Schüler*innendaten auf privaten Geräten und Datenschutz

Datenschutz auf privaten Rechnern nicht zu gewährleisten

Das Cloudsystem Logineo ist erst einmal gestoppt, mit ihm auch eine neue, sehr restriktive Datenschutzerklärung, die das Verarbeiten von Schüler*innendaten auf privaten Geräten an strikte Bedingungen knüpft. Trotzdem bleibt Datenschutz für Lehrer*innen ein heikles Thema, das im Extremfall zu unangenehmen juristischen Konsequenzen führen kann.

Foto: StockSnap / Pixabay

Daten vor Diebstahl zu sichern, ist gar nicht einfach.Foto: WuPeng / Pixabay

Jede Schule speichert eine große Menge an Schüler*innendaten – das liegt aber in der Verantwortung der Schulleitung und braucht uns hier keine Bauschmerzen zu bereiten. Anders sieht es mit den Daten aus, die wir als einzelne Lehrer*innen zur Erfüllung unserer Aufgaben erheben, speichern und verarbeiten. Bereits Selbstverständlichkeiten wie Namen, Klassen und Fächer gelten als schützenswerte persönliche Daten, das gilt natürlich erst recht für Leistungsbewertungen oder Aufzeichnungen über Fehlzeiten und soziale bzw. gesundheitliche Auffälligkeiten.

Im Wesentlichen gibt es für Lehrer*innen drei verschiedene Szenarien der Verarbeitung von Schüler*innendaten, die juristisch aus guten Gründen ganz unterschiedlich gehandhabt werden.

Papiergebundene Datenverarbeitung

Das gute alte Notenbüchlein, Listen und Mappen, Hauptsache: alles un-digital, also auf Papier. Hier gelten nur wenige Regeln, man ist juristisch auf der sicheren Seite.

Auch ein Notenbuch kann natürlich in falsche Hände geraten und so zu einem Datenleck führen. Im Unterschied zu digital gespeicherten Daten ist es aber nicht möglich, etwa durch das Platzieren von Viren, Daten gezielt, massenhaft und automatisiert weltweit abzugreifen und weiterzuverarbeiten. Der potenzielle Schaden minimiert sich dadurch.

Elektronische Datenverarbeitung an Schulrechnern

Hier gelten strenge Regeln zum Datenschutz, die viele Schulrechner wahrscheinlich nicht erfüllen. Die gute Nachricht allerdings: Die Schulrechner fallen unter die Verantwortung der Schulleitung. Wenn einzelne Lehrer*innen z.B. Leistungsberichte und Förderpläne auf Schulrechnern tippen, speichern und ausdrucken sind sie jenseits der Einhaltung offensichtlicher und selbstverständlicher Schutzmaßnahmen (z.B. den PC nicht verlassen, wenn die Datei noch geöffnet ist) juristisch aus dem Schneider.

Elektronische Datenverarbeitung an privaten Geräten, z.B. PC, Laptop, Tablet, Handy

Hier wird die Sachlage leider schwierig und die Erklärung lang und komplex. Als Fazit stelle ich daher vorweg: Guten Gewissens kann man heute niemandem empfehlen, diesen Weg zu beschreiten. Juristisch sicher ist nur, wer sich bei der Verarbeitung von Schüler*innendaten auf Papier oder Schul-PCs beschränkt.

Wer sich trotzdem für die Details interessiert: In Sachen Datenschutz sind wir an verbindliche Regeln gebunden. Maßgeblich ist die »Verordnung über die zur Verarbeitung zugelassenen Daten von Schülerinnen, Schülern und Eltern (VO-DV I)« (BASS 10-44 NR. 2.1). Darin ist geregelt, dass die Speicherung (»Verarbeitung«) von Schüler*innendaten überhaupt nur dann erlaubt ist, wenn die Schulleitung auf Basis eines einschlägigen Formulars eine Genehmigung ausgesprochen hat. Wer einen entsprechenden Antrag gar nicht erst stellt – sei es auf Basis des neuen, für Logineo entwickelten Formulars oder auf Basis des viel komplizierteren, aber etwas weniger restriktiven alten Formulars – handelt sich also in jedem Fall Probleme ein. Das gilt natürlich auch, wenn man eine Genehmigung zwar beantragt, sich dann aber an die damit verbundenen Auflagen nicht hält oder eine veränderte Grundlage (neue Geräte, Software, Verlust eines Gerätes etc.) nicht meldet.

Nur wenig darf überhaupt gespeichert werden

Der Umfang der legal verarbeitbaren Daten ist abschließend geregelt und sehr begrenzt. Neben Daten zur Identifizierung der Person (Name, Klasse, etc.) handelt es sich im Wesentlichen um Leistungsdaten, Daten zu Fehlzeiten und Daten zu Monita (»blaue Briefe«). Dies alles natürlich nur für die Fächer und Schüler, die man selber unterrichtet. Klassenlehrer*innen und Tutor*innen dürfen diese Daten für alle von ihnen betreuten Schüler*innen in allen Fächern verarbeiten.

Der Begriff »Leistungsdaten« wird nicht weiter präzisiert und ist daher offen für Interpretation. Neben Ergebnissen schriftlicher Arbeiten und Aufzeichnungen zur sonstigen Mitarbeit könnten auch Aufzeichnungen über Hausaufgaben und vielleicht sogar Angaben zu Förderbedarf, sicher aber nicht Wortzeugnisse oder Förderpläne darunter fallen.

Gar nicht verarbeitet werden dürfen Daten zu sozialen und gesundheitlichen Auffälligkeiten, aber auch Listen über abgegebene Gelder, Zettel, etc. dürfen schon deshalb nicht verarbeitet werden, weil sie nicht in der abschließenden Liste enthalten sind.

Private Geräte müssen stark abgesichert sein

Neben dem beschränkten Umfang der zur Verarbeitung zugelassenen Daten werden sich in der Praxis vor allem die Anforderungen an die Sicherheit der Geräte und der Daten als Stolperstein erweisen.

Es gelten hier die Anforderungen des Datenschutzgesetzes Nordrhein-Westfalen, das eine Dokumentation über Art, Umfang, Herkunft und Zugänglichkeit der Daten sowie der zur Sicherung ergriffenen Schutzmaßnahmen verlangt. Wenn schon die Dokumentation selbst technikaffine Kolleg*innen an die Grenze ihrer Möglichkeiten bringt, so gilt dies erst recht für die vorgeschriebenen und zu dokumentierenden Maßnahmen:

  • Das Lesen und Verändern von Daten durch Dritte muss wirksam verhindert werden.
    Schwer umsetzbar, wenn etwa ein privater Laptop von Familienmitgliedern mitgenutzt wird. Getrennte Logins helfen hier nicht, wenn nicht auch die Daten selbst verschlüsselt und vor unbefugtem Zugriff bzw. Löschen geschützt werden.
  • Auch die ungewollte Veränderung oder Löschung der Daten muss wirksam verhindert werden. Verschlüsselte (oder weggeschlossene) Backups außerhalb des jeweils betroffenen Geräts sind unabdingbar, aber Vorsicht: sie dürfen selbstverständlich nicht in einer Cloud liegen.
  • Auch gegen Virenbefall müssen effektive Maßnahmen ergriffen und dokumentiert werden.
  • Die Daten müssen »revisionssicher« sein. Das bedeutet, dass jederzeit eindeutig feststellbar sein muss, wer welche Daten wann bearbeitet hat. Dateien müssen also eindeutig einer bestimmten Besitzer*in zugeordnet sein und es muss ausgeschlossen sein, dass jemand anders sich als diese Besitzer*in ausgibt bzw. Zugriff auf deren Daten erlangt.
  • Ergänzt werden diese Anforderungen noch um die Forderung nach einem integrierten und dokumentierten Sicherheitskonzept, das mögliche Gefahren für die Unversehrtheit und Vertraulichkeit der Daten analysiert und jeweils geeignete Schutzmaßnahmen konkret benennt.

Das ist mehr, als die meisten IT-Profis auf ihren Privatgeräten umsetzen können.

Löschfristen beachten!

Ferner gilt es, die Löschfristen zu beachten: Natürlich dürfen nur die zur Ausübung unseres Berufes erforderlichen Daten verarbeitet und gespeichert werden, d.h. dass die Daten von Schüler*innen, die wir nicht mehr unterrichten, gelöscht werden müssen: Spätestens mit Ende des (Kalender-)jahres, das auf den Abgang aus unserem Unterricht folgt. Das gilt auch dann, wenn nur eine einzelne Schüler*in die Klasse verlässt: Deren Daten müssen dann früher als die der weiter unterrichteten Mitschüler*innen gelöscht werden. Gegebenenfalls müssen also Daten zu einzelnen Schüler*innen aus Listen herausoperiert werden oder sicherheitshalber die Daten aller Schüler*innen dieser Klasse gelöscht werden.

Schüler*innendaten müssen nach Ablauf der Frist auch dann gelöscht werden, wenn absehbar ist, dass eine abgegebene Klasse in Zukunft erneut unterrichtet wird und die Daten dadurch erneut relevant werden.

Es versteht sich von selbst, dass eine Datenlöschung komplett sein muss, also auch eventuelle Backups mit einschließt.

Fazit: lieber keine Schüler*innendaten auf privaten Geräten

Als Fazit habe ich ja bereits oben formuliert: Diese Maßnahmen kann eigentlich nur ein IT-Profi lückenlos garantieren und umsetzen. Lehrer*innen fehlt es außer an der nötigen Kompetenz in der Regel auch an Zeit und technischer Ausstattung hierzu. Wer einen Antrag auf Genehmigung zur Verarbeitung von Schüler*innendaten auf privaten Geräten stellt, verpflichtet sich dabei also zu Maßnahmen, die er oder sie gar nicht garantieren kann. Damit ist die Datenverarbeitung illegal, im Falle eines Datenlecks sind die Folgen unabsehbar.

Mitgefangen sind übrigens auch die Schulleiter*innen, die die oben genannten Anträge bewerten und ggf. genehmigen müssen – ihnen fehlt erst recht die Kompetenz, die individuell sehr unterschiedliche IT-Ausstattung der Lehrer*innen hinsichtlich ihrer Sicherheit zu bewerten. Das einzige, was sie sicher wissen können, ist, dass quasi niemand in der Lage ist, private Geräte hinreichend abzusichern. Guten Gewissens können Schulleiter*innen sämtliche Anträge zur Nutzung privater Geräte also eigentlich nur ablehnen.

Was ich nicht weiter diskutiert habe: Auch das Verschicken von Daten – sei es als Textdokument oder als Foto, sei es per Mail, im Chat oder sonstwie stellt eine Datenverarbeitung dar und unterliegt somit den gleichen Regeln und Beschränkungen.

Wie nun weiter?

Eine sichere Wahl ist wie oben dargestellt die Selbstbeschränkung auf papiergebundene Datenbearbeitung oder auf Schulcomputer. Wer dazu nicht bereit ist, mag sich über alle Bedenken hinwegsetzen und – mit oder ohne Schulleiter*innengenehmigung – eigene Geräte nutzen und so gut wie möglich absichern. Solange es nicht zu einem Datenleck mit Folgen für die Betroffenen kommt, wird es wahrscheinlich gutgehen. Legal ist es aber sicher nicht.

Mittelfristig ist klar, dass die Digitalisierung des Lehrer*innenjobs nur dann möglich wird, wenn der Schulträger die dafür nötigen Geräte anschafft, pflegt und vor allem: deren Datensicherheit juristisch wie faktisch garantiert.