«Nicht alles, was nicht verboten ist, ist erlaubt»
Datenschutz ist eigentlich Persönlichkeitsschutz
Eigentlich müsste man beim Datenschutzrecht deshalb von einem Verkehrsrecht für den Datenverkehr reden, meinte Beat Rudin in seinem Inputreferat. Ähnlich wie im Strassenverkehr werden allgemeinverbindliche Regeln definiert, zu welchem Zweck wann welche Daten von wem wie bearbeitet werden dürfen. Ziel dieser Vorschriften ist es nicht, den Datenverkehr durch rigide Einschränkungen zum Erliegen zu bringen, sondern dafür zu sorgen, dass es zu keinen Missbräuchen und «Personenschäden» kommt.
In der Schulpraxis führt dies dazu, dass sich Lehrpersonen, was den Datenschutz angeht, wohl oder übel immer im Spannungsfeld zwischen staatlicher Aufgabenerfüllung (Bildungsauftrag) und Persönlichkeitsschutz bewegen. Letzterer ist auf Verfassungsebene als Grundrecht auf informationelle Selbstbestimmung verankert. Dieses darf nur eingeschränkt werden, wenn es dafür im öffentlichen Interesse eine Rechtsgrundlage gibt und eine solche Einschränkung verhältnismässig ist.
Hilfreich sei es, sich in Zweifelsfällen zwei Fragen zu stellen, meinte an dem Online-Podiumsgespräch Nicolas Hunkeler: Über welchen Kanal kommuniziere ich? Und was für Daten vermittle ich? Je sensibler die Daten, desto geschlossener muss der Kanal sein. Oft hilft hier das eduBS-Ampelblatt weiter: Dort ist klar geregelt, welche Daten in welchen Tools bearbeitet werden dürfen.
«Ich wünsche mir, dass die First Mover vor lauter Enthusiasmus nicht die Rechte der Betroffenen vergessen und umgekehrt die Skeptiker den Datenschutz nicht als unüberwindbares Hindernis überhöhen.»
Beat Rudin, Datenschutzbeauftragter Basel-Stadt
Eine der grossen Herausforderungen bei der Umstellung auf einen (teilweise) digitalisierten Unterricht besteht darin, die Verantwortlichkeiten klar zu regeln und praktikable Lösungen zu finden. Die Schulen haben dabei die Möglichkeit, Teile dieser Verantwortung an andere, beispielsweise, was die technische Sicherheit angeht, an IT-Abteilungen zu delegieren. Datenschützer Rudin betont jedoch, dass es auch die Schule braucht: Schulleitungen, die regeln, was über welche Kanäle kommuniziert wird oder Lehrpersonen, die mit ihren Klassen festlegen, wie sie gemeinsam digital arbeiten.
Darf man nur noch geprüfte Tools benutzen?
Um abzuklären, ob etwas datenschutzkonform ist, braucht es eine Schutzbedarfs- und möglicherweise eine Risikoanalyse. Die ist aufwändig. Gleichzeitig entwickeln sich Tools weiter, das heisst, die Einschätzung kann sich im Verlauf der Zeit auch ändern. Wichtig ist, dass, bevor die rechtlichen und technischen Aspekte genauer unter die Lupe genommen werden, vorgängig abgeklärt wird, ob ein solches Tool pädagogisch überhaupt sinnvoll ist. Dafür muss man es sorgfältig ausprobieren und dabei gesunden Menschenverstand walten lassen.
«Datenschutz darf nicht als Verhinderer von digitalem Unterricht gesehen werden, sondern als hilfreicher Rahmen, der elementare Grundrechte von Schülerinnen und Schülern respektiert.»
Philipp Szydlowski (Jurist bei der Fachagentur educa.ch)
Wichtig ist auch, dass Lehrpersonen als Vorbilder agieren: Wie gehen sie mit Daten um? Gerade bei rechtlich umstrittenen Fragen, wie zum Beispiel Videos von Schülerinnen und Schülern, ist Transparenz wichtig: Sagen, dass gefilmt wird, und festlegen, was mit den Daten passiert, wozu sie verwendet und wann sie wieder gelöscht werden.
Es sei einfach gesagt, dass Lehrerinnen und Lehrer Medienkompetenz vermitteln sollen. «Letztlich sind wir als Gesellschaft noch nicht so weit. Das ist ein Prozess, in dem wir drinstecken und es braucht seine Zeit, bis wir dort sind, wo wir sein sollten», sagt dazu Jurist Szydlowski.
Wo stehen wir in fünf Jahren?
Lehrpersonen müssen immer im Spannungsfeld von Erfüllung des Berufsauftrags und Persönlichkeitsschutz navigieren, in dem beide Seiten ihre Berechtigung haben. Was wünschen sich vor diesem Hintergrund die drei Teilnehmer für den Datenschutz in fünf Jahren? Lehrer Hunkeler wünscht sich Klarheit und Eindeutigkeit. Jurist Szydlowski möchte, dass das Thema nicht mit Angst verbunden ist, sondern dass ein Bewusstsein dafür vorhanden ist, welche Schwierigkeiten dazugehören. Und Datenschützer Rudin regt an, man solle sich gemeinsam und mit gesundem Menschenverstand daran machen, die (Datenschutz-)Risiken in den Griff zu bekommen, um die Chancen nutzen zu können, die unweigerlich mit der Digitalisierung verbunden sind.
Peter Wittwer und Stephanie Lori
Auf dem Basler Bildungsserver sind in einer Schlagzeile die Links zum Video der Podiumsdiskussion (nach Einloggen mit dem edubs-Passwort) und zum eduBS-Ampelblatt zu finden.
Viele Vorgaben, ein paar Grundsätze
Das Navigieren im Spannungsfeld zwischen Aufgabenerfüllung und Persönlichkeitsschutz nicht einfacher macht, dass es gesetzgeberisch auf verschiedenen Ebenen von Europaratskonventionen und EU-Normen bis hin zu kantonalen Gesetzen Datenschutzbestimmungen gibt, die es auch an Schulen zu berücksichtigen gilt. Aus Sicht des basel-städtischen Datenschutzbeauftragten ist das in der Praxis allerdings nicht so schlimm. Letztlich lassen sich die im Schulalltag geltenden Regeln auf ein paar Grundsätze zurückführen, die es bei der Lösung konkreter Probleme im Auge zu behalten gilt.
Die Bearbeitung von Personendaten ist rechtmässig, wenn
- sie sich auf einen gesetzlichen Auftrag abstützen kann
- sie den Grundsatz der Verhältnismässigkeit einhält und nur Daten erhoben werden, die zur Erfüllung des Auftrags geeignet, erforderlich, zumutbar sind
- sie transparent erfolgt, das heisst die betroffenen Personen wissen, welche Daten über sie erhoben werden
- sie die Daten nur zum durch den Auftrag vorgegebenen Zweck gebraucht und nicht für andere Bearbeitungen weitergegeben werden
- sie dafür gesorgt wird, dass nur richtige Daten erhoben und unrichtige korrigiert werden
- sie die Daten vor dem Zugriff Unberechtigter, Verlust und Veränderung geschützt werden.