Bild: matejmo | istockphoto.com
„Jeder Mensch ist berechtigt, über die Preisgabe und Verwendung seiner personenbezogenen Daten selbst zu bestimmen. Die Vertraulichkeit und Integrität informationstechnischer Systeme werden gewährleistet. Einschränkungen dieser Rechte bedürfen eines Gesetzes.“
Dieser Satz wurde als neuer Artikel 12a in die Hessische Verfassung aufgenommen. Dieser Ergänzung der Verfassung stimmten am 28. Oktober 2018 90,9 % der Abstimmenden zu. Die Nein-Stimmen kamen vorrangig von denjenigen, die alle Änderungen pauschal abgelehnt haben. Fast jedem Menschen ist es offensichtlich wichtig, „über die Preisgabe und Verwendung seiner personenbezogenen Daten“ selbst zu bestimmen. Schwieriger wird es dagegen, wenn Menschen privat oder vor allem auch beruflich über personenbezogene Daten anderer Menschen verfügen und damit gefordert sind, diese Daten so zu schützen, dass das individuelle Verfügungsrecht nicht gefährdet ist. Dabei unterscheidet das vom Bundesverfassungsgericht proklamierte „Recht auf informationelle Selbstbestimmung“ zunächst nicht zwischen Daten, die konventionell bzw. analog gespeichert werden, und solchen Daten, die digital erhoben und gespeichert werden. Ob Lehrerinnen und Lehrer ihr Notenbuch arglos im Restmüll entsorgen oder digitale Notenlisten unverschlüsselt per Mail versenden, macht zunächst keinen Unterschied. Allerdings entstehen bei digitaler Speicherung durch die archivierbaren Datenmengen und die Übertragungswege neue Gefahren.
Mit diesen Fragen muss sich der HLZ-Redakteur genauso befassen, wenn es um die Veröffentlichung der Jubiläen von GEW-Mitgliedern geht, wie die Erzieherin, die mit den Eltern ihrer Kindergartengruppe in einer Whats-App-Gruppe kommuniziert, und der Lehrer, der ein Fördergutachten der Frühförderstelle, das ihm zur Kenntnis gegeben wird, auf seinem privaten Laptop speichert. Wie können sie sicherstellen, dass jeder Mensch „über die Preisgabe und Verwendung seiner personenbezogenen Daten“ selbst bestimmen kann und seine Daten vor dem Zugriff Dritter geschützt werden? Die folgenden Ausführungen konzentrieren sich auf den Schulbereich, lassen sich aber auch auf andere Bereiche übertragen.
Die Übersicht über die für den Schulbereich gültigen Rechtsvorschriften in dieser HLZ auf den Seiten 10 und 18 zeigt die große Kluft zwischen den Vorschriften einerseits und der Praxis und den realen Möglichkeiten, den Datenschutz umfassend zu gewährleisten, andererseits. Diese Diskrepanz ist in fünf wichtigen Punkten begründet:
Die Administration in Form von Schulleitungen, Schulämtern und Kultusministerium fordert die Erhebung von immer mehr Daten, die in vielen Fällen personenbezogen, nämlich einzelnen Schülerinnen und Schülern zuzuordnen sind. Ein ganz grundlegendes Element des Datenschutzes ist die Datensparsamkeit, wonach nur das erhoben und gespeichert wird, was zur Erfüllung des gesetzlich verankerten Auftrags zwingend erforderlich ist.
Anders als in allen anderen Betrieben ist der Schulbetrieb unter den gegebenen Bedingungen nur dadurch aufrechtzuerhalten, dass Lehrerinnen und Lehrer private Räume und private Geräte für die Vor- und Nachbereitung des Unterrichts zur Verfügung stellen. Polizistinnen und Polizisten haben ein Diensthandy, Finanzbeamte einen ausschließlich dienstlich zu nutzenden PC und Richterinnen und Richter Aktentresore, Büroräume und Verwaltungskräfte für alle administrativen Aufgaben. Die Mitarbeiterinnen und Mitarbeiter von Hessen-Forst lagern ihre Geräte im Depot und die der Straßenmeisterei fahren selbstverständlich im entsprechenden Fahrzeug zur Baustelle – um nur einige Bereiche aus dem öffentlichen Dienst zu nennen. Aber Hand aufs Herz: Gerade diese Unterschiede und die damit verbundene größere Flexibilität bezogen auf Arbeitszeit und Arbeitsort werden von vielen Lehrerinnen und Lehrern durchaus als Vorteile des Berufs sehr geschätzt.
Lehrkräfte haben in Schulen nur selten Zugang zu moderner Informationstechnologie. Computer für die Verwaltungsarbeit der Lehrkräfte sind nur vereinzelt vorhanden, oft veraltet, nur begrenzt funktionsfähig und schon gar nicht ausreichend vor unberechtigten Zugriffen geschützt. Anders sieht es in den Schulsekretariaten aus, die oft in die Datenschutzsysteme der Schulträger einbezogen sind und deren Computer und Server professionell gewartet werden. Eine Übernahme der an die Lehrkräfte abgedrückten Verwaltungsaufgaben scheitert an den völlig unzureichenden personellen Kapazitäten in den Schulsekretariaten.
Die Nutzung neuer digitaler Medien ist gerade für jüngere Kolleginnen und Kollegen zur Selbstverständlichkeit geworden. Die Entgrenzung der Lehrerarbeit, in der sich Privatleben und Berufsleben oft überlappen, führt zu einer zunehmenden zeitlichen Verfügbarkeit für Mitteilungen der Schulleitungen, aber auch zu einer wachsenden Sorglosigkeit im Umgang mit Daten. Wer – wie die meisten von uns – über Cookies, Bestellportale oder personalisierte Mediatheken seine persönlichen Daten preisgibt, kann dies im Rahmen des Rechts auf informationelle Selbstbestimmung tun, wird aber möglicherweise auch unsensibler für die Daten anderer Menschen, die in der jeweiligen Verfügungsgewalt liegen.
Insbesondere das Hessische Kultusministerium (HKM) ist seiner Aufgabe, Lehrerinnen und Lehrer für den Datenschutz zu sensibilisieren und sie gleichzeitig in die Lage zu versetzen, dieser Verantwortung gerecht zu werden, in keiner Weise nachgekommen. Zu den wenigen Placebos gehört die von Lehrerinnen und Lehrern geforderte Erklärung zur Verarbeitung und Speicherung von Daten auf ihrem privaten PC und die damit verbundene Anmeldung beim Hessischen Datenschutzbeauftragten. Die Absicht des HKM ist durchsichtig: Was ich nicht weiß, macht mich nicht heiß. Wenn etwas schief geht, wähnt man sich „aus dem Schneider“.
Öfter mal „Nein“ sagen
Zum verantwortungsvollen Umgang mit Daten gehört die Bereitschaft, auch einmal „Nein“ zu sagen, wenn wieder neue Aufgaben, die eigentlich in die Schulverwaltung gehören, an Lehrerinnen und Lehrer delegiert werden sollen. Das Beamtenrecht kennt mit der „Remonstration“ sogar eine Verpflichtung, bei rechtlichen Bedenken die Erledigung von übertragenen Aufgaben zunächst zu verweigern. Nach § 36 des Beamtenstatusgesetzes tragen Beamtinnen und Beamte „für die Rechtmäßigkeit ihrer dienstlichen Handlungen die volle persönliche Verantwortung“. Weiter heißt es in Absatz 2: „Bedenken gegen die Rechtmäßigkeit dienstlicher Anordnungen haben Beamtinnen und Beamte unverzüglich auf dem Dienstweg geltend zu machen. Wird die Anordnung aufrechterhalten, haben sie sich, wenn die Bedenken fortbestehen, an die nächst höhere Vorgesetzte oder den nächst höheren Vorgesetzten zu wenden. Wird die Anordnung bestätigt, müssen die Beamtinnen und Beamten sie ausführen und sind von der eigenen Verantwortung befreit. Dies gilt nicht, wenn das aufgetragene Verhalten die Würde des Menschen verletzt oder strafbar oder ordnungswidrig ist und die Strafbarkeit oder Ordnungswidrigkeit für die Beamtinnen oder Beamten erkennbar ist. Die Bestätigung hat auf Verlangen schriftlich zu erfolgen.“
Dies auf den Bereich des Datenschutzes zu übertragen, fällt nicht schwer. Wird mir eine Aufgabe übertragen, die aus meiner Sicht datenschutzrechtlich problematisch ist, habe ich die Pflicht, die Schulleitung und das Schulamt zu informieren. Bei der Antwort sollte man auf einer schriftlichen Weisung bestehen. Würde die vorgesetzte Behörde in einem solchen Fall wirklich die Verantwortung für alle Folgen übernehmen? Wohl kaum!
Seit längerem arbeitet man im HKM an einer Datenschutzverordnung für Schulen. Auf der Homepage des Hessischen Datenschutzbeauftragten heißt es lapidar:
„Leider wird die Schul-Datenschutzverordnung nicht rechtzeitig mit der am 25. Mai 2018 Wirkung erzielenden Datenschutzgrundverordnung (DS-GVO) fertig sein. Daher gelten, soweit die DS-GVO nicht unmittelbares Recht im schulischen Bereich setzt, wie z.B. den Auskunftsrechten der Schülerinnen und Schüler sowie der Eltern oder den Informationspflichten der Schule als Verantwortlichem, die in der Verordnung getroffenen Regelungen zum schulischen Datenschutz weiter.“
Ohne landesweite Eckdaten für die digitale Ausstattung von Schulen, solange jede Schule und jede Schulverwaltung mit anderen Konzepten, anderen Geräten und unterschiedlicher Software arbeitet, bleiben auch Vorgaben für den Datenschutz Makulatur.
Harald Freiling, HLZ-Redakteur
Zum Weiterlesen
Die Verordnung über die Verarbeitung personenbezogener Daten in Schulen und statistische Erhebungen an Schulen vom 4. Februar 2009 (Amtsblatt 2009, S.131), zuletzt geändert durch Artikel 3 der Verordnung vom 1. April 2015 (Amtsblatt 2015, S.113) findet man auf der Homepage des Hessischen Kultusministeriums kultusministerium.hessen.de > Schulsystem > Schulrecht > Schulalltag.
Die Broschüre „Datenschutz in Schulen - Überblick und Materialien zur Durchführung des Datenschutzes an Schulen“ wurde 2010 vom Hessischen Datenschutzbeauftragten herausgegeben. Sie ist jedoch insbesondere nach Inkrafttreten der Europäischen Datenschutzgrundverordnung nicht mehr up-to-date. Auf der Seite des Datenschutzbeauftragten findet man jedoch zahlreiche hilfreiche weiterführende Informationen unter anderem zum Jugendmedienschutz, zu den Inhalten schulischer Webseiten oder zur Nutzung sozialer Medien: www.datenschutz.hessen.de > Datenschutz > Hochschulen, Schulen und Archive
Wenig hilfreich sind die entsprechenden Internetseiten des HKM. Dort findet man zwar Vordrucke für die Einwilligung von Eltern bei Schülerfotos, doch zur Europäischen Datenschutzgrundverordnung wird man schlicht darauf verwiesen, dass den Schulen „in den Staatlichen Schulämtern fachlich kompetente Ansprechpartnerinnen und Ansprechpartner zu allen relevanten Fragen des Datenschutzrechts und der Datenschutzpraxis zur Verfügung“ stehen. https://kultusministerium.hessen.de/schulsystem/schulrecht/datenschutz
Die Serviceseite „Datenschutz und IT-Sicherheit“ auf der Homepage der Lehrkräfteakademie Hessen mit dort aufgeführten Informationen zum häuslichen Arbeitsplatz von Lehrerinnen und Lehrern war bei Redaktionsschluss dieser HLZ nicht mehr zugänglich.
Weitere Hinweise findet man in dieser HLZ auf Seite 18.