Datenschutz gibt Schulen Digitalempfehlungen

Man sieht einen Ausschnitt aus einem Informationsschreiben des Thüringer Datenschutzbeauftragten Lutz Hasse für Schulen: Datenschutz Schule Digitalempfehlungen
Ausschnitt aus einem Informationsschreiben des Thüringer Datenschutzbeauftragten Lutz Hasse für Schulen

Es hat gedauert, aber nun ist es so weit. Thüringens Datenschutzbeauftragter Lutz Hasse hat den Schulen des Landes konkrete Empfehlungen zur Rechtskonformität von einem halben Hundert pädagogischer Anwendungen gegeben. Damit liegt eine erste große Aufstellung von Anwendungen vor, die Lehrer:innen unbedenklich im Unterricht nutzen können. Verlangt wird eine solche Orientierung schon lange. Grund für Hasses Intervention war die Notlage der Schulleiterinnen und Schulleiter während der Corona-Pandemie. „Wir haben Anfragen von Schulen bekommen – und diese Anfragen haben wir gespiegelt und an alle Schulen in Thüringen herausgegeben“, sagte Hasse zu Bildung.Table. „Das bedeutet, dass die Thüringer Schulen etwa 45-50 Produkte kennen, die aus datenschutzrechtlicher Sicht geeignet sind – oder eben nicht.“ Allerdings gibt es strenggenommen keine zusammenhängende öffentliche Liste. Die Angaben seien nur für den Gebrauch in der Schule, betonte Hasse. 

Bildung.Table konnte einige der Empfehlungen einsehen. „Die Nutzung ist auf der Grundlage des aktuellen Wissensstands bei Beachtung der genannten Kriterien derzeit aus Sicht des TLfDI [Datenschutzbeauftragter Thüringen, Red] als zulässig anzusehen“, heißt es zum Beispiel in einem der Papiere. Unter anderem haben Hasses Mitarbeiter die App „Anton“ und die Anwendung „Mundo“ auf ihre Übereinstimmung mit der Datenschutz-Grundverordnung (DSGVO) unter die Lupe genommen.

Die Whitelist von Lutz Hasse ist keine Liste und auch nicht öffentlich

Zuletzt hatte der ehemalige Innenminister Thomas de Maizière (CDU) scharfe Kritik an den Datenschutzbeauftragten der Länder geübt, weil sie sich nicht auf eine einheitliche Empfehlungen für Schulen einigen könnten. Auch die Zusammenstellung von Lutz Hasse dürfte die Kritiker des Datenschutzes nicht vollständig zufrieden stellen. Denn die Thüringer Hinweise sind nur für den Dienstgebrauch der Schulen gedacht. Im Gespräch mit Bildung.Table wies der Sprecher der Arbeitskreise für Bildung und Medienkompetenz der Datenschutzkonferenz darauf hin, dass negative Empfehlungen gerade bei den großen US-Anbietern schnell zu Problemen führten. 

Die bisher weitestgehende Liste hatte Berlins Datenschutzbeauftragte Maja Smoltczyk über Videosysteme veröffentlicht. Smoltczyk, deren Amtszeit heute endet, bekam dafür Kontra gerade von US-Konzernen. Sie gab freilich nicht nach. Lutz Hasse hatte, ehe er seine gesammelten Hinweise herausgab, ein ähnliches Erlebnis. „Ich habe mich zu einem Produkt von Google mal aus dem Fenster gelehnt und gesagt: ˋDas ist jetzt aber komplett datenschutzwidrig, das verwenden wir in Thüringen nicht mehr.ˋ Und dann haben sie natürlich drei Tage später die Kronjuristen für Player Deutschland an der Backe“, erzählte Hasse vergangenen Donnerstag auf der Buchmesse in Frankfurt. „Es erfordert unheimlich viel Aufwand, sich dem Widerstand, den man dann bekommt, zu widersetzen und darzulegen, dass man selber Recht hat.“ Deswegen sei er nun den Weg gegangen, nur eine schulöffentliche Liste herauszugeben, „die ja auch ihren Zweck erfüllt.“

Hasses Schilderung verweist auf das grundsätzliche Problem: Die Datenschutzbehörden der Länder sind personell und technisch zu schlecht ausgestattet, um derartige Auseinandersetzungen gegen Milliarden-Konzerne durchstehen zu können. „Es wäre wichtig, wenn die Landesdatenschützer besser ausgestattet wären und eine sichere Rechtsgrundlage hätten“, sagte Hasse Bildung.Table. „Dann wäre das am Ende auch für Schulen einfacher.“

Dass Nutzerdaten an Dritte fließen ist manchmal offensichtlich

Wie kritisch Hasses Bemerkungen ausfallen, konnte Bildung.Table begutachten. In einem der Schreiben für Thüringens Schulen heißt es über eine US-Anwendung: „Wie ersichtlich ist, sind die rechtlichen Hürden und der Aufwand für den Einsatz von xxxxxx so hoch, dass gegenwärtig eine Nutzung durch Schulen unmöglich ist.“ Zu dem Schluss kam der Datenschutzbeauftragte in diesem Fall, weil „personenbezogene Nutzerdaten in ein außereuropäisches Land (hier USA) übertragen werden, für das kein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art 45 Abs. 3 DS-GVO vorliegt.“ Dass bei dem US-Instrument Nutzerdaten auch an Dritte fließen, so steht es in der Information für die Schulen, sei für jedermann einfach nachweisbar. Eine dem Schreiben beigefügte Untersuchung zeige die Einbindung einer „Vielzahl von Tracking-Instrumenten von Drittanbietern, die für den Zweck der Plattform (Bereitstellung von Informationen vom Nutzer für andere Nutzer) nicht erforderlich sind.“

Hasse machte gegenüber Bildung.Table nun Hoffnung darauf, dass die Datenschutzbehörden bei den US-Anbietern auf dem Weg zu einer einheitlichen Meinung seien. Er habe auch mit der Kultusministerkonferenz den Schulterschluss gesucht. Ergebnis ist, dass es mit einem amerikanischen Anbieter weitere Gespräche geben soll. „Die Gespräche sind aber leider nicht zielführend,“ berichtete Hasse seine bisherigen Erfahrungen. Auf der Frankfurter Buchmesse empfahl er Anbietern, frühzeitig mit den Datenschutzbeauftragten zusammenzuarbeiten. Hasse nannte dafür als gutes Beispiel die Brandenburger „Schulcloud“, wo das gelungen sei. Und als schlechtes Beispiel Microsoft. Landesdatenschützer Stefan Brink aus Baden-Württemberg habe zusammen mit dem Konzern aus den USA nachmessen wollen, welche Daten für die Entwicklung des Cloud- und Office-Systems Microsoft MS 365 fließen. „Dann finden wir in Gesprächen mit großen Playern nicht heraus, was damit gemeint ist,“ sagte Hasse auf der Messe. „Das ist der Knackpunkt.“

Wütende Ausfälle gegen Datenschützer Hasse

Für diese Äußerung wurde Datenschützer Hasse nun scharf kritisiert. „Datenschutzbeauftragte deutscher Bundesländer erwarten allen Ernstes, dass ein Tech-Weltkonzern seine Betriebsgeheimnisse mit ihnen teilt,“ hieß es in einem Online-Portal. Kooperierten die Konzerne nicht, rieten Datenschutzbeauftragte davon ab, Produkte zu nutzen, die millionenfach selbstverständlich im Einsatz seien. „Wohlgemerkt: Es geht dabei nicht um festgestellten Missbrauch von Schülerdaten. Den gibt es nämlich nicht“, war der Kommentator überzeugt. Hasse widersprach dem freundlich, aber bestimmt. „Zur Frage, ob tatsächliche Rechtsverstöße vorliegen, empfehle ich die Lektüre des aktuellen Gutachtens meines Kollegen aus Baden-Württemberg, das eine klare Sprache spricht“. 

Datenschutz wird sicher auch in den Koalitionsverhandlungen Thema werden. Die SPD-Vorsitzende Saskia Esken hatte Listen mit erlaubten Anwendungen verlangt. „Sie können mir glauben, dass ich mit dem Bundes-Datenschutzbeauftragten Ulrich Kelber und seinen Länderkollegen in einem intensiven Gespräch bin, was da machbar wäre.“ Christian Füller

Mehr zum Thema

    Ladestation für erschöpfte Lehrer gesucht
    Nach den Empfehlungen der Ständigen Wissenschaftlichen Kommission zum Lehrermangel ging es hoch her in Medien und Twitterlehrerzimmer. Gesucht wird für erschöpfte, aber nicht ohnmächtige Lehrer: ein Ort, an dem sie sich aufladen können. Das Portal Edusiia will das sein. weiterlesen →
    Bild von Füller Christian
    von Christian Füller
    Nature-Studie entdeckt große Corona-Lernlücke
    Schüler hätten enorm große Lernlücken während der Pandemie aufgebaut, findet ein Oxford-Forscher für das renommierte Magazin Nature heraus. Aber: Eine Untersuchung aus Baden-Württemberg, die der These diametral widerspricht, berücksichtigt er in seiner Meta-Studie nicht. weiterlesen →
    Bild von  Table.Redaktion
    von Table.Redaktion