Hacker haben die Schulcloud über ein weltweit verteiltes Botnetz lahmgelegt. Diese und ähnliche Meldungen häufen sich, seitdem in den Schulen seit Beginn der Corona-Krise statt Präsenz- überwiegend Distanzunterricht stattfindet. Viele Schulen halten seitdem den Unterricht über Video ab und nutzen digitale Lernplattformen. Auf diese Weise versuchen sie, die bestehende Schulbesuchspflicht in dieser Krise durch ein funktionales Äquivalent zu ersetzen. Dabei begegnen sie vielfältigen Herausforderungen – vor allem beim Datenschutz:
So muss der Staat nach dem Grundgesetz (Art. 7 Abs. 1 GG) und nach den landesverfassungsrechtlichen Regelungen die technischen Mittel sowie die Infrastruktur zur Verfügung zu stellen, um digitales Lernen zu ermöglichen. Dazu gehören funktionierende Lernplattformen ebenso wie die Einrichtung von Video- oder Ton-Streaming sowie anderen Kommunikationsmöglichkeiten. Zwar sind viele digitale Lösungen bereits in den Schulen vorhanden und leisten einen wesentlichen Beitrag, um den staatlichen Bildungs- und Erziehungsauftrag zu erfüllen. Aber Länder und (freie) Schulträger sind unterschiedlich aufgestellt – und so unterschiedlich sind daher auch ihre digitale Ausstattung und die behördliche Duldung von Videokonferenzprogrammen und Lernplattformen. Das trifft im Besonderen auf den Umgang mit dem Datenschutz zu. Im Ringen um einen datenschutzkonformen Online-Unterricht haben Schulämter und die Landesdatenschutzbeauftragten mitunter sehr unterschiedliche Auffassungen darüber, welche Programme geeignet sind – und welche zu viele Sicherheitslücken aufweisen.
Zoom-Bombing stört den Schulalltag
Nun ist es so, dass auf den Lernplattformen, auf denen Unterrichtsmaterialen zur Verfügung gestellt und bearbeitete Aufgaben hochgeladen werden können, stets personenbezogene Daten verarbeitet werden. Gleiches gilt für die Videokonferenzen. Datenschutzrechtlich problematisch ist es auch, wenn Unterricht in Form von Audio oder Video aufgezeichnet wird. Der Austausch von personenbezogenen Daten geht oftmals über den Vor- und Nachnamen und die E-Mail-Adresse hinaus. Manchmal werden auch ganze Benutzerprofile offengelegt. Hierdurch können Daten an Dritte weitergegeben werden oder Unbefugte Zugriff erhalten: Unberechtigte Dritte loggen sich in die virtuellen Unterrichtsräume ein und teilen unerwünschte Inhalte – oftmals pornografischen Inhalts oder beleidigende Sprüche. Solche Fälle von so genanntem Zoom-Bombing gibt es derzeit leider immer wieder im Schulalltag.
Wie kann dennoch der Schutz personenbezogener Daten im (teil-)digitalisierten Schulalltag gewährleistet werden? Bis heute gibt es (noch) keine verbindlichen Datenschutzstandards für die Software im Bildungsbereich. Dabei gilt europaweit seit 2018 die Datenschutz-Grundschutzverordnung (DSGVO), die Kinder und ihre personenbezogenen Daten als besonders schutzbedürftig ansieht und ihrem Schutz besonderes Gewicht beimisst.
Aber bis heute ist der Datenschutz für die Schulverwaltung und die Datenschutz-Aufsicht in den Landesdatenschutzgesetzen, die zulässige Datenverarbeitung in den jeweiligen Schulgesetzen geregelt. Fragen zum schulischen Datenschutz lassen sich daher nur von den einzelnen Landes-Datenschutzbehörden beantworten. Sie gehen jedoch nicht immer konform mit den Vorstellungen von Lehrer- und Elternverbänden.
Viele Dienste an Schulen sind datenschutzrechtlich fragwürdig
Mangels konkreter rechtlicher Vorgaben zu Beginn der Schulschließungen haben Schulen daher mitunter auf datenschutzrechtlich fragwürdige Dienste zurückgegriffen, um den Unterricht aufrecht zu erhalten und um ihrem Bildungsauftrag gerecht zu werden. Derzeit existiert ein wahrer Flickenteppich von datenschutzrechtlich geduldeten IT-Systemen. Er wird wohl auch noch einige Weile Bestand haben. Zwar hat die Bundesregierung im Rahmen des Digitalpakts Schule eine nationale Bildungsplattform geplant. Aber ob diese Plattform auch gewährleisten kann, dass verschiedene Lernangebote datenschutzrechtlich konform zugänglich sind, bleibt abzuwarten.
Datenschutz darf nicht vernachlässigt werden. Er darf jedoch auch kein Hindernis für eine beschleunigte Digitalisierung im Bildungsbereich sein. Letztlich können nur digitale Tools den Bildungsausfall aufgrund von Schulschließungen abfedern. Deshalb müssen Schulen datenschutzkonform in einem rechtssicheren Rahmen zwischen Lehrkräften, Schülern und Eltern kommunizieren können – ohne Sorge vor Datenmissbrauch.
Meine Empfehlungen:
- Bei Verwendung von Videokonferenz-Tools sollte ein entsprechender Hinweis in die Datenschutzerklärung der Schule aufgenommen werden. Teilnehmer der Videokonferenz müssen über die Art und den Umfang der Datenerhebung informiert werden.
- Soweit in Schulclouds gearbeitet wird, sind entsprechende Redundanzen zu schaffen, um auch bei einem spontanen Ausfall kurzfristig arbeitsfähig zu bleiben.
- Perspektivisch sollten die zuständigen Aufsichtsbehörden möglichst einheitliche Regelungen festlegen, um eine einfache und pragmatische Nutzung von Videokonferenz-Systemen und Lernplattformen in Schulen zu gewährleisten.
