Das Erzbistum Hamburg digitalisiert seinen Schuldatenschutz

Das Erzbistum Hamburg macht den Datenschutz an seinen Schulen coronafest. Die neue Durchführungsverordnung zum Schutz personenbezogener Daten in katholischen Schulen im Erzbistum Hamburg schafft Rechtsgrundlagen für den Einsatz digitaler Werkzeuge im Unterricht und damit hoffentlich mehr Rechtsklarheit. Zugleich werden auch Auskunfts- und Informationsrechte festgeschrieben – allerdings mit einem Haken.

Ein Kind zeichnet etwas auf einem Tablet, nur die Hände, der Stylus und das Tablet sind zu sehen.
(Symbolbild, Photo by Jeswin Thomas on Unsplash)

Die Ordnung ersetzt eine Vorgängernorm aus 2009, die Anordnung zum Schutz personenbezogener Daten in katholischen Schulen in freier Trägerschaft im Erzbistum Hamburg. Es scheint sich dabei um originäres Hamburger Recht zu handeln, nicht um die Umsetzung einer deutschlandweiten Rahmengesetzgebung des VDD wie bei anderen Gesetzen. (Zuerst hatten die Datenschutz-Notizen über die bereits am 31. Mai im Amtsblatt veröffentlichte neue Ordnung berichtet.)

Großer Änderungsbedarf

Das Update war dringend nötig, und nicht nur, weil mit Geltung des KDG einige systematische Änderungen nötig wurden: So zählte die Vorgängernorm aus 2009 zwar umfangreich auf, welche Daten von Schüler*innen und Eltern verarbeitet werden dürfen – E-Mail-Adressen waren davon aber nicht erfasst. Etwas kurios wirkt, dass in der neuen Liste der Datenfelder für den Schüler*innenbogen die E-Mail-Adresse nur bei den Daten der Schüler*innen, nicht bei den Eltern auftaucht (Anlage 1.A) – das erzeugt eine gewisse Diskrepanz zu den Begriffsbestimmungen, wo E-Mail-Adressen unter Kontaktdaten gefasst werden, und zu diversen Stellen, an denen auf Kontaktdaten referenziert wird.

Schwerwiegender als die früher fehlende Rechtsgrundlage für Mailadressen waren Festlegungen aus der alten Anordnung, die aus heutiger Sicht erstaunlich lax wirken: So gab es etwa eine Norm, die die Weitergabe von Ehemaligendaten zur Vorbereitung eines Klassentreffens erlaubte, unter nur der einen Bedingung, dass die Schule auf die Zweckbindung hinweisen musste. Zudem durfte die Schule »in Wahrnehmung ihrer pädagogischen Verantwortung« den Eltern volljähriger Schüler*innen ohne das Einverständnis der Betroffenen Auskunft erteilen. Beide Normen sind zum Glück nun weg.

Die alte Anordnung kannte gar keine digitalen Formen, auch beim Klassenbuch nicht – mit der neuen Ordnung ist übrigens auch der »Klassenbuchdienst« von Schüler*innen nicht mehr möglich. (»Geeignete Schüler, die sich freiwillig dazu bereit erklären, können die Lehrkräfte während der täglichen Unterrichtszeit bei Transport, Aufbewahrung und Führung der Klassenbücher unterstützen«, hieß es zuvor, die Sicherung gegen unbefugte Einsicht war mit den Klassenbuchdiensten lediglich »in altersgemäßer Weise« zu besprechen.) Das kann man bedauern – da aber unter bestimmten Bedingungen weiterhin die Eintragung von Gesundheitsdaten möglich ist, dürfte das heute zwingend sein und war früher schon zweifelhaft.

Digitalisierungsschub im Schuldatenschutz

Neben den grundsätzlichen Anpassungen, um ein angemessenes Datenschutzniveau gemäß KDG zu erreichen, ist vor allem die Digitalisierung des Schuldatenschutzes die wesentliche Neuerung – die kam in der alten Ordnung nur in Form eines Absatzes in den Regeln zu technischen und organisatorischen Maßnahmen vor, konkret wurde sie dabei nur in einem Trennungsgebot zwischen Schulverwaltungs- und Unterrichtssystemen. Alles weitere wurde in einer Ausführungsvorschrift geregelt. Dabei ging es aber lediglich um den Umgang mit gespeicherten Daten, auch auf Privatgeräten, nicht um den Unterricht.

Die neue Durchführungsverordnung ermöglicht nun deutlich mehr Digitalität: Bei der Führung der Klassenbücher ist die digitale Form möglich (§ 7 Abs. 1), und vor allem ein eigener Paragraph zu Fern-, Wechsel- oder Hybridunterricht, Videoübertragung, Verarbeitung von Ton-, Bild- und Videodaten (§ 8) schafft eine klare Rechtsgrundlage für das, was seit über einem Jahr ohnehin läuft. Dabei ist Hybrid- und Fernunterricht bei Vorliegen eines wichtigen Grunds auch für einzelne Schüler*innen möglich – Aufsichtsentscheidungen wie das pauschale und nach Ansicht der Aufsicht auch nicht durch Einwilligungen aller Betroffenen behebbare Verbot eines Einsatzes eines Telepräsenzroboters, der einem Schüler mit Behinderung Beteiligung ermöglichen sollte (»Fall Avatar« im Tätigkeitsbericht 2018 der KDSA Ost), sind unter der Hamburger Ordnung wohl hoffentlich nicht mehr zu erwarten.

Ein weiterer Paragraph widmet sich digitalen Unterrichtsmedien und Unterrichtssoftware (§ 11), der eine klare Rechtsgrundlage zur Verfügung stellt und Bedingungen definiert. An Regelungen wie der, dass die Schule dafür Sorge zu tragen hat, dass alle Schüler*innen je eigene Accounts erhalten, zeigt sich eine gewisse Erfahrung und Rezeption von best (und worst) practices. Ausführliche Beschreibungen technischer und organisatorischer Maßnahmen zusammen mit eindeutigen Rechtsgrundlagen sollten den digitalen Unterricht nun deutlich rechtssicherer machen.

Sehr erfreulich ist, dass neben einer Pflicht der Verantwortlichen zur Sensibilisierung der Betroffenen für die Gefahren der eigenen Daten und der von anderen auch eine explizite Regelung enthalten ist, die Betroffenen den Verzicht auf Bildübertragung erlauben, »wenn das Lernziel in der jeweiligen Unterrichtssituation auch ohne diese erreicht werden kann«. (§ 8 Abs. 4 Nr. 3) Auch wenn die Bedingung weit ausgelegt konfliktträchtig sein kann: Immerhin wird ein Kameragebot begründungspflichtig.

Detailliert geregelt, und zwar direkt in der Verordnung, nicht mehr im Anhang, wird die Datenverarbeitung auf privaten EDV-Anlagen (§ 10). Überraschend ist die klare technische Festlegung, dass Daten nur auf verschlüsselten Datenträgern verarbeitet werden dürfen – ob es beabsichtigt ist, abgekapselte und getunnelte Terminal-Lösungen nicht zu ermöglichen?

Klare Auskunftsrechte, aber mit Einschränkungen

Eine gewichtige Neuerung ist die ausführliche Regelung von Informations- und Auskunftsrechten; diese waren bisher nicht geregelt, stattdessen war auf das Vorgängergesetz des KDG, die KDO, zurückzugreifen. Nun werden manche der Rechte explizit aufgeführt: »Allen Schülern steht das Recht auf Einsichtnahme in die sie betreffenden gespeicherten Daten und Unterlagen, soweit diese in nichtautomatisierten Akten und Dateisystemen gespeichert sind, zu. Hinsichtlich der in automatisierten Dateisystemen gespeicherten Daten besteht ein Recht auf Auskunft.« (§ 4 Abs. 1) Das ist im von Machtasymmetrie und oft Rechtsunklarheit geprägten schulischen Kontext sehr hilfreich. Und auch wenn das auch gemäß KDG allein so wäre: Es dürfte in Konflikten deutlich einfacher sein, direkt auf die einschlägige Spezialnorm verweisen zu können.

Aber nicht alles ist gut: Bei Unter-16-Jährigen werden diese Rechte von den Eltern wahrgenommen – das ist leider eine deutliche Einschränkung der Rechte aus dem KDG. Immerhin: Ab 14 können Schüler*innen auch ohne ihre Eltern Auskunft verlangen, allerdings nur, wenn die Eltern dem nicht zuvor widersprochen haben. Explizit wird neben dem Einsichtsrecht auch ein kostenpflichtiges Recht auf Kopie festgelegt, mit Verweis auf den Schulfrieden kann die Auskunft begründungspflichtig verweigert werden – insgesamt dürfte hier ein niedrigeres Maß an Betroffenenrechten herrschen als gemäß DSGVO oder KDG allein. Ob das alles so europarechtskonform ist?

Fazit

Was die Rechtsgrundlagen für digitales Arbeiten in der Schule angeht, ist die neue Durchführungsverordnung ein großer Fortschritt: In beeindruckender Ausführlichkeit, die sicher zur Umsetzbarkeit beiträgt, werden Rechtsgrundlagen geschaffen. Die Regeln zum Schutz der Schüler*innen sind gelungen und schreiben explizit Rechte fest, wo sie wirklich benötigt werden – besonders die Regelung zur Kamerabenutzung im Remote-Unterricht ist gelungen, relevant und betroffenenfreundlich. Und wenn über die Pflicht zur Sensibilisierung der Schüler*innen indirekt auch Datenschutz als Lernziel auf die Agenda gesetzt wird, wäre das ein netter Kollateralnutzen.

Bei den Informations- und Auskunftsrechten zeigt sich dagegen eine Tendenz, die bereits im Patient*innen-Datenschutzgesetz zu sehen war: Die Spezialgesetze sind zwar eine deutliche Verbesserung zu den Regelungen, die sie ablösen. Sie senken aber die Betroffenenrechte eher ab als bei einer direkten Anwendung des KDG. Das KDG sieht zwar vor, das sein Schutzniveau nicht unterschritten werden darf (§ 2 Abs. 2 KDG) – wenn Spezialgesetze das aber doch tun, dürften sie in der Regel eben doch erst angewendet werden, ehe aufsichtlich oder gerichtlich ihr mangelndes Schutzniveau festgestellt wird.

Wünschenswert wäre daher, bei den Informations- und Auskunftsrechten nachzubessern, sie allen Betroffenen unabhängig vom Alter unmittelbar zuzugestehen, windelweiche Verweigerungsgründe wie vermeintlich gestörten »Schulfrieden« zu streichen und sie kostenfrei nutzbar zu machen.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.