WhatsApp, Gmail & Co.

Datenschützer warnt vor „Schatten-IT“ in Schulen

(Bild: stock.adobe.com)

Ein Teil von Österreichs Schulen habe eine „Schatten-IT“ aufgebaut, warnt die Arge Daten. Durch den Einsatz von Clouds oder WhatsApp würden Schüler-, Lehrer- und Elterndaten im „datenschutzrechtlichen Niemandsland“ landen. Das Bildungsministerium betont, dass man mit Einführung der Datenschutzgrundverordnung (DSGVO) klar kommuniziert habe, was erlaubt ist. Etwaige Verstöße will man ahnden.

„Schulen machen im Prinzip, was sie wollen - ohne rechtliche Vereinbarung und technische Absicherung und das Bildungsministerium steht daneben“, kritisiert Arge Daten-Obmann Hans Zeger. Die Datenschützer würden schon seit Jahren einen Wildwuchs an „sonderbaren IT-Lösungen“ beobachten.

Schule nutzte Gmail und Google Drive
Gut dokumentiert sei ein Fall, den der Lehrer einer Bundesschule in Niederösterreich der Arge Daten berichtet habe. Dort werde seit 2015 für die Kommunikation von Lehrern und Eltern das Mailprogramm von Google und zusätzlich zur Speicherung von Daten wie Schülerlisten, Bildern von Ausflügen etc. der Cloud-Dienst Google Drive genutzt.

(Bild: dpa/Ole Spata)

Das ist laut Zeger zwar theoretisch erlaubt. Dafür notwendig wäre allerdings neben der Zustimmung der Betroffenen, dass das Bildungsministerium bzw. die Bildungsdirektion (früher Landesschulrat) eine Auftragsverarbeiter-Vereinbarung mit Google abschließt. Das sei in der DSGVO vorgeschrieben. In Österreich investiere man zwar „sehr viel Geld“ in eigene Schulsoftware wie etwa Sokrates oder Web-Unitis, offenbar seien diese aber nicht alltagstauglich. „Das wirkliche Leben spielt sich im Bereich der US-Cloudlösungen ab.“

„Laut DSGVO verboten“
Das Problem dabei aus Zegers Sicht: Wenn Privatpersonen für sich entscheiden, dass durch Nutzung dieser IT-Lösungen ihre Daten analysiert und Interessensprofile entwickelt werden, sei das deren Angelegenheit. „Aber hier macht das jemand anderer für mich und das ist laut DSGVO verboten. Es gibt hier klare Vorgaben, die von den Schulen ignoriert oder nur partiell beachtet werden.“ Wenn ein Direktor dies wissentlich mache, grenze das sogar an Amtsmissbrauch, so Zeger. Das Bildungsministerium müsse diese Praktiken wirksam abstellen, fordert der Datenschützer.

(Bild: thinkstockphotos.de)

Ministerium sieht Schulen adäquat informiert
Martin Netzer, Generalsekretär im Bildungsministerium, verweist darauf, dass das Ressort durch Erlässe und entsprechende Schulungen der Direktoren mit der Einführung der DSGVO genau klargestellt habe, dass der Einsatz von Diensten wie Google bei schülerbezogenen Daten wie Adressen oder Geburtsdaten tabu sei. Das wäre laut Netzer nicht einmal dann erlaubt, wenn alle Betroffenen zustimmen.

Den von der Arge Daten geschilderten Fall könne man derzeit nicht verifizieren, gerade in Niederösterreich seien die Schulen aber besonders eindringlich auf die neuen Datenschutzregeln hingewiesen worden. Sollte es hier allerdings tatsächlich zu einem Verstoß gekommen sein, müsse dieser geahndet werden.

(Bild: thinkstockphotos.de, Google, krone.at-Grafik)

Etwas anders ist die Situation laut Netzer, wenn die Daten nichts mit der Schulverwaltung zu tun und keinen Personenbezug haben. Es gebe zwar vom Ministerium die klare Empfehlung, Angebote von Google und Co nicht im schulischen Kontext zu nutzen. Bei Zustimmung aller Beteiligten sei es allerdings in Ordnung, wenn die Schüler oder Eltern als Privatpersonen Fotos vom Schulball oder einem Ausflug auf einer solchen Plattform teilen.

Eltern und Schüler müssten allerdings von den Schulleitern auf die Datenschutz-Risiken hingewiesen werden. Zu WhatsApp meinte Netzer, dass diese Anwendung für das Ministerium nicht als sicherer Kommunikationsweg gilt und daher auch nicht systematisch eingesetzt werden soll.