Schutz personenbezogener Daten im teildigitalisierten Schulalltag
der Abgeordneten Katja Suding, Grigorios Aggelidis, Renata Alt, Nicole Bauer, Jens Beeck, Dr. Jens Brandenburg (Rhein-Neckar), Dr. Marco Buschmann, Britta Katharina Dassler, Hartmut Ebbing, Dr. Marcus Faber, Reginald Hanke, Peter Heidt, Katrin Helling-Plahr, Markus Herbrand, Katja Hessel, Dr. Gero Clemens Hocker, Manuel Höferlin, Reinhard Houben, Ulla Ihnen, Olaf in der Beek, Dr. Christian Jung, Dr. Marcel Klinge, Pascal Kober, Carina Konrad, Konstantin Kuhle, Ulrich Lechte, Dr. Martin Neumann, Bernd Reuther, Matthias Seestern-Pauly, Dr. Marie-Agnes Strack-Zimmermann, Michael Theurer, Stephan Thomae, Gerald Ullrich und der Fraktion der FDP
Vorbemerkung
Was viele Jahre lang verschleppt wurde, wird nun aus der Not heraus endlich umgesetzt: die Digitalisierung der deutschen Bildungslandschaft. Auslöser hierfür ist die Corona-Pandemie, auf Grund derer im Frühjahr langanhaltende und flächendeckende Schulschließungen stattgefunden haben und der Unterricht weitestgehend digital stattfinden musste. Nicht alle Schulen waren gleich gut auf diese Herausforderung vorbereitet. Der DigitalPakt Schule hätte die Voraussetzungen für digitalen Unterricht schaffen können, ist aber nach jahrelanger Ankündigung erst im Mai 2019 mit der von den Ländern und der Bundesministerin für Bildung und Forschung Anja Karliczek unterschriebenen Verwaltungsvereinbarung in Kraft getreten.
Den Fragestellern ist insbesondere in der derzeitigen Situation eine Beschleunigung der Digitalisierungsbestrebungen im Bildungsbereich ein wichtiges Anliegen. Nur so können Bildungschancen bestmöglich aufrechterhalten werden, sollte es zu erneuten Schulschließungen kommen müssen. Hürden gibt es derzeit leider noch zu viele, die spätestens jetzt dringend abgebaut werden müssen. Zusätzlich zum schleppenden Abfluss der Bundesfördermittel aus dem Digital-Pakt Schule durch die sehr bürokratischen Antragsverfahren, werden viele Lehrkräfte unnötigerweise von komplexen Datenschutzbestimmungen und unkonkreten Vorgaben gehemmt. Dazu soll die Bundesregierung Stellung beziehen, denn Datenschutz darf nicht länger vernachlässigbar sein.
Um den Bildungsausfall aufgrund der Schulschließungen abzufedern, hat die Bundesregierung verschiedene Maßnahmen getroffen (nachzulesen u. a. in der Antwort der Bundesregierung auf die Kleine Anfrage der Fraktion der FDP auf Bundestagsdrucksache 19/22316 und in der Antwort der Bundesregierung auf die Kleine Anfrage der Fraktion der FDP auf Bundestagsdrucksache 19/24033). Zentrale Probleme waren anfangs allerdings nicht nur das Fehlen von digitalen Endgeräten und technischer Infrastruktur innerhalb und außerhalb der Schulen, sondern auch die wenigen Informationsmöglichkeiten für datenschutzkonforme Kommunikationsanwendungen und Videokonferenzsysteme zum sicheren Aus- tausch zwischen Lehrkräften, Schülern und Eltern.
Die Kultusministerkonferenz hat zwar schnell reagiert und eine Liste von digitalen Lernangeboten erstellt, wurde aber prompt von Bildungsexperten für die Auflistung von Google und Microsoft gerügt, woraufhin diese wieder aus der Liste entfernt wurden (https://www.jmwiarda.de/2020/04/07/wenn-die-kmk-mal-hilfreich-sein-will/).
Dass noch heute keine verbindlichen Datenschutzstandards für Software im Bildungsbereich zur Verfügung stehen, ist bedenklich. Dabei gibt es schon seit 2018 klare rechtliche Datenschutzregelungen, die EU-weit vereinheitlicht wurden: „Die Datenschutz-Grundverordnung (DSGVO oder DS-GVO) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch die meisten Datenverarbeiter, sowohl private wie öffentliche, EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, und auch andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.“ (https://de.wikipedia.org/wiki/Datenschutz-Grundverordnung). Besonderen Schutz genießen Kinder (https://netzpolitik.org/2020/office-365-in-der-schule-grobe-verletzungen-datenschutzrechtlicher-vorschriften/).
Bei der Einhaltung des Datenschutzes in Schulen wurden und werden Lehrkräfte jedoch immer wieder allein gelassen. So etwa bei der Auswahl und Nutzung von digitaler Bildungssoftware. Untersuchungen zeigten vielfach, dass personenbezogene Daten bei vielen kommerziellen Anbietern unzureichend geschützt werden. Sowohl die Berliner Datenschutzbeauftragte als auch der EU-Datenschutzbeauftragte warnen beispielsweise vor der Nutzung von Microsoft Produkten (https://taz.de/Online-Unterricht-in-Corona-Krise/!5710461/). Auch der Anbieter Zoom hat viel Kritik für mangelhaften Datenschutz und unsichere Verschlüsselung einstecken müssen (https://www.heise.de/newsticker/meldung/Schulsoftware-Threema-ja-Zoom-und-Microsoft-Office-365-eher-nicht-4711961.html). Den Lehrkräften ist hieraus kein Vorwurf zu machen, mussten sie doch aus Mangel an konkreten Vorgaben zu Beginn der Schulschließungen im Frühjahr auf bekannte, aber datenschutzrechtlich fragwürdige Dienste zurückgreifen, die ihnen und auch den Schülern ein Begriff waren, und haben damit sogar, wie in Thüringen oder Baden-Württemberg, eine Diskussion über mögliche Sanktionen wegen Verstößen gegen den Datenschutz ausgelöst (https://www.sueddeutsche.de/digital/datenschutz-schule-zoom-whatsapp-1.4928617). Auch die von der Bundesregierung geförderte HPI Schul-Cloud hat im Frühjahr durch Sicherheitslücken auf sich aufmerksam gemacht (https://www.faz.net/aktuell/politik/inland/namen-gehackt-aus-der-schul-cloud-regnet-es-daten-16779947.html und https://www.news4teachers.de/2020/04/datenschutzbeauftragter-warnt-lehrer-vor-videokonferenzdienst-zoom/).
Zusätzlich dazu sind Lehrkräfte noch immer nicht mit dienstlichen Endgeräten ausgestattet (vgl. https://www.spiegel.de/panorama/bildung/digitaler-schulunterricht-dienst-laptops-fuer-alle-lehrer-verzoegern-sich-a-9500c3b0-9ce9-4559-aa7e-5a2550266f74 und Antwort der Bundesregierung auf die Kleine Anfrage der Fraktion der FDP auf Bundestagsdrucksache 19/24033). Eine Umfrage vom Beginn des Jahres zeigt, dass 90 Prozent der Lehrkräfte ein privates Gerät für ihre Lehrtätigkeit nutzen (https://www.sueddeutsche.de/bildung/lehrer-laptop-homeschooling-gew-1.4925894), was zeigt, dass Lehrkräfte selbst viel zu häufig in der Verantwortung stehen, personenbezogene Daten von Schülern auf ihren privaten Endgeräten zu schützen. Private Laptops im Schulbetrieb dürfen keine Dauerlösung sein, denn für den Schutz schülerbezogener Daten auf ihren privaten Geräten sollten Lehrkräfte nicht zur Rechenschaft gezogen werden. Die Einhaltung vom Datenschutz nach der DSGVO kann und darf nicht auf Schulen und Lehrkräfte allein ausgelagert werden (https://deutsches-schulportal.de/expertenstimmen/verantwortung-fuer-den-datenschutz-nicht-auf-lehrkraefte-abwaelzen/).
Datenschutz ist nicht vernachlässigbar, darf aber auch nicht zum Hindernis auf dem Weg zu gutem Unterricht mit digitalen Medien werden. Schulen müssen datenschutzrechtlich unbedenkliche Werkzeuge erhalten, mit denen sie ohne Sorge vor Datenmissbrauch mit ihren Schülern kommunizieren, zusammenarbeiten und unterrichten können. Das ist besonders im Hinblick auf die sich derzeit stark entwickelnde zweite Welle von höchster Wichtigkeit. Schon jetzt müssen Schulen regional schließen, weil die Zahlen der mit COVID-19-infizierten Schüler und Lehrkräfte stark steigen. Jede Schule, die schließen muss, muss digital unterrichten können und zwar ohne Bedenken, im Nachhinein für Datenschutzverstöße belangt werden zu können. Diese Drohungen hemmen nicht nur die Lehrkräfte in ihrer Tätigkeit, sondern jegliche digitale Innovation im Bildungsbereich.
Wir fragen die Bundesregierung:
Fragen33
Wie viele und welche Fälle von Sicherheitslücken beim Datenschutz an Schulen in Deutschland im Zuge der coronabedingten Schulschließungen sind der Bundesregierung bekannt?
Welche und wie viele Fälle von Datenschutzverstößen an Schulen in Deutschland innerhalb der letzten fünf Jahre sind der Bundesregierung bekannt?
Welche Schlüsse hat die Bundesregierung aus der Sicherheitslücke der HPI Schul-Cloud gezogen?
Inwiefern hat die Bundesregierung Kenntnis davon, dass personenbezogene Daten von Kindern durch digitale Programme, die in der Schule genutzt werden, nicht oder doch weiterverarbeitet werden?
Wer, welche Behörde bzw. Person ist nach Kenntnis der Bundesregierung in den Ländern dafür zuständig, Software für den Einsatz im Bildungsbereich (z. B. Microsoft 365, Google Classroom, iServ etc.) datenschutzrechtlich zu prüfen und für den Einsatz in Schulen zuzulassen oder abzulehnen?
Inwiefern unterstützt die Bundesregierung die Länder bei der Sicherstellung des Datenschutzes im Zuge der Digitalisierung von Schulen?
In welcher Rolle sieht sich die Bundesregierung, wenn es um den Schutz von Daten der Bürgerinnen und Bürger und insbesondere von Minderjährigen geht?
Inwiefern unterstützt die Bundesregierung die Länder bei der Einhaltung der EU-DSGVO?
Können die Länder unterschiedliche Vorgaben zum Schutz personenbezogener Daten machen?
Wenn ja, inwiefern können sich Datenschutzrichtlinien zum Schutz personenbezogener Daten in den 16 Ländern unterscheiden?
Wenn nein, gibt es in der Bundesregierung einen bzw. mehrere Ansprechpartner zum Thema Datenschutz und Verarbeitung personenbezogener Daten, der bzw. die sich mit den Datenschutzbeauftragten der Länder koordiniert bzw. kordinieren?
Welche Institutionen sind nach Kenntnis der Bundesregierung dafür zuständig, die Einhaltung der EU-DSGVO im Bildungsbereich zu kontrollieren?
Liegen der Bundesregierung Informationen dazu vor, inwiefern Anbieter von Lernplattformen oder Lern-Management-Systemen im Bildungsbereich datenschutzrechtlichen Regularien folgen müssen, um sie als datenschutzrechtlich unbedenklich für minderjährige Schülerinnen und Schüler zu empfehlen?
Liegen der Bundesregierung Dokumente, Auswertungen oder aktuelle Lageberichte zum Datenschutz im Bildungsbereich in Deutschland vor?
Plant die Bundesregierung, auch im Sinne ihrer eigens finanzierten Bundesplattform HPI Schul-Cloud, eine sogenannte White-List (Positiv-Liste) für Bildungssoftware, Bildungs-Apps, Bildungsplattformen in Zusammenarbeit mit den Ländern und der Kultusministerkonferenz zu koordinieren und zu erstellen?
Wenn ja, wann wird diese Liste den Ländern zur Verfügung gestellt?
Wenn nein, weshalb ist nach Kenntnis der Bundesregierung keine Erstellung einer White List geplant?
Hat sich die Bundesregierung mit dem Antrag der Fraktion der FDP „Digitalpakt 2.0“ auf Bundestagsdrucksache 19/10160 befasst?
Wenn ja, zu welchem Ergebnis bzw. zu welcher Erkenntnis ist die Bundesregierung gekommen?
Wenn nein, warum hat sich die Bundesregierung nicht mit dem Antrag befasst?
Hat die Bundesregierung eine Einschätzung dazu, inwiefern der Datenschutz und vor allem der Schutz der Daten von Minderjährigen in Deutschland gewährleisten werden kann und muss?
Wie steht die Bundesregierung zur Entwicklung von bundesweit gültigen, einheitlichen Datenschutzstandards zur Verwendung von Software im Bildungsbereich, z. B. für Messenger-Dienste, Videokonferenzsystemen oder Lern-Management-Systemen?
Welche Rolle kann die Bundesregierung bei der Entwicklung eines solchen einheitlichen Referenzrahmens spielen?
Inwiefern trägt die Bundesregierung dazu bei, dass Datenschutzbehörden und Bildungsverwaltungen miteinander kooperieren und sich vernetzen?
Hat die Bundesregierung eine Einschätzung dazu, inwiefern die Schulen mit der Beschaffung von datenschutzrechtlich unbedenklichen Lernplattformen und Lern-Management-Systemen überfordert sind?
Wie positioniert sich die Bundesregierung zum Datenschutz innerhalb der Verwaltungsvereinbarungen zum DigitalPakt Schule und den drei Zusatzprogrammen (Endgeräte für benachteiligte Schülerinnen und Schüler und für Lehrkräfte, sowie Administration)?
Welchen Schwerpunkt nimmt Datenschutz nach Einschätzung der Bundesregierung in der Digitalisierung von Schulen ein?
Welche Rolle plant die Bundesregierung, in Zukunft beim Thema Datenschutz von Minderjährigen im Kontext der Digitalisierung von Schulen einzunehmen?
Inwiefern erkennt die Bundesregierung die Nutzung von privaten Endgeräten durch Lehrkräfte für ihre berufliche Tätigkeit als Risikofaktor beim Schutz von Daten Minderjähriger an?
Wann können die Länder mit dem Programm zur Ausstattung der Lehrkräfte mit dienstlichen Endgeräten rechnen?
Bis wann sollen alle Lehrkräfte mit dienstlichen Endgeräten ausgestattet sein?
Wie viele Lehrkräfte besitzen nach Kenntnis der Bundesregierung eine dienstliche E-Mail-Adresse?
Wie viele Schülerinnen und Schüler besitzen nach Kenntnis der Bundesregierung eine von der Schule erstellte E-Mail-Adresse?
Inwiefern teilt die Bundesregierung die Einschätzung, nach der die fehlende Klarheit und Unterstützung beim Thema Datenschutz die Schulen daran hindert, selbstbewusst bei der Digitalisierung voranzuschreiten?
Inwiefern hat die Bundesregierung den Datenschutz bei der Umsetzung des DigitalPakts Schule mitgedacht?
Wie schätzt die Bundesregierung den aktuellen Stand des Datenschutzes in Bezug auf die Verwendung und Weitergabe von personenbezogenen Daten in den Schulen durch die langen Schulschließungen im Frühjahr ein?
Ist die Bundesregierung darüber in Kenntnis, ob die Eltern den Vorschriften entsprechend über die Datenverarbeitung aufgeklärt werden, und ob es negative Folgen hat, wenn Eltern der Datenverarbeitung nicht zustimmen?
Wenn ja, welche Maßnahmen leiten sich daraus für die Bundesregierung ab?
Welche Möglichkeiten haben Eltern und Schülerinnen und Schüler, der Verwendung ihrer personenbezogenen Daten zu widersprechen?
Geht die Bundesregierung davon aus, dass Länder und Kommunen seit Inkrafttreten der DSGVO durch beispielsweise ausreichend Personal, Datenschutzschulungen oder Ansprechpartner und Ansprechpartnerinnen in der Bundesregierung angemessen auf Datenschutzvorfälle reagieren können?
Wie haben sich die Zahlen der Zuständigen für Datenschutz in den Ländern und Kommunen in den letzten fünf Jahren verändert (bitte nach Jahr, Anzahl der Beschäftigten und Verantwortlichen für Datenschutz in absoluten Zahlen, sowie der Zuordnung zu Ländern und Kommunen aufschlüsseln)?