Skribi und Leon – Nutzung pseudonymisierter Daten durch die betreuende Professur

Lesezeit: 11 Minuten

Das Land NRW stellt seinen Schulen zwei über den Browser genutzte Plattformen zur Verfügung, welche diese kostenlos nutzen können. Es handelt sich dabei um LeOn, eine Plattform zur Leseförderung, und Skribi, eine Plattform zur Schreibförderung. Beide Plattformen wurden von einem Team an der TU Chemnitz erarbeitet, finanziell gefördert im Rahmen des „Masterplan Grundschule“ vom Ministerium für Schule und Bildung Nordrhein-Westfalen.1Siehe https://www.tu-chemnitz.de/zlb/professuren/fd_deutsch/projekte/fachoffensive/. Mittlerweile sind die Projektentwickler nicht mehr an der TU Chemnitz, sondern an der Universität Hamburg. Die technische Umsetzung erfolgt für beide Plattformen aber weiterhin durch die Berliner Softwarefirma Outermedia.

Soweit so gut. Schaut man sich die Datenschutzerklärungen zu beiden Plattformen2Datenschutzerklärung Skribi, Datenschutzerklärung LeOn an, die sich an die Nutzer bzw. Erziehungsberechtigten und Lehrkräfte richten, dann fällt dort eine Passage auf, die in beiden Datenschutzerklärungen identisch ist. Es geht um die Nutzung von pseudonymisierten Daten der Nutzer, also von Schülerinnen und Schülern sowie den Lehrkräften.

Nutzung pseudonymisierter Nutzungsdaten
Der Verantwortliche überträgt pseudonymisierte Nutzungsdaten an die Professur Fachdidaktik Deutsch am Zentrum für Lehrerbildung der TU Chemnitz. Dabei werden alle identifizierenden Daten (z.B. Namen) entfernt, sodass die Professur Fachdidaktik Deutsch am Zentrum für Lehrerbildung der TU Chemnitz nicht auf einzelne Personen zurückschließen kann. Diese Nutzungsdaten zu Nutzungsdauer, Bearbeitungszeit einzelner Aufgaben und ähnliche Daten nutzt die Professur Fachdidaktik Deutsch am Zentrum für Lehrerbildung der TU Chemnitz für die quantitative und qualitative Analyse des Nutzungsverhaltens von Lehrkräften und Schülern zum Zwecke der wissenschaftlichen Auswertung der Daten.

Rechtsgrundlage für die Pseudonymisierung ist das berechtigte Interesse der Professur Fachdidaktik Deutsch am Zentrum für Lehrerbildung der TU Chemnitz nach Art. 6 (1) f) DSGVO an der Analyse der Nutzung von LeOn zum Zwecke der Forschung und Verbesserung. Da die Professur Fachdidaktik Deutsch am Zentrum für Lehrerbildung der TU Chemnitz aus den Daten keine Rückschlüsse auf einzelne Personen ziehen kann, ist ein der Übertragung pseudonymisierter personenbezogener Daten entgegenstehendes Interesse nicht erkennbar.

Eine identische Passage findet sich übrigens auch in der Datenschutzerklärung zu divomath, mit dem Unterschied, dass hier die TU Dortmund anstelle der TU Chemnitz eingetragen ist. Auch bei divomath ist Outermedia der Auftragsverarbeiter.

Aus datenschutzrechtlicher Sicht ist diese Passage bezüglich der dort beschriebenen Übermittlung von personenbezogenen Daten und die dafür benannte Rechtsgrundlage sehr ungewöhnlich.

Im Vertrag zur Auftragsverarbeitung zu LeOn3Man kann ziemlich sicher davon ausgehen, dass der Vertrag zur Auftragsverarbeitung für die beiden anderen Plattformen divomath und skribi identisch sein wird. findet sich unter den Verarbeitungszwecken neben anderen auch die unten zitierten Zwecke:

Zweck(e), für den/die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden:

– […]

– Verarbeitung pseudonymisierter Nutzerdaten durch die zum Zwecke der wissenschaftlichen Auswertung sowie Qualitätsverbesserung und Weiterentwicklung der Software, unter anderem mittels maschinellem Lernen,

Demnach lässt der Verantwortliche (die Schule) pseudonymisierte Nutzerdaten zu drei verschiedenen Zwecken verarbeiten:

  • wissenschaftliche Auswertung
  • Qualitätsverbesserung
  • Weiterentwicklung der Software

Es fällt zunächst auf, dass die Formulierung des ersten Satzes grammatikalisch unvollständig ist, da die Angabe fehlt, durch wen die Verarbeitung erfolgt. Hier hatte man vermutlich eine Leerstelle gelassen, in welche dann nach der Logik der anderen Angaben zur Verarbeitung der pseudonymisierten Nutzerdaten die TU Chemnitz hätte eingetragen werden müssen. Wesentlich bedeutsamer ist bei dieser Zweckangabe jedoch die Frage, für wen die wissenschaftliche Auswertung erfolgt? Sie müsste streng genommen für die Schule selbst erfolgen. Gleiches gälte für die Qualitätsverbesserung, und auch die Weiterentwicklung der Software dürfte im Sinne eines Vertrags zur Auftragsverarbeitung nur für die Schule selbst erfolgen. Hier geht es aber bei allen drei Verarbeitungszwecken eindeutig nicht um die Schule selbst, sondern einmal um die Technische Universität, welche die Nutzungsdaten wissenschaftlich auswerten möchte, und zum anderen um die Verbesserung der Qualität und die Weiterentwicklung der Plattform, offensichtlich auch durch die Technische Universität, jedoch nicht nur für die Schule, von welcher die Nutzungsdaten kommen, sondern für alle Schulen, welche die Plattform nutzen.

Werden die Daten nicht ausschließlich für die Zwecke des Verantwortlichen verarbeitet, dann entspricht das keiner Auftragsverarbeitung mehr. Das wäre dann eher eine Übermittlung von personenbezogenen Daten, wie auch in der Datenschutzerklärung mit “überträgt” beschrieben. Damit aber passt solch ein Passus auf gar keinen Fall zu den Zwecken einer Auftragsverarbeitung.

Ergänzend sollte erwähnt werden, dass die Technische Universität Chemnitz nicht in der Liste der Unterauftragsverarbeiter als solcher aufgeführt ist. Es gibt auch keinen separaten Vertrag zur Auftragsverarbeitung mit der Technischen Universität.

Es findet sich auch noch ein Hinweis im Verfahrensverzeichnis zu LeOn. Dort heißt es unter:

Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offen gelegt worden sind oder noch werden
(Art. 30 Abs. 1 S. 2 lit. d)

☐ extern
● Professur Fachdidaktik Deutsch am Zentrum für Lehrerbildung der TU Chemnitz (in pseudonymisierter Form)
○ Verarbeitung dort auf der Rechtsgrundlage von DS-GVO Art. 6 Abs. 1 lit. f:

Mit dieser Angabe im Verfahrensverzeichnis sollte wohl die beabsichtigte rechtliche Konstruktion, dass die TU Chemnitz die pseudonymisierten Daten auf der Rechtsgrundlage des berechtigten Interesses verarbeitet, abgebildet werden. Normalerweise wird an der Stelle als Rechtsgrundlage immer angegeben, auf welcher Rechtsgrundlage der Verantwortliche selbst die Verarbeitung durchführt. Das eingefügte “dort” ist mehr als ungewöhnlich.

Es lässt streng genommen zwei Lesarten zu. Könnte es bedeuten, dass der Verantwortliche die Nutzungsdaten in pseudonymisierter Form dort, bei der TU Chemnitz, auf der Rechtsgrundlage seines berechtigten Interesses verarbeiten lässt? Alternativ kann es auch so gelesen werden, dass es zu den Aussagen im Vertrag zur Auftragsverarbeitung und der Datenschutzerklärung passt, nämlich dass die Rechtsgrundlage für die Verarbeitung durch die TU Chemnitz (als Verantwortlicher) das berechtigte Interesse ist.

Was meint Pseudonymisierung hier eigentlich und was sind Nutzungsdaten?

Nutzungsdaten meint im Allgemeinen Daten, welche Aufschluss über das Nutzungsverhalten geben, bei Schülern also bearbeitete Aufgaben und Aufgabentypen, Dauer der Bearbeitung einzelner Aufgaben, Abbrüche der Bearbeitung, Häufigkeit des Aufrufs einer Aufgabe, Erfolg oder Misserfolg einer Bearbeitung und Ähnliches. Bei Lehrkräften geht es um die Auswahl von Aufgaben, die Abgabe von Feedback usw. Bei beiden Gruppen geht es um die Nutzung von Funktionen generell, also welche Funktionen wurden genutzt bzw. nicht genutzt?

Nutzungsdaten werden in Plattformen nutzerbezogen verarbeitet, also bezogen auf eine einzelne, in vielen Fällen identifizierbare Person. Einige Nutzungsdaten sind für Nutzer direkt oder indirekt sichtbar über Funktionen wie “Bearbeitete Aufgaben” oder “Zur Verfügung gestellte Aufgaben”. Die meisten Nutzungsdaten bleiben unsichtbar, können aber von Entwicklern und Betreibern genutzt werden, von letzteren im Rahmen von Supportanfragen.

Pseudonymisierung bedeutet eine Trennung der Nutzungsdaten von der Zuordnung von identifizierbaren Nutzern, die so erfolgt, dass ohne Hinzuziehung von weiteren Daten keine Re-Identifikation der Nutzer möglich ist. Die Pseudonymisierung kann dabei auf den kompletten Datensatz eines einzelnen Nutzers bezogen sein oder aber auf die Nutzungsdaten eines bestimmten Typs, etwa die Bearbeitungsdauer einer bestimmten Aufgabe, über alle Nutzer hinweg.

Rechtsgrundlage für die Übermittlung von Daten

Der Verantwortliche – hier die Schule bzw. die Schulleitung – übermittelt (überträgt) pseudonymisierte Nutzungsdaten an die Entwickler der Plattform (TU Chemnitz), welche diese wissenschaftlich auswerten.

Eine Rechtsgrundlage für die Übermittlung wird nicht genannt.

Es wird lediglich angegeben, dass für diese Übermittlung von pseudonymisierten personenbezogenen Daten kein entgegenstehendes Interesse erkennbar wäre, da die TU Chemnitz aus den pseudonymisierten Daten keine Rückschlüsse auf einzelne Personen ziehen könne.

Rechtsgrundlage für die Pseudonymisierung

Die Pseudonymisierung der Nutzungsdaten erfolgt auf der Rechtsgrundlage des berechtigten Interesses der inhaltlichen Entwickler der Plattform (TU Chemnitz).

Das ist insofern interessant, als die Pseudonymisierung der Daten nicht auf einer Rechtsgrundlage erfolgt, durch welche der Verantwortliche diese legitimiert. Stattdessen gibt der Empfänger eine Rechtsgrundlage für die Pseudonymisierung an.

“Verarbeitung dort auf der Rechtsgrundlage von DS-GVO Art. 6 Abs. 1 lit. f”

Eine solche Angabe würde aber nur Sinn machen, wenn der Empfänger die Pseudonymisierung in eigener Verantwortung vornimmt und damit dann quasi als Verantwortlicher agiert. Da der Entwickler nicht identisch mit dem Auftragsverarbeiter (Outermedia) is, hat er keinen direkten Zugriff auf Daten in der Plattform, kann also auch keine Pseudonymisierung durchführen oder veranlassen.

Es sollte noch erwähnt werden, dass Art. 6 Abs. 1 lit. f DS-GVO als Rechtsgrundlage für eine Verarbeitung von personenbezogenen Daten für Schulen nicht möglich ist, da Art. 6 hier eine Einschränkung vornimmt.4“Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.”

Wer ist wofür verantwortlich?

Wenn der Verantwortliche pseudonymisierte Nutzungsdaten an die Entwickler der Plattform übermittelt, würde das bedeuten, dass die Pseudonymisierung in rechtlicher Zuständigkeit des Verantwortlichen erfolgt. Pseudonymisiert der Verantwortliche die Daten nicht, kann er sie nicht pseudonymisiert übermitteln. Das macht auch insofern Sinn, als nur der Verantwortliche über die Verarbeitung von personenbezogenen Daten entscheiden kann, nicht aber ein Auftragsverarbeiter.

Man findet bei anderen Plattformen immer wieder Aussagen, dass Auftragsverarbeiter anonymisierte Daten oder aggregierte anonymisierte Daten für eigene Zwecke nutzen.

In diesem Fall heißt es aber ausdrücklich, dass die Pseudonymisierung auf der Rechtsgrundlage des berechtigten Interesses der Stelle erfolgt, welche die Daten erhält. Das alles ist in sich widersprüchlich.

Was sagt das Schulgesetz zum Thema Übermittlung?

Es gibt in § 120 Abs. 7 SchulG NRW eine Passage (Satz 3), auf welche man sich hier offensichtlich beruft, wenn man sich am Wortlaut der Datenschutzerklärung orientiert.

“Die Übermittlung von Daten der Schülerinnen und Schüler und der Eltern an Personen oder Stellen außerhalb des öffentlichen Bereichs ist nur zulässig, wenn ein nachgewiesenes rechtliches Interesse an der Bekanntgabe der Daten besteht und schutzwürdige Belange der betroffenen Person nicht beeinträchtigt werden oder wenn die betroffene Person im Einzelfall eingewilligt hat.”

Eine Technische Universität ist eine öffentliche Stelle. Zu ihren Aufgaben gehören neben Lehre und Studium u.a. auch die Gewinnung wissenschaftlicher Erkenntnisse. Satz 3 legitimiert Übermittlungen von personenbezogenen Daten aber nur für Stellen außerhalb des öffentlichen Bereichs, also eben nicht für öffentliche Stellen als Empfänger einer Übermittlung.

Geht man von der TU als öffentliche Stelle aus, käme eventuell auch Satz 2 in Frage:

“Die Übermittlung an andere öffentliche Stellen ist zulässig, wenn sie zur Erfüllung einer gesetzlichen Auskunfts- oder Meldepflicht erforderlich ist, ein Gesetz sie erlaubt oder die betroffene Person im Einzelfall eingewilligt hat.”

Dem Verfasser des Beitrags ist kein Gesetz bekannt, welches in Frage käme, eine Übermittlung von pseudonymisierten Nutzungsdaten durch eine Schule in NRW an eine Technische Universität in einem anderen Bundesland zu legitimieren.

Würde man argumentieren, dass die Forschungsgruppe der Technischen Universität hier nicht als öffentliche Stelle agiert und die Übermittlung durch Satz 3 legitimiert wäre, dann würde sich die Frage stellen, welches nachgewiesene rechtliche Interesse die Technische Universität haben könnte, diese Daten zu erhalten. Ob die schutzwürdigen Belange der betroffenen Personen, also der Schülerinnen und Schüler und Lehrkräfte, tatsächlich nicht beeinträchtigt werden, hängt davon ab, wie pseudonymisiert wird und ob der Empfänger eine Möglichkeit hat, an weitere Daten zu gelangen, welche eine Re-Identifikation ermöglichen könnten oder nicht. Ob der Empfänger ein interest an einer Re-Identifikation hat oder nicht, wie in diesem Fall sicherlich anzunehmen, spielt dabei aus rechtlicher Sicht keine Rolle.

Berechtigtes Interesse Schulgesetz vs. DS-GVO

Das berechtigte Interesse im Schulgesetz § 120 Abs. 7 Satz 3 ist nicht gleichzusetzen mit dem berechtigten Interesse von Art. 6 Abs. 1 lit. f DS-GVO. Im Schulgesetz wurde die Möglichkeit geschaffen, personenbezogene Daten aus der Schule an Stellen außerhalb des öffentlichen Bereichs zu übermitteln, wenn es dafür keine Rechtsgrundlage aus dem Schulgesetz, einer Verordnung oder einem anderen Gesetz gibt, die andere Stelle aber ein berechtigtes Interesse an der Übermittlung hat. Die entsprechende Passage bezüglich des nachgewiesenen rechtlichen Interesses wurde in das Schulgesetz aufgenommen, um etwa in Fällen von Versicherungsschäden eine Meldung der Verursacher an die zuständige Versicherung zu ermöglichen, da diese ein berechtigtes Interesse hat, diese Daten zu erfahren, um die Schadensregulierung abwickeln zu können. Das berechtigte Interesse in der DS-GVO stellt eine Rechtsgrundlage dar, welche Verantwortlichen die Verarbeitung von personenbezogenen Daten erlaubt, wenn keine andere Rechtsgrundlage als Legitimierung in Frage kommt. Andere Rechtsgrundlagen könnten beispielsweise die Einwilligung, die Vertragserfüllung, die Ausübung einer Aufgabe im öffentlichen Interesse und die Wahrnehmung hoheitlicher Aufgaben sein. In der Regel nutzen Verantwortliche diese Möglichkeit, wenn sie Daten für eigene Zwecke verarbeiten wollen und dafür eine Einwilligung nutzen könnten, dies aber nicht tun, um dem Risiko der Nicht-Einwilligung aus dem Weg zu gehen.

Fazit – rechtliche Bewertung

Arbeitsgruppen an der TU Chemnitz (jetzt Universität Hamburg) und TU Dortmund entwickeln gefördert vom Land NRW insgesamt drei Plattformen zur Förderung der Lese-, Schreib- und Rechenfertigkeiten von Schülerinnen und Schülern. Sie begleiten die Plattformen auch nach dem Rollout weiterhin wissenschaftlich, arbeiten an der Verbesserung der Qualität und entwickeln die Software inhaltlich und funktional weiter. Bei Skribi etwa möchte man für eine Feedback-Funktion zukünftig KI integrieren. Damit das alles möglich ist, müssen die Arbeitsgruppen wissen, wie ihre Plattformen genutzt werden. Aufschluss über die Nutzung können sie aus den individuellen Nutzungsdaten der einzelnen Nutzer – Lehrkräften wie Schülern – erhalten. Vereinfacht gesagt können sie daraus schließen, was funktioniert, was gut angenommen wird oder nicht und wo es Probleme gibt. Bei der wissenschaftlichen Auswertung können anhand der Nutzungsdaten Hypothesen überprüft werden, etwa bezüglich der Wirksamkeit bestimmter Methoden, die in den Plattformen umgesetzt wurden.

Es ist also klar, dass beide Arbeitsgruppen ein Interesse daran haben, die Nutzungsdaten zu erhalten und auswerten zu können. Von der Anlage des Ganzen von NRW finanziell geförderten Projektes her dürften die wissenschaftliche Auswertung, Verbesserung der Qualität und Weiterentwicklung der Plattformen integraler Bestandteil sein. Das Land hat keine fertigen Plattformen “eingekauft”, sondern die Weiterentwicklung und Qualitätsverbesserung dazu.

Dass die beiden universitären Arbeitsgruppen nur die inhaltliche Entwicklung betreiben, nicht aber die technische, ist noch eine kleine Besonderheit in diesem Fall.

Das Problem dürfte nun darin bestanden haben, die Übermittlung der pseudonymisierten Nutzungsdaten rechtlich abzusichern. Auch wenn die DS-GVO vorsieht, dass der Verantwortliche, also hier die Schulen, den Vertrag zur Auftragsverarbeitung vorgibt, so ist die Praxis eine andere. Verträge zur Auftragsverarbeitung werden in der Regel von den Auftragsverarbeitern vorgegeben und von den Verantwortlichen identisch oder mit verhandelten Anpassungen angenommen. Der Verfasser dieses Vertrags zur Auftragsverarbeitung sollte der technische Dienstleister, Outermedia, gewesen sein. Die Passagen zur Übermittlung der pseudonymisierten Nutzungsdaten dürften auf Wunsch der TU Chemnitz integriert und später für die TU Dortmund für divomath übernommen worden sein. Ob das Ministerium für Schule und Bildung (MSB) die Verträge zur Auftragsverarbeitung rechtlich geprüft hat, ist nicht bekannt.

Die Wahrscheinlichkeit ist groß, dass man sich bei der datenschutzrechtlichen Ausgestaltung der Übermittlung der pseudonymisierten Nutzungsdaten an dem weiter oben zitierten Satz 3 aus § 120 Abs. 7 SchulG NRW orientiert hat, und so zu dem Schluss gekommen ist:

  • die Schule übermittelt uns pseudonymisierte Daten
  • Wir haben ein berechtigtes Interesse an der Übermittlung

Beim Blick für mögliche Rechtsgrundlagen in der DS-GVO sah man Art. 6 Abs. 1 lit. f mit dem berechtigten Interesse – gleicher Wortlaut, also passt es. Und so war eine Rechtsgrundlage in der DS-GVO gefunden, die entsprechend angeführt wurde. Einen weiteren Vorteil könnte man noch darin gesehen haben, dass Betroffene einer Verarbeitung auf der Grundlage des berechtigten Interesses schwer widersprechen können.

Handelt es sich nun tatsächlich um eine Übermittlung an die TU oder ist es doch eher eine Auftragsverarbeitung durch die TU? Eine Auftragsverarbeitung kann es nicht sein, denn dann dürfte der Auftragnehmer die Daten nicht zu eigenen Zwecken verarbeiten. Es kann aber auch keine Übermittlung sein, denn für eine Übermittlung zu Forschungszwecken fehlt der Schule eine spezifische Rechtsgrundlage. So wie man die Verarbeitung von pseudonymisierten Nutzungsdaten durch die beiden Arbeitsgruppen versucht hat zu legitimieren, funktioniert es nicht. In der Folge erfolgt diese Verarbeitung momentan streng genommen außerhalb geltenden Rechts, sprich rechtswidrig. Die Verantwortlichkeit dafür liegt nominell bei der Schule.

Gibt es im Schulgesetz alternative Rechtsgrundlagen?

Es gibt im Schulgesetz noch § 120 Abs. 4:

“Andere wissenschaftliche Untersuchungen, Tests und Befragungen sind nur zulässig, wenn dadurch die Bildungs- und Erziehungsarbeit sowie schutzwürdige Belange einzelner Personen nicht beeinträchtigt werden und die Anonymität der betroffenen Personen gewahrt bleibt. Die Entscheidung trifft die Schulleiterin oder der Schulleiter. Die Teilnahme der betroffenen Personen ist freiwillig.”

Die wissenschaftliche Auswertung der Nutzungsdaten könnte man sicherlich als “wissenschaftliche Untersuchung” fassen. Durch eine Pseudonymisierung werden für die Arbeitsgruppen der technischen Universitäten die Nutzungsdaten quasi anonymisiert. Ein Rückschluss auf identifizierbare Personen sollte damit nicht mehr möglich sein, selbst wenn es sich um komplette Datensätze einzelner Personen handelt, die man auswertet. Aber es gibt hier zwei Probleme. Zum einen muss die Schulleitung eine Möglichkeit haben, aktiv über die Teilnahme zu entscheiden und damit die wissenschaftliche Auswertung der Daten unterbinden zu können. Und wenn die Schulleitung zustimmt, dann müsste es für alle betroffenen Personen, also Schülerinnen und Schüler sowie Lehrkräfte möglich sein, der Teilnahme nicht zuzustimmen. Dies würde jedoch voraussetzen, dass es technisch möglich wäre, die Nutzungsdaten einzelner Personen von der Übermittlung auszunehmen.

Wissenschaftliche Auswertung ist in diesem Fall nur die eine Seite der Medaille. Da ist ja auch noch die inhaltliche und funktionale Weiterentwicklung der Plattformen sowie die Verbesserung der Qualität des Angebots. Das würde sich durch diesen Absatz 4 sicherlich nicht rechtlich abdecken lassen. Ob mit oder ohne Zustimmung der Schulleitung und der betroffenen Personen.

Was bedeutet das nun für die Praxis?

Schlussendlich kann es nur eine Lösung geben: Die Verarbeitung der pseudonymisierten Nutzungsdaten muss auf eine saubere Rechtsgrundlage gestellt werden. Und das dürfte die Einwilligung sein auf der Grundlage von § 120 Abs. 7 Satz 2 SchulG NRW in Verbindung mit Art. 6 Abs. 1 lit. a DS-GVO. Es müsste also für Schulen möglich sein, dass diese zunächst entscheiden, ob sie einer wissenschaftlichen Auswertung und Verwendung der Nutzungsdaten zur inhaltlichen und funktionalen Weiterentwicklung sowie Verbesserung der Qualität zustimmen oder nicht. Und danach müssten Betroffene ihrerseits auch zustimmen bzw. ablehnen können. Um dies umzusetzen, wäre in den Plattformen eine technische Anpassung nötig, welche die Umsetzung von Zustimmung oder Nichtzustimmung der Schulleitung sowie Einwilligung und Nicht-Einwilligung der Betroffenen zuließe.

Müssen Schulleitungen sich nun Gedanken machen, dass sie eine formell rechtswidrige Verarbeitung von personenbezogenen Daten ihrer Schule zulassen? Auch wenn Aufsichtsbehörden und Gerichte es sehr genau nehmen mit dem Wortlaut und gewählten Rechtsgrundlagen für Verarbeitungen von personenbezogenen Daten, so brauchen Schulen nicht zu fürchten, dass sie hier zur Rechenschaft gezogen werden. Selbst wenn nun eine betroffene Person, die sich mit Datenschutz auskennt, diese Unstimmigkeit in der Dokumentation erkennt oder diesen Beitrag liest und die Sache bei der Aufsichtsbehörde zur Beschwerde vorlegt oder gar vor einem Verwaltungsgericht Klage einreichen würde, so hätte dies keine rechtlichen Folgen für die Schule, da diese sich auf die vom Land bereitgestellte Plattform und die in diesem Zusammenhang bereitgestellte rechtliche Dokumentation verlässt und entsprechend argumentieren würde. Die Aufsichtsbehörde würde sich deshalb vermutlich ohnehin direkt an das Ministerium für Schule und Bildung wenden. Im unwahrscheinlichen Falle einer Klage vor einem Verwaltungsgericht wäre die Bezirksregierung beziehungsweise das Land die Beklagte und müsste Stellung nehmen.

Da es hier wirklich nur um eine unsaubere rechtliche Ausgestaltung der datenschutzrechtlichen Dokumente geht, können Schulen alle drei Plattformen unbesorgt weiter nutzen. Es kommt hinzu, dass man ziemlich sicher davon ausgehen kann, dass in den Arbeitsgruppen der technischen Universitäten keinerlei Interesse daran besteht, die pseudonymisierten Nutzungsdaten zu re-identifizieren oder für andere Zwecke als die genannten zu nutzen. Es wäre schön, wenn das Land von sich aus eine Nachbesserung in Auftrag geben würde, bevor irgendjemand auf Ideen kommt.

Eine Option wäre hier sicherlich eine Anpassung des Schulrechts um eine Regelung zur „Begleitforschung bei vom Land bereitgestellten digitalen Lehrmitteln“. Ein Problem hierbei ist jedoch, dass derartige Gesetzgebungsprozesse ziemlich lange dauern. Man kann in der Regel von einem Jahr Mindestlaufzeit ausgehen – vom Entwurf über die Mitbestimmung bis zur finalen Verabschiedung im Parlament. Das wäre für eine Behebung der aktuell bestehenden Mängel eine ziemlich lange Zeit.