Der bundesweite Corona-Lockdown betrifft vor allem auch die Schulen. Ob und in welcher Form Schulen bereits vor Beginn der Weihnachtsferien komplett geschlossen werden, entschließen die Bundesländer dabei individuell.

Vom Grundsatz her sollen die Kinder aber bereits ab dem 16. Dezember und dann bis mindestens zum 10. Januar zu Hause bleiben, die Präsenzpflicht wird insofern ausgesetzt. Für die Zeit bis zum Beginn der Weihnachtsferien bedeutet dies die Rückkehr zum vielbesprochenen “Lernen auf Distanz”. Obwohl vielerorts hiermit im Frühjahr während des Lockdowns erste Erfahrungen gemacht wurden, stellt dies Lehrende, Schülerinnen und Schüler (SuS) und Eltern vor große Herausforderungen.

Der Austausch findet dabei über E-Mails, Social-Media-Kanäle, Videoplattformen oder verschiedene Lernportale statt. Wir möchten einen kurzen Überblick darüber geben, welche datenschutzrechtlichen Aspekte beim sog. Lernen auf Distanz beachtet werden müssen, welche sicheren Austauschmöglichkeiten bestehen und welche Lernportale den Anforderungen des Datenschutzes am ehesten gerecht werden.

Im Zuge der ersten Welle der Corona-Pandemie haben viele Aufsichtsbehörden zur Aufrechterhaltung des Schulbetriebs ein bis zwei Augen beim Thema Datenschutz zugedrückt. Damit kann nun nicht mehr gerechnet werden. Der Landesdatenschutzbeauftragte Thüringens wollte bereits im Juni mit Bußgeldern bis zu 1.000 € gegen Lehrende vorgehen . Die Schulen und die Lehrenden haben sich auch beim Lernen auf Distanz an die gesetzlichen Vorgaben zu halten. Verschiedene Themen sind insofern zu beachten, von denen wir nachfolgend einige – aus unserer Sicht wesentliche – besprechen möchten:

Sicherer Datenaustausch zwischen Lehrern, Schülern & Eltern

Unerlässlich ist es, Daten mit den Schülerinnen und Schülern (SuS) auszutauschen. Unter Umständen können hier auch besonders sensible Daten anfallen, die besonders schützenswert sind. Insofern müssen entsprechende Maßnahmen für die Sicherheit der Daten getroffen werden.

Im Folgenden betrachten wir einige Möglichkeiten zum Datenaustausch und Probleme, die in dem Zusammenhang auftreten können:

1. Datenaustausch per E-Mail

  •  Verschlüsselung/ Passwortschutz

E-Mails werden während des Transports durch das Internet grundsätzlich standardmäßig verschlüsselt, sodass unbeteiligte Personen die die versandten E-Mails nicht ohne weiteres mitlesen können. Die Transportverschlüsselung weist jedoch verschiedene Angriffsflächen auf, sodass besonders beim Versand sensibler Daten (z. B. Gesundheitsdaten, Ergebnisse von Notenkonferenzen oder Ordnungsmaßnahmen) weitergehende Maßnahmen zu treffen sind.

Zur Absicherung von sensiblen Inhalten sind Dateianhänge mit einem Passwortschutz zu versehen. Hierfür gibt es eine Vielzahl an kostenlosen Anwendungen (z.B. 7-ZIP), die es den Anwendern ohne besondere IT-Kenntnisse ermöglichen, einzelne Dateien / mehrere Dateien oder Dokumente zu einem Archiv zusammenzufügen. Eine weitere Möglichkeit bietet die Passwort-Funktion von Microsoft Office. Die Mitteilung des Passwortes muss zwingend auf einem anderen Kommunikationsweg (Telefon, SMS, Messenger, FAX, schriftlich, etc.) erfolgen.

  • BCC

Wenn E-Mails an mehrere Empfänger versendet werden, ist die „Blind Carbon Copy“ (“Bcc…”) Funktion zu nutzen. Beim „Carbon Copy Versand“ (“Cc…”) können alle Empfänger die Adressen der restlichen Empfänger einsehen. Zum einen ist dies problematisch, weil die SuS oder deren Eltern untereinander unter Umständen nicht ihre E-Mail- Adressen teilen wollen. Zum anderen kann dies aus Datenschutzsicht zu einer Datenpanne führen. Solche wurden in der Vergangenheit vereinzelt mit Bußgeldern belegt (vgl. hier).

Neben dem “Bcc…”-Versand von E-Mails ist darauf zu achten, dass Lehrende keine privaten E-Mail- Adressen für die Kommunikation verwenden (oder eine Weiterleitung auf ein privates E-Mail-Konto einrichten). Sofern keine eigenen E-Mail Server betrieben werden, sondern dritte Provider zum Einsatz kommen (GMX, Web.de, etc.), sind datenschutzrechtliche Verträge zu schließen, um die Rechtmäßigkeit der Datenweitergabe herzustellen. Grundsätzlich spricht nichts gegen den Austausch von Daten via E-Mail, sofern folgende Aspekte berücksichtigt werden:

  • Keine Verwendung privater E-Mail Accounts
  • Nutzung der “Bcc…”-Funktion
  • Schutz sensibler Inhalte mit passwortgeschützten Dateien oder Archiven

2. Datenaustausch per Cloud

Der Datenaustausch via Cloud stellt eine einfache, komfortable und zuverlässige Möglichkeit zum Datenaustausch dar. Sofern in der Schule IServ oder eine vergleich­bare Plattform genutzt wird, sollte diese für den Datenaustausch verwendet werden.

Von Anbietern, bei denen der Datenaustausch über die USA oder andere datenschutzrechtlich kritische Länder geht, ist Abstand zu nehmen.

3. Messenger-Dienste

Immer wieder problematisch ist die Frage, welche Kommunikationskanäle ausreichenden Datenschutz und Datensicherheit bieten. WhatsApp, Facebook und Instagram gelten als Datensammler. Deren Nutzung ist im Schulkontext in einigen Bundesländern, wie z.B. in Hamburg, untersagt. Die Schulplattformen wie IServ und Co. bieten hier entsprechende Alternativen.

4. Online-Lernplattformen

Online-Lernangebote gibt es viele. Bei der Auswahl sollten folgende organisatorische und datenschutzrechtliche Punkte in die Auswahl mit einbezogen werden:

  • Welche Online-Plattformen erleichtern den Austausch zwischen Lehrern, SuS und deren Eltern?
  • Wie berücksichtigt man die unterschiedliche technische Ausstattung der Schule und insbesondere der SuS zuhause (Hardware, IT-Infrastruktur, etc.)?
  • Welche Lerninhalte können in digitaler Form überhaupt vermittelt werden?
  • Werden durch die Applikation (freiwillige) Daten erfragt, sollte dem Grundsatz der Datensparsamkeit gefolgt, d.h. so wenige Angaben wie möglich gemacht werden.

Im Allgemeinen sollten Eltern die Privatsphäre ihrer Kinder so gut es geht schützen. Das heißt, sie sollten kontrollieren, welche Lernprogramme genutzt werden und Kinder bei der Installation und Anmeldung unterstützen.

Die Schule hat als für die Datenverarbeitung Verantwortliche zu gewährleisten, dass der beauftragte Anbieter die datenschutzrechtlichen Anforderungen erfüllt.

Damit eine Online-Lernplattform datenschutzgerecht in Schulen eingesetzt werden kann, müssen technische und organisatorische Maßnahmen umgesetzt werden, ein besonderes Augenmerk sollte dabei auf eine möglichst datensparsame Ausgestaltung gerichtet werden:

  • Einrichtung pseudonymisierte Zugänge für SuS.
  • Lehrerinnen und Lehrer haben ausschließlich auf die personenbezogenen Daten der von ihnen unterrichteten SuS Zugriff.
  • Für die Lernplattform ist ein Löschkonzept erforderlich.
  • Aufbau verschlüsselter Verbindungen (TLS 1.2 oder neuer).
  • Lokal gespeicherte Daten müssen durch technische und organisatorische Maßnahmen vor dem Zugriff durch Dritte geschützt werden.

Weiterführende Hinweise zu den datenschutzrechtlichen Anforderungen für Online-Lernplattformen sind in der von der Datenschutzkonferenz der unabhängigen Aufsichtsbehörden des Bundes und der Länder gemeinsam verabschiedeten „Orientierungshilfe – Online-Lernplattformen im Schulunterricht“ (Stand 26. April 2018) zu finden, die unter hier aufgerufen werden kann.

5. Videokonferenztools

Ist ein persönlicher Unterricht nur noch eingeschränkt oder gar nicht möglich, kommen auch Videokonferenztools als Alternative in Betracht. Folgende Beurteilungs­kriterien gelten bei der Auswahl eines solchen Tools:

  • Tools aus Deutschland oder der EU bzw. dem Europäischen Wirtschaftsraum sind zu bevorzugen. Diese unterliegen unmittelbar den Vorgaben der DSGVO (bzw. des KDG oder des DSG-EKD). Die Datenübermittlung an oder in ein Drittland oder an eine internationale Organisation ist nur in Ausnahmefällen zulässig.
  • Mit Anbietern von Video- und Online-Konferenzdiensten ist ein Vertrag zur Auftragsverarbeitung abzuschließen. Ferner müssen die Angaben zu technischen und organisatorischen Maßnahmen sowie zu eingesetzten Subunternehmern dokumentiert werden.
  • Das eingesetzte Tool muss eine sog. Ende-zu-Ende-Verschlüsselung anbieten und diese ist zu nutzen.
  • Die Aufnahmefunktionen, die das Tool bietet sind nicht zu nutzen und soweit möglich zu deaktivieren.
  • Die Anmeldung hat so datensparsam wie möglich zu erfolgen. Im Idealfall ver­sendet der Lehrende einen Link an die SuS per Mail. Diese melden sich mit Vor­namen und Anfangsbuchstaben des Nachnamens an (Holger B. oder Sebastian E.)
  • Logfiles sollten nur erstellt werden, soweit diese erforderlich sind. Diese können auch für die Fehlerbehebung durch den Dienstleister notwendig sein.

Bei vielen Tools ist es notwendig, die Datenschutzeinstellungen richtig zu konfigurieren, um einer möglichen unzulässigen Datenverarbeitung vorzubeugen.

Es ist unbedingt darauf zu achten, dass nur für das Online-Meeting relevante Informationen zu sehen sind (insbesondere bei Screen-Sharing). Es empfiehlt sich, unnötige Inhalte und Fenster zu schließen und einen separaten Desktop einzurichten, auf dem keine Dateien oder Verknüpfungen zu sehen sind.

Den SuS sollte es freigestellt werden, ihre Kamera aktiviert oder deaktiviert zu las­sen. Gerade wenn die Teilnahem aus dem privaten Lebensumfeld (Wohn- oder Kinderzimmer) erfolgt, können alle Teilnehmer Einblick in dieses nehmen. Alter­nativ sollte, wenn es das Tool anbietet, der Hintergrund verzerrt werden. Neben den datenschutzrechtlichen Aspekten soll hierdurch auch einer Stigmatisierung begegnet werden.

Der Zutritt zur Videositzung ist durch den Lehrenden für jeden Teilnehmer freizu­geben. Personen ohne passende Teilnehmerdaten ist der Zutritt zu verwehren.

Vor der ersten Nutzung sind die Teilnehmenden entsprechend zu informieren und zu sensibilisieren.