Datenschutz: Sicherheit muss Schule machen

Unzureichendes WLAN statt stabiler Anbindung, unsichere Apps statt DSGVO-konformer Anwendungen und kaum Spielraum für pragmatische Lösungen: Nicht nur die Digitalisierung an deutschen Schulen stockt, auch der Datenschutz kommt in vielen Bildungseinrichtungen zu kurz. Doch gerade der Schutz der persönlichen Daten von Lehrpersonal und Kindern an Schulen sollte bei der Implementierung neuer Lösungen konsequent mitgedacht werden.

Ein Montagnachmittag im Schulalltag: Die Lehrerinnen und Lehrer der Klasse 6b an einer Realschule tauschen sich in einer WhatsApp-Gruppe über ihre Klasse aus:

„Patrick musste heute wieder abgeholt werden, weil sein Asthma ihm zu schaffen macht!“ 
„Hat jemand Kontakt zu seiner Mutter? Dann kann ich ihr die Hausaufgaben schicken.“ 
„Ja, ich. Hier ihre Nummer.“

Unterdessen setzt eine andere Lehrkraft eine Doodle-Liste auf, um zu prüfen, wer an der Klassenfahrt teilnimmt. Der Lehrer fängt an zu tippen: Elisa Müller, Hamza Aydin, Luca Bos, …

An vielen Schulen passieren solche oder ähnliche Fälle tagtäglich. Und ganz ehrlich: Wer denkt dabei schon an etwas Böses? Tatsächlich verstoßen diese Fälle aber gegen die Datenschutzgrundverordnung (DSGVO) der Europäischen Union. Ob Vor- und Nachnamen, Kontaktdaten oder Klassenzugehörigkeit – in den oben genannten Beispielen werden sensible, personenbezogene Daten über digitale Dienste wie WhatsApp und Doodle geteilt, außereuropäische Dienstleister mit Serverstandorten außerhabt der Europäischen Union. Das birgt unter anderem die Gefahr des Zugriffs aus unsicheren Drittstaaten, die nicht der DSGVO unterliegen. Die Lehrkräfte haben keinerlei Einfluss darauf, welche Firmen oder staatlichen Stellen Zugriff auf die persönlichen Daten erhalten. Doch gerade die Daten von Minderjährigen erfordern laut DSGVO einen besonderen Schutz, da sich diese möglicherweise nicht über die Risiken, Folgen und ihre Rechte bei der Verarbeitung ihrer personenbezogenen Daten bewusst sind. 

Ein Messenger-Verbot reicht nicht

Während des Homeschoolings in Pandemiezeiten kam es durch den Einsatz von Tools wie Doodle, Discord oder Zoom bundesweit immer wieder zu Datenschutzverstößen von Lehrkräften. Für die betroffenen Lehrerinnen und Lehrer kann das nach wie vor teuer werden. Zwar trägt in der Regel die Schule die Verantwortung. Wenn Lehrkräfte allerdings auf eigene Faust Programme nutzen, die von der Schulleitung nicht freigegeben wurden, drohen auch persönliche Bußgelder von bis zu 1.000 Euro. 

Um den digitalen Datenschutz an Schulen zu stärken, genügt es daher nicht, vereinzelte Maßnahmen einzuführen, wie etwa den Lehrkräften die Nutzung von WhatsApp zu verbieten. Damit solche Vorfälle gar nicht erst auftreten, muss Datenschutz ganzheitlich gedacht werden. Dazu gehören ein vertrauenswürdiger Internetzugang, sichere Server, datenschutzgerechte Anwendungen und Apps, sowie Plattformen und Hardware, die den Fähigkeiten der Nutzerinnen und Nutzer entsprechen. Folgende Punkte sind für ein umfassendes Datenschutzkonzept besonders wichtig: 

1.   Schneller und sicherer Internetzugang 

Wenn es mal wieder mehrere Minuten dauert, bis eine Website geladen ist oder bereits am 15. Tag des Monats das Datenvolumen der Schule aufgebraucht ist, scheint es verlockend, sich in ein öffentlich verfügbares WLAN in der Nähe der Schule einzuloggen. Etwa Hotspots von umliegenden Geschäften oder Restaurants zu nutzen. Oder aber mithilfe des privaten Smartphones der Lehrkraft oder eines Klassenmitglieds einen Hotspot einzurichten. Beides verstößt gegen die DSGVO. Denn die Verbindung mit einem öffentlichen Hotspot ist in der Regel nicht verschlüsselt. Theoretisch können alle, die sich im gleichen Netzwerk befinden, auf die sensiblen Daten der Schülerinnen und Schüler zugreifen. Bei der Nutzung eines privaten Hotspots wiederum werden die Daten unrechtmäßig auf einem privaten Gerät verarbeitet. 

Das Grundproblem: Viele Schulen verfügen oft nicht einmal über einen passenden Breitbandanschluss. Dieser ist allerdings notwendig, wenn täglich mehrere hundert Schülerinnen und Schüler sowie Lehrkräfte digitale Anwendungen nutzen, Inhalte streamen und herunterladen oder in Gruppenarbeiten an digitalen Dokumenten arbeiten. Die Telekom bietet Schulen daher leistungsfähige und datensichere Lösungen an, vom Glasfaseranschluss bis hin zum performanten WLAN in der Schule. 

2.    Leistungsstarke Lernplattformen

Bildung ist in Deutschland bekanntlich Ländersache. Und so gaben die Bundesländer in den vergangenen Jahren jeweils eigene digitale Lernplattformen in Auftrag. Dem Schulalltag sind diese Lösungen allerdings oftmals nicht gewachsen. Fehlendes Load-Balancing sorgte in Spitzenzeiten, etwa zu Unterrichtsbeginn am Morgen, für überlastete Server. In einigen Bundesländern sorgten die Plattformen daher nicht für den erhofften digitalen Aufschwung. 

Was Schulen stattdessen benötigen, sind skalierbare Lösungen, etwa auf Basis einer datensicheren Cloud. So setzen bereits neun deutsche Bundesländer unter anderem auf die Lernplattform EDUBASIS, einem Angebot der Telekom und dem „Educational Tech“-Anbieter Antares. Die Lernplattform umfasst eine online-basierte Mediathek für Lerninhalte, eine App-Anwendung sowie digitale Ausweise für Schülerinnen und Schüler. Lehrkräfte können ihren Unterricht mithilfe von EDUBASIS abwechslungsreicher gestalten und ohne Bedenken für den Unterricht und die Altersgruppe zugelassenes und urheberrechtlich geschütztes Material sicher nutzen. Leistungsstark und datensicher profiliert sich die Lösung im Schulalltag bereits als sinnvolle, bundesweite Alternative. 

Gehostet wird das Angebot in der Open Telekom Cloud. Eine bewährte Cloudlösung, die sichere Datenschutzkonformität gewährleistet und auch bei hoher Auslastung stabil funktioniert. Denn nur eine ausreichend gesicherte Lernplattform schützt die persönlichen Daten von Schülerinnen und Schülern vor Missbrauch und Material, dessen Urheberrechte geschützt sind rechtssicher vor Fremdzugriffen. Wenn solche Daten stattdessen auf unsicheren Cloud Lösungen gehostet und verarbeitet werden, besteht hingegen die Gefahr von Rechtsverstößen und Datenmissbrauch bis hin zu Identitätsdiebstahl. 

3.    Weiterbildungen und digitale „Hausmeister“

Früher gab es das Klassenbuch, heute nutzen Lehrerinnen und Lehrer dafür häufig eine App. Ebenso verwenden Lehrkräfte digitale Programme, um Unterrichtsleistungen und Noten ihrer Schülerinnen und Schüler zu notieren. Hier sind derzeit zahlreiche, potenziell ungesicherte Apps in Gebrauch, wodurch eine erhebliche Menge schützenswerter, persönlicher Daten in falsche Hände geraten könnte. Dabei liegt es nicht an der fehlenden Bereitschaft der Lehrkräfte, sich mit dem Thema Datenschutz auseinanderzusetzen. Sondern schlicht und ergreifend an Unwissen und Unsicherheit. In speziellen Fortbildungen lernen Lehrerinnen und Lehrer daher vereinzelt bereits, welche Daten schützenswert sind, welche Geräte, Netzwerke und Anwendungen sie nutzen können und mit welchen Einstellungen und Zugriffsoptionen die Datensicherheit gestärkt wird. Im Schulalltag braucht es zudem speziell geschultes IT-Personal, das Lehrkräften sowie Schülerinnen und Schülern bei Technikproblemen zur Seite steht, bei der Einrichtung und Nutzung von Geräten und Anwendungen hilft und auch die datenschutzrechtlichen Belange im Blick hat. Zusätzliche Unterstützung erhalten sie von universellen Endgeräte-Management-Tools (UEM) – „digitale Hausmeister“, die unterschiedliche Endgerätetypen zentral verwalten. 

Vorbild Österreich?

Um die Probleme zu lösen, könnte ein Blick nach Österreich hilfreich sein. Dort existiert die gleiche föderale Komplexität wie in Deutschland. Während der Pandemie erhielten Schulen jedoch eine Liste digitaler Anwendungen und Cloudlösungen für den Fernunterricht. Der Staat wog ab zwischen dem Recht der Kinder auf Bildung, dem Recht des Staats, Kinder zu bilden und den Datenschutzrisiken bei der Nutzung von Cloud-Diensten. Ein Schritt, der vielen Schulen und Landesdatenschutzbeauftragten den Rücken stärkte, um digitale Technologien zu testen. Der Bund könnte sich daran ein Beispiel nehmen und nicht nur entsprechende Fördergelder über den DigitalPakt Schule bereitstellen, sondern mit einer Whitelist von Lösungen den Ländern, Kommunen und Schulen eine weitere praktische Hilfestellung geben.

Meine Tipps für einfache Datenschutz-Vorkehrungen im Schulalltag

• Keine Hotspots und kein öffentliches WLAN nutzen.
• Keine Messenger nutzen, deren Betreibenden außerhalb der EU sitzen bzw. deren Server nicht in Europa betrieben werden.
• Bei Rundmails alle Mailadressen in die BCC-Zeile eingeben. Die „blind copy“ (blinde Kopie) sorgt dafür, dass die Empfangenden keine weiteren E-Mail-Adressen sehen können.
• Auf privaten digitalen Geräten keine Informationen über Schülerinnen und Schüler speichern.