Seit fast zwei Jahren müssen sich Bildungseinrichtungen auf der ganzen Welt aufgrund der globalen Covid-19-Pandemie anpassen und improvisieren. Fernunterricht und Blended Learning wurden zu einem entscheidenden Faktor. Einige Systeme waren besser vorbereitet als andere.
Schulsysteme, die bereits über eine ausgereifte digitale Infrastruktur verfügten, waren besser vorbereitet. Andere mussten sich abmühen, um innerhalb weniger Tage Lösungen zu beschaffen und zu implementieren. Es wurden Abkürzungen genommen und die Bewertung von Datenschutzbedenken wurde oft umgangen.
Fernunterricht ist auch im Jahr 2022 noch ein wichtiger Bestandteil der Bildung und wird uns auf absehbare Zeit begleiten. Es ist daher wichtig, die Ereignisse der letzten Jahre unter dem Gesichtspunkt des Datenschutzes zu betrachten. Hier sind einige der wichtigsten Erkenntnisse.
Eine globale Pandemie bedeutet nicht, dass wir die Datenschutzmaßnahmen lockern können
Eine Zeit lang schien man zu glauben, dass der Notfall den Datenschutz übertrumpft. Es gab einen Ansturm auf digitale Hilfsmittel und Inhalte, die Schülern beim Heimunterricht (Fernunterricht) helfen sollten. Das Interesse von Bildungseinrichtungen an Anbietern, die normalerweise einer Datenschutzprüfung nicht standhalten würden, ist enorm gestiegen. Das war doch zum Wohle der Allgemeinheit, oder?
Es stellte sich jedoch schnell heraus, dass auch Dienste, die für die Bewältigung der weltweiten Pandemie unerlässlich waren, die Grundprinzipien des Datenschutzes beachten mussten. Die norwegische Regierung war schnell dabei, eine App zur Ermittlung von Kontaktpersonen einzuführen, um die Ausbreitung des Virus einzudämmen, aber die Datenschutzbehörde war noch schneller dabei, sie abzuschalten. Eine weltweite Pandemie ist kein Grund, bei den Datenschutzmaßnahmen nachlässig zu sein.
Wenn die Bedeutung personenbezogener Daten und der Systeme, mit denen sie verarbeitet werden, von "nett zu haben" zu "kritisch" wird, steigt die Bedeutung des Datenschutzes erheblich. Wenn vor ein paar Jahren das Konto eines Lehrers gehackt und gelöscht wurde, konnte er einen anderen Weg finden, seine Klasse zu leiten. Im Falle einer Pandemie könnte dies jedoch bedeuten, dass zwei Dutzend Kinder tagelang keinen Unterricht erhalten. Die Notwendigkeit des Datenschutzes wird gegen die Auswirkungen auf die Menschen abgewogen, wenn so etwas Kritisches passiert.
Lernpunkt: Sie müssen Ihr Datenschutzprotokoll in Krisenzeiten verstärken.
Datenschutz ist auch eine Frage der Verfügbarkeit
In der Anfangsphase der Pandemie sahen sich viele Anbieter mit einem plötzlichen Anstieg der Nutzung ihrer Systeme konfrontiert. Nicht alle Anbieter waren in der Lage, den erhöhten Bedarf ihres Kundenstamms zu decken. In einigen Fällen dauerte es Tage oder sogar Wochen, bis diese Anbieter wieder verfügbar waren.
Die meisten Menschen denken bei einer Datenschutzverletzung an jemanden, der sich in eine Software hackt und Daten stiehlt. Aber im Sinne der DSGVO kann auch ein längerer Verlust der Verfügbarkeit von Daten als Datenschutzverletzung angesehen werden. Es kommt darauf an, wie sich dies auf Ihre Nutzer auswirkt. Wenn ein System tagelang nicht verfügbar ist und dadurch die Bereitstellung von Bildungsangeboten erheblich beeinträchtigt wird, sollte dies als Datenschutzverletzung betrachtet werden. Die Sicherheitsvorkehrungen, die Systeme und Anbieter gegen Verfügbarkeitsverletzungen bieten können, sollten Teil jeder Datenschutzbewertung sein.
Lernpunkt: Achten Sie bei der Bewertung der Sicherheitsmaßnahmen Ihrer Anbieter auf deren Fähigkeit, auch bei unerwarteten, lang anhaltenden Lastspitzen verfügbar zu sein und den Betrieb aufrechtzuerhalten.
Viele Institutionen haben immer noch Probleme mit grundlegenden Sicherheitsmaßnahmen
2020 trat ein neues Phänomen auf (zumindest für Schulen), das als "Zoom-Bombing" bezeichnet wird. Durch die Ermöglichung eines nicht authentifizierten Zugriffs auf Videokonferenz-Tools wurden bösartige Angriffe gestartet, indem die URLs von Besprechungsräumen erraten wurden. Im besten Fall wurde dadurch der laufende Fernunterricht gestört, im schlimmsten Fall wurden die Schüler unangemessenen Inhalten und Verhaltensweisen ausgesetzt. (Zoom hat inzwischen zusätzliche Maßnahmen wie die Sicherheitstaste eingeführt, um Zoom Bombing zu verhindern).
Selbst Einrichtungen, die nur authentifizierten Benutzern den Zugang zu ihren Systemen gestatteten, waren nicht vor Hacks und Datenschutzverletzungen gefeit. Phishing, d. h. das Verleiten von Nutzern zur Eingabe von Benutzernamen und Kennwörtern unter dem Vorwand eines legitimen Dienstes, war weit verbreitet. Dies ist ein Beispiel dafür, warum eine Authentifizierung mit Benutzername und Kennwort nicht ausreicht und warum Datenschutzbehörden empfehlen, dass die Konten von Mitarbeitern in digitalen Lernumgebungen durch eine Multi-Faktor-Authentifizierung geschützt werden müssen.
Lernpunkt: Überprüfen Sie Ihre grundlegenden Sicherheitsmaßnahmen. Stellen Sie sicher, dass Sie eine angemessene Authentifizierung für Ihre Lerndienste durchsetzen.
Viele Organisationen sind sich der Rechte ihrer Schüler und Lehrer noch immer nicht bewusst
Die Umstellung auf die Fernlehre hat in vielen Unternehmen zu großen Veränderungen geführt. Es wurden neue Systeme eingeführt, und es wurden mehr personenbezogene Daten erhoben. Bei einigen Organisationen könnte man sogar argumentieren, dass sich der Zweck der Verarbeitung personenbezogener Daten geändert hat. Aber in diesem Prozess haben viele Organisationen die Grundlagen der Einhaltung der Datenschutzgrundverordnung vernachlässigt.
Alle Nutzer einer digitalen Lernumgebung haben Rechte auf Datenschutz. Das vielleicht wichtigste ist die Transparenz darüber, wie ihre personenbezogenen Daten verarbeitet werden. Wenn Sie während der Pandemie die Art und Weise der Verarbeitung personenbezogener Daten geändert haben, sollte dies transparent dokumentiert und für alle Beteiligten, einschließlich Ihrer Schüler (und Eltern), leicht zugänglich sein.
Lernpunkt: Nehmen Sie eine Neubewertung Ihrer "GDPR-Umsetzung" vor. Vergewissern Sie sich, dass Sie in Ihrer Organisation über die nötige Kompetenz verfügen, um personenbezogene Daten angemessen zu schützen und die Datenschutzrechte Ihrer Nutzer zu achten.
Aber lassen Sie sich nicht von Fragen des Datenschutzes vom Fernlernen abhalten
Der Datenschutz ist ein Grundrecht, aber das gilt auch für die Bildung. Daher sollte der Datenschutz nicht als Vorwand dienen, um die Online-Ausbildung einzustellen, wenn ein Ereignis wie diese Pandemie es den Schulen unmöglich macht, vollständig geöffnet zu bleiben. Der Datenschutz sollte nicht als Hindernis gesehen werden, das uns in das vordigitale "dunkle Zeitalter" zurückwirft, sondern als Qualitätssicherungsinstrument, das gewährleistet, dass digitale Dienste sicher und zuverlässig erbracht werden können.
Nach dem Ende dieser Pandemie ist es wichtig, nicht selbstzufrieden zu werden. Gehen wir davon aus, dass so etwas jederzeit wieder passieren kann. Bereiten Sie Pläne, Infrastrukturen und Anbieterverträge vor, um sicherzustellen, dass Sie im Falle eines weiteren unvorhergesehenen Ereignisses, das zu einer Schließung von Schulen führen könnte, bereits über eine datenschutzfreundliche Infrastruktur verfügen, die es ermöglicht, den Unterricht auch dann fortzusetzen, wenn die Schulen geschlossen sind.
Lernpunkt: Erstellen Sie einen "Schulkontinuitätsplan", der einen reibungslosen und datenschutzfreundlichen Übergang zum Fernunterricht ermöglicht.
Bei itslearning verpflichten wir uns zum Schutz Ihrer Daten. Auf dieser Seite erfahren Sie mehr über unsere GDPR-Verpflichtung: Ihre Daten sind wichtig.
Hier finden Sie eine Checkliste, mit der Sie die Einhaltung der DSGVO an Ihrer Schule sicherstellen können.
In unserem kostenlosen Webinar erfahren Sie mehr darüber, wie Sie die Daten in Ihrer Bildungseinrichtung schützen können.