In einem Bildungsumfeld wäre es leicht, in den Datenschutzchoral einzustimmen und mit großer Inbrunst darauf hinzuweisen, wie wichtig der Schutz von Daten gerade in der Schule sei und als wie gefährlich sich Trends der Digitalisierung herausstellen könnten, besonders im Zusammenhang mit den großen Firmen wie Google und Facebook.
Nun: Ich bin in dieser Frage leicht renitent. Datenschutz hat für mich in der aktuellen Form keine Priorität. Das hat verschiedene Gründe, die ich in einer Liste verdichte.
- Der Datenschutzdiskurs verwendet diffuse Vorstellungen von Daten und ihrem Schutz.
Daten entstehen: Durch eine Aktion, die beobachtet und dokumentiert wird. Zu behaupten, sie gehörten jemandem, ist deshalb unsachlich und auch absurd. Nehmen wir den einfachsten Fall: Zwei Menschen unterhalten sich. Haben jetzt beide das Recht darauf zu kontrollieren, was mit dem Inhalt des Gesprächs passiert? Darf ohne Einwilligung der anderen Person ein Tagebuch geführt werden? Darf man vom Gespräch weitererzählen?
Das sind moralisch spannende Fragen, aber sie würden nie zum Resultat führen, dass mir das, was ich in einem Gespräch sage, gehört. Daten sind an Kontexte gebunden. Auch wenn ich denke, meine Ärztin müsste meine Patientendaten absolut schützen, so ist es doch auch richtig, dass sie bei einem Versicherungsfall oder einer kriminalistischen Untersuchung gewisse Daten weitergeben darf und muss.
Die neue Datenschutzverordnung interpretiert etwa IP-Adressen (unter gewissen Bedingungen) als schützenswerte, persönliche Daten. Daran zeigt sich eine enorm ideologische Vorstellung von Datenschutz: Die IP-Adresse braucht es, damit Kommunikation im Netz funktioniert und dokumentiert werden kann. Als Blogbetreiber möchte ich gern sehen, wer kommentiert und auf meinem Blog aktiv ist, dazu dient mir die IP-Adresse genau so, wie bestimmte Postsendungen nur unter Angabe von einer Absenderadresse verschickt werden können.
Wirr ist auch die Vorstellung, digital gespeicherte Daten seien schützenswerter als andere. Gerade die Überwachung im öffentlichen Raum speichert enorm viele Daten, die nichts mit der Verwendung von Informatikmitteln zu tun hat. Auch die Verarbeitung von Finanzdaten hat eine lange Geschichte. Darauf fokussiert der Datenschutz sehr selten. Ich weiß als Konsument wenig darüber, wem Daten über meine Zahlungsfähigkeit übermittelt werden, wer einen Anspruch darauf hat. - Datenschutz an Schulen macht ein pädagogisches Problem zu einem juristischen.
Aus 1. folgt, dass es sehr schwierig ist, Rechtsnormen in Bezug auf Daten zu formulieren, weil Gesetze Kontexte nur schlecht abbilden können. Kommunikation an Schulen folgt pädagogischen Grundsätzen. Die Kommunikation braucht die richtige Nähe und Distanz, muss Verbindlichkeiten schaffen und Freiheiten bewahren, motivieren ohne Kritik zu ersticken. Juristische Kategorien sind in diesem Handlungsfeld zu absolut. Sie wägen nicht ab. Ein Beispiel: Jede Klasse in der Schweiz hat ab der der Oberstufe einen Klassenchat auf WhatsApp. Ignoriert die Schule diese Kanäle, hat das keinen Einfluss auf den Schutz der Daten der Schülerinnen und Schüler. Aber es hat einen pädagogischen Preis: Dass Kommunikation nur indirekt möglich ist und die Schwellen für pädagogische Gespräche steigen. - Schutz und Abneigung gegen Konzerne beißen sich.
Der aktuelle Beitrag mit Aussagen des Zürcher Datenschützers ist symptomatisch: Er kritisiert einerseits, dass kleine Schulen nicht wirksam gegen Hacker geschützt werden, andererseits moniert er die Verwendung von Tools von Google und Facebook. Nur: Wer nicht die Tools der Großkonzerne verwendet, ist gerade gefährdet. Eigenständig sichere Lösungen zu bauen oder mit Unternehmen zu arbeiten, welche die Vorstellungen des europäischen Datenschutzes umsetzen, ist mit einem hohen Aufwand und Fachkompetenz verbunden, wofür Schulen die Ressourcen fehlen. Es ist also gerade aus einer differenzierten Datenschutzperspektive total sinnvoll, mit Google-Produkten zu arbeiten, weil darin die Daten sehr gut geschützt werden können.
Unternehmen, Nachbar, Hackerin oder Geheimdienste – vor wem fürchten wir uns? - Wovor schützen wir wen genau?
In einer Präsentation zu Datenschutz an der Schule habe ich die obige Darstellung verwendet. Sie zeigt vier verschiedene Bedrohungsszenarien auf. Wie wir Daten schützen, ist abhängig davon, vor wem wir sie schützen wollen. Will ich mich etwa vor dem Nachbarn und der Hackerin schützen, dann hilft es, die sicheren, aber teilweise kommerziellen Tools zu verwenden. Will ich mich vor den Unternehmen schützen, mache ich mich anfällig für deren Angriffe. Und gegen die Geheimdienste kenne ich als Laie keinen wirksamen Schutz meiner Daten. - Verhinderungsdiskurs
Dazu habe ich mich schon oft geäußert.
Nun kann man mir einen Vorwurf machen: »Das sind alles sophistische Bemerkungen. Eigentlich kannst du doch einfach alles tun, was in deinen Möglichkeiten steht, um die Daten von Lernenden zu schützen!«
Meine Antwort darauf wäre: Das tue ich bereits. Wie denn?
- Ich reflektiere Datenschutz mit all meinen Schülerinnen und Schülern.
- Ich fordere schulintern einen bewussten Umgang mit Daten und Datensparsamkeit.
- Ich nutze praktisch nur Tools, die sich ohne Anmeldung verwenden lassen (auch bei Google Docs ist das möglich).
- Ich nutze mit Klassen verschiedene Tools – es sind nicht alle Informationen über eine Datenbank abrufbar.
- Ich erarbeite in sozialen Settings Vertrauen und Rituale im Umgang mit Daten und respektiere den Wunsch von Jugendlichen, bestimmte Daten nicht weiterzugeben (die für Jugendlichen wichtigen Daten sind meist nicht digital abgespeichert).
- Ich nehme in gewissen Bereichen eine Post-Privacy-Haltung ein und lege Dinge offen, von denen ich denke, es wäre besser, wir wüssten sie von allen, statt wirkungslose Schutzmechanismen einzuführen.
- Ich respektiere den Wunsch von Schülerinnen und Schülern, ein Tool nicht verwenden zu wollen. Aber ich führe ein Gespräch darüber.
tl;dr: Pädagogisch ist es gefährlich, sich an Normen zu halten, die von extremen Szenarien ausgehen und den Schutz unklarer Vorstellung von Daten verabsolutieren.
Schule Social Media 
.
Im Bildungsbereich gibt es schon gute Gründe, Daten zu schützen. Es kommt aber darauf an, welche Daten und vor wem.
Wie verschiedene Beispiele aus der Vergangenheit zeigen, können Daten im Bereich Bildung genauso zur Erstellung von Profilen genutzt werden wie Daten in Social Media. Leider ist mir das Beispiel nicht mehr parat. Es war eine US Online Uni, an welcher auch deutsche Professoren Kurse gaben. Die Universität nutzte die Daten der Studierenden, um damit Profile zu erstellen und mit diesen konnten Headhunter dann geeignete Kandidaten ansprechen. Von allem dem wussten die Studierenden nichts, die Dozenten auch nicht. So oder ähnlich war es gewesen.
Wenn man nun auf der Basis von Daten, die beim Arbeiten in Plattformen entstehen, Profile erstellt, so birgt das Risiken, da Algorithmen nicht fehlerfrei sind (siehe auch Weapons of Math Destruction, Cathy O’Neil). Es kann alles erfasst werden: wie viele Fehler macht der Lernende, wie ausdauernd arbeitet er an einem Problem, arbeitet er kontinuierlich oder auf den letzten Drücker, wie oft überarbeitet er etwas, wie gut arbeitet er mit anderen zusammen, welcher Hilfsmittel bedient er sich, wie oft ließ er sich ablenken durch andere Dinge, … und so weiter?
Entsteht auf solch einer Datenbasis ein Profil, welches über Chancen, Erfolg und Misserfolg entscheidet, dann steckt darin schon ein Problem, denn dieses Profil wird man nicht wieder los. Sind die Algorithmen falsch, wird man in eine unpassende Schublade gesteckt, Wegen bleiben einem verschlossen, die man problemlos gehen könnte.
Die Electronic Freedom Foundation ist ein guter Wachhund und hat so herausgefunden, dass Google lange Zeit doch mehr Informationen über Schüler in G-Suite for Education sammelte als man angab. Es dürfte auch im Bildungsbereich zig Anbieter geben, deren Geschäftsmodell aus Sammeln von Daten besteht. Die Daten verschiedener Angebote zusammenzuführen, ist heute keine Kunst mehr. Ein Lernerprofil ist so brisant wie Gesundheitsdaten, wenn diese missbraucht werden.
Wie ich verschiedentlich geäußert habe, stehe ich für einen pragmatischen Umgang mit dem Datenschutz. An vielen Stellen schüttet man in der Tat das Kind mit dem Bade aus. Keinem ist damit gedient, der Entwicklung des Unterrichts am aller wenigsten.
Es gibt jedoch Lösungswege. Gesetze sind der eine Weg, Geld der andere. Wer brauchbare digitale Lösungen erwartet, der muss auch bereit sein, dafür zu zahlen, so dass Anbieter keine Geschäftsmodelle brauchen, die auf dem Sammeln und Verkaufen von Daten bestehen. Über Gesetze muss man zusätzlich regelnd eingreifen, um Anbieter, welche die Spielregeln missachten, zu bestrafen. Das kann auch ohne eine DS-GVO gehen, wie gerade das Beispiel USA zeigt mit „Student Privacy Pledge“, COPPA und FERPA.
Damit will ich nicht sagen, dass die DS-GVO nicht durchaus ihren Nutzen hat. Manches könnte man aber einfacher regeln. Hätte man auch hier in Europa entsprechende Modelle der Selbstverpflichtung oder auf den Bildungsbereich spezifizierte Vorgaben und würde Angebote von Firmen daran überprüfen und auf europäischer Ebene zertifizieren und regelmäßig kontrollieren, wäre vieles einfacher. Dass hier jede Schule in eigener datenschutzrechtlicher Verantwortung Verträge zur Auftragsverarbeitung abschließen muss, ist absolut überflüssig. Werden entsprechende Plattformen dann noch offiziell zu Unterrichtsmitteln erklärt, kann man auf den ganzen Zirkus mit der informierten und freiwilligen Einwilligung durch die Eltern (die sie auch verweigern können) auch verzichten. Dann ist das nicht anders als mit Schulbüchern. Eine Schule führt eine Plattform ein und alle Schüler nutzen sie. Punkt. Datenschutz ist wichtig, doch es könnte einfacher sein.
Ich denke, wir befinden uns in einer Zeit des Umbruchs und diese Auswüchse der datenschutzrechtlichen Vorgaben, die zwar gut gemeint sind, praktisch jedoch eher Hemmnisse darstellen im Bildungsbereich, werden nicht auf Dauer so bleiben. Sie können es nicht. Bis man hier jedoch auch auf Ebene des Gesetzgebers erkennt, dass es andere Lösungen braucht, wird leider seine Zeit brauchen. Wir im Bereich Bildung müssen leider damit leben und das Beste daraus machen.
Ein hervorragender Beitrag. Leider geht vieles im öffentlichen und politischen Diskurs in eine andere Richtung. Daraus folgen dann solche, zwar gut gemeinten, aber schlecht umgesetzten paneuropäischen Datenschutzgesetze.
Ein Teil meines Informatik Unterrichts ist die Sensibilisieung auf die Welt, wie sie ist: mit Daten überall um und in uns. Nur was ich ‘heraus lasse’, ist angriffbar. Ergo: Ich überlege mir (auch jetzt gerade), welche Spuren ich hinterlasse, für immer und ewig, und ob ich die Konsequenzen tragen kann. Somit kommt mein wichtigster LernPunkt des Lebens: Verantwortung übernehmen.
Absolut gleicher Meinung: https://paper.dropbox.com/doc/Lieber-Marc–AD7wh1LcfsXQDVp9P0CXexf5AQ-9ZyrAtoXwn5VA5hSp9z42
Bravo. Das könnte man für viele andere Bereiche adaptieren. Wir schützen das Bad und schütten das Kind aus.
Ich weiss gar nicht, seit wievielen Jahren ich sowas von haargenau dasselbe sage und schreibe – einfach nur komprimiert in einem Satz: „ich wüsste nicht, was es bei Informationen die Bildung betreffend zu schützen gäbe“.