Warum Datenschutz wichtig ist

08.07.2020 – Im Netz kommt niemand um das Thema Datenschutz herum. Schulen, Lehrer:innen, Schüler:innen und deren Eltern schon gar nicht. Bei WirLernenOnline findet ihr schnell und einfach datenschutzkonforme Lernportale, Hilfeseiten, Datenbanken und Werkzeuge für den Fernunterricht. 

Wer speichert eure Daten und was geschieht damit? Das ist die zentrale Frage beim Datenschutz. Klar ist: Kinder und Jugendliche müssen besonders geschützt werden und auch lernen, sich selbst zu schützen, indem sie informiert entscheiden und selbst kontrollieren lernen, wem sie welche Daten überlassen. 

Was sind Daten im Sinne des Datenschutzes?

Daten werden in verschiedenem Kontext erhoben, gespeichert, verarbeitet, neu verknüpft und analysiert. Im Sinne des Datenschutzes ist all das relevant, womit eine Person direkt identifiziert werden kann oder was Rückschlüsse auf sie zulässt. 

Unter personenbezogenen Daten versteht man Daten, die physische, physiologische, genetische, geistige, wirtschaftliche, kulturelle und soziale Merkmale beschreiben. Anonymisierte oder auch (nur) pseudonymisierte Daten sind dagegen unkritisch.

Im Schulkontext bedeutet dies, dass alle Daten, die bei der Anmeldung der Schüler:innen und im Laufe der Schullaufbahn in der Schule erhoben werden (z.B. Adressen, Noten, Beurteilungen, Zeugnisse, Krankmeldungen, Einwilligungen, Nutzerprofile auf Rechnern, etc.) besonders schützenswert sind.

Was muss ich im Schulalltag also beachten?

Um die DSGVO umzusetzen und sich datenschutzkonform in der Schule zu verhalten, sollten sieben Grundsätze verinnerlicht werden:

  1. Rechtsgrundlage
  2. Zweckbindung
  3. Datensparsamkeit
  4. Transparenz
  5. Speicherdauer
  6. Datensicherheit 
  7. Datenpannen melden

Diesen Grundsätzen nähern wir uns in drei Schritten.

Schritt 1: Legitimation durch Gesetz oder Einwilligung (Rechtsgrundlage)

Schulen sind öffentliche Einrichtungen und erfüllen einen Bildungsauftrag. Somit ist die grundsätzliche Erfassung von Daten für den Schulbetrieb legitimiert. Schulen nutzen verschiedene Programme, um den Schulalltag zu gestalten, deshalb sind die Eltern bei Schulaufnahme über die Datenverarbeitungsvorgänge zu informieren. 

Werden zusätzliche Programme zur Gestaltung des Schulunterrichts verwendet, die auch personenbezogene Daten speichern und verarbeiten, so ist eine Einwilligung von den Erziehungsberechtigten bzw. Schüler:innen ab 16 Jahren einzuholen. Dazu gehört auch die Angabe, welche personenbezogenen Daten bei der Anmeldung zu welchem Zweck (Zweckbindung) erhoben und bei der Nutzung dem Anbieter übermittelt werden; zusätzlich auch, ob der Firmensitz außerhalb des Anwendungsbereichs der DS-GVO liegt. Grundsätzlich sollten so wenige Daten wie möglich erhoben werden (Datensparsamkeit).

Schritt 2: Transparenz und Speicherdauer

Einen Beitrag zur Transparenz leistet das Anlegen von Verarbeitungsverzeichnissen, die dokumentieren, welche Daten in welcher Form verarbeitet und gespeichert werden, zudem wer Zugriff hat und welche Löschfristen (Speicherdauer) hinterlegt sind. Auch sind die Einwilligungen zur Datenerhebung in geeigneter Form aufzubewahren. 

Schritt 3: Umgang mit Technik und Datenpannen

Die Geräte (auch die privaten), auf denen schulische Daten gespeichert werden, sind gegen Zugriff durch Unbefugte abzusichern. Maßnahmen zur Datensicherheit sind insbesondere:

  • Nutzung von Passwort- oder Pinschutz
  • Aktuelle Firewall
  • Verschlüsselung der Daten
  • Virenschutzprogramme
  • Updates des Betriebssystems

Die Empfehlung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist für die Vergabe von Passwörtern als Mindeststandard anzusehen. Sogenannte Passwortmanager unterstützen die Vielzahl an Passwörtern zu verwalten. Die Verschlüsselung der Daten auf der Festplatte betrifft persönliche bzw. sensible Daten von Schüler:innen und nicht die neutralen Vorlagen für Lehrmaterialien. Generell gilt auch für die Kommunikation mit den Eltern: unverschlüsselte E-Mails sind datenschutztechnisch auf dem Niveau von Postkarten und dürfen deshalb nicht für die Versendung von persönlichen bzw. sensiblen Daten verwendet werden. 

Falls es trotz aller Bemühungen doch zu einer Datenpanne kommt, ist die Verletzung des Schutzes personenbezogener Daten spätestens innerhalb von 72 Stunden nach dem Vorfall bei der zuständigen Datenschutzaufsichtsbehörde zu melden. Die betroffenen Personen sind zu informieren.

Viele Regelungen sind Lehrenden schon durch Dienstanweisungen bekannt. Die neuen Herausforderungen des Schulalltags und der Wunsch nach einfachen und schnell umsetzbaren Anwendungen, macht einem die Auswahl, die zu dem noch datenschutzkonform sein soll, bei den verschiedenen Medien und Lehrprogrammen nicht leicht. Eine Auseinandersetzung mit dem Thema Datenschutz ist unvermeidbar, aber verschiedene Anlaufstellen unterstützen: 

Datenschutzbeauftragte in den Schulen 

In jeder Schule ist eine Person mit dem Datenschutz beauftragt. Bei kleineren Schulen (weniger als 10 Mitarbeitende) wird diese von zentraler Stelle benannt. Zum Aufgabengebiet gehört die Beratung, Überwachung und Konzeptentwicklung in Bezug auf die datenschutzbezogenen Fragen. Sie ist auch zuständig für die Zusammenarbeit mit der Aufsichtsbehörde und Ansprechperson für die Schulleitung. Die Schulleitung ist verantwortlich für die Einhaltung des Datenschutzes. 

Landesdatenschutzbeauftragte

Die Landesdatenschutzbeauftragten der Bundesländer geben Empfehlungen für die Herangehensweise für verschiedene Schulbereiche:

https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/Landesdatenschutzbeauftragte/Landesdatenschutzbeauftragte_liste.html

Weitere Informationen

https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html

https://www.datenschutz.rlp.de/de/startseite/

http://www.klicksafe.de/themen/datenschutz/

https://digitalcourage.de/blog/2020/datenschutz-als-medienkompetenz

https://digitalcourage.de/blog/2020/datenschutzverstoesse-im-homeschooling-und-bussgelder

Zur Autorin: Die Sozialwissenschaftlerin Annette Reder beschäftigt sich mit den Themen Digitalisierung und Start-up-Hackathons. Nebenberuflich ist sie als Referentin des Landesdatenschutzbeauftragten Rheinland-Pfalz regelmäßig in Schulen mit medienpädagogischen Workshops zum Thema Datenverantwortung und Datensicherheit im Internet. Der Schwerpunkt liegt auf der digitalen Aufklärung für Schüler:innen zu Geschäftsmodellen der Internetriesen, Selbstschutz in Sozialen Medien und vor Cyberangriffen. Zudem hat sie mehrere Jahre im Bereich Studien-und Berufsorientierung an der Schnittstelle Schule/Studium gearbeitet.

Beitragsbild: Image by Pete Linforth from Pixabay

Image by Pete Linforth from Pixabay

Zur Übersicht