Erst kürzlich war in der Tagespresse zu lesen, dass Lehrer im Düsseldorfer Stadtteil Kaiserwerth aus Gründen des Datenschutzes Zeugnisse handschriftlich verfassen. An Schulen in Rheinland Pfalz sollen Lehrer jetzt eine datenschutzrechtliche Verpflichtung für den Einsatz auf privaten Endgeräten unterschreiben. Warum die geforderte Zusicherung in der Praxis kaum funktionieren wird und warum das den Lehrern gegenüber auch verdammt unfair ist.
Der Inhalt im Überblick
Das Problem mit der Datensicherheit
In unserer digitalisierten Welt gilt der Einsatz von Laptops, Tablets und auch Smartphones im Arbeitsalltag als völlig normal. Dabei ist nicht verwunderlich, dass auch Lehrer Zeugnisse, Berichte, Klassenbücher oder ähnliches auf Computern anlegen, pflegen und diese auch versenden oder ausdrucken.
Der Einsatz solcher Geräte birgt aber naturgemäß ein höheres Risiko für den Betroffenen. Abgelegte Dateien sind schneller versehentlich gelöscht, als dass eine Akte weggeworfen wird. Der Zugriff eines Unberechtigten auf eine E-Mail ist leichter, als der Zugriff auf verschickte Briefe. Ein digitales Dokument kann wesentlich einfacher verfälscht werden, als ein analoges Dokument.
Um diesem erhöhten Risiko Rechnung zu tragen, hat der Verantwortliche nach Art. 32 DSGVO unter anderem unter Berücksichtigung der unterschiedlichen Eintrittswahrscheinlichkeit und der Schwere des Risikos für die Rechte und Freiheiten des Betroffenen entsprechende technische und organisatorische Maßnahmen zu treffen.
Selbst große Unternehmen mit eigener IT-Abteilung haben damit teilweise schon Schwierigkeiten. Für Schulen, die oft kaum genug Geld haben überhaupt moderne IT anzuschaffen, stellt das aber eine nahezu unüberwindbare Hürde dar.
Sind handschriftliche Zeugnisse die Lösung?
Man kann es sich denken…wohl kaum. Neben den Zeugnissen kommt es an Schulen und bei Lehrern zu weit mehr Verarbeitungen personenbezogener Daten von Schülern und auch deren Eltern. Das kann für Eltern auch durchaus komfortabel sein. So könnten Lehrer Elternabende über SMS oder E-Mail organisieren oder Eltern Krankmeldungen der Kinder digital übermitteln.
Selbst wenn sich die Problematik auf Zeugnisse beschränken würde, wäre die Umsetzung ein Graus. Allein der Zeitverlust wäre immens und sind wir ehrlich, bei so mancher Handschrift ist man froh über ein digitales Dokument. Uns sei dieser kleine Seitenhieb verziehen.
Selbst wenn man den Lehrern die Schulcomputer für das Verfassen von Zeugnissen zur Verfügung stellt, ist das Problem nicht gelöst. Bei aktuellem Bestand, hatten die Lehrer der Düsseldorfer Schule ausgerechnet, dass die bei etwa zwei Stunden pro Zeugnis etwa sechs Monate für die Fertigstellung aller Zeugnisse bräuchten. Je nach Tippgeschwindigkeit ist das bei ausformulierten Grundschulzeugnissen schon sportlich bemessen.
Das Formular aus Rheinland-Pfalz
Auf das Verpflichtungsformular sind wir durch einen Tweet von Thomas Mann aufmerksam geworden. Was Lehrer darin alles zusichern sollen, erfordert nicht nur überdurchschnittliche IT-Kenntnisse, sondern auch einiges an Datenschutzkompetenz.
Zugesichert werden soll insbesondere:
- Die Bestimmungen der europäischen Datenschutz-Grundverordnung und die sonstigen Vorschriften über den Datenschutzes zu beachten,
- lediglich Daten jener Schülerinnen und Schüler zu verarbeiten, die man selbst unterrichtet oder deren Klassenleiterin oder Klassenleiter man ist,
- sicherzustellen, dass kein Zugriff auf personenbezogene Daten durch Dritte erfolgen kann, bzw. dass Daten von Schülerinnen und Schülern Dritten nicht zugänglich gemacht werden,
- sicherzustellen, dass keine Datenübermittlung an Dritte erfolgt,
- die Geräte bei und nach ihrer Verwendung vor unrechtmäßiger Nutzung zu schützen,
- Daten unverzüglich nach Abschluss der Aufgabe, bzw. Spätestens nach Ablauf des Schuljahres zu löschen,
- und durch regelmäßige Datensicherungen zu gewährleisten, dass auch bei einem Ausfall eines Gerätes die Wiederherstellung der Daten gewährleistet werden kann.
Das ist unfair und hilft überhaupt nicht
Bei allem Verständnis für mit dem Datenschutz überforderte Schulen und Schulleitungen, sollten Probleme nicht einfach auf die Lehrer abgewälzt werden. Vielmehr wäre es Aufgabe der Schule eine solche IT Umgebung zu schaffen, in der Lehrer Ihre Aufgaben auch unter Einsatz von Computern zeitgemäß und ohne zusätzliche Schwierigkeiten erbringen können.
Weil aber auch das aus Kostengründen nur schwierig umzusetzen sein wird, sind vor allem die Länder gefordert. Immer wieder wird über die Digitalisierung von Schulen und das mangelnde Datenschutzverständnis unserer Kinder diskutiert. Aber können wir wirklich erwarten, dass unsere Kinder einen verantwortungsvollen Umgang mit IT lernen, wenn wir es nicht einmal schaffen unseren Lehren ein ordentliches digitales Umfeld zu schaffen?
Wir freuen uns auf eine rege Diskussion und mögliche Lösungsvorschläge in den Kommentaren.
Das ist keine Besonderheit RLPs. In Schleswig-Holstein gibt es ähnliche Formulare für den Einsatz privater IT schon lange, die Inhalte ergeben sich aus § 14 SchulDSVO https://www.datenschutzzentrum.de/uploads//schulen/rechtsvorschriften/SchulDSVO_Juli2018.pdf Diese hat in § 15 auch Regelungen zur persönlichen Löschpflicht. Übrigens alles in Abstimmung mit dem Landesbeauftragten für Datenschutz.
„Das ist unfair“ ist kein Argument zu der Frage, ob der Dienstherr seine Beamten wirksam verpflichten kann…
Letztlich ist es, wie Sie schon schreiben, ein Kostenproblem. Sämtlichen Lehrkräften einen Arbeitsplatz in der Schule zur Verfügung stellen, wird die ohnehin gut beschäftigte Bauwirtschaft komplett auslasten. Oder eben die nötige Hardware für die Arbeit im HomeOffice (inkl. Ausbau der schulseitigen IT-Strukturen und Support für zigtausend User) anschaffen. Beides wird nicht zu finanzieren sein.
Was soll daran unfair sein? Lehrkräfte können auch Rechner in der Schule nutzen, wenn sie sich mit dem Formular überfordert sehen. Und: Jeder, der zu Hause Heim- oder Telearbeit macht, muss diese Vorgaben beachten. „Unfair“ wäre es nur, wenn für Lehrkräfte andere Maßstäbe gelten würden.
Bei Heim- oder Telearbeit wird die Infrastruktur i.d.R. durch den Arbeitgeber gestellt. Hier fehlt es bei den Schulen. Nur gibt es doch erhebliche Zweifel, dass ein Lehrer dafür in dem Maße Sorge tragen kann, dass er entsprechende technische und organisatorische Maßnahmen IMMER einhalten und bereithalten kann.
Achten Sie bei jedem Neustart darauf, dass Sie die aktuellste Versionen des Betriebssystems, der verwendeten Software und des Anti-Viren-Programms auf den Rechner haben? Wenn ja, dann sind Sie wohl eine Ausnahme.
In NRW wollte sich das Schulministerium mit „freiwilligen“ Anträgen aus der Verantwortung ziehen. Dies ist nach erheblichen Protesten, u.a. der Gewerkschaften, nun erstmal ausgesetzt worden.
Es hilft nur, dass jeder Lehrer eine entsprechende technische Umgebung durch die Länder und/oder Schulträger gestellt bekommt.
Dem kann ich mich nur anschließen. Als Datenschützer kann ich diese Diskussionen ob fair oder unfair langsam nicht mehr ertragen. Die DSGVO ist nun mal ein Fakt ob uns das nun passt oder nicht. Jeder muss in seinem Bereich nach Lösungen suchen um den Anforderungen der DSGVO gerecht zu werden.
Ich bin beruflich zertifizierte Datenschutzbeauftragte und beobachte an der Schule meines Kindes (IGS mit PC-Unterricht ab Klasse 5), dass das Thema Datenschutz zwar theoretisch in der Grundeinheit PC-Wissen enthalten ist, aber in unserem Fall z.B. faktisch nicht stattgefunden hat, weil Stunden ausfielen. Das Wissen darüber, was personenbezogene Daten sind oder wie informationelle Selbstbestimmung ausgeführt wird, und dass man Daten anderer nicht „einfach so“ offenlegen darf, wird den Kindern also nicht vermittelt, weil es eben keine Pflichteinheit ist? Auf Rückfrage an den Fachlehrer wurde mir mitgeteilt, dass inhaltliche Kompetenz-Einheiten (wie benutze ich Paint etc.) als wichtiger eingestuft wurden, weil Datenschutz ja auch „so sperrig“ ist…. Eigenverantwortliche Schule sei Dank?
Wenn schon ein PC-Lehrer das Thema als „zu sperrig“ einschätzt, was vermittelt er dann den Kindern im Unterricht zu dem Thema? Schüler und Lehrer müssen hier offenbar geschult werden.
Für lobenswert halte ich in dem Zusammenhang die Aktion „Datenschutz geht zur Schule“ des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD) e.V., siehe hier: https://www.bvdnet.de/datenschutz-geht-zur-schule/
Weit unfairer wäre tatsächlich das Verbot der Nutzung privater Geräte. Ich sehe das nicht als eine Abwälzung auf die Lehrer sondern eine Möglichkeit zur Erleichterung der Arbeit eben durch jene Verpflichtung. Die Kosten einer Infrastruktur, die auch im Home Office für jeden Lehrer auf reinen Dienstgeräten entsprechende Datenverarbeitungen ermöglichen, halte ich in der Tat für nur von den wenigstens Einrichtungen tragbar.
Und ja, solche Formulare / Verwaltungsvorschriften werden von den Ländern schon seit Jahren eingesetzt, es handelt sich um keine explizite Neuerung für die DSGVO.
Ich hoffe es ist uns allen bewusst, dass diese Zettel nichts weiter als eine Nebelkerze in Richtung der Eltern und ein Versuch des „Haftungsoutsourcings“ auf die Lehrer sind. Es glaubt doch niemand im Ernst, dass die in weiten Teilen technisch völlig unbedarften Lehrer nur deshalb plötzlich ihre private IT in den Griff bekommen, weil sie einen Zettel unterschrieben haben. Wir müssen endlich kapieren, dass wir bis auf weiteres die breite Masse nicht auf ein Wissensniveau heben werden, damit diese IT sicher und datenschutzkonform bedienen. Wir werden das immer mit Technik abfangen müssen, die so gestaltet ist, dass selbst unsere Uhrgroßoma keinen Schaden anrichten könnte.
Es mögen zwar viele nicht hören wollen, aber nach vielen Jahren als externer DSB in diversen Unternehmen jedweder Größe und Branche kann ich Ihnen versichern, dass eine datenschutzkonforme Verarbeitung auf Privatgeräten eine Utopie ist. Privat macht schlicht JEDER irgendwelche Dinge, die sich mit den Datenschutzanforderungen nicht vereinbaren lassen. Selbst die größten Computer- und Datenschutzexperten können privat nicht das Sicherheitsniveau erreichen, das ein kontrolliertes Business-IT-Umfeld bietet, weil die meiste private Nutzung inhärent datenschutzschädlich ist. Von der Vermischung von privaten und beruflichen Daten mal ganz abgesehen.
Langer Rede kurzer Sinn: Wie im Artikel bereits beschrieben ist die einzige wirklich gute Lösung, den Lehrern innerhalb der Schule eine angemessene IT-Umgebung zur Verfügung zu stellen. Mit Abstrichen könnte noch ein Kompromiss sein, dass die Lehrer z.B. mit Citrix virtuelle Arbeitspläte bereitgestellt bekommen, auf die sie sich (mit 2FA) dann über ihre Privatgeräte verbinden können. Aber auch da muss dann alles ordentlich konfiguriert sein, damit z.B. die Daten nicht aus der Citrix-Instanz auf die lokale Platte gezogen werden können.
Alles andere ist Augenwischerei. Wäre schön, wenn der Staat hier mal Geld investieren könnte anstelle in die nächsten 100 Bauruinen.