Digitalisierungskompetenz geht nicht ohne Datenkompetenz

Was müssen Schülerinnen und Schüler heute zum Datenschutz lernen? Und wie können Datenschutzbeauftragte an Schulen gut arbeiten? Die Stiftung Datenschutz gibt im Interview Antworten darauf.

Frederick Richter, Stiftung Datenschutz

Am heutigen 5. Februar 2019 findet europaweit wieder der Safer Internet Day statt. Der Aktionstag will für mehr Sicherheit im Internet sensibilisieren. Anlässlich dessen sprachen wir mit Frederick Richter, Vorstand der Stiftung Datenschutz, zum Thema Datenschutz an Schulen. Er erläutert, warum Schulen einen Datenschutzbeauftragten brauchen und welches Wissen Schule im Themenfeld IT-Sicherheit und dem Schutz personenbezogener Daten an ihre Schülerinnen und Schüler vermitteln sollte.


Herr Richter, am 5. Februar findet wieder der EU-Aktionstag “Safer Internet Day” für ein sicheres Internet statt. Damit soll insbesondere auch die Sensibilität für Datensicherheit geschärft werden. Am 25. Mai 2018 ist die DSGVO in Kraft getreten. Was würden Sie sagen, haben wir nach den ersten 8 Monaten DSGVO gelernt?
Wir mussten lernen, dass die Umsetzung des Datenschutzrechts davor in vielen Bereichen sehr unterausgeprägt war. In der DSGVO steht gar nicht so viel anderes drin als im Bundesdatenschutzgesetz, welches bereits seit Jahrzehnten galt. Aber das alte Gesetz hatte nicht die gleiche Aufmerksamkeit, insbesondere weil der Sanktionsrahmen anders war und weil nun eine große Welle an Berichterstattung dazu kam. Da wurde immer nur von 20 Millionen Euro Bußgeld gesprochen, was alle in große Aufregung und teils auch Panik versetzte, die sich mit dem Thema Datenschutz noch nicht befasst hatten. Sie hätten sich jedoch auch schon vor dem 25. Mai 2018 damit befassen müssen. Aber es lag einfach nicht viel Aufmerksamkeit auf dem Thema. Dagegen muss mit Aufklärungsmaßnahmen angearbeitet werden.
 

Schulen haben die Pflicht zur Bestellung eines behördlichen Datenschutzbeauftragten. Denken Sie, Schulen brauchen diesen Datenschutzbeauftragten?
Das denke ich schon. Ich würde sogar sagen, eigentlich jede öffentliche oder nicht-öffentliche Stelle sollte eine Person haben, die im Datenschutz besonders kundig ist - ob sie aus dem Gesetz heraus eine Bestellungspflicht hat oder nicht. Denn das Gesetz muss sie in jedem Fall einhalten. Und da das Gesetz komplex ist, sollten Schulen immer jemanden bestimmen, der sich damit besonders auskennt. Und insbesondere da, wo es um Daten von Schülerinnen und Schülern geht, geht es natürlich auch um sensible Daten, so. z. B. Gesundheitsdaten, vielleicht Daten zur Religion. Dort ist ein besonderer Schutz erforderlich und dafür sind auch besondere Kenntnisse erforderlich.
 

Was sind die Aufgaben eines Datenschutzbeauftragten an einer Schule und wie kann Datenschutz an der Schule sicher gestaltet werden?
Bei Unternehmen spricht man immer davon, dass diese ein Datenschutzmanagementsystem brauchen. Also: klare Abläufe festlegen, wie mit Daten umgegangen wird; Prozesse festlegen; was macht man, wenn mit Daten etwas schief geht; das Wissen, wo die Daten gespeichert sind; Löschprozesse festlegen. All das kann genauso für eine Schule gelten. Und von der öffentlichen Hand wird natürlich erwartet, dass sie beim Datenumgang mit gutem Beispiel vorangeht. Denn wenn man vor allem die Schülerschaft zu mehr Sensibilität mit Daten erziehen will, kann man sich natürlich selbst nicht leisten, mit Daten schlecht umzugehen. Daher ist es wichtig, dass der Datenschutzbeauftragte erst einmal das Kollegium für das Rechtsgebiet sensibilisiert und auch interessiert. Wenn dann noch Kapazitäten da sind, wäre es natürlich toll, wenn der schulische Datenschutzbeauftragte auch noch Ideen findet, die Schülerschaft zu sensibilisieren und zu interessieren. Aber das ist natürlich die Kür oberhalb der Pflicht.

Wenn man vor allem die Schülerschaft zu mehr Sensibilität mit Daten erziehen will, kann man sich natürlich selbst nicht leisten, mit Daten schlecht umzugehen.

Frederick Richter, Stiftung Datenschutz

Welche Schwierigkeiten sehen Sie für Datenschutzbeauftragte an Schulen?
Wenn der Schulträger die Schulen nicht antreibt oder ihnen auch den Rücken freihält, indem er dafür Kapazitäten schafft, indem Vorbereitungs- oder Arbeitsstunden wirklich nur für die Befassung mit dem Thema Datenschutz freigegeben werden, dann bleibt am Ende nur die persönliche Präferenz der Lehrkraft. Dass kann man natürlich nicht verordnen und auch nicht von den Lehrkräften erwarten.
Ein Problem ist auch, dass vielen Lehrkräften keine Technik zur Verfügung steht. Beispielsweise legt die Bildungsverwaltung in NRW höchste Maßstäbe an die Einhaltung von Datensicherheit und der DS-GVO an Schulen. Lehrkräfte durften nicht ihre eigene Technik mitbringen und Daten der Schülerschaft darauf bearbeiten und müssen zuhause alle Verschlüsselungsstandards einhalten. Die Lehrerinnen und Lehrer forderten daraufhin jedoch, dass ihnen dann auch die Technik zur Verfügung gestellt werden muss. Es wird problematisch, wenn Lehrkräfte bzgl. Datenschutz und Datensicherheit alles perfekt machen sollen aber andererseits keine Mittel zur Verfügung gestellt bekommen. Man kann die Lehrerinnen und Lehrer nicht allein lassen mit diesen Anforderungen. Denn wenn man keine Ausstattung und keine Kapazitäten hat, kann man sich auch nicht in das Thema reinknien.
 

Mit “bildung.digital” möchten wir junge Menschen unabhängig von Ihrer sozialen Herkunft befähigen, die digitale Transformation zu gestalten und digitale Medien selbstverständlich und auch sicher zu nutzen. Dazu gehören auch Kompetenzen im Bereich Daten und Privacy. Was müssen Kinder und Jugendliche im Bereich Datenschutz heute eigentlich lernen?
Digitalisierungskompetenz geht ganz klar nicht ohne Datenkompetenz, besser gesagt:  Datenumgangskompetenz. Denn alles im Bereich der Digitalisierung ist datenbasiert, fast nichts geht ohne Daten - welche dann auch meist personenbezogen oder personenbeziehbar sind. Datenschutz muss da von Anfang an ein Thema sein. Schule muss die Grundfertigkeiten beim Schutz von Daten gegen Angriffe von außen (Stichwort: IT-Sicherheit) und die Grundkenntnisse im Schutz von Persönlichkeitsrechten (Stichwort: der Umgang mit personenbezogenen Daten) vermitteln, ohne zu tief ins Recht einzusteigen oder besondere Technikexkurse zu machen.
Schülerinnen und Schülern muss von Anfang an vermittelt werden, dass sie, wenn sie sich im digital vernetzten Umfeld bewegen, auf IT- und Datensicherheit Acht geben müssen. Das betrifft den Schutz vor Hackerangriffen, ein nicht zu belangloses Passwort zu wählen, das ganz schnell zu erraten ist und auch sehr skeptisch zu sein, wenn ihnen Sachen aus unklarer Quelle untergejubelt werden (Stichwort: Phishing). Hier muss man auch eine Grundskepsis vermitteln gegenüber allem was sich im Digitalen tut.
Gleichzeitig muss Schülerinnen und Schülern auch der Wert von Daten vermittelt werden.
Dass heute mit Daten gehandelt wird und dass heute mit Daten bezahlt wird. Man muss ein Gefühl für diese Kostenlos-Kultur im Netz schaffen: Warum ist denn alles umsonst, was Google anbietet? Weil man natürlich die erhaltenen Daten auswertet und vermarktet. Unternehmen wie Google sind Gewerbebetriebe, die kaufmännisch denken. Jugendliche brauchen ein Gefühl dafür, wie heute mit Daten umgegangen wird und was die eigenen Daten heute wert sind.

Schule muss die Grundfertigkeiten beim Schutz von Daten gegen Angriffe von außen (Stichwort: IT-Sicherheit) und die Grundkenntnisse im Schutz von Persönlichkeitsrechten (Stichwort: der Umgang mit personenbezogenen Daten) vermitteln.

Frederick Richter, Stiftung Datenschutz

Denken Sie, Datenschutz sollte im Unterricht ein verpflichtendes Thema sein?
Datenschutz muss auf jeden Fall irgendwie ins Curriculum, in den Unterricht mit rein. Natürlich ist es ein Problem, dass wir eine nicht einfach zu vermittelnde Materie haben, die auf einen vollen Lehrplan trifft. Ich plädiere aber stark dafür, dass Thema nicht liegen zu lassen und auch nicht nur irgendwo als Wahlfach unterzubringen. Wir begeben uns ja in eine digitale, nicht nur Arbeitsumgebung, sondern auch Lernumgebung und letztlich auch Lebensumgebung. Alles ist datenbasiert und datenbezogen, Datenkompetenz betrifft sogar das Alltagsleben. Das kann nicht alles nur zuhause vermittelt werden, sondern da ist die Schule in der Pflicht.
 

Wer bringt Kindern und Jugendlichen denn heute eigentlich Wissen zu Datenschutz bei? Ist das nur die Schule?
Viele Lehrkräfte sehen sich noch nicht befähigt, diese Akteure zu sein. Vielleicht weil sie selbst noch Nachholbedarf haben. Das ist auch verständlich, da eine Lehrkraft sich nicht ständig mit Datenschutz, Technik und Recht befasst und so gar nicht so tief in der Materie sein kann. Wenn sie diese dann glaubhaft und glaubwürdig vermitteln soll, ist das eine große Herausforderung. Wir beobachten, dass viele Lehrerinnen und Lehrer sich das nicht zutrauen und da eher auf andere hoffen, die es machen. Wie z. B. mithilfe der Aktion “Datenschutz geht zur Schule“ vom Berufsverband der Datenschutzbeauftragten, bei der ehrenamtliche IT-Verantwortliche aus Unternehmen und Datenschutzbeauftragte in den Unterricht gehen und ihr Fachwissen mitbringen. Das ist hoch willkommen, da diese das Thema mit ihrem Hintergrund sehr gut fachlich rüberbringen, was sich Lehrerinnen und Lehrer oftmals nicht zutrauen. Es gibt also einen großen Glaubwürdigkeitsvorschuss für Fachleute, die in Schulen gehen. Ob das eine generelle Lösung sein kann, oder ob man dranbleiben sollte, die ordentlichen Lehrkräfte in den Stand zu versetzen, dass sie Daten- und Digitalisierungskompetenz besser vermitteln können, ist jedoch eine strukturelle Frage, die auch von Kapazitäten abhängt.


Datenschutz ist immer auch eine Gemeinschaftsaufgabe von Schule und Eltern, zudem haben Eltern eine Vorbildfunktion für ihre Kinder. In der DIVSI U25-Studie “Euphorie war gestern” von 2018 wurde festgestellt, dass Kinder und Jugendliche sich Ihr Wissen zum Internet größtenteils selbst beibringen. Auf Eltern, ihre Verwandten und Schule greifen sie kaum zurück. Wie kann man hier die Position der Eltern stärken?
Man kann es sich natürlich bequem machen, und sagen „das bringen die sich alles selbst bei, da müssen wir gar nichts mehr tun“. Die Frage bleibt, wer denn den Eltern die Kompetenz vermittelt; das können nicht die Schulen oder Universitäten machen. Das müssen Eltern daher einerseits selbst machen, aus eigenem Antrieb über z. B. die Angebote im Netz. Oder der Staat muss es durch Aufklärungsprogramme machen, mit denen die Bundesregierung zum Beispiel die Bundeszentrale für politische Bildung beauftragt. Das wäre für mich die richtige Adresse, um Eltern zu schulen, ihre Kinder zu schulen. Sicherlich ist es aber auch ein gemeinsames Lernen von Eltern und Kindern. Eltern müssen ihren Kindern gar nicht von oben herab beibringen, sondern können vielleicht auch mit ihnen gemeinsam entdecken. Es geht hier ja auch um das lebenslange Lernen. Digitalisierung ist dynamisch und schreitet stark voran. Diese Welt, die sich ständig verändert, kann man natürlich auch gemeinsam erkunden.


Was gibt es bei der Kommunikation zwischen Eltern und Lehrern zu beachten? Ein klassisches Beispiel ist, dass Eltern und Lehrer sich auf WhatsApp austauschen, aber welche Stolperfallen gibt es noch?
Neben dem Datenschutzthema gibt es natürlich noch das Effizienzthema. Wenn ständig Rundmails an alle oder Messenger-Lawinen durch die Gegend gehen, dann geht natürlich auch vieles an wichtigen Inhalten unter. Wenn die modernen Kommunikationsmittel nicht richtig angewendet werden, können sie sogar stören, bremsen und verlangsamen. Zudem gibt es datenschutzfreundliche Alternativen zu WhatsApp mit der gleichen Funktionalität und die sollte man dann nutzen.


Viele Schulen greifen aus diesen Gründen ja mittlerweile auch auf Lernmanagementplattformen zurück, sehen sie da auch Probleme?
Wenn diese datenschutzrechtlich konform genutzt werden, ist es unproblematisch. Auch hier kann die öffentliche Hand etwas beeinflussen. Insbesondere wenn sie einfach die Plattformen selbst schafft oder nach eigenen Vorgaben schaffen lässt. Dann kann sie auch Vorgaben machen, bei denen der Privatsphärenschutz entsprechend hoch aufgehängt ist und kann so gut Einfluss nehmen.
 

Herr Richter, haben Sie vielen Dank für das Gespräch!

Die Stiftung Datenschutz

Die Stiftung Datenschutz wurde 2013 von der Bundesrepublik Deutschland gegründet, um als unabhängige Einrichtung den Privatsphärenschutz zu fördern und somit als neutraler Akteur die Datenschutzaufsichtsbehörden in Bund und Ländern zu ergänzen. Hierzu bietet sie eine Plattform zur Diskussion und dient als Schnittstelle zwischen Gesellschaft, Politik, Wirtschaft und Forschung. Gleichzeitig möchte sie die Fähigkeiten der Bevölkerung zum Schutz der eigenen Daten durch Aufklärung und Bildung stärken und somit die allgemeine Sensibilität für den Wert von Privatheit steigern.
 

Der Safer Internet Day

Der Safer Internet Day (SID) ist ein von der Europäischen Union initiierter jährlich veranstalteter weltweiter Aktionstag für mehr Sicherheit im Internet. Er möchte auch die Sensibilität für Datenschutz fördern. Dieses Jahr steht er in Deutschland unter dem Schwerpunkt „Hass im Netz“.
 

Cybermobbing-Themenportal hass-streichen.de der ARAG

Beschäftigt man sich mit Sicherheit im Internet, ist auch das Thema Hetze, Hass und Diskriminierung in Sozialen Netzwerken oder Messengern relevant. Zum Safer Internet Day startet ARAG ein neues Cybermobbing-Themenportal mit Präventionstipps, konkreten Hilfestellungen und passenden Informationen für Betroffene – insbesondere Kinder, Jugendliche und deren Eltern – rund um das Thema Cybermobbing. Eine ARAG-Studie zu Cybermobbing bei Schülerinnen und Schülern finden Sie hier.

Zur Übersichtsseite