Datenschutzverstöße im Homeschooling und Bußgelder

Wer bisher dachte, Verstöße gegen Datenschutzrecht wären ein Kavaliersdelikt, um das sich sowieso niemand schert, könnte jetzt eines Besseren belehrt werden. Denn: Verstöße können geahndet werden.

In Thüringen werden aktuell einige Datenschutzverstöße von Lehrerinnen und Lehrern geprüft, die mit Bußgeldern bis zu 1000 Euro sanktioniert werden könnten. Die Verstöße sollen im Rahmen des coronabedingten Homeschoolings stattgefunden haben. Wir haben uns mit dem Thema beschäftigt und auch mit dem verantwortlichen Landesdatenschutzbeauftragten Dr. Lutz Hasse gesprochen.

Newsletter abonnieren

Drei Schritte: Link anklicken, E-Mail-Adresse eintragen, Bestätigungsmail beantworten.

Beispiele für Datenschutzverstöße

Der Einsatz von WhatsApp, Microsoft 365, Zoom und ähnlichen Möglichkeiten, um den Unterricht digital zu organisieren, ist heftig umstritten. Sie gehören schon deshalb nicht in den Unterricht, weil sie nicht nach dem europäischen Datenschutzrecht mit recht hohen Standards handeln. Von den eigennützigen Zielen und fragwürdigen Geschäftsmodellen (z.B. Daten zu Geld zu machen), ganz zu schweigen – dazu berichteten wir bereits in der Vergangeheit.

In Baden-Württemberg wurden nun gezielte Stichproben im Unterricht angekündigt, um Verstöße durch die Nutzung von Zoom oder WhatsApp aufzudecken und entsprechend zu sanktionieren.

Auch in Brandenburg wurden zwischenzeitlich Bußgelder für Lehrkräfte diskutiert (mittlerweile auf „besonders schwere“ Verstöße eingegrenzt), da Beschwerden eingingen, die unverschlüsselten E-Mail-Versand, offene Mailverteiler und den Einsatz verschiedener Dienste betrafen, aber auch Verstöße gegen das Recht am eigenen Bild durch Veröffentlichung von Videoaufnahmen einzelner Schüler.

Doch es gibt weitere Möglichkeiten, gegen Datenschutzrechte zu verstoßen. So sind beispielsweise fehlende Einwilligungserklärungen von Eltern und mangelnde Informationsweitergabe an Eltern sehr gängige Fehler. Dies bestätigt auch Thüringens Landesdatenschutzbeauftragter.

Welche Datenschutzbestimmungen für Lehrkräfte und Schulen gelten, ist größtenteils länderspezifisch geregelt. In einem gesonderten Beitrag erklären wir, wo Sie Informationen und Hilfen finden können.

Um welche kritischen Apps und Dienste handelt es sich?

Zu den aktuellen Prüffällen in Thüringen legt Hasse uns gegenüber keine konkreten Informationen offen. Er verneint jedoch, dass es sich dabei ausschließlich um die „üblichen Verdächtigen“ (WhatsApp, Microsoft, Zoom & Co.) handle und nennt die Plattform „Discord“ als Beispiel.

„Discord“ ist aus der Gaming-Szene bekannt. Der US-amerikanische Onlinedienst bietet die Möglichkeit des Instant Messaging, einen Chat, Video- und Sprachtelefonie, per App auch das Teilen des Bildschirms (außerdem weitere Funktionen in der kostenpflichtigen Version). Die vielfältigen Möglichkeiten der Kommunikation haben die Plattform unter Gamern beliebt gemacht. Als Plattform für Schulen war „Discord“ nie gedacht. Dennoch reagiert das Unternehmen auf die hohe Nachfrage zu virtuellen Klassenzimmern:

“Ihr berichtet uns fleißig, wie ihr Discord während der COVID-19-Pandemie auf ganz verschiedene Arten nutzt. [...] Wie wir bereits bekannt gegeben haben, wurde das Benutzerlimit bei Go Live [Anm.d.Red.: Discords Live-Stream-Funktion] vorübergehend von 10 auf 50 Personen erhöht, um euch dabei so gut wie möglich zu unterstützen. Mit dieser Änderung wollen wir vor allem auch Lehrern helfen [...]. Bitte beachtet, dass das Mindestalter für die Nutzung von Discord bei 13 Jahren liegt, jüngere Schüler können diesen Dienst also nicht nutzen.“ (Discord-Blog, März 2020)

Hasse erklärt, dass die bei Discord gespeicherten Daten gezielt zu Profilanalysen genutzt würden und betont: „Es ist gruselig, welche Daten dieser Onlinedienst nach außen schießt. Das können wir nicht ignorieren.“ Diesen Fall könne er öffentlich nennen, weil die beschuldigte Lehrkraft bereits selbst öffentlich Stellung dazu nahm. Weitere Infos zu dem Fall haben wir bei unseren Recherchen vorerst nicht gefunden, doch wir sind auf andere besorgnisserregende Inhalte gestoßen – in Lehrer-Blogs, Foren und Sozialen Netzwerken:

An verschiedenen Stellen werden Erfahrungsberichte zu problematischen digitalen Werkzeugen veröffentlicht und Konflikte darüber zwischen Eltern, Lehrer.innen und Schulen öffentlich eingeräumt. Datenschutzrechtliche Bedenken werden dabei teilweise gleich mitgeliefert, und wir fanden Annahmen wie „Aber das wird schon nicht so schlimm sein“ und andere sinngemäße Aussagen, auch in Bezug auf datenschutzkritische Aspekte bei Discord. Die Quellen möchten wir an dieser Stelle nicht nennen, um niemanden vorzuführen, doch wer selbst recherchiert, wird schnell fündig.

Es wird deutlich: Hier fehlt das Bewusstsein für Datenschutzrecht und rechtskonformes Handeln. Wer Datenschutzaspekte nicht ernst nimmt, bewegt sich auf dünnem Eis! Wer auch noch öffentlich zur Nutzung kritischer Software trotz Bedenken anregt, hat den Diskurs um Datenschutz nicht verstanden.

Werden Lehrkräfte nun zur Kasse gebeten?

Jein. Wer gegen Datenschutzbestimmungen verstößt, kann belangt werden – egal ob Lehrer, Anwältin oder Verkäufer.in. Die Europäische Datenschutzgrundverordnung (DSGVO) setzt klare Datenschutzstandards und bietet Schutz, damit persönlichen Daten nicht willkürlich von Behörden, Unternehmen und Dienstleistern weiterverteilt, ausgewertet und kommerzialisert werden. Wo Rechte sind, gibt es aber auch Pflichten: Die Verordnung reguliert auch, wie Privatpersonen mit den Daten anderer umzugehen haben und nimmt die Handlungen von Leherinnen und Lehrern davon nicht aus.

Dennoch: Die Verantwortung für angefallene und verarbeitete Daten zu Unterrichtszwecken trägt die Schule. Somit wird es am Ende vermutlich in den wenigsten Fällen zu Bußgeldforderungen für Lehrkräfte kommen. Doch Vorsicht! Die Gesetzeslage ist klar: Wer auf eigene Faust mit Apps und anderen Programmen arbeitet, die nicht von der Schulleitung abgesegnet sind, haftet selbst und kann bei Datenschutzverstößen mit Bußgeldern bis zu 1000 Euro rechnen.

Hasse:

„Wenn ein Verstoß vorliegt, dann müssen wir pflichtgemäß eine Einschätzung nach Ermessen durchführen. Es besteht also kein Automatimus ‚Verstoß gleich Bußgeld‘. Dabei kann mal ein Auge zugedrückt werden, aber wir können bei schweren Verstößen defintiv nicht beide Augen zudrücken.“

Wie Schulen als Behörden (und somit nicht-juristische Personen) sanktioniert werden können, unterscheidet sich in den Bundesländern. In Thüringen ermöglicht eine Öffnungsklausel (Art. 84 DSGVO), Personen in der Schule zur Verantwortung zu ziehen und auch hier nach Ermessen zu entscheiden.

Daher verstehen wir auch nicht, wieso die Gewerkschaft Bildung und Erziehung (GEW) in Brandenburg fordert, Lehrerinnen und Lehrer unter grundsätzlichen Schutz zu stellen. Konkret heißt es in der Pressemitteilung des Landesverbandes:

„Das MBJS [Anm.d.Red.: Bildungsministerium] muss klarstellen, dass Lehrkräfte im Land Brandenburg, die digitale Medien im Unterricht und im Homeoffice einsetzen und nicht vorsätzlich gegen Datenschutz und Urheberrechte verstoßen, durch das Land Brandenburg vollumfänglich abgesichert sind.“

Wir glauben nicht, dass die bloße Orientierung am Vorsatz hier zielführend ist. Allein die Auffassung darüber, was als vorsätzlich eingestuft werden kann, ist juristisch komplex. Eine generelle Straffreiheit oder besonderen Schutz für Lehrkräfte zu fordern, ist aber in sich zu kurz gedacht: Bekommt ein Schulsozialarbeiter dann ebenfalls Rückendeckung vom Ministerium? Ist die private Nachhilfelehrerin auch abgesichert? Solche Entscheidungen betreffen alle Berufsgruppen, in denen es um Daten von Kindern geht.

Klare Regeln und Aufklärung: Ja, bei dieser Forderung werden wir uns einig. Die Versäumnisse in der Bildungspolitik dürfen nicht auf Lehrerinnen und Lehrer abgewälzt werden! Es muss sich dringend etwas ändern, damit Lehrkräfte mit einem guten Gefühl unterrichten können, ohne permanent Angst vor Datenschutzverstößen zu haben. Anders herum dürfen persönliche Fehltritte von Einzelpersonen, für die bereits klare Gesetze gelten, nicht im Schutze des Systems versacken. Die Sanktionierung nach Ermessen ermöglicht eben auch einen angemessenen Spielraum und ggf. milden Ausgang.

Reicht eine Pandemie als Grund, ein „Auge zuzudrücken“?

Es ist wichtig, die Zukunft im Blick zu halten: Es wird auch eine Zeit nach Corona geben.

Dazu Hasse:

„Corona hat einen Digitalisierungschub verursacht, das ist positiv. Wir müssen aber aufpassen, dass keine Grundrechte ‚verstolpert‘ werden, die sich später womöglich nicht wieder rekonstruieren lassen.“

Diese Meinung teilen wir. Fehltritte sind erlaubt, dürfen aber nicht zum Normalfall werden. Das Ziel liegt hier sicherlich nicht darin, Lehrerinnen und Lehrern das Unterrichten zu erschweren, sondern sie zur Verantwortung zu ziehen, wie alle anderen auch. Schwer erarbeitete Gesetze für Grundrechte und Datenschutz sind keine Märchen und das muss den Bürgerinnen und Bürgern klar werden. Zusätzlich sehen wir aber klare Versäumnisse in der Digitalisierungs- und Bildungspolitik, die es Lehrkräften nicht gerade einfach machen. Über einige Missstände haben wir in der Vergangenheit bereits berichtet.

Hasse wünscht sich, das Bewusstsein für Grundrechte und Datenschutz bereits in der Ausbildung von Lehrerinnen und Lehrern zu schärfen, doch wenn wir die Probleme von heute in die Berufsausbildung integrieren, haben wir in acht Jahren – wenn die Ausbildung beendet ist – wieder Lehrkräfte, die der Zeit hinterherhängen. So könne es nicht gehen. Umso wichtiger sieht er die Rolle von Datenschutzbeauftragten, die es auch für einzelne Schulen braucht:

„Wenn wir das Grundrecht auf informationelle Selbstbestimmung ernst nehmen wollen, dann halte ich eine intensivere Kooperation zwischen Schule und Aufsichtsbehörde für unabdingbar. Wir sollten da an einem Ende des Strangs ziehen.[...] Wir können nicht einfach den Grundrechterucksack abwerfen, um schneller dem davonfahrenden Digitalisierungszug hinterherlaufen zu können.“

Die Krise öffnet auch Chancen

Die digitalen Unterrichtslösungen haben auch den Fokus auf freie und datenschutzfreundliche Software angefacht. Viele Schulen und Länder gehen bereits mit gutem Beispiel voran, und die Angebote werden stets ausgebaut. Diese Entwicklung ist positiv!

Für Thüringen spricht Hasse von einem datenschutzfreundlichen Mailangebot zur Kommunikation zwischen Schülern und Lehrkräften sowie von der sicheren „Thüringer Schulcloud“ als Plattform für digitalen Unterricht. Letzteres können wir nicht bedenkenlos stehen lassen: Bei der besagten Cloud handelt es sich um die bereits viel diskutierte HPI-Schulcloud des Hasso-Plattner-Instituts. Erst kürzlich sind Sicherheitslücken aufgedeckt worden, die wir als verheerend empfinden. Wir haben den Landesdatenschutzbeauftragten um Stellungnahme gebeten. Er entgegnet, die Entwicklungen verfolgt zu haben und sieht die Mängel mit der aktuellen Version als behoben. Die Fortschritte werden wir prüfen und im Blick behalten.

Es zeigt sich: Wir werden immer wieder an guten Angeboten feilen müssen. Wir müssen datenschutzfreundlichen Angeboten eine faire Chance geben, auch wenn sie nicht von Beginn perfekt sind. Es wäre ein großer Fehler, sich der Herausforderung nicht zu stellen und auf kritische kommerzielle Anbieter zurückzugreifen. Dafür müssen wir alle eben anpacken – für uns und für die Kinder, die an dieser Stelle nicht für sich selbst sprechen.

Damit wir am Ende alle gestärkt aus der Coronazeit hervorgehen und funktionierende Weichen für die Zukunft stellen, raten wir:

Nutzen Sie die Sommerferien

Damit das neue Schuljahr mit vorbildlicher Software und neuer Energie starten kann.

Über uns

Digitalcourage e.V. engagiert sich seit 1987 für Grundrechte, Datenschutz und eine lebenswerte Welt im digitalen Zeitalter. Wir sind technikaffin, doch wir wehren uns dagegen, dass unsere Demokratie „verdatet und verkauft“ wird. Seit 2000 verleihen wir die BigBrotherAwards. Digitalcourage ist gemeinnützig, finanziert sich durch Spenden und lebt von viel freiwilliger Arbeit. Mehr zu unserer Arbeit.

Datum: 23.06.2020
Autorin: Jessica Wawrzyniak

Veröffentlicht am 23.06.2020

Marktstraße 18
33602 Bielefeld

Spendenkonto
IBAN: DE66 4805 0161 0002 1297 99
BIC: SPBIDE3BXXX
Sparkasse Bielefeld