Was bedeutet eigentlich DSGVO-konform?

Von der Auswahl eines Videokonferenz-Tool über die Ergebnissicherung auf einer digitalen Pinnwand zur Speicherung der Notenliste – spätestens nach dem Ausbruch von Corona kennt und fürchtet sie jede Lehrkraft: die DSGVO. Durch die Digitalisierung der Lehre spielt sie eine größere Rolle als je zuvor. Aber auch im Präsenzunterricht – z.B. beim Fotografieren von Lernenden oder das Benutzen des eigenes Laptops – ist sie relevant. So wichtig und doch so unbeliebt – viele Lehrkräfte scheuen sich davor, sich mit der DSGVO zu beschäftigen, aus Angst ihr nicht gerecht zu werden. Diese Angst wollen wir lindern, indem wir eine Minireihe zur DSGVO starten. In diesem Artikel beschäftigen wir uns mit der Bedeutung, Tragweite, Strafen und Einfluss der Digitalisierung auf die DSGVO.

Was bedeutet DSGVO?

Die Buchstaben DSGVO stehen für das Wort „Datenschutzgrundverordnung“. Dieses Wort wiederum steht für eine Verordnung der Europäischen Union, die auf die Verarbeitung personenbezogener Daten abzielt. Im Speziellen steht sie für den Schutz von personenbezogenen Daten und der Gewährleistung eines freien Datenverkehrs. Durch diese Verordnung stehen in der EU nicht nur Unternehmen und Dienstleister in der Pflicht, sondern auch Institutionen wie Schulen oder Universitäten.

Bild von MasterTux auf Pixabay.

Wann greift die DSGVO?

Das Zauberwort ist „personenbezogene Daten“. Also immer, wenn es um Informationen zu einer bestimmten oder bestimmbaren Personen geht, greift die DSGVO. In Bezug auf Schule und Universität sind das die Lernenden, die Lehrenden, andere Beschäftigte der Institutionen sowie Erziehungsberechtigte. Die Verarbeitung dieser Daten greift von dem Erfassen über das Verwenden bis zum Vernichten dieser Informationen. In didaktischen Szenarien sind dabei z.B. das Festhalten von Lernstandsentwicklung, die Meldung von Noten, der Einsatz von Videotechnik oder das Agieren sowie Veröffentlichen im Internet betroffen.

Wann darf man trotz DSGVO Daten verarbeiten?

Es gibt zwei Wege, personenbezogene Daten trotz DSGVO zu verarbeiten:
1. In den Bundesländern gibt es verschiedene Rechtsvorschriften. In Niedersachsen ist das Niedersächsische Schulgesetz, dass das Erheben von personenbezogenen Daten in bestimmten Kontexten z.b. „zur Erziehung oder Förderung der Schülerinnen und Schüler“ erlaubt (hier nachzulesen).
2. Bei Bedarf gibt es zudem die Möglichkeit, die Einwilligung der jeweiligen Betroffenen einzuholen. Hierfür gibt es jedoch klare Regeln wie z.B. Freiwilligkeit, Transparenz und Widerrufbarkeit. Insbesondere bei Fotos ist es sinnvoll, mit solchen Einwilligungserklärungen zu arbeiten (Musterdatenschutz-Erklärungen hier).

Was droht bei Nichteinhaltung?

Tatsächlich droht den Einrichtungen an sich nicht wirklich etwas: Die Institutionen, also die Schulen und Universitäten, können nur dann kostenpflichtig abgemahnt werden, wenn sie als Wettbewerberinnen am Markt teilnehmen. Das ist bei diesen Institutionen jedoch in der Regel nicht der Fall. Darin kann vielleicht auch die Ursache liegen, wenn den Institutionen wenig an Datenschutz gelegen ist. Personen hingegen, die an diesen Institutionen tätig sind, können in Form von Geld- und Freiheitsstrafen belangt werden, wenn ihnen Vorsatz oder eine Tat auf Auftrag nachgewiesen werden kann. Betroffene können einzelne Personen einer solchen Institution auch zivilrechtlich belangen – unabhängig davon, ob Vorsatz oder Fahrlässigkeit vorliegt. Meistens hat so etwas dann auch dienstrechtliche Konsequenzen.

Bild von Benedikt Geyer auf Pixabay.

Macht die DSGVO einen Unterschied zwischen Präsenzlehre oder digitaler Lehre?

Während die DSGVO in der Präsenzlehre ein wenig offensichtlicher die Daten schützt, z.B. dass nicht einfach so Fotos, Adressen und Noten von Lernenden öffentlich ausgehängt werden dürfen, ist ihre Reichweite in der digitalen Lehre manchmal doch etwas schwerer zu nachzuvollziehen. Das liegt unter anderem daran, dass es auch für Privatpersonen der Datenverkehr im Internet oft undurchschaubar ist. Die personenbezogene Daten sind im Internet mehr gefährdet als in der reinen Präsenzlehre, daher ist hier besondere Aufmerksamkeit der Lehrkräfte geboten, dass sie nicht fahrlässig mit den Daten ihrer Lernenden umgehen.

Was bedeutet die DSGVO für die digitale Lehre?

Gerade Videokonferenzen sind in Bezug auf die DSGVO problematisch, denn hierbei werden Bild- und Tondaten von Personen verarbeitet. Institutionen sowie Personen, die in diesen Institutionen arbeiten, müssen sich daher z.B. genausten informieren, welche Videokonferenz-Tool genutzt werden. Bei allen digitalen Tools, die in der Lehre genutzt werden, müssen sich einige Fragen gestellt werden: Stehen die Server in der EU?, Werden Dritten Zugriffe auf Nutzerdaten ermöglicht?, Ist die Plattform sicher? usw. Für viele Menschen ohne Jura- oder Informatik-Studium sind solche Fragen durchaus schwierig zu entscheiden.  Hier ist z.B. der Fragenkatalog zur Auswahl eines Videokonfernz-Tools nachlesbar. Man kann es sich aber auch einfacher machen: es gibt nämlich genau zwei Möglichkeiten für die DSGVO-konforme Nutzung von digitalen Tools: entweder die Institutionen betreiben die Plattformen selbst – auf eigenen Servern oder durch Auftragsverarbeitung –  oder die Tools sind von sich aus DSGVO-konform. Wenn letzteres der Fall ist, ist das meist ein Aushängeschild für Tools und nicht schwer herauszufinden. Ein Blick in die Datenschutzerklärung kann hierbei aber auch Aufschluss liefern. Jede Seite ist verpflichtet, ein solche zu haben.

Was sind Auftragsverarbeitungen?

Manche Dienstleister agieren für die Institutionen als Auftragsverarbeiter wie z.B. Moodle oder iServ. Mit diesen wird dann ein Vertrag über Auftragsverarbeitung abgeschlossen, indem festgeschrieben wird, dass diese weisungsgebunden für die Institutionen arbeiten. Das heißt wiederum, dass diese Dienstleister keinerlei eigenen Ermessensspielraum bei der Datenverabreitung zusteht.

Was bedeutet DSGVO-konform?

Das heißt, dass die Verarbeitung der personenbezogenen Daten mit der DSGVO vereinbar ist. Sind Dienstleister im Netz DSGVO-konform, bedeutet das, sie halten sich an folgende 7 Prinzipien (in Klammern folgen kurze Erläuterungen):

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (aktive Zustimmung zur Datenverarbeitung muss eingeholt werden)
  • Zweckbindung der erhobenen Daten (keine Weiterverarbeitung)
  • Datenminimierung (Reduzierung der erhobenen Daten aufs mindeste)
  • Richtigkeit (der rechtmäßig erhobenen Daten)
  • Speicherbegrenzung (keine Identifizierbarkeit von bestimmten Personen durch Formen der Speicherung)
  • Integrität und Vertraulichkeit (Gewährleistung der Sicherheit der Daten)
  • Rechenschaftspflicht (bei Missachtung)

Welche Tools sind DSGVO-konform?

Im nächsten Artikel stellen wir eine ausgewählte Liste an DSGVO-konformen Tools vor.

Welche Tools sind nicht DSGVO-konform?

Bild von WikiImages auf Pixabay

Kostenlose Angebote von kommerziellen Anbietern (also solchen mit finanziellen Interessen) sind nie ganz umsonst zu haben. Oft zahlt man mit personenbezogenen Daten. Die ganz großen Anbieter kommen in der Regel aus der USA, so z.B. Zoom, Padlet, Google-Anbieter. Sie haben in der Regel ihre Server in den USA und bei der Übermittlung von personenbezogenen Daten in die USA treten oft datenschutzrechtliche Probleme auf, insbesondere wenn auf eine End-zu-End-Verschlüsselung verzichtet wird. Bei nicht-kommerziellen Anbietern, also Open-Source, ist es Abwägungssache. Auf der sichersten Seite steht man , wenn sich die Anbieter DSGVO-Konformität glaubwürdig auf die eigenen Fahnen geschrieben haben.

Fazit?

Die DSGVO hat zunächst ein ehrenwertes Ziel: die Schützung unserer Daten. Nicht ohne Grund heißt es heutzutage: Das Internet vergisst nie. Deshalb sind unsere Daten im Netz besonders sensibel. Umso prekärer wird es, wenn es sich zudem um die besonders schützenswerten Daten von Kindern und Jugendlichen handelt. Auch wenn die Umsetzung der DSGVO auch einige Einschränkungen mit sich bringt  – wie z.B. das Nicht-Nutzen von den weit verbreiteten Tools -, können wir trotzdem dankbar sein, dass es sie gibt. Möglicherweise ist sie ein wenig zu bürokratisch und undurchschaubar, doch wegducken bringt hier – wie so oft – nichts, denn: Ignorantia legis non excusat (Unwissenheit schützt vor Strafe nicht.

Quellen?

Mögliche rechtliche Folgen eines Datenschutzverstoßes für Schulen

FAQ der Regionalen Landesämter für Schule und Bildung