Der Bildungsforscher Olaf Köller sagt, fast alle Datenschutz-Fragen digitaler Bildungstechnologien seien geklärt. Warum das ein Irrtum ist und die Schulen erst am Anfang einer grundlegenden Debatte stehen. Eine Replik von Stefan Schönwetter.

Stefan Schönwetter verantwortet für die Deutsche Kinder- und Jugendstiftung (DKJS) das Thema Digitale Bildung. Darüber hinaus ist er Datenschutzbeauftragter und arbeitet an der Schnittstelle Digitale Transformation und Datenschutz. Foto: DKJS/Stefanie Loos.

ES WAR EIN bemerkenswertes Interview, das der Bildungsforscher Olaf Köller dem Wiarda-Blog gegeben hat. Mit einer noch bemerkenswerteren Behauptung: "Mir soll niemand mehr mit dem Thema Datenschutz kommen", sagte Köller. "Fast alle diesbezüglichen Fragen sind geklärt [...]".

Da muss ich Olaf Köller widersprechen. Zu wenig ist geklärt – und wir stehen erst am Anfang der Debatte.

Das Bildungssystem wird sich in Zukunft verstärkt und durchgehend mit Datenschutzfragen befassen müssen. Das liegt an drei Tendenzen. Erstens werden Herausforderungen wie die wachsende Heterogenität in Klassenzimmern oder die datenbasierte Schulentwicklung zunehmend mit Hilfe technischer Lösungen bearbeitet. Zweitens ist das föderale Bildungssystem ein System unterschiedlicher datenschutzrechtlicher Voraussetzungen und Geschwindigkeiten. Drittens entwickelt sich auch die Auslegung des Datenschutzrechts stetig weiter.

Was europäische Gerichtsurteile für Schule und KI bedeuten

Drei Beispiele sollen das verdeutlichen. Bei allen dreien handelt es sich um Verfahren vor dem Gerichtshof der Europäischen Union.

Unter dem Kennzeichen C 634/21 ging es um die Auswirkungen von Auskunfteien-Algorithmen auf Menschen. Verhandelt wurde dabei auch die Frage des "human in the loop" und der automatisierten Profilbildungen. Gemeint ist damit das Sammeln, Bündeln und Verweben von Daten, die sich auf eine Person beziehen, um deren wirtschaftliche Lage, Gesundheit, Lernvermögen, persönliche Vorlieben, Interessen, Zuverlässigkeit oder Verhalten zu analysieren oder vorherzusagen. Der Zweck solcher Systeme, befand das Gericht, liege offensichtlich darin, die Anzahl menschlicher Entscheidungen zu reduzieren. Die Wahrscheinlichkeit menschlicher Intervention sei entsprechend gering (Rn. 48). Entfalteten diese automatisierten Entscheidungen rechtliche Wirkung, fielen sie unter Artikel 22 der Europäischen Datenschutz-Grundverordnung (DSGVO). Was das mit der Schule zu tun hat? Jede Notengebung in der Schule ist ein Verwaltungsakt, zahlreiche Förderungen von Schüler:innen werden erst durch Rechtsakte ermöglicht. Bei jedem Einsatz von KI ist demzufolge der Datenschutz betroffen.

Unter der Nummer C 21/23 entschied der Gerichtshof über den Fall einer Apotheke, die medizinische Produkte über Amazon verkaufte. Verhandelt wurde die Frage, ob nicht nur die Apotheke, sondern auch Amazon besonders sensible Gesundheitsdaten (Artikel 9 DSGVO) verarbeitet habe. Die Antwort lautete: ja. Das Gericht betonte, dass bereits die gedankliche Kombination oder Ableitung eines Gesundheitszustands aus Daten dafür sorge, dass alle Daten, die im selben Prozess verarbeitet werden, als besonders schützenswert gelten (Rn. 83). Für didaktische Tools wie die geplante Plattform AIS kann das heißen: Nicht nur Diagnosen wie eine Dyslexie gelten als besonders schützenswert, sondern alle im selben Prozess verarbeiteten Daten. Das könnte dazu führen, dass der gesamte Datenkorpus über Schüler:innen im AIS als besonders schützenswert gelten muss – solange nicht ausgeschlossen werden kann, dass sich aus der Vielzahl an Daten zur individuellen Förderung auch Gesundheitsdaten oder Angaben zu Religion und Weltanschauung ableiten lassen. Um AIS überhaupt nutzen zu können, müssen daher vermutlich alle Landesdatenschutzgesetze angepasst werden.

C 413/23 P schließlich beschreibt die Diskussion darüber, was eigentlich personenbezogene Daten sind und wann diese überhaupt als anonym gelten können. Die unbequeme Antwort für AIS, für Identifikationssysteme wie VIDIS oder ganz grundsätzlich für EdTechs lautet: Ein Entfernen des Personenbezugs beim Login auf Plattformen reicht nicht aus. Es gibt weitere, von der Einzelschule (!) als verantwortlicher Stelle zu gehende Prüfschritte. So ist nicht nur zu betrachten, welche technischen Maßnahmen ergriffen wurden, sondern auch, welche organisationalen Datenschutzmaßnahmen der EdTechs hinter VIDIS stehen. Dabei geht es um die Analyse aller Möglichkeiten, die EdTechs für eine Identifizierung von Personen zur Verfügung stehen (Rn. 77 und 78).

In einer vernetzten Gesellschaft mit einem klar abgesteckten Kund:innenfeld ist es sehr wahrscheinlich, dass Personen identifizierbar sind. Das heißt nicht zwangsläufig, dass EdTechs die Namen von Schüler:innen herausfinden können. Es bedeutet aber, dass genügend Daten für eine Profilbildung vorliegen könnten oder dass EdTechs womöglich in der Lage wären, außerhalb von VIDIS auf technische Informationen zuzugreifen, die Personen identifizierbar machen (siehe ergänzend C 582/14, Rn. 65). Die empirische Bildungsforschung ist von dieser Diskussion im Übrigen gleichermaßen betroffen.

Datenschutz ist kein Zustand, sondern ein Prozess

Drei Beispiele, eine Botschaft: Die Operationalisierung von Datenschutzmaßnahmen besteht nicht in der einmaligen Implementierung technischer Schutzmaßnahmen. Datenschutz ist vielmehr ein nie endender Prozess, der die Grundsätze der Datenverarbeitung (Artikel 5 bis 11 der DSGVO) als Leitplanke nutzt, um Datenverarbeitungen entlang allgemeiner technischer und gesellschaftlicher Entwicklungen stetig neu zu befragen.

Ist diese Haltung schon ausreichend im Bildungswesen etabliert? Erinnert sei an die Debatten um digitale Tele-Präsenz-Systeme, die Schüler:innen ermöglichen sollen, trotz schwerer Krankheit am Unterricht teilzunehmen. Vor der Nutzung müssen die Schulen die Einwilligung der Erziehungsberechtigten aller Kinder im Klassenzimmer einholen. Das gelingt selten datenschutzkonform und wurde von Verwaltungsgerichten mehrfach gerügt. Deren Forderung an die Länder: eine gesetzliche Grundlage für eine Nutzung ohne Einwilligung. Auch die Einführung der Fobizz-Landeslizenz im Jahr 2023 in Mecklenburg-Vorpommern geschah ohne Datenschutz-Folgenabschätzung. Und der Versuch in Thüringen, eine landesweit harmonisierte Schul-Datenschutzverordnung einzuführen, stand im Widerspruch zum eigenen Landesdatenschutzgesetz.

Verständlich ist, dass solche Hinweise wenig Begeisterung auslösen. Ein Perspektivwechsel kann jedoch helfen. Die DSGVO ist per se kein Verbotsrecht, sondern zunächst eine Verordnung, die Grundrechte von Bürger:innen absichern soll. Das macht sie so erfolgreich, dass sie inzwischen weltweit kopiert wird. Schule soll für viele Schüler:innen ein Schutzraum sein – und das Datenschutzrecht kann dazu einen Beitrag leisten.

Wir wissen, wie hochgradig ungerecht unser Bildungssystem ist. Immer noch hängt Bildungserfolg zu häufig von der sozialen Herkunft ab. Es muss offen diskutiert werden, ob eine zunehmende Technisierung und Automatisierung von Prozessen im Bildungssystem diese Ungerechtigkeit verstärkt – und ob sie durch intransparente algorithmische Logiken womöglich noch weiter verschleiert wird.

Ich sage nicht, dass es so ist oder so kommen muss. Aber wir müssen ein solches Szenario diskutieren können. Basta-Mentalitäten oder das Absprechen von Fortbildungsbedarfen helfen dabei nicht. Unser gemeinsames Ziel muss sein, neue Technologien effektiv, reflektiert und verantwortungsvoll für das Bildungssystem nutzbar zu machen. Zum Wohle aller.