Schulische Nutzung von KI Plattformen

Lesezeit: 9 Minuten

Im November 2022 ging OpenAI mit seinem generativen Sprachmodell ChatGPT an die Öffentlichkeit. Mehr als ein Jahr ist seither vergangen und die Entwicklung der “KI Plattformen” ist rasant fortgeschritten. ChatGPT und vergleichbare Plattformen wie Google Bard oder Claude von Anthropic haben sich weiterentwickelt, sind leistungsstärker geworden und haben neue Funktionen erhalten. Neben den großen Sprachmodellen (LLM), den textgenerierenden KI, entstanden auch bildgenerierende KI wie DALL-E von OpenAI oder Midjouney und Stable Diffusion. Aus einigen textgenerierenden KI wurden im Laufe der Monate so multimodale KI, Plattformen, die nicht nur textbasierte Inhalte erstellen können, sondern auch Bilder, Videos, Musik und Sprache, und neben Prompts im Textformat, auch Eingaben in Form von Bildern, Sprache, Ton und Video verarbeiten. Ergänzend zu API Schnittstellen haben Anbieter wie OpenAI neue Möglichkeiten geschaffen, die Funktionen ihrer Plattformen zu nutzen. Bei OpenAI ist das beispielsweise die Möglichkeit, eigene GPTs zu erstellen und anderen Nutzern zur Verfügung zu stellen. Einige dieser GPT integrieren dazu externe Dienste anderer Anbieter. Schon bevor es diese Möglichkeit gab nutzten zahlreiche Drittanbieter die API Schnittstellen der großen Anbieter, um darauf aufbauend eigene Produkte zu entwickeln. Die Palette reicht hier von Microsoft, wo ChatGPT und andere OpenAI KI Plattformen in eigene Produkte wie Microsoft  365 und Bing integriert wurden, über Apps für Mobilgeräte mit KI Funktionen bis zu Anbietern im Bildungsbereich, welche KI Funktionalitäten für Lehrkräfte und Schüler entwickelten Plattformen bereitstellen. Neben Anbietern, die auf die großen KI Plattformen der großen Anbieter setzen, kommen auch immer mehr Angebote auf den Markt, welche auf eigene KI Plattformen oder die Open Source Plattformen anderer Akteure setzen. Ergänzt werden diese Entwicklungen durch Anwendungen und spezialisierte Chips, die es ermöglichen, KI Plattformen jeglicher Art lokal auf Computern und digitalen Endgeräten wie Smartphones laufen zu lassen.

Schüler wie auch Lehrkräfte erkannten schon im November 2022 die Möglichkeiten, welche eine KI Plattform für die eigene Arbeit bringen kann, sei es für die Anfertigung von Hausaufgaben oder die Vorbereitung von Unterricht. Schnell war den am Bildungsprozess beteiligten Akteuren klar, dass Schule sich vor KI Plattformen nicht verschließen kann, sowohl mit Blick auf Medienerziehung wie auch als Werkzeug im Unterricht. Das Ministerium für Schule und Bildung (MSB) veröffentlichte nur drei Monate später im Februar 2023 seinen Handungsleitfaden Umgang mit textgenerierenden KI-Systemen. Andere Bundesländer folgten. Neben den Möglichkeiten zur unterrichtlichen Nutzung standen und stehen bei allen Handreichungen immer auch zwei rechtliche Aspekte im Fokus, Urheberrecht und Datenschutz.

ChatGPT, momentan im Zentrum aller Aufmerksamkeit und vermutlich der bislang meistgenutzte Anbieter, stand eine Zeit lang im Fokus der Aufsichtsbehörden. Italien verbot OpenAI gar die Bereitstellung seines Dienstes für Nutzer in Italien, bevor nicht einige Mängel abgestellt worden sind. Es ging u.a. um die Aufklärung italienischer Nutzer, dass ihre Daten möglicherweise zu Trainingszwecken verwendet und sachlich falsch von ChatGPT wiedergegeben werden könnten. Auch deutsche Aufsichtsbehörden wandten sich wiederholt mit Fragenkatalogen an den US Anbieter. ChatGPT ist in Italien wieder verfügbar und deutsche Aufsichtsbehörden kamen bisher nicht zu dem Schluss, zu vergleichbaren drastischen Maßnahmen greifen zu müssen. Auf Schulen hatte all das ohnehin keine Auswirkung. Auch eine Änderung der Geschäftsbedingungen von OpenAI bezüglich der Nutzung der KI Dienste via API im Januar wirkte sich nicht auf die Nutzung in Schulen aus. Der Anbieter hatte seine Nutzungsbedingungen im November 2023 um eine Passage ergänzt, die Drittanbieter verpflichten soll, von den Eltern von Schülerinnen und Schülern unter 16 Jahren vor Nutzung eine Einwilligung einzuholen. Vom Landesdatenschutzbeauftragte von Rheinland-Pfalz, Dieter Kugelmann, kam hier Entwarnung. Nach seiner Einschätzung ist eine Zustimmung von Eltern minderjähriger Schülerinnen und Schülern nicht erforderlich. 

Mit der Entwicklung der textgenerierenden KI hin zu multimodalen KI mit neuen Ein- und Ausgabeformaten haben sich auch neue datenschutzrechtliche Herausforderungen ergeben. Wie sich im Verlauf der weiteren Betrachtungen zeigen wird, hat sich an den bisherigen Empfehlungen zu einer datenschutzfreundlichen schulischen Nutzung von KI Plattformen nichts wesentlich verändert. Ergänzt werden müssen die Empfehlungen jedoch vor allem mit Blick auf neue Eingabeformate, das meint hier vor allem Prompts in Form von Bild und Ton, also Spracheingaben sowie Fotos und Videos als Eingaben.

Beschränkt auf textgenerierende KI wie ChatGPT und die Eingabe von Prompts ausschließlich in Form von digitalem Text, konnten bisher als datenschutzfreundlich folgende Nutzungsszenarien empfohlen werden:

  • Die Lehrkraft hat einen privaten Zugang, kostenlos oder kostenpflichtig, und nimmt die Prompts der Lerngruppe an, gibt sie selbst ein und teilt die Ergebnisse mit der Lerngruppe. Für Schülerinnen und Schüler bestehen keine Risiken, da sie nicht direkt mit der Plattform interagieren.
  • Die Lehrkraft verfügt über einen Drittanbieterzugang, der von der Schule/ dem Träger/ Bundesland/ Medienzentrum bereitgestellt wird, und die Schule hat einen Vertrag zur Auftragsverarbeitung (AVV) mit dem Anbieter abgeschlossen. Über den Drittanbieterzugang kann die Lehrkraft anonyme Schülerzugänge erstellen. Für Schülerinnen und Schüler entstehen bei Einhaltung zuvor festgelegter Spielregeln keine Risiken bei einer Interaktion mit der Plattform.
  • Die Schule hat einen eigenen Zugang, API Schlüssel und AVV mit dem Anbieter abgeschlossen und erstellt mit Oberstufenschülern eine eigene Plattform zur Nutzung der KI via API. Sind die Spielregeln klar, ist eine Nutzung mit älteren Schülerinnen und Schülern ab 16 Jahren möglich. Die Risiken sind begrenzt.
  • Die Schule hat lokal als App auf Computern oder Tablets laufende KI Anwendungen. Eine Nutzung ist für Schülerinnen und Schüler ohne Risiken möglich, da keine Daten an Dritte abfließen. Trotzdem sollte es zuvor abgesprochene Spielregeln geben.

Risiken für Nutzer von KI Plattformen von Anbietern wie OpenAI, Microsoft, Google, Anthropic usw. ergeben sich vor allem aus den Inhalten von Prompts, wenn diese einen Personenbezug herstellen lassen. In Kombination mit einem individuellen Nutzerkonto beim KI Anbieter nehmen die Risiken noch einmal deutlich zu.  Weitere Risiken können sich prinzipiell aus den Metadaten wie Gerätekennungen, Standortdaten, Cookies und Trackern ergeben, die es erlauben, einen Nutzer zu identifizieren. Werden Dateien wie Bild- und Tonaufnahmen  zu Bestandteilen von Prompts, können mit diesen zusätzliche Metadaten übermittelt werden. Fotos und Videos, die Personen abbilden oder Spracheingaben enthalten weitere Daten, die einen Personenbezug herstellen lassen, wenn sie an die Anbieter der KI Plattformen übermittelt werden.

Auch wenn die großen US Anbieter in ihren Datenschutzerklärungen, Geschäftsbedingungen und Verträgen zur Auftragsverarbeitung mittlerweile ausschließen, von Nutzern eingegebene Prompts und andere Daten zu Trainingszwecken zu verwenden, bleibt die Übermittlung von personenbezogenen oder -beziehbaren Daten auf die Server von US Anbietern problematisch und ist im Rahmen unterrichtlichen Nutzung von KI Plattformen zur Erfüllung des Bildungs- und Erziehungsauftrags von Schulen nicht vertretbar.

Bei einer Nutzung via API über einen Drittanbieter reduzieren sich mögliche Risiken aus der Interaktion von Nutzer mit einer KI Plattform deutlich. Das individuelle Nutzerkonto und Metadaten der Geräte, mit welchen der Zugriff erfolgt, entfallen und erlauben es den KI Anbietern nicht, darüber den Bezug zu einer identifizierbaren Person herzustellen. Risiken könnten jetzt nur noch entstehen, wenn Prompts persönliche oder auf eine Person beziehbare Informationen enthalten. Diese Informationen können Teil von eingegebenen Texten wie auch von Bild- und Tondaten sein, bei Stimmeingaben die Stimme selbst und bei Prompts in Form von Bild- und Tonmedien die mit ihnen verbundenen Metadaten. Welche Risiken sich im Einzelnen ergeben können, hängt jeweils vom KI Plattform Anbieter ab, der Ausgestaltung der API und der Art und Weise, wie bzw. in welcher Form der Drittanbieter die Daten der Prompts an den Plattformanbieter übermittelt. Werden die Daten beim Drittanbieter bereits aufbereitet, wie dieses bei Prompts in Form von Texteingaben in der Regel der Fall ist, oder werden die Inhalte der Prompts wie im Fall von Bilddateien  weitestgehend unverändert auf die Server des Plattformanbieters übertragen, wo dann die KI Anwendung mit ihnen interagiert?

Im Tätigkeitsbericht der Aufsichtsbehörde Baden Württemberg für 2023 findet sich auch ein kurzer Bericht zu einer Beratungstätigkeit, deren Gegenstand ein in der Entwicklung befindliches Moodle-Modul fAIrchat war. Dieses Modul nutzt ChatGPT von OpenAI über die vom Anbieter bereitgestellte API und zu den dazu gehörenden Terms of Use, die zusichern, dass Nutzerdaten nicht zu Weiterentwicklung oder Verbesserung von ChatGPT verwendet werden. Metadaten der einzelnen Nutzer werden durch den Zugriff auf ChatGPT über die API nicht an den Anbieter übermittelt. Eine Nutzungsordnung für fAIrchat untersagt Nutzern die Eingabe von personenbezogenen Daten. Ein individuelles Konto beim KI Anbieter gibt es nicht. Außerdem gibt fAIrchat Lehrkräften die Möglichkeit, Eingaben der Lernenden nachträglich einzusehen. Die Aufsichtsbehörde kommt zu dem Schluss  „Sofern zusätzlich die jeweilige Lehrkraft die Schüler_innen auch ausdrücklich und für sie verständlich darüber aufklärt, dass sie keine personenbezogenen Daten in das System eingeben dürfen, und die Lehrkraft die Eingaben der Schüler_innen nachträglich überprüfen kann, die nachträgliche Kontrolle durch die Lehrkraft auch tatsächlich risikoangemessen zumindest stichprobenhaft erfolgt, scheint uns unter diesen Voraussetzungen eine Verwendung dieser KI im Rahmen des Unterrichts datenschutzrechtlich vertretbar.1Eltern müssen einer schulischen Anwendung von Künstlicher Intelligenz nicht zustimmen. Das gilt auch für minderjährige Schüler. So sieht das jedenfalls der Datenschutzbeauftragte von Rheinland-Pfalz, Dieter Kugelmann. Der Datenschützer mischt sich damit in eine Diskussion um die Nutzung von ChatGPT über Dritt-Accounts durch Lehrkräfte und Schüler ein. Eine Änderung der „terms of business“ von OpenAI für Drittanbieter hatte verlangt, dass bei der Nutzung durch Minderjährige die Eltern zustimmen müssen. (Table.Media berichtete)

Das bedeutet, sind die folgende Bedingungen erfüllt:

  • Nutzung durch Schülerinnen und Schülern via API entsprechend den Terms of Use,
  • Nutzungsordnung, welche die Verwendung von personenbezogenen Daten untersagt,
  • Aufklärung der Schülerinnen und Schülern über die Nutzungsregel – keine Eingabe von personenbezogenen Daten,
  • Möglichkeit der stichprobenhaften nachträglichen Kontrolle von Eingaben durch die Lehrkraft und tatsächliche Umsetzung dieser Maßnahme durch die Lehrkräfte,

sieht man von Seiten der Aufsichtsbehörde keine datenschutzrechtlichen Probleme bei einer unterrichtlichen Nutzung. 

Das lässt sich auch auf die unterrichtliche Nutzung multimodaler KI Plattformen via API und Drittanbieter übertragen. Es müssen hierzu allerdings vergleichbare Bedingungen hergestellt werden. 

Fotos und Bilder als Bestandteile von Prompts

  • Selbst angefertigten Fotos hängen in der Regel neben GPS Daten auch Gerätedaten als Metadaten an, über die Nutzer potentiell immer identifizierbar sind, sofern es sich dabei um private Endgeräte handelt. Um die Übertragung dieser Daten zu vermeiden, sollten selbst angefertigte Fotos für Prompts immer nur mit schulischen Endgeräten aufgenommen werden. Gleiches gilt, wenn Zeichnungen angefertigt werden, die einer bildgenerierenden KI Plattform als Vorlage für eine Ausarbeitung dienen sollen. 
  • Soll ein auf einem privaten Endgerät angefertigtes Foto oder Bild für einen Prompt genutzt werden, muss es über eine entsprechende Software/ App von den Metadaten befreit werden. Ist dies nicht möglich, ist eine Verwendung für einen Prompt nicht zu empfehlen.
  • Analog zu Texteingaben dürfen Prompts in Form von Fotos oder Zeichnungen und ähnlich keine Personen aus der Schule oder dem Umfeld der Schüler erkennbar abbilden. Dabei ist es unerheblich, ob diese Fotos oder Zeichnungen speziell für einen Prompt angefertigt werden oder aus anderen Quellen stammen. 
  • Die Eingabe von Fotos mit handschriftlich bearbeiteten Aufgaben, etwa Aufsätzen oder Rechenaufgaben, sollte keine Risiken für Schülerinnen und Schüler erzeugen, solange die abfotografierten Blätter keine Daten wie Namen und Klasse enthalten, welche, eine Identifizierung ermöglichen. Die Identifizierung einer Person über ihre Handschrift setzt voraus, dass andere Handschriftproben öffentlich abrufbar online vorliegen und dort mit weiteren die Person identifizierenden Daten verknüpft ist. Bei Kindern und Jugendlichen ist das sehr unwahrscheinlich.

Videos als Bestandteile von Prompts

  • Werden Videos auf privaten Endgeräten angefertigt, bestehen durch die mit ihnen verbundenen Metadaten bei einer Nutzung für Prompts die gleichen Probleme wie bei Fotos und Bildern. Entsprechend sollten auch hier neutrale Schulgeräte für die Anfertigung genutzt werden.
  • Für die Inhalte von Videos gelten die gleichen Vorgaben wie für Fotos und Bilder. Sie dürfen keine Personen aus der Schule oder dem Umfeld der Schüler erkennbar abbilden, egal ob sie speziell für einen Prompt angefertigt wurden oder aus einer anderen Quelle stammen. Videos dürfen auch keine Inhalte zum Gegenstand haben, welche es ermöglichen, die genannten Personen zu identifizieren.

Tonaufnahmen als Bestandteile von Prompts

  • Bei Tonaufnahmen über private Endgeräte besteht unabhängig vom Inhalt der Aufnahme auch hier das Problem der Metadaten. Welche dieses sind, hängt vom Endgerät, der genutzten App und vom Betriebssystem ab. Um Risiken zu vermeiden, sollten auch sie nicht über Prompts übermittelt werden.
  • Enthalten die Tonaufnahmen Stimmen, so lassen sich darüber Personen potentiell identifizieren. Wie bei Fotos, Bildern und Videos dürfen Tonaufnahmen keine Personen aus der Schule oder dem Umfeld der Schüler erkennbar abbilden und auch keine Inhalte haben, welche es erlauben, diese Personen zu identifizieren, egal ob sie speziell für einen Prompt angefertigt wurden oder aus einer anderen Quelle stammen.
  • Direkte Spracheingaben von Prompts durch Nutzer sollten nur dann erfolgen, wenn der Drittanbieter die Umwandlung von Sprache zu Text auf eigenen Servern vornimmt. Das ist möglich, da Whisper AI, die Plattform von OpenAI, als Open Source Lösung auch selbst betrieben werden kann. Da die Anwendung sehr rechenintensiv ist, nutzen nicht alle Drittanbieter diese Möglichkeit. Es reicht nicht, wenn Drittanbieter die Sprachaufnahmen auf eigenen Servern speichern und dann zur Transkription an den KI Plattformanbieter übermitteln. Schülerinnen und Schüler, welche die Spracheingabe nutzen wollen oder müssen, sollten stattdessen die Diktierfunktion des Endgerätes nutzen. 

Die Regeln für die Eingabe von Prompts in Form von Fotos, Bildern, Videos und Ton sollten in einer Nutzungsordnung festgehalten werden und Schülerinnen und Schüler müssen darüber aufgeklärt sein. Lehrkräfte sollten die Möglichkeit haben, die Prompts ihrer Schülerinnen und Schüler stichprobenhaft zu kontrollieren und diese Möglichkeit auch nutzen. Für Drittanbieter aus Deutschland, welche die beschriebenen Voraussetzungen erfüllen, sind beispielhaft Fobizz und SchulKI zu nennen. Beide lassen sich entsprechend datenschutzfreundlich nutzen und bieten die für Schulen wichtigen Verträge zur Auftragsverarbeitung an. Bei Fobizz ist es zusätzlich möglich, in den Einstellungen zwischen verschiedenen KI Plattformanbietern zu wählen. Das heißt, wer ChatGPT nicht nutzen möchte, kann auf Alternativen wechseln, darunter auch EU Anbieter. Einige Bundesländer haben bei den Anbietern Landeslizenzen erworben.

Schulen in NRW sollte außerdem beachten, dass die Verarbeitung von Bild- und Tonaufnahmen durch die Schule nach der aktuellen Rechtslage einer Einwilligung bedarf. Sollen sie als Prompts verwendet werden (100% EU Anbieter, lokal laufende KI App), ist ein entsprechender Verarbeitungszweck in der Einwilligung anzugeben.

Nutzung durch Lehrkräfte

KI Plattformen sind nicht nur für den Unterricht von Interesse, sondern auch für die Vor- und Nachbereitung von Unterricht. Während die Erstellung von Unterrichtsmaterialien mittels KI in der Regel unproblematisch ist, da es hier zumeist nicht um personenbezogene Daten geht, können diese bei der Nachbereitung von Unterricht durchaus relevant sein.

Soll eine KI Plattform genutzt werden, um individuelles Feedback zu Schülerarbeiten zu erstellen oder um sie für eine Bewertung analysieren zu lassen, ist es erforderlich, die Schülerarbeiten als Prompt in die Anwendung zu laden. Es gelten hier für Lehrkräfte letztlich die gleichen Spielregeln, die auch für Schülerinnen und Schüler gelten. Solange die Prompts keine personenbezogenen oder -beziehbaren Daten enthalten, ob direkt als Inhalt oder in Form von Metadaten, entstehen bei einer Nutzung als Bestandteile von Prompts keine Risiken für Betroffene. Für die Eingabe von Sprachaufnahmen, etwa zur Auswertung von durch Schülerinnen und Schüler erstellte Podasts oder anderen gesprochenen Lernprodukten, gelten die bereits beschriebenen Einschränkungen. Auch die Erstellung von auf einzelne Lernende zugeschnittenen individuellen Unterrichtsmaterialien ist unproblematisch, solange dazu keine personenbezogenen Daten in Prompts eingegeben werden. Hier reicht in der Regel der Verzicht auf Namen und weitere biographische Daten, um mögliche Risiken auszuschließen.

Perspektiven schulischer KI Nutzung

Verglichen mit den ersten Monaten nachdem OpenAI mit ChatGPT die KI Welle losgetreten hatte, haben sich die Bedingungen für eine schulische Nutzung eindeutig verbessert und tendenziell werden die Bedingungen mit den ersten sich am Markt etablierenden ernstzunehmenden europäischen Anbietern mit eigenen KI Modellen und Plattformen sogar noch besser. Auch wenn die KI Plattformen von US Anbietern durch die vermittelnden Dienste von Drittanbietern mittlerweile datenschutzfreundlich nutzbar sind, ist die unterrichtliche Nutzung mit deutlichen Einschränkungen verbunden. Persönliche Inhalte müssen außen vor bleiben. Die Optimierung eines Lebenslaufes oder das Verfremden eines Portraits ist so unter keinen Umständen möglich. Schülerinnen und Schüler müssen wissen, warum das so ist, die Risiken kennen und sich an die vereinbarten Spielregeln halten. Mit europäischen Anbietern, die einen Vertrag zur Auftragsverarbeitung anbieten und bezüglich ihres Modells ausreichende Transparenz herstellen, sollten diese Grenzen in Zukunft fallen. Perspektivisch werden es auch die Plattformen dieser Anbieter sein, welche dauerhafter Bestandteil von schulischen Landesplattformen sind. Die voranschreitende Optimierung von KI Anwendungen und die gleichzeitige Entwicklung von immer leistungsfähigeren Prozessoren sowohl für stationäre wie auch mobile Endgeräte erlaubt es zunehmend, diese KI Anwendungen als Apps lokal laufen zu lassen. Auch das wird für Schulen neue Möglichkeiten bieten, da in Prompts eingegebene Daten dann die Schule nie verlassen, sondern auf den Endgeräten gespeichert werden.

LeOn – Leseraum Online – neue Plattform für Schulen in NRW

Lesezeit: 2 Minuten

Seit wenigen Wochen ist für Grundschulen und Schulen der Sekundarstufe 1 in NRW die Plattform LeON verfügbar. Die Plattform für die Klassen 1 – 6 dient der Leseförderung und ist kostenlos nutzbar. Neu für NRW ist, dass diese Plattform erstmals über VIDIS eingebunden wird. Der Zugang zu LeOn erfolgt über die Bildungsmediathek NRW. Schulen, welche bereits die Basis Plattform Logineo NRW nutzen, finden dort den Zugang zur Bildungsmediathek. Wer die Basisplattform das Landes nicht nutzt, benötigt den Zugang direkt über die Bildungsmediathek. Er kann auf der Seite auf der Seite der Bildungsmediathek NRW  unter “Login” beantragt werden.

Vertrag zur Auftragsverarbeitung

Um die Plattform für die Schule zu erhalten, muss die Schulleitung zunächst den Vertrag zur Auftragsverarbeitung (AVV) mit dem Anbieter abschließen. Dieses erfolgt in 4 Schritten unter Auftragsverarbeitung personenbezogener Daten. Dazu meldet sich die Schulleitung zunächst in VIDIS an bzw. erstellt ein Konto in der Plattform. Dort eingeloggt findet man dann die Plattform LeOn und eine Möglichkeit, die Plattform zu aktivieren. Zur erfolgreichen Aktivierung müssen die Nutzungsbedingungen und der AVV bestätigt werden. Nach dem Abgleich der Daten durch durch den Anbieter erfolgt die Freischaltung des Zugangs, der dann in der Bildungsmediathek NRW möglich ist.

Einführung zur verbindlichen Nutzung per Schulkonferenzbeschluss

LeOn sollte sich als Lehr- und Lernplattform gemäß § 120 Abs. 5 Satz 2 in Verbindung mit § 8 Abs. 2 SchulG NRW nach Vorschlag durch den Schulträger durch die Schulkonferenz zur verbindlichen Nutzung an der Schule einführen lassen.1Auch wenn die Schule die Plattform selbständig beantragt und dem Schulträger keine Kosten durch die Einführung entstehen, sollte man den Schulträger darum bitten, die Plattform zur Nutzung vorzuschlagen, denn nur dann ist die verbindliche Einführung auf der genannten Rechtsgrundlage möglich.

Informationen zur Datenverarbeitung

Auch wenn LeOn ohne Einwilligung genutzt werden kann, ist eine Information zur Datenverarbeitung erforderlich. Diese findet sich auf der Website unter Datenschutz und wurde bereits auf die Zielgruppe Nutzer/ Eltern ausgerichtet. Darüber hinaus findet sich auf der Website ein vorbereitetes Informationsschreiben für Eltern, das auch als DOCX Datei heruntergeladen und auf die eigene Schule angepasst werden kann. In diesem Schreiben sind die Nutzungsbedingungen wie auch die Datenschutzerklärung verlinkt.

Verzeichnis der Verarbeitungstätigkeiten der Schule

Der Anbieter weist bei der Beauftragungsseite zum AVV darauf hin, dass Schulen, die LeOn nutzen, die dabei stattfindenden Verarbeitungen von personenbezogenen Daten in das Verzeichnis der Verarbeitungstätigkeiten der Schule aufnehmen müssen. Die dafür erforderlichen Informationen finden sich in der Datenschutzerklärung. Die folgende Vorlage könnte man als Grundlage dafür nehmen.

Nutzung pseudonymisierter Daten durch den Anbieter der Plattform

Wie sich aus der Datenschutzerklärung heißt es:

Der Verantwortliche überträgt pseudonymisierte Nutzungsdaten an die Professur Fachdidaktik Deutsch am Zentrum für Lehrerbildung der TU Chemnitz. Dabei werden alle identifizierenden Daten (z.B. Namen) entfernt, sodass die die Professur Fachdidaktik Deutsch am Zentrum für Lehrerbildung der TU Chemnitz nicht auf einzelne Personen zurückschließen kann. Diese Nutzungsdaten zu Nutzungsdauer, Bearbeitungszeit einzelner Aufgaben und ähnliche Daten nutzt die Professur Fachdidaktik Deutsch am Zentrum für Lehrerbildung der TU Chemnitz für die quantitative und qualitative Analyse des Nutzungsverhaltens von Lehrkräften und Schülern zum Zwecke der wissenschaftlichen Auswertung der Daten.

Rechtsgrundlage für die Pseudonymisierung ist das berechtigte Interesse der Professur Fachdidaktik Deutsch am Zentrum für Lehrerbildung der TU Chemnitz nach Art. 6 (1) f) DSGVO an der Analyse der Nutzung von LeOn zum Zwecke der Forschung und Verbesserung. Da die Professur Fachdidaktik Deutsch am Zentrum für Lehrerbildung der TU Chemnitz aus den Daten keine Rückschlüsse auf einzelne Personen ziehen kann, ist ein der Übertragung pseudonymisierter personenbezogener Daten entgegenstehendes Interesse nicht erkennbar.

Dass der Anbieter Nutzungsdaten für eigene Zwecke auf der Grundlage von berechtigtem Interesse gem. Art. 6 Abs. 1 lit. f DS-GVO nutzen darf, ist aus datenschutzrechtlicher Sicht interessant, auch mit Blick auf andere Plattformen, bei denen eine Nutzung von Nutzungsdaten zu eigenen Zwecken sehr kritisch gesehen wird.2Man kann hier sicherlich nicht Äpfel mit Birnen vergleichen. Die TU gilt als vertrauenswürdige Institution und man geht davon aus, dass hier kein Missbrauch mit den Daten getrieben werden wird.

Erprobungsstufenkonferenz

Lesezeit: 2 Minuten

In Grundschulen kommt immer wieder die Frage auf, welche Informationen weiterführenden Schulen über die ehemaligen Schülerinnen und Schüler gegeben werden dürfen.

Es gilt wie überall die Grundregel, dass eine Schule die personenbezogenen Daten der Schülerinnen und Schüler nur Personen zugänglich machen darf, sofern es dafür eine Rechtsgrundlage im Schulgesetz NRW gibt oder die Betroffenen, hier die Eltern der Grundschülerinnen und Schüler, der Übermittlung zuvor zugestimmt haben.

Für die Weitergabe an weiterführende Schulen gibt es eine wichtige Rechtsgrundlage, die es Grundschulen erlaubt, Daten ihrer ehemaligen Schülerinnen und Schüler preiszugeben. Das ist § 10 Abs. 4 Ausbildungs- und Prüfungsordnung Sekundarstufe I – APO-S I (BASS 13-21 Nr. 1.1):

“Für Zusammensetzung, Stimmberechtigung und Verfahren der Erprobungsstufenkonferenzen gilt § 50 Absatz 2 Schulgesetz NRW. Den Vorsitz führt die Schulleiterin oder der Schulleiter oder eine mit Koordinierungsaufgaben beauftragte Lehrkraft. Die Lehrkräfte, die die Schülerin oder den Schüler in der Grundschule unterrichtet haben, können an den Erprobungsstufenkonferenzen teilnehmen.”

Während der zweijährigen Erprobungsstufe, Klasse 5 und 6, finden gem. § 10 Abs. 3 APO-SI jährlich drei sogenannte Erprobungsstufenkonferenzen statt. In diesen wird “über die individuelle Entwicklung der Schülerin oder des Schülers, über etwaige Schwierigkeiten, deren Ursachen und mögliche Wege zu ihrer Überwindung und über besondere Fördermöglichkeiten beraten.

Um hier optimal beraten zu können, werden zu einer der ersten Erprobungsstufenkonferenzen in der Regel auch die ehemaligen Lehrerinnen und Lehrer der Schülerinnen und Schüler an der Grundschule eingeladen, denn diese kennen die Kinder meist schon über einen längeren Zeitraum. Auf der Grundlage von § 10 Abs. 4 APO-SI könnten sich die Lehrkräfte der weiterführenden Schule deshalb mit ihren Kolleginnen und Kollegen aus der Grundschule über die einzelnen Kinder austauschen, soweit es um Noten, konkrete Probleme, bewährte Strategien, ein Kind zu unterstützen und ähnlich geht. Die Grenzen des Austauschs setzt wie immer auch hier § 120 Abs. 1 Satz 2 SchulG NRW, wonach die gespeicherten personenbezogenen Daten in der Schule nur den Personen zugänglich gemacht werden dürfen, die sie für die Erfüllung ihrer Aufgaben benötigen. Hier geht es dann konkret um die Aufgabenerfüllung der Erprobungsstufenkonferenz. Entsprechend heißt es im Wingen Kommentar zu Schulgesetz:

Die Grundschullehrkräfte dürfen personenbezogenen Angaben ihrer früheren Schülerin oder ihres ehemaligen Schülers in der Erprobungsstufenkonferenz an die anderen Mitglieder (nur) übermitteln, soweit diese Angaben zur Aufgabenerfüllung der Konferenz erforderlich sind.14. Erg.-Lfg., SchulG NRW – Kommentar, März 2008, Katernberg

Streng genommen bedeutet das auch, dass bei Anwesenheit von Lehrkräften verschiedener Grundschulen in einer Erprobungsstufenkonferenz kein Austausch über einzelne Schülerinnen und Schüler zulässig ist. Es kann dann nur über allgemeine Probleme und Maßnahmen gesprochen werden. Soll über einzelne Schülerinnen und Schüler gesprochen werden, müssen die Gespräche auf die zuständigen Personen begrenzt werden. In einem größeren Raum lässt sich dieses beispielsweise umsetzen, in dem die Grundschullehrkräfte einzelne Tische erhalten und dort dann von den Lehrkräften der weiterführenden Schule, die nun die ehemaligen Schülerinnen und Schüler unterrichten, besucht werden können.

Die Beschränkung des Austauschs über Kinder auf die zur Aufgabenerfüllung der Konferenz erforderlichen Daten bedeutet darüber hinaus, dass es über Kinder, die in der Erprobungsstufe keine Probleme haben, diesen Austausch eben nicht gibt.

Dass auch die Grundschullehrkräfte bei der Teilnahme an der Erprobungsstufe Informationen über ihre ehemaligen Schülerinnen und Schüler erhalten, liegt in der Natur der Sache.

Stand 08/2023

Empfehlungen für die Konfiguration von iPads für Schüler:innen

Lesezeit: < 1 Minute

In Schulen kommen iPads als Schüler Endgeräte in verschiedenen Settings zum Einsatz. Es geht um unpersonalisierte Geräte, wie sie in iPad Koffern und anderen Aufbewahrungsbehältnissen, in verschiedenen Klassen zum Einsatz kommen, um shared iPads, die ihre festen Nutzer haben, um Geräte in 1:1 Ausstattungen und um Leihgeräte.

Die folgenden Empfehlungen sollen die Belange der verschiedenen Beteiligten berücksichtigen, eine Administration mit verhältnismäßigem Aufwand, Sicherheit für das Gerät wie auch die schulische Infrastruktur, Schutz der Daten der Nutzer wie auch die unterrichtliche Nutzbarkeit gemäß den pädagogischen Zielsetzungen der Schule. Der Fokus liegt immer erst auf letzterem und wird dann abgewogen mit den anderen Belangen. Die Empfehlungen sind ein Gemeinschaftswerk, an dem sich verschiedene Lehrkräfte unterschiedlicher Schulen und Schulformen beteiligt haben.

Microsoft 365 – Stand Februar 2023

Lesezeit: 5 Minuten
Hinweis: Bitte beachten Sie auch die geänderten FAQ zu MS365 des MSB NRW. Weitere Infos dazu unter Änderungen in den FAQ Datenschutz beim MSB NRW

Die Nutzung von Microsoft 365 ist schon seit Jahren eine Hängepartie für Schulen. Permanent scheint das Ende nahe. Die Position der LDI NRW zur schulischen Nutzung von Microsoft 365 ist durch verschiedene Veröffentlichungen und Äußerungen bekannt. Die letzte Aussage in schriftlicher Form stammt von Oktober 2022 aus der Schrift  Digitaler Unterricht in Schulen – Der Grundstein ist gelegt.

Im November veröffentlichte dann die Datenschutzkonferenz (DSK) ihre Bewertung, die anders als 2020 einstimmig von allen Aufsichtsbehörden so beschlossen wurde. Ergebnis der Bewertung war, dass Schulen Microsoft 365 nicht datenschutzkonform nutzen können, da die Schulleitungen als Verantwortliche nach Einschätzung der DSK aufgrund fehlender Informationen durch Microsoft nicht in der Lage sind, ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nachzukommen. Man sieht darüber hinaus auch Mängel bezüglich des Vertrags zur Auftragsverarbeitung, den Schulen mit Microsoft abschließen.1Siehe dazu auch Warum die Datenschutzkonferenz MS365 in Schulen nicht für nutzbar hält

Was bedeutet diese Entwicklung nun für die Schulen in NRW?

Im Beitrag Warum die Datenschutzkonferenz MS365 in Schulen nicht für nutzbar hält im News Bereich dieser Website wird beschrieben, welche Möglichkeiten der Aufsichtsbehörde NRW zur Verfügung stehen, wenn sie Schulen gegenüber Konsequenzen aus der Bewertung der DSK folgen lassen will. Doch müssen Schulen jetzt damit rechnen, dass die Aufsichtsbehörde nachforscht, ob man Microsoft 365 nutzt und dass in Folge eine Nutzung möglicherweise untersagt wird, falls man nicht von sich aus auf eine andere Lösung wechselt?

Aktuell deutet nichts darauf hin, dass die Aufsichtsbehörde des Landes NRW von ihrer bisherigen Linie abweichen wird. Sie hat im letzten Jahresbericht wie auch in der oben erwähnten Schrift – ohne Namen zu nennen – öffentlich kundgetan, dass sie eine datenschutzkonforme Nutzung von Microsoft 365 und vergleichbaren Plattformen nicht für möglich hält, jedoch nicht den Weg der Verbote gehen, sondern mit Überzeugung arbeiten möchte. So weit wie etwa der LfDI Thüringen, der dieses auch medienwirksam in die breite Öffentlichkeit trägt und dort ankündigt, wie man nun weiter verfahren möchte, ist die LDI NRW bisher nicht gegangen. Äußerungen aus ihrem Haus lassen dergleichen auch nicht erwarten.

Die LDI NRW hat aktuell demnach nicht vor, Microsoft 365 aus allen Schulen des Bundeslandes zu verbannen. Sie wird jedoch auf jeden Fall Beschwerden von Betroffenen nachgehen und an diesen Schulen Verfahren in Gang setzen. Dazu verpflichtet sie die DS-GVO. Welche Aspekte dann letztlich im Fokus des aufsichtsbehördlichen Verfahrens stehen, kann von Fall zu Fall unterschiedlich sein. Es ist aber damit zu rechnen, dass die Aufsichtsbehörde betroffene Schule auch bezüglich der Erfüllung ihrer Rechenschaftspflichten gem. Art. 5 Abs. 2 DS-GVO um Auskunft bitten wird. Die Schule muss dann je nach Fall nachweisen, wie sie die Vorgaben der DS-GVO wie auch des Schulgesetzes durch geeignete technische und organisatorische Maßnahmen einhält und auch ihren Rechenschaftspflichten nachkommt. Ist die Schule dann nicht in der Lage, eine DS-GVO konforme Nutzung der Plattform nachzuweisen, bzw. ihren Rechenschaftspflichten nachzukommen, hätte die Schule nur zwei Optionen. Sie ließe sich überzeugen, die Nutzung von Microsoft 365 aufzugeben, oder riskierte eine Untersagung.

Wie sollten Schulen sich verhalten?

Was tun, wird man sich an vielen Schulen und auch bei vielen Schulträgern nun fragen? Macht es für Schulträger Sinn, bestehende Lizenzen zu verlängern? Ist es für Schulen sinnvoll, die Nutzung von Microsoft 365 fortzusetzen und gegebenenfalls sogar noch auszuweiten?

Die schulische Nutzung von Microsoft 365 ist aus Sicht der DSK problematisch und die LDI NRW teilt diese Haltung. Allerdings ist die Bewertung der DSK nicht unumstritten2Siehe z.B. Microsoft 365: Microsoft bewegt sich, die Datenschützer mauern unverhältnismäßig auf Heise. und Microsoft arbeitet weiter daran, den Anforderungen der Aufsichtsbehörden bezüglich der Transparenz und Gestaltung der datenschutzrechtlichen Verträge zu entsprechen. Ergänzend dazu stellt Microsoft zum Jahresende die EU Data-Boundary bereit, welche es Verantwortlichen ermöglicht, nahezu alle Daten in der EU zu verarbeiten.3Ob Schulen oder ihre Schulträger hier tätig werden müssen, um die Datenverarbeitung in ihren Tenants auf die EU Data-Boundary umzustellen, ist bei Microsoft angefragt Microsoft hat auf die neuen Standardvertragsklauseln (Standard Contractual Clauses, SCC) umgestellt und das Data Processing Addendum4siehe hierzu den Beitrag Neues Data Processing Addendum von Microsoft von September 2022 ist automatisch für alle Kunden gültig.5Im DPA heißt es hierzu: “Microsoft geht die in diesem DPA beschriebenen Verpflichtungen gegenüber allen Kunden mit Volumenlizenzverträgen ein. Diese Verpflichtungen sind für Microsoft in Bezug auf den Kunden bindend, unabhängig (1) von den Produktbestimmungen, die ansonsten für ein bestimmtes Produktabonnement oder eine Lizenz gelten, und (2) von anderen Verträgen, die auf die Produktbestimmungen verweisen.” Quelle unter https://wwlpdocumentsearch.blob.core.windows.net/prodv2/MicrosoftProductandServicesDPA(WW)(German)(Sept2022)(CR).docx Entlastung werden darüber hinaus, wenn auch vielleicht nur vorübergehend, die Executive Order des US Präsidenten und der geplante Angemessenheitsbeschluss durch die EU Kommission bringen. Man kann aktuell davon ausgehen, dass die LDI NRW sich nicht ohne einen konkreten Anlass bezüglich einer schulischen Nutzung von Microsoft 365 melden wird.

Solange man nicht davon ausgeht, dass die Aufsichtsbehörden nicht anders können, als bei Microsoft 365 jeden Missstand und sei er auch noch so gering, zu suchen, zu bemängeln und daraus eine Nichtnutzbarkeit für Schulen abzuleiten, sollte sich die Lage tendenziell weiter entspannen. Microsoft bessert beständig nach. Die Zeit arbeitet letztlich für Schulen, welche die Plattform nutzen.

Schulen, die weiterhin auf Microsoft 365 setzen wollen, werden die Dinge in den meisten Fällen einfach auf sich zukommen lassen und abwarten wie die Lage sich entwickelt. Sie sollten allerdings nicht bloß darauf vertrauen, dass die Lage sich früher oder später zu ihren Gunsten entwickelt dürfte, sondern sich proaktiv kritisch mit ihrer Nutzung der Plattform auseinandersetzen. Dazu gehört eine Erfassung aller Verarbeitungen, welche die Schule in der Plattform durchführt. Wer nutzt die Plattform zu welchen Zwecken und verwendet dabei welche Daten?6Dieses würde man zweckmäßig in einem Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DS-GVO festhalten, sofern noch nicht geschehen. Zu prüfen wäre hier auch, ob die Plattform eventuell für die Verarbeitung von personenbezogenen Daten genutzt wird, die dort aus Sicherheitsgründen nicht verarbeitet werden sollten. Das wären beispielsweise Zeugnisse, Gutachten, Beurteilungen, Notenlisten, Protokolle von Klassenkonferenzen, Unterlagen zu AO-SF Verfahren und ähnlich. Kontrolliert werden sollte auch, ob die Schule alle technischen und organisatorischen Maßnahmen getroffen hat, mit denen sich mögliche hohe Risiken für Betroffene bei der unterrichtlichen Nutzung von Microsoft 365 ausreichend mindern lassen, um eine Nutzung vertreten zu können.

Als Hilfe für die Überprüfung und anschließende Anpassung bietet sich eine Datenschutz Folgenabschätzung an. eine Vorlage dafür haben im Februar 2023 zwei Fachjuristen unter Creative Commons Lizenz veröffentlicht.7Weitere Informationen dazu unter Kostenlose Vorlage für eine Datenschutz Folgenabschätzung für Microsoft 365 für Schulen Welche Maßnahmen dafür in Frage kommen, wurde bereits von verschiedenen Stellen online dokumentiert. Auch die oben genannte Vorlage führt einige Maßnahmen auf. Einige der für die dort beschriebenen Maßnahmen erforderlichen administrativen Konfigurationen stehen nicht in allen Versionen von MS365 zur Verfügung. Vor allem in der kostenlosen A1 Version sind die Steuerungsoptionen von Datenflüssen und Sicherheitsmaßnahmen wie auch Sicherheitsfunktionen nur eingeschränkt oder gar nicht verfügbar.

Zu möglichen technischen Maßnahmen gehören beispielsweise:

  • Telemetrieerfassung in installierten Anwendungen auf die niedrigste Stufe “Weder noch” setzen,
  • Zugriff auf Anwendungen von Drittanbietern im App Store in Teams deaktivieren,
  • zusätzliche optionale Connected Experiences in Micorosft 365 deaktivieren,
  • die meisten Funktionen in Teams Analytics & Reports deaktivieren und Pseudonymisierungsoption einschalten,
  • Viva Advanced Insights nicht aktivieren,
  • in Teams für alle Meetings und Chats Ende-zu-Ende Verschlüsselung aktivieren, sobald von Microsoft zur Verfügung gestellt,
  • Nutzung von Bring-your-own key, idealerweise mit einem eigenen Key-Server,

Zu möglichen organisatorische Maßnahmen gehören beispielsweise:

  • Nutzung von pseudonymisierten Zugangsdaten, etwa mit Buchstaben von Vor- und Nachnamen,
  • Anweisung für Lehrkräfte, keine Datei- und Ordnernamen mit Namen von Personen erstellen,
  • keine Nutzung für die Verarbeitung von personenbezogenen Daten aus der schulinternen Verwaltung (keine Notenlisten, Gutachten, …) oder für pädagogische Dokumentation,
  • Vollständige Erfüllung der Informationspflichten gem. Art. 13 DS-GVO,
  • Transparenz und Information, wie man als Schule mögliche Risiken für Betroffene bei der Nutzung minimiert,
  • regelmäßige Schulung und Sensibilisierung aller Nutzer für eine sichere und verantwortungsvolle Arbeit mit der Plattform,

Auch wenn Schulen aktuell nicht damit rechnen müssen, anlasslos von der Aufsichtsbehörde kontaktiert zu werden, so besteht jedoch immer das Risiko, dass die Aufsichtsbehörde durch eine Beschwerde zum Handeln gezwungen wird. Das heißt, Schulen sollten tunlichst alles Handeln im Zusammenhang mit der Nutzung von Microsoft 365 vermeiden, das Betroffene zu einer Beschwerde veranlassen könnte. Stattdessen sollten sie Bedenken ernst nehmen und den Betoffenen entgegenkommen, um gemeinsam eine verträgliche Lösung zu finden.

LDI NRW Schrift zu Unterricht und Datenschutz – Oktober 2022

Lesezeit: 10 Minuten

Die Schrift Digitaler Unterricht in Schulen – Der Grundstein ist gelegt der LDI NRW ist ein wichtiges Dokument für Schulen, da es nicht nur den aktuellen Rechtsrahmen für die Verarbeitung von personenbezogenen Daten von Schülern und Lehrkräften im Unterricht und die rechtlichen Zuständigkeiten der verschiedenen beteiligten Stellen beschreibt, sondern auch, weil es eine Kommentierung einschließt. Angesprochen wird auch die Nutzung von Online-Plattformen wie Microsoft 365.

Datenverarbeitung durch den Schulträger

Im ersten Teil der Schrift werden die verschiedenen Zuständigkeiten der mit dem System Schule und der dort stattfindenden Datenverarbeitung befassten Stellen beschrieben, beginnend mit der Schulleitung und den schulischen Datenschutzbeauftragten, fortgeführt mit der Zuständigkeit des Schulträgers und des Schulministeriums und abschließend mit der eigenen Rolle, die der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW (LDI NRW) hierzu kommt. Von besonderem Interesse ist in diesem Abschnitt die Stelle, in welcher es um den Schulträger geht. Dieser ist, im Gegensatz zur Schulleitung, die für innere Angelegenheiten zuständig ist, und damit Verantwortlicher für die Verarbeitung von personenbezogenen Daten in der Schule selbst, für die äußeren Angelegenheiten zuständig. Bezüglich des Schulträgers und seiner Zuständigkeit für die Verarbeitung von personenbezogenen Daten im Zusammenhang mit Schule, stellt die Aufsichtsbehörde fest:

“Soweit die Schulträger im Zusammenhang mit diesen äußeren Schulangelegenheiten personenbezogene Daten verarbeiten, sind sie als datenschutzrechtlich Verantwortliche anzusehen.

… diesen äußeren Schulangelegtenheiten” bezieht sich hier auf § 79 Abs. 1 SchulG NRW.

„Die Schulträger sind verpflichtet, die für einen ordnungsgemäßen Unterricht erforderlichen Schulanlagen, Gebäude, Einrichtungen und Lehrmittel bereitzustellen und zu unterhalten sowie das für die Schulverwaltung notwendige Personal und eine am allgemeinen Stand der Technik und Informationstechnologie orientierte Sachausstattung zur Verfügung zu stellen.“ 

Das heißt, der Schulträger darf personenbezogene Daten im Zusammenhang mit diesen äußeren Angelegenheiten verarbeiten und gilt dann als Verantwortlicher. In den meisten Fällen tritt der Schulträger eher als Auftragsverarbeiter auf, etwa wenn er administrative Aufgaben für die Schule in einer schulischen Plattform übernimmt oder bei Support- und Wartungsaufgaben durch kommunale Mitarbeiter, bei denen diese mit Plattformen oder Hardware zu tun haben, mit welchen personenbezogene Daten der Schule verarbeitet werden oder auch durch die Bereitstellung einer Person, die in kommunalen Diensten steht, für das Schulsekretariat.

Ein Fall, in welchem der Schulträger selbst Verantwortlicher sein kann, wäre beispielsweise der Verleih von Dienstgeräten an Lehrkräfte im Rahmen der Ausstattungsinitiative des Bundes und des Landes. In der Richtlinie über die Förderung von dienstlichen Endgeräten für Lehrkräfte an Schulen in Nordrhein-Westfalen wird beispielsweise geschrieben, dass der Schulträger die Geräte entsprechend verwalten muss.

Die Einwilligung im Zusammenhang mit Unterricht

Im zweiten großen Abschnitt geht es um die rechtlichen Rahmenbedingungen der Datenverarbeitung durch die Schule als verantwortlicher Stelle. Hier sind neben den Rechtsgrundlagen aus der DS-GVO und dem DSG NRW vor allem die spezialgesetzlichen Regelungen des Schulgesetzes NRW und die anhängigen Verordnungen zur Datenverarbeitung relevant. Die Schrift geht an dieser Stelle auch auf die Problematik der Einwilligung im Zusammenhang mit dem Unterricht ein und kommt zu dem Schluss:

Für Schulen kann die Einwilligung im Zusammenhang mit dem Unterrichtsgeschehen regelmäßig keine Rechtsgrundlage für die Datenverarbeitung bieten. Wesentlich für eine wirksame Einwilligung ist, dass sie freiwillig erteilt wird. Diese Freiwilligkeit ist in aller Regel bei Datenverarbeitungen, die
den digitalen Unterricht ermöglichen sollen, nicht gegeben, weil die Schüler*innen
am Unterricht teilnehmen müssen und keine freie Wahl haben.” 

Diese drei Sätze sagen mehr, als auf den ersten Blick offensichtlich. Es wird damit nicht gesagt, dass die Verarbeitung von personenbezogenen Daten im Zusammenhang mit dem Unterrichtsgeschehen nicht auch auf der Rechtsgrundlage eine Einwilligung erfolgen kann. Die Einwilligung ist jedoch je nach Zusammenhang problematisch, da sie nur dann rechtswirksam ist, wenn sie freiwillig erteilt wird und das ist sehr häufig (“in aller Regel”) nicht der Fall, da Schüler verpflichtet sind, am Unterricht teilzunehmen. Wenn im Unterricht beispielsweise eine Plattform genutzt werden soll, über welche Schülerinnen und Schüler zusammenarbeiten, ihre Aufgaben erhalten und Lernprodukte erstellen und abgeben, und zur Nutzung dieser Plattform eine Einwilligung erforderlich ist, dann kann davon ausgegangen werden, dass eine Freiwilligkeit hier nicht mehr gegeben ist. Eine Freiwilligkeit würde gleichwertige Alternativen voraussetzen. Diese im Fall einer solchen Plattform zu schaffen, ist so gut wie unmöglich. Das gleiche wäre der Fall, wenn die Klasse an einem Online-Tool , dessen Nutzung eine Einwilligung voraussetzt, gemeinsam ein Wissensnetzwerk erstellen soll. Alle Schüler sollen einen Beitrag erstellen und mit anderen Beiträgen vernetzen. Die Lehrkraft will anschließend die Beiträge bewerten. Von Freiwilligkeit kann hier zumindest im Sinne von Datenschutzrecht nicht mehr ausgegangen werden. Entsprechend heißt es in der Schrift etwas weiter im Text:

Werden Daten von Schüler*innen im Zusammenhang mit digitalem Unterricht erhoben, ist es den Schüler*innen oder deren Eltern in aller Regel nicht möglich, sich frei und ohne Nachteile für die Schüler*innen gegen die Verarbeitung ihrer Daten zu entscheiden, weil sie ansonsten von der Nutzung der konkreten Anwendung und damit zumindest teilweise vom Unterricht ausgeschlossen wären.” Auch hier wird noch einmal ausgedrückt, dass eine freie Entscheidung in sehr vielen Fällen (“in aller Regel”) nicht möglich sein wird.

Anders gestaltet sich das jedoch, wenn die Nutzung einer Plattform oder die Aufnahme und Verwendung von Medien eine Option ist, um im Unterricht an einem Projekt zu arbeiten. Dann haben Schülerinnen und Schüler die Möglichkeit zu wählen und sind nicht gezwungen, eine Plattform zu nutzen oder beispielsweise Tonaufnahmen von sich selbst anzufertigen. Das bedeutet letztlich, man muss im Zusammenhang mit Unterricht sehr genau überlegen, ob eine Einwilligung möglich ist. Die Landesplattform Logineo NRW LMS setzt mit Stand von Oktober 2022 eine Einwilligung zwingend voraus. Das bedeutet, es ist schwierig, Unterricht auf dieser Plattform abzubilden und Schulen stoßen dann an ihre Grenzen, wenn einzelne Mitglieder in der Lerngruppe hier Ihre Einwilligung verweigern oder widerrufen.

Was für die Einwilligung für Schülerinnen und Schüler gilt, das gilt selbstredend auch für Lehrkräfte in gleicher Weise. Abschließend fasst die Schrift zum Thema Einwilligung kurz zusammen, unter welchen Voraussetzungen die Einwilligung als Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten in der Schule genutzt werden kann.

Eine Einwilligung kann nur dann eine Rechtsgrundlage für die Datenverarbeitung sein, wenn sich die Betroffenen frei von sozialem Druck oder Zwang für oder gegen die Verarbeitung ihrer personenbezogenen Daten entscheiden können.” Bei der Verarbeitung von personenbezogenen Daten etwa zur Öffentlichkeitsarbeit oder in anderen Zusammenhängen außerhalb des Unterrichts kann die Einwilligung durchaus ein Rechtsgrundlage bieten.

Datenverarbeitung zur Aufgabenerfüllung

Der Teil der Schrift, welcher sich mit den Rechtsgrundlagen zur Datenverarbeitung durch die Schule auseinandersetzt, welche sich aus der DS-GVO und dem nationalen Recht ergeben, endet mit einem Hinweis darauf, dass ich die Datenverarbeitung für den Einsatz digitaler Unterrichtsanwendungen an der Erfordernis zur Aufgabenerfüllung der Schule orientieren muss.

Schulen müssen immer betrachten, welche Aufgabe sie zu erfüllen haben und welche Datenverarbeitungen dafür erforderlich sind. Schwierigkeiten bereiten in der Regel Anwendungen, die neben den für schulische Zwecke erforderlichen Datenverarbeitungen von den Anbietern voreingestellte Datenverarbeitungen vorsehen, die nicht den schulischen Zwecken dienen. Lassen sich diese Voreinstellungen nicht durch die Schule abstellen, sind diese Anwendungen für den digitalen Unterricht nicht geeignet.

Nicht zur Aufgabenerfüllung erforderliche Datenverarbeitungen in einer unterrichtlich genutzten Plattform sind vielfach problematisch und können, wenn sie sich nicht innerhalb der Plattform deaktivieren lassen, dazu führen, dass eine solche Plattform im Unterricht nicht genutzt werden kann. Zu den nicht für schulische Zwecke erforderlichen Datenverarbeitungen könnten beispielsweise Telemetriedaten zählen, welche personenbezogene oder -beziehbare Daten beinhalten. In einer Plattform wie der Offline Version von Microsoft Office lassen sich diese beispielsweise durch einen Administrator komplett deaktivieren, wie auch weitere Datenflüsse zu Servern von Microsoft. In der Open Source Videokonferenz Plattform BigBlueButton gibt es mittlerweile eine Funktion zur Überwachung der Aktivität von Teilnehmern an einer Videokonferenz. Die Nutzung davon ist nicht für die Aufgabenerfüllung der Schule erforderlich. Sie kann deaktiviert werden, wodurch die Plattform weiterhin für die Anwendung im Unterricht geeignet ist.

Auftragsverarbeitung und Drittstaatentransfer

Diese beiden Anforderungen werden recht kurz und knapp unter den weiteren Anforderungen behandelt, welche von Schulen bei der Verarbeitung von personenbezogenen Daten beachtet werden müssen. Bei Auftragsverarbeitern muss die Schule sicherstellen, dass personenbezogenen Daten nur auf ihre Weisung und zu ihren Zwecken verarbeitet werden und die Vertraulichkeit im Zusammenhang mit der Verarbeitung sichergestellt ist. Dieses ist bisher gerade im Zusammenhang mit der Nutzung von Microsoft 365 nach Einschätzung der Aufsichtsbehörden ein Problem gewesen, da Microsoft sich in den Vertragsbedingungen das Recht einräumte, personenbezogene oder -beziehbare Daten auch zu eigenen Zwecken (interne Abrechnungszwecke) zu verarbeiten. Das Thema Drittstaatentransfer wird nur kurz umrissen und es wird auf weitere Schriften der Aufsichtsbehörde verwiesen. Nach Einschätzung der Aufsichtsbehörde liegt ein Drittstaatentransfer nicht nur dann vor, wenn der Auftragsverarbeiter oder Produkthersteller personenbezogene Daten in Drittländer übermittelt, etwa zu Wartungs- oder Support-Zwecken, sondern auch “wenn der Dienstleister oder dessen Auftragnehmer aus dem Drittland heraus auf in der EU gehaltene Daten zugreift.” Bei großen US-amerikanischen Anbietern ist dieses über viele Jahre gängige Praxis gewesen. Einige Anbieter sind mittlerweile dabei, dieses zu ändern.1In der Fachwelt gab es in diesem Zusammenhang unterschiedliche Ansichten, wie die Möglichkeit einzuschätzen ist, dass ein US-Anbieter auf die Daten in der EU zugreifen könnte. Liegt dadurch bereits ein Drittstaatentransfer vor oder nicht?

Datenschutzbeauftragte und Personalvertretung

Einen kurzen Hinweis gibt es bezüglich der Verarbeitung der personenbezogenen Daten von Lehrkräften, wenn dabei Rückschlüsse auf das Verhalten und die Leistung der Lehrkräfte möglich ist. In einem solchen Fall sind die behördlichen Datenschutzbeauftragten wie auch die Personalvertretung mit einzubeziehen, um den Rechten der Lehrkräfte Rechnung zu tragen.

Lehrer- und Schülergeräte

Hier greift die Schrift die Regelungen zu Dienstgeräten und Ausnahmen für die Nutzung von privaten Endgeräten für die Verarbeitung von personenbezogenen Daten aus der Schule auf, welche auf die Anregungen der Aufsichtsbehörde selbst zurückgehen und diese weitestgehend umsetzen. Bezüglich der Nutzung von digitalen Endgeräten durch Schülerinnen und Schüler für Unterrichtszwecke kommt man bei der Aufsichtsbehörde zum Schluss, dass verpflichtende Regelungen zur Nutzung digitaler Endgeräte nur möglich sind, wenn Schülerinnen und Schüler mit diesen ausgestattet werden und keine privaten Geräte zum Einsatz kommen.

Ein Punkt, der etwas ausführlicher behandelt wird, ist die Möglichkeit zur Überwachung der Bildschirme von Schüler Geräten. Nach Einschätzung der Aufsichtsbehörde ist solches durchaus zulässig, auch die Aufnahme des Bildschirm Inhaltes in Form eines Screenrecording, wenn dieses “zur Wahrnehmung ihres Bildungs- und Erziehungsauftrags erforderlich ist,” und “beispielsweise zum Nachweis einer unzulässigen Nutzung des Geräts im Unterricht” dient. Betroffene müssen über das Bestehen dieser Möglichkeiten vorab informiert werden. [Etwas problematisch an dieser Stelle ist, dass diese Funktionen Mobile Device Management Systemen (MDM) zugeschrieben werden, was sachlich so nicht korrekt ist, da diese Systeme zur Verwaltung von Endgeräten derartige Funktionen nicht beinhalten. Bei iOS lassen sich derartige Funktionen nur über Apple Classroom nutzen. Intune das MDM von Microsoft benötigt für eine solche Funktion die Integration eines zusätzlichen Dienstes wie TeamViewer.]2Ich gehe davon aus, dass die Aufsichtsbehörde hier die Wortwahl noch anpassen wird.

Digitale Systeme für den Unterricht

Dieser dritte große Teil der Schrift ist besonders interessant, weil hier auch Neuerungen im Datenschutzrecht beschrieben werden. Zunächst einmal wird darauf hingewiesen, dass Betroffenen immer klar sein muss, ob die Nutzung einer Plattform für sie verpflichtend oder freiwillig ist. Wie zuvor an verschiedenen Stellen beschrieben dürfen Schulen zur Verarbeitung von personenbezogenen Daten nur Produkte einsetzen, die sich datenschutzkonform, auch in Bezug auf die Sicherheit der Verarbeitung, nutzen lassen. Hier ist die Schule nun in der Pflicht, dieses zu prüfen. Schulen, die diesen recht hohen Aufwand nicht erbringen können, werden auf die Angebote des Landes verwiesen.

Rechtliche Änderungen gibt es bei der Nutzung von Videokonferenz Plattformen. Seit Inkrafttreten des Telekommunikationsgesetzes (TKG) und Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) Ende 2021 gelten “gegen Entgelt erbrachte Videokonferenzsysteme grundsätzlich als Tele- kommunikationsdienste.” Dadurch verändern sich rechtliche Verantwortlichkeiten. War die Schule bisher auch für die Verarbeitung von Metadaten wie der IP Adressen, Browserdaten, die übertragenen Datenmengen und Betriebssysteminformationen von Teilnehmern verantwortliche Stelle, so geht hier jetzt die Verantwortung auf den Anbieter der Videokonferenz Plattform über. Geschäftsmäßig erbrachte Videokonferenz Dienste unterliegen hier dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Inhalte von Videokonferenzen, Daten für Nutzerkonten oder die Einladung von Teilnehmern via E-Mail, in einer Videokonferenz mitlaufende Chats und gemeinsam bearbeitete Online Whiteboards, die Speicherung von Chats oder sonstige Verarbeitung, datenschutzfreundliche Voreinstellungen und ähnlich unterliegen wie bisher der Verantwortung der Schule. Zuständig ist hier in Bezug auf die Datenschutzkontrolle auch weiterhin die LDI NRW.

Im Folgenden beschreibt die Schrift dann den rechtlichen Rahmen für die Nutzung von Videokonferenz Plattformen, wie er sich auf dem SchulG NRW ergibt. Dabei geht es auch um die Unzulässigkeit der Teilnahme von Dritten, etwa Familienangehörigen, am Unterrichtsgeschehen per Videokonferenz, und der Aufzeichnung von Unterricht auf diesem Wege ohne eine vorliegende Einwilligung der Betroffenen. Kurz beschrieben werden auch die Bedingungen für die Verpflichtung von Schülern, die Kamera während einer Videokonferenz einzuschalten, das Streamen von Unterricht und der Einsatz sogenannter Telepräsenzroboter. Letzteren widmet die Schrift fast zwei ganze Seiten, um den Einsatz dieser Systeme rechtlich einzuordnen und Schulen Handlungsempfehlungen zu geben. Bevor es dann um datenschutzfreundliche Voreinstellungen für Videokonferenz Plattformen geht, werden noch Elternsprechtage per Videokonferenz in einem Exkurs behandelt. Da es aus dem Schulgesetz NRW keine Rechtsgrundlage für die Verarbeitung der dafür erforderlichen personenbezogenen Daten gibt, braucht es hier von Seiten der Eltern eine Einwilligung. Bei dieser sieht die Aufsichtsbehörde keine Bedenken, da sie nicht im Zusammenhang mit dem Unterrichtsgeschehen steht und Eltern immer auch die Alternative haben, zu telefonieren und oder persönlich in die Schule zu kommen.

Der letzte Abschnitt des dritten Teils der Schrift behandelt Messenger. Auch diese fallen wie gegen Entgelt erbrachte Videokonferenz Dienste unter Telekommunikationsdienste und entsprechend fallen hier die Metadaten unter die Verantwortlichkeit der Anbieter und die Inhalte sowie die zur Herstellung einer Verbindung erforderlichen Daten in die Zuständigkeit der Schule. “Messengerdienste, die im Zusammenhang mit der Herstellung der Kommunikation Daten verarbeiten, die für die Erbringung der Telekommunikationsleistung nicht erforderlich sind, sind für den Einsatz in Schulen nicht geeignet.” ist eine klare Ansage, durch welche etwa Messenger Dienste wie WhatsApp, welche die Adressbuchdaten der Teilnehmer mit den Servern des Anbieters abgleichen und dabei Daten unbeteiligter Dritter ohne deren Einwilligung übermitteln, für eine schulische Nutzung ausscheiden, “da die Schule ansonsten die Verarbeitung von personenbezogenen Daten veranlasst, die über das für ihre Aufgabenwahrnehmung erforderliche Maß im Sinne von §§ 120 Abs. 5, 121 Abs. 1 Satz 1 SchulG hinausgeht.”3Es ist möglich, diesen Adressbuchabgleich zu unterbinden. Das setzt jedoch entsprechende Kenntnisse voraus, die nicht von jedem Nutzer erwartet werden können.

Die Schrift schließt mit einem Ausblick und Erwartungen für die Zukunft. Besonders interessant ist dabei der Teil, in welchem es um die aktuell von vielen Schulen genutzten Plattformen großer US-amerikanischer Anbieter geht. Auch wenn im Text keine Produktnamen genannt werden, ist klar, dass es vor allem um Microsoft 365 geht. Was gesagt wird, gilt jedoch auch für Google Workspace for Education und vergleichbare Produkte.

In der pandemiebedingten Ausnahmesituation eingesetzte Lösungen, die nicht datenschutzkonform waren, sind nun von den Verantwortlichen anzupassen oder auszutauschen, wenn sie dauerhaft zum Einsatz kommen. Hier sind die Verantwortlichen gefordert, sobald wie möglich ein den aktuellen Umständen angemessenes Schutzniveau zu gewährleisten. Die LDI NRW setzt hierbei schwerpunktmäßig auf Überzeugungsarbeit bei den Verantwortlichen, nicht auf Untersagungen und Verbote. Selbstverständlich behalten wir uns vor, in Einzelfällen auch prüfend und kontrollierend tätig zu werden.

Die Aufsichtsbehörde erwartet von den Schulen, dass sie die während der Notsituation in der Pandemie kurzfristig beschafften Lösungen wie Microsoft 365 und Teams entweder so anpassen, dass die Verarbeitung von personenbezogenen Daten mit einem angemessene Schutzniveau erfolgt oder, wenn ihnen dieses nicht möglich ist die Nutzung dieser Plattformen einstellen. Dabei räumt sie den Verantwortlichen in Schule ein wenig Spielraum ein. Einmal wird eine zeitliche Vorgabe gemacht, “sobald wie möglich” und dann wird die Angemessenheit des Schutzniveaus an den “aktuellen Umständen” orientiert. Letzteres heißt aber auch, wenn man davon ausgeht, dass die Umstände sich mittlerweile weitestgehend normalisiert haben, dass dann auch beim Schutzniveau keine Abstriche mehr gemacht werden sollten. Anders als einige andere Aufsichtsbehörden setzt die LDI NRW weniger auf Druck durch Untersagungen und Verbote als auf “Überzeugungsarbeit bei den Verantwortlichen.” Wie diese genau aussehen wird, bleibt dabei offen. Es ist zu erwarten, dass die Aufsichtsbehörde sich in Kürze zu Microsoft 365 und der Nutzung für den Unterricht äußern wird. Das dürfte frühestens im November erfolgen, wenn die Arbeitsgruppe der Datenschutzkonferenz erneut darüber abstimmen wird, ob die Plattform bezüglich des von Microsoft bereitgestellten Vertragswerks datenschutzkonform genutzt werden kann. Auch wenn die Aufsichtsbehörde Veränderungen durch Überzeugungsarbeit erreichen möchte, so behält sie sich Prüfungen und Kontrollen vor. Diese sollen jedoch auf Einzelfälle beschränkt bleiben. Darin unterscheidet sie sich nicht von den anderen Aufsichtsbehörden, die ebenfalls angekündigt haben, bei Beschwerden tätig werden.

Mit Blick auf die Zukunft schaut die Schrift auf Projekte, welche an datenschutzrechtlichen Zertifizierungen für Plattformanbieter im Bildungsbereich arbeiten. Derartige Zertifizierung sollten Verantwortlichen zukünftig eine Entlastung bescheren, da sie dann nicht selbst vor der Herausforderung stehen, Plattformen beurteilen zu müssen.

Fazit

Mit der Schrift Digitaler Unterricht in Schulen – Der Grundstein ist gelegt hat die Aufsichtsbehörde eine für Schulen hilfreiche Zusammenstellung der datenschutzrechtlichen Grundlagen für die Arbeit mit digitalen Plattformen im Unterricht und darüber hinaus geschaffen. Sie greift dabei die entscheidenden Passagen aus den zugrunde liegenden Rechtstexten auf und erläutert diese näher. Lesern sollte klar sein, dass es sich dabei um die Lesart der Aufsichtsbehörde handelt. Andere Lesarten können durchaus möglich sein. orientiert man sich an dir der Aufsichtsbehörde, ist man jedoch in der Regel auf der sicheren Seite. Mit dem zweiten Teil des Titels “Der Grundstein ist gelegt” macht die Aufsichtsbehörde klar, dass mit den neu geschaffenen datenschutzrechtlichen Regelungen im Schulgesetz und den anhängigen Verordnungen nun ein Fundament umgelegt ist, auf welchem man zukünftig aufbauen kann. Vor den Beteiligten liegt also noch einige Arbeit. Das schließt auch den Gesetzgeber mit ein, denn es ist, wie Beispiele aus anderen Bundesländern zeigen, durchaus möglich, die Erfordernis für Einwilligungen durch zusätzliche Rechtsgrundlagen weiter zu reduzieren. Ein Beispiel hierfür wäre die pädagogische Nutzung von Bild und Tonaufnahmen für den Unterricht.

Stand 10/2022

Entschuldigungen – Aufbewahrungspflicht

Lesezeit: 3 Minuten

Personenbezogene Daten, welche in der Schule verarbeitet werden, unterliegen Aufbewahrungs- und Löschpflichten. Diese sind in § 9 VO-DV I (BASS 10-44 Nr. 2.1), die Schülerinnen und Schüler und Erziehungsberechtigten betreffend geregelt und in § 9 VO-DV II (10 – 41 Nr. 6.1), die Lehrkräfte betreffend.

Vertiefende Informationen zum Thema Aufbewahrungs- und Löschfristen, einschließlich eines Löschkonzeptes, finden sich im Beitrag “Aufbewahrungsfrist abgelaufen – und jetzt?

Im § 9 Abs. 1 Nr. 4 VO-DV I findet sich der folgende Eintrag

4. alle übrigen Daten 5 Jahre

Während unter den Nummern 1 – 3 die Datenkategorien, um die es geht, genau bezeichnet sind, heißt es in Nr. 4 einfach nur “alle übrigen Daten.” Das meint dann alle Daten, die nicht unter den Nummern 1 – 3 aufgeführt worden sind. Doch bedeutet “alle” wirklich alle?

Die Antwort lautet, ja. Sofern es sich nicht um Kopien handelt, sind auch Daten, die nicht zu den Kategorien der Nummern 1 – 3 gehören, aufzubewahren, dann jedoch nur 5 Jahre, gerechnet ab Ende des Kalenderjahres, in welchem die “Akten oder Dateien abgeschlossen worden sind jedoch nicht vor Ablauf des Kalenderjahres, in dem die Schulpflicht endet, sofern nichts anderes bestimmt ist.

Entschuldigungen

Fehlt ein Kind in der Schule aus Krankheitsgründen, sind die Eltern gem. BASS 12-51 Nr. 1 Nr. 2.2 verpflichtet, dieses schriftlich zu entschuldigen. Gibt es von Seiten der Schule begründete Zweifel, kann diese ein ärztliches Attest einfordern.1“2.2 Schulversäumnisse aus Krankheitsgründen sind von den Eltern schriftlich zu entschuldigen. Bei begründeten Zweifeln kann die Schule ein ärztliches Attest verlangen.”

Doch gehören Entschuldigungen und Atteste zu “alle übrigen Daten”? An verschiedenen Stellen wird die Ansicht vertreten, dass dem nicht so ist. Fehlzeiten werden von der Schule mit entschuldigt/ unentschuldigt im Klassen- oder Kursbuch dokumentiert und dann gem. § 49 SchulG NRW als entschuldigte und unentschuldigte Fehlzeiten im Zeugnis zum Halbjahr und zum Schuljahresende aufgenommen. Sobald nach 30 Tagen die Widerspruchsfrist endet, so die von diesen Stellen vertretene Ansicht, können die Entschuldigungen vernichtet werden.

Das ist so nicht richtig. Entschuldigungen gehören zu Nr. 4 “alle übrigen Daten”, wie in BASS 12-51 Nr. 5 Überwachung der Schulpflicht unter Nr. 3 nachzulesen ist. Dort heißt es:

Fehlzeiten sind als Organisations- bzw. Schullaufbahndaten sowie als Leistungsdaten in das Schülerstammblatt aufzunehmen (§ 4 Absatz 2 in Verbindung mit Anlage 1 VO-DV I). Fehlzeiten sind zudem in Klassenbüchern und Kursheften anzugeben, die gemäß § 4 Absatz 5 VO-DV I in Verbindung mit Anlage 2 als obligatorische Dokumentation zum sonstigen Datenbestand zählen. Dies gilt auch für schriftliche Entschuldigungen und vorgelegte Atteste als Teil der Schülerakte (Schülerbegleitmappe). Schriftliche Entschuldigungen und Atteste sind übrige Daten im Sinne von § 9 Absatz 1 Nummer 4 VO-DV I. Die Aufbewahrungsfrist beträgt 5 Jahre.

Entschuldigungen und Atteste müssen also aufbewahrt werden. Zumindest Entschuldigungen können jedoch digitalisiert und in Form einer PDF Datei aufbewahrt werden. Für Atteste besteht diese Möglichkeit nicht, da sie von digitalen Verarbeitung gem. VO-DV I ausgenommen sind.2siehe hierzu die Fußnoten zu VO-DV I Anlage I, II und III “Medizinische Gutachten und Atteste sind hiervon ausgenommen und dürfen nicht automatisiert verarbeitet werden.

Berechnung der Aufbewahrungsfristen

Bei korrekter Umsetzung der Aufbewahrungsfristen für “alle übrigen Daten” gem. § 9 Nr. 1 Satz 2 “Die Aufbewahrungsfristen beginnen mit Ablauf des Kalenderjahres, in dem die Akten oder Dateien abgeschlossen worden sind, jedoch nicht vor Ablauf des Kalenderjahres, in dem die Schulpflicht endet, sofern nichts anderes bestimmt ist.” bewahrt eine Grundschule Entschuldigungen und Atteste dann 13 – 15 Jahre auf. Ein Beispiel:

Schüler A verlässt die Grundschule nach 4 Jahren Schulbesuch im Sommer 2022. Die Schulpflicht beträgt in der Primarstufe und der Sekundarstufe I (Vollzeitschulpflicht) gem. § 37 SchulG NRW in der Regel zehn Schuljahre.3Abweichungen können sich ergeben durch den Besuch eines Gymnasiums mit achtjährigem Bildungsgang. Dort beträgt die Schulpflicht von Primarstufe und der Sekundarstufe I nur 9 Jahre. Weitere Details entnehmen Sie bitte § 37 SchulG NRW. Da man in der Grundschule nie erfährt, ob sich bei einer Schülerin oder einem Schüler die Schulpflicht durch in § 37 dargestellte Fälle verkürzt, ist die Grundschule immer auf der sicheren Seite, wenn von 10 Pflichtschuljahren ausgegangen wird. Die Grundschule rechnet nun 6 Jahre hinzu und kommt so auf den Sommer 2028, in welchem die Schulpflicht von Schüler A endet. Die Aufbewahrungsfrist von 5 Jahren beginnt jedoch erst nach Ende des Kalenderjahres, in dem die Schulpflicht endet, in diesem Fall also ab dem 01.01.2029. Damit muss die Grundschule die Entschuldigungen und Atteste von Schüler A bis zum Ende des Kalenderjahres 2033 Aufbewahren und kann sie dann im Januar 2034 datenschutzgerecht löschen bzw. vernichten.

Austausch Grundschule und Kinderarzt

Lesezeit: < 1 Minute

Liegen bei Schülerinnen und Schülern gesundheitliche Beeinträchtigungen vor, welche die schulische Entwicklung des Kindes unter Umständen beeinträchtigen, kann es sinnvoll sein, wenn die Grundschule eine Möglichkeit erhält, sich mit dem das Kind behandelnden Kinderarzt bzw. seiner Kinderärztin auszutauschen, um das pädagogische Handeln abzustimmen.

Beide Seiten, Schule wie auch Kinderärzte, sind jedoch der Schweigepflicht unterworfen und dürfen keine Informationen miteinander austauschen, auch wenn das sinnvoll und im Sinne des Kindes wäre. Die rechtliche Grundlage für einen Informationsaustausch ist eine Schweigepflichtentbindung durch die Erziehungsberechtigten. Sie ermöglicht, falls gewünscht, den Austausch in beide Richtungen. Die folgende Vorlage ist hierfür gedacht und entsprechend anpassbar.

Weitere Informationen zum Thema Schweigepflicht im Gegensatz zu Datenschutz finde sich im Beitrag Datenschutz und Schweigepflicht.

 

FAQ – Einsatz von digitalen Plattformen ab März 2022

Lesezeit: 7 Minuten

Mit dem 16. Schulrechtsänderungsgesetz von Februar 2022 haben sich bezüglich des Einsatzes von digitalen Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen zur Erfüllung des Bildungs- und Erziehungsauftrags an Schulen in NRW grundlegend verändert. Im Beitrag 16. Schulrechtsänderungsgesetz und Datenschutz werden diese Möglichkeiten ausführlich erläutert. Einige Fragen werden nach der Lektüre dieses Beitrags offen bleiben. In dieser FAQ sollen häufige Fragen deshalb beantwortet werden. Viele Fragen der praktischen Umsetzung werden sich vermutlich erst mit der Zeit klären. An einigen Stellen werden möglicherweise ergänzende Erlasse oder sogar Entscheidungen von Verwaltungsgerichten für Klärung sorgen müssen.

Ist bei jeder Einführung einer digitalen Plattform im Sinne von § 8 Satz 2 eine Beteiligung gemäß LPVG erforderlich?

Im LPVG NRW heißt es in § 72 Satz 3 Nr. 2 “(3) Der Personalrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, mitzubestimmen in Rationalisierungs-, Technologie- und Organisationsangelegenheiten bei
1. …
2. Einführung, Anwendung und Erweiterung technischer Einrichtungen, es sei denn, dass deren Eignung zur Überwachung des Verhaltens oder der Leistung der Beschäftigten ausgeschlossen ist,

Es hängt demnach von der jeweiligen Plattform ab, ob diese mitbestimmungspflichtig durch den Personalrat ist. Sind deren Funktionen nicht geeignet Verhalten oder Leistung von Lehrkräften zu überwachen, unterliegt die Plattform nicht der Mitbestimmung gem. LPVG. Die Logineo NRW Plattformen sind mitbestimmt, da sie viele solche Möglichkeiten bieten. Man wird davon ausgehen können, dass vor allem große Plattformen wie eine NextCloud oder IServ mitbestimmungspflichtig sind, vor allem wenn sie auch für Abbildung schulinterner Organisationsabläufe genutzt werden. Hingegen sollten Plattformen wie Antolin oder Anton, die unter Lehr und Lernsysteme gem. § 8 Satz 2 SchulG NRW fallen sollten, keine Möglichkeiten bieten, Aufschluss über das Nutzerverhalten von Lehrkräften zu gewinnen. Gleiches sollte auch für ein TaskCards gelten. Die Frage ist hier jedoch immer auch, wie weit man “Eignung zur Überwachung des Verhaltens oder der Leistung” fasst. Reicht es, wenn die Schulleitung die Anzahl der durch eine Lehrkraft erstellten Taskcards einsehen kann?

Man kann als Faustregel für die Abschätzung, ob eine Mitbestimmungspflicht vorliegt oder nicht, nehmen: je komplexer eine Plattform ist, desto wahrscheinlicher ist es, dass sie mitbestimmungspflichtig ist. Gleiches gilt auch, wenn sie für die Abbildung schulinterner Verwaltungs- und Organisationsprozesse durch Lehrkräfte genutzt wird. Einfachere Plattformen, in denen vor allem die Schülerinnen und Schüler im Mittelpunkt stehen, sollten tendenziell seltener der Mitbestimmungspflicht unterliegen.

Siehe auch Datenschutz & Mitbestimmung.

Können auch Microsoft 365 und Teams auf der neuen Rechtsgrundlage eingeführt werden?

Diese Frage dürfte viele Schulen bewegen.  Mit Stand von November 2022 wird die DS-GVO Konformität von Microsoft 365 von den Aufsichtsbehörden angezweifelt. Die kurze Antwort ist deshalb: solange eine Schule nicht in der Lage ist nachzuweisen, dass die Verarbeitung von personenbezogenen Daten bei der Nutzung von Microsoft 365 durch Schüler und Lehrkräfte DS-GVO konform möglich ist, ist auch eine Nutzung auf der Grundlage von § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW nicht möglich. Die Verarbeitung von personenbezogenen Daten setzt deshalb weiterhin eine Einwilligung der Betroffenen voraus.1Hinweis: Die Nutzung von Einwilligungen im Zusammenhang mit Unterricht wird von Aufsichtsbehörden äußerst kritisch gesehen. Die LDI NRW geht davon aus, dass die unterrichtliche Nutzung einer Plattform auf der Grundlage einer Einwilligung in der Regel nicht möglich ist. Das bedeutet, es kann durchaus Ausnahmen geben, doch überwiegend kann man davon ausgehen, dass eine Einwilligung als Rechtsgrundlage für die Nutzung ausscheidet.

Das Thema Microsoft 365 ist in Bewegung. Sogar die Kultusminister Konferenz engagiert sich jetzt mit Unterstützung einer Arbeitsgruppe der Datenschutzkonferenz. Bis Ende 2022 wird Microsoft alle Telemetriedaten ausschließlich in der EU Verarbeiten. Aber noch gibt es den CLOUD-Act, der kritisch gesehen wird, und Microsoft räumt sich in den Datenschutzbestimmungen das Recht ein, einige personenbezogene oder -beziehbare Daten für eigene Zwecke zu verarbeiten. Das wird von Aufsichtsbehörden als nicht DS-GVO konform eingestuft. Das heißt Abwarten – noch ist nichts verloren.

Die Aussagen zu Microsoft 365 lassen sich auch auf Google Workspace for Education übertragen. In den Niederlanden ist eine datenschutzkonforme Nutzung an Schulen mit Billigung der dortigen obersten Aufsichtsbehörde bereits möglich. Hier müssen Aufsichtsbehörden von Schulen erst noch davon überzeugt werden.

Was gilt für MNSPro Cloud?

MNSpro Cloud  von der Firma AIXConcept besteht aus zwei Teilen, MNSpro und Microsoft 365. Für beide werden getrennte Verträge zur Auftragsverarbeitung abgeschlossen. Während man das von AIXConcept erstellte und betriebene MNSpro auf der Rechtsgrundlage der neuen Regelungen einführen können sollte, gilt für die angedockten Microsoft 365 Tenant, was zuvor schon für Microsoft 365 gesagt wurde.

Was ist bei IServ zu beachten?

IServ ist ein deutscher Anbieter und die Plattform lässt sich DS-GVO konform nutzen, egal ob es sich um die klassische on premise Lösung mit Server im Schulkeller oder beim Schulträger handelt oder um die vom Anbieter gehostete “Cloud” Version. Die Plattform bringt damit alle Voraussetzungen für eine verpflichtende Nutzung mit. Zu regeln ist die Nutzung des Profils, denn hier können schulische Nutzer persönliche Informationen einstellen, die über für den Unterricht erforderliche Daten hinausgehen. Die einfachste Lösung für Schulen ist die komplette Deaktivierung des Profils. Möchte eine Schule die Nutzung des Profils zulassen, sollte eine Nutzungsvereinbarung erstellt werden, welche das Füllen des Profils davon abhängig macht, ob Nutzer zuvor eine Einwilligung in die Verarbeitung der dort eingetragenen Daten erteilt haben. Die im Download Bereich zur Verfügung gestellte Einwilligung mit Informationen zur Datenverarbeitung gem. Art. 13 DS-GVO für IServ kann eine verpflichtende Nutzung umgearbeitet werden.

Wie sieht es mit itslearning aus?

Die aus Norwegen kommenden Plattform, sollte bezüglich der eigentlichen Kernplattform im Sinne der neuen Regelungen des SchulG NRW nutzbar sein. In Bremen ist itslearning sogar mitbestimmt (siehe Dienstvereinbarung zu der Lernplattform „itslearning“). Ein Problem stellt jedoch das integrierte Microsoft Office dar. Dieses Office speichert zwar die erstellten Word, Excel und PowerPoint Dokumente auf den itslearning Servern, braucht jedoch zur Bearbeitung in der Plattform die Online-Office Dienste von Microsoft, und deren DS-GVO Konformität wird angezweifelt. In Baden Württemberg, erhalten Schulen itslearning über das Schulministerium, aus den genannten Gründen allerdings ohne Freischaltung der (Microsoft) Office Komponente, wie im 21. Tätigkeitsbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden Württemberg nachzulesen ist. Integriert man stattdessen ein im Auftrag betriebenes Collabora Office oder Only Office, sollte eine Nutzung von itslearning komplett nach den neuen Regelungen möglich sein.

Kann Moodle auf der neuen Rechtsgrundlage verpflichtend genutzt werden?

Anders als zur Zeit bei Logineo NRW LMS, dem Landes Moodle, steht einer Nutzung von Moodle außerhalb der Landeslösung nichts entgegen. Da Logineo NRW LMS mitbestimmt ist, sollte eine Mitbestimmung gem. LPVG NRW leicht zu erreichen sein. Das ist vor allem dann der Fall, wenn die Konfiguration sich an der der Landeslösung orientiert und keine zusätzlichen Plugins genutzt werden, welche ihrerseits durch ihre Funktionen mitbestimmungspflichtig sind.

Wie geht man mit den freiwillig eingebrachten Nutzerdaten um?

Hier gibt es nur eine sinnvolle Lösung. Per Nutzungsordnung muss die Nutzung für Inhalte, die in keinem Zusammenhang mit dem Unterricht bzw. bei Lehrkräften mit der Erfüllung der Aufgaben und der Durchführung von Unterricht stehen, untersagt werden. Diese Nutzungsordnung müssen Nutzer dann zur Kenntnis nehmen. Die Kenntnisnahme kann in verschiedener Form erfolgen. Bei Schülerinnen und Schülern wie auch Lehrkräften kann das eine Belehrung sein mit Hinweis, wo die Nutzungsordnung in schriftlicher Form nachzulesen ist. Es muss keine Online-Nutzungsordnung sein, die vor Freischaltung des Nutzerkontos per Setzen eines Häkchens zu quittieren ist.

Alternativ wäre vorstellbar, dass eine Plattform so eingestellt wird, dass Nutzer die Möglichkeit haben, in die Verarbeitung von personenbezogenen Daten, die über Unterricht bzw. bei Lehrkräften die Erfüllung der Aufgaben und die Durchführung von Unterricht hinausgehen, innerhalb der Plattform in den Nutzereinstellungen einzuwilligen. Zusätzliche Funktionen, etwa zum Anlegen eines Nutzerprofils erscheinen nach er Einwilligung. Der Widerruf der Einwilligung und das Löschen der dort hinterlegten Daten sollten dort dann ebenfalls möglich sein.

Ist auch eine verpflichtende Nutzung von personenbezogenen Daten in einer digitalen Plattform möglich, die vor März 2022 an der Schule eingeführt wurde?

Wie aus den Erläuterungen im  Gesetzesentwurf zum 16. Schulrechtsänderungsgesetz hervorgeht, lassen sich die neuen Regelungen auch auf bereits eingeführte Plattformen anwenden: “Dies schließt alle Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen im Sinne des § 8 Absatz 2 ein, die die Schule zur Erfüllung ihres Bildungs- und Erziehungsauftrags nutzt.” Auch die Formulierungen in § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW nehmen hier keine Eingrenzung auf Plattformen vor, die ausdrücklich auf der Grundlage § 8 Abs. 2 SchulG NRW einführt wurden. Bereits an Schulen genutzte Plattformen können, sofern sie die Vorgaben des SchulG NRW und der DS-GVO erfüllen, ebenfalls auf der Grundlage von § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW in Verbindung mit § 8 Abs. 2 genutzt werden.

Auch eine verpflichtende Nutzung ist möglich. Diese setzt einen Beschluss der Schulkonferenz gemäß § 65 Abs. 2 Nr. 6 voraus. Im Gesetzesentwurf weist das MSB darauf hin, dass die der Schulkonferenz dort eingeräumte Entscheidungsbefugnis nicht für bereits vor Inkrafttreten des 16. Schulrechtsänderungsgesetzes existierende und genutzte Systeme und Plattformen gilt. Das bedeutet, Schulen können nicht nachträglich über bereits genutzte Plattformen und Systeme entscheiden, sondern müssen einen Umweg gehen. Dafür bitten sie den Schulträger, der Schulkonferenz gegenüber zu erklären, dass er der Schule die jeweilige Plattform bzw. das jeweilige System bereitstellen möchte und zur Nutzung vorschlägt. Daraufhin entscheidet die Schulkonferenz über diesen Vorschlag zur Nutzung.

Eine Grundschule, die bereits LeseLudi, Antolin, ZahlenZorro oder ähnlich im Sinne des § 8 Absatz 2 nutzt, könnte die Nutzung dann umstellen und auf das Einholen einer Einwilligung zukünftig verzichten. Informationen gem. Art. 13 DS-GVO über die Datenverarbeitung bei der Nutzung sind jedoch weiterhin erforderlich.

Was, wenn für eine Plattform bereits Einwilligungen eingeholt/ erteilt wurden?

Verfügt eine Schule über eine Plattform, die sie bereits vor dem 16. Schulrechtsänderungsgesetz zur Erfüllung des Bildungs- und Erziehungsauftrags einsetzte, so dürften für die Verarbeitung von personenbezogenen Daten Einwilligungen von Schülern und Lehrkräften vorliegen. Die Schule kann Einwilligungen nicht von ihrer Seite aus aufheben. Sie haben also weiterhin Gültigkeit. Widerrufen Betroffene ihre Einwilligung, müssen der Zugang und die mit der Nutzung angefallenen personenbezogenen Daten der betroffenen Person gelöscht werden, da diese auf der Rechtsgrundlage Einwilligung verarbeitet wurden. Es könnte im Anschluss jedoch direkt ein neues Nutzerkonto erstellt werden, wenn die Schule die Plattform jetzt auf der Grundlage der neuen Regelungen nutzt. Die betroffene Person wäre dann sogar zu dessen Nutzung verpflichtet, wenn die dafür erforderlichen Voraussetzungen wie die Ausstattung mit einem Endgerät stimmen.

Können Schüler und Lehrkräfte zur Nutzung der Online Tools von kits.blog verpflichtet werden?

Leider ist das nicht möglich. Auch wenn die Tools des Niedersächsischen Landesinstituts für schulische Qualitätsentwicklung (NLQ) sehr datenschutzfreundlich sind, erfüllen sie die Vorgaben des SchulG NRW nicht, da mit dem NLQ kein Vertrag zur Auftragsverarbeitung abgeschlossen werden kann. Gleiches gilt auch für vergleichbare Plattformen, etwa von ZUM oder von eBildungslabor und ähnlich.

Wir haben keine 1:1 Ausstattung. Ist eine verpflichtende Nutzung damit unmöglich?

Nein, sie kann durchaus möglich sein. Es muss nur jedem Nutzer ein schulisches Endgerät zur Verfügung stehen. Das können auch die Tablets aus dem Tablet Koffer sein, den die Lerngruppe sich für ein Unterrichtsprojekt ausleiht. Viele Schulen haben noch PC Räume. Auch dort ist eine verpflichtende Nutzung durchaus umsetzbar. Weder in den neuen Regelungen des SchulG NRW, noch in den Erläuterungen zum Gesetzesentwurf gibt es Hinweise, dass die verpflichtende Nutzung ein persönliches digitales Endgerät voraussetzt.


Sollte es von Seiten der Leser Fragen geben, so schreiben Sie diese gerne in die Kommentare.

16. Schulrechtsänderungsgesetz und Datenschutz

Lesezeit: 11 Minuten

Am 23. Februar 2022 wurde das Gesetz zur Modernisierung und Stärkung der Eigenverantwortung von Schulen (16. Schulrechtsänderungsgesetz) vom Landtag NRW verabschiedet und damit unmittelbar wirksam. Es enthält auch Änderungen, welche das Thema Datenschutz betreffen und sehr weitreichende Auswirkungen auf die Nutzung digitaler Medien im Unterricht haben werden. Das gilt vor allem mit Blick auf die verpflichtende Nutzung von unterrichtlich genutzten Plattformen, einschließlich Videokonferenz Plattformen.

Auch schon vor dieser Gesetzesänderung war es in NRW durchaus möglich, die Verarbeitung von personenbezogenen Daten bei der Nutzung von unterrichtlich eingesetzten Plattformen zur Erfüllung des Bildungs- und Erziehungsauftrages auf das Schulgesetz NRW und die VO-DV I & II in Verbindung mit den höherrangigen Rechtsnormen zu stützen. Die personenbezogenen Daten von Schülerinnen und Schülern und Eltern, Lehrerinnen und Lehrer, Personal an den ZfsL, Lehramtsanwärterinnen und Lehramtsanwärtern und Lehrkräften in Ausbildung betreffend, erfolgte dieses durch Hinzuziehung von Art. 6 Abs. 1 lit. e und Abs. 3 lit. b DS-GVO, und die Verarbeitung der personenbezogenen Daten von Funktionsträgerinnen und Funktionsträgern betreffend, erfolgte dieses unter Hinzuziehung von.  Art. 6 Abs. 1 lit. e und Abs. 3 lit. b DS-GVO in Verbindung mit § 3 Abs. 1 DSG NRW. Eine Einwilligung in die Verarbeitung von personenbezogenen Daten war damit, soweit sie die Erfüllung des Bildungs- und Erziehungsauftrages betraf, nicht erforderlich. Auch eine verpflichtende Nutzung war bereits möglich und wurde so beispielsweise vom MSB im Verlauf der Pandemie kommuniziert, als es um die Nutzung von Videokonferenz Plattformen durch Lehrkräfte zur Erteilung von Distanzunterricht ging. Ob Schüler und Lehrkräfte im Einzelfall während der Pandemie tatsächlich zu einer Nutzung verpflichtet werden konnten, hing jedoch wesentlich von weiteren Faktoren ab, etwa der Verfügbarkeit von von der Schule bereitgestellten Schülergeräten und Dienstgeräten für Lehrkräfte.1Weitere Faktoren waren die DS-GVO Konformität der Plattform, um die es ging, und ob die Plattform zur Aktivierung des Kontos eine datenschutzrechtliche Einwilligung zwingend voraussetzt oder nicht. Im Fall von Logineo NRW war und ist die Freiwilligkeit der Nutzung zusätzlich durch eine Dienstvereinbarung festgeschrieben und schließt damit eine verpflichtende Nutzung aus. Ausgenommen von der Verarbeitung auf der beschriebenen Rechtsgrundlage sind freiwillig von den Betroffenen bereitgestellte Nutzungsdaten. Ihre Verarbeitung durch die Schule setzt deshalb eine Einwilligung voraus.2 Ein Blick auf die Datenschutzerklärung von Logineo NRW mit Stand vom 19.08.2020 zeigt, dass man dort genau diesem Ansatz folgt und bei den angegebenen Rechtsgrundlagen entsprechend differenziert.

Spätestens der Distanzunterrichts mittels digitaler Plattformen in der Pandemiezeit seit Frühjahr 2020 machte allen Beteiligten deutlich, dass dem Schulgesetz NRW genau an dieser Stelle bereichsspezifische konkrete datenschutzrechtliche Regelungen fehlten. Mit dem 16. Schulrechtsänderungsgesetz hat das Land NRW reagiert und im Schulgesetz NRW eine Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten bei der Nutzung digitaler Plattformen zur Erfüllung des Bildungs- und Erziehungsauftrags geschaffen. Dafür wurden eine Konkretisierung auf zwei Kategorien von Plattformtypen vorgenommen und der rechtliche Rahmen für eine verpflichtende Nutzung gesetzt. Ergänzend hierzu wurde in § 2 Abs. 1 Satz 3 VO-DV I die Verarbeitung von Protokolldaten geregelt.

Die folgenden Änderungen bzw. Ergänzungen wurden bezüglich der Nutzung von digitalen Plattformen in der Schule vorgenommen.

§ 8 SchulG NRW

Auch wenn die Änderung von § 8 SchulG NRW nicht schulisches Datenschutzrecht betrifft, wird diese hier erwähnt, da sie die Grundlagen für die in den §§ 120 und 121 vorgenommenen datenschutzrechtlichen Änderungen legt. Die Änderungen in § 8 SchulG NRW betreffen die Überschrift, die erweitert wurde, und einen neuen Absatz 2.3Der bisherige Absatz 2 wurde dadurch zu Absatz 3.

§ 8
Unterrichtszeit, Unterrichtsorganisation, Digitalisierung
(1) Der Unterricht wird als Vollzeitunterricht in der Regel an wöchentlich fünf Tagen erteilt. Über Ausnahmen entscheidet die Schulkonferenz im Einvernehmen mit dem Schulträger.
(2) Zur Erfüllung des Bildungs- und Erziehungsauftrags kann die Schule bereitgestellte Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen in digitaler Form nutzen.

Mit dem Hinzufügen des Wortes “Digitalisierung” in der Überschrift möchte man die Digitalisierung der Schulen als “ein wichtiges Ziel bildungspolitischen Handelns der Landesregierung” im Schulgesetz festschreiben. Das MSB bezeichnet dieses als einen “ersten programmatischen Schritt, mit welchem man “einen normativen Bezug für die „Digitalstrategie Schule“4siehe Erläuterungen im Gesetzesentwurf vom 09.12.2021 schafft. Wesentlich wichtiger als diese politische Willenserklärung in Form einer Überschrift ist dann jedoch die mit Abs. 2 geschaffene Rechtsnorm, da hiermit der schulische Einsatz digitaler Lehr- und Lernsysteme sowie digitaler Arbeits- und Kommunikationsplattformen gesetzlich verankert wird. Das ist neu und bricht mit der bisherigen Systematik des SchulG NRW, da vergleichbare Regelungen sich bisher ausschließlich in den §§ 120 und 121 fanden. Es zeigt aber auch, welchen Stellenwert man der Nutzung digitaler Plattformen einräumt, indem man diese Regelung auf eine Stufe mit Vorgaben zur Unterrichtszeit und Unterrichtsorganisation stellt. Was steckt in diesem Satz 2?

Der Rechtsrahmen

Zur Erfüllung des Bildungs- und Erziehungsauftrags kann die Schule bereitgestellte Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen in digitaler Form nutzen.

Schulen erhalten die Möglichkeit, digitale Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen zu nutzen, soweit dieses erforderlich ist, um den Bildungs- und Erziehungsauftrags zu erfüllen. Auch wenn dieses eine damit einhergehende Verarbeitung von personenbezogenen Daten durch die Schule bereits impliziert, erfolgt die bereichsspezifische konkrete datenschutzrechtliche Regelung diesbezüglich erst in den §§ 120 und 121. Die Erfüllung des Bildungs- und Erziehungsauftrags beschränkt sich nicht nur auf den Unterricht selbst. Es geht hier laut MSB im Gesetzesentwurf um eine Nutzung “für pädagogisch-didaktische Zwecke, insbesondere für die Gestaltung von Lehr- Lernprozessen, aber auch für schulinterne Verwaltungstätigkeiten sowie interne und externe Kommunikationsprozesse …

Entscheidung der Schule

Zur Erfüllung des Bildungs- und Erziehungsauftrags kann die Schule bereitgestellte Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen in digitaler Form nutzen.”

Die Entscheidung über die Nutzung digitaler Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen zur Erfüllung des Bildungs- und Erziehungsauftrags liegt damit bei der Schule. Vor dem Einsatz ist gemäß der ebenfalls neu geschaffenen Regelung in § 65 Abs. 2 Nr. 6 die Schulkonferenz an der Entscheidung über die Einführung einer vom Schulträger vorgeschlagenen Plattform zu beteiligen.5Wie im Gesetzesentwurf angemerkt ist, gilt diese Entscheidungsbefugnis nicht für bereits vor Inkrafttreten des 16. Schulrechtsänderungsgesetzes existierende und genutzte Systeme und Plattformen. (siehe Zu Nummer 22 (§ 65))

(2) Die Schulkonferenz entscheidet im Rahmen der Rechts- und Verwaltungsvorschriften in folgenden Angelegenheiten:
[…]

6. über den Vorschlag zur Nutzung der vom Schulträger bereitgestellten Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen in digitaler Form (§ 8 Absatz 2),

Im Gesetzesentwurf vom 09.12.2021 heißt es außerdem, “Das Nähere, insbesondere unter welchen Voraussetzungen die Systeme zu nutzen sind, regeln die Ausbildungs- und Prüfungsordnungen.” Dort wird es dann, sofern noch nicht vorhanden, entsprechende Vorgaben geben.

Digitale Plattformen

Zur Erfüllung des Bildungs- und Erziehungsauftrags kann die Schule bereitgestellte Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen in digitaler Form nutzen.”

Bezüglich digitaler Medien gab es im Schulgesetz NRW bisher nur eine Rechtsgrundlage für die Nutzung von “digitalen Lehr- und Lernmitteln.”6siehe § 120 Abs. 5 Satz 1, worunter sich beispielsweise digitale Schulbücher fassen lassen. Mit den digitalen “Lehr- und Lernsystemen sowie Arbeits- und Kommunikationsplattformen” erweitern sich die Plattformtypen, in welchen eine Schule zur Erfüllung des Bildungs- und Erziehungsauftrags personenbezogene Daten verarbeiten darf, auf “informationstechnische Systeme” zu denen laut Erläuterung des MSB im Gesetzesentwurf “insbesondere Lernmanagementsysteme, E-Mail- und Messengerdienste sowie Videokonferenztools” zählen. Das beschreibt ziemlich genau, was die Plattformen der Logineo NRW Familie leisten und entsprechend verweist das MSB im Gesetzesentwurf auch auf diese und stellt ihre Vorteile heraus. In Frage kommen für eine Nutzung im Rahmen von  § 8 Abs. 2 weitere Plattformen, etwa Cloud Plattformen wie NextCloud mit integrierten oder angeschlossenem Office, Schulserver wie ein IServ, Classroom Management Systeme oder auch Lern Apps wie Anton. Auch Systeme für Umfragen und Feedback sollten sich darunter fassen lassen oder Apps wie beispielsweise Schulmanager Online, Sdui und Elternnachricht, digitale Klassenbücher und Stunden- und Vertretungspläne, über welche schulische Organisationsabläufe, wie sie zur Erfüllung des Bildungs- und Erziehungsauftrags erforderlich sind, abgebildet werden.

§§ 120 und 121 SchulG NRW

Für die in § 8 geschaffene Rechtsgrundlage, welche es Schulen ermöglicht, digitale Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen zur Erfüllung des Bildungs- und Erziehungsauftrags einzusetzen, werden in § 120 Abs. 5 durch Hinzufügen von Satz 2 bereichsspezifische konkrete datenschutzrechtliche Regelung getroffen7Auch wenn sich hier in Teilen eine Dopplung mit § 8 Satz 2 ergibt, so sind die Regelungen in §§ 120 und 121 an dieser Stelle erforderlich, da diese beiden Paragraphen diejenigen sind, an welchen im SchulG NRW schulischer Datenschutz geregelt ist.:

(5) Die Schule darf für den Einsatz digitaler Lehr- und Lernmittel personenbezogene Daten der Schülerinnen und Schüler und der Eltern verarbeiten, soweit dies für die Aufgabenerfüllung der Schule erforderlich ist. Dies gilt entsprechend für den Einsatz von Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen (§ 8 Absatz 2); in diesem Rahmen sind die Schülerinnen und Schüler zur Nutzung verpflichtet.

In § 121 Abs. 1 wird durch Hinzufügen eines nahezu wortgleichen Satzes 2 entsprechend verfahren:

(1) Daten der Lehrerinnen und Lehrer dürfen von Schulen verarbeitet werden, soweit dies zur Aufgabenerfüllung bei […] der Durchführung des Unterrichts, einschließlich des Einsatzes digitaler Lehr- und Lernmittel, […] erforderlich ist. Dies gilt entsprechend für den Einsatz von Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen (§ 8 Absatz 2); in diesem Rahmen sind die Lehrerinnen und Lehrer zur Nutzung verpflichtet.

Schulen dürfen damit beim Einsatz von digitalen Lehr- und Lernsystemen sowie Arbeits- und Kommunikationsplattformen die personenbezogenen Daten von Schülerinnen und Schülern und ihren Eltern sowie von Lehrkräften verarbeiten, soweit dieses zur Erfüllung des Bildungs- und Erziehungsauftrags erforderlich ist. Dieses schließt auch Videokonferenz Plattformen ein. Innerhalb des gesteckten Rahmens sind sowohl Schülerinnen und Schüler wie auch Lehrkräfte zur Nutzung der genannten Plattformen verpflichtet. Eltern sind von dieser Verpflichtung ausgenommen.

Welche Daten

Die Zulässigkeit der Verarbeitung von personenbezogenen Daten von Schülern, Eltern und Lehrkräften erstreckt sich auf die in VO-DV I und II normierten Daten und geht sogar noch über diese hinaus. Digitale Plattformen lassen sich nicht betreiben, ohne dass dabei weitere personenbezogene und -beziehbare Daten anfallen. Diese müssen sich jedoch im Rahmen des technisch Erforderlichen bewegen. Mit §2 Abs. 1 Satz 3 VO-DV I wird dieses klargestellt: “ Beim Einsatz digitaler Lehr- und Lernmittel, digitaler Kommunikationsmittel sowie IT-Infrastrukturen ist die Verarbeitung von Protokolldaten nur zulässig, soweit dies zum Betrieb technisch erforderlich ist.” Für die Verarbeitung von Protokolldaten oder auch Logdaten werden hier zwei Grenzen aufgezeigt. Es dürfen zum Einen nur solche Protokolldaten erhoben werden, die technisch erforderlich sind. Außerdem dürfen die erhobenen Daten nur genutzt werden, soweit dieses technisch erforderlich ist, um die jeweilige Plattform zu betreiben. Gleichsam ist es auch nicht zulässig, diese Daten für andere Zwecke zu nutzen. Protokolldaten dürfen somit nicht genutzt werden, um Aufschlüsse über Nutzerverhalten zu gewinnen.8Eine Ausnahme wäre hier die Kontrolle von Protokolldaten, wenn der Verdacht besteht, dass mit einer Plattform Missbrauch betrieben wird. Dieses setzt jedoch die Erfüllung weiterer Vorgaben voraus.

Welche Plattformen

In den Erläuterungen im Gesetzesentwurf wird noch einmal klargestellt, dass die neuen Regelungen in den §§ 120 und 121 weit gefasst werden: “Dies schließt alle Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen im Sinne des § 8 Absatz 2 ein, die die Schule zur Erfüllung ihres Bildungs- und Erziehungsauftrags nutzt.” Auch schon vor Inkrafttreten des 16. Schulrechtsänderungsgesetzes bestehende Plattformen fallen unter die Regelung, sofern sie von einer Schule im Sinne des § 8 Absatz 2 zur Erfüllung ihres Bildungs- und Erziehungsauftrags genutzt werden.9Siehe dazu auch die Erläuterung zu § 8 Absatz 2 unter der Überschrift “Digitale Plattformen“, wo in Frage kommende Plattformen ausführlicher beschrieben sind.

Keine Einwilligung aber Information

Durch die in den §§ 120 und 121 neu aufgenommenen Sätze verfügen Schulen nun über eine konkrete Rechtsgrundlage, welche ihnen die Verarbeitung von personenbezogenen Daten in digitalen Lehr- und Lernsystemen sowie Arbeits- und Kommunikationsplattformen wie dort beschrieben erlaubt und Schüler wie auch Lehrkräfte sogar zur Nutzung verpflichtet. Eine Einwilligung ist hierfür somit nicht erforderlich. Es besteht jedoch weiterhin eine Informationspflicht gem. Art. 13 DS-GVO.

Ganz konkret bedeutet dieses, dass weder von Schülern noch von Eltern oder Lehrkräften eine Einwilligung eingeholt werden muss, wenn eine Schule beispielsweise eine Videokonferenz Plattform wie Jitsi für die Durchführung von Unterricht oder von Beratungsgesprächen mit Eltern nutzt.

Videokonferenz Plattform

Im Verlauf der Pandemie war vor allem strittig, ob Lehrkräfte zur Erteilung von Distanzunterricht per Videokonferenz verpflichtet werden konnten und dieses mit eingeschalteter Videokamera. Genau diesem Umstand dürfte die ausdrückliche Erwähnung von “Videokonfenzsystemen” geschuldet sein. Das Land NRW legt damit fest, dass sich die Zulässigkeit der Verarbeitung von personenbezogenen Daten von Schülern, Eltern und Lehrkräften zur Aufgabenerfüllung und bei Lehrkräften außerdem zur Durchführung von Unterricht auch auf die Nutzung von Videokonferenz Plattformen erstreckt. Welche weitreichenden Möglichkeiten sich dadurch für Schulen ergeben, erläutert das MSB im Gesetzesentwurf: “Ebenso besteht die Möglichkeit, Schülerinnen und Schüler, die nicht an Präsenzunterricht teilnehmen können (z.B. Quarantäne, Wechsel von Präsenz- und Distanzphasen, Krankheit etc.) am Unterricht vor Ort „zuzuschalten“ und somit am Unterricht teilhaben zu lassen.” Anders als bisher braucht es dafür von den Schülerinnen und Schülern im Klassenraum keine Einwilligung mehr. Gleiches gilt auch für die Durchführung von Konferenzen in Form von Videokonferenzen.

Videokamera an – aus?

Neben den Möglichkeiten, Videokonferenz Plattformen im Unterricht einzusetzen werden im Gesetzesentwurf auch die Grenzen beschrieben: “Zulässig ist der Einsatz von Videokonferenzsystemen nur, wenn dies zur Erfüllung des Bildungsauftrags erforderlich ist. Die Erforderlichkeit liegt vor, wenn dies zur Sicherung des konkreten Unterrichtsgeschehens oder aus anderen pädagogisch-didaktischen Gründen gegeben ist.” Werden Schülerinnen und Schüler, die nicht am Präsenzunterricht teilnehmen können, dem Unterricht zugeschaltet, so dürfte es in der Regel nicht erforderlich sein, dass dabei permanent Ton und/oder Kamera eingeschaltet sind, weder im Klassenraum, noch auf Seiten der Schülerinnen und Schüler. Eine Erforderlichkeit, Kamera und Ton im Klassenraum aus pädagogisch-didaktischen Gründen einzuschalten, ist aber in dem Moment gegeben, in welchem die Lehrkraft oder Schülerinnen und Schüler im Klassenraum etwas vorführen oder ein Unterrichtsgespräch in der Lerngruppe stattfindet.

Mit dem Satz “Die Verpflichtung der Schülerinnen und Schüler zum Einsatz von Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen und zur Nutzung von Videokonferenzsystemen mit Einschalten von Ton und Bild besteht in dem durch § 8 Absatz 2 gesetzten Rahmen.” der entsprechend auch für  Lehrkräfte gilt, wird im Kommentar zum Gesetzesentwurf noch einmal ausdrücklich darauf verwiesen, dass die Verpflichtung, Ton und Bild einzuschalten, sich in dem durch § 8 Absatz 2 gesetzten Rahmen bewegen muss. Sie ist somit nur möglich, sofern dieses zur Erfüllung des Bildungs- und Erziehungsauftrages erforderlich ist.

Das lässt Interpretationsspielraum, denn nicht jeder, ob Schüler oder Lehrkraft, wird je nach Situation eine Erforderlichkeit anerkennen.

Nutzung nur im im zulässigen Umfang

Auch wenn dieser Punkt aus den Änderungen im SchulG nicht unmittelbar hervorgeht, soll er hier erwähnt werden, denn er geht auf eine Forderung der LDI NRW in der Schrift Pandemie und Schule zurück. Wenn eine Verpflichtung zur Nutzung besteht, muss zu Schutz aller Beteiligten “gewährleistet sein, dass alle Betroffenen die digitalen Module nur im zulässigen Umfang nutzen können. Dieses wird durch technische und organisatorische Maßnahmen geregelt, etwa entsprechende Voreinstellungen in der Plattform und gegebenenfalls Nutzungs- bzw. Dienstvereinbarungen.” Dieses ist erforderlich, um beispielsweise Cyberbullying oder unbefugte Mitschnitte von Videokonferenzen zu verhindern und gegebenenfalls Maßnahmen ergreifen zu können, sollte es zu unzulässigen Nutzungen kommen.

Grenzen der Verpflichtung

Auch wenn durch die Änderungen im Schulgesetz NRW die rechtlichen Grundlagen für eine verpflichtende Nutzung von digitalen Plattformen und die dafür erforderliche Verarbeitung von personenbezogenen Daten geschaffen worden sind und sich dadurch für Schulen neue Perspektiven die Gestaltung von Unterricht wie auch die Abbildung von Verwaltungstätigkeiten eröffnen, so sind diesen neuen Möglichkeiten Grenzen gesetzt. Einige davon sind durch die neuen Regelungen selbst bedingt, andere hängen mit externen Faktoren zusammen, die in Zukunft wegfallen könnten.

Nicht für Eltern

Eine Grenze beschreibt § 120 Abs. 5 Satz 2 selbst, indem die Verpflichtung zur Nutzung nur für Schülerinnen und Schüler sowie Lehrkräfte vorgegeben wird, nicht jedoch für Eltern. Bezüglich der Eltern heißt dieses, Schulen können deren Daten bei der Nutzung von digitalen Lehr- und Lernsystemen sowie Arbeits- und Kommunikationsplattformen einschließlich Videokonferenz Plattformen ohne Einwilligung nutzen, die Eltern aber nicht zur Nutzung verpflichten. Damit können Schulen in infrage kommenden Plattformen beispielsweise Konten für die Eltern anlegen und den Eltern eine Nutzung anbieten. Diese sind jedoch nicht verpflichtet, diese Plattformen auch zu nutzen. In einem solchen Fall müssten sie aber mit Anlegen eines Kontos immer auch über die Datenverarbeitung gem. Art. 13 DS-GVO informiert werden.

Nutzung im Sinne von § 8 Satz 2

Eine Verpflichtung zur Nutzung eines digitalen Lehr- und Lernsystems oder einer Arbeits- und Kommunikationsplattform einschließlich Videokonferenz Plattform setzt voraus, dass die Nutzung im Sinne von § 8 Satz 2 erfolgt, also zur Erfüllung des Erziehungs- und Bildungsauftrags. Mit Bezug auf den Einsatz von Videokonferenz Plattformen heißt es hierzu im Gesetzesentwurf: “Zulässig ist der Einsatz von Videokonferenzsystemen nur, wenn dies zur Erfüllung des Bildungsauftrags erforderlich ist. Die Erforderlichkeit liegt vor, wenn dies zur Sicherung des konkreten Unterrichtsgeschehens oder aus anderen pädagogisch-didaktischen Gründen gegeben ist.” Für eine über die zur Erfüllung des Erziehungs- und Bildungsauftrags hinausgehende Nutzung sind Schüler wie Lehrkräfte nicht verpflichtet.

Sächliche Voraussetzungen sind gegegeben

Schülerinnen und Schüler können zu einer Nutzung von Lehr- und Lernsystemen sowie Arbeits- und Kommunikationsplattformen, die von der Schule zur Erfüllung ihres Bildungs- und Erziehungsauftrags eingesetzt werden, nur dann verpflichtet werden, wenn sie auch die Möglichkeit dazu haben. Stehen den Schülerinnen und Schülern ausreichend viele schulische Geräte mit dienstlich zugelassenen Anwendungen zur Verfügung, ist eine verpflichtende Nutzung möglich. Ist dieses nicht der Fall und Schülerinnen und Schüler müssen private Endgeräte nutzen, so kann dieses nur auf freiwilliger Basis erfolgen. Das MSB stellt im Gesetzesentwurf unter “zu Buchstabe b” ausdrücklich klar: “Eltern bzw. Schülerinnen und Schüler sind schulrechtlich nicht verpflichtet, ein digitales Endgerät für den Unterricht anzuschaffen oder einzusetzen.” Gleiches gilt auch für Lehrkräfte. Auch sie sind nicht zur Nutzung von privaten Endgeräten verpflichtet. Eine verpflichtende Nutzung setzt entsprechend bei Lehrkräften ein Dienstgerät mit dienstlich zugelassenen Anwendungen voraus.

Keine Einwilligung oder Freiwilligkeit vorgeschrieben

Eine verpflichtende Nutzung ist nicht möglich, wenn eine Einwilligung in die Datenverarbeitung bei der Nutzung einer Plattform zwingend vorgeschrieben ist. Dieses ist bei den Produkten der Logineo NRW Familie jedoch der Fall. Es kommt hinzu, dass die Freiwilligkeit der Nutzung auch in einer Dienstvereinbarung mit den Hauptpersonalräten (Stand 21.10.2020) vereinbart wurde10Hinweis: Es gibt genau genommen zwei Dienstvereinbarungen, da die Hauptpersonalräte sich der Dienstvereinbarung der anderen Schulformen nicht anschließen wollten.: “Die Nutzung von LOGINEO NRW ist freiwillig und setzt eine Einwilligungserklärung der jeweiligen Nutzerin oder des jeweiligen Nutzers bzw. deren oder dessen gesetzlicher Vertretung voraus.” In der Logineo NRW Rahmendienstnutzungsordnung mit Datum vom 28.01.2021 heißt es unter Gegenstand und Geltungsbereich “Die Nutzung von LOGINEO NRW ist freiwillig. Die Einwilligung kann im Rahmen der Aktivierung des individuellen Nutzeraccounts bei Erstanmeldung am System erteilt werden.” und unter 6. Nutzung des LOGINEO NRW Messengers und des VideokonferenztoolsDie anlassbezogene Nutzung des im LOGINEO NRW Messengers enthaltenen Videokonferenztools ist freiwillig. Es obliegt den einzelnen Nutzerinnen und Nutzern sich an einer Videokonferenz zu beteiligen. Insbesondere das Einschalten der Kamerafunktion ist nicht verpflichtend.”

Im Fall von Logineo NRW ist eine verpflichtende Nutzung von daher solange ausgeschlossen, wie die Dienstvereinbarungen wie auch die zugehörige Rahmendienstnutzungsordnungen in der aktuellen Form gelten.

Es ist auch nicht rechtmäßig, wie aus zumindest einer Bezirksregierung im Verlauf der Pandemie zu hören war, Lehrkräfte zur Einwilligung dienstlich anzuweisen, um sie damit zur Nutzung einer Videokonferenz Plattform zur Erteilung von Unterricht zu verpflichten. Eine Einwilligung setzt immer die Freiwilligkeit voraus. Ohne ist sie nicht rechtswirksam.

Im Sinne des SchulG NRW und DS-GVO genutzte Plattform

Die LDI NRW hat sich in der Schrift Pandemie und Schule (Stand 12.05.2021) auch zur verpflichtenden Nutzung von schulischen Plattformen auf der Grundlage der bis dahin bestehenden Regelungen des SchulG NRW11dort bezeichnet als “dieser Ansatz” geäußert. “Dabei ist zum einen zu beachten, dass dieser Ansatz nur zum Tragen kommen kann, soweit die Verarbeitung der hierfür erforderlichen Daten entsprechend den gesetzlichen Vorschriften im Verantwortungsbereich der Schule erfolgt, d.h. sie selbst die Daten verarbeitet oder durch Regelungen in einem Auftragsverarbeitungsvertrag sichergestellt ist, dass sie „Herrin der Daten“ ist.” In Frage kommen damit nur Plattformen im Sinne von § 8 Abs. 2, welche die Schule entweder selbst betreibt, oder welche sie durch den Schulträger oder einen Dienstleister auf der Grundlage eines Vertrags zur Auftragsverarbeitung gem. Art. 28 DS-GVO bereitstellen lässt. Außerdem sind, wie die LDI NRW beschreibt, weitere Anforderungen der DS-GVO zu erfüllen: “Gerade wenn eine Nutzung jedoch verpflichtend erfolgen soll, muss gewährleistet sein, dass die digitalen Module selbst den datenschutzrechtlichen Anforderungen insbesondere aus Art. 5, 24, 25 und 32 DS-GVO genügen  ….

Fazit

Eine verpflichtende Nutzung von digitalen Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen ist nur möglich, wenn die Schule diese

  • zur Erfüllung ihres Bildungs- und Erziehungsauftrags nutzt, und
  • allen Schülerinnen und Schülern der Lerngruppe ein von der Schule bereitgestelltes digitales Endgerät einschließlich der erforderlichen Anwendungen zur Verfügung steht, und
  • es sich um eine Plattform handelt, die nach Februar 2022 auf der Grundlage von § 8 Satz 2 SchulG NRW eingeführt wurde, oder deren Einführung vor Februar 2022 im Sinne von § 8 Satz 2 erfolgte, und
  • die Plattform die Vorgaben des SchulG NRW und der DS-GVO erfüllt, und
  • die Plattform keine Einwilligung oder Freiwilligkeit der Nutzung vorschreibt.

Über die eingesetzten digitalen Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen entscheidet die Schule. Unter welchen Voraussetzungen die Systeme zu nutzen sind, regeln die Ausbildungs- und Prüfungsordnungen.

Schulen dürfen die personenbezogenen Daten von Schülern und Lehrkräften bei der Nutzung digitalen Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen auf der Grundlage des SchulG NRW verarbeiten, wodurch die Erfordernis zu einer Einwilligung entfällt. Die Verpflichtung Betroffene über die Verarbeitung von personenbezogenen Daten gem. Art. 13 DS-GVO zu informieren besteht allerdings weiterhin.

Auch wenn digitale Lehr- und Lernsysteme und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen ohne Verpflichtung genutzt werden, etwa weil Schülerinnen und Schüler private Endgeräte auf freiwilliger Basis nutzen, bedarf es dazu keiner Einwilligung, da auch diese Verarbeitung von personenbezogenen Daten durch die neuen Regelungen abgedeckt sind.

Geht die Nutzung digitaler Lehr- und Lernsysteme und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsysteme über die Erfüllung des Bildungs- und Erziehungsauftrages hinaus, so setzt die dafür erforderliche Verarbeitung von personenbezogenen Daten eine Einwilligung der Betroffenen voraus.

Und außerdem

Mit den Neuerungen in den §§ 120 und 121 besteht nun die Möglichkeit, die personenbezogenen Daten von Schülern und Lehrkräften auch beim Einsatz von Videokonferenzsystemen zu verarbeiten. Die Aufzeichnung von Videokonferenzen ist auf dieser Rechtsgrundlage jedoch nicht möglich. Hier gelten weiterhin § 120 Abs. 6 bzw. § 121 Abs. 1 Satz 3, wonach “Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen […] der Einwilligung der betroffenen Personen.” bedürfen.

Fragen und Antworten zur Umsetzung der neuen Regelungen

Was die neuen Regelungen für die Praxis bedeuten, wird in den folgenden FAQ näher betrachtet.

FAQ – Einsatz von digitalen Plattformen ab März 2022

Stand 03/2022