Bildung und Beruf

DSGVO: Gute Daten, böse Daten

Seit einem Jahr gilt die EU-Datenschutz-Grundverordnung. Doch noch immer ist die Verunsicherung an den Schulen groß. Eine Zusammenschau.

Von Manuela Tomic - 22. Mai 2019

 

Welche Fotos darf ich auf die Website der Schule stellen? Mit welchen Social-Media-Apps soll oder darf ich mit meinen Schülerinnen und Schülern kommunizieren und wie schütze ich
 den Schulserver vor Hackern?

Diese und weitere Fragen beschäftigen Lehrerinnen und Lehrer mitunter intensiver, als ihnen lieb ist. Vor allem, nachdem seit 25. Mai 2018
 die EU-Datenschutz-Grundverordnung (DSGVO) neue Standards im Umgang mit sensiblen Informationen setzt.

Im Detail geht es um den Schutz von sogenannten personenbezogenen Daten, wie Religionszugehörigkeit, Geschlecht, Wohnort, Telefonnummer, E-Mail-Adresse – oder auch Noten. Keine leichte Aufgabe.

Mehr Sicherheit und Transparenz

So musste jede Schule im Land einen eigenen Datenschutz-Beauftragten benennen, jede Änderung von Daten protokollieren und die technischen Voraussetzungen dafür schaffen, dass kein Dritter an die gesammelten Informationen herankommt.

 

Einige Schulen mussten im Zuge der DSGVO neue technische Standards setzen, um die Schulserver abzusichern. Foto: Shutterstock/Indypendez

 

Große Schulbetriebe können sich diesen Mehraufwand vielleicht noch leisten, aber wie sieht es mit kleineren Bildungseinrichtungen aus? Das technische Know-how und die Ressourcen bringt schließlich nicht jede Institution mit.

Und deshalb herrscht an einigen Schulen vor allem eines: Unsicherheit. Bei Lehrern, Schülern, aber auch den Eltern.

Externe IT-Experten

Vor allem die Direktorinnen und Direktoren müssen seit Inkrafttreten der Datenschutz-Verordnung in die Informationen des Bildungsministeriums einarbeiten und sich mitunter mit externen IT-Experten auseinandersetzen.

Schließlich wolle man ja alles richtig machen, auch angesichts teils unvollständiger oder dramatisierender Berichte in den Medien.

 

„Im Grunde geht es darum, eine stärkere Transparenz in Zeiten von ‚Big Data‘ und einen besseren Schutz der Betroffenen durchzusetzen.“

 

Dabei adressiert die DSGVO ihrem Sinn nach nicht unmittelbar einzelne private User, kleine Firmen oder eben Bildungseinrichtungen. Sie zielt in erster Linie auf Konzerne ab, jene Multis, die Datensätze im großen Stil sammeln.

„Im Grunde geht es darum, eine stärkere Transparenz in Zeiten von „Big Data“, einen besseren Schutz der Betroffenen und mehr Selbstverantwortung der Unternehmen durch eine umfassende Dokumentation ihrer Arbeit durchzusetzen“, sagt der Rechtsanwalt und IT-Experte Axel Anderl.

Keine Geldstrafen für Behörden

Da ist es für die jeweiligen IT-Beauftragten an den Schulen nur ein schwacher Trost, dass einer Deloitte-Umfrage zufolge nur zwölf Prozent der Firmen in Österreich DSGVO-konform agieren.

Vor allem Klein- und Mittelständler haben es laut der Erhebung schwer, die nötige Infrastruktur aufzubringen. Die gute Nachricht: Im Gegensatz zu Firmen gelten Bildungseinrichtungen laut Gesetz als Behörden und sind so ohnehin von Geldstrafen ausgeschlossen.

Bleibt damit also alles beim Alten? „Alles, was vor dem Inkrafttreten der Verordnung zulässig war, ist es auch weiterhin“, sagt Rechtsanwalt Anderl, „der Unterschied in der Praxis ist die erhöhte Awareness und Auseinandersetzung mit der Thematik.“ Dennoch müssen auch die Schulen ihre Hausaufgaben machen.

Neue Standards

So gilt es zum Beispiel, alle Verarbeitungsvorgänge zu dokumentieren. Zudem müssen einige Schulen neue technische Standards setzen, um die Schulserver abzusichern. Aber nicht nur hier bringt die DSGVO Änderungen.

Auch jeder einzelne Lehrer muss sich mit dem Thema auseinandersetzen – und das häufig bei alltäglichen Fragen, wie der Notengebung oder der Organisation von Schulausflügen.

 

„Wenn Bilder in Social-Media-Netzwerken weiterverwendet werden sollen, ist eine gesonderte Einwilligung erforderlich.“

 

Grundsätzlich genügt eine Einwilligung der Eltern bei Schuleintritt ihrer Kinder, um die klassischen Klassenfotos, Aufnahmen von Schulveranstaltungen wie etwa Tage der offenen Tür, Sportveranstaltungen oder Weihnachtsfesten auf der Schul-Website zu präsentieren.

„Wenn jedoch die Bilder in Printmedien, für Werbekampagnen oder in Social-Media-Netzwerken weiterverwendet werden sollen, ist eine gesonderte Einwilligung der Eltern beziehungsweise der Schülerinnen und Schüler erforderlich“, sagt Anderl.

WhatsApp und Co.

Apropos Social Media: Tabu ist auch das Nutzen von WhatsApp oder anderen sozialen Medien für die Lehrer-Schüler-Kommunikation.

Denn mit der Nutzung von WhatsApp oder anderen Diensten werden personenbezogene Daten automatisch an den Anbieter weitergegeben.

Umstieg auf Schul-Email-Adressen 

Um das zu vermeiden, gibt es die eigens eingerichteten Schul-Email-Adressen. Doch auch hier können Fehler passieren, weiß Konrad Lachmayer, Professor für Öffentliches Recht an der Sigmund Freud Privatuniversität in Wien.

Grundsätzlich geht es bei der DSGVO nicht nur um den richtigen Umgang mit sensiblen Daten, auch das Sammeln von sonstigen personenbezogenen Informationen ist in dem Regelwerk verankert.

Aufbewahrungspflichten weiterhin gültig

Davon unbenommen sind Regelungen im Schulunterrichtsgesetz, etwa den dort ausgewiesenen Aufbewahrungspflichten.

„Das reicht vom Klassenbuch, das ab Ende des letzten Schuljahres der jeweiligen Klasse drei Jahre archiviert werden muss, bis hin zur Aufbewahrung von Zeugnissen, Protokollen oder Aufzeichnungen, teilweise bis zu 60 Jahre lang“, erklärt Nino Tlapak, Datenschutzexperte und Anwalt.

Im Zweifelsfall löschen

Alle Fälle, für die das Gesetz keine genaue Frist vorsieht, seien im Einzelfall zu beurteilen, sagt Tlapak.

Handelt es sich beispielsweise um Daten, die für eine schulinterne Erhebung verwendet werden, müssen diese nach Abschluss gelöscht werden – wenn sie nicht für einen konkreten Zweck weiter aufbewahrt werden müssen.

Fotos im Fokus

Datenmaterial, das gar nicht mehr gebraucht wird, sollte man sofort löschen. Neu ist mit Inkrafttreten der Datenschutzgrundverordnung auch, dass Schülerinnen und Schüler ein Recht auf Löschung ihrer Fotos haben, zum Beispiel von der Schul-Website.

In diesem Fall sollte die betreffende Schule nach Erhalt eines solchen Löschungsantrags rasch reagieren und die Inhalte innerhalb eines Monats entfernen. Alles wird sich jedoch nicht so einfach löschen lassen.

Bewusstsein für Datenschutz

Sind beispielsweise Schulfotos in Jahresheften bereits gedruckt und verbreitet, so stößt das Gesetz natürlich an seine Grenzen.

Trotz aller Unsicherheiten und des teil erheblichen Mehraufwands hat die Datenschutz-Grundverordnung zumindest eines erreicht: Das Thema Informationssicherheit und -weitergabe steht nicht nur bei den großen Unternehmen, sondern auch bei öffentlichen Bildungseinrichtungen ganz oben auf der Agenda.

Und dabei geht es nicht nur um die Schülerinnen und Schüler, die DSGVO schützt auch Lehrerinnen und Lehrer vor einem Missbrauch ihrer eigenen persönlichen Daten.

 

Mehr

DSGVO: Dos and Don’ts
Einfach zugreifen: Das neue Was jetzt-Magazin ist da
Handys im Unterricht: Mit oder ohne?

 

Ein Beitrag aus dem Was jetzt-Magazin, Ausgabe 1/19.