Weiterentwicklung des Datenschutzes

Das Grundproblem

Schule hat aus Sicht des Datenschutzes ein gravierendes Problem: Personenbezogene Daten (Namen, Noten, Fehlzeiten usw.) werden in der Regel auch auf privaten Geräten (Notebooks, Tablets usw.) verarbeitet, deren Software- und Aktualisierungsstand nicht kontrollierbar ist. Noch schlimmer: Wer sich in einem Schulnetz wirklich einmal die Mühe macht, nach Freigaben und offenen Ports bei eingebuchten Geräten zu nutzen, wird mit Sicherheit fündig werden.

Es gibt beim normalen Anwender in der Regel überhaupt kein Bewusstsein darüber, wie die eigenen Geräte zumindest mit Bordmitteln des Betriebssystems abgesichert werden können. Bei geschlossenen Hardwaruniversen wir z.B. bei Appleprodukten hätte er – selbst wenn er es wollte – nicht einmal eine Möglichkeit der Absicherung, sondern ist auf die Vorgaben der Appprogrammierer und Gerätehersteller angewiesen.

Das ruft natürlich jeden auf den Plan, der sich mit technischem Datenschutz beschäftigt. Es ist verlockend, Schulen in dieser Hinsicht Firmen gleichzustellen, die in ihrem eigenen Interesse schon längst technische Lösungen dafür entwickelt haben, sensible Daten zu schützen. Dabei darf nicht vergessen werden, dass Firmen in der Regel über ausreichende finanzielle und personelle Ressourcen verfügen, zum einen die Mitarbeitenden hinsichtlich der Benutzung der Firmenzugänge zu schulen und zum anderen nicht nicht in der Verlegenheit sind, ihre Mitarbeitenden mit entsprechender Hardware auszustatten zu können und sich um deren Pflege sowie Administration zu kümmern.

Die Politik verweist bei Kritik an diesem Zustand darauf, dass es schließlich Sache der Schulträger sei, in den Schulnetzen für entsprechende Ausstattung und Abhilfe zu sorgen. Der Schulträger wiederum kennt Netzstrukturen nur aus den eigenen Verwaltungen und so nimmt das Unheil dann seine Lauf, wenn technischer Datenschutz z.B. im Rahmen der Verarbeitung von Meldedaten 1:1 auf Schulen übertragen wird. Da gibt es dann

  • Schulträger, die den Einsatz von WLAN generell untersagen
  • Schulträger, die den Einsatz von privaten Geräten in Schulnetzen generell untersagen (Nein, das Mobilfunknetz ist keine Lösung, zumindest nicht flächendeckend)
  • Schulträger, die die Schulnetzwerklösungen und den Support dafür outsourcen (z.B. damit oder damit), leider aber manchmal Dinge wie Fortbildungkonzepte für Lehrkräfte vernachlässigen oder eben nicht in die Kalkulation mit einbeziehen.
  • Schulträger, die aufgrund ihrer Erfahrung in den Verwaltungen, Hardware- und Raumausstattungskonzepte fest vorgeben.

Und wer sollte ihnen genau das verdenken? An Schulen gibt es schließlich meist nur Anwenderkompetenzen, die das eigene Endgerät fokussieren und nicht Dinge wie die Konzeption eines ganzen Netzes mit seiner Infrastruktur.

Die Forderungen des Datenschutzes tragen in ganz erheblichen Maße zu diesem Dilemma bei.

Keine klaren Aussagen

Für ein in meinen Augen recht wegweisendes Projekt habe ich versucht, von vornherein Datenschutzüberlegungen mit einzubeziehen. Ich habe mich bei zuständigen Stellen erkundigt und konkrete Fragen zu konkreten Themen gestellt. Was dabei herauskommt? Zwei Juristen, ein Techniker und 3+n Meinungen. Dabei bräuchten Schulen, die das Thema Datenschutz ernstnehmen wollen, dringend Unterstützung, z.B. bei:

  • der Formulierung von Nutzungsordnungen im Schulnetz
  • der Feststellung eines Datenrahmens, der dem Gebot der Datensparsamkeit genügt (Gehört der Beruf der Eltern in eine Schulakte?)
  • der Formulierung von Nutzungsbedingungen bei der Nutzung des schuleigenen WLAN
  • der Formulierung von Einverständniserklärungen zur Nutzung von Bildern der Schülerinnen und Schülern für die Öffentlichkeitsarbeit von Schulen (eher Urheberrecht, aber das ist nicht weniger diffizil)
  • der Aufstellung von Mindeststandards den technischen Datenschutz betreffend: Wo steht der Schulserver? Wie ist er gesichert? […]

Beklagt man das Fehlen von Musterschreiben, so wird immer wieder darauf verwiesen, dass jede Schule und jeder Schulträger individuelle Vorstellungen hat und daher immer auf den konkreten Fall geschaut werden müsse. Wie soll aber eine Schule oder ein Schulträger etwas leisten, was sich übergeordnete Stellen nicht zutrauen? So geht es jedenfalls in meinen Augen nicht weiter. Mir scheint, dass dieses Dilemma den Datenschützern selbst auch durchaus bewusst ist. Die Technik ist da noch relativ leicht zu lösen und zu beherrschen.

Kritik

Man kann in meinen Augen nicht einfach etwas vorgeben und verlangen, für das man selbst keine Konzepte und Modellprojekte vorzuweisen hat. Die Akzeptanz wird gegen Null tendieren und jeder wird in dem Bereich der neuen Medien dann eher machen, was er will, bevor dann gar nichts an Innovation geschieht. Und das läuft den Grundprinzipien und der Intention des Datenschutzes dann oft diametral entgegen.

Facebook Like

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.