4.7          Wissenschaft und Bildung

4.7.1       WLAN  in der Schule  – vor dem Vergnügen kommt die Arbeit

Wenn Schulen beim Unterricht zunehmend Informationstechnik (IT) einsetzen, bleibt der Datenschutz oft leider außen vor. Vor einigen Jahren dominierten in den meisten Schulen Computerräume, in denen die Schülerinnen und Schüler unterrichtet wurden. In immer mehr Schulen gibt es jetzt WLAN-Architekturen, sodass die Computernutzung im Unterricht nicht auf bestimmte Räumlichkeiten konzentriert werden muss.

Vor dem Einsatz dieser Technik muss darüber nachgedacht werden, welche Regeln des Schulrechts, des Datenschutzes und der technischen Gestaltung zu beachten sind. Inhalt und Umfang solcher Regelungen sind von der einzusetzenden WLAN-Architektur abhängig. Setzt eine Schule schuleigene Geräte ein, die sich mit dem schuleigenen WLAN verbinden, kann sie technisch genau festlegen, in welcher Weise die Kommunikation mit dem Internet erfolgt; detaillierte organisatorische und technische Vorkehrungen sind möglich. In Schulen, in denen Schülerinnen und Schüler ihre eigenen Geräte – Notebooks, Tablets oder Smartphones – für unterrichtliche Zwecke nutzen dürfen – Stichwort „Bring Your Own Device“ – und sich darüber mit dem schuleigenen WLAN verbinden, müssen wesentlich weiter gehende technische Maßnahmen getroffen werden, um Missbrauch zu verhindern. Die nötigen organisatorischen und technischen Vorgaben zur WLAN-Nutzung sind dann umfassender.

Folgendes wird vom ULD empfohlen: Vor Inbetriebnahme einer WLAN-Architektur muss die Schulleitung eine Nutzungsordnung erstellen, die eindeutige Nutzungsvorgaben festlegt. Das WLAN sollte nur für schulische Zwecke zur Verfügung gestellt werden. Jedes Gerät mit Zugang zum WLAN ist zu registrieren. Die Aktivitäten, die über das WLAN im Internet stattfinden, müssen protokolliert werden, um bei Missbrauchsverdacht den Verursacher feststellen zu können.

Für die Internetnutzung an Schulen, insbesondere für die Nutzung von schuleigenen WLAN-Architekturen, hat das Bildungsministerium im Jahr 2013 entsprechende Hinweise, die mit dem ULD abgestimmt worden sind, veröffentlicht. Darüber hinaus hat das Institut für Qualitätsentwicklung an Schulen Schleswig-Holstein (IQSH) IT-Ausstattungsempfehlungen für Schulen in Schleswig-Holstein zur Internetnutzung herausgegeben. Für die datenschutzrechtlichen Fragestellungen, insbesondere auch bezüglich der Datensicherheit von WLAN-Architekturen, steht das ULD den Schulen zur Beratung zur Verfügung.

http://www.schleswig-holstein.de/Bildung/DE/Zielgruppen/LehrerinnenLehrer/InternetNutzung/internetnutzung_node.html
http://www.schleswig-holstein.de/Bildung/DE/Service/Broschueren/Bildung/ItAusstattung__blob=publicationFile.pdf

Was ist zu tun?
Die Einrichtung von WLAN-Architekturen und deren Nutzung für schulische Zwecke ist sorgfältig vorzubereiten.

 

4.7.2       Einheitliche Schulverwaltungssoftware  ist wünschenswert

Die Anforderungen an Schulverwaltungsprogramme sind in den letzten Jahren gestiegen. Wurden mit diesen Produkten zunächst lediglich die Daten der Schülerinnen und Schüler gespeichert und damit der Schulalltag organisiert, so sollen sie heute komplexe Verwaltungs- und Kommunikationsprozesse ermöglichen. Es geht nicht nur darum, Daten für die jährliche Schulstatistik schnell und korrekt zusammenzustellen und auf sicherem Weg über das Landesnetz dem Statistischen Amt zur Verfügung zu stellen. Schulverwaltungssoftware soll auch Daten für die offene Ganztagsschule, für Mensasysteme oder vom Schulträger gewünschte Informationen möglichst auf Knopfdruck zur Verfügung stellen. Die Daten müssen dabei valide sein. Zu achten ist aber auch auf die datenschutzrechtlichen Vorschriften.

Unterschiedlichste Produkte verschiedener Hersteller sind in den Schulen im Einsatz. Lediglich bei den berufsbildenden Schulen wird das Programm eines Herstellers genutzt. Die Datenschutzkonformität der Schulverwaltungsprogramme ist unterschiedlich. Lediglich ein Produkt, welches in vielen Schulen im Einsatz ist, verfügt über ein Datenschutz-Gütesiegel. Das ULD unterstützt die Forderung des Landesrechnungshofes nach der Einführung einer einheitlichen Schulverwaltungssoftware für alle Schulen Schleswig-Holsteins. Geht es dem Landesrechnungshof dabei vorrangig um Aspekte der Wirtschaftlichkeit, so sieht das ULD hierin die Chance, das Verfahren rundum datenschutzkonform auszugestalten. Das ULD hat sich sofort zur aktiven Teilnahme an den Planungen zur Einführung einer einheitlichen Schulverwaltungssoftware bereit erklärt.

 

4.7.3       Lernplattformen  – Vorteile, Risiken und Nebenwirkungen

Das ULD fordert schon seit Langem, dass das Bildungsministerium Regelungen für den Einsatz elektronischer Lernplattformen trifft (33. TB, Tz. 4.7.2). Leider ist dies bis heute nicht geschehen. Im Rahmen einer umfangreichen datenschutzrechtlichen Beratung eines Schulträgers bei der Einführung einer Lern- und Kommunikationsplattform hat das ULD weitere Erkenntnisse gewonnen, die die Notwendigkeit von klaren Rahmenbedingungen vollumfänglich bestätigen.

Die Datenschutzfragen bei der begutachteten Lern- und Kommunikationsplattform erwiesen sich als hoch komplex. Das ULD steht selbstverständlich Schulleitungen im Einzelfall im Interesse einer datenschutzkonformen Einführung von Lernplattformen beratend zur Seite. Zumindest die Rahmenbedingungen sollten aber vom Ministerium verbindlich für alle Schulen in Schleswig-Holstein vorgegeben werden. Es ist ausdrücklich festzulegen, dass solche Verfahren nicht zur Bearbeitung personenbezogener Daten für Schulverwaltungszwecke eingesetzt werden. Die Erreichbarkeit über das Internet macht solche EDV-Anwendungen attraktiv für die Speicherung von personenbezogenen Schülerdaten, die Lehrkräfte sonst in der Regel auf ihren häuslichen privaten EDV-Geräten speichern. Die Datenschutzverordnung Schule fordert jedoch eine strikte Trennung zwischen Schulverwaltungs-EDV und pädagogischen Netzwerken, zu denen auch solche Lern- und Kommunikationsplattformen gehören. Notenlisten, Klassenlisten oder andere Informationen, die Lehrkräfte für ihre Arbeit benötigen, dienen Schulverwaltungszwecken und haben in Lern- und Kommunikationsplattformen nichts verloren.

Was ist zu tun?
Das Bildungsministerium sollte verbindliche Rahmenbedingungen für den Einsatz von Lern- und Kommunikationsplattformen festlegen.

 

4.7.4       Schuldaten  in der Cloud

Schulen nutzten für unterrichtliche Zwecke sogenannte Cloud-Dienste verschiedener Anbieter. Die Erkenntnisse aus den Enthüllungen von Edward Snowden veranlassten das Bildungsministerium – unterstützt vom ULD – im Jahr 2013, den Schulen die Nutzung solcher Cloud-Dienste für unterrichtliche Zwecke generell zu untersagen. Das ULD stellte jedoch fest, dass Lehrkräfte Cloud-Dienste, z. B. Dropbox, auch nutzen, um dienstlich personenbezogene Daten von Schülerinnen und Schülern mit anderen Lehrkräften auszutauschen. Selbst in Bearbeitung befindliche sonderpädagogische Gutachten mit besonders schützenswerten Angaben zu medizinischen Befunden und Behinderungen werden mittels Cloud-Diensten ausgetauscht und bearbeitet. Diese Vorgehensweise stellt einen erheblichen Verstoß gegen datenschutzrechtliche Vorschriften dar. Ebenso inakzeptabel ist im Grundsatz die Nutzung von Cloud-Diensten für unterrichtliche Zwecke, etwa zum Austausch von Unterrichtsmaterial zwischen Lehrkräften und Schülerinnen und Schülern.

Rechtlich ist die Cloud-Nutzung eine Datenverarbeitung im Auftrag, die unter Bedingungen gemäß dem Landesdatenschutzgesetz zulässig sein kann. Die Entscheidungshoheit über das Ob und das Wie muss aber beim Auftraggeber – hier also der Schule – liegen. Anbieter von Cloud-Diensten legen aber in der Regel Geschäftsbedingungen fest, die diesen Anforderungen nicht genügen. So hat der Auftraggeber in der Regel keinen Einfluss auf den Ort der physikalischen Speicherung seiner Daten. Er ist auch nicht in der Lage, die ordnungsgemäße Datenverarbeitung zu kontrollieren.

Allerdings ist anzuerkennen, dass die Kommunikation und der Austausch personenbezogener Daten der Schülerinnen und Schüler zwischen Lehrkräften untereinander oder mit der Schulverwaltung über internetbasierte Cloud-Dienste zu einer Arbeitserleichterung führen kann. Die Nutzung solcher Dienste für unterrichtliche Zwecke, etwa in Form einer Lern- und Kommunikationsplattform (Tz. 4.7.3), vereinfacht die Kommunikation und bringt möglicherweise einen Mehrwert für den Unterricht. Deshalb arbeiten das Bildungsministerium, das IQSH und das ULD an datenschutzkonformen Lösungen für Cloud-Dienste für Zwecke der Schulverwaltung und des Unterrichts.

Das ULD hat eine Änderung des Schulgesetzes vorgeschlagen, um die datenschutzkonforme Verarbeitung personenbezogener Daten von Schülerinnen, Schülern und Eltern auf Geräten zu ermöglichen, die nicht dem Schulträger gehören. Dies wurde anlässlich der Novellierung des Schulgesetzes im Jahr 2014 umgesetzt. Damit öffnet sich der Weg für eine Datenverarbeitung auch außerhalb des Landesnetzes. Externen Dienstleistern kann nun auch die Auftragsdatenverarbeitung von Teilen der Schulverwaltung übertragen werden. Lehrkräfte können hierüber aus dem häuslichen Bereich auf Schulverwaltungsdaten zugreifen. Die Einführung und Nutzung z. B. eines elektronischen Klassenbuches ist nun rechtskonform machbar, vorausgesetzt, die Kontrolle über die Schuldaten wird bewahrt. Das ULD begleitet intensiv einen entsprechenden Pilotversuch. Auch die Nutzung einer vom IQSH favorisierten internetbasierten Kommunikationsplattform für Lehrkräfte ist nun grundsätzlich möglich. Um sicherzustellen, dass die Nutzung solcher Dienste datenschutzkonform erfolgt, enthält das neu gefasste Schulgesetz einen Genehmigungsvorbehalt für die Auftragsdatenverarbeitung.

Was ist zu tun?
Das Bildungsministerium sollte den gesetzlichen Genehmigungsvorbehalt als Steuerungsinstrument nutzen, um die Zwecke und den Umfang des zulässigen Cloud-Einsatzes einheitlich festzulegen.

 

4.7.5       Dienstliche E-Mail -Adressen für Lehrkräfte

Lehrkräfte kommunizieren seit Jahren mit Schülerinnen, Schülern und Eltern aus dem häuslichen Bereich heraus mit privaten E-Mail-Adressen. Diese dienstliche Kommunikation über private E-Mail-Adressen hat sich etabliert, ohne dass Schulleitungen oder das Bildungsministerium diesen Kommunikationsweg zugelassen oder irgendwie reglementiert haben. Sie wird schweigend hingenommen – trotz datenschutzrechtlicher Risiken.

E-Mail-Kommunikation der Lehrkräfte mit ihren Schülerinnen und Schülern und gegebenenfalls den Eltern ist heute ein wichtiges Instrument zum schulischen Informationsaustausch. Wenn die Lehrkräfte aus ihrem häuslichen Bereich heraus aus schulischen Gründen elektronischen Kontakt herstellen, erfolgt dies im Kontext mit ihrer dienstlichen Aufgabenwahrnehmung. Sie vertreten mit ihrer E-Mail-Kommunikation ihre Schule nach außen. Dies muss für die Empfänger auch in der Absenderadresse erkennbar sein. Wenn Lehrkräfte mit teilweise pseudonymen E-Mail-Adressen über unterschiedlichste E-Mail-Provider kommunizieren, verliert sich der „amtliche“ Charakter. Die Schulverwaltungen kommunizieren mit Landesnetzadressen, sodass die Empfänger eindeutig feststellen können, mit welcher Schule sie es zu tun haben. Bei Lehrkräften ist dies nicht ohne Weiteres möglich. Zudem können die Schulleitungen im Bedarfsfall nicht prüfen, welche personenbezogenen Daten im Zusammenhang mit der E-Mail-Kommunikation verarbeitet werden.

Die Fragestellung rückte für das ULD in den Fokus, als eine ehemalige Lehrerin – oder besser, eine Lehrkraft im Ruhestand – vor der Bundestagswahl 2013 per E-Mail-Verteiler Wahlwerbung verschickte. Die E-Mail-Adressen von Schülerinnen, Schülern, anderen Lehrkräften und auch Eltern stammten aus dem privaten E-Mail-Account der Lehrkraft. Der Vorfall war für das ULD Anlass, die Notwendigkeit der Vergabe dienstlicher E-Mail-Adressen für Lehrkräfte aus Datenschutzsicht gegenüber dem Bildungsministerium und der zentralen IT des Landes deutlich zu machen.

Allen Lehrkräften sollte eine dienstliche E-Mail-Adresse zur Verfügung gestellt werden. Die Erreichbarkeit sollte auch im häuslichen Bereich gewährleistet werden. Im Interesse des Datenschutzes sollten einheitliche Vorgaben etwa in Bezug auf Speicherungsdauer und Nutzungsumfang gemacht werden. Im Bedarfsfall sollten die Schulleitungen, die oberen und obersten Fachaufsichtsbehörden sowie das ULD die Einhaltung dieser Vorgaben überprüfen.

Was ist zu tun?
Die Bereitstellung von dienstlichen E-Mail-Adressen für Lehrkräfte sollte umgehend auf ihre Realisierbarkeit hin geprüft und dann umgesetzt werden.

 

4.7.6       Wenn die Lehrkraft eigentlich nur Taschenrechner bestellen will

Im Mathematikunterricht sollen die Schülerinnen und Schüler in den Schulen möglichst mit einheitlichen Taschenrechnermodellen arbeiten. Da diese Taschenrechner von den Eltern selbst bezahlt werden müssen, hat sich in vielen Schulen die Praxis herausgebildet, dass sie per Sammelbestellung beschafft werden. Lieferfirmen gewähren dann gerne Rabatte. Üblicherweise fällt die Aufgabe des Kontakts mit der Firma den Lehrkräften zu. In diesem Zusammenhang wurden von diesen häufig auch personenbezogene Daten der Schülerinnen und Schüler an die Firma übermittelt.

Die Zulässigkeit dieser Datenübermittlungen wurde zuerst von einem Rundfunksender hinterfragt und beschäftigte danach auch den Landtag. Das ULD schrieb eine größere Anzahl von Schulleitungen an und fragte nach der dortigen Praxis. Die Antworten der Schulen zeigten, dass die Bestellungen tatsächlich üblicherweise von Lehrkräften vorgenommen werden. Die Schulleitungen hatten für das Prozedere keinerlei Regelungen getroffen, auch nicht wenn dabei Schülerdaten übermittelt wurden.

Das Schulgesetz sieht bei der Übermittlung personenbezogener Daten an private Stellen explizit die schriftliche Einwilligung der Eltern vor. In fast keinem Fall war eine solche Einwilligung tatsächlich vorher eingeholt worden. In den seltensten Fällen erfolgte die Bestellung in schriftlicher Form mit Briefkopf der Schule; meist erfolgte die Abwicklung durch die Lehrkräfte über deren private E-Mail-Accounts.

Nach Auswertung der Antworten empfahl das ULD dem Bildungsministerium, den Schulen Hinweise zu geben, wie sie bei Datenübermittlungen an andere Stellen vorzugehen haben. Der Vorgang bestätigt anschaulich die Notwendigkeit der Beratung und Weiterbildung der Schulleiterinnen und Schulleiter, wie der Datenschutz innerhalb der Schule optimiert werden kann.

 

4.7.7       Medienkompetenzvermittlung

Um Schülerinnen und Schüler, Eltern und Lehrkräfte für Datenschutzfragen im Internet und in der realen Welt zu sensibilisieren, arbeitet das ULD mit der Polizei, Verbraucherschützern und (Medien-)Pädagogen zusammen.

Beim ULD-Beitrag bei Medienkompetenztagen an Schulen, die vom IQSH organisiert werden, liegt ein Schwerpunkt in der Vermittlung der Risiken, die sich bei der Nutzung von sozialen Netzwerken und neuen Kommunikationsformen wie WhatsApp ergeben. Zielgruppe waren insbesondere 7. und 8. Klassen. Die Schülerinnen und Schüler werden jeweils in die Präsentationen einbezogen.

Ein weiterer Schwerpunkt liegt in der Information der Lehrkräfte als Multiplikatoren. Als heikel erweist sich oft die digitale Kommunikation zwischen Lehrern und einzelnen Schülern. Auf Elternabenden zeigte sich, dass oft wenig Sensibilität hinsichtlich der Datenschutzrisiken besteht, die sich bei der Nutzung von Smartphones und bei sonstigen Internetaktivitäten ergeben. Hinsichtlich ihrer Einwirkungsmöglichkeiten auf ihre Kinder sind Eltern oft stark verunsichert. Bei Jugendlichen wandeln sich das Kommunikationsverhalten und die Nutzung etwa von bestimmten Apps oft schnell und stark, weshalb die aktuellen Entwicklungen dauernd im Blick bleiben müssen.

Was ist zu tun?
Eltern, Schüler- und Lehrerschaft sind weiterhin über den Datenschutz im und außerhalb des Internets zu informieren.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel