, die Mittel des Digitalpakts zügig einzusetzen und dabei den Sicherheitsaspekt nicht zu vernachlässigen. Dank der Corona-Krise ist deutlich geworden, wo der Schuh am stärksten drückt, und wir wissen deshalb, wo angesetzt werden muss. Je eher, desto besser. Wir dürfen die Lehrer nicht im Stich lassen, sondern die verantwortlichen Organisationen auf Bundes und Landesebene müssen klare Vorgaben machen, wie digitaler Unterricht im Jahre 2020 erfolgen darf. (bw)