Viele Arbeitgeber haben es in den letzten Jahren oft nicht geschafft – COVID19 hat als positiven Nebeneffekt dennoch gezeigt, dass es möglich ist. Die Rede ist von Home Office und für die jüngeren Mitbürger*innen in weiterer Folge auch Home Schooling. Arbeiten von zu Hause, Deutsch-Unterricht im Kinderzimmer und Prüfungen via Videokonferenzen – all dies ist seit März 2020 keine Fiktion mehr.
Im Masterplan „Digitalisierung“[1] des Bundesministeriums für Bildung, Wissenschaft und Forschung wurde bereits im Jahr 2018 festgehalten, dass „ein umfassender, strukturierter und realitätsbezogener Weg der Umsetzung und Veränderung beschritten wird und kein Weg daran vorbeiführt, sich dieser großen Aufgabe zu stellen“. Ein Virus, mit dem weltweit mehr als 10 Mio Menschen[2] infiziert wurden und das bereits mehr als 500.000 Todesfälle[3] verzeichnet, hat seines dazu beigetragen. Wenn Produktionsbetriebe schließen, Einkaufen nur mehr mit MNS-Masken erlaubt ist, Dienstleistungsbetriebe ihre Mitarbeiter*innen nach Hause schicken und die Schultore geschlossen werden, stellt sich die Frage „Wie geht’s jetzt weiter?“. Vielerorts werden so genannte Quick-and-Dirty-Lösungen gefunden und Home-Office wird damit zum Alltag. IT-Sicherheit und Datenschutz rücken erfahrungsgemäß leider oft in den Hintergrund – Hauptsache es funktioniert. Dass diese Situation durch Cyberkriminelle natürlich prompt ausgenutzt wird, liegt auf der Hand – wird in vielen Fällen aber erst deutlich später sichtbar. Der Aufwand für nachträgliche Prüfungen und Anpassungen wird entsprechend hoch sein.
Auch in Schulen wird der Unterricht vermehrt online angeboten. Lehrer*innen verteilen Zugangsdaten zu Online-Plattformen, schreiben Nachrichten über Messenger-Dienste oder teilen mit, dass die nächste Unterrichtseinheit über ein Online-Videokonferenz-System stattfinden wird. Soweit so gut, wenn da nicht die Datenschutz-Grundverordnung wäre, die wie so oft einem ein Klotz am Bein ist, alles verkompliziert, die Bürokratie hochleben lässt und alle guten Ideen bereits im Keim erstickt.
Diese Ansicht wird wahrscheinlich aber nur solange vertreten, bis der Verantwortliche eine entsprechende Maßnahme oder Geldstrafe der Datenschutzbehörde auferlegt bekommt, die zum Nachdenken anregt oder es zu einer Datenschutzverletzung kommt die der Schulleiter*in eine schlaflose Nacht bereitet. Ist es tatsächlich legitim sämtliche Schülerdaten an einen Konzern zu übermitteln, der diese Daten für eigene Marketingzwecke verwendet und die Daten weiterverkauft? Sollen tatsächlich Hacker die Kontaktdaten der Eltern erhalten, weil der selbstständige Software-Entwickler – der Partner einer Lehrerin, der die Plattform kostenlos zur Verfügung gestellt hat – keine oder zu wenig Sicherheitsmaßnahmen ergriffen hat oder kann es sein, dass die Schule Daten sammelt, die sie weder zur Beurteilung der Schüler*innen benötigt noch für statistische Zwecke erforderlich sind?
Personenbezogene Daten sind das Gold des 21. Jahrhunderts und deswegen sollten sie auch entsprechend geschützt werden. Die Datenschutz-Grundverordnung schafft hierfür seit 25.5.2018 einen entsprechenden Rahmen, der mit dem österreichischen Datenschutzgesetz und durch 244 Materiengesetze ergänzt wird. Das Datenschutzrecht ist ein Grundrecht, das jedermann zugänglich und sogar verfassungsrechtlich verankert ist. Es darf auch während einer Pandemie nicht außer Acht gelassen werden.
Neuartige Verhaltensweisen oder „gute Ideen“ sind nicht per se durch die DSGVO verboten. Die Verantwortlichen müssen diesbezüglich nur sicherstellen, dass die Vorgaben des Datenschutzrechts und in weiterer Folge auch die Vorgaben der IT-Sicherheit – ganz im Sinne der Betroffenen – eingehalten werden können.
Demnach spricht natürlich grundsätzlich nichts gegen Online-Unterricht oder Distance-Learning, sofern sich die Schulleiter*innen darüber ausreichend Gedanken machen. Wenn dabei berücksichtigt wird, dass auch die Schule für das Verhalten des Dienstleisters verantwortlich gemacht werden kann und diese eine entsprechende Auswahlhaftung bei der Inanspruchnahme von so genannten Auftragsverarbeitern trifft, soll es ihr natürlich freigestellt werden, über welche Online-Kanäle die Lehrer*innen mit ihren Schüler*innen kommunizieren. Ob für den Online-Unterricht nun Microsoft Teams, Cisco WebEx, GoToWebinar, Google HangoutMeets oder andere geeignete Systeme verwendet werden, obliegt der Entscheidung der einzelnen Schulleiter*innen. Betroffene Schüler*innen, Eltern und Lehrer*innen dürfen natürlich vertrauen, dass sich die Schulleiter*in entsprechende Gedanken gemacht haben. Im Zweifel stehen die Betroffenenrechte gem Art 15-21 DSGVO, allen voran Auskunft, Löschung und Widerspruch offen.
Ob bestimmte Online-Plattformen oder Video-Konferenzsysteme den Anforderungen des Datenschutzrechts genügen, muss die Schule also selbst beurteilen – sie ist auch dafür verantwortlich iSd Art 4 Z 7 DSGVO. Unabhängig von der Corona-Pandemie stellt sich nun die Frage, ob die Abhaltung von Online-Unterricht eigentlich zulässig ist.
Die pauschale Antwort auf diese komplexe Frage lautet: Ja, Distance-Learning kann pädagogisch wertvoll und datenschutzrechtlich zulässig sein, sofern der Verantwortliche (=Schulleiter*in) sicherstellt, dass deren Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen ergreift, um Datenschutzverletzungen vorzubeugen, wenn er personenbezogene Daten nur gemäß den Grundsätzen der Datenverarbeitung iSd Artt 5, 6 DSGVO verarbeitet und wenn die Betroffenen entsprechend über die geplanten Datenverarbeitungen, deren Rechtsgrundlage, Speicherfristen und Betroffenenrechten informiert werden.
Gibt es letztendlich Meinungsunterschiede, ob eine Datenverarbeitung rechtmäßig ist und ob sie den Grundsätzen der Datenverarbeitung entspricht oder nicht, entscheidet grundsätzlich eine unabhängige Aufsichtsbehörde. In Deutschland hat kürzlich die Aufsichtsbehörde beispielsweise entschieden, dass ein Lehrer nicht in seinem Recht auf Geheimhaltung verletzt ist, wenn das Klassenfoto (auf dem auch der klagende Lehrer abgebildet ist) auf der Schulwebsite veröffentlicht wird. In Österreich hat darüber die österreichische Datenschutzbehörde zu entscheiden.
[1] https://www.bmbwf.gv.at/Themen/schule/zrp/dibi/mp.html
[2] https://www.sozialministerium.at/Informationen-zum-Coronavirus/Neuartiges-Coronavirus-(2019-nCov).html
[3] https://www.who.int/docs/default-source/coronaviruse/situation-reports/20200629-covid-19-sitrep-161.pdf?sfvrsn=74fde64e_2 Stand 29.6.2020 499.913 Todesfälle.