Digitalisierung ist der Tsunami der Schulen

Lesezeit: 12 Minuten

Große Wellen schlug der Bericht „Schulen können die DSGVO nicht erfüllen“ vom Juni diesen Jahres. Weit über 2.000 Leser wollten wissen, wie es zu dieser Prognose kommen konnte. Heute, vier Monate später, ist eine erste Bilanz zu ziehen, was aus dieser These geworden ist.

Kaum war die neue Datenschutz-Grundverordnung verpflichtend in Kraft getreten, bekamen Schulen seitens der Schulämtern die Anweisung, ihr einen Datenschutzbeauftragten zu benennen. Es solle doch bitte aus dem Kollegium eine „freiwillige“ Person vortreten, die die Funktion des Datenschutzbeauftragten formell übernehme, so der Tenor.
Welche Aufgaben, Risiken und Belastungen bei Annahme einer solchen Position bestehen, wurden ihnen nicht vermittelt. Es war mal wieder beispielhaft, wie das System Schule glaubte, man finde in den eigenen Reihen kostenlos das, was Betroffene in der freien Wirtschaft zusätzlich einkaufen müssen.

Somit darf unterstellt werden, dass der deutsche Bildungsapperat nicht verstanden hat, was Datenschutz bedeutet und vor allem, dass Schulen ihre Grenzen aufgezeigt bekommen. Die Digitalisierung wurde von den Schulen komplett verschlafen und sie werden nur mit großem finanziellen Aufwand Teile von ihr aufholen können, weil sie nämlich keine Lehrkräfte darin ausbildeten. Selbst die Lehrkräfte, die irgendwann einmal Informatik studierten und mit klassischer EDV hantierten, fühlen sich überfordert, weil sie die Räume der Netzwerktechnologien nicht mehr erfassen können.

Die Digitalisierung, sie schreitet voran durch Nacht und Wind, sie ist die Zukunft, die wir alle sind.

In Gesprächen mit Schulen, die ich führte, fragte ich konkret nach, wie sie dem Datenschutz im Schulalltag begegnen. Zusammenfassend ist das Ergebnis ernüchternd. „Wir geben zu, wir haben hier einen großen Schwachpunkt. Unsere Aufgaben liegen in der Wissensvermittlung klassischer naturwissenschaftlicher Fächer, der Sprachen und der Mathematik“, so gesprochen von nicht wenigen Rektoren und Konrektoren. Auf die Frage, welche Maßnahmen man ergriffen habe, um der DSGVO gerecht zu werden, hieß es nahezu einhellig „wir haben als erstes unser Kontaktformular von der Homepage genommen“. Bei Prüfung so mancher Schulinternetseite verwieß ich auf das „Suchen müssen“ nach einer Datenschutzerklärung und dass darin die Rede des Gebrauchs von „Google Analytics“ ist und fragte, warum denn diese Daten erhoben werden und worin der Nutzen für die Schule liegt? „Wir wissen nicht, was das ist und wie es funktioniert. Man hat uns empfohlen, es einfach mit in die Datenschutzerklärung aufzunehmen“, so die Schulen. Als ich weiter auf die Thematik einging und bemängelte, dass die DSGVO vorsieht, nur die Daten erheben zu dürfen, die auch für einen Schulbetrieb relevant sind und eine standardisierte Datenschutzerklärung nicht funktioniere, brach man das Gespräch mit mir ab und verwieß darauf, dass man keine Zeit für diesen Unsinn habe.

Viele Schulen verfallen dem Irrglauben, dass die DSGVO nur mit dem Internet zu tun habe, dabei trifft sie genauso auf die analoge Welt der Datenerhebung zu. Eltern, die ihr Kind in einer Schule anmelden wollen oder müssen, werden gleichermaßen wenig über den Datenschutz und deren Erhebung aufgeklärt, wie Lehrkräfte, die Klassenarbeiten schreiben, Kinder fotografieren, E-Mail-Rundschreiben an die Eltern ausgegeben und Krankmeldungen als Zettelnotiz im Sekretariat am Tresen hinterlassen und jeder Besucher mitlesen kann.
Schulen sind es aus der Praxis gewohnt, nicht um Schüler werben zu müssen. Unsere „Aufträge“ kommen von ganz alleine, so die Schulen. Weder müssen wir um unseren „Umsatz“ fürchten, noch sehen wir eine Not im „Kostenmanagement“ - also warum sich mit neuen Bürokratien rumschlagen, wenn die Gesellschaft uns Schulen braucht?

Welche Folgen ein solches Denken haben kann, erfuhr ich höchstpersönlich auf dem Elternabend einer weiterführenden Schule. Die Schule behauptete schlicht, die Datenschutz-Grundverordnung verbiete es ihr Daten zu erheben. Man dürfe besonders keine Daten mehr von Eltern auf den Internetservern abspeichern. „Aus diesem Grund hat das  Kultusministerium uns ein Formular bereitgestellt, das Sie hiermit erhalten. Dieses Formular dient dazu, dass die dort abgefragten Daten an die Elternvertreter unserer Schule weitergegeben werden dürfen. Anders können wir leider nicht mehr verfahren“, so die Praxisdarstellung dieser Schule.

Das ist starker Tobak. Die Schule hat eigentlich alles falsch gemacht, was man nur falsch machen kann.

Natürlich dürfen Schulen Daten erheben, nur müssen sie die Regeln nach der Datenschutz-Grundverordnung einhalten und die Datengeber transparent aufklären, was mit ihren Daten passiert und wie sie sie auch schützen. Die Schule bemerkte gar nicht, dass sie mit ihrem Vorgehen Daten der Eltern wissentlich auf analogem Wege erhob und sehr konkret umfangreiche Daten von ihnen abfragte. Denn sie sammelte Daten, um sie anschließend geschlossen und ungesichert den Elternbeiräten zu übergeben, damit diese danach im Auftrag der Schule tätig werden können. Allein an diesem Abend wurden für den Kurs vier Elternvertreter plus vier Stellvertreter gewählt. Rechnet man diese Anzahl an Vertretern an einer Schule mit 1.000 Schülern hoch, dann wird einem schnell klar, welches Gefährdungspotential in Schulen steckt, wenn Daten unkontrolliert außerhalb der Schule weitergegeben und verarbeitet werden und der wichtige Umgang mit dem Datenschutz nicht geschult erfolgte.

In einem 6-seitigen Schreiben habe ich die betroffene Schule ausführlich mit ihrer Vorgehensweise konfrontiert, weil sie auf meinen mündlichen Hinweis am Abend nicht zu antworten wusste. Sie verstand es nicht, worin ihr Fehler lag. Zur oben genannten Problematik verwies ich auf den Artikel 4 der Datenschutz-Grundverordnung, der unmissverständlich beschreibt, wie „personenbezogene Daten“ und deren „Verarbeitung“ ihre Bestimmung finden. Dazu erklärte ich im Detail:

Mit dem an die Eltern ausgegebenen Formular „Einwilligungserklärung zur Weitergabe der Kontaktdaten der Erziehungsberechtigten der Schülerinnen und Schüler an die gewählten Klassenelternvertreter an der Schule [...]” erhebt die Schule mehrere personenbezogene Daten, nämlich die  Klassenstufe und den vollständigen Vor- und Familiennamen des Schülers (m/w), den vollständigen Vor- und Familiennamen der Erziehungsberechtigten (m/w), die Anschrift, die Telefonnummer und die E-Mail-Adresse .
Da Sie bereits auf dem Elternabend erwähnten, dass die unterschriebenen Zettel an die neu gewählten Elternvertreter weitergeben werden, kommt neben der von der Schule durchgeführten Datenerhebung, auch die Datenverarbeitung und -weitergabe zur Geltung. Denn die Schule legt Daten durch Übermittlung offen und verbreitet diese.

Sie gingen in Ihren Ausführungen sogar soweit, dass Sie die Einwilligungserklärung empfehlen und begründeten sie mit dem im Formular benannten Zweck. Nach Prüfung des von Ihnen ausgegebenen Formulars, ist es dem Datenempfänger möglich, ein Benutzerprofil zu erstellen. Die DSGVO spricht dann vom sogenannten „Profiling”.

Dazu benannte ich das folgende Beispiel:

 Nehmen wir einen Schüler der Klasse 7. Mit dieser Angabe kann ich die Wahrscheinlichkeit der Altersklasse mit 12-14 Jahren als sehr wahrscheinlich bestimmen. Heißt dieser Schüler dazu Peter, kann das Geschlecht verifiziert werden. Mit dem Namen des Elternteils ist eine erleichterte Internetrecherche möglich, die mir ggf. zusätzliche Daten zum Abgleich liefert und ich weiß, wer die unmittelbaren Angehörigen sind. Eine Anschrift kann etwas über die Vermögensverhältnisse einer Familie aussagen, nämlich dann, wenn z. B. die Gegend entweder a) einem sozialen Brennpunkt oder b) einer gehobenen Mittelschicht zugeordnet werden kann. Die Telefonnummer verfeinert das Heranziehen von Daten und die E-Mail-Adresse ist perfekt für die genaue Zuordnung bei intensiver öffentlicher Internetnutzung des Betroffenen .

Im vorgenannten Beispiel geht es gar nicht um die Frage, ob ein Elternvertreter wie beschrieben vorginge. Ich sehe, dass diese Schule nicht die Verantwortung über den Datenschutz übernehmen will, gleichzeitig aber alles dafür tut, die DSGVO in ihren Bestandteilen zu verletzen und ein erhebliches Gefährdungspotential mit sich trägt. Durch das „Auslagern“ von Daten glaubt sie, das Problem des Datenschutzes sei gelöst. Dem ist definitiv nicht so.
Der Artikel 5 der DSGVO besagt, dass personenbezogene Daten dem Zweck angemessen und die Verarbeitung auf das notwendige Maß zu beschränken sind (Datenminimierung). Zwar benennt die betroffene Schule mit dem Formular den Zweck, doch ist nicht die Notwendigkeit der Fülle der von ihr erhobenen Daten erkennbar, um, wie sie sagt, dem Elternbeirat den Kontakt zu den Eltern, zwecks Informationsverteilung von schulrelevanten Informationen, zu ermöglichen. Für diesen Fall würde lediglich die E-Mail-Adresse genügen. Größtenteils dürfte es sogar ausreichen, Informationen nur auf ihrem Internetportal zu publizieren.

Nach meiner ausführlichen Darstellung sicherte mir die Schule zu, die Problematik in der nächsten Schulleitersitzung zu besprechen. Es wird daher sehr spannend sein, wie man auf meinen Katalog mit 19 Fragen reagieren wird. Denn die Datenschutz-Grundverordnung verpflichtet auch eine Schule für die angemessene Sicherheit der personenbezogenen Daten, den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen Sorge zu tragen.

Es dürfte tausenden Schulen in Deutschland ähnlich gehen. Ohne ein Datenschutzkonzept wird jede Schule scheitern.

Egal ob an Elternabenden, auf Schulfesten oder bei Informationsveranstaltungen - Schulen reden gerne über ihre tollen Angebote an Schulfächern und den Schul-AGs. Merkwürdigerweise haben sie in Zukunftsfragen zur Digitalisierung nichts zu sagen. Weder gibt es eine AG, einen Workshop oder etwas ähnliches. Lediglich Handyverbote diskutieren sie als Präventionsmaßnahme und zu den Gefahren im Internet. Doch Konstruktives ist nicht zu finden. Was die Spielereien mit Tablets angeht, hatte ich bereits sehr deutlich in meinem Beitrag „Ein iPad unterrichtet Kinder nicht“ dargelegt.
Geht es aber heute nicht eher um die Chancen und Möglichkeiten der Digitalisierung, den richtigen Umgang mit Geräten, des Erlernens der Etikette zur nützlichen Kommunikation, wie sich in Netzwerken bewegen, Grenzräume erfahren und ein Gespür für die Entwicklung vernetzter Denkstrukturen erarbeiten? Was bedeutet Datenschutz und wie kann gerade Schule dazu beitragen? Warum bieten sie im Zeitalter der Information nichts davon an?
Wäre Schulen nicht eher geholfen eine Datenschutz-AG zu gründen, die sich genau um das kümmere, was sie im oben beschrieben Fall vernachlässigten? Warum nicht als pädagogische Bildungsinstitution Vorbild einer Region werden und genau diese Thematik aufgreifen? Also offensiv die Eltern, Schüler und Lehrer auf transparentem Wege mitnehmen, sie integrieren und die Nähe zu ihrer Schule spüren lassen? Dazu nach außen vermitteln, dass die Digitalisierung eine große Errungenschaft der Demokratie ist und die EU einen wichtigen Beitrag leistete?

„Der freie Fall des deutschen Bildungssystems“ ist wie ein harter Brexit des Vereinigten Königsreichs. Schulen sollten der Realität visionär begegnen. Deutschland kann mehr!

Ähnliche Beiträge:

Netzwerke

Thorsten Wollenhöfer

Autor bei EDUNETZ.org
Datenschutzbeauftragter im Bildungswesen
Betrieblicher Ausbilder (IHK)
Lehrkräftefortbilder (HLbG)
Zertifizierter Multiplikator für Elternschulungen des Hessischen Kultusministeriums
Bau sozialer Bildungsnetzwerke nach Maßgabe der DSGVO (GDPR)
Lebte von 2015-2018 in Rio de Janeiro und nahm internationale Bildungsaufgaben wahr
Sprachen: Deutsch, Englisch, Portugiesisch, Französisch
Netzwerke

Letzte Artikel von Thorsten Wollenhöfer

3
Hinterlassen Sie einen Kommentar

avatar
2 Kommentar-Thread
1 Thread-Antworten
2 Follower
 
Beliebtester Kommentar
Beliebtester Kommentar-Thread
2 Kommentarautoren
Thorsten WollenhöferAllan Simmons Letzte Kommentarautoren
  Abonnieren  
Neueste Älteste Beste Bewertung
Meldungen zu
Allan Simmons
Gast
Allan Simmons

Sehr geehrter Herr Wollenhöfer, es ist ein bisschen Schade, dass sie in Ihrem Artikel wenig differenzieren und pauschale Urteile vermitteln die in dieser Form mit Sicherheit nicht gelten. Wie unsere Gesellschaft als auch unser Wirtschaftssystem ist Schule vielfältig und zum Teil sehr ausdifferenziert. Als Beschäftigter im Schuldienst würde ich ihre populistische und pauschale Verurteilung zurückweisen. Auch ist mit unnötiger Panikmache keinem geholfen, die wurde durch die mediale Präsenz, als die Verordnung in Kraft trat, sowieso schon recht ordentlich erzeugt. Sich jetzt daran aufzuhängen, ob Googleanalytics in der Dantenschutzerklärung einer Webseite erwähnt wird oder nicht scheint mir doch bei anderen offensichtlichen… Weiterlesen »