Seit fast zwei Jahren müssen Bildungseinrichtungen weltweit aufgrund der globalen Covid-19-Pandemie Anpassungen vornehmen und improvisieren. Fernunterricht und hybrider Unterricht wurden unverzichtbar. Einige Systeme waren besser darauf vorbereitet als andere.
Schulsysteme, die bereits über eine ausgereifte digitale Infrastruktur verfügten, waren besser vorbereitet. Andere mussten innerhalb weniger Tage hastig Lösungen beschaffen und umsetzen. Dabei wurden Abkürzungen genommen, und die Prüfung datenschutzrechtlicher Bedenken wurde oft außer Acht gelassen.
Fernunterricht spielt auch im Jahr 2022 noch immer eine große Rolle im Bildungswesen und wird uns auf absehbare Zeit begleiten. Daher ist es wichtig, die Ereignisse der letzten Jahre unter dem Gesichtspunkt des Datenschutzes zu betrachten. Hier sind einige wichtige Erkenntnisse.
Eine weltweite Pandemie bedeutet nicht, dass wir bei den Datenschutzmaßnahmen nachlassen dürfen
Eine Zeit lang schien man zu glauben, dass die Notlage Vorrang vor dem Datenschutz habe. Es gab einen Ansturm auf digitale Tools und Inhalte, die Schüler:innen Homeschooling (Fernunterricht) helfen sollten. Anbieter, die unter normalen Umständen die strengen Datenschutzprüfungen vielleicht nicht bestanden hätten, verzeichneten ein enormes Interesse seitens der Bildungseinrichtungen. Das geschah doch im Interesse des Allgemeinwohls, oder?
Es stellte sich jedoch schnell heraus, dass selbst Dienste, die für die Bewältigung der globalen Pandemie unverzichtbar waren, die Grundprinzipien des Datenschutzes einhalten mussten. Die norwegische Regierung hatte rasch eine App zur Kontaktverfolgung eingeführt, um die Ausbreitung des Virus einzudämmen, doch die Datenschutzbehörde war noch schneller und ließ sie wieder abschalten. Eine globale Pandemie ist kein Grund, bei Datenschutzmaßnahmen nachlässig zu sein.
Wenn die Bedeutung personenbezogener Daten und der Systeme, die diese verarbeiten, von „nice to have“ zu „unverzichtbar“ wechselt, gewinnt der Datenschutz erheblich an Bedeutung. Vor einigen Jahren konnte eine Lehrer:in Konto gehackt und gelöscht wurde, noch einen anderen Weg finden, ihren Unterricht zu gestalten. Doch während der Pandemie könnte dies bedeuten, dass zwei Dutzend Kinder tagelang keinen Unterricht erhalten. Die Notwendigkeit des Datenschutzes wird anhand der Auswirkungen auf die Menschen bewertet, wenn so etwas Kritisches passiert.
Erkenntnis: In Krisenzeiten müssen Sie Ihre Datenschutzmaßnahmen verstärken.
Beim Datenschutz geht es auch um Verfügbarkeit
In der Anfangsphase der Pandemie sahen sich viele Anbieter mit einem plötzlichen Anstieg der Systemnutzung konfrontiert. Nicht alle Anbieter waren in der Lage, den gestiegenen Bedarf ihres bestehenden Kundenstamms zu decken. In einigen Fällen dauerte es Tage oder sogar Wochen, bis diese Anbieter die Verfügbarkeit wiederherstellen konnten.
Die meisten Menschen würden einen Datenschutzverstoß damit in Verbindung bringen, dass sich jemand in eine Software hackt und Daten stiehlt. Im Sinne der DSGVO kann jedoch auch ein längerer Ausfall der Datenverfügbarkeit als Datenschutzverstoß gelten. Es kommt darauf an , wie sich dies auf Ihre Benutzer:innen auswirkt. Wenn ein System tagelang ausfällt und dies erhebliche Auswirkungen auf die Bildungsarbeit hat, sollte dies als Datenschutzverstoß gewertet werden. Die Schutzmaßnahmen, die Systeme und Anbieter gegen Verfügbarkeitsausfälle bieten können, sollten Teil jeder Datenschutzbewertung sein.
Erkenntnis: Berücksichtigen Sie bei der Bewertung der Sicherheitsmaßnahmen Ihrer Lieferanten deren Fähigkeit, auch bei unerwarteten, anhaltenden Spitzenauslastungen die Verfügbarkeit und Geschäftskontinuität aufrechtzuerhalten.
Viele Einrichtungen haben nach wie vor Schwierigkeiten mit grundlegenden Sicherheitsmaßnahmen
Im Jahr 2020 kam es zu einem neuen Phänomen (zumindest für Schulen), das als „Zoom-Bombing“ bezeichnet wurde. Da der Zugriff auf Videokonferenz-Tools ohne Authentifizierung möglich war, wurden böswillige Angriffe gestartet, indem die URLs der Besprechungsräume erraten wurden. Im besten Fall wurde dadurch der laufende Fernunterricht gestört, im schlimmsten Fall Schüler:innen unangemessenen Inhalten und Verhaltensweisen Schüler:innen . (Zoom hat seitdem zusätzliche Maßnahmen wie die Sicherheitsschaltfläche eingeführt, um Zoom-Bombing zu verhindern.)
Selbst Einrichtungen, die nur authentifizierte Benutzer:innen ihren Systemen zuließen, waren nicht vor Hackerangriffen und Datenlecks gefeit. Phishing – also die Praxis, Benutzer:innen durch die Vortäuschung eines legitimen Dienstes Benutzer:innen verleiten Benutzer:innen Benutzernamen und Passwörter preiszugeben – war weit verbreitet. Dies ist ein Beispiel dafür, warum eine Authentifizierung per Benutzername und Passwort nicht ausreicht und warum Datenschutzbehörden empfehlen, dass Mitarbeiter:in in digitalen Lernumgebungen durch eine Multi-Faktor-Authentifizierung geschützt werden müssen.
Lernpunkt: Überprüfen Sie Ihre grundlegenden Sicherheitsmaßnahmen. Stellen Sie sicher, dass Sie eine angemessene Authentifizierung für Ihre Lernangebote durchsetzen.
Viele Organisationen sind sich der Rechte ihrer Schüler:innen Lehrer:innen noch immer nicht bewusst
Die Umstellung auf Fernunterricht brachte in vielen Organisationen zahlreiche Veränderungen mit sich. Es wurden neue Systeme eingeführt und mehr personenbezogene Daten erhoben. Bei einigen Organisationen könnte man sogar argumentieren, dass sich der Zweck der Verarbeitung personenbezogener Daten geändert hat. Doch in diesem Prozess haben viele Organisationen die Grundsätze der Einhaltung der DSGVO aus den Augen verloren.
Alle Benutzer:innen digitalen Lernumgebung haben Datenschutzrechte. Das vielleicht wichtigste Benutzer:innen ist die Transparenz darüber, wie ihre personenbezogenen Daten verarbeitet werden. Wenn Sie während der Pandemie die Art und Weise der Verarbeitung personenbezogener Daten geändert haben, sollte dies transparent dokumentiert und für alle Beteiligten, einschließlich Ihrer Schüler:innen und Eltern), leicht zugänglich sein.
Lernpunkt: Überprüfen Sie Ihre „DSGVO-Umsetzung“ noch einmal. Stellen Sie sicher, dass Kompetenz Ihrem Unternehmen die Kompetenz vorhanden ist, personenbezogene Daten angemessen zu schützen und die Datenschutzrechte Ihrer Benutzer:innen zu wahren.
Aber lassen Sie sich durch Datenschutzbedenken nicht vom Fernunterricht abhalten
Der Datenschutz ist ein Grundrecht, aber das gilt auch für Bildung. Daher sollte der Datenschutz nicht als Vorwand dienen, den Online-Unterricht einzustellen, wenn ein Ereignis wie diese Pandemie es den Schulen unmöglich macht, vollständig geöffnet zu bleiben. Der Datenschutz sollte nicht als Hindernis betrachtet werden, das uns in das vordigitale „dunkle Zeitalter“ zurückwirft, sondern als Instrument zur Qualitätssicherung, das gewährleistet, dass digitale Dienste sicher und zuverlässig bereitgestellt werden können.
Sobald diese Pandemie vorbei ist, dürfen wir nicht in Selbstzufriedenheit verfallen. Wir sollten davon ausgehen, dass so etwas jederzeit wieder passieren kann. Bereiten Sie Pläne, die Infrastruktur und Lieferantenverträge vor, um sicherzustellen, dass Sie, falls ein weiterer unvorhergesehener Vorfall in Zukunft zur Schließung von Schulen führt, bereits über eine datenschutzkonforme Infrastruktur verfügen, die den Unterricht auch bei geschlossenen Schulen ermöglicht.
Erkenntnis: Erstellen Sie einen „Plan zur Aufrechterhaltung des Schulbetriebs“, der einen reibungslosen und datenschutzkonformen Übergang zum Fernunterricht ermöglicht.
Bei itslearninglegen wir großen Wert auf den Schutz Ihrer Daten. Auf dieser Seite erfahren Sie mehr über unser Engagement im Hinblick auf die DSGVO: Ihre Daten sind uns wichtig.
Hier finden Sie eine Checkliste, um die Einhaltung der DSGVO an Ihrer Schule sicherzustellen.
Sehen Sie sich unser kostenloses Webinar an, um mehr darüber zu erfahren, wie Sie Daten an Ihrer Bildungseinrichtung schützen können.
Auf Abruf ansehen
