Mit dem Schuljahresstart im Herbst könnte es erneut zu Schulschließungen kommen. Mit Distanzunterricht steht auch erneut die Frage nach Klausuren und mündlichen Leistungskontrollen im Raum. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat dafür jetzt eine Handreichung verfasst.
Der Grund für das Verfassen der Handreichung lässt sich in den zum Teil gravierenden Datenschutzverstößen an Universitäten, Hoch- und Fachhochschulen bei Online-Prüfungen finden.
Am 13. Mai 2021 habe ich meinen WhatsApp-Account gekündigt. Und? Was hat es mir gebracht? Das Gute zuerst: Ich bemerke bisher keine Einschränkungen. Weltweit betrachtet gibt es durchaus eine gewisse Tendenz, WhatsApp und damit dem Facebook-Konzern den Rücken zu kehren. Wirtschaftlich spürbar ist die Abwanderungsbewegung für WhatsApp wahrscheinlich nicht. Aktuelle Zahlen zum Thema habe ich bisher nicht finden können. Was wären denn die Alternativen? In Deutschland beispielsweise hat es keine bemerkenswerte Bewegung weg von WhatsApp hin zu Alternativen gegeben. Wahrscheinlich sind die Alternativen zu wenig bekannt.
Telegram
Derzeit befindet sich, gemessen an den Nutzerzahlen, Telegramm auf Platz 2 nach WhatsApp. Man geht aktuell von etwa 500 Millionen Nutzern aus. Im Vergleich dazu rechnet man bei WhatsApp mit etwa 1,2 bis 1,5 Milliarden Nutzern. Der größte Nachteil von Telegrammen besteht aus meiner Sicht darin, dass eine End-to-End-Verschlüsselung nicht als Standard angeboten wird. Dafür muss erst die Funktion „Geheimen Chat starten“ verwendet werden. Gruppen können hier bis zu 250.000 Mitglieder enthalten. Öffentlich zugängliche Kanäle lassen sich erstellen. Das macht Telegram in einigen Kreisen besonders beliebt. Der Unternehmenssitz befindet sich in London.
Signal
Ein Pro-Argument für Signal lautet oft: Edward Snowden und Elon Musk empfehlen Signal. Anders als die anderen Kindern ist Signal nicht gewinnorientiert. Die gemeinnützige Stiftung finanziert sich über Spenden. Der Drang, Nutzerdaten zu versilbern kann Signal gegenwärtig nicht unterstellt werden. Die Chats sind End-to-End-verschlüsselt. Kontakt- und Metadaten werden nicht bei Signal gespeichert. Das macht Signal aus Sicht des Datenschutzes sympathisch. Die Chats selbst werden auf dem lokalen Endgerät gespeichert. Dadurch entfällt zwar die Möglichkeit eines Backups, aber das Datenschutzniveau bleibt hoch.
Threema
Personenbezogene Daten werden hier für die Einrichtung eines Benutzeraccounts nicht benötigt. Die Threema-ID als Identifikationsmerkmal wird beim Anlegen des Accounts erstellt. Die Server stehen in der Schweiz, einem datenschutzrechtlich sicheren Drittstaat. Hat ein Nutzer eine Nachricht vom Server abgerufen, wird diese dort gelöscht. Die Kontaktlisten werden auf den Servern nur anonymisiert gespeichert. Metadaten werden weder erzeugt noch gespeichert. Zumindest unter noch funktionierenden Geräten mit gleichem Betriebssystem ist ein Backup möglich. Aus meiner Sicht ist Threema der Dienst mit dem höchsten Datenschutzniveau.
Wire
Wire ist sicherlich der Exot unter den Messenger. In Berlin entwickelt, war Wire als Konkurrenz zu WhatsApp gedacht. Nicht nur gegen WhatsApp, auch gegen Telegramm, Signal oder Threema konnte sich Wire nicht durchsetzen. Die Entwickler haben Wire jetzt eher als Konkurrenz zu Slack und zu anderen Kollaborationstools in Stellung gebracht.
Mein Fazit
Ich komme gut mit der Kombination aus vielen Tools zurecht. Insofern verspüre ich keine großen Kommunikationsverluste nach dem Weggang von WhatsApp. Mein persönlicher Favorit ist Threema, auch wenn die App nicht kostenfrei abgegeben wird. Das hohe Datenschutzniveau ist mir die 3,49 € allemal wert. Im Unterricht befrage ich immer wieder meine Schüler*innen zu dem Thema. Ich stelle auch hier fest, dass es keinen bemerkenswerten Trend weg von WhatsApp gibt. In allen Klassen, in denen ich seit dem 15. Mai 2021 unterrichtet habe, konnte ich genau eine Schülerperson finden, die ebenfalls WhatsApp verlassen hat. Die Frage, wer überhaupt WhatsApp nutzt, habe ich in diesem Zusammenhang nicht gestellt.
Der Bundestag hat am 10. Juni 1976 das Bundesdatenschutzgesetz beschlossen. Seit 45 Jahren gibt es nun in Deutschland (West) eine gesetzliche Grundlage für den Schutz unserer Privatheit. Gern wird das Argument gezogen, dass sich doch niemand sorgen muss, der nichts zu verbergen hat. „Wer gesetzestreu lebt, muss sich keine Gedanken machen.“ Ich finde, dass die Art, wie ich lebe, liebe, denke niemanden etwas angeht. Es sei denn, ich möchte, dass daraus etwas bekannt wird.
Digitale Kommunikation und Social Media, Online-Shopping und digitale Informationsbeschaffung haben die Situation noch verschärft. Die Corona-Pandemie stellt eine weitere Zuspitzung des Themas dar.
„Wir haben ein Problem in diesem Land mit Datenschutz. Die Corona-Warnapp hat nicht das gebracht, was sie sollte. Darüber brauchen wir eine politische Debatte, ob wir uns nicht von lieb gewordenen deutschen Mentalitäten trennen müssen.“ (Quelle: Twitter)
Wir haben kein Problem mit dem Datenschutz in Deutschland. „Deutsche Mentalitäten“ im Kontext eines Gesetzes anzuführen, erscheint mehr als polemisch. Wir haben tatsächlich ein massives Problem mit dem Datenschutz in Deutschland. Wir haben ein Problem mit der Ausprägung eines datenschutzgerechten Denkens. Datenschutz und informationelle Selbstbestimmung findet in Schulbildung kaum Niederschlag. Wenn Lehrpersonen zu Beginn der Schulschließung auf Tools für Distanzunterricht setzen, ohne dabei auf Datenschutz zu achten, dann verdeutlicht das unsere Situation.
Was ist also zu tun? Lehrpersonen habe eine Vorbildfunktion. Diese muss kompetent wahrgenommen werden. Datenschutz und informationelle Selbstbestimmung muss sich im Unterricht wiederfinden. Es genügt nicht, eine Unterrichtsstunde pro Schuljahr dafür aufzuwenden.
Seit drei Jahren gilt nun die Datenschutz-Grundverordnung (DS-GVO) der Europäischen Union. Seit drei Jahren haben wir in der EU ein einheitliches Datenschutzrecht. Das allein ist schon mal ein riesen Vorteil.
Ich kann mich noch gut an das Wehklagen von vor drei Jahren erinnern: Die Wirtschaft! Die Medizin! Abgesehen von der Tatsache, dass die DS-GVO immer dann herhalten muss, wenn mal wieder etwas schief gelaufen ist, konnte ich nicht erkennen, dass Unternehmen dem Untergang geweiht waren, nur weil am 25. Mai 2018 die DS-GVO in Kraft getreten ist.
Komisch, damals hat niemand geklagt: Die Bildung! Das kam dann knapp zwei Jahre später. Die Pandemie mit einhergehenden Schulschließungen, mit Distanzunterricht und mit dem Zwang, Unterrichtsprozesse zu digitalisieren, hat unser deutsches Dilemma aufgedeckt. Die Bildung hat nicht geklagt. Wahrscheinlich war man sich in dem Bereich gar nicht bewusst, dass Datenschutz je eine Rolle spielen könnte. Plötzlich stand das Thema auf der Tagesordnung. Zum dritten Jahrestag der Einführung der DS-GVO ist der Bildungsbereich der Bereich, in dem intensiv an und mit dem Thema Datenschutz gearbeitet werden muss.
In den vergangen Wochen häufen sich Fragen zur datenschutzrechtlichen Zulässigkeit von Unterrichtsprozessen, besonders wenn es um den Einsatz von Online-Tools geht. Ich möchte hier die wesentlichen Überlegungen zusammenfassen.
Die erste zu beantwortende Frage ist die Frage nach der verantwortlichen Stelle. Wer entscheidet über Zwecke und Mittel bei der Verarbeitung personenbezogener Daten Art. 4 Punkt 7 DS-GVO)? Für unser Thema läuft das auf die simple Frage hinaus, ob es sich um rein private Aktivitäten handelt oder ob es sich um institutionalisierte Prozesse handelt. Die DS-GVO gilt explizit nicht im ausschließlich familiäre oder privaten Bereich (Art. 2 Abs. 2 Buchstabe c DS-GVO). Ich denke wir können uns jetzt darauf verständigen, dass Unterrichtsprozesse niemals ausschließlich familiär oder privat sind. Wir sind also zunächst im Wirkungsbereich der DS-GVO.
Im nächsten Schritt müssen wir prüfen, ob überhaupt datenschutzrelevante Prozesse umgesetzt werden. Finden Datenerhebungen, Datenspeicherungen, Datennutzungen oder Datenweitergaben statt? Wenn es um die Themen Online-Tools und Fernunterricht geht, besteht zumindest der Verdacht, dass mindestens einer der genannten Prozesse umgesetzt wird. Wir verlassen also auch an dieser Stelle nicht den Wirkungsbereich der DS-GVO.
Eine entscheidende Frage lautet: Sind denn tatsächlich Daten identifizierbarer natürlicher Personen involviert? Wenn eine hinreichende Anonymisierung natürlicher Personen stattfindet, bleibt das Thema Datenschutz zwar auf der Tagesordnung. Es wird allerdings vieles leichter. Für eine Anonymisierung kann beispielsweise auf eine Kombination aus Vorname und erstem oder den ersten beiden Buchstaben des Familiennamens zurückgegriffen werden. SuS sind für ihre Lehrpersonen immer noch identifizierbar. Nach außen hin sind sie allerdings hinreichend anonymisiert. Alternativ kann auf eine Pseudonymisierung zurückgegriffen werden. Ein denkbares Pseudonym kann eine Schülernummer sein. Auch bei dieser Methode gilt: SuS sind für Lehrpersonen identifizierbar. Nach außen hin ist das auch hier nicht möglich. Schwieriger für den weiteren Verlauf einer datenschutzrechtlichen Bewertung sind Situationen, in denen tatsächlich personenbezogene Daten genutzt werden. Macht es sich beispielsweise erforderlich, Schülerdaten wie z. B. den vollständigen Namen, eine Mail-Adresse oder eine Telefonnummer zu nutzen? Jedes Tool, in dem eine Mailadresse der SuS genutzt werden muss, gehört beispielsweise in diese Situation. Noch immer können wir den Wirkungsbereich der DS-GVO nicht verlassen.
Entspannung stellt sich also ein, wenn Daten von SuS anonymisiert oder pseudonymisiert werden können. Die Konsequenzen allerdings sollen an dieser Stelle nicht weiter besprochen werden.
Spannend wird es tatsächlich, wenn personenbezogene Daten von SuS zur Nutzung gelangen. An dieser Stelle ist die Rechtmäßigkeit der Verarbeitung gemäß Art. 6 DS-GVO zu prüfen. Eine Datennutzung auf Grund einer Erfüllung gesetzlicher Erfordernisse (Art. 6 Abs. 1 Buchstabe c DS-GVO) kann ich nicht ausmachen. Die Rechtsgrundlage Vertragserfüllung (Art. 6 Abs. 1 Buchstabe b DS-GVO) kann dann benutzt werden, wenn es einen Schulvertrag gibt und wenn in diesem Methoden und betroffene Datenkategorien beschrieben sind. Als sehr problematisch schätze ich die Rechtsgrundlage Einwilligung (Art. 6 Abs. 1 Buchstabe a DS-GVO) ein. Eine Einwilligung muss freiwillig erfolgen (Art. 7 Abs. 4 DS-GVO). Gibt es keine Alternative zu Online-Tools und Fernlernen unter Nutzung personenbezogener Daten, so scheint mir eine Freiwilligkeit auch gemäß Erwägungsgründe 42 und 43 DS-GVO nicht gegeben zu sein.
Was bedeutet das nun für die Praxis? Entspannung stellt sich ein, wenn keine personenbezogene Schülerdaten genutzt werden. Das Zauberwort lautet hier Anonymisierung. Auf eine Nutzung personenbezogener Daten sollte unbedingt verzichtet werden. Die Nutzung beispielsweiser einer Mail-Adresse fällt in die Prozesse Datenerhebung, Datenspeicherung und Datennutzung hinein. Dafür eine Rechtsgrundlage zu finden, dürfte schwer fallen.
Das Thema „offene Kontaktlisten“ scheint ein Dauerbrenner zu sein. So richtig durchgestartet ist das Thema in der Pandemie-Situation. In verschiedenen Bundesländern werden Gästelisten in Restaurants geführt. Frisöre, Kosmetikstudios und andere Einrichtungen sind auch in der Pflicht.
Jedoch ist sind offene Kontaktlisten keine neue Erscheinung. Bei Weiterbildungen, bei Veranstaltungen, im Elternabend gehen Listen herum. Die Teilnehmer* innen sollen ihre Daten eintragen oder schlimmer noch, umfangreiche Daten kontrollieren/korrigieren.
Es war nur eine Frage der Zeit, dass Bußgelder verhängt werden. Die Aufsicht führende Behörde in Hamburg hat die Verfahren zur Gäste- und Besucherdokumentation kontrolliert, Verbesserungsvorschläge unterbreitet und die Ergebnisse kommuniziert. Offensichtlich hat das nicht ausgereicht. Jetzt wurden auch Bußgelder verhängt.
Ich finde das gut so. Eben weil das Thema „offene Kontaktlisten“ in unterschiedlichen Ausprägungen ein Dauerbrenner ist. Ich habe schon zwei Mal die Lokalität wechseln müssen, weil man mit einer Liste ankam, in der ich meine Kontaktdaten erfassen sollte.
Die Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Berlin, Maja Smoltczyk, hat im Streit mit Microsoft und Zoom nachgelegt. In der heute (03.07.2020) veröffentlichten Handlungshilfe „Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenz-Diensten“ gibt es ein Ampelsystem zur Kennzeichnung von Diensten, die aus datenschutzrechtlicher Sicht geeignet oder eben auch nicht geeignet sind. Skype, Skype Business und Zoom sind weiterhin mit rot als nicht geeignet gekennzeichnet. Gleiches gilt übrigens auch für Microsoft Teams.
Die Nutzung dieser Dienste geht als weiter mit dem Risiko eines Datenschutzverstoßes einher, der bußgeldbewehrt ist. Die Begründungen, warum einzelne Anbieter so bewertet wurden, finden sich im Abschnitt „Anmerkungen zu den einzelnen Anbietern“ am Ende des Dokuments. Im Grunde geht es um die rechtswidrige Nutzung von Teilnehmerdaten und um unklare Verarbeitungsvorgänge.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit BW veröffentlichte am 24. Juni 2020 eine Pressemitteilung zum Thema Zoom im Besonderen und Videokonferenzen im schulischen Umfeld im Allgemeinen.
Er erkannte an, dass Zoom nach allen bisher geäußerten Kritikpunkten reagiert und nachgebessert hat.
Interessant an der Pressemitteilung finde ich folgende Stelle:
Seit Beginn der Corona-Pandemie wird die Diskussion geführt, welches Videokonferenz-System sicher und datenschutzgerecht ist und welches das nicht ist.
Es geistern Tools wie Microsoft Teams, Skype, Zoom, Jitsi, Big Blue Button, Webex und noch viele weitere durch die Gegend.
Zu Beginn dieser Phase war Zoom mit der App ganz dolle böse. Die App gab Daten weiter. Das Problem wurde dann behoben. Da war Zoom zunächst einmal ein ganz gut geeignetes Tool. Die Daten allerdings liegen in den USA.
Wie soll man denn nun vorgehen, wenn es um die Bewertung von Hilfsmitteln im Hinblick auf das Thema Datenschutz geht?
Wer ist die verantwortliche Stelle?
Datenschutz gilt ausdrücklich nicht im Privaten (Art. 2 Abs. 2 lit. c DS-GVO). Also als Privatperson kann ich jedes Tool nutzen, das mir gerade über den Weg läuft. Gestalte ich als Lehrperson meinen Unterricht, kommuniziere ich mit Kunden, mit Patienten usw., dann ist mein Arbeitgeber die verantwortliche Stelle und die DS-GVO kommt zur Anwendung.
Werden überhaupt personenbezogene Daten erhoben, gespeichert, verarbeitet oder weitergegeben?
In einem Zustand der völligen Anonymität muss Datenschutz nicht berücksichtigt werden. Sobald aber die genutzten Daten einer natürlichen Person zugeordnet werden können, sieht das anders aus. Bei Videokonferenzen fallen Transportdaten (IP-Adressen, ev. Mail-Adressen, Autorisierungsangaben…) an. Mindestens IP- und Mail-Adresse lassen eine Identifizierung zu. Bei den Inhaltsdaten kommen Videodaten ins Spiel, wenn die Kamera genutzt wird. Textangaben werden vielleicht im Chat erhoben.
Auf welche Rechtsgrundlagen kann sich die verantwortliche Stelle beziehen?
Schön isses immer, wenn es eine gesetzliche Grundlage für die Datennutzung gibt. Da fällt mir keine ein, die bei Videokonferenzen herangezogen werden könnte.
Hat man in weiser Voraussicht entsprechende Formulierungen in Verträgen stehen, dann kann man sich auf Vertragserfüllung als Ausnahmetatbestand berufen. Das können Schulen z. B. im Schul- oder im Ausbildungsvertrag regeln. Vielleicht ist auch die Schulordnung ein geeigneter Platz.
Dann gäbe es noch die Einwilligung. Eine Einwilligung muss freiwillig erfolgen und sie muss dokumentiert sein. Außerdem ist sie jederzeit widerrufbar. Die Einwilligung ist also wenig geeignet, Unterricht in Zeiten der Pandemie mit Videokonferenztools zu gestalten.
Bleibt das besondere Interesse der verarbeitenden Stelle. Das allerdings ist ein Leichtgewicht-Argument. Nur wenn es absolut keine datenschutzgerechten Alternativen gibt, kann ich vielleicht das besonderes Interesse ins Feld schicken.
Mein Fazit zu diesem Punkt: Wer nicht in der Glaskugel die Pandemie hat heraufziehen sehen und vorsorglich seine Verträge vor Vertragsschluss angepasst hat, steht doof da, zumindest was die Nutzung von Videokonferenzen und einiger anderer Online-Tools betrifft.
Wie kann man nun sauber aus diesem Dilemma heraus kommen?
Wie bereits gezeigt: Vertragserfüllung ist die beste Lösung. Auf diese werden sich aber viele verantwortliche Stellen nicht berufen können. Die Einwilligung ist blöd. Was mache ich mit den SuS, die nicht einwilligen?
Schritt 1: Eigener Server – Beim eigenen Videokonferenz-Server verlassen die Daten nicht die verantwortliche Stelle. Eine Weitergabe der Daten nach außen oder gar in ein unsicheres Drittland (z. B. USA) kommt nun nicht mehr vor.
Schritt 2: Auswahl einer geeigneten Software – Die Lizenzform Open Source garantiert ein beachtliches Maß an Transparenz. Wenn dann dann noch die Plattform technik- und softwareneutral genutzt werden kann, ist schon mal viel gewonnen. Ich zwinge die Nutzer nicht, eine App zu installieren, wenn das Meeting auch im Web-Browser läuft.
Schritt 3: Minimierung der genutzten personenbezogenen Daten – Wenn keine Anmeldung zu einem Meeting mit einer Webadresse erforderlich ist, fällt diese Datenkategorie schon mal weg. Treten die SuS mit ausgeschalteter Kamera dem Meeting bei, ist auch diese Hürde ausgeräumt. Da der Chat innerhalb der verantwortlichen Stelle bleibt und zum Ende des Meetings gelöscht wird, ist das Thema auch kein wirkliches Thema mehr. Heikel bleiben Aufzeichnungen der Meetings. Aber die können ja untersagt werden.
Wenn man diesen Punkten Beachtung schenkt, dann sieht das Leichtgewicht „Besonderes Interesse der verantwortlichen Stelle nach Risikoabwägung“ plötzlich gar nicht mehr wie ein Leichtgewicht aus. Vielmehr eröffnet sich hiermit die Möglichkeit, Videokonferenzen datenschutzkonform durchzuführen.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit schreibt zum Thema in ihrer „Checkliste für die Durchführung von Videokonferenzen während der Kontaktbeschränkungen“ vom 22. Mai 2020:
Am 5. Mai 2020 aktualisierte der Europäische Datenschutzausschuss (EDSA) die Leitlinien. Der Bundesbeauftragte für Datenschutz und Informationsfreiheit Prof. Ulrich Kelber ist Mitglied des EDSA. Er begrüßte die Änderungen.
Ausgangslage
Immer noch existieren Websites, die durch geeignete Maßnahmen den Nutzern Tracking unterjubeln.
Leitlinien
Ein Cookie-Wall ist eine Maßnahme, die das Nutzen einer Website ohne Cookie-Einwilligung unmöglich macht. Die Leitlinien erlauben Cookie-Walls nur noch, wenn eine Nutzungsalternative, beispielsweise als Bezahldienst, existiert.
Zweiter wichtiger Fakt: Die Nutzung einer Website stellt keine Einwilligung dar. Das ist an sich nicht neu. Bisher galt bereits, dass eine Einwilligung immer durch einen aktiven Akt erklärt werden muss.
Du muss angemeldet sein, um einen Kommentar zu veröffentlichen.