Der böse Datenschutz

Teil 1: „Moral ist, wenn man moralisch ist.“

Nein, man darf Schülerinnen und Schüler als Lehrer nicht dazu bringen, im Netz Produkte unter dem jeweiligen Klarnamen zu veröffentlichen. Man darf auch nicht Produkte von Schülerinnen und Schüler der Netzöffentlichkeit zugänglich machen. Bilder veröffentlichen? Fehlanzeige, wenn Personen den Motivschwerpunkt bilden – das gilt auch für z.B. Klassenfotos. Man darf so erstmal im Unterricht keine Web2.0-Tools mit ihnen nutzen und man darf auch Facebook oder Twitter nicht zu unterrichtlichen Zwecken einsetzen.

Dass man das alles nicht darf, liegt an denen im Vergleich zur übrigen Welt recht eng gefassten Datenschutzgesetzen, an die wir als verbeamtete Lehrkräfte in ganz besonderer Weise gebunden sind. Das ist schlimm, oder? Es behindert uns gemeinsam mit dem Urheberrecht in unserer täglichen Arbeit, es behindert uns dabei, zeitgemäß mit digitalen Medien im schulischen Kontext umzugehen. Das könnte doch alles viel leichter sein!

Ein Aufschrei ertönt in der Gesellschaft, wenn Bürgerrechte beschnitten werden, wenn private Unternehmen z.B. ohne Richtervorbehalt personenbezogene Daten abfragen können – dann ist es ganz schnell aus mit der Anonymität – als anonym bloggender Kollege jemandem zivilrechtlich auf die Füße treten? Der Klarname ist dann nur einen Klick entfernt – übrigens wahrscheinlich sogar auf Jahre noch nachweisbar. Deswegen so richtig nach Datenschutz schreien? Aber der Staat hat gefälligst dafür zu sorgen, dass meine Daten und meine Rechte geschützt werden! Und das bitteschön auch praktikabel! Und umsetzbar.

Was waren Beamte noch einmal? Ach ja – Bedienstete und damit Vertreter des Staates. Wenn persönliche Freiheiten bedroht sind, ruft man laut. Wenn Gesetze, die dafür da sind, persönliche Freiheiten Dritter zu schützen, von uns Lehrkräften umgesetzt werden sollen, ruft man auch laut.

These 1: Ist man selbst als Person betroffen, findet man Datenschutz super. Soll man Datenschutz in der Rolle des Staates umsetzen, findet man das doof.

Teil 2: „Die Daten von Schülern sind für niemanden relevant. Die Sorgen der Datenschützer sind übertrieben.“

Elektronische Klassenbücher sind eine feine Sache. Unterrichtsprotokolle, Krankmeldungen, Beurlaubungen, Tadel, vergessene Hausaufgaben – alles komfortabel über die Webschnittstelle oder per Synchronisation auf dem Mobilgerät abrufbar. Lernplattformen mit Leistungsdaten und Schülerprodukten – endlich eine Übersicht zu den einzelnen Leistungsständen, endlich die Möglichkeit, individuell zu fördern. Portfoliosysteme? Sehr bequem und transparent. Und vor allem: Jeder sieht nur die Daten, die er auch sehen darf! Diese Daten werden meist bei externen Anbietern gehostet und sind dort zentral zugänglich. Das ist auch kein Problem. Schließlich sind diese Daten dort sicher und für niemanden interessant – zumindest wird das gerne kommuniziert.

Nur: Absolute Datensicherheit gibt es nicht, obwohl jeder Anbieter alles daran setzen wird, den maximalen Standards gerecht zu werden. Leider sind zentral vorliegende Daten immer recht attraktiv, da sie in der Regel strukturiert und in einheitlichen Formaten vorliegenden, die sich sehr leicht auswerten lassen. Die Attraktivität beschränkt sich dabei nicht auf „die bösen Hacker“. Vorstellbar sind auch Auswertungen für künftige Arbeitgeber und Versicherungsgesellschaften. Die Relevanz von Daten für zukünftig denkbare Kontexte ist heute nicht vorhersehbar. Daher ist die Aussage „Die Daten von Schülern sind für niemanden relevant“ m.E. sehr mutig, weil eine gehörige Portion „Glaskugel“ eingedacht wird.

Und ich weiß nicht, ob sowas nie geschehen wird. Ich sehe, dass es Menschen gibt, die bei EC-Kartenzahungen vor mir an der Kasse bei jedem noch so kleinen Betrag ihre PIN eingeben müssen, während andere bei wesentlich höhreren Summen einen Wisch unterschreiben. Das liegt natürlich nicht daran, dass die Zahlung per PIN dem Händler garantiert wird, während die Einteilung der Einzugsermächtigung per Unterschrift weniger Kosten verursacht, aber das Risiko eines ungedeckten Kontos birgt. Es kommen auch nie Zugangsdaten großer Webdienste in Umlauf. Auch Kreditkartendaten werden nicht in entsprechenden Foren gehandelt. Unsere Daten sind sicher. Alle. Immer.

These 2: Die Attraktivität bzw. Relevanz von Daten für die Zukunft ist heute nicht vorhersagbar. Aussagen wie „Damit wird schon nichts passieren!“ erscheinen gerade im Kontext der heute schon beobachtbaren Entwicklungen mutig.

Teil 3: „Die Klassenbücher liegen in den Pausen frei aus. Im Lehrerzimmer treiben sich auch SuS herum. Da ist es doch geradezu hirnrissig zu sagen, dass Daten in einer geschützten IT-Umgebung bei einem Anbieter nicht viel sicherer aufgehoben sind!“

Rechenzeit ist nicht teuer. Auch das Algorithmenschreiben nicht sonderlich. Daten auf Papier sind einem Algorithmus nur mit erheblichem Aufwand zugänglich. Ein Klassenbuch muss Seite für Seite gescannt werden, um einer Datenverarbeitung zugänglich zu werden – aufgrund der individuellen Klassenbuchführung dürften auch OCR-Versuche einer erheblichen Nachbearbeitung bedürfen. Und dann habe ich immer noch nur die Daten einer Klasse. Der Aufwand rechnet sich in der Regel nicht – Lehrerkalender und Klassenbücher sind Datenschutzkatastrophen – ohne Frage. Aber nur in einem eng begrenztem Kontext. Eine Datenbank liegt immer in einem Format vor, was einem Algorithmus direkt zugänglich ist. Daten auf Papier nicht. Dass diese beiden Medien so unterschiedlich behandelt werden, hat also technische Gründe.

These 3: „Das Vorhandensein von Datenschutzlücken auf Papiermedien ist kein Argument für die Datenverabeitung in Rechenzentren.“

Was macht der Datenschutz?

  1. Er fordert eine gesetzliche Grundlage zur Verarbeitung von personenbezogenen Daten, da dies ein Eingriff in die Grundrechte des Einzelnen darstellt.
  2. Er fordert Datensparsamkeit: Nur für den jeweiligen Zweck erfordliche Daten dürfen erhoben werden. Im Falle einer technischen Panne sind so die offengelegten Daten in ihrer Menge von vornherein begrenzt.
  3. Er schreibt Rechte fest: Man hat z.B. das Recht, Auskunft über die durch eine Firma oder Behörde verarbeiteten Daten zu verlangen.
  4. Er schützt in besonderer Weise die Rechte von Personen, die nicht in ausreichendem Maße über technische Kompetenzen verfügen, um möglichen Stolpersteine auszuweichen.
  5. Er nervt, wenn man selbst mit Daten Dritter umgehen möchte.
  6. Er ist vielleicht jetzt schon vollkommen überflüssig, weil eh schon alle Daten über uns frei verfügbar sind. Die Frage ist, ob wir das in einigen Jahren immer noch denken werden. Naja. Der Mensch ist von Natur aus gut.

Wer mehr über die Grundlagen des Datenschutzes im Kontext von Schulen hier in Niedersachsen wissen möchte, sei auf eine Prezi verwiesen, die ich nach einer Schulung durch Mitarbeiter des Landesdatenschutzbeauftragten erstellt habe.

Wie gehe ich als explorative Lehrkraft damit um?

  1. Ich erzeuge öffentlich keine personenbezogenen Daten (mehr). Entsprechende Einträge lösche ich zur Zeit aus diesem Blog. Ich kann im Netz Schülernamen pseudonymisieren. Es ist wichtig, dass ICH das tue. SuS neigen oft dazu, gängige Nicks aus sozialen Netzwerken weiterzuverwenden.
  2. Ich kann mir die Einwilligung des Erziehungsberechtigten für die Verarbeitung von Daten holen, die nicht durch Gesetze oder Erlasse abgesegnet ist. Am besten entwickelt dabei die Schule selbst Richtlinien und Einwilligungserklärungen, die dann einfach im Rahmen der Schulanmeldung mit unterzeichnet werden – das macht ja eh jede Schule schon für die Verwendung von Schülerfotos, oder? An so eine Einwilligungserklärung sind aber bestimmte formale Regularien geknüpft. Vielleicht gibt es ja einen Juristen in der Elternschaft.
  3. Mit externen Anbietern müssen zwingend Vereinbarungen zur Auftragsdatenverarbeitung geschlossen werden (Bundesdatenschutzgesetz).  Es gibt die Unsitte, z.B. Lernplattformen oder Webdienste für die Schulorganisation einfach als Erweiterung des „Verwaltungsnetzes“ zu deklarieren, dessen Datenverarbeitung meist durch z.B. hier in Niedersachsen das Schulgesetz geregelt ist. Aber auch da gilt der Grundsatz der Erforderlichkeit – hier für Verwaltungsaufgaben.
  4. Die Daten dezentral speichern, z.B. indem ich eigene Schulclouds aufbaue. Die Daten liegen dort meist nicht strukturiert und in einem Umfang vor, der es sonderlich lohnend machen würde, diesen Datenbestand von außen anzugreifen. Für Angriffe von innen hat man ggf. ganz andere forensische Möglichkeiten.  Nebeneffekt: Für einen „staatlichen Server“ gelten viele Regelungen nicht, die ein privater Anbieter umzusetzen hat – z.B. die Schaffung von „Abhörschnittstellen“ ab einer gewissen Nutzerzahl.

Alles Quatsch und realitätsfern …

… es sind doch eh alle in sozialen Netzwerken. Post-Privacy! Es gibt schon jetzt kein Zurück. Meine kurze Antwort: Was Menschen selbst durch die Gegend pusten, pusten sie selbst durch die Gegend. Ich finde es nicht immer schlecht, Berufliches und Privates zu trennen. Immerhin erwarte ich auch von meinem Arbeitgeber, dass er sich in bestimmte Angelegenheiten nicht einmischt. Und natürlich sorgt die Vorlage von Einwilligungserklärungen für sozialen Stress, wenn z.B. einige Eltern oder SuS nicht unterschreiben wollen. Dieser Stress erzeugt nach meiner Erfahrung aber auch eine Auseinandersetzung mit dem Thema Datenschutz. In der Schulcloud kann man durchaus die Erteilung eines Accounts von dieser Erklärung abhängig machen. Ist es gar nicht zu lösen, arbeite ich eben mit der ganzen Gruppe pseudonymisiert und bin dann durch nichts eingeschränkt, weil ich – etwas Umsicht vorausgesetzt – keine personenbezogenen Daten erzeuge.

 

 

Facebook Like

8 Kommentare

  • Jan

    Durchaus heraufordernd formuliert – muss ich mich jetzt rechtfertigen?
    Denn es gibt ja auch einen anderen Ansatz: Ich schreibe bewusst mit Klarnamen, schreibe bewusst Anekdoten und erzeuge bewusst einen bestimmten ‚Content‘.
    Diese Voraussetzungen ermöglichen mir jedoch auch, andere Ziele zu verfolgen und Leser zu erreichen, als du es tust, oder nicht?

  • These 2 und 3: klar. These 1: Etwas vereinfachend.

    Sagen wir, ich hätte eine Liste von knapp hundert Schülen, die an einem Tanzkurs teilnehmen wollen. Keine shculische Veranstaltung, aber von der Schule organisiert. Wie kriege ich diese Liste zum Tanzkursveranstalter? Eine Vereinbarungen zur Auftragsdatenverarbeitung schließen, geprüft vom örtlichen Datenschutzbeauftragten? — Ich werde das einfach mal, ruhigsten Gewissens, nicht tun.

  • @Jan:
    Ich bin mir nicht sicher, ob ich deinen Punkt genau sehe – und ich habe lange überlegt, ob ich mit diesem moraltriefenden Unterton schreiben soll. Deswegen: Nein – keine Rechtfertigung. Ich lese dein Blog sehr gerne. Ich habe übrigens sehr oft das Bedürfnis, genau wie du Dinge „aus der Ausübung meines Amtes“ zu erzählen – vielleicht bin ich da entschieden zu unlocker – dass ich Leser anspreche ist ja nicht unbedingt das Bedürfnis meiner Schülerinnen und Schüler – es ist meins.

    @Herr Rau:
    Man kann da noch einiges drauflegen – etwa die Regelungen zum Bildrecht. Oder dass auch ich als Klassenlehrer mir nur eine Papierliste mit den Kontaktdaten meiner Klasse an die Wand pinnen, diese aber ohne Zustimmung der Beteiligten nicht bequem mit meiner Groupware syncen darf. In 3er-Gruppen mit dem Handy losziehen auf der Klassenfahrt und ich darf die Nummern nicht in meinem Handy haben?
    Deine Liste dürfte ich in Niedersachsen elektronisch verarbeiten – wenn ich sie nicht länger als drei Monate speichere. Weitergeben und beim Veranstalter der Tanzstunden verarbeiten lassen? Hm. Schwieriger. Geben die Eltern da nicht irgendwo ihre (konkludente) Zustimmung – z.B. weil sie den Tankurs bezahlen sollen und so den Vertrag ja nicht mit dir, sondern dem Anbieter schließen? Im Einzelfall wird man immer Beispiele finden, wo Datenschutz im Detail einfach nur nervt.
    Den Grundgedanken finde ich aber prinzipiell gut. Vielleicht bin ich da zu wenig „digital-native“.

    Und ja:
    Ich ärgere mich oft furchtbar, da Datenschutz ja auch prima instrumentalisiert werden kann, um aufkeimende neue Medien an der Schule wirksam zu bekämpfen.

    Bei vielen Dingen lasse ich die Kirche auch im Dorf, weil ich mir sicher bin, dass die Beteiligten da nie etwas daraus machen werden. Zu schnelles Autofahren oder falsches Parken verletzt ja auch Regelungen. Soll angeblich auch bei Lehrenden immer wieder vorkommen.

  • Nochmal überlegt, und ja: Es ist auf jeden Fall gut, sich in Erinnerung zu rufen, dass wir Lehrer der Staat sind, wenn wir Daten unserer Schüler einsammeln. Danke für den Punkt.

    Bildrecht: Da sehe ich keine Probleme. (Notabene: Im passwortgeschützten Bereich und im Schulgebäude darf ich laut unseren Vorschriften Werke von Schülern auch ohne deren Einwilligung ausstellen; auch wenn davon aberaten wird und das in der Praxis nicht vorkommen wird.)

    >Im Einzelfall wird man immer Beispiele finden, wo Datenschutz im Detail einfach nur nervt.
    Den Grundgedanken finde ich aber prinzipiell gut. Vielleicht bin ich da zu wenig “digital-native”

    Nicht nur im Einzelfall. Das Verbot, Ordnungsmaßnahmen digital zu erfassen, ist kein Einzelfall. Darüber hinaus ist die Zahl der Einzelfälle so groß, dass sie auch zählen sollten.

    Mit visitor/resident kommst du nicht davon. Den Grundgedanken findet so ziemlich jeder gut. Ich sehe nur andere Schwerpunkte – so lange die Wirtschaft im Einwohnermeldeamt Daten abholen kann, sollte man Datenschutz in der Schule als Nebenschauplatz betrachten.

  • @Herr Rau
    Werke von SuS – das wird gerne in einen Topf mit dem Datenschutz geworfen, ist aber m.E. ein anderes Problem: Es gibt nach derzeitiger Rechtssprechung kaum eine Möglichkeit, sowas wie „Verwertungsrechte“ an einem Schülerprodukt zu erwerben, die aber oft notwendig für z.B. eine Ausstellung sind. Deswegen – und auch wegen der Sache mit dem Menschenverstand – ist vorheriges Fragen (Zustimmung) ja sinnvoll. Als Beamter muss man da deutlich mehr „dulden“ als als SoS.

    Nebenschauplatz Schule? Ja und Nein. Mir scheinen viele Gesetzeskatastrophen dadurch durchzugehen, weil viele Leute zu bequem sind, sich mit Datenschutzfragen zu beschäftigen und anderseits natürlich oft auch elementare technische Kenntnisse fehlen (etwa wenn man das Konzept „Papier“ und mit dem Konzept „Datei“ vergleicht). Hier versäumt Schule wahrscheinlich einiges, dessen demokratische Quittung wir u.U. zunehmend sehen. Mit einem reinen „Medienkompetenz- bzw. Anwenderanspruch“ wird man dem wahrscheinlich nicht Herr werden. Wieder mal eine Haltungsfrage.

    Dazu kommt, dass Datenschutz ja auch immer Ländersache ist. Ländersache wäre es auch, für Software zu sorgen, die elementaren Anforderungen des Datenschutz gerecht wird, sodass auch sensiblere Daten wie Ordnungsmaßnahmen erfasst werden könnten. Solange in Schulverwaltung selbst gestrickt wird, hätte ich als Techniker damit auch so meine Bauchschmerzen.

    Die Schleswig-Holsteiner preschen in dem Bereich zurzeit ziemlich vor – nicht immer treffen sie dabei auf Gegenliebe, weil sowas ja immer viel Autonomie nimmt.

  • Ich möchte noch einen Aspekt hinzufügen: Lehrkräfte haben eine Vorbildfunktion .

    Die SuSis lernen von Lehrkräften. Ob sie wollen oder nicht. Und wenn sie andauernd angehalten werden (z.B. durch eine Schulordnung oder ähnliches), keine Daten/Fotos ihrer MitSuSis ins Netz zu stellen, gleichzeitig aber erleben, wie Lehrkräfte alles in irgendwelche privaten Smartphones, Tablets etc. einhacken, weil diese die rechtlichen Regelungen nicht ernst nehmen (ist ja soooo unpraktisch), dann darf man sich auch nicht wundern, wenn auch SuSis Regelungen nicht so ernst nehmen, die sie für unpraktisch halten.

    Auf einer anderen Ebene: In einem Gespräch von SEB und Schulleitung wurde unter anderem erwähnt, dass es immer wieder Konflikte gibt, weil die SuSis sich nicht daran hielten, keine Nahrung während des Unterrichts zu konsumieren. Auf dem Weg aus dem Schulgebäude trafen wir auf eine Klasse, die grad in der Aula in Grupen werkelte, die Lehrkraft fröhlich mampfend mittendrin. – Ja, das ist Kleinkram, aber die Effekte von sowas sind deutlich, zumindest im Dialog zu Hause kommt dann: „Aber Frau Sowieso hält sich auch nie an XY!“

    Medienkompetenzvermittlung an Schulen wird viel eingefordert. Nach meiner Beobachtung verfügen die allerwenigsten Lehrkräfte darüber, deshabl sind unsere Schulen auch so weit hinten, was neue Medien betrifft. Was leider häufig zu beobachten ist, ist, dass Lehrkräfte einfach mal machen, ohne sich um rechtliche Grundlagen zu kümmern, und dann ausgesprochen beleidigt reagieren, wenn man sie drauf hinweist, dass sie gegen Regeln verstoßen haben, oder gar eine Verhaltensänderung einfordert.

    Was darf denn von SuSis an Sozialverhalten wohl erwartet werden, wenn die Lehrkräfte sich über rechtliche Regelungen hinwegsetzen, weil sie nerven und die Lehrkräfte andere Probleme wie die Datenweitergabe von Meldebehörden (nebenbei: Thema verfehlt) als viel gravierender einordnet? Wie überzeugt wären die gleichen Lehrkräfte wohl, wenn mit einem Spickzettel erwischte SuSis argumentierten, immerhin sei der Zettel ja ihre eigene Arbeit und solange der Guttenberg nicht im Knast sei aufgrund seines Abschreibens, gäbe es ja wohl Wichtigeres? Eben. Wer als Vorbild von SuSis regelkonformes Verhalten einfordert, wird eben an diesem Maßsta auch gemessen. Ja, natürlich auch Eltern. :)

    o o o

    Das von Dir erwähnte Vorpreschen in SH hat imho(!) vor allem einen Effekt: Es werden gerichtliche Entscheidungen herbeigeführt, wie die zum Teil wirklich schlecht ausformulierten Gesetze denn nun auszulegen sind. Damit wird dann klarer, ob die vorhandenen Regelungen sinnvoll und praxistauglich sind oder nicht, woraus wiederum ein Arbeitsauftrag an den Gesetzgeber resultieren kann. Einige Konflikte in dem Bereich resultieren nämlich aus diesen Unklarheiten.

    • Jan

      Nun sind die Schüler aber von Herrn Müller, der konsequent Computer und Handy verweigert, nicht besonders angetan. Ganz im Gegenteil….

      Ich würde das wie in der Erziehung sehen: Immer alles verbieten macht es oft gerade spannend (Spielzeugpistolen, Knaller, Alkohol, Fernsehen, Internet). Statt dessen sollte man den vernünftigen Umgang damit lehren.

  • Es geht doch überhaupt nicht um Verbote – im Gegenteil. Die Berücksichtigung der rechtlichen Rahmenbedingen erlebe ich in meiner Tätigkeit sehr oft auch als „door-opener“ für Projekte wie z.B. BYOD, weil dieses Schwert (Datenschutz, rechtliche Unsicherheiten, Persönlichkeitsschutz usw.) oft gerade von Leuten wie den Müllers geschwungen wird, um Medienkompetenz zu verhindern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.