Dass es diesen Artikel gibt, ist dem Sachverhalt des unkoordinierten Einsatzes aller möglichen Webseiten und Lernportale an Schulen im Rahmen der Corona-Krise geschuldet. Diese Entwicklung ist meines Erachtens eine Fehlentwicklung und wirft eine Vielzahl an Problemen und Fragen auf.
Ich halte die Nutzung von Webseiten und Lernportalen, wenn diese konform mit dem Datenschutz arbeiten, inhaltlich richtig sind und vor allem einen pädagogischen Mehrwert zu den sonstigen Lernmethoden schaffen, für Kinder als auch für den Unterricht an Schulen, als ein richtiges und wichtiges Mittel der digitalen Schule. Ebenso darf aber nicht übersehen werden, dass jedermann Webseiten und Lernportale im Internet online stellen kann und das Internet keine Qualitätskontrolle kennt. Allein die Tatsache, dass es eine Webseite oder ein Lernportal gibt, sagt nichts zur Richtigkeit und Qualität des Inhalts aus. Vor der Nutzung von Webseiten und Lernportalen zu Zwecken einer schulischen Bildung, sollte man sehr genau untersuchen, ob diese Inhalte auch dafür geeignet sind und einen pädagogischen Mehrwert darstellen.
Besonders unglücklich ist die Entwicklung, wenn Kinder an Schulen für eine große Vielzahl von Portalen Nutzerkonten bekommen. Das ist derzeit oft zu beobachten. Dabei werden zum Teil alle auf dem Markt verfügbaren Angebote genutzt, ohne dass jemand diese Angebote vorher überprüft. Nicht selten werden auch Angebotegenutzt, die nicht mit dem Datenschutz konform sind. Diese Entwicklung ist der Corona-Krise geschuldet und soll keinesfalls den Lehrkräften angelastet werden. Mit dieser Dynamik, die in die falsche Richtung eines digitalen Unterrichts geht, muss man sich aber konstruktiv auseinandersetzen. Es stellen sich dabei auch die Fragen danach, was unter rechtlichen Aspekten des Datenschutzes überhaupt erlaubt ist.
Ich unterteile diese Angebote nachstehend in Webseiten, Lernportale mit einer Anmeldefunktion (mit Benutzerkonten), Share-Point Portale, Apps und Videokonferenz-Angebote.
Grundsätzliches zur Rechtslage
Schulische Bildung ist in Deutschland eine Sache der Bundesländer. Es muss daher explizit darauf geguckt werden, ob ein Bundesland in den eigenen Schul- oder Datenschutzgesetzen konkrete Regelungen zur Nutzung von Online-Angeboten an Schulen hat. Im wesentlichem gibt es hierbei drei Szenarien:
- Es gibt keine explizite Regelung über die personenbezogenen Daten hinaus, die eine Schule zur notwendigen Durchführung des Schulbetriebes verarbeiten darf, insbesondere keine Regelungen zur Verarbeitung von personenbezogenen Daten in digitalen Lernangeboten und Netzwerken.
- Es gibt die Regelung, dass für alle personenbezogenen Daten, über die Daten hinaus, die für die notwendige Durchführung des Schulbetriebs erforderlich sind, eine Einwilligung der Erziehungsberechtigten erforderlich ist.
- Es gibt individuelle, explizite Regelungen zum Einsatz von Lernportalen und online Anwendungen an den Schulen. Dieses ist zum Beispiel in meinem Bundesland (Hamburg) durch den §98b des HmbSG der Fall.
Auf Grundlage dieser Szenarien ergibt sich alles weitere. In den Fällen Eins und Zwei dürfen keine personenbezogenen Daten aus digitalen Lernportalen der Schülerinnen und Schüler verarbeitet werden, gleich ob auf eigenen Servern der Schule, des Schulträgers oder von Dritten, ohne dass ein Erziehungsberechtigter zugestimmt hat. Im Fall Nummer 3 ist den jeweiligen gesetzlichen Bestimmungen genau Folge zu leisten.
Ob ein Angebot ohne eine Einwilligung der Erziehungsberechtigten, auf der Grundlage eines berechtigten Interesses oder einer zur Wahrnehmung der öffentlichen Aufgabe notwendigen Maßnahme begründet werden kann, ist zu verneinen. In beiden Fällen ist die Notwendigkeit im juristischen Sinne nicht vorhanden. Denn in diesem Sinne ist ein digitaler Unterricht grundsätzlich auch ohne die Verarbeitung personenbezogener Daten in Lernportalen darstellbar. Die juristische Betrachtung kennt hier leider keine Abwägung mit einem pädagogischen Mehrwert.
Sofern eine gesetzliche Regelung nicht ausdrücklich eine Anordnung bestimmter online Angebote für Schulen enthält, müssen Eltern also einwilligen. Sollten dennoch Angebote ohne Einwilligung genutzt werden, steht den Eltern immer ein Widerspruchsrecht gegen die Nutzung von Online-Angeboten zu. Die Eltern können zum einen ihre Einwilligung, wenn es eine solche gab, jederzeit widerrufen oder, zum anderen, sofern die Rechtsgrundlage mit einem berechtigten oder öffentlichen Interesse begründet wurde, diesem widersprechen.
Darüber hinaus gilt hier Artikel 8 der DS-GVO, denn Schulen oder Lehrkräfte tätigen hier digitale Angebote direkt an die Schülerinnen und Schüler, wonach Personen erst mit erreichen des 16 Lebensjahres selbst eine solche Einwilligung erteilen können. So lange müssen die Eltern herangezogen werden.
Artikel 8 der DS-GVO
Ich habe die Erfahrung gemacht, dass einige Eltern gerne mit dem Artikel 8 der DS-GVO argumentieren. Dieser Artikel soll Kinder bei der Nutzung von Diensten der Informationsgesellschaft, in Bezug auf die Sammlung ihrer Daten, schützen. Die Anwendung dieses Artikels ist gebunden an die Verordnung 679 aus 2016 der EU-Kommission, die die Auslegungen zu einer rechtswirksamen Einwilligung und verschiedener Datenschutznormen näher bestimmt. Hiernach greift der Artikel nur dann, wenn das Angebot einem Kind direkt gemacht wird. Auch hier muss man wieder die rein juristische Auslegung der Formulierung betrachten. Danach findet der Artikel in dem Kontext der Nutzung von Lernportalen durch Kinder insoweit keine Anwendung, als dass die Lernportale selbst keine Verpflichtung haben eine Einwilligung der Eltern einzuholen oder eine Altersprüfung zu tätigen. Sollte ein Zusatz bestehen, der darauf hinweist, dass jemand 16 Jahre sein muss, um irgendwo einzuwilligen, so ist das, auch ohne weiterführende Schutzmaßnahmen, ausreichend.
Exkurs: Datenschutz und Jugendschutz
Die Aufsichtsbehörden weisen darauf hin, dass ihnen eine Problematik in Bezug auf den Jugendschutz bei der Nutzung von Diensten in der Inforationsgesellschaft, wenn diese von Personen unter 16 Jahren genutzt werden, durchaus bewusst ist. Sie können dahingehend aber nicht einwirken, da das Mandat der Behörden rein auf den Datenschutz, nach der jeweils aktuellen Gesetzeslage und Rechtsprechung, begrenzt ist. Hiernach ist ein wirksamer Jugendschutz nicht das Aufgabengebiet der Behörden.
Wir sehen im Datenschutz damit die gleichen Probleme, die es im Internet auch auf den anderen Gebieten, die einen Kinder- und Jugendschutz erfordern, gibt. Kinder- und Jugendschutz im Internet funktioniert definitiv nicht. Hinweise, dass jemand über 16 Jahre sein muss, um bestimmte Seiten oder Angebote zu nutzen, sind kein ausreichender Schutz. Anbieter umgehen gesetzliche Schutzvorschriften der Kinder und Jugendlichen oft auch dadurch, dass sie ihre Angebote aus dem EU-Ausland heraus betreiben. Kinder und Jugendliche können im Internet problemlos an Inhalte und Produkte gelangen, die ihnen nicht förderlich sind. Dazu zählen Gewaltdarstellungen, verbotene Symbole, pornografische und auch gewalt-pornografische Inhalte, aber auch der problemlose Erwerb von „Legal Highs“ oder verschreibungspflichtigen Medikamenten. Dafür müssen Kinder und Jugendliche nicht einmal in das Darknet, wo es noch viel schlimmere Dinge gibt, sondern finden derartige Angebote sehr einfach über gängige Suchmaschinen. Das Herunterladen und Teilen nicht angemessener Inhalte beginnt heutzutage bereits im Alter von 10 Jahren. Kinder kennen die Möglichkeiten der Online-Welt immer besser und werden auch selbst immer früher reif, diese Möglichkeiten eigenständig zu nutzen, weil sie über entsprechende Endgeräte und Knowhow verfügen. Meistens geschieht dieses, ohne dass die Kinder durch die Eltern entsprechend überwacht werden und davon Kenntnis gewinnen. In vielen Fällen haben Eltern und Lehrkräfte nicht einmal einen umfassenden Überblick oder eine Vorstellung davon, was in der Online-Welt für ein Kind möglich ist.
Der Jugendschutz ist nicht Thema dieser Seite. Ich wollte aber auf die besorgniserregenden Probleme dieses Sachgebietes, in denen die von einem Kind gesammelte Nutzerdaten fast nur noch eine „weniger tragische Randnote“ darstellen, einmal hinweisen.
Webseiten
Auf einer Webseite können personenbezogene Nutzerdaten gesammelt werden. Das sind Daten darüber, wie man die Seite gefunden hat, von welcher Seite man hierher gewechselt ist, wie man sich auf der Seite verhält, was man klickt, wie man scrollt, wie lange man auf welcher Seite ist usw. Solche Nutzerdaten können durch den Betreiber der Seite direkt gesammelt werden oder durch ein so genanntes Drittanbieter-Skript. Letzteres sind Dienste wie Google, Facebook, Amazon, Bing, E-tracker und hunderte andere. Es ist nicht erlaubt, solche Nutzerdaten ohne eine vorherige Einwilligung der Nutzer einer Webseite zu sammeln. Das heißt in der Praxis, dass eine Webseite entweder überhaupt keine Nutzerdaten sammelt oder, wenn die Webseite so etwas tut, zuerst ein Fenster aufgehen muss, wo jemand darüber informiert wird, dass Nutzerdaten gesammelt werden, und dann frei darüber entscheiden darf, ob er das möchte oder nicht. Nur dann ist eine Webseite konform mit dem Datenschutz. Viele Webseiten sammeln Nutzerdaten, ohne dass vorher eine Einwilligung eingeholt wird. Diese Seiten missachten das bestehende Datenschutzrecht.
Kinder sollten grundsätzlich nur solche Webseiten als Quellen für schulische Themen nutzen, die konform mit dem Datenschutz sind. Entsprechend sollten Lehrkräfte, wenn diese Empfehlungen machen, auch nur Webseiten empfehlen, die konform mit dem Datenschutz sind.
Lernportale
Für Lernportale gilt alles, was für Webseiten gesagt wurde, plus die Tatsache, dass hier ein Benutzerkonto angelegt wird. Ein Benutzerkonto sammelt grundsätzlich personenbezogene Daten. In der Regel, neben Benutzernamen und dem Passwort in verschlüsselter Form, eine Lernhistorie, Informationen darüber, was bearbeitet wurde und mit welchen Ergebnissen, wann und auf welchem Gerät man angemeldet war etc. Unter Umständen auch Informationen darüber, wer mit wem vernetzt ist, zu welcher Schule man geht, in welcher Klasse man ist, wer Klassenlehrer(in) ist etc. Auch diese Daten dürfen nur gesammelt werden, wenn dafür eine Rechtsgrundlage besteht. Die Rechtsgrundlage ist der Nutzungsvertrag, den man bei Anlage des Benutzerkontos abschließt. Hier willigt der Benutzer ein, dass derartige personenbezogene Daten gesammelt werden.
Ein Lernportal ist dann konform mit dem Datenschutz, wenn es diese Nutzerdaten auf sicheren Servern verwahrt und nur zu diesem Zweck, nämlich zur Nutzung des Lernportals durch den Benutzer, verwendet. Die Daten dürfen nicht zu anderen Zwecken verwendet und schon gar nicht an irgendwelche Dritte weitergeben werden. Dass dieses der Fall ist, muss in den Datenschutzbestimmungen und dem Nutzungsvertrag explizit vom Betreiber des Lernportals zugesichert werden. Auch für viele Lernportale gilt leider, dass der Datenschutz nicht korrekt umgesetzt wird.
Dürfen Lehrkräfte, einmal vorausgesetzt ein Lernportal ist konform mit dem Datenschutz, dieses im Unterricht einsetzen? – Hier gilt dann das oben schon gesagte und es kommt darauf an, was das jeweilige Schulgesetz des Landes dazu bestimmt. Ein Lernportal verarbeitet personenbezogene Daten. Setzt eine Lehrkraft ein solches Angebot ein und ist selbst, wie meistens der Fall, auch noch Administrator, dann verarbeitet das Lernportal die personenbezogenen Daten im Auftrag der Lehrkraft oder Schule. Somit ist zusätzlich zuerst einmal ein Auftragsverarbeitungsvertrag (AVV) erforderlich. Diesen Vertrag haben seriöse Lernportale in ihren Verträgen oder AGBs, so dass diese Hürde leichtgenommen werden kann. Dennoch bedarf es danach einer Rechtsgrundlage dafür, dass die Lehrkraft oder Schule diese personenbezogenen Daten der Schülerinnen und Schüler durch einen dritten privaten Auftragnehmer sammeln und verarbeiten lässt. Wenn die Landesgesetzte hierzu nicht anderes regeln, muss dafür eine Einwilligung der Erziehungsberechtigten erfolgen, da es einer anderen Rechtsgrundlage mangelt und Kinder unter 16 Jahren selbst keine rechtswirksame Einwilligung erteilen können.
In Hamburg gibt es in der Tat eine Regelung zu Lernportalen im Schulgesetz. Dazu äußere ich mich weiter unten.
Share-Point Portale
Hiermit bezeichne ich Portale, die es ermöglichen Dokumente hochzuladen, die jemand anderes dann ansehen und/oder herunterladen kann. Hierfür gilt alles, was für Webseiten und Lernportale gesagt wurde, plus die Tatsache, dass die Dokumenteninhalte geschützt sein sollten. Wenn eine Lehrkraft ein Ausmalbild hochlädt, ist der Inhalt sicher nicht schutzbedürftig. Werden aber personenbezogene Daten, zum Beispiel Elternbriefe, Klassenlisten, Lernstände, Stundenpläne, personalisierte Aufgaben etc. auf diesem Wege zur Verfügung gestellt, dann sollten diese Unterlagen nur von den berechtigten Empfängern gelesen werden können. Ein solches Portal muss die hochgeladenen Dokumente also gegen unbefugten Zugriff schützen. Dieses sollte durch Verschlüsselung auf dem Server sowie eine Zugriffsbeschränkung erfolgen. Und natürlich sollte auch das Portal selbst die Dokumente nicht einsehen können und inhaltlich nutzen.
Ein derartiges Portal ist dann konform mit dem Datenschutz, wenn es all das oben gesagte sicherstellt. Die Regelungen dazu sollten detailliert und explizit in den Vertrags- oder Datenschutzbestimmungen stehen. Für eine Schule oder Lehrkraft gilt auch hier der Auftragsverarbeitungsvertrag, den seriöse Anbieter in ihren AGBs haben. Und verwenden darf man auch dieses Angebot wieder nur, wenn es dafür eine Rechtsgrundlage gibt. Gibt es eine solche nicht, weil das jeweilige Schulgesetz oder die weiteren Gesetze der Länder hierfür nicht vorsehen, muss die Einwilligung der Eltern eingeholt werden.
Auch hier hat Hamburg Regelungen im Schulgesetz getroffen, zu denen ich weiter unten komme.
Apps
Apps sind ein anderes Wort für eine softwarebasierte Anwendung, also ein eigenständiges Programm. In unserem Zusammenhang sind solche Apps gemeint, die ein Benutzerkonto führen und nicht nur eine Funktion, wie zum Beispiel einen Taschenrechner, zur Verfügung stellen. Also Apps, die personalisiert arbeiten. Hierfür gilt alles, was bisher gesagt wurde, plus die Tatsache, dass eine solche Software noch viel mehr Möglichkeiten des Datensammelns und Verarbeitens hat. Es ist hierbei auch nicht mehr ohne weiteres möglich das Sammeln und Verarbeiten von personenbezogenen Daten technisch nachzuvollziehen. Diese Tatsache macht eine Bewertung von Apps unter Datenschutzaspekten schwierig. Natürlich gilt auch hier, dass der Datenschutz korrekt in den Verträgen und AGBs zugesichert werden muss, und dass ein Auftragsverarbeitungsvertrag zur Verfügung stehen sollte. Zu überprüfen, ob wirklich keine Drittanbieter-Skripte eingesetzt werden oder nicht doch weitere personenbezogene Daten gesammelt und verarbeitet werden, ist meistens nicht möglich. Daher sollten nur solche Apps genutzt werden, deren Herstellern man wirklich vertrauen kann.
Schulen dürfen auch diese wiederum nur dann einsetzen, wenn hierfür eine Rechtsgrundlage besteht. Besteht keine Rechtsgrundlage, dann ist die Einwilligung der Eltern einzuholen. Und auch hier hat Hamburg wieder Regelungen im Schulgesetz getroffen, zu denen ich weiter unten komme.
Videokonferenz-Anbieter
Es gibt diese Angebote als Internetdienstleistungen zur Nutzung in Browsern, als Benutzerportal oder als App. Oft sind die Angebote mit Share-Point Diensten und weiteren Funktionen kombiniert. Grundsätzlich können diese Dienste konform mit dem Datenschutz angeboten werden. Ein Auftragsverarbeitungsvertrag ist dabei immer notwendig bzw. entsprechende Standardvertragsklauseln bei nicht EU-Anbietern. Und auch hier bedarf es wieder der notwendigen Rechtsgrundlage, ohne die die Daten von Schülerinnen und Schülern nicht verarbeitet werden dürfen. Mangelt es an dieser, muss die Einwilligung der Eltern her. Werden Videokonferenz-Dienste von Anbietern kostenlos angeboten, dann ist der Datenschutz selten gewahrt, um es nicht noch deutlicher auszudrücken. Ich gehe auf einige Angebote einmal näher ein.
Jitsi
„Der Witz“ dieser Anwendung beruht darauf, dass man damit einen eigenen Server aufsetzen kann. Tut man dieses und setzt einen eigenen sicheren Server auf, über welchen die Videokonferenzen datenschutzkonform abgewickelt werden, so ist das in der Tat ein empfehlenswerter Weg für eine Videokonferenz. Hat der Server genug Leistung und Arbeitsspeicher, kann man damit auch eine größere Anzahl an Teilnehmern ohne Störungen zusammenbringen. Allerdings kann die Anwendung nicht viel mehr als reine Videokonferenzen zu tätigen.
Setzt man keinen eigenen Server auf, sondern nutzt einen dritten Server, dann wird es mit dem Datenschutz schwierig. Server außerhalb der EU wären verboten. Nutzt man Server innerhalb der EU, zum Beispiel gibt es meines Wissens einen an der Uni Freiburg, bräuchte man mit dieser Uni einen Auftragsverarbeitungsvertrag. Den bietet die Uni aber nicht an. Und auch sonst bieten Dritte, die Jitsi-Server auch der Allgemeinheit zur Verfügung stellen, solche Verträge nicht an.
Ist eine Schule nicht aus individuellen Gründen darauf ausgerichtet eigene Server zu betreiben, wird es auch niemand an einer Schule mal eben zu Stande bringen, einen eigenen sicheren Server mit ausreichend Leistung aufzusetzen. Von daher ist diese Anwendung für Schulen in der Praxis wenig tauglich.
Zoom
Man muss bei Zoom, wie bei vielen dieser Anwendungen, zwischen der kostenfreien und der kostenpflichtigen Variante unterscheiden. Die kostenlose variante, machen wir es kurz, ist nicht mit dem Datenschutz konform. Die kostenpflichtige dagegen inzwischen schon. Zoom hatte Anfang April 2020, aufgrund massiven öffentlichen Drucks, seine Datenschutzbestimmungen angepasst. Es wurden auch weitere Optionen zur Umsetzung der DS-GVO eingeführt. Die kostenpflichtige Variante von Zoom kann so eingestellt werden, dass diese datenschutzkonform ist.
Zoom bietet neben der reinen Videokonferenz noch einige weitere Möglichkeiten digitalen Unterricht effektiver zu gestalten. Insoweit wäre die kostenpflichtige Variante eine mögliche Auswahl, die mit entsprechenden Einstellungen eingesetzt werden dürfte.
Microsoft Teams
Diese Anwendung gibt es nur in kostenpflichtiger Form. Die Anwendung ist grundsätzlich datenschutzkonform und bietet ein breites Spektrum an Möglichkeiten digitalen Unterricht zu gestalten und zu organisieren.
Teams kam jüngst durch die Tatsache, dass einige Aufsichtsbehörden sich gegen Office 365 ausgesprochen haben, in Verruf, weil es in diesem Paket enthalten ist. Hierbei geht es um sogenannte Telemetriedaten und einige Bestimmungen in den Datenschutzbedingungen, die inzwischen aber bereits nachgebessert wurden. Die Teams Anwendung ist von diesem Sachverhalt nicht betroffen.
Weiterhin wird gegen Teams eingewandt, dass personenbezogene Daten von Microsoft der amerikanischen Regierung auf Grundlage des CLOUD-Acts zur Verfügung gestellt werden müssen. Hiernach haben amerikanische Unternehmen, auf Anforderung der Regierung, personenbezogene Daten zu amerikanischen Staatsbürgern zu übermitteln. In der Praxis heißt das, dass alle Daten zu amerikanischen Staatsbürgern, darunter ggf. auch EU-Bürger als Kontakte dieser Personen, nach Amerika übermittelt werden, um es vereinfacht auszudrücken. Entschlüsselte Inhalte von Kommunikation oder Dokumenten können allerdings nicht übermittelt werden und sind davon nicht betroffen. Dieser Sachverhalt betrifft aber nicht nur Microsoft, sondern alle amerikanischen Unternehmen, auch Zoom. Wenn man seitens einer Aufsichtsbehörde Zoom als datenschutzkonform benennt, kann ich nicht erkennen, warum man diesen Sachverhalt dann Microsoft anders auslegen sollte.
Skype Business
Skype ist ein weiterer Dienst von Microsoft, der weniger Funktionen als Teams bietet, und nur die Möglichkeit von Chat und Videotelefonie, auch in Konferenzen, ermöglicht. Auch hier gibt es eine kostenfreie und kostenpflichtige Version. Nur die kostenpflichtige Version, die Sky Business heißt, ist konform mit dem Datenschutz. Diese Anwendung wurde u.a. in der Corona Krise von Landgericht Hannover eingesetzt. Auch dieses spricht dafür, dass Microsoft und Office 365 konform mit dem Datenschutz sind.
Dieser Dienst, den es nur kostenlos gibt, entspricht nicht den Anforderungen an den Datenschutz, so dass die Anwendung nicht zu anderen als privaten Zwecken genutzt werden kann. Die Problematik liegt darin, dass der Anbieter, die Facebook-Gruppe, Informationen über Kontakte auch mit den anderen Anwendungen, wie Facebook und Instagram, teilt. Dieses ohne dass einem Nutzer dagegen ausübbare Rechte zustehen. Ferner werden technische Daten über Kommunikation, wie die Länge von Anrufen, wer angerufen wurde, wer wie oft mit wem kommuniziert etc. gesammelt und verarbeitet. Die Inhalte selbst könne aber nicht mitgelesen oder in irgendeiner Form gesammelt und verarbeitet werden, da eine wirksame end-to-end Verschlüsselung zwischen Nutzern besteht.
Whereby
Diese Anwendung hat ihre Server in Irland stehen und schreibt in ihren kurzen Datenschutzerklärungen, dass man konform mit der DS-GVO agiert. Technisch und auch juristisch stellen sich hierzu aber sehr viele Fragen, so dass ich keine Datenschutzkonformität attestieren kann. Es gibt auch hier eine kostenlose und kostenpflichtige Version. In der kostenpflichtigen Version können bis zu 12 Nutzer gleichzeitig eine Videokonferenz abhalten. Diese Zahl ist für Schulen zu gering, so dass diese Anwendung hierfür in der Praxis untauglich ist.
Das Hamburger Schulgesetz (HmbSG)
Schulgesetze werden in regelmäßigen Turnus modifiziert und an veränderte Bedingungen angepasst. Hamburg tat dieses letztmalig am 31. August 2018, bereits nach in Kraft treten der DS-GVO. Entsprechend wurden moderne Datenschutzregeln, die sich an der DSG-VO orientieren, im Schulgesetz verankert. Dieses in den §§ 98, 98a und 98b. Während die §§ 98 und 98a sich damit befassen, welche personenbezogenen Daten eine Schule grundsätzlich für die Durchführung Ihrer Aufgaben sammeln und verarbeiten darf, und dass eine Vertrauensstelle geschaffen wurde, bezieht sich der § 98b direkt auf den Einsatz von pädagogischen Netzwerken und Lernportalen.
Die getroffenen Regelungen sind komplex und detailliert. Grundsätzlich heißt es hier zuerst, dass die zuständige Behörde befugt ist, pädagogische Netzwerke und Lernportale zu betreiben und im Unterricht einzusetzen. Es heißt nicht, dass Schulen oder Lehrkräfte dazu berechtigt sind, sondern nur die Behörde. Es ist erlaubt Schülerinnen und Schüler hierzu zu verpflichten. Das heißt, dass eine Einwilligung der Eltern nicht eingeholt werden muss. Ferner sagt der Paragraf aus, dass die Eltern umfassend über die Art des Einsatzes von pädagogischen Netzwerken und Lernportalen rechtzeitig, also in jedem Fall vor dem Einsatz, informiert werden müssen. Rechte dagegen stehen den Eltern aber nicht zu.
Der Absatz Zwei des Paragrafen sagt dann aus, dass die Behörde, wenn es technisch oder pädagogisch erforderlich ist, auch private Angebote in ihre Netzwerke einbinden kann. Tut sie dieses, so können auch diese Angebote verpflichtend eingesetzt werden. Dabei müssen diese privaten Angebote konform mit dem Datenschutz sein. Personenbezogene Daten, die an dritte Partien, außerhalb dieser Anwendungen, übermittelt werden, dürfen nur anonymisiert, pseudonymisiert oder aggregiert übermittelt werden. Dabei sind an die pseudonymisierte Datenübermittlung noch strengere Auflagen gebunden. In Absatz Drei verpflichtet sich die Behörde noch an die Einhaltung der Kinder- und Jugendschutzrechte.
Was hilft das ganze in der Praxis? – Unter dem Strich eigentlich nichts, da es bisher der Schulbehörde nicht gelungen ist derartige pädagogische Netzwerke und Lernportale zur Verfügung zu stellen. Die Folgefrage ist dann: Dürfen Schulen und Lehrkräfte eigenständig derartige Netzwerke und Lernportale betreiben oder auch bei dritten Anbietern einkaufen? Beides ist weder explizit erlaubt noch verboten. Allerdings kann aus der Formulierung „es ist nur der Behörde erlaubt“ ableiten, dass es Schulen und Lehrkräften selbst nicht erlaubt sein soll. Für diese Auslegung spricht auch der Grundsatz der Datensparsamkeit, wonach Angebote über die Behördenangebote hinaus, nur dann genutzt werden dürfen, wenn diese zwingend erforderlich sind. Da derzeit solche Behördenangebote aber gar nicht zur Verfügung stehen, sind schulen letztlich gezwungen andere derartige Angebote zu nutzen. Wenn damit dann aber personenbezogene Daten von Schülerinnen und Schülern verarbeitet werden, mangelt es einer Rechtsgrundlage. Entsprechend muss dann die Einwilligung der Eltern eingeholt werden. Alternativ, aber in meinen Augen nicht rechtlich korrekt, wäre auch eine Einführung solcher Angebote auf der Grundlage eines öffentlichen Interesses im Sinne des Art. 6 Abs. 1 lit. e.) DS-GVO möglich. Allerdings stände hier den Eltern ein Widerrufsrecht zu, über welches diese ausdrücklich informiert werden müssen. Unter dem Strich käme dieses oder eine Einwilligung der Eltern auf ein und dasselbe heraus.
Interessant wird es, wenn der Fall eintritt, dass seitens der Behörde pädagogische Netzwerke und Lernportale zur Verfügung stehen. Hiernach stellt sich dann die Frage, ob alle Schulen primär zwingend auf diese Angebote zurückgreifen müssen und eigenständige Angebote einzustellen sind. Bzw. letztere nur noch in zwingenden Ausnahmefällen zulässig sind. Dahin tendieren offensichtlich die Aufsichtsbehörden, unter Beachtung des Grundsatzes der Datensparsamkeit und der Auslegung des § 98b in Bezug auf eine eigenständige Erlaubnis der Schulen und Lehrkräfte. Andererseits nutzen Schulen und Lehrkräfte in Hamburg so quasi alles, was auf dem Markt ist, auch dann, wenn die Anwendung nicht einmal konform mit dem Datenschutz ist. Das wissen sowohl Schulbehörde als auch Datenschutzbehörde. Untersagungen gab es bisher nicht.
Das Fazit ist also, dass trotz der Tatsache einer getroffenen Regelung zu pädagogischen Netzwerken und Lernportalen im Hamburgischen Schulgesetz keine für die praktischen Abläufe an Schulen hilfreiche Rechtsgrundlage besteht. Die entscheidenden Fragen hat diese Gesetzesänderung nicht geklärt.
Ein Nachwort als Netzaktivist
Mir liegt persönlich der Kinder- und Jugendschutz im Internet sehr am Herzen. Dazu zählt auch, dass Kinder und Jugendliche vor einem unkontrollierten Sammeln und Verarbeiten ihrer Daten geschützt werden müssen. Insbesondere die Nutzung der vorgenannten Drittanbieter-Skripte, die für eine Übertagung an Google, Facebook & Co. sorgen, sind mir ein Dorn im Auge. Es darf nicht sein, dass derartige Angebote an Schulen genutzt werden. Nicht nur, weil dieses gegen den Datenschutz verstößt, sondern weil es schlichtweg falsch ist.
Wenn Angebote nicht gegen den Datenschutz verstoßen und nur eine notwendige Sammlung und Verarbeitung personenbezogener Daten unter Wahrung der Regelung der DS-GVO tätigen, dann kann ich persönlich mit einem Einsatz dieser Angebote an Schulen sehr gut leben. Ganz egal, ob das in irgendeinem Schulgesetz steht oder ich als Elternteil eingewilligt habe. Allerdings müssen dafür bestimmte Regeln schon beachtet werden. Dabei würde ich folgende Kriterien ansetzen:
- Das Angebot muss, wie gesagt, mit dem Datenschutz konform sein.
- Das Angebot muss inhaltlich richtig sein, eine gewisse Qualität haben und von Lehrkräften, unter pädagogischen Aspekten, geprüft sein.
- Vergleichbare andere derartige Angebote dürfen nicht schon an der Schule existieren. Ein Nebeneinander von vielen, gleichartigen Angeboten ist nicht sinnvoll.
- Das Angebot muss in das Medienkonzept der Schule integriert sein und inhaltlich zum Unterricht passen.
- Das Angebot muss einen pädagogischen Mehrwert schaffen. Dieser definiert sich derart, dass das Angebot Lernziele ermöglicht, die pädagogisch sinnvoll sind und die ohne den Einsatz dieses Angebots nicht erreicht werden könnten.
- Es darf zu keiner Überfrachtung der Kinder mit Benutzerkonten und Passwörtern kommen. Ich halte maximal drei solche Konten für ein Kind als handelbar. Danach wird es diffus.
- Verlässt ein Kind die Schule, werden die Benutzerkonten geschlossen und die Daten gelöscht. Auch das ist wichtig und darf nicht vernachlässigt werden.
Lernportale im Internet sind grundsätzlich nicht die Umsetzung von digitalem Unterricht. Sie stellen eine zusätzliche Möglichkeit dar, Schülerinnen und Schüler zum Lernen zu animieren. Und viele der Angebote schaffen dabei einen pädagogischen Mehrwert. Ist dieses der Fall, sollte man nicht darauf verzichten, sondern den Einsatz fördern, ohne viel Bürokratie und ohne Einwilligung der Eltern. Denn es sollen alle Kinder die gleichen Bildungschancen haben und nicht die Kinder bessere, wo die Eltern in die Nutzung einwilligen bzw. dieser nicht widersprechen.
Es liegt an dem Gesetzgeber, mit dem Schulgesetz und mit Verordnungen, einen wirklich für die Praxis relevanten Rahmen zu schaffen. Dieser muss auch berücksichtigen, dass Schulen durchaus in einem Wettbewerb stehen und sich abgrenzen wollen. Dabei wollen viele Schulleitungen auch eigene digitale Wege gehen, um sich so ein eigenes Profil zu schaffen. Lehrkräfte gestalten ihren Unterricht grundsätzlich selbständig und nach eigenen Bedürfnissen. Diese Freiheiten müssen den Schulen und Lehrkräften auch in der Umsetzung von digitalem Unterricht erhalten werden.
Man kann also am Ende nüchtern resümieren, dass Digitalisierung an Schulen in jeder Hinsicht noch ganz am Anfang steht und der Weg noch ein weiter ist, bis am Ende die Digitalisierung ein selbstverständliches Zuhause in den Klassenzimmern unserer Kinder hat.