Mittwoch, 13. Januar 2021

2: Pressemitteilungen

Falschmeldung zu ULD und Zoom - das ULD ist nicht die Zulassungsstelle für den Schulbereich

In der Pressemitteilung der CDU-Fraktion vom 13. Januar 2021 heißt es: „Tobias von der Heide: Das ULD soll endlich Zoom für die Schulen zulassen“. Es wird behauptet: „Das System kann aktuell nicht eingesetzt werden, weil eine datenschutzrechtliche Überprüfung durch das Unabhängige Landeszentrum für Datenschutz (ULD) des Systems nicht abgeschlossen worden ist. Dies allerdings seit mehreren Wochen.“

Dazu nimmt die Landesbeauftragte für Datenschutz Marit Hansen Stellung: „Der Verfasser der Pressemitteilung ist offensichtlich einer Fehlinformation aufgesessen: Zwar beschäftigt sich meine Dienststelle, das ULD, ständig mit dem rechtskonformen Einsatz von Software in allen möglichen Einsatzbereichen. Aber was mit einer über mehrere Wochen andauernden Prüfung von Zoom für den Schuleinsatz gemeint sein soll, kann ich nicht nachvollziehen. Auch ist es nicht so, dass das ULD „Zulassungsstelle für Software in Schulen“ wäre. Anscheinend sind hier Falschbehauptungen ungeprüft übernommen worden, ohne vorher ins Gesetz zu schauen oder schnell die Fakten direkt mit uns zu klären.“

Ein Blick in das Schulgesetz und in die Schul-Datenschutzverordnung zeigt, dass Schulen beim Einschalten von Dienstleistern eine Genehmigung vom Bildungsministerium – nicht vom ULD – benötigen, wenn personenbezogene Daten von Schülerinnen und Schülern oder Lehrkräften betroffen sind. Das gilt auch für Videokonferenzsysteme. Selbstverständlich müssen die Systeme datenschutzkonform sein.

Hansen hält diese Regelung auch für sinnvoll, denn dann können die notwendigen Vorab-Prüfungen zentral im Ministerium durchgeführt werden, ohne dass ein Aufwand für jede einzelne Schule entsteht. Auch wären viele Schulleitungen damit überfordert, wenn sie selbst die Software und umfangreiche Vertragswerke der Dienstleister auf Herz und Nieren prüfen sollten. Die Genehmigung durch das Bildungsministerium nach einer dortigen Vorabprüfung gewährleistet also die Rechtssicherheit für die Schulen. Wünscht das Bildungsministerium die Unterstützung durch das ULD, kann es bei der Landesbeauftragten für Datenschutz Schleswig-Holstein anfragen. Eine solche Anfrage zu Zoom aus dem Bildungsministerium liegt dem ULD bisher nicht vor.

Zusammen mit den anderen Datenschutzaufsichtsbehörden des Bundes und der Länder hat das ULD vor kurzem eine Orientierungshilfe und eine Checkliste zu Videokonferenzsystemen herausgegeben. Daran können sich alle Verantwortliche – also auch das Bildungsministerium – und natürlich auch die Anbieter der Systeme orientieren:

https://uldsh.de/2020-oh-vk

Angesichts der Vielfalt im Bereich der Videokonferenzsysteme, die in unterschiedlichen Varianten angeboten werden, rät Hansen dazu, diese Checkliste anzuwenden. Im Schulbereich gilt dazu noch die Besonderheit, dass Daten von Minderjährigen betroffen sind. „Kinderdaten sind besonders sensibel und haben auf Servern in Staaten mit ungenügendem Datenschutzniveau nichts zu suchen. Auch sonst müssen Datenschutz und Sicherheit gewährleistet sein – wo dies noch keine Selbstverständlichkeit ist, müssen es die Verantwortlichen bei den Dienstleistern einfordern“, betont Hansen.

 

Was ist beim Einsatz von Videokonferenzdiensten in Schulen zu beachten?

Die Videokonferenzdienste werden von Kindern und Jugendlichen genutzt. Für Minderjährige haben die Schulen eine besondere Fürsorgepflicht; auch die Datenschutzanforderungen sind erhöht, sodass die Prüfung der Datenschutzkonformität besonders sorgfältig durchzuführen ist.

Werden nun im Homeschooling im Rahmen der digitalen Lehr- und Lernmittel Videokonferenzdienste eingesetzt, ist damit nicht nur verbunden, dass andere Teilnehmende Einblick in die häusliche Umgebung der Schülerinnen und Schüler sowie Lehrkräfte erhalten, sondern es werden auch personenbezogene Daten verarbeitet. Dies sind einerseits Inhaltsdaten (Video- und Audiodaten oder gezeigte Bildschirminhalte), andererseits Metadaten (wer hat wann mit wem von welchem Gerät aus eine Konferenz veranstaltet oder an ihr teilgenommen). Je nach technischer Ausprägung des Dienstes sind ggf. spezifische Programme oder Apps auf den (Privat-) Geräten zu installieren, die weitere Datenübertragungen vornehmen können.

Bisher fehlen im Schulgesetz Schleswig-Holstein Regelungen für den Einsatz solcher digitalen Lehr- und Lernmittel. Es ist deshalb– unabhängig vom eingesetzten Videokonferenzdienst – auch zu klären, ob die Schülerinnen und Schüler bzw. deren Eltern ohne eine entsprechende gesetzliche Grundlage verpflichtet werden können, einen Videokonferenzdienst zu nutzen. Solche Verpflichtungen wären dann kritisch zu betrachten, wenn ausgewählte Dienstleister die europäischen Vorgaben der Datenschutz-Grundverordnung (DSGVO) nicht einhalten oder aufgrund der Rechtslage nicht einhalten können, was im Kern bei Anbietern aus Drittstaaten der Fall sein kann. Problempunkte betreffen dabei häufig fehlende angemessene Sicherheitsstandards.

Derzeit erfüllt beispielsweise die als landeseinheitliche und zentrale Lösung eingesetzte Videoplattform OpenWS (Jitsi), die bei Dataport betrieben wird, die für den Schulbereich geltenden rechtlichen Voraussetzungen. Auch die Open-Source-Lösung BigBlueButton, die z. B. als Schulträgerangebot und integriert in das Lernmanagement-System IServ in Benutzung ist, kann ggf. eingesetzt werden. Wichtig dabei ist, dass Sicherheitslücken, die nie ausgeschlossen werden können, umgehend beseitigt werden.

Zu anderen Systemen – wie auch Zoom – wäre es erforderlich, sich mit den technischen Gegebenheiten des Dienstes zu befassen: Beispielsweise bieten einige Videokonferenzdienste die Möglichkeit der Installation und des Betriebs auf eigenen Servern an, die sicherstellt, dass keine personenbezogenen Daten von Schülerinnen und Schülern sowie Lehrkräften an ein Drittland mit geringerem Datenschutz übertragen werden. Hierdurch ließe sich auch ein Schutz vor Zugriffen des Dienstleisters realisieren. Mit solchen Realisierungen ist ein datenschutzkonformer Einsatz weiterer Videokonferenzdienste denkbar, auch für den Schulbereich.

 

Bei Nachfragen wenden Sie sich bitte an:

Die Landesbeauftragte für Datenschutz Schleswig-Holstein
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Holstenstraße 98, 24103 Kiel

Tel: 0431 988-1200, Fax: -1223

E-Mail: mail@datenschutzzentrum.de