Rutheneum-Bote
Veritati obligatus
Rutheneum-Bote
Rutheneum Corona Politik Meinung Klassenfahrten Buchtipps Wissen Über Mitmachen Newsfeed Leserbrief Kontakt mehr...
RUTHENEUM-BOTE Die Schülerzeitung des Goethe-Gymnasiums/Rutheneums seit 1608 Gera Rutheneums

Bei jedem Website-Aufruf speichern wir Browser und Betriebssystem des Nutzers in einer Statistik. Diese erfassten Daten sind dabei völlig anonym und erlauben weder einen Rückschluss auf die Identität des Nutzers noch die Erstellung eines digitalen Fingerabdrucks. Wenn du dem widersprichst, verzeichnen wir deinen Aufruf ohne zusätzliche Daten. Weitere Informationen erhältst du auf der Datenschutzseite. Hier gelten zudem die Nutzungsbedingungen.

Einwilligen Widersprechen
enthält Meinung und Zynismus



10.08.2020 Beitrag teilen Beitrag teilen: Domain: https://OK Link wurde kopiert!


In den letzten Wochen und Monaten war die Aufregung groß: Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse, hatte angekündigt, Lehrer mit Bußgeldern zu bestrafen, wenn diese nicht-datenschutzkonforme Software im Unterricht benutzen. Hasses Bußgeld-Ankündigung wurde vielfach kritisiert, unter anderem von OTZ, MDR sowie Schülersprecher Tillman Becker und der Elternvertretung des Rutheneums. Zum Thema interviewte der Rutheneum-Bote Datenschützer Hasse per Videokonferenz – hier könnt ihr euch das vollständige Interview als Text durchlesen. Dazu haben wir auch einen auswertenden Artikel veröffentlicht.

Zum Auswertungs-Artikel

Rutheneum-Bote
In den letzten Wochen und Monaten haben zahlreiche regionale, überregionale und bundesweite Medien berichtet, dass in Thüringen „wie aus dem Nichts“ der „Datenschutz-Hammer“ kommt. Es würden Bußgelder gegen Lehrer verhängt werden, die eigentlich nur Homeschooling-Unterricht machen wollten. Wie ist es denn zu Ihrer Bußgeld-Ankündigung gekommen?

TLfDI Hasse
Vielleicht vorab: Wir haben in dieser Sache noch nicht ein einziges Bußgeld verhängt. In einem Interview mit der TLZ fragte mich der Journalist, wie wir denn mit etwaigen Datenschutzverstößen umgehen würden, und da habe ich gesagt: Wer gegen Datenschutz verstößt, der verstößt eben dagegen, auch wenn er Lehrer ist. Und das kann mit einem Bußgeld geahndet werden. Und bei uns liegen die durchschnittlichen Bußgelder zwischen 100 und 1000 Euro. Dass das bundesweit so eine Welle auslöst, wusste ich nicht, würde es aber grundsätzlich wieder so machen, weil ich im Nachgang den Eindruck habe, dass viele Personen im Lehrbereich gemerkt haben, dass Datenschutz für sie einschlägig ist.

Rutheneum-Bote
Auf welcher Rechtsgrundlage beruhen denn die Bußgelder?

TLfDI Hasse
Das ist leider nicht ganz so einfach: Es gibt einmal den Artikel 83 DSGVO, der besagt, dass Verstöße gegen das Datenschutzrecht mit einem Bußgeld geahndet werden können, wenn es sich um einen Verantwortlichen handelt.

Die Frage wäre also: Wenn beispielsweise ein Schulleiter oder ein Lehrer Software einsetzt, die gegen das Datenschutzrecht verstößt, und das auch noch zusätzlich macht, indem er nicht bei den Eltern oder Schülern eine Einwilligung einholt, die freiwillig ist und informiert. Derjenige müsste vorher die Schüler und Eltern umfassend informieren, in was eingewilligt werden soll. Macht man das nicht, ist das ein Verstoß.

Zusätzlich gibt es Artikel 13, der diese Informationspflicht formalisiert. Derjenige, der Software im Unterricht einsetzen will, der muss nachweisen können, dass er darüber informiert hat. Zusätzlich müsste mit dem Software-Anbieter, z.B. für eine Videochat-Software, ein Auftragsverarbeitungsvertrag geschlossen werden. Letzlich müsste er die Einwilligung beim Schulleiter einholen, der wiederum muss die Einwilligung beim Ministerium einholen, um solche Software einsetzen zu können. Wenn das alles nicht gemacht wird, ist das jeweils ein Datenschutzverstoß.

Und jetzt gibt es noch einen Artikel 84 DSGVO, der konkretisiert wird durch § 61 Thüringer Datenschutzgesetz. Da steht drin: Auch wenn man nicht Verantwortlicher ist, also nicht selber bestimmt, welche Software eingesetzt wird, sondern das gleiche wie die ganze Schule macht, selbst dann kann ein Bußgeld verhängt werden.

Rutheneum-Bote
Also gegen jeden Lehrer, der sich an der gesamtschulischen Nutzung einer Software beteiligt?

TLfDI Hasse
Wenn er es vorsätzlich macht, ja. Ich würde mal so sagen: Eine solche Vorschrift gibt es nicht in allen Bundesländern, aber hier in Thüringen. Wenn wir als Datenschutzbehörde solche Verstöße feststellen, weil sie uns von Schülern oder Eltern gemeldet werden – das kommt alles vor –, dann gehen wir dem nach. Wir müssen nicht ein Bußgeld verhängen, sondern wir können. Das nennt sich Ermessen.

Allerdings ist in § 47 Ordnungswidrigkeitengesetz ausgeführt, dass dieses Ermessen pflichtgemäß ausgeführt werden muss. Ich mache das in der Regel nicht selber, sondern meine Juristen, die alle die Befähigung zum Richteramt haben. Damit will ich sagen: Die sind durchaus in der Lage, verhältnismäßige Entscheidungen zu treffen. Das pflichtgemäße Ermessen bedeutet, dass ich Pro und Kontra einer Bußgeldverhängung ermitteln muss.

Nehmen wir mal an, eine Lehrerin setzt Software ein, die grottig ist, weil sie alle Daten z.B. amerikanischen Firmen zur Profilbildung übermittelt. Das ergibt sich manchmal sogar aus den Datenschutz-Hinweisen, da könnte man nachlesen.

Rutheneum-Bote
Worauf müsste ein Lehrer achten, wenn er mal genauer nachsehen möchte, wohin Daten abfließen?

TLfDI Hasse
Kritische Sätze, die man natürlich erst einmal finden muss, weil alles verklausuliert ist, damit man sie gerade nicht findet, sind z.B.:

„Zur Verbesserung unserer Software verwenden wir Ihre personenbezogenen Daten.“

Was das bedeutet – „zur Verbesserung“ –, das weiß kein Mensch. Wenn wir jetzt über Software reden, welche die Daten in den USA verarbeitet: Seit vor ein paar Tagen der Europäische Gerichtshof das Abkommen zur Datenübermittlung „Privacy Shield“ gekippt hat, wird die Frage der Rechtsgrundlage für eine solche Datenübermittlung in die USA noch schärfer.

Ein anderer Satz, der noch schlimmer ist, lautet:

„Die personenbezogenen Daten werden an Dritte weitergegeben.“

Manchmal steht sogar da, die Daten werden zur Profilbildung weitergegeben. Das ist ein No-Go, das geht gar nicht.

Man kann natürlich mit Software Unterricht abwickeln, aber der Zweck darf nicht darin bestehen, Daten an Dritte in der Welt zu übermitteln.

Bezüglich des pflichtgemäßen Ermessens: Wenn wir solche Datenschutzverstöße feststellen, dann müssen wir den Sachverhalt aufklären und Argumente sammeln, die für ein Bußgeld und gegen ein Bußgeld sprechen.

Rutheneum-Bote
Was wäre das zum Beispiel?

TLfDI Hasse
Gegen ein Bußgeld sehe ich durchaus als ein Argument: Coronakrise – Lehrer wollen in dieser Notsituation den Unterricht online managen, eine Alternative gibt es nicht, und die setzen dann irgendeine Software ein und wickeln darüber den Unterricht ab. Diese Notsituation ist ein Punkt, der gegen ein Bußgeld spricht.

Für ein Bußgeld spricht, dass es sich um Kinderdaten handelt, also von Personen unter 18 Jahren. Diese Daten sind nach der DSGVO besonders geschützt. Das heißt, ich als Aufsichtsbehörde habe nicht nur die Aufgabe, sondern die besondere Aufgabe, diese Daten zu schützen – auch durch Verhängung eines Bußgelds.

Ausschlaggebend in diesem Abwägen ist weiterhin: Wenn jemand dagegen verstoßen hat, stellt sich die Frage: Wie kooperiert er mit uns? Ist er offen und sagt

„Mensch, hier habe ich Mist gemacht, mache ich nächstes Mal nicht wieder, das ist so-und-so passiert, sorry, wir haben jetzt Vorkehrungen getroffen, dass so etwas nicht passiert.“

In der Zwischenzeit gibt es ja auch einen vom Freistaat Thüringen zur Verfügung gestellten E-Mail-Account und die Thüringen-Cloud, in die BigBlueButton eingebettet ist, das ist momentan eines der sichersten Chatsysteme. Und ich höre, dass das ein oder andere Tool ein bisschen holprig ist, aber immerhin haben wir diese Tools im Vergleich zu anderen Bundesländern, die so etwas nicht haben. Die Tools sind nicht zwingend vorgeschrieben, aber weil wir sie haben und weil sie – wie ich höre – quantitativ auch leistungsfähig sind, hätten eigentlich auch alle Schulen die Möglichkeit, darauf zurückzugreifen.

Noch einmal zum Bußgeld: Wir ermitteln den Sachverhalt, wenn wir den Verdacht haben, dass Verstöße vorliegen; was spricht für ein Bußgeld, was spricht dagegen – wir wägen dann ab. Und wenn wir dann zu dem Schluss gekommen sind, was ja bisher noch nicht der Fall war, dass ein Bußgeld verhängt werden soll, stellt sich die Frage erst dann, wie hoch das Bußgeld sein soll.

Rutheneum-Bote
Welches Gesetz regelt denn die Bußgeld-Höhe?

TLfDI Hasse
Das ist dieser § 61 Thüringer Datenschutzgesetz, da ist die Höchstgrenze mit 50.000 Euro angegeben, aber unsere Durchschnittsbußgelder bewegen sich sehr viel niedriger, also zwischen 100 und 1000 Euro. Ob es aber überhaupt dazu kommen wird, dass wir so ein Bußgeld verhängen und wenn, dann in dieser Höhe, das steht ja noch völlig in den Sternen.

Für mich war wichtig, dass ich diesen rechtlichen Hinweis einmal gebe. Ich hätte das vielleicht – das räume ich gerne ein – ein bisschen sanfter formulieren können, aber das ändert an der Rechtslage aus meiner Sicht nichts. Die Lehrerinnen und Lehrer sowie Schulleiterinnen und Schulleiter müssen wissen, dass sie sich im Datenschutzrecht bewegen, wenn sie solche Software einsetzen, dass sie da bestimmte Pflichten haben, die sie einhalten müssen – und wenn sie die nicht einhalten –, dann sind das Rechtsverstöße, die unter Umständen mit einem Bußgeld geahndet werden können, darauf wollte ich mal hinweisen.

Rutheneum-Bote
Sie sagten eben, dass es bisher noch keine Datenschutz-Bußgelder gegen Lehrer gab. Aber gab es denn Verfahren gegen Lehrer, die vielleicht eingestellt wurden – oder gab es bisher überhaupt keine Verfahren?

TLfDI Hasse
Wir sind in einigen Verfahren drin.

Rutheneum-Bote
Sie können aber noch keine Prognose abgeben, was dabei herauskommen könnte?

TLfDI Hasse
Nein, ich will dazu keine Prognose abgeben. Ich mache das auch nicht selber. Wenn das ein schlimmer Fall ist, dann bearbeite ich den selbst, wenn es aber nicht so schwerwiegende Verstöße sind, machen das meine Juristen.

Rutheneum-Bote
Wie viele Verfahren wären das? Sprechen wir hier von ein paar? Zehn, 100 oder gar 1000?

TLfDI Hasse
Ein paar wenige.

Rutheneum-Bote
Es ist jetzt also auch nicht so, dass wirklich jeder wegen allem zur Kasse gebeten wird, wie das ja teilweise in den Medien dargestellt wurde?

TLfDI Hasse
Nein, wir haben ja gar nicht die Kapazitäten. Ich habe ja nur eine kleine Behörde, um hier alle Verstöße zu ermitteln.

Rutheneum-Bote
Manche Ihrer Kritiker sagen unter anderem, dass Sie sich in der Homeschooling-Zeit, also der relevanten Phase in der Lehrer womöglich Verstöße begangen haben, „weggeduckt“ hätten und erst danach „aus Ihrer Deckung gekommen wären“. Was entgegnen Sie diesen Kritikern?

TLfDI Hasse
Dass sie mal einen Blick auf unsere Homepage werfen, da haben wir einen Button: „Datenschutz in Corona-Zeiten“. Wenn man dem folgt, landet man einer Linksammlung für Schulen, inzwischen auch für Hochschulen, dort haben wir nämlich vergleichbare Problematiken, z.B. Examensklausuren, online mit Gesichtserkennung. Und wenn man sich da rechtzeitig getummelt hätte, hätte man genügend Hinweise finden können – schon vor der Corona-Zeit. Wir haben auch mit dem Kultusministerium FAQs entwickelt, die sind auch vor Corona-Zeiten an die Schulen gegangen. Man hätte sich informieren können – auch rechtzeitig –, ist meine Ansicht.

Und nicht wenige Schulleiter und Lehrer haben sich auch direkt an uns gewandt und haben gesagt: „Datenschützer, wir wollen hier irgendwas machen, wir wollen z.B. die Software XY einsetzen, um Online-Unterricht machen zu können. Was hältst du davon?“ Und dann haben wir konkrete Aussagen gemacht und haben Hinweise gegeben. Ich will damit sagen, dass es durchaus Leute gab, die auch auf die Idee gekommen sind, sich direkt an uns zu wenden.

Wenn man auf diese Idee nicht gekommen ist, stand der E-Mail-Account schon vor Corona-Zeiten zur Verfügung, ein bisschen wackelig zwar, aber man hätte sich darüber zu Unterrichtszwecken austauschen können, und zusätzlich die vielen Links – nicht nur von uns, sondern auch von meinen Kollegen aus Baden-Württemberg, Rheinland-Pfalz, NRW, Schleswig-Holstein, die das Thema „Video zu Corona-Zeiten in der Schule“ usw. aufgeführt haben.

Rutheneum-Bote
Kritiker beklagen, dass Sie keine eigene Technik zur Verfügung gestellt hätten. Ist das denn überhaupt Ihre Aufgabe? Was zählt tatsächlich zu Ihren Aufgaben?

TLfDI Hasse
Meine Aufgaben sind – für rechtlich Interessierte – in Artikel 57 DSGVO aufgezählt, das ist sehr umfassend und nicht abschließend. Der Schwerpunkt besteht aber darin, dass ich Aufsichtsbehörde bin. Das bedeutet, wir achten hier darauf, dass das Recht eingehalten wird von denjenigen, die dafür verantwortlich sind, dass sie z.B. eine Software einsetzen. Wir haben auch eine Beratungsfunktion. Darüber hinausgehend bin aber nicht nur Datenschutzbeauftragter von Thüringen, sondern – das wissen vielleicht nicht so viele – wir Datenschützer aller Länder bilden zusammen die Datenschutzkonferenz. Das ist wie eine Innenministerkonferenz oder eine Kultusministerkonferenz [diese kennt ihr sicher als „KMK“; Anm. d. Red.].

Diese Datenschutzkonferenz bildet Arbeitskreise, und ich bin Vorsitzender von zwei Bundesarbeitskreisen; der eine heißt „Schule und Bildung“ und der andere heißt „Medienkompetenz“. Daher weiß ich ungefähr, was so im Bundesgebiet passiert, und in dieser Funktion habe ich mich – das hat mit Corona nichts zu tun, das war Zufall – eingeschaltet in die Entwicklung der Deutschland-Cloud, die im Wege des Digitalpakts ausgerollt werden sollte. Davon ist auch hier in Thüringen etwas angekommen: Ein sogenanntes Grundmodul, das in der Thüringen-Cloud verwendet wird.

Jetzt kommt der Werbeblock: Wenn wir uns nicht – zufällig – schon seit einiger Zeit mit diesem Modul beschäftigt hätten, auch mit dem Hersteller, also Face-to-Face, dann hätten wir dieses Modul in Thüringen nicht anbieten können. Auch das E-Mail-Postfach und das Chatsystem BigBlueButton hätte ohne uns nicht stattgefunden. Was ich damit sagen will: Wir versuchen schon aus dieser Aufsichtsrolle ein bisschen herauszukommen. Das ist sowieso mein Ansatz: ich denke immer, dass wir die Kompetenz, die bei uns hier versammelt ist, nicht nur dazu nutzen sollten, den Leuten auf die Finger zu klopfen, sondern dass wir sie auch dazu nutzen sollten, das Know-How zu bündeln.

Wir versuchen, die Dinge nicht nur aufsichtsbehördlich, sondern auch „leistungsbehördlich“ voranzubringen, dass wir – wir werden ja schließlich von Steuergeldern bezahlt – den Steuerzahlern nicht noch auf die Finger hauen und sagen „Du musst jetzt auch noch ein Bußgeld bezahlen“, sondern dass wir präventiv vesuchen zu beraten und uns einzubringen. Hier in der Schullandschaft haben wir uns mit dem Postfach, mit der Cloud und mit dem Chatsystem eigentlich ganz gut eingebracht. Thüringen liegt mit diesen Tools an der Spitze im Bundesgebiet.

Rutheneum-Bote
Nun hat ja Bildungsminister Holter relativ deutlich gesagt, dass es ein Problem ist, dass Lehrer (angeblich) abgestraft werden für ihre Bemühungen in der Homeschooling-Zeit. Man kann schon sagen, dass er Sie als Sündenbock in der ganzen Angelegenheit dastehen lassen will. Fühlen Sie sich dadurch ungerecht behandelt?

TLfDI Hasse
Ach, als Leiter einer Aufsichtsbehörde denkt man nicht in solchen Kategorien. Ich glaube, Herr Holter hat auch mal gesagt, er will sich schützend vor seine Lehrer werfen, und als Kugelfang die Kugeln auffangen, die der Datenschutzbeauftragte auf die Lehrer abfeuert.

Damit kann ich ganz gut leben. Insider – Sie zählen ja jetzt auch schon ein bisschen zu den Insidern –, die Hintergrundinformationen haben, die wissen, dass der Datenschutzbeauftragte schon ganz schön was geleistet hat und dass es ohne ihn die Tools gar nicht gäbe.

Wo es meiner Ansicht nach noch ein wenig hinkt – und da sehe ich auch eine Ursache für die ganze Misere –, ist, dass Lehrerinnen und Lehrer, aber auch Schülerinnen und Schüler und Schulleiterinnen und Schulleiter offenbar nicht so richtig wissen, was sie da eigentlich tun – oder wissen können. Sie werden nicht entsprechend ausgebildet an den Universitäten, da versuchen wir auch, Druck auszuüben, so brutal muss man das sagen. Es geht unendlich langsam voran, selbst wenn man – auch durch Corona bedingt – erkannt hat, dass wir im Bereich Digitalisierung der Schule, und auch Hochschule, unbedingt etwas machen müssen. Die Leute kommen nicht regelmäßig an einen Tisch und treiben die Sache voran. Es mag sein, dass ich mich da jetzt irre, aber ich glaube, unsere Behörde ist die treibende Kraft, die nervt auch, um die Ausbildung der Lehrer an den Universitäten voranzubringen. Praktiker sagen mir, es dauert acht bis zehn Jahre, wenn die Ausbildung begonnen hat – hat sie noch lange nicht –, bis ein Lehrer unten ankommt. Das sind im Digitalisierungszeitalter Zeiträume, die nicht akzeptabel sind. Das muss einfach schneller gehen.

Eine zweite Schiene ist die Fortbildung, da muss ich sagen, da tut sich wesentlich mehr als in der Lehrer-Ausbildung, es könnte aber noch mehr sein. Aber immerhin: Da bewegt sich was.

Rutheneum-Bote
Heißt das, das Kultusministerium hat die digitale Fortbildung verpennt?

TLfDI Hasse
Das ist jetzt so eine Schuldzuweisungsfrage. Ich antworte mal ein bisschen ausweichend: Ich habe privat festgestellt – bei uns zu Hause, aber auch durch ausufernde Recherchen –, dass Medienpässe [Quasi-Zeugnisse über Medienkompetenzen eines Schülers, Anm. d. Red.] zu einem gehörigen Anteil fake waren. Dass also das, was da drin steht und vom Lehrer bescheinigt wird, gar nicht unterrichtet wurde. Daraufhin hat die Staatssekretärin ein Gutachten von der TU Ilmenau anfertigen lassen, ob das eigentlich so stimmt, was ich sage. Und es kam zu dem Ergebnis, dass die Medienpässe – ich drücke mich mal vorsichtig aus – nicht alle so stimmen, dass Medienkunde defizitär unterricht wird und dass wir dringend ein eigenes Fach Medienkunde brauchen, auch mit IT-Inhalten, damit Schüler einmal verpflichtend, nicht freiwillig, auch leichtere Algorithmen programmieren können müssen. Das hat meine Behörde aufgedeckt, und seitdem gibt es die Aktivitäten, dass wir in Sachen Aus- und Fortbildung der Lehrer einiges tun müssen. Corona hat das jetzt gepusht.

Und vielleicht zu Ihrer Frage, ob wir genug getan haben, wo der Schwarze Peter liegt: Ich kann ihn jedenfalls nicht bei uns erkennen.

Rutheneum-Bote
Das ist also tendenziell schon eher eine Schuldzuweisung an das Bildungsministerium?

TLfDI Hasse
Ich verstehe Ihre Frage, aber ich bleibe ausweichend: Wir sollten alle schnellstens dazu übergehen, an einem Strang zu ziehen, und nicht gegeneinander zu arbeiten und auch keine Vorwürfe zu machen. Mit Blick in die Zukunft führt uns das wirklich nicht weiter, man verliert nur das Gesprächsthema.

Wenn Herr Holter mir jetzt etwas vorwirft, dann schlucke ich das runter, ich werfe ihm nichts vor, auch wenn ich das vielleicht könnte.

Rutheneum-Bote
In der letzten Zeit wurde berichtet, dass Sie sich mit Herrn Holter geeinigt hätten. Wie sah diese Einigung aus?

TLfDI Hasse
Das habe ich vor ein paar Wochen schon gelesen, das habe ich aber in einem weiteren Zeitungsartikel klargestellt. Also, wie diese Einigung ausgesehen haben soll… Ich kann mich ja gar nicht einigen; ich muss ja erst einmal die Sachverhalte ermitteln und dann den Schluss ziehen, „Verhänge ich jetzt ein Bußgeld oder nicht?“, und wenn ich gar keins verhänge, muss ich mich auch gar nicht einigen. Aber ich bin ja für gute Vorschläge immer offen.

Rutheneum-Bote
Sie setzen also weiterhin auf Kooperation als mit dem Finger auf vermeintlich Schuldige zu zeigen?

TLfDI Hasse
Ja, das ist mein Ansatz. Es ist immer besser, miteinander zu arbeiten.

Rutheneum-Bote
Zu einer ganz anderen Sache – konkrete Dienste: Sie haben ja z.B. dem MDR gegenüber gesagt, dass Sie keine konkreten Apps empfehlen oder bewerten wollen – aus wettbewerbsrechtlichen Gründen. Wenn Sie nun aber sagen, eine App, z.B. Zoom, leitet Daten an einen externen Anbieter weiter, dann ist das ja eine sachliche Tatsachenfeststellung. Warum würden Sie dann trotzdem keine konkreten Apps bewerten?

TLfDI Hasse
Das stimmt so nicht ganz: Wenn wir eine konkrete Anfrage bekommen, „Wir wollen an unserer Schule Zoom einsetzen – ist das in Ordnung?“, dann checken wir Zoom durch, haben dann natürlich nur den Erkenntnisstand an diesem Tag. Zoom verbessert ja sein Produkt ständig, wir können also immer nur eine zeitlich befristete Aussage machen, aber dem konkreten Fragesteller sagen wir dann, wir sehen Vorteile dort, Nachteile dort – rechtlich und technisch. Das endet dann meistens mit der Aussage „Wir haben derzeit datenschutzrechtliche Bedenken“ oder eben „Wir haben keine datenschutzrechtlichen Bedenken“, bei Zoom hätten wir sie noch. Das schreiben wir dem Fragesteller zurück in der Hoffnung, dass er mit dieser Antwort etwas anfangen kann. Wenn nicht, fordern wir ihn auf, weitere Fragen zu stellen.

Die andere Möglichkeit wäre, dass wir etwas verbieten. Ich habe schon WhatsApp verboten und mich zu Google Classroom geäußert – jedenfalls zu der Variante, die einzelne Lehrer kostenfrei herunterladen können. Wenn ich also so eine Black- oder Whitelist machen würde zu allen Chatsystemen, die es gibt, dann müsste ich wirklich jedes einzelne System von Grund auf durchprüfen und dann eine fundierte Aussage treffen. Dafür haben wir derzeit nicht die Kapazität. Deswegen beschränken wir uns auf konkrete Anfragen. Wenn ich trotzdem eine Black-/Whitelist veröffentlichen würde, ohne die Produkte tiefgehend geprüft zu haben, dann würden pro Software-Anbieter fünf Anwälte kommen – ich habe so gewisse Erfahrungswerte [schmunzelt]. Bei 20 Anbietern hätte ich dann ungefähr 100 Anwälte auf dem Hals, die uns sagen würden

Herr Hasse, Sie sind Datenschutzbeauftragter, das ist eine exponierte Stellung, und wenn Sie sagen, Software XY empfehlen wir nicht, dann greift das in den Wettbewerb ein und verzerrt ihn.“

Das wäre also von meiner Seite möglicherweise ein Verstoß gegen das Wettbewerbsrecht. Und das kann ziemlich teuer werden. Wenn Sie mal in die Datenschützer-Landschaft schauen: meine Berliner Kollegin hat sich sehr weit aus dem Fenster gelehnt, sie hat tatsächlich eine Liste veröffentlicht von Chatsystemen. Ich meine aber, sie ist die Einzige und hat auch juristischen Ärger. Das bedeutet eben nicht, dass man ein paar Probleme hat, sondern, wenn die Big Player auftreten, bewegen wir uns – was etwaige Bußgelder anbelagt, die ich zahlen müsste – in astronomischen Höhen. Deswegen finde ich das sehr mutig, was sie macht. Die Kapazitäten, um alles durchprüfen zu können, haben wir derzeit einfach nicht.

Rutheneum-Bote
Wenn sich nun Lehrer im Internet darüber informieren, ob ein bestimmter Dienst sicher ist oder nicht, also ob er für den Unterricht geeignet ist, dann stößt man ja relativ schnell z.B. auf den Datenschutz-Verein Digitalcourage, das Magazin Mobilsicher oder den IT-Experten Mike Kuketz. Würden Sie solche Quellen als seriös einstufen – oder haben Sie vielleicht andere Quellen, bei denen man sich als Lehrer zuverlässig informieren kann?

TLfDI Hasse
Herr Kuketz ist klasse, ich habe ihn schon zu meinen Veranstaltungen eingeladen, z.B. über künstliche Intelligenz. Auf ihn kann man sich hundertpro verlassen. Wenn er sagt „Hier liegt etwas im Argen, sei vorsichtig“, dann sollte man vorsichtig sein. Für Digitalcourage gilt dasselbe. Es gibt auch Kollegen, ich zähle mich selber auch dazu, aber muss es beschränken auf WhatsApp und die schon benannte Software, die sagen vereinzelt etwas dazu, weil die nämlich die Möglichkeit hatten, sich mit einer einzigen Software auseinanderzusetzen – es dauert nämlich Tage, ehe man die auseinandergebaut hat und man weiß, was für Daten sie rausschleudert. Man findet auch auf den Seiten der Datenschutzbeauftragten hier und da Hinweise auf Software.

Man sollte darauf achten, ob die Seite, die etwas zu Software-Angeboten sagt, vielleicht so etwas wie eine versteckte Werbeseite ist – also ist sie objektiv? Es gibt Seiten, die ich als objektiv einstufen würde, die Tests machen, und dann muss man sehen, wie diese Testergebnisse ausfallen. Vielleicht geht man nicht auf eine Seite, sondern schaut sich Kuketz an, dann Digitalcourage, vielleicht die Datenschützer noch, also mehr Informationen sammeln von rundherum. Und wenn man dann den Eindruck hat, diese Software ist im Moment relativ safe, dann kann man die schon nehmen.

Und im Zweifel einfach den Datenschutzbeauftragten fragen, vielleicht hat er das schon mal in einzelnen Anfragen bearbeitet und kann dann zu bestimmten Produkten schnell etwas sagen. Also man ist nicht hilflos den digitalen Gezeiten ausgesetzt, man kann sich informieren.

Rutheneum-Bote
Das heißt: Wenn ein Lehrer sich bei den genannten Quellen informiert und sich ein mehr oder weniger umfassendes Bild verschafft und zu dem Schluss kommt, dass eine Software datenschutzfreundlich und -konform ist, dann ist er auch rechtlich auf der sicheren Seite? Er muss also nicht mehr fürchten, dass ihn ein Bußgeld ereilt?

TLfDI Hasse
Das setzt natürlich voraus, dass die anderen Quellen zuverlässig sind. Im Zweifel sollte der Lehrer oder der Schulleiter sich bei uns rückversichern.

Rutheneum-Bote
Wäre der Lehrer auch sicher, wenn er – ohne sich in den Medien informiert zu haben – sich an den Schulleiter wendet und der sagt, der Dienst sei in Ordnung, woraufhin der Lehrer diesen auch einsetzt. Es stellt sich nun heraus, dass er doch nicht geeignet ist. Wäre das dann ein Problem des Schulleiters und nicht des Lehrers? Kann der Lehrer sich also dadurch absichern, dass er die Schulleitung fragt?

TLfDI Hasse
Das ist leider rechtlich nicht ganz so einfach, denn wenn der Schulleiter etwa sagt, „Kollegium, nehmt bitte Software A“, und alle nehmen Software A, dann verhalten sie sich gemäß der Weisung des Schulleiters, der ist dann Verantwortlicher, und wenn er Software empfohlen hat, die Daten an Dritte rausgibt bzw. die anderen Datenschutzregelungen nicht einhält, dann haftet der Schulleiter/die Schulleiterin. Aber es gibt eben diesen § 61 Thüringer Datenschutzgesetz, dessen Begründung man lesen muss. Dann ist ganz klar, dass diese Vorschrift gemacht ist für Nicht-Verantwortliche. Das wäre beispielsweise für Lehrer, die genau der Weisung des Schulleiters folgen. Der Schulleiter macht dann datenschutzrechtlich Mist, weil er etwas Datenschutzrechtswidriges empfiehlt, dafür haftet er. Die Lehrer müssen sich dann mit dem § 61 Thüringer Datenschutzgesetz auseinandersetzen, der gerade für Datenschutzverstöße von Nicht-Verantwortlichen gemacht ist. Ich will aber gerne – das mache ich das erste Mal in Ihrem Interview – einräumen, dass ich das auch nicht für ganz unproblematisch halte, dass der Schulleiter sagt A und alle machen A, will ich die Verantwortung beim Schulleiter und nicht beim Lehrer. Das ist dann sicher ein Argument, das bei dieser Abwägung für den Lehrer spricht und gegen den Schulleiter. Also gegen eine Verhängung von Bußgeldern. Was soll ich machen als Lehrer, wenn mein Chef mir sagt „Nimm jetzt A“, dann nehme ich A. Es ist nicht mein Job als Lehrer, darüber nachzudenken, ob das rechtskonform ist oder nicht.

Rutheneum-Bote
Nun gibt es ja in der Thüringer Schulcloud BigBlueButton als Videokonferenz-Dienst. Wenn dieser nun überlastet ist, weil gleichzeitig auch andere Lehrer darüber Unterricht machen, wäre es dann möglich, BigBlueButton bei einem anderen Anbieter zu nutzen, also auf einem anderen, dritten Server?

TLfDI Hasse
Also gecheckt und getestet haben wir nur die Variante, die vom Freistaat zur Verfügung gestellt wird. Andere Konstrukte würde ich mir gern vorher anschauen, bevor ich dazu etwas sage. BigBlueButton an sich ist eines der sichersten Systeme derzeit.

Rutheneum-Bote
Es ist also nicht so, dass man ungeprüft einen anderen BBB-Server nutzen könnte?

TLfDI Hasse
Besser nachfragen, denn es ist nicht immer klar, was diese Seite mit den Daten macht. BigBlueButton an sich ist schon ziemlich safe, aber bevor ich hier eine generelle Aussage treffe, würde ich doch den ein oder anderen Lehrer bitten, uns zu fragen. Wir testen das dann hier bei uns durch, das dauert auch nicht immer so lange, wir ziehen das vor, weil wir ja wissen, dass Not am Mann ist. So würde ich als Lehrer vorgehen.

Rutheneum-Bote
Mal eine ganz generelle Frage: Warum ist es denn überhaupt wichtig, dass Daten, insbesondere von Schülern, vor Dritten geschützt werden?

TLfDI Hasse
Kinder- und Schülerdaten sind besonders schützenswert, aber auch personenbezogene Daten von Erwachsenen müssen geschützt werden. Es gibt ja das Grundrecht der informationellen Selbstbestimmung. Das ist vom Bundesverfassungsgericht schon 1983 entwickelt worden, also sehr vorausschauend. Inzwischen gibt es das in Artikel 6 der Thüringer Verfassung, also ein eigenes Grundrecht. Warum Grundrecht? Weil schlaue Leute erkannt haben, dass dieses Recht, mit seinen Daten eigentlich selber machen zu können, was man will – es sei denn, der Gesetzgeber regelt etwas anderes, also z.B. wenn man umzieht, muss man sich beim Meldeamt melden oder wenn man von der Polizei angehalten wird, muss man seine Personalien angeben, das ist im Gesetz geregelt. Aber ansonsten bestimmt man selbst, was mit den eigenen Daten passiert. Das ist so, weil es inzwischen aufgrund der digitalen Entwicklung – künstliche Intelligenz ist nur ein Stichwort – möglich ist, Daten aus dem weltweiten Netz – Stichwort Big Data – zu sammeln.

Michał Kosiński, ein nicht ganz ungefährlicher Mann, Psychometriker, hat also Algorithmen entworfen, die zum Einsatz bei der Trump-Wahl kamen.

Mit zehn Facebook-Likes, sagt Michał Kosiński, kennt Facebook den Likenden besser als ein Arbeitskollege.

Es sind also Algorithmen in der Entwicklung oder auch schon fertig, die anhand bestimmter Antworten oder Reaktionen im Netz Schlüsse ziehen – in Richtung Profilbildung. Ob diese Schlüsse richtig sind, weiß man nicht. Man bekommt es auch nicht mit.

Diese Datenschnipsel, die durch das Netz geistern, die werden von Profis gesammelt und zu Profilen zusammengefügt – ich habe anlässlich der Trump-Wahl gelesen, über jeden Amerikaner sind 8.000 Daten bekannt, aus den sozialen Netzwerken. Wenn man bedenkt, dass schon aus zehn Likes ein Profil gebildet wird, das bessere Auskunft gibt als die Kenntnis des Arbeitskollegen, dann kann man sich ungefähr vorstellen, wohin die Reise geht. Wahlen können manipuliert werden, Wähler können durch individualisierte Wahlwerbung, die ihnen schmeckt, die ihnen Spaß macht, dazu verleitet werden, eine bestimmte Partei zu wählen.

Das Schlimme ist, solche Profilbildungen sind nicht meldepflichtig. Das heißt, selbst Datenschutzbehörden in Deutschland wissen nicht, wer Daten sammelt, um Profile zu erstellen und um diese Profile dann zu verkaufen. Und der Käufer solcher Profile stellt dann damit etwas an.

Werbung ist noch relativ harmlos. Man bekommt dann Werbung – okay. Da sagen manche „Toll, endlich spricht mal einer mit mir” und freuen sich über die Werbung.

Es gibt andere Profile, das haben Sie schon gehört, wenn man einen Bankkredit beantragen will, gibt es ein Ranking, ein Scoring, dann sagt die Bank Nein, weil sie dieses Profil hat. Das weiß man gar nicht. Es gibt inzwischen schon Leute, die ziehen aus ihrem Wohnbezirk weg, um ein besseres Ranking zu bekommen, um daraufhin einen Bankkredit zu erhalten. Es geht dann aber noch weiter, wenn es nicht nur um Bankkredite geht, zum Beispiel, wenn Sie das Abitur haben und studiert haben, dann stellen Sie sich Ihrem Arbeitgeber vor und der fragt Sie „Nehmen Sie eigentlich Alkohol oder andere Drogen?” Und Sie sagen dann mit leuchtenden Augen Nein und er zeigt Ihnen dann einen Videoclip, wo Sie gerade in Ihrem Erbrochenen liegen und da vor sich hinstöhnen.

Gepaart mit Gesichtserkennung kann das individuell zugeordnet werden und – lange Rede, kurzer Sinn –: Für mich ist Profilbildung eine der schlimmsten Sachen, zumal wenn künstliche Intelligenz dahintersteckt und Schlüsse zieht, die Menschen vielleicht gar nicht ziehen würden, sondern das machen Algorithmen. A) Sie wissen nichts davon, b) Sie kennen die Schlüsse nicht und c) Sie wissen nicht, an wen das verkauft wird, was für Schlussfolgerungen daraus gezogen werden und wie sich das auf Sie auswirkt.

Die Datenschutz-Grundverordnung enthält zwar einen Artikel zum Profiling, der ist aber sehr lasch, der schützt nicht wirklich.

Das ist ein Grund, warum ich den Schutz dieses Grundrechts für wesentlich halte. Das ist so ein bisschen wie Radioaktivität: Man spürt es nicht, aber es kann Sie kaputtmachen, wenn Dritte auch mit gewisser krimineller Energie Daten über Sie sammeln, Profile anfertigen oder Sie sogar erpressen. Denken Sie jetzt auch mal daran, dass Systeme eingesetzt werden, die Schülerdaten sammeln, damit meine ich auch Prüfungsdaten: Stellen Sie sich vor, das findet demnächst auch in der Kita statt und dann in der Hochschule. Die Daten werden zusammengefügt, und dann weiß man, was Sie schulleistungsmäßig für einer sind. Und wenn Sie dann in eine leitende Funktion wollen, Sie wollen z.B. Ministerpräsident werden, und dann kommt die Opposition und sagt „Aber in Klasse 7 und 8 hatten Sie eine Lese-Rechtschreib-Schwäche” – die Profile enthalten also auch ein Erpressungspotenzial.

Allein deswegen setze ich mich voll ein zum Schutze dieses Grundrechts. Und das macht mir auch große Freude.

Rutheneum-Bote
Was würden Sie Menschen generell – vielleicht auch Lehrern – sagen, die das nicht ganz einsehen wollen, die der Meinung sind, dass der Schutz vor Datenmissbrauch, den sie nicht sehen oder fühlen können, nicht ganz so wichtig ist? Die der Meinung sind „Selbst wenn ein Profil von mir gebildet wird, ich habe nichts zu verbergen. Ich habe ja keine Lese-Rechtschreib-Schwäche, ich bin ja nicht erpressbar.“

TLfDI Hasse
Jemand der nichts zu verbergen hat, der ist ja auch schon ziemlich langweilig. Und ob das wirklich so ist… Stellen Sie sich mal vor: Bei jemandem, der so etwas sagt, findet zu den dem Zeitpunkt, zu dem sie das sagt, eine Hausdurchsuchung durch das Spezialkommando statt und das Schlafzimmer wird gerade mal aufgeräumt, oder der PC. Wahrscheinlich hat doch jeder so ein bisschen was zu verbergen, aber selbst, wenn man sagt „Ich habe nichts zu verbergen”, sollte das nur für einen selbst gelten. Man sollte Daten Dritter, also als Lehrer Daten von Schülern, nicht durch die Mangel drehen lassen und ins Netz hinausschleudern, weil die vielleicht etwas zu verbergen haben oder in der Zukunft zu verbergen haben werden.

Mal ein komisches Beispiel, das hat jetzt nichts mit Schule zu tun. Es gibt immer mehr Leute, die lassen ihren Gensatz analysieren und stellen den ins Netz. Fragen Sie mich nicht warum, die machen das einfach. So eine Gensatzanalyse kostet auch nur 30 Dollar und dann stellen sie die ins Netz, wahrscheinlich ohne zu wissen, dass ihre Kinder den halben Gensatz haben – und die Eltern auch. Das heißt, wenn in fünf oder zehn Jahren dieser Gensatz, der im Netz steht, ratzi-fatzi entschlüsselt werden kann und man entdeckt vielleicht irgendeine Schwäche oder eine Krankheit, dann besteht eine 50-prozentige Wahrscheinlichkeit, dass auch die Kinder oder die Eltern diese Schwäche haben. Und damit habe ich vielleicht nichts zu verbergen, aber ich veröffentliche etwas, was vielleicht meine Kinder zu verbergen hätten.

Da muss man immer aufpassen, was man so anrichtet. Und selbst wenn man sagt, man hat nichts zu verbergen: Wenn Daten über jemanden gesammelt werden und die Algorithmen fangen an zu arbeiten, dann könnten diese zu falschen Ergebnissen kommen. Da gibt es keine Warnlampen, die irgendwo angehen, weil alle denken, Algorithmen – das ist etwas Mathematisches, und was die produzieren, kann ja nur richtig sein. Das ist gerade bei künstlicher Intelligenz oder bei Deep Learning, also bei Maschinen, die andere Maschinen programmieren, nicht mehr der Fall. Wer Maschine A programmiert hat – und Maschine A programmiert Maschine B, und Maschine B liefert ein Ergebnis, also z.B. Lehrer X ist nicht kreditwürdig, dann kann der Programmierer von Maschine A dieses Ergebnis der maschinenprogrammierten Maschine B nicht mehr rekonstruieren – also auch eine weitere Gefahrenquelle.

Ich finde das alles toll, ich finde Digitalisierung und künstliche Intelligenz super, aber man darf gerade bei letzterer die Kontrolle um Gottes Willen nicht aus der Hand geben. Man kann auf Ergebnisse, die man nicht mehr rekonstruieren kann, keine wichtigen Entscheidungen stützen, denn dieses Ergebnis könnte ja falsch sein.

Also bei Leuten, die sagen „Ich habe nichts zu verbergen”: Die können machen, was sie wollen, laufen aber Gefahr, dass irgendein Algorithmus sagt „Oh, der hat ja doch etwas zu verbergen” – fälschlicherweise. Und dann hängt man am Haken und kommt aus der Nummer schwer wieder raus. Journalisten, die wirklich nichts zu verbergen hatten, sind schon als Terroristen im Gefängnis gelandet, bis man herausgefunden hat, dass das Programm nicht richtig arbeitet.

Also Vorsicht mit Daten, die man ins Netz stellt!

Rutheneum-Bote
Das heißt, es ist wirklich unglaublich wichtig, dass Lehrer nicht einfach sagen „Die App funktioniert, also benutzen wir sie“, sondern dass sie sich wirklich große Gedanken machen, was für eine App genutzt werden soll und welche Daten womöglich abfließen bzw. wie man das verhindern kann? Datenschutz ist also wirklich ein Grundrecht und nicht nur eine rechtliche Klausel, die irgendwo drinsteht und niemanden interessiert?

TLfDI Hasse
Zu der Software, „die ich nutze, weil sie angeboten wird“: Ein systemischer Fehler, den wir auch irgendwann beheben sollten, ist, dass wir beide z.B. uns jetzt hinsetzen, wir entwickeln eine App und die verkaufen wir morgen – es gibt keine Zertifizierung, keine Prüfung, keinen Stempel, den wir haben müssen, um sie zu verkaufen. Was ich sagen will: Nur weil es eine Software gibt, vielleicht sogar kostenlos, bedeutet das nicht, dass sie rechtskonform arbeitet. Dem ist leider nicht so. Das ist an sich ziemlich bescheuert, denn wenn Sie bedenken: Sie wollen ein Auto konstruieren, das soll auf der Autobahn fahren, dann brauchen Sie bestimmt 5.800 Genehmigungen für jedes Teil. Und dann muss der Fahrer auch noch einen Führerschein machen. Und das findet im Datenschutz oder in der IT-Technik nicht statt, da kann man etwas entwickeln – man haftet zwar für die Schäden, die diese Software anrichtet, aber jemand, der diese Software nutzen will, der kann sie erst mal nutzen. Man muss aber wissen – das wissen aber leider viele nicht –, dass die ungeprüft ist. Das ist wie ein Auto ohne TÜV-Stempel oder Zulassung. Und wenn man damit dann losfährt, kann es schon mal passieren, dass ein paar Kotflügel abfallen oder die Bremsen nicht funktionieren.

Das ist eine wichtige Erkenntnis: Nur weil es etwas im Internet herunterzuladen gibt, bedeutet das nicht, dass es safe ist. Dazu muss man weitere Informationen einholen.

Rutheneum-Bote
Stellt man sich mal einen Lehrer vor, der nur seinen Unterricht machen will, selber aber überhaupt nicht technikaffin ist. Er recherchiert nun im Internet, versteht aber nur die Hälfte von dem, was er liest: Was sollte er dann am besten machen? Ist es seine beste Option, Sie als Datenschutzbeauftragten zu fragen?

TLfDI Hasse
Wenn das der Fall ist, dass jemand keine Ahnung hat, dann wird er wahrscheinlich auch nicht schlau, wenn er sich eine Datenschutzerklärung der Software X durchliest. Wenn das so ist und er auch keine kollegiale Hilfe bekommt und auch nicht auf die Produkte, die wir in Thüringen anbieten, zurückgreifen will, dann würde ich ihm unbedingt empfehlen, Kontakt mit uns aufzunehmen.

Rutheneum-Bote
Möchten Sie vielleicht noch eine Bemerkung zur Bußgeld- und Datenschutz-Debatte machen, die noch nicht gefallen ist? Die Ihnen am Herzen liegt?

TLfDI Hasse
Ich denke, in der Bußgeld-Geschichte ist alles gesagt. Am Herzen liegt mir, die Ursache zu beseitigen, und die sehe ich darin, dass die Lehrerinnen und Lehrer nicht genügend ausgebildet werden, sie könnten besser fortgebildet werden. Ich höre von Lehrerinnen und Lehrern, mit denen ich oft spreche, dass wenn sie sich fortbilden lassen wollen, sie sich nicht fortbilden lassen dürfen, weil die Zeit dafür fehlt. Das kann es irgendwie nicht sein. Klar, die Alternative: Fortbildung für den Lehrer oder Unterrichtsausfall für die Schüler, das ist eine heikle Sache, aber darüber müsste nachgedacht werden, dass diese Wissenslücken bei Lehrern, die sich fortbilden lassen wollen – und das sind ja nicht wenige –, geschlossen werden können.

Und last but not least: Schülerinnen und Schüler müssen konkurrenzfähig sein nach meiner Ansicht mit Absolventen aus asiatischen oder skandinavischen Ländern. Wenn man bedenkt, dass in asiatischen Ländern bereits in den Kitas Algorithmen programmiert werden können, dann haben unsere Absolventen keine Chance. Die Frage ist: Ist das ein Ideal? Sollte man das anstreben? Darüber muss man reden. Wenn man sagt Ja, dann müssen Anstrengungen unternommen werden. Es kann nicht sein, dass Schülerinnen und Schüler in Sachen Medienkompetenz suboptimal unterwiesen werden, daran müssen wir unbedingt arbeiten.

Rutheneum-Bote
Vielen Dank für das Interview und dass Sie sich die Zeit genommen haben!

TLfDI Hasse
Danke für Ihr Interesse, es war schön!

Zum Auswertungs-Artikel


Gustav Blaß 3


Kommentare



Dein Kommentar muss zwischen 10 und 5000 Zeichen betragen.
Zitieren Antworten

Formatierung

Zitat: einfach "(Zitat von XY)" hinter das Zitat schreiben

"Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say." (Zitat von Edward Snowden)

Antworten auf einen anderen Kommentar: einfach ganz am Anfang "(Antwort auf Kommentar Nr. X)" schreiben.




Bitte gib deinen Nutzernamen ein.



Zur Spamvermeidung musst du eine (gültige) E-Mail-Adresse angeben.


Wie wir dir bereits mitgeteilt haben, gelten hier die Nutzungsbedingungen, die du durch Nutzung unserer Website anerkennst. Bestätige dies bitte.



Senden


zurück zur Startseite

Einstellungen

Thema:





Datenschutz-Popup:




detaillierte Statistik (mehr Infos: Datenschutz)


Wenn du unseren Blog regelmäßig mit den gleichen Einstellungen besuchen willst, kannst du die folgende URL als Lesezeichen speichern. Die Einstellungen werden dann jedes Mal automatisch vorgenommen.

Kopieren



Speichern Cookies löschen Abbrechen