Datenschutz und Schule– oder: Zwischen Datenschutzdilettantismus und Verfassungsauftrag

Von | 12. August 2019

Datenschutz und Brandschutz können das Ende einer jeden Schulentwicklung bedeuten.

Was einst als sarkastische Anmerkung eines Vorgesetzten bei mir ankam, mag überspitzt sein, trifft es im Kern aber ziemlich gut: Die extreme Regulierung und das positivistische Beachten von Vorschriften erweist sich – eben auch, aber leider nicht nur – als großes Problem im Schulalltag.

Ein kleines Beispiel (ausnahmsweise ohne jeden digitalen Hintergrund! Winking smile ):

Ein Kunst-Kollege hat mit seinen Schülern an einem Wettbewerb teilgenommen und möchte deren prämierte Ergebnisse in einem tristen, von kahlen Schalungsbeton dominierten Durchgang zur Turnhalle aufhängen. Laut Brandschutzverordnung nicht zulässig, weil der Fluchtweg durch 5 (!!!) angebrachte A3-Malereien zusätzliches brennbares Material enthält.

Es erschließt sich dem – freilich  nicht wirklich kompetenten – Beobachter nicht wirklich, worin hier die SInnhaftigkeit bestehen sollte. Und es geht auch gar nicht darum, ob diese Aussage die tatsächliche Rechtslage beschreibt. Es geht vielmehr darum, dass allein eine solche Feststellung im Schulalltag von keinem Angehörigen des pädagogischen Personals beurteilt oder gar entkräftet werden kann und somit umgesetzt wird.

Ganz ähnlich verhält es sich mit dem Datenschutz.

Der Grund für diesen Blogpost ist in der auch nach Jahren des Suchens noch immer existenten und präsenten Ungewissheit zu suchen, mit der sich ein aufgeschlossener Pädagoge, der seinen Unterricht an die Herausforderungen der Gegenwart anpassen will, beinahe ununterbrochen konfrontiert sieht.

Der Datenschutz und seine Baustellen – und es sind viele!

Wichtige Vorbemerkung:

Es geht mir in diesem Posting keinesfalls und in keiner Weise darum, den Datenschutz ins Lächerliche zu ziehen oder ihn als überflüssig, unsinnig, … erscheinen zu lassen. Es geht auch nicht darum, die (unsinnige!) Forderung zu stellen, der Dienstherr möge sich doch über geltendes Recht hinwegsetzen. Vielmehr geht es um das Postulat, mit Augenmaß und dem gebotenen Sinn für die Realitäten alle Player am Tisch (Anbieter, Exekutive wie Legislative) zu einer Lösung zu bewegen, die eines möglich macht: Moderne, wirksame und qualitativ hochwertige Bildung für unsere nächste Generation!

Ich bin weder Jurist noch Hobby-Datenschützer, so dass ich hier nur meine Erfahrungen und Eindrücke aus dem schulischen Alltag beschreiben kann.

Baustelle 1: Technischer und rechtlicher Datenschutz

Eine Erfahrung, die man sehr häufig macht, wenn es um das Thema Datenschutz geht, zeigt sich, wenn aus unterschiedlichen Perspektiven argumentiert wird, ohne zu bedenken, dass das eine ohne das andere wenig Sinn macht: Rechtlicher und technischer Datenschutz sind zwei Seiten der bekannten identischen Medaille. Man kann und darf sie nicht voneinander losgelöst ansehen.

Kurzes Beispiel: Eine App, die im Unterricht eingesetzt werden soll, wird von einem örtlichen Datenschutzbeauftragten abgelehnt, weil dafür eine personalisierte Anmeldung von Schülern erforderlich ist. Rechtlich – sofern dies bei diesem nicht weiter definierten Beispiel überhaupt möglich ist – völlig korrekt, zumal nicht klar ist, was mit den erhobenen Daten geschieht. Technisch völliger Unsinn, denn längst gibt es Techniken des Fingerprintings (siehe z.B. hier), die Nutzer bei Onlineangeboten exakt profilen, ohne auch nur im Entferntesten einen Login zu erfordern.

Es zeigt sich schnell: Es gibt hier keine einfachen Lösungen. 100% sicher gibt es im Netz ohnehin nicht, aber würde man den Anforderungen des oben genannten Datenschützers wirklich ernsthaft genügen wollen, käme man um einen Glass-Box-Test des jeweiligen Angebotes nicht herum. Das aber ist weder technisch noch rechtlich leistbar.

Baustelle 2: Die “Wir-machen-es-selbst”-Naivität

Im Zeitalter des CloudComputing liegt die Software im Rechenzentrum, spielt der Client eine untergeordnete Rolle und steigt durch Zentralisierung der Komfort, sinkt der Admin-Aufwand. So weit, so gut!

Das Problem dabei: Durch NSA, “toll(engestählt)e” Präsidenten und diverse Acts wird der Zugriff auf persönliche Daten wesentlich vereinfacht. Zwar weist man von Seiten der Anbieter immer wieder – mehr oder weniger glaubwürdig – auf den hohen Wert des Datenschutzes hin, aber es bleiben immer wieder Restzweifel.

Vor dem Hintergrund entwickeln und betreiben Bundesländer, Kommunen oder auch einzelne Schulen mitunter ihre eigenen Cloudangebote, um dem Datenschutz hier entsprechend verlässlich Rechnung zu tragen.

Und so werkeln sie vor sich hin: die Nextclouds in den schulischen Serverschränken, die Schülerdatenbanken in den staatlichen Rechenzentren, die LMS-Angebote in diversen Akademien.

Die Vorstellung, ein solches selbst gehostetes Angebot wäre aus technischer Sicht sicherer vor Fremdzugriff als die – von mir keinesfalls als unbedenklich angesehenen – Angebote der BigPlayer um Google, Apple und Microsoft, ist bestenfalls naiv, schlechtestenfalls im Bereich der Fahrlässigkeit zu sehen.

Wer tatsächlich glaubt, dass selbst “gebaute” Angebote die bessere Lösung und der sichere Ort für sensible Daten sind, hält die BigPlayer entweder für dumm (Wer würde Hunderte oder eher Tausende von Leuten für Entwicklung und Betrieb eines Cloud-Angebots beschäftigen, wenn das jeder Hobby-Admin auch in seinem Keller anbieten kann? Winking smile ) oder sollte sich mit Softwareentwicklung etwas genauer beschäftigen.

Heißt das jetzt: Alle Daten bedenkenlos zu Google und Co? Natürlich nicht. Es soll lediglich eine Warnung sein, dass es die perfekte Lösung nicht gibt. Oder wie ein schlauer Mensch mal formuliert hat:

Auf komplexe Fragen gibt es sehr selten leichte Antworten. leichtfertige dagegen zuhauf!

Baustelle 3: Die “Wir-retten-die-Welt”-Mentalität

Es muss unser aller Zustimmung haben, wenn jemand fordert, dass unsere Kinder keine gläsernen Schüler sein sollen. Es muss auch auf unser aller Zustimmung treffen, wenn jemand die Wichtigkeit des Umweltschutzes betont.

Aber es muss ebenfalls allen Beteiligten bewusst sein, dass das ein Gemeinschaftsprojekt ist, das einen langen Atem, eine Menge Energie und vor allem den gemeinsamen Willen erfordert.

Der viel zu oft zitierte Satz “Deutschland wird das Weltklima nicht retten!” ist deshalb nicht unwahrer, nur weil er von Ignoranten und Spaltern verwendet wird. Aber es ist auch eine Frage der Alternativen.

Analog dazu verhält es sich mit dem Datenschutz: “Deutschland wird die Daten seiner Bürger nicht retten und sichern können!” könnte ein ähnlicher Satz lauten. Eine Erhebung an unserer Schule bei Eltern, die ihre meist 11jährigen Kinder uns als Schule anvertrauen wollen, ergab, dass 97% aller Kinder am ersten Tag der fünften Klasse ein Smartphone haben werden. Dieses Faktum und die Tatsache, dass in tausenden, ja Millionen Haushalten ein Sprachassistent in Betrieb ist, unterstreicht den obigen Satz.

Was allerdings in meiner Wahrnehmung wesentlich schwerer wiegt (und wie nebenbei bemerkt der Trump vs Huawei-Konflikt gezeigt hat): Die Suche nach Alternativen gestaltet sich sehr kurz und ist schnell beendet. Denn Europa hat es schlicht verschlafen, den Facebooks, Googles oder Apples dieser Welt eine Alternative entgegenzustellen, die den Abhängigkeitsgrad senken könnte.

Fakt und Realität ist längst: Die Datenkraken Winking smile oder auch Internetkonzerne sind alle in den USA beheimatet und machen ihr eigenes Ding. Es täte Not, hier gemeinsam eine europäische Gegeninitiative zu starten, um das Dilemma zu beheben. Ob das realistisch ist? Eine völlig andere Frage.

Was sicher keine Alternative ist: Die Zeit zurückzudrehen und das digitale Zeitalter zu ignorieren.

Baustelle 4: Was ist eigentlich mit dem Schutzbedarf?

Jeder datenschutzrechtlichen Freigabe muss – so wurde mir gesagt –. eine so genannte Verfahrensbeschreibung und damit auch eine Schutzbedarfsfeststellung vorausgehen. Während erstere hier nicht das Thema sein soll, ist letztere für mich als ehemaligen SysAdmin besonders interessant. Denn in zahllosen Backup-Sessions unseres pädagogischen (Schüler-)Netzwerks erwuchs eine Erkenntnis, die ebenso amüsant wie nervtötend sein kann: Schüler speichern in schulischen Datenablagen zwar x Dokumente, bearbeitete Bilder, diverse Präsentationen und auch Konstruktionen, aber eher selten Winking smilevertrauliche, persönliche Daten – denn das Umfeld bleibt für sie ein schulisches und eben kein privates. Mag sein, dass meine Erfahrungen hier nicht repräsentativ sind, aber dass dieser Aspekt in kaum einer Datenschutz-Diskussion erwähnt wird, stimmt mich nachdenklich. Warum sich dieses Verhalten der Kinder bei einem Cloud-Angebot ändern sollte, konnte mir bislang niemand erklären, womit wir beim eigentlichen Problem wären:

Wenn also in einem Cloud-Angebot “nur” die 123. Präsentation über Goethes Faust erstellt und abgelegt wird, sollte man überdenken, ob es sinnvoll ist, so zu tun, als würde ein Kind dort seine Krankenakte und seine Zeugnisse ablegen. Ironischerweise geschieht Letzteres vorwiegend via WhatsApp Disappointed smile

Wie bereits weiter oben geschrieben: Es geht nicht darum, die besondere Schutzwürdigkeit von Minderjährigen in Zweifel zu ziehen. Aber es geht darum, die Realitäten zur Kenntnis zu nehmen und nicht im spitzerschen Duktus nach dem Motto “Wir machen keine Fehler! Wir machen gar nichts!” zu agieren.

Baustelle 5: Der Druck der politisch Handelnden?

Dass Polemik und Schwarz-Weiß-Denken in unserer Gesellschaft Konjunktur haben, ist ebenso bedauerlich wie Fakt. Dass Politiker auf diesen Zug aufspringen, ist leider auch immer wieder zu beobachten. Und so kann es nicht verwundern, dass sich dieser Umstand auch im Bereich Datenschutz niederschlägt:

Das folgende fiktive Beispiel soll das erläutern:

Partei A fragt im Landtag nach, inwieweit Schulen auf die Digitalisierung vorbereitet sind und was die Staatsregierung zu tun gedenkt. Kurze Zeit später fragt Partei A an, inwieweit Inklusion an den Schulen sinnvoll und effizient umgesetzt werden kann. In beiden Fällen herrscht im zuständigen Ministerium hektische Betriebsamkeit. Zur ersten Frage werden Dokumente zur Verfügung gestellt, die u.a. Office 365 als Werkzeug im Unterricht benennen. Zur zweiten Frage wird ebenfalls Office 365 (hier insbesondere das Kommunkationstool Teams) benannt, mithilfe dessen krankheitsbedingt abwesende Schüler am Unterricht teilnehmen und in einer bisher nicht gekannten Form unterstützt werden können. Das hindert Partei B aber nicht daran, in einer weiteren Anfrage klären zu lassen, ob der Einsatz von Office 365 an Schulen überhaupt datenschutzrechtlich vertretbar sei.

Womit wir am entscheidenden Punkt angelangt wären: Kann es sein, dass der Datenschutz in dem beschriebenen fiktiven Beispiel über dem Wohl des kranken Kindes steht? Diese ethisch-moralische Dimension der Diskussion spielt in der Auseinandersetzung ebenfalls keine Rolle – ein Zustand, der meiner Meinung nicht zu akzeptieren ist. Es obliegt mir nicht, hier die moralische Instanz zu mimen. Diesen Sachverhalt aber zu ignorieren und die Kontroverse auf dem Rücken der Kinder auszutragen, kann nicht die Lösung sein.

Sonstige Baustellen….

Der Post ist ohnehin bereits zu lang, so dass ich weitere Baustellen nur noch stichpunktartig benennen will:

  • Ein Insider bei einem Internetriesen sagte mir einmal: “Wenn ihr uns alles an Daten, was ihr in euren Schulen zur Verfügung habt, geben würdet: Es wäre für uns nicht interessant! Denn wir wissen bereits alles! Winking smile
  • Der Fakt, dass erkennungsdienstliche Daten (z.B. von Überwachungskameras) von Bundesbehörden auf Amazon-Speichern abgelegt wurden und noch immer werden, zeigt die Verlogenheit und Inkonsequenz, die dieser Diskussion innewohnt.
  • Man lässt die Schulen mit der Problematik allein und eiert in geradezu lächerlicher Weise herum. Jüngstes Beispiel: der so genannte hessische Datenschutzbeauftragte!
  • Bei aller Diskussion wurde die technische Dynamik der Weiterentwicklung (Änderung von Software, AGBs .. adhoc via AppStore, Google Play….) überhaupt noch nicht erwähnt.
  • Datenschutz ist nach wie vor das ideale Alibi für alle, die sich einer Weiterentwicklung verschließen wollen. Oder wie es jemand mal gesagt hat:

Wer nichts ändern will, für den ist die Opferrolle die perfekte Strategie!

Fazit und Perspektve

Die Lösung kann IMHO nur darin bestehen, alle Verantwortlichen an einen Tisch zu bekommen und einerseits die Bedürfnisse der Schüler als auch die Möglichkeiten der Anbieter so zu modifizieren und aneinander anzupassen, dass der Datenschutz wieder dem gerecht wird, zu was er eigentlich gedacht ist: Einen effektiven (!!!) Schutz, der zugleich seine Grenzen kennt und nicht mehr zerstört, als er schützen kann.

Denn eines ist unbestreitbar: Das Digitale wird aus unserer Gesellschaft nicht mehr verschwinden!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert