Diesen Datenschutz braucht kein Mensch! – eine Replik auf eine Pressemeldung

Von | 5. Juni 2020

Nein, dieser Titel soll kein ClickBait sein! Und nein, ich hätte auch gar nichts von zusätzlichen Klicks von Leuten, die eigentlich kein Interesse an der Sache an sich haben, da ich keine Monetarisierung pflege und diese auch nicht anstrebe.

Der Titel entspringt einer Gefühlslage, die wiederum ihre Ursache in folgender „Verlautbarung“ eines so genannten „(Landes-)Datenschutzbeauftragten“ (in diesem Fall aus Thüringen) hat:

https://www.mdr.de/thueringen/bussgelder-lehrer-datenschutz-kritik-100.html

oder:

https://www.sueddeutsche.de/politik/datenschutz-erfurt-datenschuetzer-will-verstoesse-von-lehrern-pruefen-kritik-dpa.urn-newsml-dpa-com-20090101-200604-99-308003

Und aus Gründen der „Seelenhygiene“ und als Betroffener werde ich versuchen, einzelne Aussagen zu analysieren und dabei so objektiv wie möglich zu bleiben (schließlich soll das nicht noch ein Rant zum gleichen Thema werden 😉 )…

Ihn hätten dazu (zu Verstößen gegen den Datenschutz,  ergänzt zum besseren Verständnis durch den Blogger!) „Hinweise erreicht“, sagte Lutz Hasse MDR THÜRINGEN. Dabei sprach er von möglichen Bußgeldern von bis zu 1.000 Euro. Nach Angaben des Datenschutzbeauftragten geht es um die Verwendung von nicht zugelassener Software oder Kommunikationsplattformen.

Mal abgesehen davon, dass es von einem seltsamen Verständnis von Verantwortung und Kommunikation zeugt, wenn man über Hinweise (nicht über konkrete Tatbestände!) Pressemitteilungen herausgibt, stellt sich dem Beobachter die Frage, was der Datenschützer unter nicht zugelassener Software … konkret versteht. Nun unterliegen wir in Bayern nicht den thüringischen Bestimmungen und ich verfüge auch nicht über die konkreten Kenntnisse darüber. Aber ausgehend von der Annahme, dass es bei uns eine ähnliche Problematik gibt, kann ich feststellen: Bis heute gibt es weder eine Black- noch eine Whitelist, die der einzelnen Lehrkraft/Schule/Schulleitung/…. eine feste, verbindliche Auskunft geben könnte. Stattdessen gibt es jedoch datenschutzrechtliche Sternstunden wie die des hessischen Datenschützers, die die allgemeine Verwirrung auf die Spitze treiben.

Hier also von einem Verstoß zu sprechen, würde erst einmal voraussetzen, dass der einzelne überhaupt weiß, wogegen er möglichst nicht verstoßen sollte.

In Thüringen gibt es eine Schulplattform, über die zum Beispiel Hausaufgaben hochgeladen werden können. Zudem verfügen Lehrer über spezielle E-Mail-Postfächer.

Die genannte Plattform kenne ich nicht, sie wird in der Zeile darüber aber als sicher bezeichnet. Allein dieser Begriff sollte einem Datenschutzbeauftragten so nicht über die Lippen kommen, denn wenn eines in der aktuellen IT sicher ist, dann, dass eben nichts sicher ist, sondern allenfalls datenschutzrechtlich einwandfrei! Aber hier soll keine Wortklauberei betrieben werden.

Viel bedenklicher finde ich die Ansage, LehrerInnen verfügten über dienstliche Email-Accounts. Dazu ein paar Fragen rein aus Interesse:

  • Wie sind diese Accounts umgesetzt?
  • Sind die dienstlichen Emails tatsächlich verschlüsselt?
  • Oder wird TLS/SSL als sicher angesehen?
  • Hat man bei der Aussage auch die SocialEngineering-Möglichkeiten mitgedacht?

Die Fragen zur Schulplattform erspare ich mir an dieser Stelle, da sie auf der HPI-Cloud zu basieren scheint und von Datenschutzbeauftragten als sicher eingestuft wurde. Wie abenteuerlich so eine Aussage ist, zeigt sich sehr schnell: https://www.heise.de/security/meldung/Schul-Cloud-gehackt-4723911.html

Wenn ein Lehrer darüber hinaus andere digitale Werkzeuge verwenden will, muss er eigentlich bei der Schulleitung eine Genehmigung einholen. Die wiederum muss beim zuständigen Ministerium anfragen. Und in jedem Fall muss der Datenschutzbeauftragte die Sicherheit dieser Werkzeuge prüfen. Lutz Hasse: „Während des digitalen Unterrichts haben uns diesbezüglich mehr als 30 Anfragen von Lehrern und Schulen erreicht.“ Auch in Zeiten wie diesen, so Hasse, sei man eben an geltendes Recht gebunden.

Vorab zum letzten Satz: Wer würde da etwas anderes fordern? Die Aussage ist trivial! Zu allem anderen wie bereits oben praktiziert ein paar Fragen:

  • Wie muss man sich den Prozess vorstellen? Macht das jede Lehrkraft einzeln? Im Fachschaftsverbund? Als Schule? Muss man sich einigen?
  • Ist eigentlich klar, dass sich eine Genehmigung mit einem einzigen Update überholt haben kann?
  • Stellt man sich so agile Schulentwicklung in diesen Zeiten vor?
  • Sind die Folgen eines solchen Prozederes absehbar?
  • Oder anders gefragt: Wer soll sowas auf irgendeiner Ebene leisten können, ohne sämtliche Chancen, die die digitale Transformation bietet, liegen zu lassen?

Trotzdem muss jetzt kein Lehrer befürchten, dass ihn einfach so ein Bußgeldbescheid erreicht. Zunächst müsse geprüft werden, ob der Fehler beim einzelnen Lehrer oder bei der Schulleitung liegt, sagt Lutz Hasse. Und dann würde er zunächst das Gespräch suchen, um den Sachverhalt aufzuklären.

Diese Aussage muss man nicht weiter kommentieren. Sofern damit grob fahrlässige Verstöße wie der Upload einer Prüfung auf Facebook oder sonstige hanebüchene Aktionen gemeint sind, ist die Aussage bestenfalls trivial. Bei allen anderen Fällen (z.B. „Der Lehrer hat App XYZ genutzt und damit die Faust-Präsentation auf GDrive hochgeladen.“) ist der „Fehler“ ein schlechter Witz, zumal dem Datenschützer der Schutzbedarf ein Begriff sein sollte.

Aber so einfach ist es nicht: Die App XYZ kann sehr einfach diverse Daten z.B. am Endgerät des Lehrers abgreifen und zu einem ganz anderen Anbieter weiterleiten. Das zu kontrollieren, ist für den „Normalo-Pädagogen“ unmöglich. Und selbst wenn ich mich in die Tiefen der Log-Files meines Pi-hole vergrabe, ist es nicht adhoc zu ermitteln, welche App welche Daten wohin schickt.

Merken Sie was? Der „Fehler“ ist eben nicht so einfach zu diagnostizieren und zeigt einmal mehr, wie oberflächlich hier gesprochen wird.

Warum ich diese Zeilen schreibe, hat aber tatsächlich noch einen anderen Hintergrund: Eine öffentliche Person in seiner Position muss sich im Klaren darüber sein, welche Wirkung solche Aussagen – so sehr sie im Detail korrekt gemeint waren –  bei den Betroffenen erzielen. Denn um wirklich sicher zu sein, muss für jede thüringische Lehrkraft klar sein, dass es nur einen Weg gibt: Versendet die Unterlagen in Zeiten der Schulschließung postalisch und verzichtet im Präsenz-Unterricht komplett auf alle digitalen Medien! Nur so ist man 100% safe.

Willkommen in 21. Jahrhundert! Ich habe fertig!

#BildungIstMenschenrecht #DatenschutzAlsShowstopper #Eindimensional