Schulen können die DSGVO nicht erfüllen

Lesezeit: 12 Minuten

Seit dem 25. Mai 2018 gilt die EU-weite Datenschutzgesetzgebung für alle, die persönliche Daten erheben und verarbeiten. Dabei ist es vollkommen egal, wie diese Daten erhoben werden, um in die „Fänge“ der DSGVO zu geraten. In diesem Artikel möchte ich mich auf die Datenerhebung über das Internet beschränken, um plausibel darzulegen, warum das Bildungssystem in Deutschland kaum die neue Datenschutz-Grundverordnung erfüllen kann. Nach meiner Einschätzung sind mehr als 90% aller öffentlichen Schulen betroffen.

Bereits im März 2018 referierte ich über die Datenschutzproblematik der Schulen mit dem Artikel „Dilemma: Schulen schützen Daten nicht“. Aus meiner Sicht war zu erwarten, dass staatliche Bildungseinrichtungen die DSGVO erst dann ernst nehmen werden, wenn die Gesetzgebung greift.

Was sind die Hauptursachen für diese Annahme?

  1. Unser Bildungssystem unterliegt dem Irrglauben, es könnte alles. Dafür maßgeblich verantwortlich ist ein Protektionismus durch die hauseigene Lizenz der „Lehrbefähigung“. Wer das Schulwesen nicht auf Lehramt studiert hat, wird nur bedingt Zugang zum Kreis staatlicher Akademiker erhalten.
  2. Lehrkräften wurden in den vergangenen Jahren immer mehr Verwaltungsaufgaben übertragen, die sie nicht selten von ihrem eigentlichen Lehrauftrag wegführten. Dazu leisten Lehrer/innen zusätzlich Erziehungsarbeit für Schulkinder, weil Elternhäuser ihren Aufgaben nicht nachkommen.
  3. Dem Bildungssystem fehlt es grundsätzlich an Innovationswillen, Experimentierfreudigkeit und Durchsetzungskraft mit Blick auf die Zukunft. In allem was Schulen tun, schwingt stets der Tenor mit „bloß keine Fehler machen und nicht auffallen“. Doch wie lernen Menschen, wenn sie keine Fehler machen? Gar nicht! Unsere Bildungsstruktur ist nur bedingt lernfähig bzw. beratungsresistent und lernt dann, wenn Maßnahmen von oben angeordnet werden. Dieser Zwang blockiert aber den Menschen, schafft Unmut und trägt zu keinem besseren Klima bei.
Wenn ich ein Haus bauen möchte, macht es wenig Sinn einen Metzger zu bestellen.

Für jeden Laien ist nachvollziehbar, dass gewisse Fachaufgaben auch von Fachleuten erledigt werden sollten. Schließlich möchte man lange Freude an einem Werk haben. Bei Schulen gewinnt man immer wieder aufs Neue den Eindruck des nichts Sehen und nichts Hören wollen. Bevor unser Bildungssystem auf Fachleute zurückgreift, wird zunächst geschaut, ob sich nicht in den eigenen Reihen eine Person befindet, die neben dem fachlichen Aspekt mindestens die Voraussetzungen der „Lehrbefähigung“ und Vergütung gegen „Deputatstunden“ erfüllt. Für diejenigen, denen dieses System fremd ist, sei erklärt, dass der Beamte, der ja bereits vom Staat bezahlt wird, seine normale Tätigkeit reduziert, um die frei gewordenen Stunden durch die neuen sachfremden Aufgaben wieder auffüllt. Im normalen Berufsleben wäre das vergleichbar mit einem Zimmermann, der sich entscheidet, ab und zu Metzger sein zu wollen, weil er sich auf YouTube immer wieder die Schlachtung von Tieren anschaute und nun glaubt, diese Aufgabe erfüllen zu können.

Natürlich ist dieser Vergleich bewusst überspitzt dargestellt, doch spiegelt er genau die Problematik im Bildungswesen wider. Unser Bildungssystem ist darauf ausgelegt, erst einmal in den eigenen Reihen nachzusehen, bevor man professionellen Rat einholt. Was gut gemeint ist, kommt gewöhnlich wie ein Bummerang doppelt und dreifach zurück und kostet den Steuerzahler am Ende ein Vielfaches mehr, als man eigentlich hatte einsparen wollen.

Wer das Internet als eine Spielwiese für Kinder versteht, hat die Digitalisierung nicht verstanden.

Was will die DSGVO?

Die Datenschutz-Grundverodnung will nicht nur die Daten der Bürger schützen, sie will vor allem die Datenarmut durchsetzen; d.h., jeder der Daten erhebt hat zu überlegen, ob seine Datenerhebung nicht reduziert werden kann, um den Zweck gleichermaßen zu erfüllen. Es gilt nicht der leichteste Weg, sondern der effektivste und sicherste. Dieser Punkt ist nämlich im Artikel 5, Absatz (1) c) der DSGVO festgeschrieben.

Als weiterer wichtiger Punkt gilt die Nachvollziehbarkeit der Datenerhebung durch „Transparenz“. Dies liest man im gleichen Artikel der DSGVO unter (1) a) nach.

Weiter gilt laut DSGVO die Verpflichtung, „auf dem neuesten Stand“ sein zu müssen und „alle angemessenen Maßnahmen“ zu ergreifen, um die „Richtigkeit“ der Datenerhebung zu gewährleisten. Die Identifizierung betroffener Personen darf nur solange sein, wie es den Zweck der Datenerhebung erfüllt und nicht die Rechte der Betroffenen verletzt. Dazu müssen zahlreiche technische Maßnahmen berücksichtigt werden, um den Datenschutz auch physisch zu gewährleisten.

Man erkennt sehr schnell, wie komplex die Thematik der DSGVO ist. Dass eine Lehrkraft an dieser Aufgabe scheitert, ist mehr als verständlich. Wenn schon ein Internetportal einer Schule kein Sicherheitszertifikat aufweist, verletzt die Schule die DSGVO, weil die Datenübertragung von einem Gerät zum und vom Portal unverschlüsselt erfolgt. Und das Sicherheitszertifikat stellt nur ein Puzzle von vielen dar, um der DSGVO gerecht zu werden.

Wie kann nun die ordnungsgemäße Umsetzung der DSGVO in der Praxis aussehen?

Wie vielen Lesern bekannt ist, habe ich mit meiner Familie in Rio de Janeiro, Brasilien gelebt und verschiedene Bildungsaufgaben auf internationaler Ebene wahrgenommen. Unter anderem übersetzte ich für die AFS Intercultural Programs Inc. deren Global Online Privacy Policy ins Deutsche, da auch dieses Unternehmen die GDPR (DSGVO) erfüllen muss. Die AFS ist ein weltweit agierendes Unternehmen, das sich dem interkulturellen Austausch von Menschen im Bildungswesen verpflichtet hat.

Des Weitern arbeite ich für verschiedene Schulen als Datenschutzbeauftragter und enger Berater in der Umsetzung der Digitalisierung und der Datenschutz-Grundverordnung. Seit mehr als 20 Jahren wird das Internet von mir als Vertriebsweg genutzt und ich habe dazu Internetportale für etliche Unternehmen realisiert und konzentriere mich seit gut sechs Jahren auf den Bau sozialer Bildungsnetzwerke nach europäischen und deutschen Datenschutzstandards.

Wenn man die Aufgabe der DSGVO ernst nimmt und seinen Internetauftritt DSGVO-konform einrichten möchte, dann sind einige Punkte zu beachten, mit denen man sich befassen sollte. Diese Punkte möchte ich kurz zusammenstellen. Wer die DSGVO gelesen hat, wird erkannt haben, dass sie als eine Bedienungsanleitung oder einen Leitfaden verstanden werden kann. Konzentriert man sich dabei auf die englische Bezeichnung GDPR, was für General Data Protection Regulation steht und mit „Allgemeine Datenschutzregeln“ übersetzt werden kann, so wird einem vielleicht ein wenig der Schrecken genommen.

Was sollten Sie für die Umsetzung der DSGVO berücksichtigen?

  1. Lesen Sie sich die Gesetzgebung der Datenschutz-Grundverordnung durch, zu finden unter dsgvo-gesetz.de.
  2. Prüfen Sie, auf welcher Technik Ihr Internetportal basiert und wie diese Technik funktioniert. Es sind z.B. das Betriebssystem, die Websoftware, eingebundene Module, externe Übertragungsstellen, Zertifikate, Antispam-Software etc. zu berücksichtigen.
  3. Überlegen Sie, an welchen Stellen persönliche Daten von Ihren Besuchern und Internetnutzern erhoben werden. Dabei sollten Sie Ihr Augenmerk nicht nur auf die Online-Formulare richten, sondern auch auf die verwendeten Techniken, wie bspw. Cookies, unsichtbare Pixel, Web Beacons und dazu erklären können, wie diese Techniken funktionieren. Stellen Sie sich dazu folgende Fragen, die beispielhaft sind: Wie gestalten sich die Browserabläufe der gängigen Marktanbieter (z. B. MS IE/Edge, Firefox, Chrome, Safari, Opera), wo wird eine Kennung hinterlegt, warum passiert das und zu welchem Zweck, was wird sich gemerkt und für wie lange, kann ich Datenerhebungen einschränken, wenn ja, an welchen Stellen?
  4. Prüfen Sie, welche Inhalte das Internetportal führt und ob dort persönliche Informationen in Form von Texten, Links (auch externe), Bildern und Videos publiziert sind. Liegen schriftliche Erklärungen zur Datenerhebung vor, wenn ja, in welchem Umfang? Können in irgendeiner Art und Weise Rückschlüsse auf Personen gezogen werden, z. B. durch Tracking von Analyse-Tools, Inhalts-, Social- oder Werbemodulen?
  5. Gibt es öffentliche und nicht-öffentliche Bereiche im Portal? Was arbeitet an welchen Stellen wie und warum? Welche Inhalte erfassen Suchmaschinen und wie können möglicherweise fehlgeleitete Inhalte wieder entfernt werden?
  6. Ist ein Datenschutzbeauftragter benannt, der den Datenschutz überwachen kann und mit den Abfolgen vertraut ist?
  7. Kann ein Nutzer Einblick in seine Daten bekommen, können Sie die Datenaufzeichnung nachweisen, gibt es Möglichkeiten der Datenerhebung zu widersprechen und sind Techniken vorhanden, die die Datenverwaltung in die Hände des Anwenders legt?
  8. Wie ist vorzugehen, wenn sich Datenerhebungsweisen ändern und Technik sich weiter entwickelt? Muss ggf. ein Internetauftritt auf einen anderen, sichereren Server übertragen werden? Wie ist bei einer Datenpanne vorzugehen?
  9. Dürfen Rundschreiben via E-mail ausgegeben werden, wenn ja, wie und in welchem Umfang? Wie kann dem E-Mail-Versand widersprochen werden?
  10. Welche Sicherheitsvorkehrungen haben Sie getroffen? Stellen Sie sich dazu die Fragen, wo die persönlichen Daten gespeichert werden und ob diese vor zufälligen, missbräuchlichen, unbefugten und ungesetzlichen Zugriffen geschützt werden? Wer überwacht Ihre Technik gegen Attacken von Außen durch Spamming, Bot-Angriffen, Abhören und Hacking? Besteht ein Datenschutz gegen Stromausfall, Überhitzung und Feuer? Gibt es Vertraulichkeitsvereinbarungen zu Personen, die Zugriff auf die Daten Ihrer Nutzer haben?

Dies ist eine kleine Auswahl an 10 Punkten, mit denen ich regelmäßig zu tun habe, wenn es um die Realisierung von Internetauftritten geht. Sobald Sie Ihre Antworten zusammengestellt haben, gilt es, diese in verständliche Formulierungen zu setzen, so dass ein Laie in der Lage ist, den Inhalten zu folgen. Manche bevorzugen in ihrer Datenschutzerklärung zunächst eine Zusammenfassung an den Anfang ihrer Eklärung zu stellen und benennen danach die Details im weiteren Verlauf. Andere wiederum erklären gleich jeden Punkt ausführlich.

Als Beispiel benenne ich folgenden Text zur Thematik „Zweck der Sammlung, Verarbeitung und Offenlegung“, der durchaus auch für ein Schulportal gelten könnte. Dies verdeutlicht ein wenig die Anforderungen, die die DSGVO an einen stellt:

„Unsere Schule verpflichtet sich, Ihnen Informationen über die Sammlung und Nutzung personenbezogener Daten zur Verfügung zu stellen, die von Ihnen bei der Nutzung unseres Internetauftritts gesammelt werden. Es gehört zu unserer Praxis, dass wir Sie nicht um Informationen bitten, wenn wir deren Verwendung nicht beabsichtigen. Folgende Gründe benennen wir, warum wir Ihre Daten erheben und sammeln:

  • Bereitstellung von Fortbildungsangeboten und Informationsveranstaltungen für Lehrkräfte und Eltern
  • Vermittlung von Arbeitsgemeinschaften (AGs), um die Teilnahme an einer AG zu erleichtern und zu verwalten
  • Durchführung von Sponsorenläufen mit Offenlegung, wer den Lauf an welchem Tag und mit wie viel Runden durchgeführt hat
  • Durchführung von sonstigen Spendenaktionen mit Offenlegung der beteiligten Personen, des Zwecks und der durchgeführten Maßnahme
  • Recherchen und Erhebungen von Umfragen durch Befragung und Evaluation, um die Bedürnisse der Lehrkräfte und Eltern, sowie die der Gemeinde zu verstehen und verbessern zu können
  • Durchführung von Konferenzen, Bekanntgabe von Schulveranstaltungen, Rekrutieren von Freiwilligen (z. B. Eltern) bei Schulfesten

Wir behalten Ihre personenbezogenen Daten oder die Ihrer Kinder bei uns solange gespeichert, wie sie für die Erbringung unserer Leistungen und Aktivitäten erforderlich sind. Sie können jederzeit unsere E-Mails, Newsletter und Umfragen abbestellen, indem Sie auf den Link klicken, der in diesen Mitteilungen enthalten ist oder indem Sie uns direkt kontaktieren, um sich abzumelden. Sie werden immer die Möglichkeit haben, Ihre persönlichen Daten nicht einzureichen oder sich zu entscheiden, welche Mitteilung Sie von uns erhalten möchten. Dies kann jedoch dazu führen, dass bestimmte Transaktionen beeinträchtigt werden oder eine Umfrage oder Recherche nicht vollständig ihr Ziel erreicht.“

Gehen Sie davon aus, dass eine verständliche Datenschutzerklärung einer Schule einen Wortumfang von 2.000 bis 6.000 Wörtern haben dürfte, je nach Größe der Bildungseinrichtung. Abschließend möchte ich darauf hinweisen, dass mein Beitrag bitte nicht als Rechtsberatung gemäß Rechtsberatungsgesetz zu verstehen ist. Grundsätzlich lese ich Gesetzestexte und interpretiere sie verständlich. Bei Fragen zur Rechtssicherheit sollten Sie immer einen Fachanwalt zur Thematik konsultieren.

Ähnliche Beiträge:

Netzwerke

Thorsten Wollenhöfer

Autor bei EDUNETZ.org
Datenschutzbeauftragter im Bildungswesen
Betrieblicher Ausbilder (IHK)
Lehrkräftefortbilder (HLbG)
Zertifizierter Multiplikator für Elternschulungen des Hessischen Kultusministeriums
Bau sozialer Bildungsnetzwerke nach Maßgabe der DSGVO (GDPR)
Lebte von 2015-2018 in Rio de Janeiro und nahm internationale Bildungsaufgaben wahr
Sprachen: Deutsch, Englisch, Portugiesisch, Französisch
Netzwerke

Letzte Artikel von Thorsten Wollenhöfer

4
Hinterlassen Sie einen Kommentar

avatar
2 Kommentar-Thread
2 Thread-Antworten
3 Follower
 
Beliebtester Kommentar
Beliebtester Kommentar-Thread
3 Kommentarautoren
Thorsten WollenhöferGastleserAllen Simmons Letzte Kommentarautoren
  Abonnieren  
Neueste Älteste Beste Bewertung
Meldungen zu
Allen Simmons
Gast
Allen Simmons

Sehr geehrter Herr Wollenhöfer, gab es nicht auch vor der DSGVO einen Datenschutz? Ihre Aussage gegenüber die erweiterten Tätigkeiten von Lehrkräften könnte auch als Kritik an der falschen Stelle und der falschen Zielgruppe verstanden werden. Immerhin, um mal den Vergleich aufzunehmen, benötigen mit Sicherheit auch nicht 99% der Kolleg*innen beim bedienen eines Kopierers keinen Support durch den Hersteller. Fortbildungen und Handreichungen, sowie angemessene zeitliche Resourcen durch übergeordnete Stellen wären sicherlich hilfreich. Ausserdem sollte auch betrachtet werden auf welcher Stufe sich ein Internetauftritt einer Schule befindet. Das beginnt mit einfacher Öffentlichkeitsarbeit/Präsentation bis hin zu hochkomplexen Strukturen mit E Learning und Kollegiumskommunikation.… Weiterlesen »

Gastleser
Gast
Gastleser

Sehr geehrter Herr Wollenhöfer,

ich verstehe, dass Sie Geld verdienen wollen und dieses Thema gerade eine passende Chance für Sie darstellt.
Aber deshalb die Voraussetzung eines Lehramtsstudiums zu kritisieren und für die Probleme der Gesellschaft verantwortlich zu machen ist so unsinnig wie die nationale und internationale Bildungsforschung seit Jahrzehnten die Schulformen für die Bildungsergebnisse verantwortlich machen will.
Und warum soll ich hier die Nutzungsbedingungen akzeptieren, wenn doch die Datenarmut das größte Ziel ist?

Gast