„Daten sind doch anonym!“ - Irrtümer rund um den Datenschutz

Herr Thiede, was sind die häufigsten Irrtümer, die Ihnen bei Ihrer Arbeit zum Thema Datenschutz begegnen?

Ein weit verbreiteter Irrtum lautet: „Das ist für Datenschutz ohne Belang, da die Daten doch anonym sind.“ Fakt ist: Lehrkräfte nutzen häufig private Online-Speicher wie Dropbox, OneDrive oder Google Drive. Sie verschlüsseln Dateien mit personenbezogenen Daten von Schüler*innen, zum Beispiel Notenlisten, und speichern sie dann in einem der genannten Online-Speicher. Verschlüsselung ist eine Möglichkeit, personenbezogene Daten zu schützen; sie liegt zwischen Pseudonymisierung und Anonymisierung. Allerdings unterliegen verschlüsselte Daten weiterhin der Datenschutz-Grundverordnung (DS-GVO). Es ist daher nicht zulässig, verschlüsselte personenbezogene Daten aus der Schule in einer Cloud zu speichern, für die kein Vertrag zur Auftragsverarbeitung mit der Schule vorliegt.

Wo liegt der Unterschied zwischen Pseudonymisierung und Anonymisierung?

Pseudonymisierung ist keine Anonymisierung! Werden Namen durch Pseudonyme ersetzt, etwa durch Initialen, Schüleridentnummern, Zufallszahlen oder Ähnliches, sind es weiterhin personenbezogene Daten. Sie können mit Hilfe einer Liste immer wieder mit einer identifizierbaren Person verbunden werden. Das heißt, auch wenn die Daten ohne die Liste für Dritte wie anonyme Daten sind, bleiben es weiterhin personenbezogene Daten und unterliegen als solche den rechtlichen Vorgaben des Schulgesetzes und der Datenschutzgesetze. Sollen Schüler*innen sich an einer Online-Plattform oder mit dem Internet verbundenen App anmelden und dabei anstelle ihres Namens ein Pseudonym wählen, so geht es auch dann grundsätzlich immer noch um personenbezogene oder personenbeziehbare Daten. Eine echte Anonymisierung ist nur dann gegeben, wenn es tatsächlich keinerlei Möglichkeit gibt, die Daten einer identifizierbaren Person zuzuordnen, weder über Listen noch über Daten aus anderen Quellen. Echte Anonymität ist nicht immer sicher herzustellen. Mitunter reichen drei Datenpunkte aus einem Datensatz, um einen Personenbezug herstellen zu können. Das konnte so an gestohlenen Datensätzen erfolgreich gezeigt werden.

In der Schule liegen nicht nur digitale Daten vor, sondern ebenso analoge Daten. Gibt es auch diesbezüglich Irrtümer?

Auch die DS-GVO macht keinen Unterschied zwischen analog und digital. Das heißt, Unterlagen in Papierform sind genauso zu schützen wie digitale Daten. Das Recht auf Auskunft, das den Betroffenen zusteht, gilt so beispielsweise auch für Noten im analogen Notenbuch.

Gehen wir vom Arbeitsort Klassenzimmer zum PC als Arbeitsmittel für Lehrkräfte. Welche Irrtümer herrschen hier im Hinblick auf den Datenschutz?

Ein verbreiteter Irrtum lautet: „Auf einem PC, der nicht mit dem Internet verbunden ist, kann man personenbezogene Daten aus der Schule am sichersten verarbeiten, wenn man die Genehmigung der Schulleitung hat.“ Das stimmt leider nicht, denn die Sicherheit der Verarbeitung hängt nicht nur davon ab, wie gut man seinen Rechner gegen Zugriffe von außen schützt. Auf einen nicht mit dem Internet verbundenen PC wird man die Daten aus der Schule mittels USB-Stick übertragen und dann wieder auf diesen zurück, um sie in der Schule zum Beispiel auszudrucken oder mit den Namen der Schüler*innen zu versehen. Zu bedenken ist aber: Ohne Internetanbindung können auf einem PC die Virendefinitionen des Anti-Virus-Programms nicht aktualisiert werden. Bringt man sich also auf dem USB-Stick einen Virus mit, besteht das Risiko, dass die auf dem heimischen PC gespeicherten Daten aus der Schule, zum Beispiel Notenlisten, zerstört und damit verloren gehen können. Bei der Verarbeitung von personenbezogenen Daten aus der Schule ist es auch erforderlich, für die Verfügbarkeit der Daten zu sorgen. Aus diesem Grund ist die Nutzung eines Windows XP oder Windows 7 PC für die Verarbeitung von personenbezogenen Daten aus der Schule kritisch zu sehen, selbst wenn dieser nicht mit dem Internet verbunden ist.

Welche Irrtümer gibt es hinsichtlich der Nutzung von neuen Plattformen für das Online-Lernen?

Manche Lehrkräfte haben den Datenschutz oft nicht im Blick wenn sie eine neue Plattform mit Schüler*innen nutzen. Lehrkräfte sollten sich in diesem Fall jedoch immer absichern, dass die Nutzung ohne Risiken für Schüler*innen möglich ist. Die Schulleitung sollte immer im Bild sein, wenn es um mehr als konsumierende Nutzung wie Recherche geht. Vor dem unterrichtlichen Einsatz von Plattformen, zu deren Nutzung personenbezogene Daten von Schülern für die Anmeldung erforderlich sind oder bei denen personenbezogene Daten verwendet werden sollen – sprich: Texte, Kommentare, Fotos, Videos, Audios mit personenbezogenen oder -beziehbaren Inhalten – sollte die Zustimmung der Schulleitung eingeholt werden. Kann bei der Plattform ein Vertrag zur Auftragsverarbeitung abgeschlossen werden, muss die Schule diesen vereinbaren. Auch wenn eine Plattform in einer Lerngruppe erst einmal unterrichtlich erprobt werden soll, bevor man sie für die ganze Schule einführt, gelten die gleichen datenschutzrechtlichen Vorgaben wie bei der Einführung an der ganzen Schule.

Wo bleibt bei so vielen Vorgaben der Spielraum für die Schulen? 

Die schulgesetzlichen Regelungen zum Datenschutz und auch die DS-GVO mögen oft sehr eng erscheinen, enger als sie eigentlich sind. Es ist dennoch ein Irrtum zu glauben, dass Datenschutz in der Schule alles verhindert. In der Praxis bleibt für Schulen bei der Umsetzung der datenschutzrechtlichen Vorgaben immer noch Spielraum. Eine hundertprozentige Sicherheit gibt es nirgendwo, selbst in der Schulverwaltung nicht. 

Bei der Auswahl von Apps und Plattformen sollte die Maxime immer lauten, die Risiken, die sich aus der Verarbeitung von personenbezogenen Daten für die Betroffenen ergeben können, so klein wie möglich zu halten. Geht es um die Entscheidung für eine App oder Plattform für die Nutzung im Unterricht, so schaut man zunächst, welche pädagogischen Ziele bei der Nutzung im Vordergrund stehen und was es braucht, um diese umzusetzen. Im nächsten Schritt sichtet man die verschiedenen Angebote, inwieweit sie den erarbeiteten Kriterien entsprechen, und erstellt eine Rangfolge. Danach schaut man, wie es mit Sicherheit und Schutz der personenbezogenen Daten bei den Apps und Plattformen aussieht.

Welche Möglichkeiten gibt es, um die Sicherheit zu bewerten?

Eine erste Orientierung bieten Datenschutzrichtlinien und Nutzungsbedingungen der Anbieter. Einige Anbieter werden dann möglicherweise schon herausfallen, weil durch die Nutzung für die Betroffenen nicht hinnehmbare Risiken entstehen, etwa indem durch integrierter Technologien Daten an Dritte abfließen, die diese Daten dann zur Profilbildung bzw. zur Anzeige von Werbung verwenden. So kann man am Ende bei einer Plattform landen, bei der zwar noch kleinere Bedenken bestehen, die aber in Bezug auf die Funktionen eher dem entspricht, was man benötigt. Findet man schließlich durch technische und organisatorische Maßnahmen eine Möglichkeit, die Risiken für die Nutzer so weit zu minimieren, dass eine Nutzung vertretbar ist, dann steht einer Nutzung nichts im Wege.

Können Sie das an einem Beispiel illustrieren?

Ein gutes Beispiel hierfür wäre die Suche nach einer Plattform, die kollaboratives Arbeiten sehr niederschwellig und ohne Nutzerkonten für Schüler*innen ermöglicht. Vielleicht hatte man vorher Trello in der kostenlosen Version mit in der Auswahl. Das scheidet jedoch aus, weil hier Mengen an Daten an Dritte abfließen. Aber auch bei Padlet gibt es immerhin noch Google-Analytics. Nutzt man Padlet auf schulischen Endgeräten in der Schule ohne Login in anderen Plattformen und erarbeitet mit Schüler*innen Nutzungsregeln, aus denen für sie hervorgeht, dass sie in ein Padlet keine personenbezogenen Daten einstellen dürfen, hat man über technische und organisatorische Maßnahmen eine Möglichkeit geschaffen, das Angebot mit einem vertretbaren Minimum an Risiken zu verwenden. Für eine Nutzung von zu Hause aus kann man die Risiken durch Verwendung eines sicheren Browsers wie Brave Browser reduzieren, allerdings nicht ganz so weit wie beim zuerst beschriebenen Nutzungsszenario. Ob Eltern ihren Kindern dann eine Nutzung gestatten, liegt in ihrer Entscheidung, wenn sie die Risiken abwägen. Auch aus diesem Grund kann eine Nutzung immer nur auf Freiwilligkeit beruhen und aus einer Nichtnutzung dürfen keine Nachteile entstehen.

Kann man auch andere Plattformen nutzen, wenn man entsprechende Nutzungsregeln festlegt und beachtet? 

Ja, das eben beschriebene risikoorientierte Vorgehen lässt sich auch auf andere Plattformen übertragen – vorausgesetzt, dass deren Nutzung nicht ausdrücklich von Seiten des Schulministeriums untersagt wurde. Weitere Einschränkungen gibt es, wenn die Plattform als grundsätzlich unsicher gilt, eine Nutzung eindeutig den Vorgaben schulischen Datenschutzrechtes widersprechen würde, eine Nutzung nicht DS-GVO konform möglich wäre oder die Nutzung der Obhutspflicht der Schule gegenüber ihren Schülern widersprechen würde.

Kann die Schulkonferenz beschließen, dass eine Plattform verbindlich für alle eingeführt wird?

Nein, auch das ist ein Irrtum. Zumindest in NRW ist das nicht möglich, solange die Plattform, die man einführen möchte, nicht vom Schulministerium zum Lernmittel erklärt wurde oder es dazu einen Erlass gibt – ähnlich dem zur Einführung von grafikfähigen Taschenrechnern an der gymnasialen Oberstufe – oder aber eine entsprechende Änderung im Schulgesetz und den anhängigen Verordnungen VO-DV I & II vorgenommen wurde. Selbst die offizielle Plattform des Landes, Logineo NRW, kann bisher auch mit einem Beschluss der Schulkonferenz nur zur freiwilligen Nutzung eingeführt werden.

Herr Thiede, wir danken Ihnen sehr für dieses Gespräch.

Weitere Informationen zum Thema „Datenschutz in Schule“ finden sich auch auf der Homepage von Dirk Thiede:
https://datenschutz-schule.info/