Die Schüler von heute sind auch die Kunden von morgen. Diese Werbestrategieaussage erhält vor dem Hintergrund klammer öffentlicher Haushalte und Bildungsetats und den werblichen Bestrebungen von Unternehmen eine immer größere Bedeutung.
Die Schlagworte „Know your customer“, oder auch kurz KYC, stehen eigentlich für die vorgeschriebene Legitimationsprüfung von wichtigen Neukunden zur Verhinderung von Geldwäsche. Daneben sind jedoch immer mehr Unternehmen an möglichst vielen Informationen über ihre (potentiellen) Kunden interessiert, um diese möglichst eng an sich binden zu können. Die Erkenntnis, dass Schüler von heute die Kunden von morgen sind, lässt sich für den Bereich des Datenschutzes aus einer Vielzahl von aufsichtsbehördlichen Stellungnahmen und Rechtshinweisen erkennen.
Der Inhalt im Überblick
Ein Praxisbeispiel – Kooperationen mit Schulbuchverlagen
Ein aktuelles Angebot verschiedener Schulbuchverlage ist eine individualisierte Zusammenstellung von spezialisierten Lernmaterialien zur Förderung der Behebung einzelner Leistungsschwächen von Schülern. Erkennt der Lehrer beispielsweise eine „ie“ Schreibschwäche bei einem Schüler, stellt der Schulbuchverlag hierfür besondere Unterlagen zur Förderung zusammen und übersendet diese an die Schule.
In der Datenschutzerklärung eines Anbieters heißt es dazu (auszugsweise):
Sofern Schüler durch ihre Schule/Lehrer für ein anmeldepflichtiges Internetangebot angemeldet werden, müssen sie nicht unter dem vollständigen Namen der Schüler angemeldet werden. Diese Schüleranmeldungen können auch unter dem Vornamen, einem Pseudonym oder Spitznamen des Schülers vorgenommen werden. Sofern eine Anmeldung unter dem vollständigen Namen des Schülers vorgenommen wird, sollte dies mit Einwilligung der Eltern geschehen.
Müssen sie nicht und sollte eine Einwilligung vorliegen?
Darf es wirklich
„…müssen sie nicht den vollständigen Namen der Schüler…“ und „…sollte dies mit Einwilligung der Eltern geschehen…“ heißen,
oder muss es
„…darf nicht mit vollständigen Namen…“ und „…muss mit Einwilligung der Eltern geschehen…“
heißen?
Weitergabe von Schülerdaten
Die Weitergabe von Schülerdaten ist – glücklicherweise – streng reguliert. Grundsätzlich finden sich für die einzelnen Bundesländer verschiedene Regelungen in den jeweiligen Schulgesetzen nebst Datenschutzverordnungen.
So heißt es in den Hinweisen der Kulturministeriums Baden-Württemberg:
Ausdrücklich weist das Kultusministerium darauf hin, dass eine Übermittlung (Weitergabe von Schülerdaten mündlich, per Mail, Fax oder schriftlich) an Privatpersonen oder zu kommerziellen Zwecken von den Schulen in Ermangelung einer legitimierenden Rechtsvorschrift zu unterlassen ist. Auch untersagt das Kultusministerium die Einholung einer Einwilligung für solche Datenübermittlungen.
Dabei ist festzuhalten, dass eine Datenweitergabe auch in anderen Bundesländern stets nur mit einer Rechtsgrundlage in Betracht kommt und auch nur sofern die schutzwürdigen Interessen der Schüler nicht beeinträchtigt werden. Die schutzwürdigen Interessen der Schüler sind aber schon dadurch verletzt, weil die Übermittlung der Schülerdaten an sich nicht notwendig für die Erbringung der Dienstleistung oder der Durchführung des Vertrages ist. Es geht nämlich auch ohne die Übermittlung und damit wäre nicht nur dem Gebot der Datensparsamkeit genüge getan, sondern auch die schutzwürdigen Interessen der Schüler gewahrt.
Das Landeszentrum für Datenschutz Schleswig-Holstein hat auch für die sicherlich um die Behebung der Schwächen der Schüler bemühte Lehrer Lösungsmöglichkeiten:
- Es ist zu prüfen, ob für die Nutzung des Dienstes zwingend personenbezogene Daten der Schülerinnen und Schüler (Vorname, Name) einzugeben sind. Vorrangig sollte mit Pseudonymen gearbeitet werden.
- Ist die Preisgabe personenbezogener Daten notwendig oder von der Schule gewollt, muss vor der Nutzung des Dienstes von der Schule geprüft werden, in welcher Weise der Diensteanbieter die Daten verarbeitet. Datenschutzrechtlich ist die Inanspruchnahme eines solchen Dienstes durch die Schule als Auftragsdatenverarbeitung (§ 17 LDSG) anzusehen. Damit bleibt die Schule für die Datenverarbeitung verantwortlich.
- Es muss seitens der Schule sichergestellt sein, dass die Daten beim Auftragnehmer ausschließlich für den schulisch gewünschten Zweck verarbeitet und keinen unbefugten Dritten zur Kenntnis gegeben werden sowie die Löschung unmittelbar nach Beendigung der Inanspruchnahme der Dienstleistung erfolgt.
- Die Schule sollte sich diese Eigenschaften schriftlich vom Diensteanbieter bestätigen lassen. Entsprechende Erklärungen auf der Webseite des Diensteanbieters sind nicht ausreichend.
Damit ist die Frage beantwortet, es muss eine Pseudonymisierung erfolgen und nicht in allen Bundesländern hilft eine Einwilligung der Eltern weiter. Übrigens, gerade im Falle der Auftragsdatenverarbeitung müsste die Schule den Dienstleister umfangreich und regelmäßig hinsichtlich der Einhaltung der datenschutzrechtlichen Bestimmungen und insbesondere der technischen und organisatorischen Maßnahmen überprüfen.
Keine Werbung in der Schule
Der eiserne und gesetzliche Grundsatz soll eigentlich lauten:
keine Werbung in der Schule
Eigentlich, denn Versuche dies zu unterlaufen gibt es mehr und mehr. Zumeist geht damit die Preisgabe von personenbezogenen Daten von Schülern einher.
Nicht eigentlich, sondern ganz sicher möchten wir Eltern wirklich nicht, dass Unternehmen aus der freien Wirtschaft schon frühzeitig die Schwächen unserer Kinder kennen und diese möglicherweise irgendwann für eigene wirtschaftliche Zwecke ausnutzen werden!