Datenverarbeitung an der Schule: Nutzen Sie Ihre Rechte!
Viele Eltern und Lehrkräfte wehren sich derzeit gegen den Einsatz von Microsoft 365 oder Microsoft Teams an Schulen – zu Recht. Wie schädlich der Einsatz dieser Software für die Daten von Kindern ist, haben wir in den letzten Monaten ausführlich in unserem Blog behandelt. Die Software von Microsoft ist jedoch nicht die einzige, die für den Schulgebrauch ungeeignet ist und dennoch immer wieder eingesetzt wird. Auf unserer Website können Sie sich informieren, welche Software nicht geeignet ist, wie Sie gegen den Einsatz datenschutzkritischer Software an Schulen ankämpfen können und welche gute Alternativen es bereits gibt.
Mit einem Musterschreiben zum Auskunftsrecht geben wir Ihnen nun ein weiteres Werkzeug an die Hand.
Unterstützen Sie die gute Sache: Freiheit, Grundrechte und Demokratie.
Viele Menschen engagieren sich bei uns in ihrer Freizeit, seien auch Sie dabei!
Bleiben Sie auf dem Laufenden über unsere Arbeit und unsere Themen.
Geben Sie nicht auf!
Gegen die großen IT-Konzerne vorzugehen, ist nicht ganz leicht. Sie bewegen sich oft in rechtlichen Grauzonen oder winden sich aalglatt, so dass ihre Software gerade so als datenschutzrechtlich konform durchgeht. So werden beispielsweise AGB und Datenschutzerklärungen klammheimlich nachträglich geändert (so auch kürzlich bei Microsoft Teams) oder es werden Verfahren vorgeschlagen, die – theoretisch – eine datenschutzkonforme Nutzung der Software erlauben. „Theoretisch“ meint an dieser Stelle, dass z.B. weitere Datenschutzeinstellungen in teureren Software-Versionen möglich sind (z.B. in Microsoft 365 Enterprise) oder weitere Einstellungen in der Software vorgenommen werden können, die für Laien nicht so leicht ersichtlich sind. Spätestens seit im Juli 2020 das Datenschutzabkommen „Privacy Shield“ zwischen den USA und der EU gekippt wurde, gehen vielen Menschen die Argumente aus, um die vermeintlich unbedenkliche Nutzung US-amerikanischer Software zu rechtfertigen. In der Schulpolitik wird der Ernst der Lage aber noch immer nicht begriffen.
Wenn gutes Zureden und der direkte Kontakt zur Schulleitung oder den Behörden kein Weiterkommen bringt, können Sie sich das geltende Gesetz zum Freund machen:
Machen Sie von Ihrem Auskunftsrecht Gebrauch!
Die Europäische Datenschutzgrundverordnung (EU-DSGVO, kurz: DSGVO) verpflichtet alle Menschen und Unternehmen in der EU, für den Schutz personenbezogener Daten zu sorgen, wenn diese automatisiert verarbeitet werden. Zusätzlich räumt uns die Verordnung aber auch jede Menge Rechte ein.
Eines davon ist das Recht auf Auskunft (Art. 15 DSGVO):
„Sie haben das Recht, zu erfahren, ob personenbezogene Daten von Ihnen verarbeitet werden oder nicht. In beiden Fällen haben Sie das Recht auf Auskunft – zum Beispiel darüber, welche Daten zu welchem Zweck verarbeitet werden, woher diese Daten stammen, an wen sie weitergegeben werden und ob und wie lange die Daten gespeichert werden. Falls keine Daten von Ihnen verarbeitet werden, muss Ihnen auch das mitgeteilt werden. Außerdem muss Ihnen darüber Auskunft gegeben werden, ob die Daten eine Rolle in einer automatisierten Entscheidungsfindung wie zum Beispiel Profiling spielen, und falls ja, wie diese Entscheidungsfindung abläuft und zu welchen Auswirkungen sie führen kann.“
(Friedemann Ebelt, Digitalcourage e.V.)
Sie können diese Datenabfrage an alle Unternehmen und Institutionen richten, die Daten von Ihnen verarbeiten.
Eine schlechte Auskunft ist der Schlüssel für weiteres Vorgehen
Anwendungsfall Schule: Sobald die Schule die Nutzung einer bestimmten Software anordnet, steht die Schulleitung in der Verantwortung für die Daten, die gespeichert werden. Schulen müssen Auftragsdatenverarbeitungsverträge mit externen Dienstleistern (z.B. Microsoft) abschließen, in denen z.B. geregelt wird, welche Daten gespeichert werden und was damit passiert. (§§ 120 bis 122 Schulgesetz und Art. 28 DSGVO).
Der/die für den Auftrag Verantwortliche (hier: die Schule) muss
„hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“ (Art. 28 DSGVO)
Kann die Schulleitung jedoch keine zufriedenstellende Auskunft über die Verarbeitung der Daten erteilen (gar keine oder nur lückenhaft), kommt sie ihrer Pflicht nicht gewissenhaft nach. An dieser Stelle können Datenschutzbehörden und andere juristische Akteure eingreifen, sodass der Einsatz der Software sanktioniert oder verboten werden kann. Dazu können Sie Beschwerde bei Ihrer Landesdatenschutzbehörde einreichen. Eine Auskunft zu verlangen ist also ein wichtiger erster Schritt.
Zum besseren Verständnis:
Alle Daten, die in einer Software verarbeitet werden, werden auf den eigenen oder angemieteten Servern des jeweiligen Unternehmens gespeichert und/oder verarbeitet. Die Schule darf aber nicht einfach die Daten der Schülerinnen und Schüler an externe Dienstleister weitergeben. Nachdem von den Eltern (oder Schüler.innen über 16 Jahren) das Einverständnis eingeholt wurde, diese Daten überhaupt an Dritte weiterzugeben zu dürfen, müssen Schulen im nächsten Schritt sicherstellen, dass die Daten in guten Händen sind. Viele Dienstleister liefern bereits vorgefertigte Auftragsdatenverartbeitungsverträge mit, aber die Prüfung der Verträge, eventuelle Anpassung und Zustimmung, erteilt am Ende die Schulleitung und garantiert somit, dass sie das Risiko geprüft hat, genau weiß, was mit den Daten der Schülerinnen und Schülern passiert und keine größeren Bedenken hat.
Musterbrief: Anpassen, unterschreiben, abschicken
Kinder stehen unter besonderem Schutz und dürfen bis zur Vollendung des 16. Lebensjahres nicht ohne Zustimmung der Eltern oder Erziehungsberechtigten in die Verarbeitung von Daten einwilligen (Art. 8 DSGVO). Auch die Auskunft über gespeicherte Daten erfolgt somit über die Eltern.
Wir stellen Ihnen einen Brief zur Verfügung, der auf die Auskunft zu den gespeicherten Daten Ihrer Kinder in der Schule angepasst ist.
Wichtige Hinweise zum weiteren Vorgehen finden Sie im Infokasten am Ende dieses Artikels.
=======================================================
[Name und Anschrift des Antragsstellers und der Schule]
[Angabe von Datum und Ort]
Auskunft gemäß Artikel 15 DSGVO
Sehr geehrte Damen und Herren,
gemäß Artikel 15 der Datenschutz-Grundverordnung (DSGVO) verlange ich hiermit Auskunft darüber, ob bei Ihnen personenbezogene Daten über mein Kind – [Vorname + Nachname] – gespeichert sind. Soweit dies der Fall ist, verlange ich Auskunft über die Informationen nach Artikel 15 Absatz 1 und 2 DSGVO.
1. Welche personenbezogenen Daten verarbeiten Sie mein Kind betreffend?
2. Zu welchen Zwecken verarbeiten Sie diese Daten?
3. Woher stammen diese mein Kind betreffenden Daten?
4. Haben Sie diese Daten an Dritte übermittelt oder planen Sie, diese an Dritte zu übermitteln? Wenn ja, an wen, wann und zu welchem Zweck?
5. Wenn personenbezogene Daten an Drittländer oder internationale Organisationen übermittelt wurden, welche geeigneten Garantien haben Sie für die Datenübermittlung vorgesehen? Dies umfasst rechtlich bindende Dokumente, verbindliche interne Datenschutzvorschriften, Verhaltensregeln und Verplichtungen oder andere Zertifizierungsmechanismen die Rechte meines Kindes betreffend, sowie weitere Vorgaben, gemäß Art. 46 DSGVO.
6. Wie sieht ihr Datenlöschkonzept aus? Wie lange werden Sie die Daten meines Kindes verarbeiten?
7. Verarbeiten Sie die mein Kind betreffenden Daten mithilfe einer weiteren automatisierten Entscheidungsfindung? Falls ja, informieren Sie mich bitte mit aussagekräftigen Informationen über die involvierte Logik, sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für mein Kind.
Ich bitte um eine Eingangsbestätigung meines Antrags und um Informationen zu den daraufhin ergriffenen Maßnahmen (gemäß Art. 12 Absatz 3 DSGVO) bis spätestens zum folgenden Datum: [TT.MM.JJJJ]
Bei Nichtbeachtung meiner Forderung werde ich entsprechende Konsequenzen ziehen und mich an eine Datenschutzbehörde wenden. Zudem behalte ich mir weitere rechtliche Schritte vor, die auch die Geltendmachung von Schadensersatzansprüchen nach Artikel 82 DSGVO umfassen.
Mit freundlichen Grüßen
[Datum, Ort, Unterschrift]
[Name]
=======================================================
Wichtige Hinweise zur Verwendung des Musterschreibens
Wir können und dürfen Ihnen keine juristische Rechtsberatung liefern, die z.B. eine anwaltliche Beratung ersetzt, doch wir können Ihnen ein paar Erfahrungswerte mit auf den Weg geben:
Schriftliche Auskunft per Brief: Wir empfehlen, das Schreiben mit der Post (oder per Fax) zu schicken und auch eine postalische Antwort zu fordern. Wenn Sie eine Antwort per E-Mail wünschen, müssen Sie sich ggf. gesondert ausweisen (siehe Punkt 3).
Informationen zum Briefkopf: Tragen Sie sowohl Ihre Adresse als auch die Adresse des Empfängers ein. Der Empfänger ist die Schule (gegebenenfalls vertreten durch externe Datenschutzbeauftragte).
Identifikation des Kindes: Nennen Sie den Namen des Kindes, dessen Daten erfragt werden. Dies ist vor allem wichtig, wenn Sie mehrere Kinder haben, die dieselbe Schule besuchen. Stellen Sie bei mehreren Kindern separate Anfragen. Probleme bei der Identifikation des Kindes sind selten, wenn Sie Namen und Adresse angegeben haben. Treten dennoch Probleme bei der Identifikation auf, ist es womöglich ein Indiz dafür, dass die Behörde auf Zeit spielt. Im Zweifel kann die Authentifizierung über den Pass des Kindes verlangt werden. Sie sind allerdings nicht verpflichtet, mehr Daten zur Verfügung zu stellen als der Schule ohnehin vorliegen, zum Beispiel durch die Angaben bei der Einschulung (Art. 5. Absatz 1c DSGVO). Alle weiteren Daten können Sie schwärzen.
Fristsetzung: Vermerken Sie Ort und Datum in dem Schreiben (üblicherweise unter dem Briefkopf und neben Ihrer Unterschrift). Setzen Sie eine konkrete Frist, bis wann Sie die Antwort erwarten. Die Auskunft sollte zwar sofort erfolgen, doch die Schule hat das Recht auf eine vierwöchige Bearbeitungszeit. Benötigt die Schule mehr als vier Wochen, muss sie dies gut begründen und die Antragstellerin darüber informieren. Mehr als drei Monate dürfen aber nicht überschritten werden (Art. 12 Absatz 3 DSGVO).
Unterschrift: Passiert manchmal im Eifer des Gefechts: Vergessen Sie nicht zu unterschreiben.
Dokumentation: Notieren Sie gewissenhaft alle Daten (Datum des Versands, Ablauf der Frist usw.) und bewahren Sie, nur für den Fall, eine Kopie der Anfrage auf.
Bearbeitung: Schicken Sie dieses Schreiben bitte nicht an Digitalcourage, Verbraucherschutzvereine oder andere Behörden. Nur der Empfänger, also die Schule oder ihre vertretende Stelle, kann diesen Vorgang bearbeiten.
Weitere Informationen
Einige Eltern und Lehrkräfte scheuen sich, diesen Schritt zu gehen, da sie sich nicht mit der Schule anlegen möchten. Das ist auf menschlicher Ebene absolut nachvollziehbar, aber: Es ist Ihr Recht, auf eine vernünftige Datenspeicherung und -verarbeitung zu bestehen. Auch Schulbehörden müssen diesbezüglich ihre Arbeit richtig machen. Sie müssen sich als Elternteil oder Lehrkraft nicht kommentarlos mit Abstrichen in puncto Datenschutz zufriedengeben. Wie Sie sich Gehör verschaffen können, bevor Sie juristisch aktiv werden, erklären wir in unserem Artikel „Datenschutz in der Schule – So setzen Sie sich durch!“ – auch als Broschüre erhältlich.
Jessica Wawrzyniak
Jessica Wawrzyniak ist unsere Medienpädagogin im Team. Sie bringt immer gute Laune und motivierende Worte mit und ist mit ihrer Kommunikationsstärke unser roter Faden im Büro. Die Autorin des Buchs „#Kids #digital #genial“ leitet unsere AG Pädagogik und setzt sich dafür ein, Kindern und Jugendlichen einen mündigen Umgang mit Technik und Medien zu ermöglichen. Auch als Fachreferentin in Einrichtungen aller Art ist sie gefragt.
E-Mail: jessica.wawrzyniak
PGP: 156E CC5A F461 692B (Schlüssel)
Mastodon:
@kidsdigitalgenial@digitalcourage.social
Twitter:
@digital_genial