Datenschutz – Fragen und Antworten für den Bildungsbereich

Kerstin Armbrust verfügt als TÜV-Süd-geprüfte Datenschutz-Auditorin über jahrelange Erfahrung mit Datenschutzfragen, auch im Bildungsbereich.

Frau Armbrust, vielen Dank, dass Sie sich Zeit für uns nehmen. Fangen wir mit ein paar generellen Fragen zum Thema Datenschutz an.

Woran kann ich erkennen, wo meine Daten abgespeichert werden?

Gute Frage – das ist gar nicht so einfach. Daten werden ganz unterschiedlich und an unterschiedlichen Orten gespeichert – lokal, in der Cloud oder auf einem Server. Es hängt davon ab, ob Lehrende die Daten in Eigenverantwortung lokal ablegen oder ob die jeweilige Bildungseinrichtung oder Organisation die Daten auch zentral speichert, zum Beispiel in der Schul-Cloud oder auf einem zentralen Server, der der Bildungseinrichtung gehört.

Wichtig ist: Ich bin selbst dafür verantwortlich, wo meine Daten gespeichert werden und dafür, dass ich darüber Bescheid weiß. Lehrerinnen und Lehrer sind besonders in der Verantwortung, wenn es um Schülerdaten geht. 

Jeder von uns gibt täglich Daten von sich weiter – und oft verlieren wir sogar den Überblick. Es kann nervig sein, wenn Sie zum Beispiel alte, private Fotos von sich auf einem alten USB-Stick entdecken, den Sie an Kundinnen und Kunden oder in der Familie weitergegeben hatten – und vorher nicht geprüft haben, was darauf noch gespeichert war. Ich empfehle eine Tabelle, in die ich eintrage, wem ich erlaubt habe, meine Daten zu verarbeiten, zum Beispiel einem Newsletteranbieter, der Tageszeitung oder einem Online-Lieferanten. So behalte ich ein klein wenig Kontrolle. 

Wie kann ich es beeinflussen, wie und wo meine Daten abgespeichert werden?

Ich kann in meinem Rechner Speicherpfade festlegen und mir einmal Gedanken zum wirklich sinnvollen Speichern machen, wie ein Aktenplan für das Büro. Ich kann Zahlen und Buchstaben nutzen, z. B. _Bio_Klasse¬_2b und die Schülernamen alphabetisch in diesem Ordner speichern. 

Der Datenschutz sagt: Daten zu verarbeiten ist verboten (Fachwort: Erlaubnisvorbehalt). Man braucht die Einwilligung der Betroffenen, und als Lehrende haben Sie diese von Ihren Schülerinnen und Schülern erhalten. Bei Schülerdaten brauchen Sie keine separate Einwilligung. Sie haben aber eine besondere Verantwortung für die Daten.

Ich empfehle, die Daten besonders sicher zu speichern. Auch sollten Sie das Versenden von Anhängen (z. B. Klassenarbeiten oder sonstiges) möglichst vermeiden.

Noch ein Satz zu Ihren eigenen Daten: Sie sind für Ihre Daten verantwortlich. Im beruflichen Kontext nutzen Sie z. B. XING oder LinkedIn –, hier haben Sie die Kontrolle über alles, was Sie veröffentlichen. Facebook, Instagram, Pinterest und andere sind nicht im beruflichen Kontext zu nutzen (also Vorsicht bei personenbezogenen Daten in Facebook-Gruppen), denn hier habe ich keine Kontrolle – ich kann nicht verhindern, dass Dritte auf Facebook über mich schreiben oder meine Bilder taggen usw.

Habe ich das Recht, meine Daten zurückzufordern bzw. löschen zu lassen?

Die DSGVO hat die Rechte der EU-Bürgerinnen und Bürger gestärkt. In Artikel 12 bis 15 geht es um die Betroffenenrechte: Sie haben das Recht auf Auskunft, Information, Berichtigung und Löschung, und Sie können sich bei den Aufsichtsbehörden – den Landesdatenschutzbeauftragten – beschweren. Daten zurückzufordern oder zu löschen ist meist nicht sofort möglich, der gesetzlichen Aufbewahrungsfristen wegen. Ihre Daten können aber bis zum Löschen gesperrt werden, also Dritten nicht mehr zugänglich sein, wenn gesetzliche Löschfristen bestehen.

Und bitte bedenken Sie die Realität: Das Internet vergisst nicht – versuchen Sie doch einmal eine Suche bei Yasni.com

Lassen Sie uns jetzt etwas spezifischer werden. Warum hört man, Ihrer Meinung nach, zurzeit so viel über Datenschutz und Bildung in den Nachrichten?

Weil zum einen die Hacker immer professioneller werden und zum anderen der Datenschutz immer wichtiger wird. Gerade hat zum Beispiel der Hersteller notbebooksbilliger.de ein Bußgeld von 10,5 Millionen Euro erhalten, weil er seine Mitarbeiterinnen und Mitarbeiter per Videokamera überwacht hat. Nach Lidl und H&M sollte da doch etwas mehr Verständnis sein.

Zum anderen der Aspekt Bildung und Datenschutz: Die Daten unserer Kinder sind wichtig und besonders schützenswert. Jetzt stellen Sie sich bitte eine pädagogische Fachkraft vor – 25 Stunden Unterricht, plus Vorbereitung des Unterrichts für Präsenz-, Hybrid- und Online-Unterricht (das kann schon einmal eine 50-Stunden-Woche ergeben) – man weiß ja nicht, welcher Unterricht morgen ansteht. In unserem föderalen System bezahlt der Schulträger für die technische Ausstattung – aber was ist mit einer Datenschutz-Sensibilisierung für Lehrende? Die Richtlinien kommen vom Ministerium, und die Schulen haben auch komplett unterschiedliche technische Umgebungen, nutzen unterschiedliche Lernsysteme. Wie soll hier ein einheitlicher Datenschutz greifen? Es ist wichtig, dass das Thema Bildung und Datenschutz in den Medien weiter diskutiert wird.

Gedanken an die Sicherheit stehen da nicht immer an erster Stelle. Dabei dürfen – klare Aussage des Landesdatenschutzbeauftragten von Rheinland-Pfalz – zum Beispiel WhatsApp, Facebook oder iMessage „nicht für unterrichtliche Zwecke und in anderen schulischen Zusammenhängen verwendet werden“ (datenschutz.rlp.de | Datenschutz in der Schule. Fragen und Antworten für Lehrkräfte). Zudem ist die Situation mit den vielen unterschiedlichen Geräten, dem Homeschooling und Wechselunterricht äußerst risikoreich. Hier besteht in puncto Datensicherheit ein echter Nachholbedarf.

Warum ist Datenschutz im Bildungsbereich wichtig?

Wir sprechen von unseren Kindern – Schutzbefohlenen. Ihre Daten müssen besonders geschützt werden. Im Bildungsbereich Tätige brauchen eine hohe Medienkompetenz – zum Erziehungsauftrag gehört meiner Meinung nach ganz sicher, dass auch die Schülerinnen und Schüler lernen, dass sie eigene Rechte haben, wie das ‚Nein‘ zum Foto, dass sie aber die Rechte von anderen ebenfalls zu respektieren haben. Diese Leitplanken für den Datenschutz unseren Kindern zu vermitteln, ein Sicherheitsbewusstsein im Umgang mit digitalen Medien, Geräten und Inhalten zu entwickeln, finde ich sehr wichtig.

Welche Stolpersteine bzgl. Datenschutz gibt es im Bildungsbereich?

Ich sehe tatsächlich ein Risiko darin, dass manche Lehrenden den Lernenden computertechnisch nicht unbedingt weit voraus sind und auch nicht immer der Wille besteht, sich auf die digitale Zukunft einzulassen – wozu auch der Datenschutz gehört.

Ich möchte aber eine Lanze für die Lehrerinnen und Lehrer brechen: Wenn nicht einmal die technische Ausstattung gegeben ist, wenn sie mit den eigenen Privatgeräten arbeiten müssen, Lehrkraft und Klasse unterschiedliche Geräte haben, die Schülerinnen und Schüler Geräte erhalten und die Lehrkraft leer ausgeht, wenn die Zeit für Weiterbildung einfach nicht da ist – das sind Stolpersteine.

Viele Schulen haben nicht einmal eine eigene IT-Fachkraft. Wie soll dann eine Qualifizierung der Kolleginnen und Kollegen stattfinden? In einer mir bekannten Schule wurde einfach eine Lehrerin zur Datenschutzbeauftragten benannt – und das war alles. Keine Weiterbildung, keine Freistellung, nichts. So bleibt der Lehrkraft, die keine technischen Fächer unterrichtet und per se computeraffin ist, oft nur der einsame Kampf mit dem privaten Drucker und der Ärger über instabile Internetverbindungen, verbunden mit einem Gefühl der Hilflosigkeit.

Welche Auswirkungen hat der Datenschutz auf die Auswahl von Programmen?

Große Auswirkungen. In Europa entwickelte Software muss immer DSGVO-konform sein. Software aus dem nicht-europäischen Ausland, wie zum Beispiel von Microsoft, muss ebenfalls die europäischen Datenschutz-Vorgaben erfüllen. Gerade Microsoft hat in dieser Hinsicht in den letzten Wochen große Anstrengungen unternommen, um die Sicherheit der Nutzer zu erhöhen.

Bei der Arbeit am Computer sollte auch zwischen der Software zur Datenbearbeitung und den Speichermöglichkeiten und -plätzen unterschieden werden. Die Bundesregierung speichert ihre Daten zum Beispiel in der Nextcloud. 

Microsoft: Neue Maßnahmen zum Schutz Ihrer Daten

Der Bayerische Landesbeauftragte für den Datenschutz: Stärkung der Nutzer-Rechte

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg: #DSGVOwirkt: Microsoft passt sich europäischem Datenschutz an

An Schulen arbeitet man mit Kindern und Jugendlichen. Gibt es hier Bedingungen, auf die besonders zu achten ist?

Oh ja. Kinder sind besonders geschützt, Fotos und Videos dürfen eigentlich ohne die Einwilligung der Erziehungsberechtigten nicht ins Internet gestellt werden. Der Lehrer darf keine personenbezogenen Daten seiner Schülerinnen und Schüler, die Lehrerin keine Schülerfotos auf einem privat genutzten Smartphone haben. Dies ist nur auf geschäftlichen Geräten erlaubt – aber wie wollen Sie das nachprüfen? Hier müssen die Lehrenden sich selbst kontrollieren und aktiv mitarbeiten, um die Daten der Kinder zu schützen. Die bereits angesprochene Medienkompetenz ist wichtig. Die Heranwachsenden müssen auch den Datenschutz, ja den Respekt vor den Daten der anderen, erst lernen.

Welche Konsequenzen hat es, wenn man nicht auf den Datenschutz achtet?

Es kostet. Bußgeld-Drohkulisse für Firmen: 20 Millionen Euro! 

Das hört sich schlimm an. Aber Behörden und Bildungseinrichtungen in staatlicher Trägerschaft sind vom Bußgeld ausgenommen. Doch Vorsicht – auch Privatpersonen (zum Beispiel Lehrende) können zum Bußgeld verurteilt werden! Wer sich der Zusammenarbeit mit den Behörden verweigert, kann mit einem Bußgeld belegt werden. Datenpannen sind das eine – aber auch eine Äußerung über Dritte, die zu ernsthaften Konsequenzen für denjenigen führt, kann geahndet werden! 

Im GDPR-Tracker (GDPR Enforcement Tracker - list of GDPR fines) können Sie das selbst nachprüfen. Nicht nur die Bildungseinrichtung kann belangt werden, sondern auch die Verantwortlichen und die einzelne Privatperson! Datenschutz geht uns alle an. Ein Beispiel: Der Polizist, der die Unfallbeteiligte sexy fand, im Polizeicomputer die Adresse heraussuchte und sie zu einem Date einlud – das ist beispielsweise ein klassischer Verstoß gegen den Datenschutz. Das Bußgeld hier betrug 2500 €. Dies finden Sie auch im GDPR-Tracker wieder.

Wer ist für die Einhaltung der DSGVO an meiner Schule verantwortlich?

Jeder von uns muss sich an den Datenschutz halten und darf keine Daten von Dritten weitergeben. An den Schulen ist in letzter Instanz die Schulleitung die ‚verantwortliche Stelle‘ und für das Einhalten des Datenschutzes verantwortlich. Die Schulen sind in Trägerschaft der Kommunen, und öffentliche Organe benötigen auch immer eine/n Datenschutzbeauftragte/n, damit der korrekte Umgang mit den personenbezogenen Daten der Lehrerenden und der Schülerinnen und Schüler sichergestellt ist. Wichtig ist, dass die ernannten Datenschutzbeauftragten auch entsprechend qualifiziert werden, um dieser Aufgabe nachkommen zu können.

Der CLOUD Act wird manchmal als Problem bei der Einhaltung des Datenschutzes genannt. Sind somit auch Daten gemeint, die über die Hardware (Nutzung von Apple iPads, Microsoft-Tablets, Huawei-Tablets usw.) erfasst werden?

Wenn ja, gibt es überhaupt eine Möglichkeit, die Datenabfrage über Server zu vermeiden? 

Seit 2001 müssen US-Firmen personenbezogene Daten an US-Behörden weitergeben – mit dem CLOUD Act haben die USA diese Praxis auf ausländische Server ausgeweitet. Egal, wo die Daten entstehen (iPad, Tablet, Smartphone) – sie werden erfasst. Das Problem ist zum Beispiel bei Facebook, dass auch bei Servern in Irland die Muttergesellschaft in den USA sitzt – und folglich auch die Daten europäischer Nutzer in die USA wandern können. Max Schrems aus Österreich hat dagegen geklagt und Recht bekommen. Jetzt müssen Europa und die USA zur Datenschutzthematik neu miteinander reden.

Datenabfragen über Server vermeiden – nur, wenn Sie nicht kommunizieren … Nein, es ist faktisch nicht möglich.

An wen kann man sich wenden, wenn man als Bildungsinstitution Unterstützung benötigt?

Die Landesdatenschutzbeauftragten sind hier gefragt. Es gibt ein Bildungszentrum des LDBA von Baden-Württemberg, die Berliner LDA und Rheinland-Pfalz und auch das Amt für Datensicherheit in Bayern stellen Informationen, Materialien und Fortbildungen bereit. Die Kultusministerien kooperieren hier ebenfalls. Auch Vereine wie digitalcourage e.V. sind hilfreich.

Wo sehen Sie Probleme in den Bildungseinrichtungen?

Es gibt manche Themen wie unerlaubte Fotos oder Videos oder den neuen Trend, den Freund/die Freundin nur teilbekleidet zu fotografieren und dann die Bilder ins Netz zu stellen – hier wird das Persönlichkeitsrecht verletzt. Ich wünsche mir, dass irgendwann ‚Datenschutz‘ und ‚Datensicherheit‘ so selbstverständlich werden wie der Sicherheitsgurt im Auto.

In den Bildungseinrichtungen sehe ich das Problem, dass der Datenschutz noch nicht die Stellung hat, die ihm gebührt. Es handelt sich um nichts anderes als um die Verteidigung unserer digitalen Bürgerrechte. Man bezahlt mit seinen eigenen Daten für Inhalte aus dem Internet. Die Bildungseinrichtungen sollten hier rigider sein, und es sollte mehr Mittel zur Aufklärung geben. Mittel, mit denen wir unsere Kinder zu mündigen Bürgern in der digitalen Welt erziehen können.

Über Kerstin Armbrust

Kerstin Armbrust, geboren 1965 in Esslingen, kam über die Anwenderseite zum Computer. Die ersten Schritte am PC erfolgten noch in der Ausbildung zur Europa-Sekretärin, dann parallel zum Studium der technischen Betriebswirtschaft und einer langjährigen Tätigkeit beim Südwestrundfunk. Der Schritt ins digitale Arbeiten erfolgte als Gesellschafterin einer Fullservice-lnternetagentur im aufkommenden Web-Zeitalter. In langjähriger Tätigkeit als Dozentin rund um das effektive Arbeiten und die Kommunikation im Team hat Kerstin Armbrust bei nationalen und internationalen Consulting-Projekten jahrelange Beratungs- und Schulungserfahrung gesammelt und bereits einige Fachbücher veröffentlicht. 

Als externe Datenschutzbeauftragte und 'Digital Working Coach' liegt es ihr besonders am Herzen, zu vermitteln, wie Menschen sicher und effektiv arbeiten können und wissen, wie sie ihre Daten schützen. 

„Sicher ins Netz: Mit einfachen Mitteln entspannt online gehen“, Kerstin Armbrust und Thomas Kowoll, 1. Auflage 2020, abc_Buchverlag Ltd., Tübingen

Kerstin Armbrust | Mission: Datenschutz

Kerstin Armbrust | Expertin für digitales Arbeiten