Weiterentwicklung des Datenschutzes

Das Grund­pro­blem

Schu­le hat aus Sicht des Daten­schut­zes ein gra­vie­ren­des Pro­blem: Per­so­nen­be­zo­ge­ne Daten (Namen, Noten, Fehl­zei­ten usw.) wer­den in der Regel auch auf pri­va­ten Gerä­ten (Note­books, Tablets usw.) ver­ar­bei­tet, deren Soft­ware- und Aktua­li­sie­rungs­stand nicht kon­trol­lier­bar ist. Noch schlim­mer: Wer sich in einem Schul­netz wirk­lich ein­mal die Mühe macht, nach Frei­ga­ben und offe­nen Ports bei ein­ge­buch­ten Gerä­ten zu nut­zen, wird mit Sicher­heit fün­dig wer­den.

Es gibt beim nor­ma­len Anwen­der in der Regel über­haupt kein Bewusst­sein dar­über, wie die eige­nen Gerä­te zumin­dest mit Bord­mit­teln des Betriebs­sys­tems abge­si­chert wer­den kön­nen. Bei geschlos­se­nen Hard­war­uni­ver­sen wir z.B. bei App­le­pro­duk­ten hät­te er — selbst wenn er es woll­te — nicht ein­mal eine Mög­lich­keit der Absi­che­rung, son­dern ist auf die Vor­ga­ben der App­pro­gram­mie­rer und Gerä­te­her­stel­ler ange­wie­sen.

Das ruft natür­lich jeden auf den Plan, der sich mit tech­ni­schem Daten­schutz beschäf­tigt. Es ist ver­lo­ckend, Schu­len in die­ser Hin­sicht Fir­men gleich­zu­stel­len, die in ihrem eige­nen Inter­es­se schon längst tech­ni­sche Lösun­gen dafür ent­wi­ckelt haben, sen­si­ble Daten zu schüt­zen. Dabei darf nicht ver­ges­sen wer­den, dass Fir­men in der Regel über aus­rei­chen­de finan­zi­el­le und per­so­nel­le Res­sour­cen ver­fü­gen, zum einen die Mit­ar­bei­ten­den hin­sicht­lich der Benut­zung der Fir­men­zu­gän­ge zu schu­len und zum ande­ren nicht nicht in der Ver­le­gen­heit sind, ihre Mit­ar­bei­ten­den mit ent­spre­chen­der Hard­ware aus­zu­stat­ten zu kön­nen und sich um deren Pfle­ge sowie Admi­nis­tra­ti­on zu küm­mern.

Die Poli­tik ver­weist bei Kri­tik an die­sem Zustand dar­auf, dass es schließ­lich Sache der Schul­trä­ger sei, in den Schul­net­zen für ent­spre­chen­de Aus­stat­tung und Abhil­fe zu sor­gen. Der Schul­trä­ger wie­der­um kennt Netz­struk­tu­ren nur aus den eige­nen Ver­wal­tun­gen und so nimmt das Unheil dann sei­ne Lauf, wenn tech­ni­scher Daten­schutz z.B. im Rah­men der Ver­ar­bei­tung von Mel­de­da­ten 1:1 auf Schu­len über­tra­gen wird. Da gibt es dann

  • Schul­trä­ger, die den Ein­satz von WLAN gene­rell unter­sa­gen
  • Schul­trä­ger, die den Ein­satz von pri­va­ten Gerä­ten in Schul­net­zen gene­rell unter­sa­gen (Nein, das Mobil­funk­netz ist kei­ne Lösung, zumin­dest nicht flä­chen­de­ckend)
  • Schul­trä­ger, die die Schul­netz­werk­lö­sun­gen und den Sup­port dafür out­sour­cen (z.B. damit oder damit), lei­der aber manch­mal Din­ge wie Fort­bil­dung­kon­zep­te für Lehr­kräf­te ver­nach­läs­si­gen oder eben nicht in die Kal­ku­la­ti­on mit ein­be­zie­hen.
  • Schul­trä­ger, die auf­grund ihrer Erfah­rung in den Ver­wal­tun­gen, Hard­ware- und Raum­aus­stat­tungs­kon­zep­te fest vor­ge­ben.

Und wer soll­te ihnen genau das ver­den­ken? An Schu­len gibt es schließ­lich meist nur Anwen­der­kom­pe­ten­zen, die das eige­ne End­ge­rät fokus­sie­ren und nicht Din­ge wie die Kon­zep­ti­on eines gan­zen Net­zes mit sei­ner Infra­struk­tur.

Die For­de­run­gen des Daten­schut­zes tra­gen in ganz erheb­li­chen Maße zu die­sem Dilem­ma bei.

Kei­ne kla­ren Aus­sa­gen

Für ein in mei­nen Augen recht weg­wei­sen­des Pro­jekt habe ich ver­sucht, von vorn­her­ein Daten­schutz­über­le­gun­gen mit ein­zu­be­zie­hen. Ich habe mich bei zustän­di­gen Stel­len erkun­digt und kon­kre­te Fra­gen zu kon­kre­ten The­men gestellt. Was dabei her­aus­kommt? Zwei Juris­ten, ein Tech­ni­ker und 3+n Mei­nun­gen. Dabei bräuch­ten Schu­len, die das The­ma Daten­schutz ernst­neh­men wol­len, drin­gend Unter­stüt­zung, z.B. bei:

  • der For­mu­lie­rung von Nut­zungs­ord­nun­gen im Schul­netz
  • der Fest­stel­lung eines Daten­rah­mens, der dem Gebot der Daten­spar­sam­keit genügt (Gehört der Beruf der Eltern in eine Schul­ak­te?)
  • der For­mu­lie­rung von Nut­zungs­be­din­gun­gen bei der Nut­zung des schul­ei­ge­nen WLAN
  • der For­mu­lie­rung von Ein­ver­ständ­nis­er­klä­run­gen zur Nut­zung von Bil­dern der Schü­le­rin­nen und Schü­lern für die Öffent­lich­keits­ar­beit von Schu­len (eher Urhe­ber­recht, aber das ist nicht weni­ger dif­fi­zil)
  • der Auf­stel­lung von Min­dest­stan­dards den tech­ni­schen Daten­schutz betref­fend: Wo steht der Schul­ser­ver? Wie ist er gesi­chert? […]

Beklagt man das Feh­len von Mus­ter­schrei­ben, so wird immer wie­der dar­auf ver­wie­sen, dass jede Schu­le und jeder Schul­trä­ger indi­vi­du­el­le Vor­stel­lun­gen hat und daher immer auf den kon­kre­ten Fall geschaut wer­den müs­se. Wie soll aber eine Schu­le oder ein Schul­trä­ger etwas leis­ten, was sich über­ge­ord­ne­te Stel­len nicht zutrau­en? So geht es jeden­falls in mei­nen Augen nicht wei­ter. Mir scheint, dass die­ses Dilem­ma den Daten­schüt­zern selbst auch durch­aus bewusst ist. Die Tech­nik ist da noch rela­tiv leicht zu lösen und zu beherr­schen.

Kri­tik

Man kann in mei­nen Augen nicht ein­fach etwas vor­ge­ben und ver­lan­gen, für das man selbst kei­ne Kon­zep­te und Modell­pro­jek­te vor­zu­wei­sen hat. Die Akzep­tanz wird gegen Null ten­die­ren und jeder wird in dem Bereich der neu­en Medi­en dann eher machen, was er will, bevor dann gar nichts an Inno­va­ti­on geschieht. Und das läuft den Grund­prin­zi­pi­en und der Inten­ti­on des Daten­schut­zes dann oft dia­me­tral ent­ge­gen.

Facebook Like

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.