Seit drei Jahren gilt nun die Datenschutz-Grundverordnung (DS-GVO) der Europäischen Union. Seit drei Jahren haben wir in der EU ein einheitliches Datenschutzrecht. Das allein ist schon mal ein riesen Vorteil.
Ich kann mich noch gut an das Wehklagen von vor drei Jahren erinnern: Die Wirtschaft! Die Medizin! Abgesehen von der Tatsache, dass die DS-GVO immer dann herhalten muss, wenn mal wieder etwas schief gelaufen ist, konnte ich nicht erkennen, dass Unternehmen dem Untergang geweiht waren, nur weil am 25. Mai 2018 die DS-GVO in Kraft getreten ist.
Komisch, damals hat niemand geklagt: Die Bildung! Das kam dann knapp zwei Jahre später. Die Pandemie mit einhergehenden Schulschließungen, mit Distanzunterricht und mit dem Zwang, Unterrichtsprozesse zu digitalisieren, hat unser deutsches Dilemma aufgedeckt. Die Bildung hat nicht geklagt. Wahrscheinlich war man sich in dem Bereich gar nicht bewusst, dass Datenschutz je eine Rolle spielen könnte. Plötzlich stand das Thema auf der Tagesordnung. Zum dritten Jahrestag der Einführung der DS-GVO ist der Bildungsbereich der Bereich, in dem intensiv an und mit dem Thema Datenschutz gearbeitet werden muss.
In den vergangen Wochen häufen sich Fragen zur datenschutzrechtlichen Zulässigkeit von Unterrichtsprozessen, besonders wenn es um den Einsatz von Online-Tools geht. Ich möchte hier die wesentlichen Überlegungen zusammenfassen.
Die erste zu beantwortende Frage ist die Frage nach der verantwortlichen Stelle. Wer entscheidet über Zwecke und Mittel bei der Verarbeitung personenbezogener Daten Art. 4 Punkt 7 DS-GVO)? Für unser Thema läuft das auf die simple Frage hinaus, ob es sich um rein private Aktivitäten handelt oder ob es sich um institutionalisierte Prozesse handelt. Die DS-GVO gilt explizit nicht im ausschließlich familiäre oder privaten Bereich (Art. 2 Abs. 2 Buchstabe c DS-GVO). Ich denke wir können uns jetzt darauf verständigen, dass Unterrichtsprozesse niemals ausschließlich familiär oder privat sind. Wir sind also zunächst im Wirkungsbereich der DS-GVO.
Im nächsten Schritt müssen wir prüfen, ob überhaupt datenschutzrelevante Prozesse umgesetzt werden. Finden Datenerhebungen, Datenspeicherungen, Datennutzungen oder Datenweitergaben statt? Wenn es um die Themen Online-Tools und Fernunterricht geht, besteht zumindest der Verdacht, dass mindestens einer der genannten Prozesse umgesetzt wird. Wir verlassen also auch an dieser Stelle nicht den Wirkungsbereich der DS-GVO.
Eine entscheidende Frage lautet: Sind denn tatsächlich Daten identifizierbarer natürlicher Personen involviert? Wenn eine hinreichende Anonymisierung natürlicher Personen stattfindet, bleibt das Thema Datenschutz zwar auf der Tagesordnung. Es wird allerdings vieles leichter. Für eine Anonymisierung kann beispielsweise auf eine Kombination aus Vorname und erstem oder den ersten beiden Buchstaben des Familiennamens zurückgegriffen werden. SuS sind für ihre Lehrpersonen immer noch identifizierbar. Nach außen hin sind sie allerdings hinreichend anonymisiert. Alternativ kann auf eine Pseudonymisierung zurückgegriffen werden. Ein denkbares Pseudonym kann eine Schülernummer sein. Auch bei dieser Methode gilt: SuS sind für Lehrpersonen identifizierbar. Nach außen hin ist das auch hier nicht möglich. Schwieriger für den weiteren Verlauf einer datenschutzrechtlichen Bewertung sind Situationen, in denen tatsächlich personenbezogene Daten genutzt werden. Macht es sich beispielsweise erforderlich, Schülerdaten wie z. B. den vollständigen Namen, eine Mail-Adresse oder eine Telefonnummer zu nutzen? Jedes Tool, in dem eine Mailadresse der SuS genutzt werden muss, gehört beispielsweise in diese Situation. Noch immer können wir den Wirkungsbereich der DS-GVO nicht verlassen.
Entspannung stellt sich also ein, wenn Daten von SuS anonymisiert oder pseudonymisiert werden können. Die Konsequenzen allerdings sollen an dieser Stelle nicht weiter besprochen werden.
Spannend wird es tatsächlich, wenn personenbezogene Daten von SuS zur Nutzung gelangen. An dieser Stelle ist die Rechtmäßigkeit der Verarbeitung gemäß Art. 6 DS-GVO zu prüfen. Eine Datennutzung auf Grund einer Erfüllung gesetzlicher Erfordernisse (Art. 6 Abs. 1 Buchstabe c DS-GVO) kann ich nicht ausmachen. Die Rechtsgrundlage Vertragserfüllung (Art. 6 Abs. 1 Buchstabe b DS-GVO) kann dann benutzt werden, wenn es einen Schulvertrag gibt und wenn in diesem Methoden und betroffene Datenkategorien beschrieben sind. Als sehr problematisch schätze ich die Rechtsgrundlage Einwilligung (Art. 6 Abs. 1 Buchstabe a DS-GVO) ein. Eine Einwilligung muss freiwillig erfolgen (Art. 7 Abs. 4 DS-GVO). Gibt es keine Alternative zu Online-Tools und Fernlernen unter Nutzung personenbezogener Daten, so scheint mir eine Freiwilligkeit auch gemäß Erwägungsgründe 42 und 43 DS-GVO nicht gegeben zu sein.
Was bedeutet das nun für die Praxis? Entspannung stellt sich ein, wenn keine personenbezogene Schülerdaten genutzt werden. Das Zauberwort lautet hier Anonymisierung. Auf eine Nutzung personenbezogener Daten sollte unbedingt verzichtet werden. Die Nutzung beispielsweiser einer Mail-Adresse fällt in die Prozesse Datenerhebung, Datenspeicherung und Datennutzung hinein. Dafür eine Rechtsgrundlage zu finden, dürfte schwer fallen.
Das Thema „offene Kontaktlisten“ scheint ein Dauerbrenner zu sein. So richtig durchgestartet ist das Thema in der Pandemie-Situation. In verschiedenen Bundesländern werden Gästelisten in Restaurants geführt. Frisöre, Kosmetikstudios und andere Einrichtungen sind auch in der Pflicht.
Jedoch ist sind offene Kontaktlisten keine neue Erscheinung. Bei Weiterbildungen, bei Veranstaltungen, im Elternabend gehen Listen herum. Die Teilnehmer* innen sollen ihre Daten eintragen oder schlimmer noch, umfangreiche Daten kontrollieren/korrigieren.
Es war nur eine Frage der Zeit, dass Bußgelder verhängt werden. Die Aufsicht führende Behörde in Hamburg hat die Verfahren zur Gäste- und Besucherdokumentation kontrolliert, Verbesserungsvorschläge unterbreitet und die Ergebnisse kommuniziert. Offensichtlich hat das nicht ausgereicht. Jetzt wurden auch Bußgelder verhängt.
Ich finde das gut so. Eben weil das Thema „offene Kontaktlisten“ in unterschiedlichen Ausprägungen ein Dauerbrenner ist. Ich habe schon zwei Mal die Lokalität wechseln müssen, weil man mit einer Liste ankam, in der ich meine Kontaktdaten erfassen sollte.
Es ist Sommer, es sind Ferien und eigentlich sollte man nicht über diese Themen nachdenken müssen. Aber … ich sehe ein Foto in der Wirtschaftswoche mit einem Overheadprojektor (Polylux). Mein Freund/Kollege und ich, wir planen die feierliche Verbrennung aller Overheadprojektoren im Innenhof der Schule. Allerdings wollen wir damit warten, bis wir den Digitalpakt umgesetzt haben. Soviel zum Thema „Sommer, Ferien und nicht an die Arbeit denken“.
Beginnen wir mal mit dem Datenschutz. In der Süddeutschen las ich heute ein schönes Interview mit Peter Hense, Rechtsanwalt aus Leipzig und auf Fragen des Datenschutzes spezialisiert. Ich habe Peter Hense auf dem Datenschutztag 2020 in Berlin erlebt. Dort hat er bereits seine Position zum Thema Videokonferenztools deutlich gemacht. Im Interview bleibt er bei seiner auf dem Datenschutztag geäußerten Position. Nur weil die Kultusministerien der Länder in den vergangenen Jahren gepennt haben, es keine Pläne für digitalen Unterricht gibt, werden Tools wie Microsoft Teams und Zoom geduldet. Was das für Schülerinnen und Schüler bedeuten kann, wird weggeschwiegen.
Dann kommt mir heute noch ein Artikel in der Wirtschaftswoche unter. „Prähistorische Digitalkenntnisse gefährden den Arbeitsmarkt von morgen“ Zum wiederholten Mal werden grundlegende Reformen der Lehrpläne gefordert. SuS müssen besser auf die digitalen Erfordernisse der Arbeitswelt vorbereitet werden. Wir gefährden seit Jahren den Standort Deutschland. Das Problem ist längst bekannt, jedoch getan hat sich nix. Eine dritte Leseempfehlung kommt hinzu. Das Deutsche Schulportal hat sich mit der Frage auseinander gesetzt, welche digitalen Kompetenzen eigentlich SuS mitbringen. Die Antwort ist ernüchternd und doch vorhersehbar: Kaum praxisrelevante.
Was also ist das Fazit? In den letzten Wochen wurde viel gesagt und geschrieben zu den Defiziten von Lehrerinnen und Lehrern. Weniger gesagt wurde zu den Defiziten on SuS. Auch darüber muss gesprochen werden. Genau so muss über Infrastruktur gesprochen werden. Wie werden Schulen ausgestattet? Wie werden LuL befähigt, Technik zu nutzen, Methoden anzupassen? Die Partizipation am Digitalpakt erfordert (zumindest im Freistaat Sachsen) ein Medienbildungskonzept für Lehrpersonen. Es geht nicht einfach darum, Technik anzuschaffen ohne Sinn und Verstand – hauptsache haben. Das ist ein völlig falsches Konzept. Es geht um Fragen wie „Wo liegen Bezugspunkte in den Lehrplänen?“, „An welchen Stellen des Unterrichtens zeigen sich Vorteile bei der Digitalisierung?“ usw.
Wenn wir über mangelnde digitale Kompetenzen bei SuS sowie bei LuL sprechen, dann müssen wir zwangsläufig auch über Datenschutz sprechen. Sätze wie „Über Datenschutz können wir nachdenken, wenn Zeit dafür ist! Jetzt muss ich erst mal Unterricht absichern.“, „Ich weiß, dass es so was wie Datenschutz gibt, aber der interessiert mich gerade recht wenig!“… Ich könnte seitenweise weiter Beispiele liefern. Datenschutz als geltendes Recht anerkennen und umsetzen können zählt für mich zu den Basiskompetenzen. Wie will ich informationelle Selbstbestimmung als Gut vermitteln, wenn ich selbst keinen Bezug zum Datenschutz habe?
Die Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Berlin, Maja Smoltczyk, hat im Streit mit Microsoft und Zoom nachgelegt. In der heute (03.07.2020) veröffentlichten Handlungshilfe „Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenz-Diensten“ gibt es ein Ampelsystem zur Kennzeichnung von Diensten, die aus datenschutzrechtlicher Sicht geeignet oder eben auch nicht geeignet sind. Skype, Skype Business und Zoom sind weiterhin mit rot als nicht geeignet gekennzeichnet. Gleiches gilt übrigens auch für Microsoft Teams.
Die Nutzung dieser Dienste geht als weiter mit dem Risiko eines Datenschutzverstoßes einher, der bußgeldbewehrt ist. Die Begründungen, warum einzelne Anbieter so bewertet wurden, finden sich im Abschnitt „Anmerkungen zu den einzelnen Anbietern“ am Ende des Dokuments. Im Grunde geht es um die rechtswidrige Nutzung von Teilnehmerdaten und um unklare Verarbeitungsvorgänge.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit BW veröffentlichte am 24. Juni 2020 eine Pressemitteilung zum Thema Zoom im Besonderen und Videokonferenzen im schulischen Umfeld im Allgemeinen.
Er erkannte an, dass Zoom nach allen bisher geäußerten Kritikpunkten reagiert und nachgebessert hat.
Interessant an der Pressemitteilung finde ich folgende Stelle:
Seit Beginn der Corona-Pandemie wird die Diskussion geführt, welches Videokonferenz-System sicher und datenschutzgerecht ist und welches das nicht ist.
Es geistern Tools wie Microsoft Teams, Skype, Zoom, Jitsi, Big Blue Button, Webex und noch viele weitere durch die Gegend.
Zu Beginn dieser Phase war Zoom mit der App ganz dolle böse. Die App gab Daten weiter. Das Problem wurde dann behoben. Da war Zoom zunächst einmal ein ganz gut geeignetes Tool. Die Daten allerdings liegen in den USA.
Wie soll man denn nun vorgehen, wenn es um die Bewertung von Hilfsmitteln im Hinblick auf das Thema Datenschutz geht?
Wer ist die verantwortliche Stelle?
Datenschutz gilt ausdrücklich nicht im Privaten (Art. 2 Abs. 2 lit. c DS-GVO). Also als Privatperson kann ich jedes Tool nutzen, das mir gerade über den Weg läuft. Gestalte ich als Lehrperson meinen Unterricht, kommuniziere ich mit Kunden, mit Patienten usw., dann ist mein Arbeitgeber die verantwortliche Stelle und die DS-GVO kommt zur Anwendung.
Werden überhaupt personenbezogene Daten erhoben, gespeichert, verarbeitet oder weitergegeben?
In einem Zustand der völligen Anonymität muss Datenschutz nicht berücksichtigt werden. Sobald aber die genutzten Daten einer natürlichen Person zugeordnet werden können, sieht das anders aus. Bei Videokonferenzen fallen Transportdaten (IP-Adressen, ev. Mail-Adressen, Autorisierungsangaben…) an. Mindestens IP- und Mail-Adresse lassen eine Identifizierung zu. Bei den Inhaltsdaten kommen Videodaten ins Spiel, wenn die Kamera genutzt wird. Textangaben werden vielleicht im Chat erhoben.
Auf welche Rechtsgrundlagen kann sich die verantwortliche Stelle beziehen?
Schön isses immer, wenn es eine gesetzliche Grundlage für die Datennutzung gibt. Da fällt mir keine ein, die bei Videokonferenzen herangezogen werden könnte.
Hat man in weiser Voraussicht entsprechende Formulierungen in Verträgen stehen, dann kann man sich auf Vertragserfüllung als Ausnahmetatbestand berufen. Das können Schulen z. B. im Schul- oder im Ausbildungsvertrag regeln. Vielleicht ist auch die Schulordnung ein geeigneter Platz.
Dann gäbe es noch die Einwilligung. Eine Einwilligung muss freiwillig erfolgen und sie muss dokumentiert sein. Außerdem ist sie jederzeit widerrufbar. Die Einwilligung ist also wenig geeignet, Unterricht in Zeiten der Pandemie mit Videokonferenztools zu gestalten.
Bleibt das besondere Interesse der verarbeitenden Stelle. Das allerdings ist ein Leichtgewicht-Argument. Nur wenn es absolut keine datenschutzgerechten Alternativen gibt, kann ich vielleicht das besonderes Interesse ins Feld schicken.
Mein Fazit zu diesem Punkt: Wer nicht in der Glaskugel die Pandemie hat heraufziehen sehen und vorsorglich seine Verträge vor Vertragsschluss angepasst hat, steht doof da, zumindest was die Nutzung von Videokonferenzen und einiger anderer Online-Tools betrifft.
Wie kann man nun sauber aus diesem Dilemma heraus kommen?
Wie bereits gezeigt: Vertragserfüllung ist die beste Lösung. Auf diese werden sich aber viele verantwortliche Stellen nicht berufen können. Die Einwilligung ist blöd. Was mache ich mit den SuS, die nicht einwilligen?
Schritt 1: Eigener Server – Beim eigenen Videokonferenz-Server verlassen die Daten nicht die verantwortliche Stelle. Eine Weitergabe der Daten nach außen oder gar in ein unsicheres Drittland (z. B. USA) kommt nun nicht mehr vor.
Schritt 2: Auswahl einer geeigneten Software – Die Lizenzform Open Source garantiert ein beachtliches Maß an Transparenz. Wenn dann dann noch die Plattform technik- und softwareneutral genutzt werden kann, ist schon mal viel gewonnen. Ich zwinge die Nutzer nicht, eine App zu installieren, wenn das Meeting auch im Web-Browser läuft.
Schritt 3: Minimierung der genutzten personenbezogenen Daten – Wenn keine Anmeldung zu einem Meeting mit einer Webadresse erforderlich ist, fällt diese Datenkategorie schon mal weg. Treten die SuS mit ausgeschalteter Kamera dem Meeting bei, ist auch diese Hürde ausgeräumt. Da der Chat innerhalb der verantwortlichen Stelle bleibt und zum Ende des Meetings gelöscht wird, ist das Thema auch kein wirkliches Thema mehr. Heikel bleiben Aufzeichnungen der Meetings. Aber die können ja untersagt werden.
Wenn man diesen Punkten Beachtung schenkt, dann sieht das Leichtgewicht „Besonderes Interesse der verantwortlichen Stelle nach Risikoabwägung“ plötzlich gar nicht mehr wie ein Leichtgewicht aus. Vielmehr eröffnet sich hiermit die Möglichkeit, Videokonferenzen datenschutzkonform durchzuführen.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit schreibt zum Thema in ihrer „Checkliste für die Durchführung von Videokonferenzen während der Kontaktbeschränkungen“ vom 22. Mai 2020:
Am 5. Mai 2020 aktualisierte der Europäische Datenschutzausschuss (EDSA) die Leitlinien. Der Bundesbeauftragte für Datenschutz und Informationsfreiheit Prof. Ulrich Kelber ist Mitglied des EDSA. Er begrüßte die Änderungen.
Ausgangslage
Immer noch existieren Websites, die durch geeignete Maßnahmen den Nutzern Tracking unterjubeln.
Leitlinien
Ein Cookie-Wall ist eine Maßnahme, die das Nutzen einer Website ohne Cookie-Einwilligung unmöglich macht. Die Leitlinien erlauben Cookie-Walls nur noch, wenn eine Nutzungsalternative, beispielsweise als Bezahldienst, existiert.
Zweiter wichtiger Fakt: Die Nutzung einer Website stellt keine Einwilligung dar. Das ist an sich nicht neu. Bisher galt bereits, dass eine Einwilligung immer durch einen aktiven Akt erklärt werden muss.
Guten Tag und herzlich willkommen in meinem Datenschutz-Blog.
Spätestens seit dem 25. Mai 2018, dem Tag, an dem die Datenschutz-Grundverordnung der Europäischen Union in Kraft trat, ist das Thema Datenschutz zu einem festen Begleiter geworden.
Der Bundesbeauftragte für Datenschutz und informationelle Selbstbestimmung hat gegenüber der 1&1 Telecom GmbH ein Bußgeld in Höhe von 9.550.000 Euro verhängt. Die Telefonhotline von 1&1 gab umfangreiche Auskünfte zu Kundendaten. Eine Identifikation erfolgte lediglich über Name und Geburtsdatum. Obwohl sich 1&1 einsichtig zeigte und Maßnahmen ergriff („…bitte halten Sie ab sofort immer Ihre persönliche 1&1 Service-PIN sowie zusätzlich Ihre 1&1 Rufnummer oder Ihre 1&1 Vertragsnummer bereit, wenn Sie bei uns anrufen. So kann der telefonische Kundenservice Sie als Vertragspartner identifizieren.“ aus der Kunden-E-Mail), fiel das Bußgeld doch bemerkenswert hoch aus.
Der Bundesbeauftragte dazu:
„Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden.“ (https://www.bfdi.bund.de/SiteGlobals/Modules/Buehne/DE/Startseite/Pressemitteilung_Link/HP_Text_Pressemitteilung.html)
X
Zustimmung verwalten
Um dir ein optimales Erlebnis zu bieten, verwenden wir Technologien wie Cookies, um Geräteinformationen zu speichern und/oder darauf zuzugreifen. Wenn du diesen Technologien zustimmst, können wir Daten wie das Surfverhalten oder eindeutige IDs auf dieser Website verarbeiten. Wenn du deine Zustimmung nicht erteilst oder zurückziehst, können bestimmte Merkmale und Funktionen beeinträchtigt werden.
Funktional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.
Du muss angemeldet sein, um einen Kommentar zu veröffentlichen.