DSGVO

Datenschutz in Bildungseinrichtungen - Es gibt noch viel zu tun

Andrea Pfundmeierr war bis zur Übernahme durch Dropbox Ende 2022 CEO von Boxcryptor. Seitdem ist sie Senior Product Manager bei Dropbox.
Datenschutz in Schulen ist ein besonderes Thema, weshalb Datenschutzbeauftragte hier genauer hinsehen und strenger sind. Wie sehen die Herausforderungen und Chancen für Bildungseinrichtungen aus, was wurde bereits tatsächlich umgesetzt und was muss sich verändern.

Eine Kontroverse um das beliebte Programm Microsoft Office 365 brachte im Sommer 2019 ein Thema in die Schlagzeilen, das Aufmerksamkeit von einem breiten Publikum verdient hat: Schulen sollten das Software-Paket Office 365 des amerikanischen Konzerns Microsoft nicht mehr einsetzen – kein Word, kein Excel, kein Powerpoint, nichts. Zu diesem Schluss kam der hessische Beauftragte für Datenschutz und Informationssicherheit Michael Ronellenfitsch.

Inzwischen hat der Datenschützer aufgrund von Gesprächen mit Microsoft seine Einschätzung leicht abgeschwächt. Doch die Prüfung gehe weiter. Datenschutz an Schulen und Bildungseinrichtungen ist aus vielerlei Gründen ein besonders sensibles Thema und darum ist es nur gut, dass der Datenschutzbeauftragte das Thema kritisch durchleuchtet.

Als CEO setze ich mich tagtäglich mit dem Thema Datenschutz auseinander. Als Unternehmensgründerin liegt es mir außerdem sehr am Herzen, mich mit den Gründern und Gründerinnen der Zukunft auseinanderzusetzen und das Interesse an Unternehmensgründung in Schülerinnen und Schülern zu wecken.

Ich besuche regelmäßig Schulen, um dort mit den Kindern und Jugendlichen über ihre Perspektiven und Ideen zu sprechen. Dabei komme ich natürlich neben den Schülern auch mit dem Lehrpersonal und den Schulleiterinnen und Schulleitern in Kontakt. Das Thema Datenschutz und IT-Sicherheit ist dabei immer sehr präsent, da ich mich auch dafür einsetze, es stärker in den Lehrplan einzubinden und die IT-Kompetenzen sowohl der Kinder als auch der Lehrkräfte zu fördern. Meine Eindrücke zu diesem Thema möchte ich hier teilen.

Datenschutz an Schulen ist ein besonderes Thema, weshalb Datenschutzbeauftragte hier genauer hinsehen und strenger sind. Ich möchte über die Herausforderungen und Chancen für Bildungseinrichtungen sprechen sowie über die aktuelle Gesetzeslage, die tatsächliche Umsetzung an Schulen und darüber, was sich in Zukunft verändern muss.

Datenschutz an Schulen – sensible Daten und dezentrales Arbeiten

Das Thema Datenschutz an Schulen und Bildungseinrichtungen hat einen hohen Stellenwert, denn grundsätzlich wird dort mit sehr sensiblen Daten gearbeitet. Es werden nicht nur Bewertungen der schulischen Leistung in Form von Noten von Minderjährigen und jungen Erwachsenen festgehalten und verarbeitet, sondern auch Notizen zu Verhaltensauffälligkeiten, zum Sozialverhalten und persönliche Themen wie Krankheiten oder Abwesenheiten angelegt.

Diese Daten beeinflussen in hohem Maße die weitere Entwicklung und die Zukunft der Kinder. Wenn die Schüler minderjährig sind, verdienen deren Daten laut Erwägungsgrund 38 der DSGVO noch einmal besonderen Schutz:

„Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind.“

Demzufolge sind die an Schulen zu verarbeitenden personenbezogenen Daten besonders sensibel. Dazu kommt, dass Mitarbeiter in Bildungseinrichtungen gezwungenermaßen immer dezentral arbeiten: in der Schule, doch oft auch Zuhause und am privaten Rechner. Daten mit anderen zu teilen ist ein fester Bestandteil im schulischen Alltag, denn Lehrkräfte müssen sich untereinander, mit den Eltern und den Schülern und Schülerinnen austauschen.

Das kann datenschutztechnisch zum Problem werden, denn es muss immer sichergestellt werden, dass allen Lehrkräften das nötige Wissen vermittelt und technische Sicherheitslösungen zur Verfügung gestellt werden, die zum Schutz dieser Daten in so einem agilen Arbeitsumfeld notwendig sind.

Wenn Lehrkräfte von Zuhause arbeiten, was aufgrund fehlender Arbeitsplätze an Schulen üblich ist, stehen sie, falls die Schule das nicht leistet, selbst vor der Herausforderung und Frage: Wie greife ich auf die Daten zu und wie stelle ich sicher, dass ich alle Daten zur Verfügung habe, die ich brauche?

Datenschutzrechtlich bedeutet dies, dass man nicht nur die Rechner in der Schule schützen muss, sondern auch die privaten Geräte der Lehrkräfte, denn:

„Ich benutze als Lehrer personenbezogene Daten auf privaten Endgeräten, da mein Dienstherr (noch?) keine Dienst-Laptops stellt.“ (Anonym)

Lehrkräfte sollten nicht auf eigene Faust für Datenschutz sorgen müssen, sondern es sollte selbstverständlich sein, dass die Bildungseinrichtung die Verantwortung, die Organisation und die Kosten dafür übernimmt.

Das Thema Datenschutz in Bildungseinrichtungen betrifft also eine Vielzahl an Gruppen und bringt aufgrund der Heterogenität der zu sichernden Arbeitsplätze einige Herausforderungen mit sich. Zum einen betrifft das Thema die Schüler und Schülerinnen selbst, denn ihre personenbezogenen Daten müssen geschützt werden, um das Recht auf informationelle Selbstbestimmung zu wahren.

Zum anderen betrifft das Thema natürlich die Schule als Institution und die Schulleitung, die für die Einhaltung der Datenschutzgesetze verantwortlich ist – und im Ernstfall haften muss. Es betrifft aber auch die Lehrkräfte, die in der täglichen Arbeit die Verantwortung dafür tragen, die von der Schule vorgegebenen Richtlinien einzuhalten. Und natürlich sind auch die Eltern betroffen, die als Erziehungsberechtigte über das Thema informiert sein sollten.

Wichtig ist mir dabei, das Thema abzugrenzen. Es geht hier nicht darum, dass es in der Klasse eine Whatsapp-Gruppe gibt, über die Infos zur nächsten Klassenfahrt verschickt oder Hausaufgaben verteilt werden. Es geht um personenbezogene und sensible Daten wie Krankheiten, persönliche Eigenschaften, Bewertungen, Noten und Gesprächsnotizen, die von der Institution Schule – als Verantwortlicher für den Datenschutz – geschützt werden müssen.

Gesetzliche Rahmenbedingungen – die DSGVO macht auch vor Schulen nicht halt

Für öffentliche Schulen gilt nicht direkt die DSGVO, doch aufgrund der neuen Datenschutz-Grundverordnung mussten das BDSG sowie die Landesdatenschutzgesetze angepasst werden, und letztere gelten wiederum auch für Bildungseinrichtungen. Dies bedeutet, dass die Grundsätze der DSGVO trotzdem von Schulen nachweisbar umgesetzt werden müssen.

Jede Schule muss nach Artikel 39 der DSGVO einen Datenschutzbeauftragten berufen, der die Einhaltung der Verordnung verantwortet. Doch im Fall einer Datenpanne würden weder der Datenschutzbeauftragte noch Lehrkräfte persönlich haften müssen, denn es haftet ausschließlich der Verantwortliche für die Datenverarbeitungen und das ist die Bildungseinrichtung selbst.

Das bedeutet, dass allein die Schule die Verantwortung für den Datenschutz trägt. Es steht in der Verantwortung der Einrichtung, die Lehrer zu schulen und ein funktionierendes System bereitzustellen, in dem die Lehrkräfte datenschutzkonform, aber flexibel arbeiten können.

Die besonderen Herausforderungen an Datenschutz in Bildungseinrichtungen

Neben der Tatsache, dass Lehrkräfte flexibel an unterschiedlichen Arbeitsplätzen arbeiten und dabei unter anderem sehr sensible Daten verarbeiten, gibt es weitere Herausforderungen, die speziell für Bildungseinrichtungen gelten. Schulleitung, Lehrkörper und weitere Mitarbeiter und Mitarbeiterinnen in Bildungseinrichtungen sind in der Regel keine IT-Sicherheitsexperten. Trotzdem obliegt ihnen die Aufgabe, sensible Daten zu erfassen und mit ihnen zu arbeiten.

In der Ausbildung von Lehrpersonal kommt das Thema IT-Sicherheit kaum bis nicht vor und auch die Nutzung von moderner und innovativer Software ist nicht gerade das Lieblingsthema eines jeden Lehrers. Daher sind nur diejenigen, die sich auch privat interessieren, auf dem aktuellen Stand der Technik und kennen die genauen Bedrohungen und Chancen verschiedener technischer Systeme und Software.

Problem Nummer 1: Sicherheit obliegt persönlichen Neigungen

Besonders an Universitäten kommt es häufig vor, dass Studierende und Doktoranden Lehraufträge aufnehmen, in deren Rahmen Noten und Bewertungen vergeben werden. Eine meiner Mitarbeiterinnen hat diesbezüglich während ihrer Promotion an zwei Universitäten, einer in Deutschland und einer in den USA, interessante Erfahrungen gemacht. Das Wort Datenschutz ist nicht einmal gefallen und wie die Lehrkraft die Noten speichert und verwaltet, wurde ihr selbst überlassen. Dass dafür der private Rechner genutzt wird, war selbstverständlich. Ob dieser Rechner gut genug gesichert war, um damit personenbezogene Daten zu verarbeiten, wurde von niemandem erfragt oder gar überprüft.

Dieses Beispiel zeigt, dass die Verantwortung bei der jeweiligen Schule oder Bildungseinrichtung liegt und dass es einen großen Unterschied macht, wie das Thema Datenschutz kommuniziert und welche Wichtigkeit dem Thema eingeräumt wird. Hat der Datenschutz hohe Priorität, werden alle Lehrkräfte abgeholt und im Bereich Datenschutz fortgebildet, wie es beispielsweise ein Nutzer beschreibt, der an seiner Schule das pädagogische Netz betreut:

„Auf dem Privatrechner (der meist ja gleichzeitig auch beruflich genutzt wird) ist man auf sich alleine gestellt. Ich biete aber zusammen mit einer Kollegin eine wöchentliche IT/Medien-Sprechstunde an, zu der alle Kolleginnen und Kollegen kommen können. Außerdem gebe ich einen Newsletter heraus, der alle zwei Monate erscheint und Tipps gibt und Fragestellungen aufgreift.“ (B.R., Lehrer und Netzwerkberater)

Ist dies nicht der Fall, setzen nur die an diesem Thema interessierten Lehrkräfte adäquate Schutzmaßnahmen um.

Die Technische Universität Dresden ist eine Bildungseinrichtung, die dem Thema Datenschutz hohe Priorität einräumt. Sie hat eine Verschlüsselungssoftware evaluiert und bewertet sie als geeignetes Werkzeug zur sicheren Datenablage und zum sicheren Datenaustausch über Cloud-Dienste. Die Software wird mit Beginn des Wintersemesters 2019 allen Studierenden, Mitarbeitern und Mitarbeiterinnen kostenfrei zur Verfügung gestellt. Andere Universitäten hingegen klären ihre Lehrkräfte nicht einmal über die Datenschutzrisiken der Cloud auf.

Problem Nummer 2: Sicherheit vs. Prestige bei Budgetfragen

Neben dem Bewusstsein für die Relevanz von IT-Sicherheit und Datenschutz gibt es ein weiteres Problem: Schulen haben aufgrund von geringen Budgets oft nur eine rudimentäre IT-Ausstattung und wenn das Budget aufgestockt wird, dann wird es häufig eher für Hardware verwendet, die einen sichtbaren Unterschied macht, etwa Tablets oder interaktive Whiteboards.

IT-Sicherheitssoftware, die das komplette IT-System der Schule und die Datenablage auf Privatrechnern absichern könnte, ist meiner Erfahrung nach nicht die beliebteste Investition. Die Sicherheitslösungen konkurrieren mit herzeigbaren Gadgets, die eine Schule „sichtbar“ modernisieren. Eine Software, die unbemerkt im Hintergrund läuft, schützt zwar die Daten der Schülerinnen und Schüler. Doch im Idealfall – wenn die Software ihren Dienst tut und die Systeme effektiv schützt – merkt man von ihr nichts. Wenn Sicherheitssoftware gegen Prestige-Programme konkurriert, zieht sie bei Budgetknappheit den Kürzeren.

Problem Nummer 3: Dezentrale Organisationsstruktur

Als weitere Herausforderung kommt hinzu, dass Schulen dezentral organisiert sind. Es gibt zwar Richtlinien und Hilfestellungen der einzelnen Länder, doch jede Schule kann und muss ihr eigenes Ding machen und muss die gewünschten Sicherheitsvorkehrungen selbst implementieren. Die ITler an den Schulen, wenn es überhaupt dedizierte ITler gibt und es nicht einfach der Informatiklehrer oder die Mathelehrerin nebenbei macht, kochen alle ihr eigenes Süppchen und müssen für Budgets kämpfen.

Wenn man Datenschutz richtig machen will, muss man sich viel damit beschäftigen, doch die Ressourcen und die Zeit dazu haben die wenigsten Lehrer und Lehrerinnen. IT-Sicherheitsstandards ändern sich laufend und hier reicht es nicht, sich einmalig mit dem Thema zu beschäftigen. Vielmehr sind eine fortlaufende Fortbildung sowie Beobachtung des Marktumfelds erforderlich.

Erschwerend kommt hinzu, dass manche Bundesländer es auch drei Jahre nach Inkrafttreten und ein Jahr nach dem Gültigwerden der DSGVO nicht geschafft haben, die Empfehlungen zum Datenschutz auf ihrem Internetauftritt auf den neuesten Stand zu bringen. Selbst wenn die Schulleitung oder eine Lehrkraft sich an diese zentralen Empfehlungen halten möchte, wird es ihr oder ihm unnötig schwer gemacht. Es bleibt die Möglichkeit, sich an die Landesdatenschutzbeauftragten zu wenden. Doch diese sind, seit die neue DS-GVO bindend gilt, ebenfalls chronisch überlastet.

Eine Wunschliste für mehr Datensicherheit an Schulen

Die Schulen und Bildungseinrichtungen leisten sicherlich ihr Bestes, um mit den zur Verfügung stehenden Mitteln und mit dem vorhandenen Wissen die Daten von Kindern und Jugendlichen zu schützen. Doch leider fehlt es oft an Datenschutzbewusstsein, Unterstützung und Aufklärung. Daher habe ich sechs Wünsche formuliert, um die Datensicherheit an Schulen zu verbessern, um die Last von den Schultern der Lehrkräfte zu nehmen und um die Vorgänge gleichzeitig effizienter zu gestalten.

Mehr Unterstützung für Lehrkräfte: Meine bevorzugte Lösung wären Arbeitsrechner, die von den Einrichtungen gestellt werden. Sie sollten eine sichere und anwenderfreundliche Umgebung enthalten, die Kollaboration auch an sensiblen Daten möglich macht. Alternativ werden die privaten Rechner der Lehrkräfte mit einer sicheren Umgebung ausgestattet und zuverlässig auf den aktuellsten Stand der Technik gebracht.

Mehr Personal für die Datenschutzbeauftragten der Länder. Diese Behörden unterstützen Unternehmen sowie Bildungseinrichtungen bei der DSGVO-Konformität mit Rat und Tat und diese wichtige Aufgabe sollte auf mehr Schultern verteilt werden als auf die, auf denen sie jetzt gerade lastet.

Kultusministerien sollten keine eigenen IT-Sicherheitslösungen für Schulen beauftragen, sondern auf bestehende Lösungen von deutschen IT-Sicherheitsfirmen setzen. Denn speziell entwickelte Software ist teuer und würde ziemlich sicher trotzdem den Lösungen auf dem freien Markt in Sachen Nutzerfreundlichkeit und Funktionalität hinterherhinken.

Beispiele solcher gut gemeinten, aber schlecht umgesetzten Dienste gibt es bereits in anderen Bereichen, zum Beispiel die De-Mail. Erst kürzlich hat Bundesinnenminister Horst Seehofer die Beauftragung einer sogenannten Europa-Cloud angekündigt, was meiner Ansicht nach von vornherein zum Scheitern verurteilt ist. Es gibt bereits ausgereifte und sichere Cloud-Lösungen in Deutschland. Mit diesen Diensten wird die Europa-Cloud – auch bei hoher Förderrate – nicht aufschließen können.

Eine sichere und zeitgemäße Arbeitsumgebung: Ideal für die Kollaboration ist die Cloud, denn man kann von überall auf die Daten zugreifen und einfach mit anderen Lehrkräften und beteiligten Personen zusammenarbeiten. Aus Datenschutzgründen und aufgrund der besonderen Sensibilität im Bildungsbereich würde ich auf deutsche Anbieter setzen. Das Bundesland Baden-Württemberg empfiehlt beispielsweise die Nutzung von Teamdrive. Perfekt abgesichert ist eine deutsche Cloud mit der zusätzlichen Ende-zu-Ende-Verschlüsselung mit Zero-Knowledge-Garantie von Boxcryptor. Auch höchstsensible Daten wie Noten und andere Informationen über Minderjährige können so problemlos und DSGVO-konform abgespeichert werden.

Im Zuge der aktuellen Kontroverse um Office 365 und die DSGVO sollte auf die Nutzung von Word, Powerpoint und Co. verzichtet werden, bis Microsoft beim Erheben von Daten auf die Forderungen deutscher Datenschützer eingeht. Denn das Senden von Telemetriedaten kann keine Verschlüsselungssoftware verhindern. Wenn dies nicht möglich ist, muss sichergestellt werden, dass keinerlei Diagnosedaten an Microsoft geschickt werden. Eine Alternative zu Microsoft könnte aber das deutsche Programm Libre Office sein.

Obligatorische Fortbildungen für Lehrkräfte: Datenschutz und die Chancen und Gefahren von neuen Technologien sollten Kernkompetenzen des Lehrpersonals werden. Schülerdaten wären besser gesichert und gleichzeitig würde Lehrpersonal wichtige Skills erlernen, die ihnen auch beim Unterrichten, beim Verständnis ihrer Schüler und beim Vorbereiten von Unterrichtsmaterialien zugutekommen würden. Zudem darf nicht vergessen werden, dass Lehrer immer auch Vorbilder für die Schüler sind. Und daher ist es besonders wichtig, mit gutem Beispiel im Bereich Datenschutz voranzugehen.

Ein separates Budget für IT-Sicherheit: Sicherheit sollte nicht mit Gadgets und Vorzeigeprojekten um Budget kämpfen müssen. IT-Sicherheit ist ein eigenständiger Bereich, dessen Relevanz jedem bewusst sein sollte. Ein Budget, das an die Verbesserung und Pflege von IT-Sicherheit gebunden ist, würde hier sehr viel helfen.

Natürlich ist mir bewusst, dass dies eine umfassende und optimistische Wunschliste ist und dass sich Lehrkräfte und Schulleitung alle Mühe machen, um das Beste für ihre Schülerinnen und Schüler herauszuholen. Doch das Bewusstsein dieser Berufsgruppe um Relevanz von Datenschutz muss geschärft werden. Gleichzeitig müssen mehr Mittel für IT-Sicherheit frei gemacht werden.

Hier sehe ich nicht allein die Institution Schule in der Verantwortung, sondern hauptsächlich die Politik, die sich dem Thema Datenschutz an Schulen stärker annehmen müsste. Ein wichtiger Schritt wurde mit der DSGVO schon gemacht, da sich dank dieser plötzlich jeder mit Datenschutz auseinandersetzen musste. Nun geht es darum, dies auch mit den nötigen Ressourcen umzusetzen.

Unterschätztes Risiko: Datenschutz und Ticketsysteme


Zur Startseite