Wenn Schüler zu Hause und Daten in der EU bleiben müssen

Homeschooling klappt am besten mit funktionierender Videokonferenztechnik. Diese scheitert oftmals daran, dass Schulen mit datenschutzrechtlichen Bedenken alleine gelassen werden. Lösungen müssen her!

Jan Max Wettlaufer,

Dr. Brigitta Varadinek,

Victoria Krumhoff

Freitag, der 12. März 2021

Um was geht es?

Wegen der Maßnahmen gegen die Corona-Pandemie können viele Schüler zum Lernen nicht mehr in die Schule. Um ihre Schüler trotzdem unterrichten zu können, setzen viele Schulen auf verfügbare Videokonferenz-Tools. Eines dieser Tools – nämlich Microsoft Teams – setzte auch die Brodowin-Grundschule in Lichtenberg ein.

Dafür gab es kein Lob, sondern eine Verwarnung der Berliner Datenschutzbeauftragten. Es sei keine wirksame Einwilligung der Eltern eingeholt worden und der Einsatz von Microsoft Teams sei ohnehin nicht datenschutzkonform möglich. Die Brodowin-Grundschule reagierte verständlicherweise verschnupft und trat in eine Art „Digitalstreik“ – die Lehrer sind anscheinend nicht einmal mehr über ihre (privaten) Mobiltelefone erreichbar.

Und was genau ist das Problem mit Microsoft Teams, Zoom und Google Meet?

Die von der Berliner Datenschutzbeauftragten im Juli 2020 veröffentlichten „Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenzdiensten“ wurden am 18. Februar 2021 aktualisiert. In den Hinweisen werden verbreitete Videokonferenz-Tools nach einem Ampelsystem klassifiziert. Bei einer grünen Ampel wurden „bei einer Kurzprüfung“ keine Mängel gefunden. Eine gelbe Ampel steht für Mängel, die aber mit überschaubarem Aufwand beseitigt werden können. Eine rote Ampel wurde vergeben, wenn nach Ansicht der Berliner Datenschutzbeauftragten eine rechtskonforme Nutzung des Dienstes ausgeschlossen ist und die Beseitigung der Mängel „wesentliche Anpassungen der Geschäftsabläufe erfordert“.

Die derzeit bekanntesten und gängigsten Tools von US-Anbietern wie Microsoft Teams, Zoom und Google Meet sind allesamt mit einer roten Ampel versehen. Angeprangert werden vor allem Mängel in den Verträgen zur Auftragsverarbeitung. In denen müssen die Anbieter nach den Vorgaben von Art. 28 DSGVO die Details der Verarbeitung von personenbezogenen Daten regeln. Insbesondere darf die Verarbeitung nur „nach Weisung“ des Auftraggebers (hier die Schulen) erfolgen. Die Berliner Datenschutzbeauftragte kritisiert, dass bei den genannten Diensten häufig personenbezogene Daten auch zu eigenen Zwecken der Anbieter verarbeitet werden dürfen (z. B. für Nutzungsanalysen) bzw. eine solche Verarbeitung zu eigenen Zwecken nicht eindeutig ausgeschlossen ist.

Ein Hauptproblem sieht die Berliner Datenschutzbeauftragte zudem darin, dass personenbezogene Daten in Drittländer übermittelt werden können, ohne dass die Voraussetzungen der DSGVO erfüllt sind. Hier spielt insbesondere eine Rolle, dass die Übermittlung von personenbezogenen Daten in die USA seit der Schrems II-Entscheidung im vergangenen Jahr nicht mehr auf das EU-US-Privacy Shield gestützt werden können.

Und die Schulen sollen jetzt auch noch Datenschutz prüfen?

Die Schulen sind datenschutzrechtlich Verantwortliche im Sinne der DSGVO. Dies führt dazu, dass jede Schule selbst für die Einhaltung des Datenschutzes verantwortlich ist und die Einhaltung nachweisen können muss. Sie müssen daher selbst prüfen und entscheiden, welches Videokonferenz-Tool sie unter welchen Voraussetzungen einsetzen dürfen.

Klare und verlässliche Ansagen gibt es hier für Berliner Schulen also auch ein Jahr nach dem ersten Lockdown nicht. Konkrete Empfehlungen und Hilfestellungen haben die Berliner Schulen soweit ersichtlich bislang weder von den Schulämtern der Bezirke noch von der Berliner Senatsverwaltung erhalten.

Die Hinweise zum datenschutzkonformen Einsatz von digitalen Lernplattformen durch Schulen vom 3. April 2020 der Berliner Datenschutzbeauftragten listen auf zwei Seiten die datenschutzrechtlichen und technischen Mindestanforderungen auf. Dass ein Berliner Schulleiter für eine detaillierte Einzelfallprüfung der in Frage kommenden Videokonferenz-Tools häufig nicht das rechtliche und technische Knowhow und erst recht nicht die Zeit haben wird, erkennt auch die Berliner Datenschutzbeauftragte. In einer Pressemitteilung vom 22. Januar 2021 sieht sie primär die Senatsverwaltung und die Aufsichtsbehörden in der Pflicht. Diese müssten konkrete Vorschläge machen, die dann anschließend von der Datenschutzbeauftragten geprüft werden.

Dass das kein leichtes Unterfangen ist, zeigt die landeseigene Unterrichtsplattform „Lernraum Berlin“. Wie man hört, waren die Server hier regelmäßig überlastet. Zudem ließ auch hier ein „Placet“ der Berliner Datenschutzbeauftragten auf sich warten.

Bedenken first, Digitalisierung second?

Der Berliner Datenschutzbeauftragten ist zwar zuzustimmen: „Datenschutz ist ein Grundrecht und eine notwendige Grundlage für ein vertrauensvolles und sicheres Arbeiten im digitalen Raum.“ Doch bis die Berliner Senatsverwaltung klare Vorgaben formuliert hat und den Schulen datenschutzkonforme Möglichkeiten anbietet, darf nach unserer Auffassung das Datenschutzrecht engagierte Lehrer und Schulleiter nicht zur Untätigkeit verurteilen. Denn wer nichts macht, macht zwar nichts falsch, geholfen ist damit aber auch niemandem – erst recht nicht den Schülern.

Wer die Situation mit dem rechten Augenmaß betrachtetm, sollte zu dem Ergebnis kommen, dass zumindest die „einfache Nutzung“ einer Videoplattform – d. h. ohne Aufzeichnung und der Möglichkeit für die Schüler, sich nur mit Vornamen und Pseudonym anzumelden – auch ohne umfangreiche und abschließende Prüfung möglich sein muss, solange die Kinder noch nicht ganz zurück in die Schulen dürfen. Die folgenden Punkte sind dabei aber auf jeden Fall im Blick zu halten:

Es gibt auch datenschutzkonforme Videoplattformen!

Die Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenzdiensten enthalten auch Dienste, die die Berliner Datenschutzbeauftragte für datenschutzkonform hält. Die kostenlosen Alternativen zu Microsoft Teams, Zoom und Google Meet sind zugegebenermaßen nicht immer ebenso komfortabel und schnell. Die kostenpflichtigen (aber keineswegs übermäßig teuren) Dienste machen dagegen konkrete Zusagen zur Verfügbarkeit. Die hier verfügbaren Angebote zumindest auszuprobieren und auf ihre Tauglichkeit zu prüfen, ist nicht mit übermäßigem zeitlichem Aufwand verbunden.

Fragt die Eltern!

Die Berliner Datenschutzbeauftragte ist der Auffassung, dass Lernplattformen und Videokonferenzdienste mit Einwilligung der Eltern (für ihre Kinder) möglich sein soll. Schüler ab 16 Jahren können entsprechend Art. 8 Abs. 1 DSGVO grundsätzlich auch selbst der Nutzung ihrer Daten zustimmen.

Ob der Einsatz eines Videokonferenzdienstes für Unterrichtszwecke auch während Pandemiezeiten eine Einwilligung erfordert, ist allerdings zumindest fraglich. Eine Verarbeitung ist gemäß Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO auch rechtmäßig, wenn die Verarbeitung zur Wahrnehmung von Aufgaben im öffentlichen Interesse erforderlich ist. Zumindest in Zeiten der Pandemie sprechen gute Gründe dafür, dass für die Erfüllung von „schulbezogenen Aufgaben“ (§ 64 Abs. 1 Schulgesetz Berlin) – und der Kern von Schule sind nicht Hausaufgaben, sondern der Unterricht – der Einsatz von Videokonferenzdiensten erforderlich ist. Das bei der Beurteilung der Erforderlichkeit auch die Besonderheiten der Pandemie-Maßnahmen zu berücksichtigen sind, zeigen zwei kürzlich ergangene Eilentscheidungen des OVG Kiel bzw. des OVG Münster zur (tendenziell deutlich eingriffsintensiveren) Prüfungsüberwachung an Universitäten über das Internet.

Zudem ist die Einwilligung eine „schwierige“ Rechtsgrundlage, weil die DSGVO hohe Anforderungen an deren Freiwilligkeit stellt. Für Schüler kann die Teilnahme am digitalen Unterricht nicht verpflichtend gemacht werden, wenn die Datenverarbeitung auf eine Einwilligung gestützt wird. Es müssen den Schülern stets gleichwertige alternative Lernmöglichkeiten angeboten werden, was während der (Teil-)Schließung der Schulen schwierig bis unmöglich sein dürfte.

Trotzdem ist es sinnvoll, die Eltern so früh wie möglich ins Boot zu holen. Den Datenschutzbehörden ist die schwierige Situation, in der sich die Schulen befinden, durchaus bewusst. Bislang sind sie, soweit ersichtlich, nur (so wie z. B. im Fall der Brodowin-Grundschule) auf Beschwerden von Eltern tätig geworden.

Denkbar scheint auf Grundlage einer Einwilligung auch der Einsatz von Diensten von US-Anbietern. Nach Art. 49 Abs. 1 lit. a DSGVO ist eine Übermittlung in ein Drittland auch ohne die sonst notwendigen Garantien und ggf. zusätzlichen Schutzmaßnahmen möglich, wenn die betroffene Person über die Risiken der Übermittlung vorab unterrichtet wurde und auf dieser Grundlage in die Drittlandsübermittlung ausdrücklich einwilligt. Problematisch ist allerdings, dass Behörden sich auf diese gemäß Art. 49 Abs. 3 DSGVO nicht berufen können, wenn sie in Ausübung ihrer hoheitlichen Tätigkeit Daten in Drittstaaten übermitteln.

Informiert euch und die Schüler!

Die Schüler und deren Eltern sind ohnehin gemäß Art. 13, 14 DSGVO über die Datenverarbeitung bei der Nutzung von Videodiensten zu informieren. Diese Gelegenheit kann dazu genutzt werden, sich klar zu machen, wie sensibel die Daten, die hier übermittelt werden, wirklich sind und dies ins Verhältnis zu setzen zu dem, was und wie Schüler Privates heutzutage selbstverständlich im digitalen Bereich teilen. Angeblich nutzen 97 % aller Schüler ohnehin den „Datenschutz-Albtraum“ WhatsApp.

Hierbei geht es nicht darum, zu relativieren nach dem Motto: Das Kind ist ohnehin schon in den Brunnen gefallen. Denn Digitalisierung der Schulen ist mehr, als ein Smartboard in die Klassenzimmer zu hängen und den Schülern ein Tablet in die Hand zu drücken. Kinder und Jugendliche sollen auf ein selbstbestimmtes Leben in einer durchdigitalisierten Welt vorbereitet werden. Wenn die Pandemie-Maßnahmen der Anlass für die Erkenntnis sind, dass Datenschutz nicht heißt, nichts zu machen, ist das ein guter Schritt in die richtige Richtung.