Teil 1: „Moral ist, wenn man moralisch ist.“
Nein, man darf Schülerinnen und Schüler als Lehrer nicht dazu bringen, im Netz Produkte unter dem jeweiligen Klarnamen zu veröffentlichen. Man darf auch nicht Produkte von Schülerinnen und Schüler der Netzöffentlichkeit zugänglich machen. Bilder veröffentlichen? Fehlanzeige, wenn Personen den Motivschwerpunkt bilden – das gilt auch für z.B. Klassenfotos. Man darf so erstmal im Unterricht keine Web2.0‑Tools mit ihnen nutzen und man darf auch Facebook oder Twitter nicht zu unterrichtlichen Zwecken einsetzen.
Dass man das alles nicht darf, liegt an denen im Vergleich zur übrigen Welt recht eng gefassten Datenschutzgesetzen, an die wir als verbeamtete Lehrkräfte in ganz besonderer Weise gebunden sind. Das ist schlimm, oder? Es behindert uns gemeinsam mit dem Urheberrecht in unserer täglichen Arbeit, es behindert uns dabei, zeitgemäß mit digitalen Medien im schulischen Kontext umzugehen. Das könnte doch alles viel leichter sein!
Ein Aufschrei ertönt in der Gesellschaft, wenn Bürgerrechte beschnitten werden, wenn private Unternehmen z.B. ohne Richtervorbehalt personenbezogene Daten abfragen können – dann ist es ganz schnell aus mit der Anonymität – als anonym bloggender Kollege jemandem zivilrechtlich auf die Füße treten? Der Klarname ist dann nur einen Klick entfernt – übrigens wahrscheinlich sogar auf Jahre noch nachweisbar. Deswegen so richtig nach Datenschutz schreien? Aber der Staat hat gefälligst dafür zu sorgen, dass meine Daten und meine Rechte geschützt werden! Und das bitteschön auch praktikabel! Und umsetzbar.
Was waren Beamte noch einmal? Ach ja – Bedienstete und damit Vertreter des Staates. Wenn persönliche Freiheiten bedroht sind, ruft man laut. Wenn Gesetze, die dafür da sind, persönliche Freiheiten Dritter zu schützen, von uns Lehrkräften umgesetzt werden sollen, ruft man auch laut.
These 1: Ist man selbst als Person betroffen, findet man Datenschutz super. Soll man Datenschutz in der Rolle des Staates umsetzen, findet man das doof.
Teil 2: „Die Daten von Schülern sind für niemanden relevant. Die Sorgen der Datenschützer sind übertrieben.“
Elektronische Klassenbücher sind eine feine Sache. Unterrichtsprotokolle, Krankmeldungen, Beurlaubungen, Tadel, vergessene Hausaufgaben – alles komfortabel über die Webschnittstelle oder per Synchronisation auf dem Mobilgerät abrufbar. Lernplattformen mit Leistungsdaten und Schülerprodukten – endlich eine Übersicht zu den einzelnen Leistungsständen, endlich die Möglichkeit, individuell zu fördern. Portfoliosysteme? Sehr bequem und transparent. Und vor allem: Jeder sieht nur die Daten, die er auch sehen darf! Diese Daten werden meist bei externen Anbietern gehostet und sind dort zentral zugänglich. Das ist auch kein Problem. Schließlich sind diese Daten dort sicher und für niemanden interessant – zumindest wird das gerne kommuniziert.
Nur: Absolute Datensicherheit gibt es nicht, obwohl jeder Anbieter alles daran setzen wird, den maximalen Standards gerecht zu werden. Leider sind zentral vorliegende Daten immer recht attraktiv, da sie in der Regel strukturiert und in einheitlichen Formaten vorliegenden, die sich sehr leicht auswerten lassen. Die Attraktivität beschränkt sich dabei nicht auf „die bösen Hacker“. Vorstellbar sind auch Auswertungen für künftige Arbeitgeber und Versicherungsgesellschaften. Die Relevanz von Daten für zukünftig denkbare Kontexte ist heute nicht vorhersehbar. Daher ist die Aussage „Die Daten von Schülern sind für niemanden relevant“ m.E. sehr mutig, weil eine gehörige Portion „Glaskugel“ eingedacht wird.
Und ich weiß nicht, ob sowas nie geschehen wird. Ich sehe, dass es Menschen gibt, die bei EC-Kartenzahungen vor mir an der Kasse bei jedem noch so kleinen Betrag ihre PIN eingeben müssen, während andere bei wesentlich höhreren Summen einen Wisch unterschreiben. Das liegt natürlich nicht daran, dass die Zahlung per PIN dem Händler garantiert wird, während die Einteilung der Einzugsermächtigung per Unterschrift weniger Kosten verursacht, aber das Risiko eines ungedeckten Kontos birgt. Es kommen auch nie Zugangsdaten großer Webdienste in Umlauf. Auch Kreditkartendaten werden nicht in entsprechenden Foren gehandelt. Unsere Daten sind sicher. Alle. Immer.
These 2: Die Attraktivität bzw. Relevanz von Daten für die Zukunft ist heute nicht vorhersagbar. Aussagen wie „Damit wird schon nichts passieren!“ erscheinen gerade im Kontext der heute schon beobachtbaren Entwicklungen mutig.
Teil 3: „Die Klassenbücher liegen in den Pausen frei aus. Im Lehrerzimmer treiben sich auch SuS herum. Da ist es doch geradezu hirnrissig zu sagen, dass Daten in einer geschützten IT-Umgebung bei einem Anbieter nicht viel sicherer aufgehoben sind!“
Rechenzeit ist nicht teuer. Auch das Algorithmenschreiben nicht sonderlich. Daten auf Papier sind einem Algorithmus nur mit erheblichem Aufwand zugänglich. Ein Klassenbuch muss Seite für Seite gescannt werden, um einer Datenverarbeitung zugänglich zu werden – aufgrund der individuellen Klassenbuchführung dürften auch OCR-Versuche einer erheblichen Nachbearbeitung bedürfen. Und dann habe ich immer noch nur die Daten einer Klasse. Der Aufwand rechnet sich in der Regel nicht – Lehrerkalender und Klassenbücher sind Datenschutzkatastrophen – ohne Frage. Aber nur in einem eng begrenztem Kontext. Eine Datenbank liegt immer in einem Format vor, was einem Algorithmus direkt zugänglich ist. Daten auf Papier nicht. Dass diese beiden Medien so unterschiedlich behandelt werden, hat also technische Gründe.
These 3: „Das Vorhandensein von Datenschutzlücken auf Papiermedien ist kein Argument für die Datenverabeitung in Rechenzentren.“
Was macht der Datenschutz?
- Er fordert eine gesetzliche Grundlage zur Verarbeitung von personenbezogenen Daten, da dies ein Eingriff in die Grundrechte des Einzelnen darstellt.
- Er fordert Datensparsamkeit: Nur für den jeweiligen Zweck erfordliche Daten dürfen erhoben werden. Im Falle einer technischen Panne sind so die offengelegten Daten in ihrer Menge von vornherein begrenzt.
- Er schreibt Rechte fest: Man hat z.B. das Recht, Auskunft über die durch eine Firma oder Behörde verarbeiteten Daten zu verlangen.
- Er schützt in besonderer Weise die Rechte von Personen, die nicht in ausreichendem Maße über technische Kompetenzen verfügen, um möglichen Stolpersteine auszuweichen.
- Er nervt, wenn man selbst mit Daten Dritter umgehen möchte.
- Er ist vielleicht jetzt schon vollkommen überflüssig, weil eh schon alle Daten über uns frei verfügbar sind. Die Frage ist, ob wir das in einigen Jahren immer noch denken werden. Naja. Der Mensch ist von Natur aus gut.
Wer mehr über die Grundlagen des Datenschutzes im Kontext von Schulen hier in Niedersachsen wissen möchte, sei auf eine Prezi verwiesen, die ich nach einer Schulung durch Mitarbeiter des Landesdatenschutzbeauftragten erstellt habe.
Wie gehe ich als explorative Lehrkraft damit um?
- Ich erzeuge öffentlich keine personenbezogenen Daten (mehr). Entsprechende Einträge lösche ich zur Zeit aus diesem Blog. Ich kann im Netz Schülernamen pseudonymisieren. Es ist wichtig, dass ICH das tue. SuS neigen oft dazu, gängige Nicks aus sozialen Netzwerken weiterzuverwenden.
- Ich kann mir die Einwilligung des Erziehungsberechtigten für die Verarbeitung von Daten holen, die nicht durch Gesetze oder Erlasse abgesegnet ist. Am besten entwickelt dabei die Schule selbst Richtlinien und Einwilligungserklärungen, die dann einfach im Rahmen der Schulanmeldung mit unterzeichnet werden – das macht ja eh jede Schule schon für die Verwendung von Schülerfotos, oder? An so eine Einwilligungserklärung sind aber bestimmte formale Regularien geknüpft. Vielleicht gibt es ja einen Juristen in der Elternschaft.
- Mit externen Anbietern müssen zwingend Vereinbarungen zur Auftragsdatenverarbeitung geschlossen werden (Bundesdatenschutzgesetz). Es gibt die Unsitte, z.B. Lernplattformen oder Webdienste für die Schulorganisation einfach als Erweiterung des „Verwaltungsnetzes“ zu deklarieren, dessen Datenverarbeitung meist durch z.B. hier in Niedersachsen das Schulgesetz geregelt ist. Aber auch da gilt der Grundsatz der Erforderlichkeit – hier für Verwaltungsaufgaben.
- Die Daten dezentral speichern, z.B. indem ich eigene Schulclouds aufbaue. Die Daten liegen dort meist nicht strukturiert und in einem Umfang vor, der es sonderlich lohnend machen würde, diesen Datenbestand von außen anzugreifen. Für Angriffe von innen hat man ggf. ganz andere forensische Möglichkeiten. Nebeneffekt: Für einen „staatlichen Server“ gelten viele Regelungen nicht, die ein privater Anbieter umzusetzen hat – z.B. die Schaffung von „Abhörschnittstellen“ ab einer gewissen Nutzerzahl.
Alles Quatsch und realitätsfern …
… es sind doch eh alle in sozialen Netzwerken. Post-Privacy! Es gibt schon jetzt kein Zurück. Meine kurze Antwort: Was Menschen selbst durch die Gegend pusten, pusten sie selbst durch die Gegend. Ich finde es nicht immer schlecht, Berufliches und Privates zu trennen. Immerhin erwarte ich auch von meinem Arbeitgeber, dass er sich in bestimmte Angelegenheiten nicht einmischt. Und natürlich sorgt die Vorlage von Einwilligungserklärungen für sozialen Stress, wenn z.B. einige Eltern oder SuS nicht unterschreiben wollen. Dieser Stress erzeugt nach meiner Erfahrung aber auch eine Auseinandersetzung mit dem Thema Datenschutz. In der Schulcloud kann man durchaus die Erteilung eines Accounts von dieser Erklärung abhängig machen. Ist es gar nicht zu lösen, arbeite ich eben mit der ganzen Gruppe pseudonymisiert und bin dann durch nichts eingeschränkt, weil ich – etwas Umsicht vorausgesetzt – keine personenbezogenen Daten erzeuge.