Je mehr die Digitalisierung Einzug in den Schulalltag hält, desto häufiger stehen auch Lehrkräfte vor Datenschutz-Abwägungen und der Frage: Darf ich dieses Tool im Unterricht mit meinen Schüler*innen einsetzen? Wir versuchen mit diesem Artikel zentrale Knackpunkte des Datenschutzes in der Schule verständlich aufzubereiten und einige häufig gestellte Fragen von Lehrkräften und Eltern beantworten.
Datenschutz in Deutschland – rechtliche Grundlagen
Die Verarbeitung personenbezogener Daten wird in Deutschland weitestgehend auf Basis der Datenschutz-Grundverordnung geregelt. Die DSGVO ist eine Verordnung der Europäischen Union, die mit dem Ziel erarbeitet wurde, die Regularien zur Verarbeitung personenbezogener Daten in der EU zu vereinheitlichen. Seit ihrem Inkrafttreten am 25.05.2018 wird durch die DSGVO geregelt, wer wann unter welchen Voraussetzungen wessen personenbezogene Daten verarbeiten darf und was passiert, wenn dagegen verstoßen wird. Die DSGVO löst damit in der EU eine Richtlinie aus dem 1995 ab.
Obwohl die DSGVO nun seit fast 2 Jahren geltendes Recht ist, dauert die Umsetzung an vielen Stellen bis heute an. Dies liegt zum einen an der Unsicherheit über die Form der Umsetzung und dem Aufwand für manche Unternehmen, die Regelungen umzusetzen. Zum anderen sorgt die Furcht vor hohen Strafzahlungen (bis zu 20 Mio. € bzw. bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des betroffenen Unternehmens) bei manchen Unternehmen für ein vorübergehendes Abschalten ihrer Angebote für den europäischen Raum.
DSGVO: Die wichtigsten Inhalte
Die DSGVO besteht aus insgesamt 99 Artikeln, die in 11 Kapitel untergliedert sind. Darin sind unter anderem allgemeine Definitionen, die Rechte der betroffenen Personen sowie Regelungen zu den Auftragsverarbeiter*innen, zuständigen Aufsichtsbehörden sowie Sanktionsregelungen enthalten. Dabei ist ein Großteil der Regelungen nicht grundsätzlich neu, sondern war bereits in der vorherigen EU-Richtlinie zum Datenschutz enthalten.
Allgemein werden in Artikel 5 sechs Grundsätze für die Verarbeitung personenbezogener Daten festgelegt:
- Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Hier gibt es verschiedene Auslegungsmöglichkeiten.
- Zweckbindung: Personenbezogene Daten dürfen nur für fest definierte Zwecke erhoben und verarbeitet werden.
- Datenminimierung: Die Datenerhebung muss auf das notwendige Maß beschränkt werden.
- Richtigkeit: Unrichtige personenbezogene Daten müssen unverzüglich gelöscht oder berichtigt werden.
- Speicherbegrenzung: Daten müssen so gespeichert werden, dass eine Identifizierung der betroffenen Person nur so lange wie nötig möglich ist.
- Integrität und Vertraulichkeit: Die Sicherheit der erhobenen Daten muss gewährleistet werden.
Darüber hinaus werden weitere detailliertere Regelungen getroffen. Wir möchten einige wesentliche Fragen im Bezug auf die DSGVO beantworten:
Personenbezogene Daten sind sehr weit definiert: Sie umfassen alle Informationen, die sich auf eine identifizierbare Person beziehen. Das heißt, dass Daten personenbezogen sind, sobald es eine Möglichkeit gibt durch sie einen Rückschluss auf eine Person zu ziehen. Dazu muss nicht unbedingt der Name der Person vorhanden sein. Es können beispielsweise auch Standortdaten oder eine Online-Kennung (z.B. eine persönliche E-Mail-Adresse) ausreichen. Alle Informationen, die im Kontext dieser Person erhoben werden, gelten als personenbezogen.
Die DSGVO regelt sehr konkret, unter welchen Bedingungen personenbezogene Daten verarbeitet werden dürfen. Im einfachsten Fall gibt die betroffene Person ihre Einwilligung zur Verarbeitung für einen oder mehrere Zwecke. Für diese Zwecke dürfen dann entsprechend personenbezogene Daten erhoben und verarbeitet werden. Außerdem dürfen Daten verarbeitet werden, wenn diese bspw. zur Erfüllung eines Vertrags oder einer rechtlichen Pflicht oder zum Schutz lebenswichtiger Interessen notwendig sind.
Grundsätzlich ist die Form einer Einverständniserklärung nicht vorgeschrieben. Es ist also nicht zwingend erforderlich, eine Einverständniserklärung in Schriftform einzufordern. In der Praxis werden beispielsweise auf Internetseiten häufig sogenannte „Consent-Banner“ verwendet, mit denen das Einverständnis der Nutzer eingeholt wird. Gerade im „analogen“ Umfeld bietet sich jedoch die Schriftform nach wie vor an, um im Zweifelsfall das Einverständnis der betroffenen Person einwandfrei nachweisen zu können.
Grundsätzlich dürfen die erhobenen Daten nur so lange gespeichert werden, wie es für den definierten Zweck nötig ist. Gibt es keinen Grund mehr, die Daten zu speichern, muss der Verarbeiter selbst aktiv werden und die Daten löschen. Darüber hinaus haben betroffene Personen das „Recht auf Vergessenwerden“. Demnach kann die betroffene Person fordern, dass alle zu ihr erhobenen Daten unverzüglich gelöscht werden, sobald die Gründe für die Datenspeicherung entfallen oder wenn sie die Einwilligung zur Verarbeitung widerruft.
Eine der größten Neuerungen der DSGVO ist, dass nun deutlich höhere Bußgelder verhängt werden können, die zu Beginn dieses Artikels bereits erwähnt wurden. Verantwortlich für die Überwachung der DSGVO-Einhaltung in Deutschland sind der bzw. die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, die 16 Landesbeauftragten für den Datenschutz und das bayerische Landesamt für Datenschutzaufsicht.
Datenschutz in der Schule
Ganz grundsätzlich gelten die beschriebenen Regelungen der DSGVO für Schulen genauso wie für alle anderen Organisationen auch. Das heißt zunächst, dass Schulen die Daten von ihren Schüler*innen erheben dürfen, die sie für die Wahrnehmung ihrer Aufgaben benötigen. Je nach Definition bzw. Auslegung können das beispielsweise Name, Geburtsdatum und Adresse der Schüler*innen sein. Möchten Schulen für weitere Zwecke andere personenbezogene Daten ihrer Schüler*innen erheben und verarbeiten, ist dafür immer eine Einverständniserklärung notwendig. Da die Schüler*innen in der Regel minderjährig sind, muss diese Einverständniserklärung von den Eltern unterzeichnet werden.
Gerade im vergangenen Jahr haben sich viele Schulen deutlich intensiver mit dem Thema Datenschutz in der Schule auseinandergesetzt, da durch die Corona-Pandemie vielerorts neue digitale Werkzeuge eingeführt wurden. Bei Plattformen wie Lernsax oder Lernraum Berlin, die die jeweiligen Bundesländer für die Schulen betreiben, ist die Situation noch relativ einfach, da hier die Bundesländer sicherstellen, dass die Regularien der DSGVO eingehalten werden. Schwieriger wird es, wenn Schulen oder einzelne Lehrkräfte sich darüber hinaus noch innovativer aufstellen wollen und weitere Tools in ihren Unterricht mit einbeziehen. Um die Fragen um den Einsatz solcher Anwendungen leichter abwägen zu können, möchten wir Lehrkräften einige praktische Leitlinien zur Verfügung stellen.
Hilfestellungen für die Praxis – Datenschutz in der Schule
Frage 1: Sind personenbezogene Daten zur Nutzung notwendig?
Einige Anwendungen lassen sich nutzen, ohne dass personenbezogene Daten von Schüler*innen benötigt werden. Beispielsweise könnten Schüler*innen während einer Gruppenarbeit eine Etherpad-Instanz nutzen, in der sie gemeinsam einen Text schreiben. Nutzen sie dazu auch noch einen Computer der Schule, werden keinerlei personenbezogene Daten verarbeitet und es entstehen auch keine Konflikte mit Datenschutzregeln. Zwar kann es sein, dass der Anbieter beispielsweise Zugriff auf den geschriebenen Text der Schüler*innen hat. Da diese Daten aber nicht personenbezogen sind, ist die Verarbeitung unproblematisch. Einer Nutzung steht damit nichts im Weg.
Frage 2: Speichert und Verarbeitet der Anbieter überhaupt Daten?
Einige Tools lassen sich nutzen, ohne dass der Anbieter überhaupt Daten erfasst. Mit Feedback Master lassen sich zum Beispiel digitale Erwartungshorizonte und Feedbackbögen erstellen und auswerten. Dabei erfolgt zwar die Nutzung online – die Daten der Schüler*innen werden jedoch ausschließlich offline auf dem Endgerät der Lehrkraft gespeichert. Da in diesem Fall keine personenbezogenen Daten durch fremde Unternehmen verarbeitet werden, ist die Nutzung auch datenschutzrechtlich unbedenklich.
3: Was tue ich, wenn ich trotzdem unsicher bin, ob ich ein Tool einsetzen darf?
Ist die Frage nach der datenschutzrechtlichen Tauglichkeit für die Schule bei einem Tool nicht sicher beantwortbar, so sollte die Anwendung auf jeden Fall zunächst nicht eingesetzt werden. Anlaufstelle für Fragen ist der*die in der Schule tätige Datenschutzbeauftragte (sofern vorhanden) und dann der*die jeweilige Landesdatenschutzbeauftragte. Oft gibt es bei weit verbreiteten Anwendungen (z.B. Microsoft Teams) von dieser Seite bereits Statements, die Empfehlungen zum Einsatz in der Schule geben. Ist dies nicht der Fall, so können diese auch direkt kontaktiert werden, um eine Einschätzung zu erhalten.
Fazit
Datenschutz in der Schule bleibt ein sensibles Thema. Vor allem seit der Einführung der DSGVO ist dies auch im öffentlichen Diskurs stärker in den Fokus gerückt. Doch auch wenn die rechtlichen Grundlagen sehr komplex sind, können einige einfache Fragestellungen bereits helfen und den digitalen Unterricht unterstützen. Welche Erfahrungen habt ihr zum Thema Datenschutz in der Schule gemacht und welche Fragen sind bei euch noch offen? Berichtet uns darüber im Kommentar zu diesem Beitrag, mit einer Mail über unser Kontaktformular oder über die sozialen Plattformen!
Hallo,
gibt es eine Vorlage wie ich welche Daten vernichten muss? Für digital, aber auch für Papierakten?
Hallo Annett,
die Vernichtung von (personenbezogenen) Daten ist in Deutschland nach der DIN 66399 geregelt. Eine grundsätzliche Übersicht zur Vernichtung danach findest du z.B. hier. Bei der Vernichtung von personenbezogenen Daten von Schüler*innen muss also mindestens Sicherheitsstufe 3 gewährleistet werden.
Für Papierakten gibt es Aktenvernichter die mit der entsprechenden Sicherheitsstufe klassifiziert sind.
Für digitale Daten ist vor allem wichtig, dass diese nicht nur gelöscht sondern überschrieben werden. Entsprechende Tools dazu finden sich auch kostenlos im Internet.
Viele Grüße
Christopher von Schule Digital Begreifen
Online Unterricht
Hallo, ist es gestattet (vom Datenschutz her) eine Gruppe/Klasse online gemeinsam zu unterrichten? Da bekommen ja evtl. auch Dritte viel von anderen Kindern mit.