Zum Inhalt springen

3.05 Anforderungen an den Datenschutz in Schule

Die digitale Infrastruktur in Schulen ist in staatlicher Verantwortung datenschutzkonform zu betreiben.

Grundlagen

  • Für den Datenschutz in Schule bilden die Europäische Datenschutzgrundverordnung (EU-DSGVO), das Bundesdatenschutzgesetz sowie die Datenschutzgesetze der einzelnen Länder uneingeschränkt die rechtliche Grundlage.
  • Die Gesamtverantwortung für den Datenschutz liegt bei den Schulaufsichtsbehörden. Die Schulaufsichtsbehörden versetzen die Schulen in die Lage, rechtssicher zu agieren.
  • Weitere Regelungen zum Schutz personenbezogener Daten an Schulen sollten in entsprechenden Verwaltungsvorschriften getroffen werden, um so auch die Besonderheiten von Schulen als Bildungseinrichtungen zu berücksichtigen.
  • Digitale Lehr- und Lernplattformen sind ein sinnvolles Werkzeug für die Arbeit in der Schule. Sie bieten u. a. die Möglichkeit, Kommunikation zu vereinfachen und neue (Medien-)
    Technologien in den Unterricht leichter zu integrieren. Dies hat gerade auch die Corona-Krise verdeutlicht.
  • Die Schulen benötigen gute pädagogische und (fach-)didaktische Konzepte sowie eindeutige Verzeichnisse der Verarbeitungstätigkeiten, die regeln, wie die digitalen Lehr- und Lernplattformen im Schulalltag genutzt werden. Nur so lassen sich diese sinnvoll und nachhaltig einführen und im schulischen Alltag verankern.
  • Die komplette digitale Infrastruktur in Schulen (auch Schulclouds) ist in staatlicher Verantwortung datenschutzkonform zu betreiben.

Datenschutzbeauftragte

  • Bei den verantwortlichen Stellen sind Datenschutzbeauftragte unter Beteiligung der Personalvertretungen zu bestellen, die auch mit den Landesdatenschutzbeauftragten zusammenarbeiten. Dafür sind die notwendigen Ressourcen bereitzustellen.
  • Allen Stellen, die personenbezogene Daten verarbeiten, müssen die Meldeketten bei Datenschutzverstößen oder Datenpannen transparent gemacht werden.

Beteiligung von Personalvertretungen

  • Bei der Einführung und Erweiterung der Nutzung von datenverarbeitenden Systemen, wie z. B. einem digitalen Klassenbuch oder Kommunikationsmodulen, die u. a. dazu geeignet sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen, sind die Personalräte in Form der Mitbestimmung zu beteiligen.
  • Die Personalvertretungen haben die Aufgabe, zu überwachen, dass geltende Gesetze, Verordnungen, Verwaltungsvorschriften zur Anwendung kommen und umgesetzt werden. Dies gilt auch für die Einhaltung der Europäischen Datenschutzgrundverordnung und des Bundesdatenschutzgesetzes.

Dienstvereinbarungen

  • Es ist notwendig, Dienstvereinbarungen, wie sie im BPersVG § 73 [Bundespersonalvertretungsgesetz] und in den Landespersonalvertretungsgesetzen vorgesehen sind, zu schließen.
  • Diese sollten u. a. folgende Aspekte regeln:
    • Nutzung von Software durch Kolleg*innen
    • Art und Weise, wie die Kolleg*innen mit digitalen Arbeitsgeräten arbeiten
    • Begrenzung der Zeiträume, in denen Kolleg*innen erreichbar sein sollen
    • Nichtüberwachung der Kolleg*innen in ihrem Verhalten oder ihrer Arbeitsleistung
    • Schulungsangebote für Kolleg*innen
    • Barrierefreiheit für Kolleg*innen und Schüler*innen mit Beeinträchtigungen
  • Rahmendienstvereinbarungen, die auf Landesebene geschlossen werden, sind dabei zu bevorzugen. In den Dienststellen kann ggf. durch ergänzende Dienstvereinbarungen nachgesteuert werden.

Schulungen für Kolleg*innen und Schüler*innen

  • Alle Beschäftigten in Schule, die mit personenbezogenen Daten arbeiten, sind in Bezug auf die Einhaltung des Datenschutzes umfassend zu schulen.
  • Schulleitungen stehen vor besonderen Aufgaben, wenn es um den Datenschutz geht. Daher ist es erforderlich, gezielte Schulungen für Schulleiter*innen zum Thema anzubieten.
  • Es ist erforderlich, alle Beschäftigten in Schule im Umgang mit der Cloud zu schulen (technische Schulung).
  • Dies beinhaltet auch spezielle Schulungen für einen pädagogisch sinnvollen Einsatz der datenverarbeitenden Systeme im Unterricht (didaktische, fachdidaktische Schulung).
  • Schulungen dienen der beruflichen Qualifikation und Weiterbildung und müssen
    daher auch in der Arbeitszeit stattfinden!
  • Ebenso ist es wichtig, die Schüler*innen altersgemäß im Umgang mit datenverarbeitenden Systemen und ihren Funktionen im Rahmen einer umfassenden, medienpädagogischen Bildung zu schulen. Hierfür sollen die zuständigen, staatlichen Stellen Konzepte erarbeiten und den Schulen zur Verfügung stellen.

Sichere Kommunikation

  • Um eine gesicherte pädagogische Kommunikation mit Schüler*innen und Erziehungsberechtigten sowie dienstliche Kommunikation mit Kolleg*innen zu ermöglichen, ist es erforderlich, allen in Schule Beschäftigten wie auch den Schüler*innen personalisierte Mailadressen sowie einen sicheren, webbasierten Messengerdienst zur Verfügung zu stellen. Nur so kann gewährleistet werden, dass die Beteiligten auf kommerzielle Angebote wie z. B. WhatsApp verzichten, die aufgrund des mangelnden Datenschutzes nicht nutzbar sind!
  • Sichere Kommunikation von Beschäftigten heißt u. a. Sicherheit vor dem Zugriff von außen durch Verschlüsselung, die Abwicklung der Kommunikation (E-Mails, Messengernachrichten) über Server in Landesverantwortung und auf dem Boden der EU (damit die DSGVO auch gilt).

Einsatz von Software

  • Kommt Software externer Anbieter (z. B. von Schulbuchverlagen) im Unterricht zum Einsatz, so ist darauf zu achten, dass zum Schutz der Minderjährigen keine Schüler*innenergebnisse personenscharf extern zugeordnet werden können.
  • Hierzu ist es erforderlich, dass alle Nutzer*innen (insbesondere die Lernenden und Lehrenden) anonymisiert bzw. pseudonymisiert werden, vor allem bei der Anmeldung bei Lernplattformen oder bei der Freischaltung von Lernsoftware.
  • Aggregierte Daten, aus denen Rückschlüsse auf konkrete Personen vorgenommen werden können, dürfen Dritten (u. a. Schulbuchverlagen) nicht zur Verfügung gestellt werden.
  • Um sich in der Vielfalt der angebotenen Softwareprodukte orientieren zu können, ist es notwendig, sogenannte „Positivlisten“ von datenverarbeitenden Systemen (wie z. B. Lernsoftware, Apps etc.), die dem Datenschutz genügen und mit denen man unter didaktischen Gesichtspunkten sinnvoll arbeiten kann, bereitzustellen. Erforderlich ist deren staatliche Zertifizierung.
  • Es ist erforderlich, dass die Länder Mittel bereitstellen, um Schullizenzen bzw. Landeslizenzen für Software und digitale Materialien zu erwerben. Diese können dann den Schulen über die Cloud zur Verfügung gestellt werden. Besser noch wäre es, wenn die Länder diese Materialien und Lernsoftware selbst durch z. B. die Landesämter oder Schulentwicklungseinrichtungen entwickeln lassen. Hierbei könnten auch die Universitäten sinnvoll mit ihren Lehramtsausbildungszweigen einbezogen werden.
  • Auch sollte gezielt geprüft werden, inwieweit Open-Source-Produkte (z. B. OpenOffice) genutzt werden können, um sich von den marktdominierenden Anbietern unabhängiger zu machen. Darüber hinaus sollten Open Educational Resources (OER) genutzt und gefördert werden.
  • Aus Gründen der Kompatibilität sind webbasierte Cloudangebote zu bevorzugen, da sie nicht an ein bestimmtes Betriebssystem gebunden sind.
  • Auch sollte beispielsweise ein Schreibprogramm (ggf. auch ein Tabellenkalkulationsprogramm und ein Präsentationsprogramm) in die Cloud integriert werden, um unabhängig von kostenpflichtigen Office-Anwendungen arbeiten zu können.
  • Da Schulen bereits mit unterschiedlichen Systemen, die sich zum Teil bewährt haben, arbeiten, kann es sinnvoll sein, diese einzubinden bzw. Schnittstellen zu bereits vorhandenen Schul-/Lernplattformen und Schulportalen zu erzeugen.
  • Den Einsatz von „Learning Analytics“ sieht die GEW kritisch.

Digitale Endgeräte

  • Den Kolleg*innen sind digitale Endgeräte bereitzustellen, damit keine privaten Geräte genutzt werden müssen. Dies ist essenziell für die sichere Erhebung und Verarbeitung von Daten, insbesondere für die Erstellung von Gutachten, das Führen von Notenlisten etc.
  • Die Geräte müssen den Datenschutzprinzipien „privacy by default“ (durch die Voreinstellungen ist geregelt, dass möglichst wenig Daten erhoben werden), und „privacy by design“ (die Geräte werden so gebaut, dass wenig Daten gesammelt werden können) entsprechen.
  • Die Geräte müssen vor Angriffen von außen durch entsprechende Schutzsoftware, Administration und ein professionell verantwortetes Mobile-Device-Management abgesichert sein.
  • Die zur Aufgabenerfüllung erforderliche Software muss auf den Geräten vorhanden sein und den datenschutzrechtlichen Anforderungen entsprechen, um datenschutzkonformes Arbeiten zu ermöglichen.
  • Für die Sicherheit der Geräte müssen alle technischen, programmatischen und administrativen Möglichkeiten genutzt und in entsprechenden Kriterienkatalogen für Erwerb, strukturelle Einbindung und Administration festgeschrieben werden (z. B. Mobile-Device-Management, Firewalls, Sicherheitsupdates, Administrationsroutinen).

Administration und Ressourcen

  • Bei der Entwicklung und Einführung von datenverarbeitenden Systemen für Schulen ist genauso die Ausstattung der Schüler*innen zu berücksichtigen bzw. muss geklärt werden, mit welchen Geräten die Schüler*innen auf die datenverarbeitenden Systeme zugreifen sollen/können. Ggf. müssen hier Leihgeräte bereitgestellt werden – ähnlich der Schulbuchausleihe.
  • Es muss auch sichergestellt sein, dass Personen, die auf die Cloud zugreifen wollen, dies auch von zu Hause aus können.
  • Für die Administration der (personen-)datenverarbeitenden Systeme in Schule ist externes Personal bereitzustellen. Die betrifft nicht nur die Verwaltung, sondern auch die im Unterricht eingesetzten Systeme! Auch für die Administration der datenverarbeitenden Systeme wird ausreichend qualifiziertes Personal gebraucht.
  • Ein bedarfsgerechter Support für die in den Schulen eingesetzte Software und (personen)datenverarbeitenden Systeme durch die Anbieter ist zu gewährleisten (Hotlines, Problembearbeitungsdauer etc.).
  • Die notwendigen finanziellen und personellen Ressourcen für eine angemessene und ausreichende Umsetzung und Ausgestaltung der hier dargestellten Anforderungen sind bereitzustellen. Dabei ist die Ressourcenfrage zwischen dem Bund, den Ländern und den Kommunen zu klären.
  • Der/Die Verantwortliche sollte über eine Administrator*innenverpflichtung sicherstellen, dass ihm unterstellte Administrator*innen personenbezogene Daten nur auf seine/ihre Weisung verarbeiten.
  • Die Administrator*innenverpflichtung sollte Administrator*innen für die Datenverarbeitung und den Schutz personenbezogener Daten sensibilisieren,
    • vor unrechtmäßigen Tätigkeiten sowie deren Rechtsfolgen schützen,
    • helfen, die Rechte der von Verarbeitung betroffenen Personen zu wahren,
    • unterstützen, die verarbeiteten Daten vor Zweckentfremdung oder Missbrauch zu schützen.