Die COVID-19-Pandemie und die daraus resultierende Umstellung auf Distanzunterricht in den Schulen rückt die Frage nach der Nutzung schulischer Informationssysteme (z.B. Lernapps, Infrastrukturapps, Lernplattformen) in den Fokus. Die große Bandbreite an Angeboten und die Anforderungen, die vor allem die Datenschutz-Grundverordnung (DSGVO) an den Betrieb dieser Informationssysteme stellt, führen im Schulalltag zu mannigfaltigen Rechtsunsicherheiten. Sowohl Lehrer*innen als auch Eltern und Schüler*innen sind bei der Bewertung, ob eine von ihnen verwendete Anwendung den datenschutzrechtlichen Anforderungen Rechnung tragen, oft unzureichend informiert. Auf Seiten der Entwickler*innen bestehen ebenfalls Unsicherheiten über die rechtlichen Anforderungen, die ein von ihnen entwickeltes Produkt erfüllen muss. Insgesamt fehlt es bisher an einer eindeutigen Erkennbarkeit von Anwendungen, die die komplexen datenschutzrechtlichen Anforderungen einhalten.

Um dieses Problem zu adressieren, wird im BMBF-Verbundprojekt „Data Protection Certification for Educational Information Systems“ („DIRECTIONS“) eine nationale Datenschutzzertifizierung für schulische Informationssysteme entwickelt. Dabei sind zwei Ausbaustufen vorgesehen: Zunächst wird ein Gütesiegel entworfen, das für die Einhaltung bestimmter datenschutzrechtlicher Kriterien verliehen werden kann. Dieses Gütesiegel wird in einem zweiten Schritt zu einer vollwertigen Datenschutzzertifizierung gemäß Art. 42 DSGVO weiterentwickelt.  

Die Universität Kassel, Fachgebiet Öffentliches Recht, IT-Recht und Umweltrecht (Prof. Dr. Gerrit Hornung, LL.M.), bearbeitet das DIRECTIONS-Teilvorhaben „Rechtliche Anforderungen für Zertifizierungskriterien und Bewertungsprogramme“. Im Rahmen des Teilvorhabens ist die Universität Kassel an der näheren Bestimmung des Zertifizierungsgegenstandes sowie der Erarbeitung des Kriterienkatalogs beteiligt. Dabei werden unter anderem die Vorschriften der DSGVO, des TTDSG, des BDSG, der Landesdatenschutz- und Landesschulgesetze sowie der geplanten e-Privacy Verordnung berücksichtigt. Darauf aufbauend wird zunächst ein Gütesiegel konzipiert, erprobt und vergeben, das sodann zu einer Zertifizierung im Sinne von Art. 42 DSGVO weiterentwickelt wird. In diesem Zusammenhang beteiligt sich die Universität Kassel an der Erarbeitung eines Konformitätsbewertungsprogramms sowie eines praxistauglichen Modularisierungs- und Schutzklassenkonzepts, das den unterschiedlichen Risiken verschiedener Verarbeitungsvorgänge sowie den Bedürfnissen kleiner und mittelständischer Unternehmen (KMU) Rechnung trägt.

Die Koordination von DIRECTIONS obliegt dem Karlsruher Institut für Technologie (Prof. Dr. Ali Sunyaev). Weitere Partner sind die Universität Kassel (Prof. Dr. Gerrit Hornung, LL.M.) sowie die datenschutz cert GmbH. Zudem wird das Projekt von einem Expertenbeirat, verschiedenen assoziierten Partnern sowie einem Gremium der Datenschutz-Aufsichtsbehörden begleitet.

Für weitere Informationen siehe die DIRECTIONS-Website.

Finanzierung:
Bundesministerium für Bildung und Forschung

Laufzeit:
Dezember 2021 - November 2027

Projektverantwortlicher:
Prof. Dr. Gerrit Hornung, LL.M.

Ansprechpartner:
Jan Torben Helmke
Marcel Kohpeiß
Hendrik Link
Hans-Hermann Schild