DIRECTIONS: Datenschutz für Schulen neu gedacht

Portrait von Sebastian Lins, Akademischer Rat am KIT und Projektkoordinator von DIRECTIONS.

Das Forschungsprojekt „DIRECTIONS“ vom Karlsruher Institut für Technologie (KIT) könnte eine entscheidende Rolle dabei spielen, wie Schulen in Deutschland künftig mit dem Thema Datenschutz umgehen. Aber um was geht es bei dem Wegweiser für sichere digitale Bildung überhaupt? Wir haben uns das mal näher angeschaut und mit Sebastian Lins, Akademischer Rat am KIT und Projektkoordinator von DIRECTIONS, gesprochen.

In den vergangenen Jahren hat die Nutzung von digitalen Lösungen an Schulen weltweit zugenommen. Von Lernplattformen über Videokonferenztools bis hin zu Lern-Apps: Die Digitalisierung des Unterrichts bringt viele Vorteile mit sich, wirft aber auch Fragen auf – insbesondere im Hinblick auf den Datenschutz.

Anbieter dieser Systeme müssen sicherstellen, dass ihre Produkte den strengen Anforderungen der Datenschutz-Grundverordnung (DSGVO) entsprechen. Doch gerade für Schulen und Schulträger ist es nicht immer einfach zu beurteilen, ob ein System wirklich datenschutzkonform ist. Hier setzt das Projekt DIRECTIONS (Data Protection Certification for Educational Information Systems) an.

Das Projekt hat das Potenzial, den Umgang mit digitalen Informationssystemen an Schulen grundlegend zu verändern. Durch die Einführung einer datenschutzrechtlichen Zertifizierung könnten Unsicherheiten abgebaut und die Digitalisierung des Bildungswesens vorangetrieben werden – und das unter der Prämisse, dass der Schutz der Schüler*innen stets im Vordergrund steht.

Symbolbild einer Schulkasse. Eine Schülerin meldet sich.
Datenschutz bei Schülerinnen ist von besonderer Relevanz. Bild: Canva Pro

DIRECTIONS schafft Rahmenbedingungen für die Digitalisierung deutscher Schulen

Das Hauptziel von DIRECTIONS ist es, eine nachhaltig anwendbare Datenschutzzertifizierung zu entwickeln, die sicherstellt, dass schulische Informationssysteme DSGVO-konform sind.

Dabei wird in zwei Schritten vorgegangen: Den Anfang macht eine Selbstverpflichtungserklärung (SVE). Diese ermöglicht es den Anbietern, selbst zu überprüfen, ob ihre Systeme den in einem Kriterienkatalog festgelegten Datenschutzanforderungen gerecht werden – und dies transparent zu kommunizieren. „Die Selbstverpflichtungserklärung schafft frühzeitig Transparenz und Vergleichbarkeit am Markt. Zudem werden mögliche Unsicherheiten bei den Kunden abgebaut,“ erklärt Sebastian Lins, Akademischer Rat am KIT und Projektkoordinator von DIRECTIONS.

Im zweiten Schritt soll diese Erklärung zu einer rechtskonformen Datenschutzzertifizierung weiterentwickelt werden, die dann von einer unabhängigen Zertifizierungsstelle ausgestellt wird. Das gibt den Schulen die Sicherheit, dass die genutzten Systeme tatsächlich den erforderlichen Datenschutz gewährleisten.

Status quo an deutschen Schulen

Doch wie sieht es derzeit an Deutschlands Schulen aus? Während der Corona-Pandemie waren viele von ihnen dazu gezwungen, quasi über Nacht Videokonferenztools und digitale Lernplattformen in den Unterricht zu integrieren. Dennoch blieb der erhoffte langfristige Digitalisierungsschub aus – und das größtenteils aufgrund von Untersicherheiten im Umgang mit den digitalen Systemen.

„Lehrkräfte sind sich häufig nicht sicher, ob die eingesetzten Tools die Datenschutzanforderungen erfüllen“, berichtet Lins. Diese Unsicherheit führt dazu, dass manche Systeme gar nicht erst eingesetzt werden, selbst wenn sie pädagogisch eventuell wertvoll wären. „Für Schulen und Schulträger ist es aber nahezu unmöglich, solche Dinge selbst rechtssicher zu prüfen, weshalb sie sich häufig auf die Empfehlungen der Datenschutzaufsichtsbehörden der Länder verlassen.“

Symbolbild zweier Lernender vor einem Smart Board.
Zertifizierung schafft Orientierung. Foto: Canva Pro

Datenschutz muss man als Chance begreifen, nicht als Hindernis

Wie wichtig verbindlichen Datenschutzstandards sind, wird besonders deutlich, wenn man bedenkt, dass es um den Schutz von Daten von Schüler*innen geht. „Der Datenschutz ist gerade bei Minderjährigen von höchster Relevanz“, betont Lins. „Die Nutzung von digitalen Lernsystemen kann dazu führen, dass sensible Daten wie individuelle Lernprofile erhoben werden. Derart sensible Informationen müssen besonders geschützt werden, um deren Missbrauch zu verhindern.“ Da die Auswahl der Systeme meist durch die Schule erfolgt, haben die Schüler*innen selbst jedoch wenig Einfluss darauf.

Kritiker*innen könnten nun argumentieren, dass strenge Datenschutzvorgaben die Digitalisierung der Schulen ausbremsen. Sebastian Lins sieht das anders: „Datenschutz sollte nicht als Bremse angesehen werden, sondern als Mindeststandard.“ Er betont, dass der Schutz von Schüler*innen oberste Priorität haben muss. Eine Datenschutzpanne könne schwerwiegende Folgen haben und müsse unbedingt vermieden werden.

„Mit einer Zertifizierung können die Schulen und deren Träger darauf Vertrauen, dass der Datenschutz bei den jeweiligen Systemen eingehalten wird.“ Die Auswahlentscheidung werde dadurch erleichtert und mögliche Bedenken abgebaut. „Gerade die Zertifizierung wirkt somit einer möglichen ‚Bremse‘ entgegen,“ fasst Lins zusammen, der sich bereits seit einem Jahrzehnt mit der Thematik beschäftigt.

Wie geht es mit DIRECTIONS weiter?

Derzeit wird der im Rahmen von DIRECTIONS erstellte Kriterienkatalog bei ausgewählten Systemanbietern erprobt. Für den Sommer und Herbst dieses Jahres sind Tests an fünf konkreten Anwendungsfällen geplant. Parallel dazu arbeitet das Projektteam an der Weiterentwicklung des Zertifizierungsverfahrens und des Regelwerks. „Sobald die Zertifizierung konzipiert ist, wird sie ebenfalls erprobt und anschließend in das notwendige formale Bewilligungsverfahren gegeben“, erklärt Lins. Sollte die Zertifizierung bewilligt werden, kann sie auf dem Markt angeboten werden, und Anbieter haben die Möglichkeit, ihre Systeme offiziell zertifizieren zu lassen.