Digitalisierung

Der Schulweg zum digitalen Datenschutz

Ob im In­- oder Ausland: Viele Eltern bringen ihre Schützlinge mit dem Auto zu Schulen, deren Tore nach Unterrichtsbeginn verschlossen werden. Auf die Sicherheit ihrer Kinder legen Eltern und Schulen großen Wert. Aber wie steht es um den digitalen Schutz von Schülern?

12.03.2019 Bundesweit Artikel BEGEGNUNG, Martin Stengel
  • © Louise Schmidt An der internationalen Deutschen Schule Brüssel gehören Computer und Smartboards genauso zum Unterrichtsalltag wie der Schutz der Schüler- und Lehrerdaten.

Im vergangenen Schuljahr wurden in Deutschland über 8,3 Millionen Kinder und Jugendliche von rund 680.000 Lehrkräften unterrichtet. Hunderttausende Schüler werden jährlich eingeschult, Hunderttausende verlassen die Schule. Dabei fallen viele Daten an, die zunehmend digital gespeichert werden. Wie lange die Schulen diese Informationen aufbewahren müssen, ist durch Vorschriften geregelt: Zweitschriften von Abschlusszeugnissen 50 Jahre, Stammdaten oder Fotos 20 Jahre, Klassenbücher 10 Jahre. So fordert es beispielsweise in Nordrhein-Westfalen die „Verordnung über die zur Verarbeitung zugelassenen Daten von Schülerinnen, Schülern und Eltern“.

Auch ein Wandel in der Unterrichtskultur sorgt für wachsende Datenberge: Nicht nur auf Tablets und Laptops hinterlassen Schüler digitale Spuren, auch in Schul-Clouds und digitalen Lernplattformen erstellen sie Profile, lösen Hausaufgaben oder kommunizieren mit Mitschülern und Lehrkräften. So entstehen jede Menge teils sensibler Daten. „Beim Schutz solcher Daten geht es letztlich um den Schutz der Menschen, die darüber identifiziert werden könnten“, erklärt Dirk Allhoff. Er ist Leiter des Teams „Beratung zu Datenschutz und Rechtsfragen“ der Medienberatung NRW.

© LWL Medienzentrum für Westfalen

Dirk Allhoff bereitet Informationen zum Datenschutz so auf, dass Pädagogen in den Schulen damit arbeiten können.

Dass aus virtuellem Fehlverhalten auch reale Gefahren entstehen können, zeigt Allhoff an einem fatalen Beispiel: „Bei einem Schulfest werden Fotos gemacht und auf die Schul-Homepage gestellt. Darauf ist auch ein Schüler zu sehen, der vom Jugendamt betreut wird, weil er den Eltern entzogen wurde. Und dann finden die Eltern über dieses unautorisierte Foto ihr Kind und machen sich auf den Weg zur Schule.“

Daten schützen! Aber wie?

Damit Datenschutz funktioniert, müssen die Daten zunächst sicher verwahrt werden. Datensicherheit meint aber nicht nur die technischen, sondern auch organisatorische Maßnahmen. Denn selbst die sicherste Technik bietet keinen absoluten Schutz, solange sie nicht kompetent angewendet wird.

Beispielsweise könnten sich Schüler laut Allhoff durch ein schwaches Passwort ihrer Lehrkraft Zugriff auf deren digitales Notenbuch verschaffen und die eigenen Noten ändern: Aus mangelhaft wird ausreichend und damit vielleicht eine Versetzung. Eine Untersuchung des Hasso-Plattner-Instituts (HPI) zeigte 2017: Die drei am häufigsten verwendeten Passwörter in Deutschland waren „123456“, „123456789“ und „1234“. Laut HPI-Direktor Christoph Meinel ist es für kriminelle Hacker ein Leichtes, so schwache Passwörter zu knacken. Ein sicheres Passwort sollte nicht zu kurz sein, Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen beinhalten.

Wer Daten verarbeitet, sollte auch einordnen können, wie schützenswert diese sind. Eine entsprechende Sensibilität zu entwickeln, dazu hat die seit 2018 verbindliche Datenschutz-Grundverordnung (DSGVO) beigetragen. „Die datenschutzrechtlichen Vorgaben in Deutschland waren schon zuvor sehr strikt. Aber durch die Debatte ist Lehrkräften bewusst geworden, dass pädagogische Freiheit keine Rechtsgrundlage für eine Datenverarbeitung ist“, sagt Allhoff. Die Rechtsgrundlagen liegen in der DSGVO. Sie sei ein „Verbot mit Erlaubnisvorbehalt“; einfach ausgedrückt: Es ist alles verboten, was nicht ausdrücklich durch das Gesetz erlaubt ist oder worin Betroffene eingewilligt haben.

Zentrale Lernplattform oder viele Anwendungen

Darf ich meinen Schülern Dateien über die Dropbox schicken? Ist ein Klassenchat per WhatsApp rechtlich unbedenklich? In vielen Bundesländern gelten unterschiedliche Regelungen. Zentrale Anlaufstellen beantworten konkrete Fragen von Lehrkräften, beispielsweise das Bildungsportal des Landes Nordrhein-Westfalen.

Um Lehrkräfte und Schüler bei solchen Fragen von vornherein zu entlasten, setzen einige Schulen auch Cloud- und Lernplattformen ein. Sie schaffen den technischen Rahmen, um beispielsweise sicher untereinander zu kommunizieren, Dateien auszutauschen und auf Lernmittel zuzugreifen oder einfach einen gemeinsamen Kalender zu betreiben. Solche Plattformen können administrative Aufgaben übernehmen und Lehrkräfte beim Datenschutz entlasten. Der beginnt schon beim Organisieren des Tafeldienstes. Denn bereits eine solche Liste mit Namen fällt unter den Datenschutz und muss vor dem Zugriff Dritter geschützt werden.

Aber auch bei externen Cloud-Systemen und Lernplattformen drohen Risiken: beispielsweise Abhängigkeiten von gewinnorientierten Unternehmen, die Schulen ihre Produkte oft günstig oder umsonst zur Verfügung stellen. Der Vorteil für die Unternehmen: Kinder und Jugendliche werden bereits früh an ihre Produkte gebunden und hinterlassen im Idealfall auch noch Daten. „Das privatwirtschaftliche Engagement beruht darauf, dass Daten heutzutage ein Nährboden der Wirtschaft sind“, verdeutlicht Allhoff. Es geht um die Erstellung von Nutzerprofilen. Bereits heute werden iPhone-Besitzern bei der Angebotssuche mit dem Smartphone mitunter höhere Preise angezeigt als Android-Nutzern. Der Grund: Sie werden vom Online-Shop automatisch als potenziell zahlungskräftigere Kunden identifiziert. Und das sind Kundenprofile, die nur auf einer einzigen unterscheidenden Information beruhen, nämlich dem verwendeten Handymodell.

Schulen müssen auch sicherstellen, dass externe Anbieter den Datenschutz umsetzen. Werden Daten wirklich gelöscht? An wen werden sie weitergegeben und wie werden sie gesichert? Allhoff weist auch auf Risiken zentraler Lösungen hin: „Werden Daten auf Landes- oder sogar Bundesebene gesammelt und gespeichert, stellt das einen Honigtopf für Angreifer dar.“ Sind zentrale Lösungen jedoch rechtskonform und sicher, so könne das die einzelne Schule entlasten. 

© FKPH Computer, Laptops und Handys im Unterricht: Verantwortlich für den Datenschutz ist am Ende die Schule.

Sicher mit der Schul-Cloud

Die Internationale Deutsche Schule Brüssel (iDSB) setzt sich nicht erst seit der DSGVO mit dem Thema Datenschutz und -sicherheit auseinander. Seit über vier Jahren verfügt die Schule über eine eigene Cloud. Statt auf einen externen Anbieter zu setzen, hostet die Schule eine eigene Plattform. Für die Wartung greift sie auf einen IT-Dienstleister zurück, erklärt Stephan Bauer. Er ist seit 2017 Vizepräsident des Verwaltungsrats der iDSB und Ansprechpartner für die IT.

An dieser Deutschen Auslandsschule (DAS) ist die Nutzung digitaler Medien ein fester Bestandteil des Unterrichts. In vielen Fächern liefern die Schüler beispielsweise ihre Hausaufgaben über das schuleigene Cloud-System in digitaler Form bei der Lehrkraft ab. Außerhalb der Schulstunden ermöglicht das System Schülern und Lehrern, sicher zu kommunizieren. Das ersetzt für Bauer zwar in keiner Weise das direkte Gespräch, beschleunige aber die Prozesse.

© Stephan Bauer

Stephan Bauer ist Vizepräsident des Verwaltungsrats der internationalen Deutschen Schule Brüssel und Ansprechpartner für die IT.

Die Anforderungen beim Datenschutz ändern sich

In Deutschland sorgte die DSGVO 2018 für Unruhe. Manche Schulen nahmen sogar ihre Homepage vom Netz, zu groß war die Verunsicherung. Die Umsetzung der Verordnung, die auch an den DAS gilt, sei für die iDSB hingegen kein großes Problem gewesen, sagt Bauer. „Wir haben unsere Verwaltungsmitarbeiter zu entsprechenden DSGVO-Kursen geschickt.“ Auch die Lehrkräfte werden regelmäßig im Datenschutz geschult. Außerdem verfügt die Schule über einen IT-Ausschuss und einen festangestellten Datenschutzbeauftragten. Die IT-Abteilung setzt den Datenschutz zwar um, wird dabei aber vom Beauftragten kontrolliert.

Schule: Herrin der Daten

Die Daten der iDSB bleiben physisch in der Schule: „Da sind internetbasierte Cloud­-Lösungen problematischer. Wir wissen, welche User Zugriff haben. Wir sorgen an einer zentralen Stelle dafür, dass Daten geschützt und gesichert werden.“ Auch einen weiteren kritischen Punkt schließt die iDSB aus. Das sogenannte „Bring your own device“ verbietet die Schule im Prinzip. Schüler arbeiten für bestimmte Unterrichtszwecke stattdessen mit Microsoft-Tablets. Diese Tablets und die dazugehörigen Offce-­Produkte sieht Bauer allerdings pragmatisch: „Daran kommt man nicht vorbei, das ist de facto Standard in Unternehmen.“ Die Schule bereite so auf Techniken vor, die Schüler auch später nutzen würden. „Wir begeben uns aber auch nicht in die Hände der Dienstleister. Wir kontrollieren und entscheiden bewusst, was wir benutzen und was nicht.“

Das ist laut Gesetzgeber der entscheidende Schritt, denn die Schule muss die Kontrolle über die Daten behalten. Sie ist für den Datenschutz verantwortlich, sowohl auf technischem Wege als auch durch organisatorische Maßnahmen. Jede Schule muss hier ihren eigenen Weg gehen. Unterstützung kann sie beispielsweise in den Orientierungshilfen der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit finden oder im Austausch mit den Datenschutz-Pionieren unter den Schulen, wie der iDSB.

Weitere Informationen zum Thema Datenschutz.

Dieser Beitrag wurde zuerst in der Zeitschrift "BEGEGNUNG – Deutsche schulische Arbeit im Ausland" 1-2019 veröffentlicht.


Mehr zum Thema


Schlagworte

Keine Kommentare vorhanden

Sie sind derzeit nicht angemeldet. Um Kommentare verfassen zu können, müssen Sie sich vorab bei uns registrieren. Alternativ können Sie sich über Ihren Facebook-Account anmelden.
Anmelden