http://www.faz.net/-gqe-9b7vq

Neue Datenschutzregeln : Hat die DSGVO Schulen ins Chaos gestürzt?

Eine junge Lehrerin nutzt für den Mathematikunterricht an einer Integrierten Gesamtschule in Hannover ein Tablet. Bild: dpa

Vor einem Monat wurden die neuen EU-Datenschutzregeln scharfgeschaltet. Über die Folgen für Unternehmen wird immer noch heiß diskutiert. Wie ergeht es Schulen?

          Seit einem Monat gelten die neuen Datenschutz-Regeln der EU – mit all ihren weitreichenden Folgen für Unternehmen und Nutzer. Twitter-Konten wurden gesperrt, Vereinsvorstände traten zurück, die Erzdiözese Freiburg musste ihren Online-Gottesdienst einstellen und viele Konzerne verbieten ihren Mitarbeitern seitdem, Whatsapp auf Diensthandys zu nutzen. Selbst Anwälte sind mit der Datenschutzgrundverordnung (DSGVO) überfordert.

          Jessica Sadeler

          Redakteurin in der Wirtschaft.

          Doch was ist eigentlich mit der Institution, die gewaltige, teils hochsensible Datenmengen von Millionen Menschen sammelt, die überwiegend auch noch minderjährig sind: Wie gehen Schulen mit der DSGVO um? Denn wie jedes Unternehmen, das in der EU eine Niederlassung hat, sind auch sie von den verschärften Datenschutz-Regeln betroffen.

          Auch Schulen stellt die DSGVO vor große Herausforderungen, braucht es doch geschultes Personal, Geld und vor allem Zeit, sich dem Mammut-Thema Datenschutz im Schulalltag zu widmen. Besonders prekär: Die rechtliche Verantwortung liegt nicht beim Schulträger oder den Kultusministerien der Bundesländer. Stattdessen tragen die Haftung für Datenschutzverstöße allein die Schulleiter. Einziger Trost: Staatlichen Schulen droht – anders als  wettbewerbstreibenden Unternehmen – zumindest von Seiten der Aufsichtsbehörden kein Bußgeld.

          Ignorieren können die Bildungseinrichtungen die neuen Datenregeln freilich trotzdem nicht, denn theoretisch können auch sie abgemahnt werden. Schulen verarbeiten und speichern täglich gigantische Mengen an personenbezogenen Daten, um den reibungslosen Schulbetrieb zu gewährleisten. Sie reichen von allgemeinen Angaben über Wohnort, Telefonnummern, Email-Adressen und Geschlecht bin hin zu sehr privaten Informationen über Religionszugehörigkeit, Noten und Krankheiten.

          Dass solche Angaben mit besonders viel Sorgfalt behandelt werden müssen, gilt nicht erst seit die EU härtere Vorgaben macht. Durch die deutschen Datenschutzregeln und die Schulgesetze der Länder waren pädagogische Einrichtungen schon vorher auf einen besonders sorgfältigen Umgang mit den Daten ihrer Schüler sensibilisiert – zumindest in der Theorie.

          Die Beweislast hat sich umgekehrt

          So mussten auch schon in der Vergangenheit Schülerdaten vor dem Zugriff Dritter geschützt werden und Einwilligungserklärungen der Eltern etwa für die Nutzung von Fotos ihrer Kinder auf der Schulwebsite eingeholt werden. In der Praxis klafften rechtliche Vorgaben und gelebter Schulalltag jedoch oft genug weit auseinander, erklärt Volker Jürgens, Geschäftsführer einer Beratungsfirma für Schul-IT, Aixconcept. „Private Computer, Dropbox, Lehrer-App – all das macht Lehrern das Leben leichter, ist datenschutzrechtlich aber natürlich eher grenzwertig“, sagt der Fachmann zu FAZ.NET.

          Dass nun die DSGVO gilt, verschärft die Situation. Zwar hat sich auf dem Papier gar nicht so viel geändert, was den Umgang mit und den Schutz von an Schulen erhobenen Daten betrifft. Das bestätigt auch eine Sprecherin des hessischen Kultusministeriums: „Da die Schulen – wie schon bisher – personenbezogene Daten in erster Linie aufgrund gesetzlicher Ermächtigungen und im Übrigen aufgrund ausdrücklich erteilter Einwilligungen speichern, betreffen die konkreten Änderungen vornehmlich Verfahrensfragen“.

          Schul-IT-Experte Jürgens weist aber auf einen wichtigen Unterschied hin: Durch die DSGVO hat sich die Beweislast umgekehrt. Bislang musste einer Schule erst einmal nachgewiesen werden, dass sie unsauber mit Daten arbeitet. Durch die neuen Regeln müssen sie nun lückenlos aufzeigen können, wie sie geltendes Recht in der Praxis einhalten.

          Schüler der Klasse 8e arbeiten im Münchner Michaeli-Gymnasium während einer Unterrichtsstunde an ihren Laptops.

          Bedeutet konkret: Alles muss niet- und nagelfest dokumentiert und gesichert sein. Wer hat Zugriff auf personenbezogene Daten? Wo sind sie gespeichert? Sind sie ausreichend geschützt? Koordiniert werden muss all das ab sofort von einem designierten Datenschutzbeauftragten, etwa einem computeraffinen Lehrer. Schließlich verlangt die DSGVO ein Verzeichnis der Verarbeitungstätigkeiten, in das sämtliche Vorgänge und Prozesse, bei denen in der Schule personenbezogene Daten verarbeitet werden, einzutragen sind. 

          Ministerium: „Selbstverständlich gut aufgestellt“

          Für die Bildungseinrichtungen bedeutet das einen enormen Arbeitsaufwand. „Die DSGVO ist zusätzlicher Ballast für die Schulen“, sagt Jürgens. Man habe dort genug anderes zu tun – derzeit etwa, die Abschlussklassen durchs Abitur zu bringen. Die Folge: Viele Schulen haben am Stichtag vom 25. Mai 2018 vermutlich nur einen Teil der Vorgaben der neuen DSGVO erfüllt, glaubt Jürgens. Zu groß die Aufgabe, zu klein die Ressourcen.

          Hinzu käme, dass unter Lehrern und Verwaltungspersonal eine große Unwissenheit im Bereich des Datenschutzes herrsche. Schließlich habe ihnen ja auch jahrzehntelang niemand auf die Finger geschaut, sagt der IT-Experte weiter.

          Gleichsam ist aber auch wenig über Datenmissbrauch an Schulen bekannt – ganz anders als bei Facebook, Google und Co, die immer wieder mit Datenlecks Schlagzeilen machten. Anders als diese milliardenschweren Tech-Unternehmen haben Bildungseinrichtungen jedoch weder das technische Know-How noch den juristischen Beistand und das Budget, die DSGVO in all ihrer bürokratischen Vielfalt zu verstehen und ihr gerecht zu werden.

          Hilfe versprechen die zuständigen Landesbehörden. Viele von ihnen geben den Schulen sogenannte Medienberater an die Hand und bieten Mustervorlagen für anzulegende Verzeichnisse.

          Laut einer Sprecherin des hessischen Kultusministeriums sind Schulen zumindest im Bundesland Hessen datenschutzrechtlich „selbstverständlich gut aufgestellt“. Probleme seien nicht bekannt. Man verfolge die Situation in den Schulen mit großer Aufmerksamkeit und werde sicherstellen, dass die Schulen die notwendige Unterstützung erfahren.

          Landeseigene Datenaustausch-Plattform wird gekipppt – aus Datenschutzgründen

          Zumindest an einigen Orten dürfte die Praxis jedoch anders aussehen. Die Leiterin einer Grundschule in der Nähe von Köln, die nicht genannt werden möchte, berichtet FAZ.NET, dass sie sich von den Behörden im Stich gelassen fühlt. Außer Formularen und einer Schulung, „in die man mit 100 Fragen hinein- und mit 200 Fragen wieder herausgegangen ist“, gebe es keine Handreichung.

          Der zugewiesene Datenschutzbeauftragte müsse sich in sechs Wochenstunden um hunderte Schulen kümmern und sei „heillos überarbeitet“ – „das kann doch gar nicht funktionieren“, klagt die Schulleiterin.

          Sie wundert sich, warum es keine offiziellen Anordnungen von den zuständigen Landesbehörden gibt. An allen Schulen würde man sich die selben Fragen stellen, aber “jeder macht jetzt so sein eigenes Ding“ und man stochere dabei im Nebel: „Die Unsicherheit ist groß und das ist sehr unbefriedigend“. Eine vom Land Nordrhein-Westfalen geplante Plattform, die Schulen den sicheren Austausch von Daten ermöglicht hätte, sei kurzfristig gekippt worden – aus Datenschutzgründen, wie die Schulleiterin berichtet.

          Bremse für das digitale Klassenzimmer?

          Die Nachfrage an IT-Unternehmen wie Aixconcept nach Beratung ist deshalb groß. „Wir werden in diesen Tagen von Anfragen nach den kleinsten Dingen – etwa Vorlagen für Einwilligungserklärungen – bombardiert. Das zeigt doch die Hilflosigkeit der Schulen“, sagt Jürgens. Besonders groß sei die Verunsicherung von Grundschulen, gerade im ländlichen Raum: „Grundschulen sind von dem Thema total genervt“, berichtet Jürgens. Er erhalte täglich zahlreiche Anrufe.

          Tatsächlich machen derzeit zahlreiche skurrile Nachrichten die Runde. Etwa Berichte von Lehrern, die Mitteilungen an Eltern handschriftlich anstatt per Mail verschicken, oder Noten nicht mehr in eine digitale Maske eingeben, sondern wieder zu Stift und Papier greifen, weil der private Laptop vielleicht nicht sicher genug ist – ganz so wie früher.

          Auch an der Grundschule nahe Köln schreiben einige Lehrer die Zeugnisse dieses Jahr nicht mehr wie gewohnt zuhause – 20 Lehrer müssen sich nun um zwei Lehrercomputer streiten. Wer weiterhin seinen privaten Computer für die Erstellung der Zeugnisse nutzen möchte, musste sich das von der Schulleiterin genehmigen lassen.

          Diese hätte dafür jeden PC kontrollieren müssen – etwa, ob er ausreichend vor Viren geschützt ist. Zudem hätte sie überprüfen müssen, ob der Rechner zu Hause sicher genug aufbewahrt ist. „Das habe ich natürlich nicht gemacht“, gesteht sie. Dieses Jahr werde man noch nach dem Motto „Augen zu und durch“ verfahren, in der Hoffnung, für das kommende Schuljahr mehr Hilfestellung vom Ministerium zu bekommen. Für sie geht die DSGVO an der Praxis vorbei. Datenschutz sei wichtig, aber er müsse auch praktikabel bleiben.

          Die DSGVO fördert auch ein strukturelles Problem zu Tage, das für den Unterricht schon lange gilt und nun auch in der Verwaltung Ärger machen könnte. Viele der geforderten Arbeitsschritte lassen sich nur durch modernste Technologie bewerkstelligen. So braucht es laut IT-Experte Jürgens spezielle Software, Computer, Verkabelung und Netzwerkstrukturen, um eine saubere Datenverarbeitung sicherzustellen.

          Zudem könne nur mit Dienstgeräten für die Sicherheit der Daten garantiert werden. All das sei in vielen Schulen jedoch nicht ausreichend vorhanden. „Bis jeder Lehrer bei uns einen Dienst-PC und und ein Diensthandy hat, bin ich in Rente“, sagt auch die Gundschulleiterin, denn die Kosten dafür müsste die Schule selbst tragen. Gleichzeitig sei es absolut unrealistisch, dass Lehrer nicht auch ihre privaten Geräte nutzen, etwa das Mobiltelefon auf der Klassenfahrt oder eben den Laptop, um Zeugnisse zu bearbeiten.

          Und im Unterricht? Ist die DSGVO auch eine Bremse für das viel beschworene digitale Klassenzimmer? IT-Experte Jürgens verneint. Im Unterricht spielten personenbezogene Daten fast keine Rolle, deshalb schaffe die DSGVO hier keine neuen Hürden. Das kann auch Frank Dörfer, Schulleiter der Scultetus-Oberschule in Görlitz, im Gespräch mit FAZ.NET bestätigen.

          In seinen Augen habe die DSGVO die Schulen nicht wie häufig berichtet in ein Chaos gestürzt: „Unterricht und Verwaltung sind klar getrennt“, deshalb nehme jeder Lehrer auch zwei Rollen ein: die des Pädagogen im Unterricht – der getrost Handouts oder Referate in der Cloud aufbewahren kann – und die des Verwalters, der personenbezogenen Daten wie etwa die Zeugnisnoten nur auf den Servern der Schule speichern darf. So läuft es zumindest an der Scultetus-Oberschule.

          „Komische Eltern“ gibt es überall

          Aber Dörfer gibt zu, dass seine Schule auch so etwas wie ein Vorreiter ist, oder zumindest ein Musterbeispiel: „Ich habe keine Angst vor der DSGVO, weil wir schon vorher IT-Sicherheit groß geschrieben haben“. Den studierten Informatiker und IT-Koordinator des Landes Sachsen treibt auch so etwas wie ein persönlicher Ehrgeiz um, seine Schule sicher zu machen. Das sei aber bestimmt nicht an jeder Schule des Landes so, räumt der Pädagoge ein.

          Was haben Schulen nun zu befürchten, wenn sie die Vorgaben der DSGVO nicht erfüllen können? Werden sie überhaupt geprüft? „Im Rahmen der Wahrnehmung der staatlichen Schulaufsicht“, würden Prüfungen durchgeführt, sagt die Sprecherin des hessischen Kultusministeriums. IT-Experte Jürgens aber glaubt, dass die Behörden gar nicht über ausreichend Personal verfügen, allen Schulen auf den Zahn zu fühlen.

          Aber: Es gebe immer wieder „komische Eltern“ – die alles Mögliche versuchten, um etwa gegen eine Ablehnung ihres Kindes an einer Schule vorzugehen. Warum dann nicht der Schule aus ihrem Umgang mit Schüler-Daten einen Strick drehen? Die Schulleiterin der Grundschule bei Köln berichtet, alle Fotos von der Schul-Website gelöscht zu haben, um auf Nummer sicher zu gehen. Einer Lehrerin, die ihren Viertklässlern zum Abschied eine CD mit Fotos von Schulausflügen und Veranstaltungen schenken wollte, riet sie davon ab. Die Lehrerin hatte Sorgen über einen Vater bekundet, der immer sehr kritische Nachfragen stellte. „Es ist schade, dass solche schönen Gesten nun aus Unsicherheit ausbleiben müssen“, sagt die Schulleiterin.

          Droht den Schulen jetzt also eine Abmahnwelle? Es werde sich zeigen, ob solche Fälle sich häufen, sagt Jürgens. Schulleiter Dörfer aus Sachsen bleibt gelassen. Erfüllt seine Schule denn alle Auflagen der DSGVO? „Sagen wir es mal so: In der DSGVO steht, man solle nach Treu und Glaube handeln“, sagt Dörfer. Und das tue er nicht erst seit dem 25. Mai.

          Weitere Themen

          Topmeldungen

          Bei Maybrit Illner geht es um den Rückzug von Angela Merkel: Was bedeutet das für Grüne und AfD?

          TV-Kritik „Maybrit Illner“ : Das Ende der Beliebigkeit

          Der Amtsverzicht der CDU-Parteivorsitzenden scheint eine neue politische Dynamik auszulösen. Bei Maybrit Illner geht es aber auch um die Frage, was das für die Grünen und die AfD bedeuten könnte.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.