«Nicht alles, was nicht verboten ist, ist erlaubt»
Die Schulpraxis und die rechtlichen Anforderungen zum Datenschutz sind nicht immer leicht zu vereinbaren und die sich daraus ergebenden Einschränkungen teils schwierig zu vermitteln. Was sind die Grenzen des Zulässigen, wo liegt die Grauzone und wie kann man als Lehrerin, als Lehrer in diesem Feld navigieren? Solchen Fragen ging im Herbst ein Online-Podium des Pädagogischen Zentrums PZ.BS nach. Im Gespräch mit dem Basler Gymnasiallehrer Nicolas Hunkeler und dem Juristen Philipp Szydlowski von der nationalen Bildungsagentur educa steckte der kantonale Datenschutzbeauftragte Beat Rudin den Rahmen ab, in dem sich die Basler Schulen datenschutzrechtlich zu bewegen haben. Seine Aussagen bezogen sich primär auf den postobligatorischen Bereich, wo sich die Ausgangslage wegen des BYOD-Konzepts nochmals etwas komplexer darstellt. Vieles von den Grundsätzen, die im Folgenden kurz vorgestellt werden, lässt sich aber sinngemäss auch auf den digitalisierten Unterricht an den Volksschulen übertragen.
Privat oder beruflich ist ein grosser Unterschied
Ganz entscheidend für Lehrpersonen ist es zu wissen, dass es datenschutzrechtlich einen Riesenunterschied macht, ob sie als Privatperson oder beruflich mit Personendaten umgehen. Als Private dürfen sie im Prinzip alles tun, was nicht verboten ist. Für öffentliche Organe hingegen gelten aus datenschutzrechtlicher Sicht wesentlich höhere Ansprüche: Sie dürfen nämlich grundsätzlich nur das tun, was ihnen der Gesetzgeber aufgetragen hat. Oder anders gesagt: Als Privatperson kann ich selber entscheiden, ob und welche meiner Daten ich freigebe. Im schulischen Kontext ist das anders. Für alles, was wir tun, braucht es hier eine gesetzliche Grundlage.
«Das zentrale Dilemma beim Datenschutz sehe ich darin, das Potential digitaler Anwendungen im Unterricht möglichst voll auszuschöpfen und dabei die Kontrolle über sensible persönliche Daten zu behalten.»
Nicolas Hunkeler, Lehrer am Gymnasium am Münsterplatz
Immer wenn jemand an einer Schule Personendaten bearbeitet, muss er oder sie sich also bewusst sein, dass in allen Phasen vom Erheben bis zum Löschen solcher Daten das Datenschutzrecht ins Spiel kommt. Dabei ist zu beachten, dass auch Informationen, die sich auf eine bestimmbare Person beziehen, Personendaten sind. Somit kann es auch heikel werden, wenn Daten erhoben werden, die in irgendeiner Form Rückschlüsse auf eine Person erlauben. Ganz allgemein kann somit zwischen aus datenschutzrechtlicher Perspektive unbedeutenden Sachdaten und datenschutzrelevanten Personendaten unterschieden werden. Dieser Unterschied ist sehr wichtig, denn mit dem Datenschutz werden nämlich nicht, wie man vielleicht meinen könnte, die Daten, sondern die Persönlichkeits- und Grundrechte der Personen geschützt, über die wir Daten bearbeiten. Personendaten werden dabei nicht nur über Inhalte verbreitet, sondern auch über Metadaten, die Rückschlüsse auf eine Person ermöglichen. Dies sind Daten, die zu Analysezwecken, zur Profilerstellung, für einen reibungslosen Betrieb oder aus Marketingzwecken erhoben werden.
Datenschutz ist eigentlich Persönlichkeitsschutz
Eigentlich müsste man beim Datenschutzrecht deshalb von einem Verkehrsrecht für den Datenverkehr reden, meinte Beat Rudin in seinem Inputreferat. Ähnlich wie im Strassenverkehr werden allgemeinverbindliche Regeln definiert, zu welchem Zweck wann welche Daten von wem wie bearbeitet werden dürfen. Ziel dieser Vorschriften ist es nicht, den Datenverkehr durch rigide Einschränkungen zum Erliegen zu bringen, sondern dafür zu sorgen, dass es zu keinen Missbräuchen und «Personenschäden» kommt.
In der Schulpraxis führt dies dazu, dass sich Lehrpersonen, was den Datenschutz angeht, wohl oder übel immer im Spannungsfeld zwischen staatlicher Aufgabenerfüllung (Bildungsauftrag) und Persönlichkeitsschutz bewegen. Letzterer ist auf Verfassungsebene als Grundrecht auf informationelle Selbstbestimmung verankert. Dieses darf nur eingeschränkt werden, wenn es dafür im öffentlichen Interesse eine Rechtsgrundlage gibt und eine solche Einschränkung verhältnismässig ist.
Hilfreich sei es, sich in Zweifelsfällen zwei Fragen zu stellen, meinte an dem Online-Podiumsgespräch Nicolas Hunkeler: Über welchen Kanal kommuniziere ich? Und was für Daten vermittle ich? Je sensibler die Daten, desto geschlossener muss der Kanal sein. Oft hilft hier das eduBS-Ampelblatt weiter: Dort ist klar geregelt, welche Daten in welchen Tools bearbeitet werden dürfen.
«Ich wünsche mir, dass die First Mover vor lauter Enthusiasmus nicht die Rechte der Betroffenen vergessen und umgekehrt die Skeptiker den Datenschutz nicht als unüberwindbares Hindernis überhöhen.»
Beat Rudin, Datenschutzbeauftragter Basel-Stadt
Eine der grossen Herausforderungen bei der Umstellung auf einen (teilweise) digitalisierten Unterricht besteht darin, die Verantwortlichkeiten klar zu regeln und praktikable Lösungen zu finden. Die Schulen haben dabei die Möglichkeit, Teile dieser Verantwortung an andere, beispielsweise, was die technische Sicherheit angeht, an IT-Abteilungen zu delegieren. Datenschützer Rudin betont jedoch, dass es auch die Schule braucht: Schulleitungen, die regeln, was über welche Kanäle kommuniziert wird oder Lehrpersonen, die mit ihren Klassen festlegen, wie sie gemeinsam digital arbeiten.
Darf man nur noch geprüfte Tools benutzen?
Um abzuklären, ob etwas datenschutzkonform ist, braucht es eine Schutzbedarfs- und möglicherweise eine Risikoanalyse. Die ist aufwändig. Gleichzeitig entwickeln sich Tools weiter, das heisst, die Einschätzung kann sich im Verlauf der Zeit auch ändern. Wichtig ist, dass, bevor die rechtlichen und technischen Aspekte genauer unter die Lupe genommen werden, vorgängig abgeklärt wird, ob ein solches Tool pädagogisch überhaupt sinnvoll ist. Dafür muss man es sorgfältig ausprobieren und dabei gesunden Menschenverstand walten lassen.
«Datenschutz darf nicht als Verhinderer von digitalem Unterricht gesehen werden, sondern als hilfreicher Rahmen, der elementare Grundrechte von Schülerinnen und Schülern respektiert.»
Philipp Szydlowski (Jurist bei der Fachagentur educa.ch)
Wichtig ist auch, dass Lehrpersonen als Vorbilder agieren: Wie gehen sie mit Daten um? Gerade bei rechtlich umstrittenen Fragen, wie zum Beispiel Videos von Schülerinnen und Schülern, ist Transparenz wichtig: Sagen, dass gefilmt wird, und festlegen, was mit den Daten passiert, wozu sie verwendet und wann sie wieder gelöscht werden.
Es sei einfach gesagt, dass Lehrerinnen und Lehrer Medienkompetenz vermitteln sollen. «Letztlich sind wir als Gesellschaft noch nicht so weit. Das ist ein Prozess, in dem wir drinstecken und es braucht seine Zeit, bis wir dort sind, wo wir sein sollten», sagt dazu Jurist Szydlowski.
Wo stehen wir in fünf Jahren?
Lehrpersonen müssen immer im Spannungsfeld von Erfüllung des Berufsauftrags und Persönlichkeitsschutz navigieren, in dem beide Seiten ihre Berechtigung haben. Was wünschen sich vor diesem Hintergrund die drei Teilnehmer für den Datenschutz in fünf Jahren? Lehrer Hunkeler wünscht sich Klarheit und Eindeutigkeit. Jurist Szydlowski möchte, dass das Thema nicht mit Angst verbunden ist, sondern dass ein Bewusstsein dafür vorhanden ist, welche Schwierigkeiten dazugehören. Und Datenschützer Rudin regt an, man solle sich gemeinsam und mit gesundem Menschenverstand daran machen, die (Datenschutz-)Risiken in den Griff zu bekommen, um die Chancen nutzen zu können, die unweigerlich mit der Digitalisierung verbunden sind.
Peter Wittwer und Stephanie Lori
Auf dem Basler Bildungsserver sind in einer Schlagzeile die Links zum Video der Podiumsdiskussion (nach Einloggen mit dem edubs-Passwort) und zum eduBS-Ampelblatt zu finden.
Viele Vorgaben, ein paar Grundsätze
Das Navigieren im Spannungsfeld zwischen Aufgabenerfüllung und Persönlichkeitsschutz nicht einfacher macht, dass es gesetzgeberisch auf verschiedenen Ebenen von Europaratskonventionen und EU-Normen bis hin zu kantonalen Gesetzen Datenschutzbestimmungen gibt, die es auch an Schulen zu berücksichtigen gilt. Aus Sicht des basel-städtischen Datenschutzbeauftragten ist das in der Praxis allerdings nicht so schlimm. Letztlich lassen sich die im Schulalltag geltenden Regeln auf ein paar Grundsätze zurückführen, die es bei der Lösung konkreter Probleme im Auge zu behalten gilt.
Die Bearbeitung von Personendaten ist rechtmässig, wenn
- sie sich auf einen gesetzlichen Auftrag abstützen kann
- sie den Grundsatz der Verhältnismässigkeit einhält und nur Daten erhoben werden, die zur Erfüllung des Auftrags geeignet, erforderlich, zumutbar sind
- sie transparent erfolgt, das heisst die betroffenen Personen wissen, welche Daten über sie erhoben werden
- sie die Daten nur zum durch den Auftrag vorgegebenen Zweck gebraucht und nicht für andere Bearbeitungen weitergegeben werden
- sie dafür gesorgt wird, dass nur richtige Daten erhoben und unrichtige korrigiert werden
- sie die Daten vor dem Zugriff Unberechtigter, Verlust und Veränderung geschützt werden.