Die ‚Datenschutzkonferenz‘ ist die gemeinsame Arbeitsebene der unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie tritt zweimal im Jahr zusammen, um aktuelle Datenschutzprobleme zu diskutieren und gemeinsame Positionen zu entwickeln. Im April 2016 hat die Datenschutzkonferenz eine Orientierungshilfe für den Einsatz von Online-Lernplattformen im Schulunterricht beschlossen. #excitingEDU stellt die wichtigsten Ergebnisse vor.
Immer mehr Schulen arbeiten mit Online-Lehrplattformen wie ‚Moodle‘ oder ‚Ilias‘. Sie bieten eine virtuelle Lernumgebung an, in der Kommunikation, Gruppenarbeit, Aufgabenbearbeitung und Lernkontrolle zusammengefasst sind. Aus der Perspektive des Datenschutzes ist dieses Prozedere nicht ganz unproblematisch. Denn: über die Online-Nutzung können Daten über den Lernenden und den Lernprozess gesammelt und diese Nutzungsbewegungen wiederum zu Persönlichkeitsprofilen verdichtet werden. Die Datenschutzkonferenz hat eine Orientierungshilfe für das Betreiben von Online-Lernplattformen im Schulunterricht verfasst. In dieser klärt sie über Mindestkriterien des Datenschutzes auf, die bei Verwendung von Online-Lehrplattformen erfüllt sein sollten.
Es gilt der Grundsatz der Datensparsamkeit
Grundsätzlich gilt nach Auffassung der Datenschutzkonferenz der Grundsatz der Datensparsamkeit und der Datenvermeidung: Es sollten demnach nicht mehr Daten erhoben werden, als „für die sinnvolle Nutzung der pädagogischen Aufgabenerfüllung der Schule erforderlich ist“ (S.4). Welcher Datenumfang im konkreten Fall dann tatsächlich erforderlich ist, darüber lässt sich – wie so oft – natürlich trefflich streiten. Die benötigte Datenmenge hängt wesentlich von den mit dem Einsatz der Plattform verfolgten pädagogischen Zielen ab: Sollen Schülerinteraktionen auf der Lernplattform für die Notengebung herangezogen werden? Sollen Schüleraktivitäten zum Zweck der individuellen Empfehlung von Fördermaßnahmen beobachtet werden? Oder sollen digitale Lernumgebungen lediglich eine Unterstützung für den Präsenzunterricht anbieten: Je nach verfolgtem Zweck, verändert sich die Datenkonfiguration und damit die Eingriffstiefe in das jeweilige Datenprofil der SchülerInnen. Für welches Verwendungsmodell man sich am Ende auch entscheidet, es gilt in jedem Fall, dass die Schüler und Eltern vor dem Einsatz von Online-Lehrplattformen „ausführlich über Art, Umfang und Zweck der Erhebung, Verarbeitung und Nutzung ihrer Daten zu unterrichten sind“ (S.11) – und je nach eingesetzten Lernmodulen unter Umständen auch eine schriftliche Einverständniserklärung einzuholen ist. Die Aufklärungspflicht hat den Hinweis zu beinhalten, dass die Nutzer jederzeit berechtigt sind, das Verfahrensverzeichnis der Lernplattform einzusehen und ihre Zustimmung zur Datenerhebung zu widerrufen. Aus einer gegebenenfalls einzuholenden schriftlichen Einverständniserklärung muss hervorgehen, welche Daten in welcher Form zu welchem Zweck verarbeitet werden. Rechtsgrundlage für die Verarbeitung personenbezogener Daten sind das jeweilige Schulgesetz, das Schuldatenschutzgesetz und die dazu erlassenen Rechtsverordnungen. Ergänzend können – je nach Bundesland und Schultyp – die Landesdatenschutzgesetze sowie das Bundesdatenschutzgesetz zur Anwendung kommen.
Die Schule ist die „Herrin der Daten“. Sie verwaltet unterschiedliche Datentypen
Die verantwortliche Stelle für die Datenverarbeitung und -nutzung bleibt die Schule oder die Schulaufsichtsbehörde. Die Schule legt fest, welche Daten für die Nutzung der Online-Lernplattform zwingend benötigt werden. Die Datenschutzkonferenz unterscheidet zwischen unterschiedlichen Typen von Daten: „Stammdaten“ sind zur Identifizierung erforderlich, „optionale Daten“ können ergänzend zum Zweck der Personalisierung des Nutzers erhoben werden, „Nutzungsdaten“ sind automatisch erhobene Protokolle über die Aktivitäten des Users (dürfen nur zur Sicherstellung der Funktionsfähigkeit des technischen Systems ausgewertet werden), „pädagogische Prozessdaten“ sind Daten über den Lernprozess, die zu pädagogischen Zwecken ausgewertet werden und schließlich „statistische Daten“, die ohne Personenbezug und damit datenschutzrechtlich unproblematisch sind. Die schulseitige Erstellung einer Nutzerordnung, in der die wichtigsten Grundsätze bzgl. der Handhabung einer Lernplattform festgehalten werden, erleichtert Administratoren und LehrerInnen die Orientierung gerade auch in Hinblick auf den Umgang mit sensiblen Daten. Vor Inbetriebnahme einer Lernplattform ist der zuständige Datenschutzbeauftragte zu konsultieren, um eine Vorabkontrolle nach den jeweils geltenden Landesregelungen durchzuführen.
Hinweise zur technischen und organisatorischen Umsetzung von Online-Lernplattformen
Die Orientierungshilfe der Datenschutzkonferenz gibt auch ganz konkrete Hinweise zur technischen und organisatorischen Umsetzung. Angesprochen werden im Einzelnen die folgenden Punkte:
-Passwörter
-E-Mail-Adresse
-Erfassung der Daten des Benutzerkontos und Änderbarkeit
-Öffentliche Bereiche
-Suchmaschinen
-Rollenkonzept
-Zugriffsrechte
-Zugriff auf die Daten durch schulexterne Stellen oder Personen
-Datenlöschung
-Trennung der Datenbanken
-Sonstige technische Maßnahmen
Die konkreten Informationen, ebenso wie die der komplette Text, sind unter dem nachfolgenden Link abrufbar:
https://www.datenschutz-mv.de/datenschutz/publikationen/informat/lernplatt/OH-Lernplattformen.pdf