KI-Plattformen – DS-GVO und KI Verordnung

Lesezeit: 14 Minuten

Seit nunmehr zwei Jahren stellen KI-Plattformen unsere Welt auf den Kopf. Nicht nur in der Wirtschaft und Behörden treiben die auf großen Sprachmodelle (Large Language Model (LLM)) basierenden Plattformen umwälzende Veränderungen an, auch in der Schule bestimmen sie den Diskurs, egal ob es um das Lernen mit und über KI geht, eine veränderte Prüfungskultur, Intelligente Tutorielle Systeme, Learning Analytics, Diagnoseverfahren, die automatisierte Auswertung von Leistungsüberprüfungen und -nachweisen, Laufbahnprognosen, das Verfassen von Gutachten und die Erstellung von Förderempfehlungen. Das Potential von KI-Plattformen erscheint gerade in Schulen unbegrenzt. Welche Nutzungsmöglichkeiten sich im schulischen Alltag jedoch tatsächlich ergeben, hängt maßgeblich von zwei Faktoren ab: den rechtlichen Vorgaben sowie der Verfügbarkeit geeigneter Plattformen. Rechtliche Vorgaben und die sich daraus ergebenden Grenzen der Nutzung, im Datenschutz oft als Schranken bezeichnet, bestimmte bisher soweit es eine schulische Nutzung betrifft, das Datenschutzrecht und hier dann die DS-GVO und die aus ihr abgeleiteten spezialrechtlichen Regelungen der Schulgesetze- und Verordnungen der Bundesländer.

Die DS-GVO trat 2016 in Kraft und wird seit 2018 umgesetzt. Als sie in einem mehrjährigen Prozess erarbeitet wurde, konnte niemand damit rechnen, dass es gerade einmal vier Jahre nach Beginn der Umsetzung des Regelwerkes Plattformen geben könnte, die in der Lage sind zu tun, was die sogenannten KI-Plattformen heute leisten. Es gab durchaus eine Vorstellung von Computerprogrammen, in denen komplexe Algorithmen personenbezogene Daten auswerten und daraus resultierende Entscheidungen treffen. Um EU-Bürger vor Profiling und Entscheidungen zu schützen, die ausschließlich auf automatisierten Entscheidungen beruhen, entstand Art. 22 der DS-GVO. Europäischen Gesetzgebern wurde angesichts der rasanten Entwicklung und Verbreitung von KI-Plattformen seit November 2022 und den damit verbundenen Herausforderungen schnell klar, dass die DS-GVO diese nicht ausreichend abdecken kann. Die DS-GVO regelt den Schutz personenbezogener Daten, adressiert damit jedoch längst nicht alle Risiken, die mit dem Einsatz von KI verbunden sind. Mit der KI-Verordnung der EU (AI Act) versucht man nun, die neuen technologischen, ethischen und sicherheitsrelevanten Herausforderungen zu regulieren. Anders als die DS-GVO reguliert die KI-Verordnung in Abhängigkeit vom Risiko, welches von einer KI Anwendung ausgeht, und reguliert auch, wenn keine personenbezogenen Daten verarbeitet werden. Die KI-Verordnung ist so als Ergänzung zur DS-GVO zu sehen, welche durch einen neuen, spezifischen Rechtsrahmen einen sicheren und ethischen Einsatz von KI in der EU gewährleisten soll. Auch Schule ist von der KI-Verordnung betroffen, wenngleich ihre unmittelbaren Auswirkungen deutlich geringer sind als die, welche aus der DS-GVO resultieren. Inhaltlich knüpft die KI-Verordnung ein Stück weit an die in Art. 22 DS-GVO gesetzten Grenzen an, erweitert diese jedoch und erlegt Schulen neue Pflichten auf, die über den reinen Schutz der personenbezogenen Daten hinausreichen.

KI-Plattformen im Unterricht

Unabhängig von der KI-Verordnung gelten für die schulische Nutzung von KI-Plattformen, sofern personenbezogene Daten davon betroffen sind, weiterhin die bisherigen Regeln. Da diese im vorherigen Beitrag ausführlich beschrieben wurden, sind sie hier nur auf die wichtigsten Punkte reduziert wiedergegeben.

Die wichtigsten Grundregeln, welche mit Blick auf Datenschutz zu beachten sind, wenn KI-Plattformen mit Schülerinnen und Schülern im Unterricht genutzt werden, sind:

  • Eine direkte, unvermittelte Interaktion von Schülerinnen und Schülern mit den KI-Plattformen von US Anbietern wie OpenAI (ChatGPT), Anthropic (Claude), Meta (KI in Messengern wie WhatsApp und FB Messenger), Google (Gemini) usw. Oder oder auch von chinesischen Anbietern wie Hangzhou DeepSeek Artificial Intelligence Basic Technology Research Co., Ltd. (DeepSeek) ist mit unkalkulierbaren hohen Risiken verbunden und von daher mit Blick auf Datenschutz für Schulen auf keinen Fall zu empfehlen. Hintergrund: Die Anbieter haben nicht nur auf die Inhalte der Interaktion zwischen Schülerinnen und Schülern und der KI Zugriff, sondern auch auf alle mit der Interaktion verbundenen Metadaten wie Endgeräte-Kennungen, Standort, Spuren von anderen genutzten Plattformen usw.. Sie können alle diese Daten für eigene Zwecke wie zum Training ihrer Plattformen oder andere wirtschaftliche Interessen verwenden.
  • Wenn Schülerinnen und Schüler mit KI-Plattformen arbeiten, egal wie sie darauf zugreifen, dürfen die im Hintergrund laufenden LLM die in Prompts eingegeben Daten niemals für Trainingszwecke verwenden.
  • Schülerinnen und Schüler dürfen bei der Interaktion mit KI-Plattformen, egal wie sie darauf zugreifen, niemals persönliche Informationen von sich selbst oder anderen ihnen bekannten Personen als Bestandteil von Prompts eingeben.
    • Bei multimodalen KI-Plattformen, das meint Plattformen, die in der Lage sind, Fotos, Videos und Audiodateien als Bestandteil von Prompts zu verarbeiten, muss darauf geachtet werden, dass diese Medien keine personenbezogenen oder -beziehbaren Daten enthalten, welche es ermöglichen die Daten auf eine identifizierbare Person zurückzuführen. Personenbezogene oder -beziehbare Daten können in Medien sowohl als Inhalt wie die Abbildung der Person oder ihre Stimme enthalten sein, als auch in Metadaten wie Standortdaten, Geräte-Kennungen usw..
  • Lehrkräfte sollten eine Möglichkeit haben, die Interaktion ihrer Schülerinnen und Schüler nachträglich stichprobenartig kontrollieren zu können, um eine riskante Nutzung sowie Missbrauch zu verhindern.
  • Schulen sollten in ihrer Nutzungsordnung für digitale Endgeräte, Apps und Online Plattformen auch die Nutzung von KI-Plattformen ausdrücklich berücksichtigen und entsprechende Nutzungsregeln darin festlegen.
  • Schülerinnen und Schüler sollten über die Funktionsweise von KI-Plattformen und mögliche Risiken für ihr Recht auf informationelle Selbstbestimmung aufgeklärt werden, bevor sie mit derartigen Plattformen im Unterricht arbeiten.

Es sollte klar geworden sein, dass eine unterrichtliche Nutzung von ChatGPT, Gemini, Claude, DeepSeek u. Ä. direkt über die Websites oder Apps der Anbieter durch Schülerinnen und Schülern für Schulen zu Konflikten mit den datenschutzrechtlichen Vorgaben führt, welchen sie unterliegen, und von daher nicht vertretbar ist.

Mittlerweile sind ausreichend viele alternative Möglichkeiten entstanden, die es erlauben, mit den genannten US-amerikanischen und chinesischen KI-Plattformen datenschutzfreundlich(er) zu interagieren. Darüber hinaus wächst die Zahl von Angeboten aus dem EU Raum wie auch direkt aus Deutschland, welche eigene, zumeist auf Open Source LLM aufsetzende KI-Plattformen bereitstellen.

Zu den Anbietern, welche alternative Zugriffsmöglichkeiten auf US-amerikanische KI-Plattformen anbieten, gehören aktuell bekanntere Namen wie fobizz, schulKI und FelloFish (Fiete.ai). Sie “entschärfen” die mit einer direkten Nutzung der US-amerikanischen KI-Plattformen verbundenen Risiken, indem sie über die von diesen Anbietern bereitgestellten API (Programmschnittstellen zu den LLM) als Vermittler auf personalisierte Zugänge für Schülerinnen und Schüler verzichten, die Nutzer anonymisieren und so eine mögliche Identifizierung anhand von Zugangs- und/oder Metadaten verhindern. Ergänzend stellen einige Anbieter in ihren Plattformen zusätzliche datenschutzfreundliche LLM zur Auswahl bereit. Dabei kann es sich um Open Source Modelle handeln oder Eigenentwicklungen von im DS-GVO Raum ansässigen Drittanbietern.

Verschiedene Bundesländer haben bei den genannten bekannteren Anbietern Landeslizenzen erworben, während andere Bundesländer eigene Lösungen in Auftrag gegeben haben. Aktuell entsteht im Auftrag der KMK eine weitere KI-Plattform, die unter Federführung des FWU entwickelt wird und dann durch die Bundesländer als Landesplattform den Schulen zur Verfügung gestellt werden kann.

Zu beachten ist, dass die oben aufgeführten Grundregeln aktuell auch bei der vermittelten Nutzung von US-amerikanischen und chinesischen KI-Plattformen gilt wie auch bei den von den Ländern bereitgestellten Plattformen, sofern diese keine abweichenden Vorgaben machen.

KI-Plattformen als Werkzeuge für Lehrkräfte

KI-Plattform sind nicht nur in der Lage, Texte zu verarbeiten, um Anweisungen zu folgen,  sondern sie können Texte sowohl inhaltlich wie auch sprachlich analysieren. Das eröffnet nicht nur für Schülerinnen und Schüler neue Möglichkeiten. Während diese sich Feedback geben lassen können, um bessere Texte zu schreiben, können Lehrkräfte KI-Plattformen didaktische Kriterien bezüglich Sprache, Inhalt, Struktur, erwarteten Kompetenzen und ähnlich vorgeben mit dem Ziel, Schülertexte entsprechend auswerten zu lassen.

Einige Anbieter von KI-Plattformen wie auch beispielsweise Cornelsen mit der KI-Toolbox cornelsen.ai haben bereits spezialisierte Module in ihre Angebote integriert oder sich sogar darauf spezialisiert, Textprodukte einer größeren Anzahl von Schülerinnen und Schülern nacheinander schnell und effizient über ein von der Lehrkraft angelegtes Bewertungsraster auswerten zu lassen. In diesem Zusammenhang lassen sich auch schnell und einfach Vorschläge für eine Bepunktung und sogar eine Bewertung erstellen. Gleiches ist möglich, wenn die KI-Plattform Fotos als Bestandteil von Prompts entgegen nimmt. So lassen sich sogar handschriftliche Textprodukte über die Plattform analysieren und bewerten.

Mit Blick auf Datenschutz ergeben sich aus diesen Möglichkeiten neue Herausforderungen. Ist es überhaupt zulässig, Schülertexte mittels KI-Plattformen auswerten zu lassen?

Möchte man auf einer der oben genannten datenschutzfreundlichen Plattformen Schülertexte unterstützend auswerten lassen, dürften dabei keine persönlichen Inhalte in die Prompts einfließen, keine Namen und auch keine biographischen Daten. Es versteht sich von selbst, dass so Lebensläufe wie auch sehr persönliche Texte nicht über KI-Plattformen ausgewertet werden können. Digitale Texte sehen vom Schriftbild alle gleich aus. Doch wie verhält es sich mit handschriftlichen Texten? Diese stellen zumindest aktuell immer noch den Großteil der von Schülerinnen und Schülern erstellten Texte dar. Man sollte davon ausgehen können, dass die Handschrift von Schülern kein Merkmal darstellt, über welches Betreiber der großen KI-Plattformen diese einer identifizierbaren Person zuordnen können, wenn sie solches entgegen ihrer Datenschutzrichtlinien für API Nutzer doch tun sollten. Zwei Gründe sprechen dafür. Zum Einen finden sich kaum handschriftliche Muster von jungen Menschen im Internet oder auf Social Media, die einen Abgleich und eine Zuordnung ermöglichen würden und zum Anderen müssten KI-Plattformen darauf trainiert sein, individuelle Handschriften als solche zu erkennen.

Bei nicht handschriftlichen, digital verfassten Texten kann man sicher davon ausgehen, dass es keine datenschutzrechtlichen Bedenken gibt, diese in einer KI-Plattform auswerten zu lassen, solange diese Texte frei von identifizierenden Merkmale, wie Namen oder persönlichen Inhalte bleiben. Geht es um handschriftliche Texte, werden diese Einschätzungen vermutlich nicht von jedem geteilt werden.

Eine Auswertung von Schülertexten sollte damit unter den genannten Bedingungen zumindest für nicht handschriftliche, digital verfasste Texte in den Grenzen der DS-GVO möglich sein. Gemäß Art. 22 DS-GVO haben Betroffene, hier Schülerinnen und Schüler, “das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung […] beruhenden Entscheidung unterworfen zu werden, die” ihnen “gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.” Im Fall einer Auswertung von Schülerarbeiten mittels einer KI-Plattform meint dies eine Leistungsbewertung, welche von der Lehrkraft unkontrolliert übernommen wird. Es ist somit beispielsweise nicht zulässig, dass eine Lehrkraft die von ihren Schülerinnen und Schülern erstellten Leistungsnachweise über eine KI-Plattformen anhand von zuvor eingegebenen Aufgabenstellungen sowie dem Erwartungshorizont und einem Bewertungsraster automatisiert auswerten lässt und anschließend die von der Plattform ermittelten Noten in ihr Notenprogramm übernimmt und am Ende des Halbjahres aus den so ermittelten Noten eine Endnote festlegt. Art. 22 DS-GVO lässt Ausnahmen zu, wenn es entsprechende Rechtsvorschriften gibt und dort auch festgelegt ist, wie die Rechte und Belange der betroffenen Personen geschützt werden. Entsprechende spezialgesetzliche Regelungen aus dem Schulrecht sind dem Verfasser des Beitrags aus den verschiedenen Bundesländern bisher nicht bekannt. Offizielle Vorstöße in Richtung der Korrektur von Klassenarbeiten mittels KI-Plattformen müssen diese Grenzen berücksichtigen, wie der Schulversuchs „proof – Prozessorganisation und Feedback“ in Bayern verdeutlicht. Im Rahmen dieses Projektes dürfen 16 Schulen den Einsatz von KI bei der Korrektur von Arbeiten erproben, um Lehrkräfte von Routineaufgaben zu entlasten, jedoch ausdrücklich beschränkt auf die Vorkorrektur zur Beurteilung der sprachlichen und inhaltlichen Richtigkeit von Arbeiten.1https://www.verkuendung-bayern.de/files/baymbl/2024/439/baymbl-2024-439.pdf

In der Praxis bedeutet das, eine Vorauswertung von Schülertexten mittels einer geeigneten KI-Plattform ist unter Beachtung der oben genannten Hinweise durchaus möglich, solange die Lehrkraft die Resultate nicht ungeprüft übernimmt und die abschließende Notenfindung selbst vornimmt. Wenn Lehrkräfte KI-Plattformen zur Unterstützung bei der Bewertung von Schülertexten einsetzen, sollten sie sich immer auch der Tendenz bei menschlichen Entscheidenden bewusst sein, “die Ergebnisse des Computers ohne Kritik oder weitere Kontrolle zu übernehmen (sogenannter „Automation Bias“),” vor welcher der Landesbeauftragte für Datenschutz Baden Württemberg in seinem 40. Tätigkeitsbericht warnt.

Auswirkungen der KI-VO

Nicht nur die DS-GVO setzt mit Art. 22 dem Einsatz von KI-Plattformen bei der Auswertung von Schülerarbeiten Grenzen, auch die KI-Verordnung hat an dieser Stelle rechtliche Relevanz, allerdings aus einem völlig anderen Blickwinkel.

Exkurs: Während die DS-GVO auf das Recht der Betroffenen auf informationelle Selbstbestimmung und das Verbot automatisierter Einzelfallentscheidungen ohne menschliche Kontrolle fokussiert, nimmt die KI-Verordnung der EU (AI Act/ KI-VO) mögliche Risiken, die für Betroffene aus einer Verarbeitung ihrer Daten mittels KI-Plattformen entstehen können, in den Blick. Sie stuft dafür KI-Plattformen, in der Verordnung als KI-Systeme bezeichnet, nach ihrem Einsatzzweck in Risikokategorien ein, die von minimalem Risiko über geringes und hohes Risiko bis zu unannehmbarem Risiko reichen. Mit Ausnahme von KI-Systemen, welche durch unannehmbare Risiken grundsätzlich verboten sind, gilt – je höher das potentielle Risiko, welches mit dem Einsatz eines KI-Systems verbunden ist, desto umfangreicher sind die daraus resultierenden Auflagen – für die Anbieter der Systeme sowie auch die Betreiber, hier die Schulen.

Speziell mit Blick auf Bildung beschreibt die KI-VO in Anhang III2https://artificialintelligenceact.eu/de/annex/3/, Nr. 3 KI-VO vier Kategorien von KI-Systemen, die als hochriskant gemäß Art. 6 Abs. 2 KI-VO einzustufen sind. Das sind KI-Systeme, die (a) dazu dienen einen Zugang zur Schule oder eine Einteilung in Lerngruppen zuzuweisen, die (b) Lernergebnisse bewerten und solche die darauf aufbauend Lernprozesse steuern, die (c) über die Bildungslaufbahn entscheiden und die (d) Prüfungen auf unzulässige Handlungen überwachen. Das hohe Risiko entsteht aus diesen KI-Systemen, “da sie den Bildungs- und Berufsweg einer Person bestimmen und daher die Fähigkeit dieser Person, ihren Lebensunterhalt zu sichern, beeinflussen können.3https://artificialintelligenceact.eu/de/recital/56/

Für die Einstufung als Hochrisiko-KI-System ist nicht entscheidend, was ein Nutzer damit vorhat, sondern wozu das System objektiv in der Lage ist und für welchen Einsatzzweck es bestimmt ist.

Bisher müssen Schulen beim geplanten Einsatz von KI-Systemen zur Auswertung von Schülerarbeiten lediglich die Vorgaben der DS-GVO, wie oben beschrieben, berücksichtigen. Mit dem schrittweisen Beginn der Umsetzung der KI-VO kommen nun deren Vorgaben noch hinzu. Für die Klassifizierung von KI-Systemen ist der Stichtag hier der 02.08.2026. Bis dahin gelten für Schulen weiterhin ausschließlich die Vorgaben der DS-GVO sowie gegebenenfalls landesspezifische Regelungen wie beispielsweise in Baden-Württemberg; die KI-Verordnung betrifft bis dahin nur einzelne Pflichten wie die Schulung der Mitarbeitenden zur KI-Kompetenz, nicht jedoch die konkrete Nutzung von KI-Plattformen im Unterricht. Ab dem Stichtag ist klar, KI-Plattformen, welche laut KI-VO in der allgemeinen oder beruflichen Bildung “zur Bewertung von Lernergebnissen eingesetzt werden sollen”, werden als „hochriskant“ klassifiziert. Eine Einstufung als Hochrisiko-KI-System entfällt gemäß Art. 6 Abs. 3 lit. d) KI-Verordnung nur dann, wenn das KI-System objektiv ausschließlich vorbereitende Aufgaben wie die Fehleranalyse in Schülertexten übernimmt, ohne selbst die Bewertung maßgeblich zu beeinflussen, und die Endbewertung eigenständig durch eine Lehrkraft erfolgt.

Sollte der Gesetzgeber eines Bundeslandes eine Rechtsgrundlage für die Nutzung von KI-Plattformen zur eigenständigen Bewertung von Lernergebnissen schaffen, so würde dies für Schulen, welche eine geeignete, spezialisierte Plattform entsprechend einsetzen wollen, ab August 2026 eine Anzahl von Pflichten mit sich bringen, vergleichbar denen, welche Schulen durch die DS-GVO auferlegt werden, je nach KI-System jedoch möglicherweise deutlich umfangreicher. Schulen werden geeignete KI-Plattformen zur Bewertung von Lernergebnissen u.a. daran erkennen können, dass sie als Hochrisiko-KI-Plattformen ein CE-Kennzeichen, eine EU-Konformitätserklärung sowie einen Eintrag in der zentralen EU-KI-Datenbank mit Informationen zu Einsatzzweck, Risikobewertung usw. nachweisen können. Derzeit ist ein solcher Schritt von Seiten der Schul- und Kultusministerien jedoch höchst unwahrscheinlich. Das wird auch so bleiben, solange KI-Modelle eine erhebliche Fehleranfälligkeit aufweisen, Anbieter nicht die notwendige Transparenz gewährleisten und der Einsatz solcher Systeme — angesichts der daraus resultierenden Risiken für Fairness, Transparenz und Nachvollziehbarkeit — einen nicht vertretbaren Eingriff in die Grundrechte der Schülerinnen und Schüler darstellen würde.

Zudem ist in diesem Zusammenhang zu beachten, dass eine Einwilligung der Schülerinnen und Schüler nach Art. 6 Abs. 1 lit. a DS-GVO in den Einsatz hochriskanter KI-Systeme regelmäßig keine tragfähige Rechtsgrundlage darstellen kann. Voraussetzung für eine wirksame Einwilligung ist ihre Freiwilligkeit, Informiertheit und die Möglichkeit, sie jederzeit ohne Nachteile zu verweigern oder zu widerrufen. Im schulischen Kontext ist eine echte Freiwilligkeit jedoch kaum anzunehmen, da Schülerinnen und Schüler sich in einem strukturellen Abhängigkeitsverhältnis zur Schule befinden. Aus diesem Grund bedarf der Einsatz hochriskanter KI-Systeme im Bereich der Leistungsbewertung einer spezialgesetzlichen Rechtsgrundlage, die die Interessen der betroffenen Personen angemessen schützt.

Möchte eine Schule ein KI-Modell mit allgemeinem Verwendungszweck im Sinne von Art. 3 Nr. 63 KI-VO für eine spezialisierte Anwendung, wie die Bewertung von Lernergebnissen, einsetzen, verkompliziert sich die Sache deutlich. Bereits durch die mit der Spezialisierung einhergehende Änderung des Einsatzzwecks könnte die Schule rechtlich selbst als Anbieter eines KI-Systems gelten, was umfassende zusätzliche Auflagen wie Risikomanagement, technische Dokumentationspflichten, Konformitätsbewertungen, CE-Kennzeichnung und die Eintragung in die EU-KI-Datenbank nach sich zieht.

Exkurs: ChatGPT, Claude, Gemini und DeepSeek gelten im Sinne der KI-VO als KI-Modelle mit allgemeinem Verwendungszweck, wohingegen die Angebote von Anbietern wie fobizz, FelloFish und vergleichbar nicht unter diese Kategorie fallen, da es sich bei ihnen um domänenspezifische KI-Systeme handelt, die für konkrete pädagogische Zwecke (z. B. Korrekturassistenz, Feedbackgenerierung) optimiert und nicht für eine „breite Palette unterschiedlicher Aufgaben“ ausgelegt sind.

Die KI-VO unterscheidet zwischen KI-Modell und KI-System. Ein KI-System basiert auf einem oder mehreren KI-Modellen, die in der Regel über eine Programmierschnittstelle (API) integriert oder direkt eingebettet werden. Das System wird dabei für einen konkreten oder allgemeinen Anwendungszweck gestaltet und über eine Benutzeroberfläche bereitgestellt. Greift ein Nutzer über seinen Browser auf ein Angebot wie ChatGPT zu, interagiert er mit dem KI-System von OpenAI, das auf dem KI-Modell GPT-4 basiert. Die von Anbietern wie SchulKI, fobizz und ähnlichen Plattformen angebotenen KI-Systeme integrieren verschiedene KI-Modelle, aus denen Nutzer je nach Anwendungszweck bzw. Tool auswählen können.

Viele Bildungs-KI-Anbieter werden voraussichtlich ihre KI-Bewertungsfunktionen weiterhin so ausgestalten, dass sie nur vorbereitende Aufgaben unterstützen, um einer Einstufung als Hochrisiko-KI und den daraus resultierenden Pflichten als Anbieter zu entgehen.

Als hochriskant kategorisiert die KI-VO in Anhang III, Nr. 3 nicht nur KI-Systeme zur “Bewertung von Lernergebnissen“, sondern auch solche, welche “diese Ergebnisse zur Steuerung des Lernprozesses natürlicher Personen” verwenden. Darunter fallen je nach technischer Ausgestaltung auch Adaptive Lernsysteme und Intelligente Tutorielle Systeme – ob ein System jedoch tatsächlich als Hochrisiko-KI gilt, hängt davon ab, ob es im Sinne der Verordnung „intelligent“ agiert (z. B. durch den Einsatz komplexer KI-Modelle mit diagnosefähiger Lernsteuerung) oder lediglich einfache Algorithmen nutzt.

Ein Blick nach Baden Württemberg

Was würde das in der Praxis heißen? Zunächst ein kurzer Blick nach Baden-Württemberg. Dort gibt es mit § 115b im Schulgesetz4https://www.landesrecht-bw.de/bsbw/document/jlr-SchulGBW1983V57P115b seit 2024 eine Regelung, welche Schulen das “Anwenden automatisierter, anpassungsfähiger Verfahren […] zum Zweck der technischen Unterstützung und Förderung des individuellen Lernweges” erlaubt. Ergänzt und präzisiert wird diese Regelung mit der Digitalunterrichtsverordnung5https://www.landesrecht-bw.de/bsbw/document/jlr-DigUVBWrahmen (DUVO). Automatisierte, anpassungsfähige Verfahren werden dort beschrieben als Computersysteme, die automatisch passende Lernangebote für Schülerinnen und Schüler auswählen, sich interaktiv an das Können und den Lernfortschritt der Lernenden anpassen, gezielt beim individuellen Üben helfen und Rückmeldungen geben. Zu den Informationspflichten gemäß Art. 13 und 14 DS-GVO werden Schulen auch Pflichten in Orientierung an der KI-VO auferlegt. Dazu gehören die Transparenzpflicht, welche Schulen durch Information über die Nutzung und Funktion des System erfüllen müssen, wie das Recht der Betroffenen zur Einsichtnahme, die Zweckbindung, mit welcher der Einsatzzweck eingeschränkt wird, das Verbot der Nutzung von Schülerdaten für Trainingszwecke und der Schutz der personenbezogenen Daten der Nutzer, wozu auch das Verbot gehört, in der Plattform personenbezogenen Daten besonderer Kategorien (Art. 9 DS-GVO zu verarbeiten. Eine Einsichtnahme der Lehrkräfte in die Lernfortschritte ist möglich, setzt jedoch eine Vorabinformation der Schülerinnen und Schüler über den Zeitpunkt voraus. Lehrkräfte dürfen im System erbrachte Leistungen “bei der Notenbildung oder anderen wesentlichen schulischen Entscheidungen” nur dann berücksichtigen, wenn sie diese “fachlich und pädagogisch” geprüft haben. Das bedeutet, um es noch einmal auf den Punkt zu bringen: will eine Lehrkraft in Baden-Württemberg die Leistungen ihrer Schülerinnen und Schüler in einem KI-gestützten System wie einem Adaptiven Lernsystem oder Intelligenten Tutoriellen System, dessen Nutzung in den Regelungsbereich der DUVO fällt, bewerten, setzt dieses voraus, dass vor der Einsichtnahme eine Information über den beabsichtigten Zeitpunkt erfolgt und die erbrachten Leistungen von der Lehrkraft fachlich und pädagogisch geprüft werden.

Ein Blick nach NRW

In NRW lassen sich Adaptive Lernsysteme und Intelligente Tutorielle Systeme unter Lehr- und Lernsysteme gem. § 120 Abs. 5 Satz 1 fassen6Siehe hierzu 29. Bericht 2024 LDI NRW; S. 47ff . Schulen können demnach entsprechende Systeme zur Erfüllung des Bildungs- und Erziehungsauftrags einsetzen und die dafür erforderlichen personenbezogenen Daten verarbeiten. Anders als in Baden-Württemberg findet sich im Schulgesetz NRW bisher keine bereichsspezifische Regelung zur Nutzung von KI-Plattformen oder Systemen, welche mit KI-Unterstützung arbeiten. Bestehende datenschutzrechtliche Grundsätze aus dem Schulgesetz und der DS-GVO sind hier anzuwenden, wie bei anderen Plattformen auch. Darüber hinaus müssen Schulen sich vorerst an der sperrigen KI-VO orientieren. Möchte eine Schule ein vom Schulträger bereitgestelltes Adaptives Lernsystem oder ein Intelligentes Tutorielles System nutzen, welches lediglich durch einfache Algorithmen gesteuert wird, geben alleine das Schulgesetz und die DS-GVO den Rechtsrahmen vor, innerhalb dessen eine Nutzung möglich ist. Mit dem Anbieter ist ein Vertrag zur Auftragsverarbeitung abzuschließen, Betroffene müssen vorab über die Datenverarbeitung informiert werden und die Nutzung ist nur im Rahmen des Erforderlichen möglich. Ist im Hintergrund ein KI-System aktiv, kommt auch die KI-VO ins Spiel. Die Schule müsste zunächst prüfen, ob das System  als Hochrisiko-KI gemäß Anhang III der KI-VO einzustufen ist. Das wäre beispielsweise dann der Fall, wenn das System zunächst über einen Kompetenz-Check einen Lernstand ermittelt, diesen bewertet bzw. zu einer Diagnose verarbeitet und daraus abgeleitet die weiteren Lernprozesse automatisch steuert, d.h. sich anpasst und Lernvorgaben ohne direkte menschliche Entscheidung verändert. Durch die Einstufung als Hochrisiko-KI ist die Schule verpflichtet, die Lernenden vorab entsprechend zu informieren. Lehrkräfte müssen jederzeit in der Lage sein, die Entscheidungen des KI-Systems zur Steuerung der Lernprozesse nachzuvollziehen und diese bei Bedarf anzupassen.

KI-Plattformen ohne hohes Risiko

Viele für den schulischen Einsatzzweck konzipierte Plattformen, deren Funktionen KI-Systeme integrieren, fallen nicht unter Hochrisiko-KI-Systeme, da sie Anwendungsbereiche adressieren, die nur mit minimalem oder geringem Risiko verbunden sind. Dazu gehören etwa Hilfestellungen beim Verfassen von Texten, automatisiertes Feedback auf Entwürfe, interaktive Chats mit historischen oder fiktiven Persönlichkeiten, Erstellung von Podcasts aus Texten, Erschließung von Texten durch Fragen an ein PDF, das Erstellen von Grafiken und Bildern usw. Solche Anwendungen unterstützen den Lernprozess oder die kreative Arbeit, greifen jedoch nicht maßgeblich in die Leistungsbewertung oder die Bildungslaufbahn der Schülerinnen und Schüler ein. Sie unterliegen daher nach der KI-VO weniger strengen Anforderungen und können unter Einhaltung allgemeiner Datenschutzvorgaben deutlich einfacher eingesetzt werden.

Anwendungen, die nur ein geringes Risiko im Sinne der KI-Verordnung darstellen, unterliegen keinem Konformitätsbewertungsverfahren, keiner CE-Kennzeichnung und auch keinen umfassenden Risikomanagementpflichten. Die oben genannten typischen Funktionen der schulischen KI-Plattformen — wie Textassistenz, Feedbacksysteme, Chats mit historischen Persönlichkeiten, Bild- oder Podcast-Erstellung sowie interaktive PDF-Auswertungen — dürften in der Mehrzahl unter diese Kategorie der Anwendungen mit geringem Risiko fallen. Für Schulen als Betreiber solcher Systeme bedeutet dies in erster Linie, dass die Transparenzpflichten nach Artikel 52 der KI-VO zu beachten sind und Nutzerinnen und Nutzer — hier Schülerinnen und Schüler sowie Lehrkräfte — klar und verständlich darüber informiert werden müssen, dass sie mit einem KI-System interagieren. Voraussetzung bleibt, wie bereits an anderer Stelle erwähnt, stets, dass die eingesetzten Plattformen datenschutzkonform betrieben werden, insbesondere keine sensiblen personenbezogenen Daten im Sinne von Artikel 9 DS-GVO unzulässig verarbeitet oder übermittelt werden.

Ausblick

Die KI-VO wird Schulen spätestens ab August 2026 vor zusätzliche Herausforderungen stellen, da dann vor allem die unter die Hochrisiko-KI-Systeme fallenden Plattformen nur noch rechtmäßig eingesetzt werden können, wenn die von der KI-VO festgelegten Anforderungen dabei eingehalten werden. Darüber hinaus verpflichtet die KI-Verordnung Schulen als Betreiber von KI-Systemen dazu, sicherzustellen, dass sowohl Lernende als auch Lehrkräfte über eine ausreichende Kompetenz im Umgang mit KI-Systemen verfügen („AI Literacy“). Diese Pflicht besteht bereits seit Februar 2025. Lehrkräfte müssen in der Lage sein, die Funktionsweise, Risiken und Grenzen der eingesetzten Systeme zu verstehen, um ihrer Rolle als menschliche Kontrollinstanz („Human Oversight“) gerecht werden zu können. Die KI-VO schreibt keine bestimmte Maßnahme zur Kompetenzentwicklung vor, sondern fordert lediglich das Ergebnis: den kompetenten und verantwortungsbewussten Umgang mit KI im schulischen Alltag. Die Vermittlung von KI-Kompetenz wird damit ein weiterer zentraler Aspekt der Schulentwicklung.

Bis August 2026 bleibt Schulen noch Zeit zu experimentieren, solange sie dabei die Grenzen von Art. 22 DS-GVO beachten. Je nach Bundesland können sie sich dabei sogar auf schon vorhandene Rechtsgrundlagen aus der Schulgesetzgebung stützen. Um die Schulen bei der Bewältigung dieser neuen Herausforderungen zu unterstützen, haben die Bundesländer in der Bildungsministerkonferenz am 10. Oktober 2024 vereinbart, Schulen und Schulträgern Orientierungshilfen für den rechtskonformen Einsatz von KI-Anwendungen bereitzustellen.7https://www.kmk.org/fileadmin/veroeffentlichungen_beschluesse/2024/2024_10_10-Handlungsempfehlung-KI.pdf (S. 10)

Wer sich selbst KI-kundig machen möchte, hat mit der Lektüre dieses Beitrags einen ersten Schritt dazu getan. Weitere hilfreiche Informationen finden sich u.a. unter:

Schulische Nutzung von KI Plattformen

Lesezeit: 9 Minuten

Im November 2022 ging OpenAI mit seinem generativen Sprachmodell ChatGPT an die Öffentlichkeit. Mehr als ein Jahr ist seither vergangen und die Entwicklung der “KI Plattformen” ist rasant fortgeschritten. ChatGPT und vergleichbare Plattformen wie Google Bard oder Claude von Anthropic haben sich weiterentwickelt, sind leistungsstärker geworden und haben neue Funktionen erhalten. Neben den großen Sprachmodellen (LLM), den textgenerierenden KI, entstanden auch bildgenerierende KI wie DALL-E von OpenAI oder Midjouney und Stable Diffusion. Aus einigen textgenerierenden KI wurden im Laufe der Monate so multimodale KI, Plattformen, die nicht nur textbasierte Inhalte erstellen können, sondern auch Bilder, Videos, Musik und Sprache, und neben Prompts im Textformat, auch Eingaben in Form von Bildern, Sprache, Ton und Video verarbeiten. Ergänzend zu API Schnittstellen haben Anbieter wie OpenAI neue Möglichkeiten geschaffen, die Funktionen ihrer Plattformen zu nutzen. Bei OpenAI ist das beispielsweise die Möglichkeit, eigene GPTs zu erstellen und anderen Nutzern zur Verfügung zu stellen. Einige dieser GPT integrieren dazu externe Dienste anderer Anbieter. Schon bevor es diese Möglichkeit gab nutzten zahlreiche Drittanbieter die API Schnittstellen der großen Anbieter, um darauf aufbauend eigene Produkte zu entwickeln. Die Palette reicht hier von Microsoft, wo ChatGPT und andere OpenAI KI Plattformen in eigene Produkte wie Microsoft  365 und Bing integriert wurden, über Apps für Mobilgeräte mit KI Funktionen bis zu Anbietern im Bildungsbereich, welche KI Funktionalitäten für Lehrkräfte und Schüler entwickelten Plattformen bereitstellen. Neben Anbietern, die auf die großen KI Plattformen der großen Anbieter setzen, kommen auch immer mehr Angebote auf den Markt, welche auf eigene KI Plattformen oder die Open Source Plattformen anderer Akteure setzen. Ergänzt werden diese Entwicklungen durch Anwendungen und spezialisierte Chips, die es ermöglichen, KI Plattformen jeglicher Art lokal auf Computern und digitalen Endgeräten wie Smartphones laufen zu lassen.

Schüler wie auch Lehrkräfte erkannten schon im November 2022 die Möglichkeiten, welche eine KI Plattform für die eigene Arbeit bringen kann, sei es für die Anfertigung von Hausaufgaben oder die Vorbereitung von Unterricht. Schnell war den am Bildungsprozess beteiligten Akteuren klar, dass Schule sich vor KI Plattformen nicht verschließen kann, sowohl mit Blick auf Medienerziehung wie auch als Werkzeug im Unterricht. Das Ministerium für Schule und Bildung (MSB) veröffentlichte nur drei Monate später im Februar 2023 seinen Handungsleitfaden Umgang mit textgenerierenden KI-Systemen. Andere Bundesländer folgten. Neben den Möglichkeiten zur unterrichtlichen Nutzung standen und stehen bei allen Handreichungen immer auch zwei rechtliche Aspekte im Fokus, Urheberrecht und Datenschutz.

ChatGPT, momentan im Zentrum aller Aufmerksamkeit und vermutlich der bislang meistgenutzte Anbieter, stand eine Zeit lang im Fokus der Aufsichtsbehörden. Italien verbot OpenAI gar die Bereitstellung seines Dienstes für Nutzer in Italien, bevor nicht einige Mängel abgestellt worden sind. Es ging u.a. um die Aufklärung italienischer Nutzer, dass ihre Daten möglicherweise zu Trainingszwecken verwendet und sachlich falsch von ChatGPT wiedergegeben werden könnten. Auch deutsche Aufsichtsbehörden wandten sich wiederholt mit Fragenkatalogen an den US Anbieter. ChatGPT ist in Italien wieder verfügbar und deutsche Aufsichtsbehörden kamen bisher nicht zu dem Schluss, zu vergleichbaren drastischen Maßnahmen greifen zu müssen. Auf Schulen hatte all das ohnehin keine Auswirkung. Auch eine Änderung der Geschäftsbedingungen von OpenAI bezüglich der Nutzung der KI Dienste via API im Januar wirkte sich nicht auf die Nutzung in Schulen aus. Der Anbieter hatte seine Nutzungsbedingungen im November 2023 um eine Passage ergänzt, die Drittanbieter verpflichten soll, von den Eltern von Schülerinnen und Schülern unter 16 Jahren vor Nutzung eine Einwilligung einzuholen. Vom Landesdatenschutzbeauftragte von Rheinland-Pfalz, Dieter Kugelmann, kam hier Entwarnung. Nach seiner Einschätzung ist eine Zustimmung von Eltern minderjähriger Schülerinnen und Schülern nicht erforderlich. 

Mit der Entwicklung der textgenerierenden KI hin zu multimodalen KI mit neuen Ein- und Ausgabeformaten haben sich auch neue datenschutzrechtliche Herausforderungen ergeben. Wie sich im Verlauf der weiteren Betrachtungen zeigen wird, hat sich an den bisherigen Empfehlungen zu einer datenschutzfreundlichen schulischen Nutzung von KI Plattformen nichts wesentlich verändert. Ergänzt werden müssen die Empfehlungen jedoch vor allem mit Blick auf neue Eingabeformate, das meint hier vor allem Prompts in Form von Bild und Ton, also Spracheingaben sowie Fotos und Videos als Eingaben.

Beschränkt auf textgenerierende KI wie ChatGPT und die Eingabe von Prompts ausschließlich in Form von digitalem Text, konnten bisher als datenschutzfreundlich folgende Nutzungsszenarien empfohlen werden:

  • Die Lehrkraft hat einen privaten Zugang, kostenlos oder kostenpflichtig, und nimmt die Prompts der Lerngruppe an, gibt sie selbst ein und teilt die Ergebnisse mit der Lerngruppe. Für Schülerinnen und Schüler bestehen keine Risiken, da sie nicht direkt mit der Plattform interagieren.
  • Die Lehrkraft verfügt über einen Drittanbieterzugang, der von der Schule/ dem Träger/ Bundesland/ Medienzentrum bereitgestellt wird, und die Schule hat einen Vertrag zur Auftragsverarbeitung (AVV) mit dem Anbieter abgeschlossen. Über den Drittanbieterzugang kann die Lehrkraft anonyme Schülerzugänge erstellen. Für Schülerinnen und Schüler entstehen bei Einhaltung zuvor festgelegter Spielregeln keine Risiken bei einer Interaktion mit der Plattform.
  • Die Schule hat einen eigenen Zugang, API Schlüssel und AVV mit dem Anbieter abgeschlossen und erstellt mit Oberstufenschülern eine eigene Plattform zur Nutzung der KI via API. Sind die Spielregeln klar, ist eine Nutzung mit älteren Schülerinnen und Schülern ab 16 Jahren möglich. Die Risiken sind begrenzt.
  • Die Schule hat lokal als App auf Computern oder Tablets laufende KI Anwendungen. Eine Nutzung ist für Schülerinnen und Schüler ohne Risiken möglich, da keine Daten an Dritte abfließen. Trotzdem sollte es zuvor abgesprochene Spielregeln geben.

Risiken für Nutzer von KI Plattformen von Anbietern wie OpenAI, Microsoft, Google, Anthropic usw. ergeben sich vor allem aus den Inhalten von Prompts, wenn diese einen Personenbezug herstellen lassen. In Kombination mit einem individuellen Nutzerkonto beim KI Anbieter nehmen die Risiken noch einmal deutlich zu.  Weitere Risiken können sich prinzipiell aus den Metadaten wie Gerätekennungen, Standortdaten, Cookies und Trackern ergeben, die es erlauben, einen Nutzer zu identifizieren. Werden Dateien wie Bild- und Tonaufnahmen  zu Bestandteilen von Prompts, können mit diesen zusätzliche Metadaten übermittelt werden. Fotos und Videos, die Personen abbilden oder Spracheingaben enthalten weitere Daten, die einen Personenbezug herstellen lassen, wenn sie an die Anbieter der KI Plattformen übermittelt werden.

Auch wenn die großen US Anbieter in ihren Datenschutzerklärungen, Geschäftsbedingungen und Verträgen zur Auftragsverarbeitung mittlerweile ausschließen, von Nutzern eingegebene Prompts und andere Daten zu Trainingszwecken zu verwenden, bleibt die Übermittlung von personenbezogenen oder -beziehbaren Daten auf die Server von US Anbietern problematisch und ist im Rahmen unterrichtlichen Nutzung von KI Plattformen zur Erfüllung des Bildungs- und Erziehungsauftrags von Schulen nicht vertretbar.

Bei einer Nutzung via API über einen Drittanbieter reduzieren sich mögliche Risiken aus der Interaktion von Nutzer mit einer KI Plattform deutlich. Das individuelle Nutzerkonto und Metadaten der Geräte, mit welchen der Zugriff erfolgt, entfallen und erlauben es den KI Anbietern nicht, darüber den Bezug zu einer identifizierbaren Person herzustellen. Risiken könnten jetzt nur noch entstehen, wenn Prompts persönliche oder auf eine Person beziehbare Informationen enthalten. Diese Informationen können Teil von eingegebenen Texten wie auch von Bild- und Tondaten sein, bei Stimmeingaben die Stimme selbst und bei Prompts in Form von Bild- und Tonmedien die mit ihnen verbundenen Metadaten. Welche Risiken sich im Einzelnen ergeben können, hängt jeweils vom KI Plattform Anbieter ab, der Ausgestaltung der API und der Art und Weise, wie bzw. in welcher Form der Drittanbieter die Daten der Prompts an den Plattformanbieter übermittelt. Werden die Daten beim Drittanbieter bereits aufbereitet, wie dieses bei Prompts in Form von Texteingaben in der Regel der Fall ist, oder werden die Inhalte der Prompts wie im Fall von Bilddateien  weitestgehend unverändert auf die Server des Plattformanbieters übertragen, wo dann die KI Anwendung mit ihnen interagiert?

Im Tätigkeitsbericht der Aufsichtsbehörde Baden Württemberg für 2023 findet sich auch ein kurzer Bericht zu einer Beratungstätigkeit, deren Gegenstand ein in der Entwicklung befindliches Moodle-Modul fAIrchat war. Dieses Modul nutzt ChatGPT von OpenAI über die vom Anbieter bereitgestellte API und zu den dazu gehörenden Terms of Use, die zusichern, dass Nutzerdaten nicht zu Weiterentwicklung oder Verbesserung von ChatGPT verwendet werden. Metadaten der einzelnen Nutzer werden durch den Zugriff auf ChatGPT über die API nicht an den Anbieter übermittelt. Eine Nutzungsordnung für fAIrchat untersagt Nutzern die Eingabe von personenbezogenen Daten. Ein individuelles Konto beim KI Anbieter gibt es nicht. Außerdem gibt fAIrchat Lehrkräften die Möglichkeit, Eingaben der Lernenden nachträglich einzusehen. Die Aufsichtsbehörde kommt zu dem Schluss  „Sofern zusätzlich die jeweilige Lehrkraft die Schüler_innen auch ausdrücklich und für sie verständlich darüber aufklärt, dass sie keine personenbezogenen Daten in das System eingeben dürfen, und die Lehrkraft die Eingaben der Schüler_innen nachträglich überprüfen kann, die nachträgliche Kontrolle durch die Lehrkraft auch tatsächlich risikoangemessen zumindest stichprobenhaft erfolgt, scheint uns unter diesen Voraussetzungen eine Verwendung dieser KI im Rahmen des Unterrichts datenschutzrechtlich vertretbar.1Eltern müssen einer schulischen Anwendung von Künstlicher Intelligenz nicht zustimmen. Das gilt auch für minderjährige Schüler. So sieht das jedenfalls der Datenschutzbeauftragte von Rheinland-Pfalz, Dieter Kugelmann. Der Datenschützer mischt sich damit in eine Diskussion um die Nutzung von ChatGPT über Dritt-Accounts durch Lehrkräfte und Schüler ein. Eine Änderung der „terms of business“ von OpenAI für Drittanbieter hatte verlangt, dass bei der Nutzung durch Minderjährige die Eltern zustimmen müssen. (Table.Media berichtete)

Das bedeutet, sind die folgende Bedingungen erfüllt:

  • Nutzung durch Schülerinnen und Schülern via API entsprechend den Terms of Use,
  • Nutzungsordnung, welche die Verwendung von personenbezogenen Daten untersagt,
  • Aufklärung der Schülerinnen und Schülern über die Nutzungsregel – keine Eingabe von personenbezogenen Daten,
  • Möglichkeit der stichprobenhaften nachträglichen Kontrolle von Eingaben durch die Lehrkraft und tatsächliche Umsetzung dieser Maßnahme durch die Lehrkräfte,

sieht man von Seiten der Aufsichtsbehörde keine datenschutzrechtlichen Probleme bei einer unterrichtlichen Nutzung. 

Das lässt sich auch auf die unterrichtliche Nutzung multimodaler KI Plattformen via API und Drittanbieter übertragen. Es müssen hierzu allerdings vergleichbare Bedingungen hergestellt werden. 

Fotos und Bilder als Bestandteile von Prompts

  • Selbst angefertigten Fotos hängen in der Regel neben GPS Daten auch Gerätedaten als Metadaten an, über die Nutzer potentiell immer identifizierbar sind, sofern es sich dabei um private Endgeräte handelt. Um die Übertragung dieser Daten zu vermeiden, sollten selbst angefertigte Fotos für Prompts immer nur mit schulischen Endgeräten aufgenommen werden. Gleiches gilt, wenn Zeichnungen angefertigt werden, die einer bildgenerierenden KI Plattform als Vorlage für eine Ausarbeitung dienen sollen. 
  • Soll ein auf einem privaten Endgerät angefertigtes Foto oder Bild für einen Prompt genutzt werden, muss es über eine entsprechende Software/ App von den Metadaten befreit werden. Ist dies nicht möglich, ist eine Verwendung für einen Prompt nicht zu empfehlen.
  • Analog zu Texteingaben dürfen Prompts in Form von Fotos oder Zeichnungen und ähnlich keine Personen aus der Schule oder dem Umfeld der Schüler erkennbar abbilden. Dabei ist es unerheblich, ob diese Fotos oder Zeichnungen speziell für einen Prompt angefertigt werden oder aus anderen Quellen stammen. 
  • Die Eingabe von Fotos mit handschriftlich bearbeiteten Aufgaben, etwa Aufsätzen oder Rechenaufgaben, sollte keine Risiken für Schülerinnen und Schüler erzeugen, solange die abfotografierten Blätter keine Daten wie Namen und Klasse enthalten, welche, eine Identifizierung ermöglichen. Die Identifizierung einer Person über ihre Handschrift setzt voraus, dass andere Handschriftproben öffentlich abrufbar online vorliegen und dort mit weiteren die Person identifizierenden Daten verknüpft ist. Bei Kindern und Jugendlichen ist das sehr unwahrscheinlich.

Videos als Bestandteile von Prompts

  • Werden Videos auf privaten Endgeräten angefertigt, bestehen durch die mit ihnen verbundenen Metadaten bei einer Nutzung für Prompts die gleichen Probleme wie bei Fotos und Bildern. Entsprechend sollten auch hier neutrale Schulgeräte für die Anfertigung genutzt werden.
  • Für die Inhalte von Videos gelten die gleichen Vorgaben wie für Fotos und Bilder. Sie dürfen keine Personen aus der Schule oder dem Umfeld der Schüler erkennbar abbilden, egal ob sie speziell für einen Prompt angefertigt wurden oder aus einer anderen Quelle stammen. Videos dürfen auch keine Inhalte zum Gegenstand haben, welche es ermöglichen, die genannten Personen zu identifizieren.

Tonaufnahmen als Bestandteile von Prompts

  • Bei Tonaufnahmen über private Endgeräte besteht unabhängig vom Inhalt der Aufnahme auch hier das Problem der Metadaten. Welche dieses sind, hängt vom Endgerät, der genutzten App und vom Betriebssystem ab. Um Risiken zu vermeiden, sollten auch sie nicht über Prompts übermittelt werden.
  • Enthalten die Tonaufnahmen Stimmen, so lassen sich darüber Personen potentiell identifizieren. Wie bei Fotos, Bildern und Videos dürfen Tonaufnahmen keine Personen aus der Schule oder dem Umfeld der Schüler erkennbar abbilden und auch keine Inhalte haben, welche es erlauben, diese Personen zu identifizieren, egal ob sie speziell für einen Prompt angefertigt wurden oder aus einer anderen Quelle stammen.
  • Direkte Spracheingaben von Prompts durch Nutzer sollten nur dann erfolgen, wenn der Drittanbieter die Umwandlung von Sprache zu Text auf eigenen Servern vornimmt. Das ist möglich, da Whisper AI, die Plattform von OpenAI, als Open Source Lösung auch selbst betrieben werden kann. Da die Anwendung sehr rechenintensiv ist, nutzen nicht alle Drittanbieter diese Möglichkeit. Es reicht nicht, wenn Drittanbieter die Sprachaufnahmen auf eigenen Servern speichern und dann zur Transkription an den KI Plattformanbieter übermitteln. Schülerinnen und Schüler, welche die Spracheingabe nutzen wollen oder müssen, sollten stattdessen die Diktierfunktion des Endgerätes nutzen. 

Die Regeln für die Eingabe von Prompts in Form von Fotos, Bildern, Videos und Ton sollten in einer Nutzungsordnung festgehalten werden und Schülerinnen und Schüler müssen darüber aufgeklärt sein. Lehrkräfte sollten die Möglichkeit haben, die Prompts ihrer Schülerinnen und Schüler stichprobenhaft zu kontrollieren und diese Möglichkeit auch nutzen. Für Drittanbieter aus Deutschland, welche die beschriebenen Voraussetzungen erfüllen, sind beispielhaft Fobizz und SchulKI zu nennen. Beide lassen sich entsprechend datenschutzfreundlich nutzen und bieten die für Schulen wichtigen Verträge zur Auftragsverarbeitung an. Bei Fobizz ist es zusätzlich möglich, in den Einstellungen zwischen verschiedenen KI Plattformanbietern zu wählen. Das heißt, wer ChatGPT nicht nutzen möchte, kann auf Alternativen wechseln, darunter auch EU Anbieter. Einige Bundesländer haben bei den Anbietern Landeslizenzen erworben.

Schulen in NRW sollte außerdem beachten, dass die Verarbeitung von Bild- und Tonaufnahmen durch die Schule nach der aktuellen Rechtslage einer Einwilligung bedarf. Sollen sie als Prompts verwendet werden (100% EU Anbieter, lokal laufende KI App), ist ein entsprechender Verarbeitungszweck in der Einwilligung anzugeben.

Nutzung durch Lehrkräfte

KI Plattformen sind nicht nur für den Unterricht von Interesse, sondern auch für die Vor- und Nachbereitung von Unterricht. Während die Erstellung von Unterrichtsmaterialien mittels KI in der Regel unproblematisch ist, da es hier zumeist nicht um personenbezogene Daten geht, können diese bei der Nachbereitung von Unterricht durchaus relevant sein.

Soll eine KI Plattform genutzt werden, um individuelles Feedback zu Schülerarbeiten zu erstellen oder um sie für eine Bewertung analysieren zu lassen, ist es erforderlich, die Schülerarbeiten als Prompt in die Anwendung zu laden. Es gelten hier für Lehrkräfte letztlich die gleichen Spielregeln, die auch für Schülerinnen und Schüler gelten. Solange die Prompts keine personenbezogenen oder -beziehbaren Daten enthalten, ob direkt als Inhalt oder in Form von Metadaten, entstehen bei einer Nutzung als Bestandteile von Prompts keine Risiken für Betroffene. Für die Eingabe von Sprachaufnahmen, etwa zur Auswertung von durch Schülerinnen und Schüler erstellte Podasts oder anderen gesprochenen Lernprodukten, gelten die bereits beschriebenen Einschränkungen. Auch die Erstellung von auf einzelne Lernende zugeschnittenen individuellen Unterrichtsmaterialien ist unproblematisch, solange dazu keine personenbezogenen Daten in Prompts eingegeben werden. Hier reicht in der Regel der Verzicht auf Namen und weitere biographische Daten, um mögliche Risiken auszuschließen.

Perspektiven schulischer KI Nutzung

Verglichen mit den ersten Monaten nachdem OpenAI mit ChatGPT die KI Welle losgetreten hatte, haben sich die Bedingungen für eine schulische Nutzung eindeutig verbessert und tendenziell werden die Bedingungen mit den ersten sich am Markt etablierenden ernstzunehmenden europäischen Anbietern mit eigenen KI Modellen und Plattformen sogar noch besser. Auch wenn die KI Plattformen von US Anbietern durch die vermittelnden Dienste von Drittanbietern mittlerweile datenschutzfreundlich nutzbar sind, ist die unterrichtliche Nutzung mit deutlichen Einschränkungen verbunden. Persönliche Inhalte müssen außen vor bleiben. Die Optimierung eines Lebenslaufes oder das Verfremden eines Portraits ist so unter keinen Umständen möglich. Schülerinnen und Schüler müssen wissen, warum das so ist, die Risiken kennen und sich an die vereinbarten Spielregeln halten. Mit europäischen Anbietern, die einen Vertrag zur Auftragsverarbeitung anbieten und bezüglich ihres Modells ausreichende Transparenz herstellen, sollten diese Grenzen in Zukunft fallen. Perspektivisch werden es auch die Plattformen dieser Anbieter sein, welche dauerhafter Bestandteil von schulischen Landesplattformen sind. Die voranschreitende Optimierung von KI Anwendungen und die gleichzeitige Entwicklung von immer leistungsfähigeren Prozessoren sowohl für stationäre wie auch mobile Endgeräte erlaubt es zunehmend, diese KI Anwendungen als Apps lokal laufen zu lassen. Auch das wird für Schulen neue Möglichkeiten bieten, da in Prompts eingegebene Daten dann die Schule nie verlassen, sondern auf den Endgeräten gespeichert werden.

LeOn – Leseraum Online – neue Plattform für Schulen in NRW

Lesezeit: 2 Minuten

Seit wenigen Wochen ist für Grundschulen und Schulen der Sekundarstufe 1 in NRW die Plattform LeON verfügbar. Die Plattform für die Klassen 1 – 6 dient der Leseförderung und ist kostenlos nutzbar. Neu für NRW ist, dass diese Plattform erstmals über VIDIS eingebunden wird. Der Zugang zu LeOn erfolgt über die Bildungsmediathek NRW. Schulen, welche bereits die Basis Plattform Logineo NRW nutzen, finden dort den Zugang zur Bildungsmediathek. Wer die Basisplattform das Landes nicht nutzt, benötigt den Zugang direkt über die Bildungsmediathek. Er kann auf der Seite auf der Seite der Bildungsmediathek NRW  unter “Login” beantragt werden.

Vertrag zur Auftragsverarbeitung

Um die Plattform für die Schule zu erhalten, muss die Schulleitung zunächst den Vertrag zur Auftragsverarbeitung (AVV) mit dem Anbieter abschließen. Dieses erfolgt in 4 Schritten unter Auftragsverarbeitung personenbezogener Daten. Dazu meldet sich die Schulleitung zunächst in VIDIS an bzw. erstellt ein Konto in der Plattform. Dort eingeloggt findet man dann die Plattform LeOn und eine Möglichkeit, die Plattform zu aktivieren. Zur erfolgreichen Aktivierung müssen die Nutzungsbedingungen und der AVV bestätigt werden. Nach dem Abgleich der Daten durch durch den Anbieter erfolgt die Freischaltung des Zugangs, der dann in der Bildungsmediathek NRW möglich ist.

Einführung zur verbindlichen Nutzung per Schulkonferenzbeschluss

LeOn sollte sich als Lehr- und Lernplattform gemäß § 120 Abs. 5 Satz 2 in Verbindung mit § 8 Abs. 2 SchulG NRW nach Vorschlag durch den Schulträger durch die Schulkonferenz zur verbindlichen Nutzung an der Schule einführen lassen.1Auch wenn die Schule die Plattform selbständig beantragt und dem Schulträger keine Kosten durch die Einführung entstehen, sollte man den Schulträger darum bitten, die Plattform zur Nutzung vorzuschlagen, denn nur dann ist die verbindliche Einführung auf der genannten Rechtsgrundlage möglich.

Informationen zur Datenverarbeitung

Auch wenn LeOn ohne Einwilligung genutzt werden kann, ist eine Information zur Datenverarbeitung erforderlich. Diese findet sich auf der Website unter Datenschutz und wurde bereits auf die Zielgruppe Nutzer/ Eltern ausgerichtet. Darüber hinaus findet sich auf der Website ein vorbereitetes Informationsschreiben für Eltern, das auch als DOCX Datei heruntergeladen und auf die eigene Schule angepasst werden kann. In diesem Schreiben sind die Nutzungsbedingungen wie auch die Datenschutzerklärung verlinkt.

Verzeichnis der Verarbeitungstätigkeiten der Schule

Der Anbieter weist bei der Beauftragungsseite zum AVV darauf hin, dass Schulen, die LeOn nutzen, die dabei stattfindenden Verarbeitungen von personenbezogenen Daten in das Verzeichnis der Verarbeitungstätigkeiten der Schule aufnehmen müssen. Die dafür erforderlichen Informationen finden sich in der Datenschutzerklärung. Die folgende Vorlage könnte man als Grundlage dafür nehmen.

Nutzung pseudonymisierter Daten durch den Anbieter der Plattform

Wie sich aus der Datenschutzerklärung heißt es:

Der Verantwortliche überträgt pseudonymisierte Nutzungsdaten an die Professur Fachdidaktik Deutsch am Zentrum für Lehrerbildung der TU Chemnitz. Dabei werden alle identifizierenden Daten (z.B. Namen) entfernt, sodass die die Professur Fachdidaktik Deutsch am Zentrum für Lehrerbildung der TU Chemnitz nicht auf einzelne Personen zurückschließen kann. Diese Nutzungsdaten zu Nutzungsdauer, Bearbeitungszeit einzelner Aufgaben und ähnliche Daten nutzt die Professur Fachdidaktik Deutsch am Zentrum für Lehrerbildung der TU Chemnitz für die quantitative und qualitative Analyse des Nutzungsverhaltens von Lehrkräften und Schülern zum Zwecke der wissenschaftlichen Auswertung der Daten.

Rechtsgrundlage für die Pseudonymisierung ist das berechtigte Interesse der Professur Fachdidaktik Deutsch am Zentrum für Lehrerbildung der TU Chemnitz nach Art. 6 (1) f) DSGVO an der Analyse der Nutzung von LeOn zum Zwecke der Forschung und Verbesserung. Da die Professur Fachdidaktik Deutsch am Zentrum für Lehrerbildung der TU Chemnitz aus den Daten keine Rückschlüsse auf einzelne Personen ziehen kann, ist ein der Übertragung pseudonymisierter personenbezogener Daten entgegenstehendes Interesse nicht erkennbar.

Dass der Anbieter Nutzungsdaten für eigene Zwecke auf der Grundlage von berechtigtem Interesse gem. Art. 6 Abs. 1 lit. f DS-GVO nutzen darf, ist aus datenschutzrechtlicher Sicht interessant, auch mit Blick auf andere Plattformen, bei denen eine Nutzung von Nutzungsdaten zu eigenen Zwecken sehr kritisch gesehen wird.2Man kann hier sicherlich nicht Äpfel mit Birnen vergleichen. Die TU gilt als vertrauenswürdige Institution und man geht davon aus, dass hier kein Missbrauch mit den Daten getrieben werden wird.

Erprobungsstufenkonferenz

Lesezeit: 2 Minuten

In Grundschulen kommt immer wieder die Frage auf, welche Informationen weiterführenden Schulen über die ehemaligen Schülerinnen und Schüler gegeben werden dürfen.

Es gilt wie überall die Grundregel, dass eine Schule die personenbezogenen Daten der Schülerinnen und Schüler nur Personen zugänglich machen darf, sofern es dafür eine Rechtsgrundlage im Schulgesetz NRW gibt oder die Betroffenen, hier die Eltern der Grundschülerinnen und Schüler, der Übermittlung zuvor zugestimmt haben.

Für die Weitergabe an weiterführende Schulen gibt es eine wichtige Rechtsgrundlage, die es Grundschulen erlaubt, Daten ihrer ehemaligen Schülerinnen und Schüler preiszugeben. Das ist § 10 Abs. 4 Ausbildungs- und Prüfungsordnung Sekundarstufe I – APO-S I (BASS 13-21 Nr. 1.1):

“Für Zusammensetzung, Stimmberechtigung und Verfahren der Erprobungsstufenkonferenzen gilt § 50 Absatz 2 Schulgesetz NRW. Den Vorsitz führt die Schulleiterin oder der Schulleiter oder eine mit Koordinierungsaufgaben beauftragte Lehrkraft. Die Lehrkräfte, die die Schülerin oder den Schüler in der Grundschule unterrichtet haben, können an den Erprobungsstufenkonferenzen teilnehmen.”

Während der zweijährigen Erprobungsstufe, Klasse 5 und 6, finden gem. § 10 Abs. 3 APO-SI jährlich drei sogenannte Erprobungsstufenkonferenzen statt. In diesen wird “über die individuelle Entwicklung der Schülerin oder des Schülers, über etwaige Schwierigkeiten, deren Ursachen und mögliche Wege zu ihrer Überwindung und über besondere Fördermöglichkeiten beraten.

Um hier optimal beraten zu können, werden zu einer der ersten Erprobungsstufenkonferenzen in der Regel auch die ehemaligen Lehrerinnen und Lehrer der Schülerinnen und Schüler an der Grundschule eingeladen, denn diese kennen die Kinder meist schon über einen längeren Zeitraum. Auf der Grundlage von § 10 Abs. 4 APO-SI könnten sich die Lehrkräfte der weiterführenden Schule deshalb mit ihren Kolleginnen und Kollegen aus der Grundschule über die einzelnen Kinder austauschen, soweit es um Noten, konkrete Probleme, bewährte Strategien, ein Kind zu unterstützen und ähnlich geht. Die Grenzen des Austauschs setzt wie immer auch hier § 120 Abs. 1 Satz 2 SchulG NRW, wonach die gespeicherten personenbezogenen Daten in der Schule nur den Personen zugänglich gemacht werden dürfen, die sie für die Erfüllung ihrer Aufgaben benötigen. Hier geht es dann konkret um die Aufgabenerfüllung der Erprobungsstufenkonferenz. Entsprechend heißt es im Wingen Kommentar zu Schulgesetz:

Die Grundschullehrkräfte dürfen personenbezogenen Angaben ihrer früheren Schülerin oder ihres ehemaligen Schülers in der Erprobungsstufenkonferenz an die anderen Mitglieder (nur) übermitteln, soweit diese Angaben zur Aufgabenerfüllung der Konferenz erforderlich sind.14. Erg.-Lfg., SchulG NRW – Kommentar, März 2008, Katernberg

Streng genommen bedeutet das auch, dass bei Anwesenheit von Lehrkräften verschiedener Grundschulen in einer Erprobungsstufenkonferenz kein Austausch über einzelne Schülerinnen und Schüler zulässig ist. Es kann dann nur über allgemeine Probleme und Maßnahmen gesprochen werden. Soll über einzelne Schülerinnen und Schüler gesprochen werden, müssen die Gespräche auf die zuständigen Personen begrenzt werden. In einem größeren Raum lässt sich dieses beispielsweise umsetzen, in dem die Grundschullehrkräfte einzelne Tische erhalten und dort dann von den Lehrkräften der weiterführenden Schule, die nun die ehemaligen Schülerinnen und Schüler unterrichten, besucht werden können.

Die Beschränkung des Austauschs über Kinder auf die zur Aufgabenerfüllung der Konferenz erforderlichen Daten bedeutet darüber hinaus, dass es über Kinder, die in der Erprobungsstufe keine Probleme haben, diesen Austausch eben nicht gibt.

Dass auch die Grundschullehrkräfte bei der Teilnahme an der Erprobungsstufe Informationen über ihre ehemaligen Schülerinnen und Schüler erhalten, liegt in der Natur der Sache.

Stand 08/2023

Empfehlungen für die Konfiguration von iPads für Schüler:innen

Lesezeit: < 1 Minute

In Schulen kommen iPads als Schüler Endgeräte in verschiedenen Settings zum Einsatz. Es geht um unpersonalisierte Geräte, wie sie in iPad Koffern und anderen Aufbewahrungsbehältnissen, in verschiedenen Klassen zum Einsatz kommen, um shared iPads, die ihre festen Nutzer haben, um Geräte in 1:1 Ausstattungen und um Leihgeräte.

Die folgenden Empfehlungen sollen die Belange der verschiedenen Beteiligten berücksichtigen, eine Administration mit verhältnismäßigem Aufwand, Sicherheit für das Gerät wie auch die schulische Infrastruktur, Schutz der Daten der Nutzer wie auch die unterrichtliche Nutzbarkeit gemäß den pädagogischen Zielsetzungen der Schule. Der Fokus liegt immer erst auf letzterem und wird dann abgewogen mit den anderen Belangen. Die Empfehlungen sind ein Gemeinschaftswerk, an dem sich verschiedene Lehrkräfte unterschiedlicher Schulen und Schulformen beteiligt haben.

Microsoft 365 – Stand Februar 2023

Lesezeit: 5 Minuten
Hinweis: Bitte beachten Sie auch die geänderten FAQ zu MS365 des MSB NRW. Weitere Infos dazu unter Änderungen in den FAQ Datenschutz beim MSB NRW

Die Nutzung von Microsoft 365 ist schon seit Jahren eine Hängepartie für Schulen. Permanent scheint das Ende nahe. Die Position der LDI NRW zur schulischen Nutzung von Microsoft 365 ist durch verschiedene Veröffentlichungen und Äußerungen bekannt. Die letzte Aussage in schriftlicher Form stammt von Oktober 2022 aus der Schrift  Digitaler Unterricht in Schulen – Der Grundstein ist gelegt.

Im November veröffentlichte dann die Datenschutzkonferenz (DSK) ihre Bewertung, die anders als 2020 einstimmig von allen Aufsichtsbehörden so beschlossen wurde. Ergebnis der Bewertung war, dass Schulen Microsoft 365 nicht datenschutzkonform nutzen können, da die Schulleitungen als Verantwortliche nach Einschätzung der DSK aufgrund fehlender Informationen durch Microsoft nicht in der Lage sind, ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nachzukommen. Man sieht darüber hinaus auch Mängel bezüglich des Vertrags zur Auftragsverarbeitung, den Schulen mit Microsoft abschließen.1Siehe dazu auch Warum die Datenschutzkonferenz MS365 in Schulen nicht für nutzbar hält

Was bedeutet diese Entwicklung nun für die Schulen in NRW?

Im Beitrag Warum die Datenschutzkonferenz MS365 in Schulen nicht für nutzbar hält im News Bereich dieser Website wird beschrieben, welche Möglichkeiten der Aufsichtsbehörde NRW zur Verfügung stehen, wenn sie Schulen gegenüber Konsequenzen aus der Bewertung der DSK folgen lassen will. Doch müssen Schulen jetzt damit rechnen, dass die Aufsichtsbehörde nachforscht, ob man Microsoft 365 nutzt und dass in Folge eine Nutzung möglicherweise untersagt wird, falls man nicht von sich aus auf eine andere Lösung wechselt?

Aktuell deutet nichts darauf hin, dass die Aufsichtsbehörde des Landes NRW von ihrer bisherigen Linie abweichen wird. Sie hat im letzten Jahresbericht wie auch in der oben erwähnten Schrift – ohne Namen zu nennen – öffentlich kundgetan, dass sie eine datenschutzkonforme Nutzung von Microsoft 365 und vergleichbaren Plattformen nicht für möglich hält, jedoch nicht den Weg der Verbote gehen, sondern mit Überzeugung arbeiten möchte. So weit wie etwa der LfDI Thüringen, der dieses auch medienwirksam in die breite Öffentlichkeit trägt und dort ankündigt, wie man nun weiter verfahren möchte, ist die LDI NRW bisher nicht gegangen. Äußerungen aus ihrem Haus lassen dergleichen auch nicht erwarten.

Die LDI NRW hat aktuell demnach nicht vor, Microsoft 365 aus allen Schulen des Bundeslandes zu verbannen. Sie wird jedoch auf jeden Fall Beschwerden von Betroffenen nachgehen und an diesen Schulen Verfahren in Gang setzen. Dazu verpflichtet sie die DS-GVO. Welche Aspekte dann letztlich im Fokus des aufsichtsbehördlichen Verfahrens stehen, kann von Fall zu Fall unterschiedlich sein. Es ist aber damit zu rechnen, dass die Aufsichtsbehörde betroffene Schule auch bezüglich der Erfüllung ihrer Rechenschaftspflichten gem. Art. 5 Abs. 2 DS-GVO um Auskunft bitten wird. Die Schule muss dann je nach Fall nachweisen, wie sie die Vorgaben der DS-GVO wie auch des Schulgesetzes durch geeignete technische und organisatorische Maßnahmen einhält und auch ihren Rechenschaftspflichten nachkommt. Ist die Schule dann nicht in der Lage, eine DS-GVO konforme Nutzung der Plattform nachzuweisen, bzw. ihren Rechenschaftspflichten nachzukommen, hätte die Schule nur zwei Optionen. Sie ließe sich überzeugen, die Nutzung von Microsoft 365 aufzugeben, oder riskierte eine Untersagung.

Wie sollten Schulen sich verhalten?

Was tun, wird man sich an vielen Schulen und auch bei vielen Schulträgern nun fragen? Macht es für Schulträger Sinn, bestehende Lizenzen zu verlängern? Ist es für Schulen sinnvoll, die Nutzung von Microsoft 365 fortzusetzen und gegebenenfalls sogar noch auszuweiten?

Die schulische Nutzung von Microsoft 365 ist aus Sicht der DSK problematisch und die LDI NRW teilt diese Haltung. Allerdings ist die Bewertung der DSK nicht unumstritten2Siehe z.B. Microsoft 365: Microsoft bewegt sich, die Datenschützer mauern unverhältnismäßig auf Heise. und Microsoft arbeitet weiter daran, den Anforderungen der Aufsichtsbehörden bezüglich der Transparenz und Gestaltung der datenschutzrechtlichen Verträge zu entsprechen. Ergänzend dazu stellt Microsoft zum Jahresende die EU Data-Boundary bereit, welche es Verantwortlichen ermöglicht, nahezu alle Daten in der EU zu verarbeiten.3Ob Schulen oder ihre Schulträger hier tätig werden müssen, um die Datenverarbeitung in ihren Tenants auf die EU Data-Boundary umzustellen, ist bei Microsoft angefragt Microsoft hat auf die neuen Standardvertragsklauseln (Standard Contractual Clauses, SCC) umgestellt und das Data Processing Addendum4siehe hierzu den Beitrag Neues Data Processing Addendum von Microsoft von September 2022 ist automatisch für alle Kunden gültig.5Im DPA heißt es hierzu: “Microsoft geht die in diesem DPA beschriebenen Verpflichtungen gegenüber allen Kunden mit Volumenlizenzverträgen ein. Diese Verpflichtungen sind für Microsoft in Bezug auf den Kunden bindend, unabhängig (1) von den Produktbestimmungen, die ansonsten für ein bestimmtes Produktabonnement oder eine Lizenz gelten, und (2) von anderen Verträgen, die auf die Produktbestimmungen verweisen.” Quelle unter https://wwlpdocumentsearch.blob.core.windows.net/prodv2/MicrosoftProductandServicesDPA(WW)(German)(Sept2022)(CR).docx Entlastung werden darüber hinaus, wenn auch vielleicht nur vorübergehend, die Executive Order des US Präsidenten und der geplante Angemessenheitsbeschluss durch die EU Kommission bringen. Man kann aktuell davon ausgehen, dass die LDI NRW sich nicht ohne einen konkreten Anlass bezüglich einer schulischen Nutzung von Microsoft 365 melden wird.

Solange man nicht davon ausgeht, dass die Aufsichtsbehörden nicht anders können, als bei Microsoft 365 jeden Missstand und sei er auch noch so gering, zu suchen, zu bemängeln und daraus eine Nichtnutzbarkeit für Schulen abzuleiten, sollte sich die Lage tendenziell weiter entspannen. Microsoft bessert beständig nach. Die Zeit arbeitet letztlich für Schulen, welche die Plattform nutzen.

Schulen, die weiterhin auf Microsoft 365 setzen wollen, werden die Dinge in den meisten Fällen einfach auf sich zukommen lassen und abwarten wie die Lage sich entwickelt. Sie sollten allerdings nicht bloß darauf vertrauen, dass die Lage sich früher oder später zu ihren Gunsten entwickelt dürfte, sondern sich proaktiv kritisch mit ihrer Nutzung der Plattform auseinandersetzen. Dazu gehört eine Erfassung aller Verarbeitungen, welche die Schule in der Plattform durchführt. Wer nutzt die Plattform zu welchen Zwecken und verwendet dabei welche Daten?6Dieses würde man zweckmäßig in einem Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DS-GVO festhalten, sofern noch nicht geschehen. Zu prüfen wäre hier auch, ob die Plattform eventuell für die Verarbeitung von personenbezogenen Daten genutzt wird, die dort aus Sicherheitsgründen nicht verarbeitet werden sollten. Das wären beispielsweise Zeugnisse, Gutachten, Beurteilungen, Notenlisten, Protokolle von Klassenkonferenzen, Unterlagen zu AO-SF Verfahren und ähnlich. Kontrolliert werden sollte auch, ob die Schule alle technischen und organisatorischen Maßnahmen getroffen hat, mit denen sich mögliche hohe Risiken für Betroffene bei der unterrichtlichen Nutzung von Microsoft 365 ausreichend mindern lassen, um eine Nutzung vertreten zu können.

Als Hilfe für die Überprüfung und anschließende Anpassung bietet sich eine Datenschutz Folgenabschätzung an. eine Vorlage dafür haben im Februar 2023 zwei Fachjuristen unter Creative Commons Lizenz veröffentlicht.7Weitere Informationen dazu unter Kostenlose Vorlage für eine Datenschutz Folgenabschätzung für Microsoft 365 für Schulen Welche Maßnahmen dafür in Frage kommen, wurde bereits von verschiedenen Stellen online dokumentiert. Auch die oben genannte Vorlage führt einige Maßnahmen auf. Einige der für die dort beschriebenen Maßnahmen erforderlichen administrativen Konfigurationen stehen nicht in allen Versionen von MS365 zur Verfügung. Vor allem in der kostenlosen A1 Version sind die Steuerungsoptionen von Datenflüssen und Sicherheitsmaßnahmen wie auch Sicherheitsfunktionen nur eingeschränkt oder gar nicht verfügbar.

Zu möglichen technischen Maßnahmen gehören beispielsweise:

  • Telemetrieerfassung in installierten Anwendungen auf die niedrigste Stufe “Weder noch” setzen,
  • Zugriff auf Anwendungen von Drittanbietern im App Store in Teams deaktivieren,
  • zusätzliche optionale Connected Experiences in Micorosft 365 deaktivieren,
  • die meisten Funktionen in Teams Analytics & Reports deaktivieren und Pseudonymisierungsoption einschalten,
  • Viva Advanced Insights nicht aktivieren,
  • in Teams für alle Meetings und Chats Ende-zu-Ende Verschlüsselung aktivieren, sobald von Microsoft zur Verfügung gestellt,
  • Nutzung von Bring-your-own key, idealerweise mit einem eigenen Key-Server,

Zu möglichen organisatorische Maßnahmen gehören beispielsweise:

  • Nutzung von pseudonymisierten Zugangsdaten, etwa mit Buchstaben von Vor- und Nachnamen,
  • Anweisung für Lehrkräfte, keine Datei- und Ordnernamen mit Namen von Personen erstellen,
  • keine Nutzung für die Verarbeitung von personenbezogenen Daten aus der schulinternen Verwaltung (keine Notenlisten, Gutachten, …) oder für pädagogische Dokumentation,
  • Vollständige Erfüllung der Informationspflichten gem. Art. 13 DS-GVO,
  • Transparenz und Information, wie man als Schule mögliche Risiken für Betroffene bei der Nutzung minimiert,
  • regelmäßige Schulung und Sensibilisierung aller Nutzer für eine sichere und verantwortungsvolle Arbeit mit der Plattform,

Auch wenn Schulen aktuell nicht damit rechnen müssen, anlasslos von der Aufsichtsbehörde kontaktiert zu werden, so besteht jedoch immer das Risiko, dass die Aufsichtsbehörde durch eine Beschwerde zum Handeln gezwungen wird. Das heißt, Schulen sollten tunlichst alles Handeln im Zusammenhang mit der Nutzung von Microsoft 365 vermeiden, das Betroffene zu einer Beschwerde veranlassen könnte. Stattdessen sollten sie Bedenken ernst nehmen und den Betoffenen entgegenkommen, um gemeinsam eine verträgliche Lösung zu finden.

LDI NRW Schrift zu Unterricht und Datenschutz – Oktober 2022

Lesezeit: 10 Minuten

Die Schrift Digitaler Unterricht in Schulen – Der Grundstein ist gelegt der LDI NRW ist ein wichtiges Dokument für Schulen, da es nicht nur den aktuellen Rechtsrahmen für die Verarbeitung von personenbezogenen Daten von Schülern und Lehrkräften im Unterricht und die rechtlichen Zuständigkeiten der verschiedenen beteiligten Stellen beschreibt, sondern auch, weil es eine Kommentierung einschließt. Angesprochen wird auch die Nutzung von Online-Plattformen wie Microsoft 365.

Datenverarbeitung durch den Schulträger

Im ersten Teil der Schrift werden die verschiedenen Zuständigkeiten der mit dem System Schule und der dort stattfindenden Datenverarbeitung befassten Stellen beschrieben, beginnend mit der Schulleitung und den schulischen Datenschutzbeauftragten, fortgeführt mit der Zuständigkeit des Schulträgers und des Schulministeriums und abschließend mit der eigenen Rolle, die der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW (LDI NRW) hierzu kommt. Von besonderem Interesse ist in diesem Abschnitt die Stelle, in welcher es um den Schulträger geht. Dieser ist, im Gegensatz zur Schulleitung, die für innere Angelegenheiten zuständig ist, und damit Verantwortlicher für die Verarbeitung von personenbezogenen Daten in der Schule selbst, für die äußeren Angelegenheiten zuständig. Bezüglich des Schulträgers und seiner Zuständigkeit für die Verarbeitung von personenbezogenen Daten im Zusammenhang mit Schule, stellt die Aufsichtsbehörde fest:

“Soweit die Schulträger im Zusammenhang mit diesen äußeren Schulangelegenheiten personenbezogene Daten verarbeiten, sind sie als datenschutzrechtlich Verantwortliche anzusehen.

… diesen äußeren Schulangelegtenheiten” bezieht sich hier auf § 79 Abs. 1 SchulG NRW.

„Die Schulträger sind verpflichtet, die für einen ordnungsgemäßen Unterricht erforderlichen Schulanlagen, Gebäude, Einrichtungen und Lehrmittel bereitzustellen und zu unterhalten sowie das für die Schulverwaltung notwendige Personal und eine am allgemeinen Stand der Technik und Informationstechnologie orientierte Sachausstattung zur Verfügung zu stellen.“ 

Das heißt, der Schulträger darf personenbezogene Daten im Zusammenhang mit diesen äußeren Angelegenheiten verarbeiten und gilt dann als Verantwortlicher. In den meisten Fällen tritt der Schulträger eher als Auftragsverarbeiter auf, etwa wenn er administrative Aufgaben für die Schule in einer schulischen Plattform übernimmt oder bei Support- und Wartungsaufgaben durch kommunale Mitarbeiter, bei denen diese mit Plattformen oder Hardware zu tun haben, mit welchen personenbezogene Daten der Schule verarbeitet werden oder auch durch die Bereitstellung einer Person, die in kommunalen Diensten steht, für das Schulsekretariat.

Ein Fall, in welchem der Schulträger selbst Verantwortlicher sein kann, wäre beispielsweise der Verleih von Dienstgeräten an Lehrkräfte im Rahmen der Ausstattungsinitiative des Bundes und des Landes. In der Richtlinie über die Förderung von dienstlichen Endgeräten für Lehrkräfte an Schulen in Nordrhein-Westfalen wird beispielsweise geschrieben, dass der Schulträger die Geräte entsprechend verwalten muss.

Die Einwilligung im Zusammenhang mit Unterricht

Im zweiten großen Abschnitt geht es um die rechtlichen Rahmenbedingungen der Datenverarbeitung durch die Schule als verantwortlicher Stelle. Hier sind neben den Rechtsgrundlagen aus der DS-GVO und dem DSG NRW vor allem die spezialgesetzlichen Regelungen des Schulgesetzes NRW und die anhängigen Verordnungen zur Datenverarbeitung relevant. Die Schrift geht an dieser Stelle auch auf die Problematik der Einwilligung im Zusammenhang mit dem Unterricht ein und kommt zu dem Schluss:

Für Schulen kann die Einwilligung im Zusammenhang mit dem Unterrichtsgeschehen regelmäßig keine Rechtsgrundlage für die Datenverarbeitung bieten. Wesentlich für eine wirksame Einwilligung ist, dass sie freiwillig erteilt wird. Diese Freiwilligkeit ist in aller Regel bei Datenverarbeitungen, die
den digitalen Unterricht ermöglichen sollen, nicht gegeben, weil die Schüler*innen
am Unterricht teilnehmen müssen und keine freie Wahl haben.” 

Diese drei Sätze sagen mehr, als auf den ersten Blick offensichtlich. Es wird damit nicht gesagt, dass die Verarbeitung von personenbezogenen Daten im Zusammenhang mit dem Unterrichtsgeschehen nicht auch auf der Rechtsgrundlage eine Einwilligung erfolgen kann. Die Einwilligung ist jedoch je nach Zusammenhang problematisch, da sie nur dann rechtswirksam ist, wenn sie freiwillig erteilt wird und das ist sehr häufig (“in aller Regel”) nicht der Fall, da Schüler verpflichtet sind, am Unterricht teilzunehmen. Wenn im Unterricht beispielsweise eine Plattform genutzt werden soll, über welche Schülerinnen und Schüler zusammenarbeiten, ihre Aufgaben erhalten und Lernprodukte erstellen und abgeben, und zur Nutzung dieser Plattform eine Einwilligung erforderlich ist, dann kann davon ausgegangen werden, dass eine Freiwilligkeit hier nicht mehr gegeben ist. Eine Freiwilligkeit würde gleichwertige Alternativen voraussetzen. Diese im Fall einer solchen Plattform zu schaffen, ist so gut wie unmöglich. Das gleiche wäre der Fall, wenn die Klasse an einem Online-Tool , dessen Nutzung eine Einwilligung voraussetzt, gemeinsam ein Wissensnetzwerk erstellen soll. Alle Schüler sollen einen Beitrag erstellen und mit anderen Beiträgen vernetzen. Die Lehrkraft will anschließend die Beiträge bewerten. Von Freiwilligkeit kann hier zumindest im Sinne von Datenschutzrecht nicht mehr ausgegangen werden. Entsprechend heißt es in der Schrift etwas weiter im Text:

Werden Daten von Schüler*innen im Zusammenhang mit digitalem Unterricht erhoben, ist es den Schüler*innen oder deren Eltern in aller Regel nicht möglich, sich frei und ohne Nachteile für die Schüler*innen gegen die Verarbeitung ihrer Daten zu entscheiden, weil sie ansonsten von der Nutzung der konkreten Anwendung und damit zumindest teilweise vom Unterricht ausgeschlossen wären.” Auch hier wird noch einmal ausgedrückt, dass eine freie Entscheidung in sehr vielen Fällen (“in aller Regel”) nicht möglich sein wird.

Anders gestaltet sich das jedoch, wenn die Nutzung einer Plattform oder die Aufnahme und Verwendung von Medien eine Option ist, um im Unterricht an einem Projekt zu arbeiten. Dann haben Schülerinnen und Schüler die Möglichkeit zu wählen und sind nicht gezwungen, eine Plattform zu nutzen oder beispielsweise Tonaufnahmen von sich selbst anzufertigen. Das bedeutet letztlich, man muss im Zusammenhang mit Unterricht sehr genau überlegen, ob eine Einwilligung möglich ist. Die Landesplattform Logineo NRW LMS setzt mit Stand von Oktober 2022 eine Einwilligung zwingend voraus. Das bedeutet, es ist schwierig, Unterricht auf dieser Plattform abzubilden und Schulen stoßen dann an ihre Grenzen, wenn einzelne Mitglieder in der Lerngruppe hier Ihre Einwilligung verweigern oder widerrufen.

Was für die Einwilligung für Schülerinnen und Schüler gilt, das gilt selbstredend auch für Lehrkräfte in gleicher Weise. Abschließend fasst die Schrift zum Thema Einwilligung kurz zusammen, unter welchen Voraussetzungen die Einwilligung als Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten in der Schule genutzt werden kann.

Eine Einwilligung kann nur dann eine Rechtsgrundlage für die Datenverarbeitung sein, wenn sich die Betroffenen frei von sozialem Druck oder Zwang für oder gegen die Verarbeitung ihrer personenbezogenen Daten entscheiden können.” Bei der Verarbeitung von personenbezogenen Daten etwa zur Öffentlichkeitsarbeit oder in anderen Zusammenhängen außerhalb des Unterrichts kann die Einwilligung durchaus ein Rechtsgrundlage bieten.

Datenverarbeitung zur Aufgabenerfüllung

Der Teil der Schrift, welcher sich mit den Rechtsgrundlagen zur Datenverarbeitung durch die Schule auseinandersetzt, welche sich aus der DS-GVO und dem nationalen Recht ergeben, endet mit einem Hinweis darauf, dass ich die Datenverarbeitung für den Einsatz digitaler Unterrichtsanwendungen an der Erfordernis zur Aufgabenerfüllung der Schule orientieren muss.

Schulen müssen immer betrachten, welche Aufgabe sie zu erfüllen haben und welche Datenverarbeitungen dafür erforderlich sind. Schwierigkeiten bereiten in der Regel Anwendungen, die neben den für schulische Zwecke erforderlichen Datenverarbeitungen von den Anbietern voreingestellte Datenverarbeitungen vorsehen, die nicht den schulischen Zwecken dienen. Lassen sich diese Voreinstellungen nicht durch die Schule abstellen, sind diese Anwendungen für den digitalen Unterricht nicht geeignet.

Nicht zur Aufgabenerfüllung erforderliche Datenverarbeitungen in einer unterrichtlich genutzten Plattform sind vielfach problematisch und können, wenn sie sich nicht innerhalb der Plattform deaktivieren lassen, dazu führen, dass eine solche Plattform im Unterricht nicht genutzt werden kann. Zu den nicht für schulische Zwecke erforderlichen Datenverarbeitungen könnten beispielsweise Telemetriedaten zählen, welche personenbezogene oder -beziehbare Daten beinhalten. In einer Plattform wie der Offline Version von Microsoft Office lassen sich diese beispielsweise durch einen Administrator komplett deaktivieren, wie auch weitere Datenflüsse zu Servern von Microsoft. In der Open Source Videokonferenz Plattform BigBlueButton gibt es mittlerweile eine Funktion zur Überwachung der Aktivität von Teilnehmern an einer Videokonferenz. Die Nutzung davon ist nicht für die Aufgabenerfüllung der Schule erforderlich. Sie kann deaktiviert werden, wodurch die Plattform weiterhin für die Anwendung im Unterricht geeignet ist.

Auftragsverarbeitung und Drittstaatentransfer

Diese beiden Anforderungen werden recht kurz und knapp unter den weiteren Anforderungen behandelt, welche von Schulen bei der Verarbeitung von personenbezogenen Daten beachtet werden müssen. Bei Auftragsverarbeitern muss die Schule sicherstellen, dass personenbezogenen Daten nur auf ihre Weisung und zu ihren Zwecken verarbeitet werden und die Vertraulichkeit im Zusammenhang mit der Verarbeitung sichergestellt ist. Dieses ist bisher gerade im Zusammenhang mit der Nutzung von Microsoft 365 nach Einschätzung der Aufsichtsbehörden ein Problem gewesen, da Microsoft sich in den Vertragsbedingungen das Recht einräumte, personenbezogene oder -beziehbare Daten auch zu eigenen Zwecken (interne Abrechnungszwecke) zu verarbeiten. Das Thema Drittstaatentransfer wird nur kurz umrissen und es wird auf weitere Schriften der Aufsichtsbehörde verwiesen. Nach Einschätzung der Aufsichtsbehörde liegt ein Drittstaatentransfer nicht nur dann vor, wenn der Auftragsverarbeiter oder Produkthersteller personenbezogene Daten in Drittländer übermittelt, etwa zu Wartungs- oder Support-Zwecken, sondern auch “wenn der Dienstleister oder dessen Auftragnehmer aus dem Drittland heraus auf in der EU gehaltene Daten zugreift.” Bei großen US-amerikanischen Anbietern ist dieses über viele Jahre gängige Praxis gewesen. Einige Anbieter sind mittlerweile dabei, dieses zu ändern.1In der Fachwelt gab es in diesem Zusammenhang unterschiedliche Ansichten, wie die Möglichkeit einzuschätzen ist, dass ein US-Anbieter auf die Daten in der EU zugreifen könnte. Liegt dadurch bereits ein Drittstaatentransfer vor oder nicht?

Datenschutzbeauftragte und Personalvertretung

Einen kurzen Hinweis gibt es bezüglich der Verarbeitung der personenbezogenen Daten von Lehrkräften, wenn dabei Rückschlüsse auf das Verhalten und die Leistung der Lehrkräfte möglich ist. In einem solchen Fall sind die behördlichen Datenschutzbeauftragten wie auch die Personalvertretung mit einzubeziehen, um den Rechten der Lehrkräfte Rechnung zu tragen.

Lehrer- und Schülergeräte

Hier greift die Schrift die Regelungen zu Dienstgeräten und Ausnahmen für die Nutzung von privaten Endgeräten für die Verarbeitung von personenbezogenen Daten aus der Schule auf, welche auf die Anregungen der Aufsichtsbehörde selbst zurückgehen und diese weitestgehend umsetzen. Bezüglich der Nutzung von digitalen Endgeräten durch Schülerinnen und Schüler für Unterrichtszwecke kommt man bei der Aufsichtsbehörde zum Schluss, dass verpflichtende Regelungen zur Nutzung digitaler Endgeräte nur möglich sind, wenn Schülerinnen und Schüler mit diesen ausgestattet werden und keine privaten Geräte zum Einsatz kommen.

Ein Punkt, der etwas ausführlicher behandelt wird, ist die Möglichkeit zur Überwachung der Bildschirme von Schüler Geräten. Nach Einschätzung der Aufsichtsbehörde ist solches durchaus zulässig, auch die Aufnahme des Bildschirm Inhaltes in Form eines Screenrecording, wenn dieses “zur Wahrnehmung ihres Bildungs- und Erziehungsauftrags erforderlich ist,” und “beispielsweise zum Nachweis einer unzulässigen Nutzung des Geräts im Unterricht” dient. Betroffene müssen über das Bestehen dieser Möglichkeiten vorab informiert werden. [Etwas problematisch an dieser Stelle ist, dass diese Funktionen Mobile Device Management Systemen (MDM) zugeschrieben werden, was sachlich so nicht korrekt ist, da diese Systeme zur Verwaltung von Endgeräten derartige Funktionen nicht beinhalten. Bei iOS lassen sich derartige Funktionen nur über Apple Classroom nutzen. Intune das MDM von Microsoft benötigt für eine solche Funktion die Integration eines zusätzlichen Dienstes wie TeamViewer.]2Ich gehe davon aus, dass die Aufsichtsbehörde hier die Wortwahl noch anpassen wird.

Digitale Systeme für den Unterricht

Dieser dritte große Teil der Schrift ist besonders interessant, weil hier auch Neuerungen im Datenschutzrecht beschrieben werden. Zunächst einmal wird darauf hingewiesen, dass Betroffenen immer klar sein muss, ob die Nutzung einer Plattform für sie verpflichtend oder freiwillig ist. Wie zuvor an verschiedenen Stellen beschrieben dürfen Schulen zur Verarbeitung von personenbezogenen Daten nur Produkte einsetzen, die sich datenschutzkonform, auch in Bezug auf die Sicherheit der Verarbeitung, nutzen lassen. Hier ist die Schule nun in der Pflicht, dieses zu prüfen. Schulen, die diesen recht hohen Aufwand nicht erbringen können, werden auf die Angebote des Landes verwiesen.

Rechtliche Änderungen gibt es bei der Nutzung von Videokonferenz Plattformen. Seit Inkrafttreten des Telekommunikationsgesetzes (TKG) und Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) Ende 2021 gelten “gegen Entgelt erbrachte Videokonferenzsysteme grundsätzlich als Tele- kommunikationsdienste.” Dadurch verändern sich rechtliche Verantwortlichkeiten. War die Schule bisher auch für die Verarbeitung von Metadaten wie der IP Adressen, Browserdaten, die übertragenen Datenmengen und Betriebssysteminformationen von Teilnehmern verantwortliche Stelle, so geht hier jetzt die Verantwortung auf den Anbieter der Videokonferenz Plattform über. Geschäftsmäßig erbrachte Videokonferenz Dienste unterliegen hier dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Inhalte von Videokonferenzen, Daten für Nutzerkonten oder die Einladung von Teilnehmern via E-Mail, in einer Videokonferenz mitlaufende Chats und gemeinsam bearbeitete Online Whiteboards, die Speicherung von Chats oder sonstige Verarbeitung, datenschutzfreundliche Voreinstellungen und ähnlich unterliegen wie bisher der Verantwortung der Schule. Zuständig ist hier in Bezug auf die Datenschutzkontrolle auch weiterhin die LDI NRW.

Im Folgenden beschreibt die Schrift dann den rechtlichen Rahmen für die Nutzung von Videokonferenz Plattformen, wie er sich auf dem SchulG NRW ergibt. Dabei geht es auch um die Unzulässigkeit der Teilnahme von Dritten, etwa Familienangehörigen, am Unterrichtsgeschehen per Videokonferenz, und der Aufzeichnung von Unterricht auf diesem Wege ohne eine vorliegende Einwilligung der Betroffenen. Kurz beschrieben werden auch die Bedingungen für die Verpflichtung von Schülern, die Kamera während einer Videokonferenz einzuschalten, das Streamen von Unterricht und der Einsatz sogenannter Telepräsenzroboter. Letzteren widmet die Schrift fast zwei ganze Seiten, um den Einsatz dieser Systeme rechtlich einzuordnen und Schulen Handlungsempfehlungen zu geben. Bevor es dann um datenschutzfreundliche Voreinstellungen für Videokonferenz Plattformen geht, werden noch Elternsprechtage per Videokonferenz in einem Exkurs behandelt. Da es aus dem Schulgesetz NRW keine Rechtsgrundlage für die Verarbeitung der dafür erforderlichen personenbezogenen Daten gibt, braucht es hier von Seiten der Eltern eine Einwilligung. Bei dieser sieht die Aufsichtsbehörde keine Bedenken, da sie nicht im Zusammenhang mit dem Unterrichtsgeschehen steht und Eltern immer auch die Alternative haben, zu telefonieren und oder persönlich in die Schule zu kommen.

Der letzte Abschnitt des dritten Teils der Schrift behandelt Messenger. Auch diese fallen wie gegen Entgelt erbrachte Videokonferenz Dienste unter Telekommunikationsdienste und entsprechend fallen hier die Metadaten unter die Verantwortlichkeit der Anbieter und die Inhalte sowie die zur Herstellung einer Verbindung erforderlichen Daten in die Zuständigkeit der Schule. “Messengerdienste, die im Zusammenhang mit der Herstellung der Kommunikation Daten verarbeiten, die für die Erbringung der Telekommunikationsleistung nicht erforderlich sind, sind für den Einsatz in Schulen nicht geeignet.” ist eine klare Ansage, durch welche etwa Messenger Dienste wie WhatsApp, welche die Adressbuchdaten der Teilnehmer mit den Servern des Anbieters abgleichen und dabei Daten unbeteiligter Dritter ohne deren Einwilligung übermitteln, für eine schulische Nutzung ausscheiden, “da die Schule ansonsten die Verarbeitung von personenbezogenen Daten veranlasst, die über das für ihre Aufgabenwahrnehmung erforderliche Maß im Sinne von §§ 120 Abs. 5, 121 Abs. 1 Satz 1 SchulG hinausgeht.”3Es ist möglich, diesen Adressbuchabgleich zu unterbinden. Das setzt jedoch entsprechende Kenntnisse voraus, die nicht von jedem Nutzer erwartet werden können.

Die Schrift schließt mit einem Ausblick und Erwartungen für die Zukunft. Besonders interessant ist dabei der Teil, in welchem es um die aktuell von vielen Schulen genutzten Plattformen großer US-amerikanischer Anbieter geht. Auch wenn im Text keine Produktnamen genannt werden, ist klar, dass es vor allem um Microsoft 365 geht. Was gesagt wird, gilt jedoch auch für Google Workspace for Education und vergleichbare Produkte.

In der pandemiebedingten Ausnahmesituation eingesetzte Lösungen, die nicht datenschutzkonform waren, sind nun von den Verantwortlichen anzupassen oder auszutauschen, wenn sie dauerhaft zum Einsatz kommen. Hier sind die Verantwortlichen gefordert, sobald wie möglich ein den aktuellen Umständen angemessenes Schutzniveau zu gewährleisten. Die LDI NRW setzt hierbei schwerpunktmäßig auf Überzeugungsarbeit bei den Verantwortlichen, nicht auf Untersagungen und Verbote. Selbstverständlich behalten wir uns vor, in Einzelfällen auch prüfend und kontrollierend tätig zu werden.

Die Aufsichtsbehörde erwartet von den Schulen, dass sie die während der Notsituation in der Pandemie kurzfristig beschafften Lösungen wie Microsoft 365 und Teams entweder so anpassen, dass die Verarbeitung von personenbezogenen Daten mit einem angemessene Schutzniveau erfolgt oder, wenn ihnen dieses nicht möglich ist die Nutzung dieser Plattformen einstellen. Dabei räumt sie den Verantwortlichen in Schule ein wenig Spielraum ein. Einmal wird eine zeitliche Vorgabe gemacht, “sobald wie möglich” und dann wird die Angemessenheit des Schutzniveaus an den “aktuellen Umständen” orientiert. Letzteres heißt aber auch, wenn man davon ausgeht, dass die Umstände sich mittlerweile weitestgehend normalisiert haben, dass dann auch beim Schutzniveau keine Abstriche mehr gemacht werden sollten. Anders als einige andere Aufsichtsbehörden setzt die LDI NRW weniger auf Druck durch Untersagungen und Verbote als auf “Überzeugungsarbeit bei den Verantwortlichen.” Wie diese genau aussehen wird, bleibt dabei offen. Es ist zu erwarten, dass die Aufsichtsbehörde sich in Kürze zu Microsoft 365 und der Nutzung für den Unterricht äußern wird. Das dürfte frühestens im November erfolgen, wenn die Arbeitsgruppe der Datenschutzkonferenz erneut darüber abstimmen wird, ob die Plattform bezüglich des von Microsoft bereitgestellten Vertragswerks datenschutzkonform genutzt werden kann. Auch wenn die Aufsichtsbehörde Veränderungen durch Überzeugungsarbeit erreichen möchte, so behält sie sich Prüfungen und Kontrollen vor. Diese sollen jedoch auf Einzelfälle beschränkt bleiben. Darin unterscheidet sie sich nicht von den anderen Aufsichtsbehörden, die ebenfalls angekündigt haben, bei Beschwerden tätig werden.

Mit Blick auf die Zukunft schaut die Schrift auf Projekte, welche an datenschutzrechtlichen Zertifizierungen für Plattformanbieter im Bildungsbereich arbeiten. Derartige Zertifizierung sollten Verantwortlichen zukünftig eine Entlastung bescheren, da sie dann nicht selbst vor der Herausforderung stehen, Plattformen beurteilen zu müssen.

Fazit

Mit der Schrift Digitaler Unterricht in Schulen – Der Grundstein ist gelegt hat die Aufsichtsbehörde eine für Schulen hilfreiche Zusammenstellung der datenschutzrechtlichen Grundlagen für die Arbeit mit digitalen Plattformen im Unterricht und darüber hinaus geschaffen. Sie greift dabei die entscheidenden Passagen aus den zugrunde liegenden Rechtstexten auf und erläutert diese näher. Lesern sollte klar sein, dass es sich dabei um die Lesart der Aufsichtsbehörde handelt. Andere Lesarten können durchaus möglich sein. orientiert man sich an dir der Aufsichtsbehörde, ist man jedoch in der Regel auf der sicheren Seite. Mit dem zweiten Teil des Titels “Der Grundstein ist gelegt” macht die Aufsichtsbehörde klar, dass mit den neu geschaffenen datenschutzrechtlichen Regelungen im Schulgesetz und den anhängigen Verordnungen nun ein Fundament umgelegt ist, auf welchem man zukünftig aufbauen kann. Vor den Beteiligten liegt also noch einige Arbeit. Das schließt auch den Gesetzgeber mit ein, denn es ist, wie Beispiele aus anderen Bundesländern zeigen, durchaus möglich, die Erfordernis für Einwilligungen durch zusätzliche Rechtsgrundlagen weiter zu reduzieren. Ein Beispiel hierfür wäre die pädagogische Nutzung von Bild und Tonaufnahmen für den Unterricht.

Stand 10/2022

Entschuldigungen – Aufbewahrungspflicht

Lesezeit: 3 Minuten

Personenbezogene Daten, welche in der Schule verarbeitet werden, unterliegen Aufbewahrungs- und Löschpflichten. Diese sind in § 9 VO-DV I (BASS 10-44 Nr. 2.1), die Schülerinnen und Schüler und Erziehungsberechtigten betreffend geregelt und in § 9 VO-DV II (10 – 41 Nr. 6.1), die Lehrkräfte betreffend.

Vertiefende Informationen zum Thema Aufbewahrungs- und Löschfristen, einschließlich eines Löschkonzeptes, finden sich im Beitrag “Aufbewahrungsfrist abgelaufen – und jetzt?

Im § 9 Abs. 1 Nr. 4 VO-DV I findet sich der folgende Eintrag

4. alle übrigen Daten 5 Jahre

Während unter den Nummern 1 – 3 die Datenkategorien, um die es geht, genau bezeichnet sind, heißt es in Nr. 4 einfach nur “alle übrigen Daten.” Das meint dann alle Daten, die nicht unter den Nummern 1 – 3 aufgeführt worden sind. Doch bedeutet “alle” wirklich alle?

Die Antwort lautet, ja. Sofern es sich nicht um Kopien handelt, sind auch Daten, die nicht zu den Kategorien der Nummern 1 – 3 gehören, aufzubewahren, dann jedoch nur 5 Jahre, gerechnet ab Ende des Kalenderjahres, in welchem die “Akten oder Dateien abgeschlossen worden sind jedoch nicht vor Ablauf des Kalenderjahres, in dem die Schulpflicht endet, sofern nichts anderes bestimmt ist.

Entschuldigungen

Fehlt ein Kind in der Schule aus Krankheitsgründen, sind die Eltern gem. BASS 12-51 Nr. 1 Nr. 2.2 verpflichtet, dieses schriftlich zu entschuldigen. Gibt es von Seiten der Schule begründete Zweifel, kann diese ein ärztliches Attest einfordern.1“2.2 Schulversäumnisse aus Krankheitsgründen sind von den Eltern schriftlich zu entschuldigen. Bei begründeten Zweifeln kann die Schule ein ärztliches Attest verlangen.”

Doch gehören Entschuldigungen und Atteste zu “alle übrigen Daten”? An verschiedenen Stellen wird die Ansicht vertreten, dass dem nicht so ist. Fehlzeiten werden von der Schule mit entschuldigt/ unentschuldigt im Klassen- oder Kursbuch dokumentiert und dann gem. § 49 SchulG NRW als entschuldigte und unentschuldigte Fehlzeiten im Zeugnis zum Halbjahr und zum Schuljahresende aufgenommen. Sobald nach 30 Tagen die Widerspruchsfrist endet, so die von diesen Stellen vertretene Ansicht, können die Entschuldigungen vernichtet werden.

Das ist so nicht richtig. Entschuldigungen gehören zu Nr. 4 “alle übrigen Daten”, wie in BASS 12-51 Nr. 5 Überwachung der Schulpflicht unter Nr. 3 nachzulesen ist. Dort heißt es:

Fehlzeiten sind als Organisations- bzw. Schullaufbahndaten sowie als Leistungsdaten in das Schülerstammblatt aufzunehmen (§ 4 Absatz 2 in Verbindung mit Anlage 1 VO-DV I). Fehlzeiten sind zudem in Klassenbüchern und Kursheften anzugeben, die gemäß § 4 Absatz 5 VO-DV I in Verbindung mit Anlage 2 als obligatorische Dokumentation zum sonstigen Datenbestand zählen. Dies gilt auch für schriftliche Entschuldigungen und vorgelegte Atteste als Teil der Schülerakte (Schülerbegleitmappe). Schriftliche Entschuldigungen und Atteste sind übrige Daten im Sinne von § 9 Absatz 1 Nummer 4 VO-DV I. Die Aufbewahrungsfrist beträgt 5 Jahre.

Entschuldigungen und Atteste müssen also aufbewahrt werden. Zumindest Entschuldigungen können jedoch digitalisiert und in Form einer PDF Datei aufbewahrt werden. Für Atteste besteht diese Möglichkeit nicht, da sie von digitalen Verarbeitung gem. VO-DV I ausgenommen sind.2siehe hierzu die Fußnoten zu VO-DV I Anlage I, II und III “Medizinische Gutachten und Atteste sind hiervon ausgenommen und dürfen nicht automatisiert verarbeitet werden.

Berechnung der Aufbewahrungsfristen

Bei korrekter Umsetzung der Aufbewahrungsfristen für “alle übrigen Daten” gem. § 9 Nr. 1 Satz 2 “Die Aufbewahrungsfristen beginnen mit Ablauf des Kalenderjahres, in dem die Akten oder Dateien abgeschlossen worden sind, jedoch nicht vor Ablauf des Kalenderjahres, in dem die Schulpflicht endet, sofern nichts anderes bestimmt ist.” bewahrt eine Grundschule Entschuldigungen und Atteste dann 13 – 15 Jahre auf. Ein Beispiel:

Schüler A verlässt die Grundschule nach 4 Jahren Schulbesuch im Sommer 2022. Die Schulpflicht beträgt in der Primarstufe und der Sekundarstufe I (Vollzeitschulpflicht) gem. § 37 SchulG NRW in der Regel zehn Schuljahre.3Abweichungen können sich ergeben durch den Besuch eines Gymnasiums mit achtjährigem Bildungsgang. Dort beträgt die Schulpflicht von Primarstufe und der Sekundarstufe I nur 9 Jahre. Weitere Details entnehmen Sie bitte § 37 SchulG NRW. Da man in der Grundschule nie erfährt, ob sich bei einer Schülerin oder einem Schüler die Schulpflicht durch in § 37 dargestellte Fälle verkürzt, ist die Grundschule immer auf der sicheren Seite, wenn von 10 Pflichtschuljahren ausgegangen wird. Die Grundschule rechnet nun 6 Jahre hinzu und kommt so auf den Sommer 2028, in welchem die Schulpflicht von Schüler A endet. Die Aufbewahrungsfrist von 5 Jahren beginnt jedoch erst nach Ende des Kalenderjahres, in dem die Schulpflicht endet, in diesem Fall also ab dem 01.01.2029. Damit muss die Grundschule die Entschuldigungen und Atteste von Schüler A bis zum Ende des Kalenderjahres 2033 Aufbewahren und kann sie dann im Januar 2034 datenschutzgerecht löschen bzw. vernichten.

Austausch Grundschule und Kinderarzt

Lesezeit: < 1 Minute

Liegen bei Schülerinnen und Schülern gesundheitliche Beeinträchtigungen vor, welche die schulische Entwicklung des Kindes unter Umständen beeinträchtigen, kann es sinnvoll sein, wenn die Grundschule eine Möglichkeit erhält, sich mit dem das Kind behandelnden Kinderarzt bzw. seiner Kinderärztin auszutauschen, um das pädagogische Handeln abzustimmen.

Beide Seiten, Schule wie auch Kinderärzte, sind jedoch der Schweigepflicht unterworfen und dürfen keine Informationen miteinander austauschen, auch wenn das sinnvoll und im Sinne des Kindes wäre. Die rechtliche Grundlage für einen Informationsaustausch ist eine Schweigepflichtentbindung durch die Erziehungsberechtigten. Sie ermöglicht, falls gewünscht, den Austausch in beide Richtungen. Die folgende Vorlage ist hierfür gedacht und entsprechend anpassbar.

Weitere Informationen zum Thema Schweigepflicht im Gegensatz zu Datenschutz finde sich im Beitrag Datenschutz und Schweigepflicht.

 

FAQ – Einsatz von digitalen Plattformen ab März 2022

Lesezeit: 7 Minuten

Mit dem 16. Schulrechtsänderungsgesetz von Februar 2022 haben sich bezüglich des Einsatzes von digitalen Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen zur Erfüllung des Bildungs- und Erziehungsauftrags an Schulen in NRW grundlegend verändert. Im Beitrag 16. Schulrechtsänderungsgesetz und Datenschutz werden diese Möglichkeiten ausführlich erläutert. Einige Fragen werden nach der Lektüre dieses Beitrags offen bleiben. In dieser FAQ sollen häufige Fragen deshalb beantwortet werden. Viele Fragen der praktischen Umsetzung werden sich vermutlich erst mit der Zeit klären. An einigen Stellen werden möglicherweise ergänzende Erlasse oder sogar Entscheidungen von Verwaltungsgerichten für Klärung sorgen müssen.

Ist bei jeder Einführung einer digitalen Plattform im Sinne von § 8 Satz 2 eine Beteiligung gemäß LPVG erforderlich?

Im LPVG NRW heißt es in § 72 Satz 3 Nr. 2 “(3) Der Personalrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, mitzubestimmen in Rationalisierungs-, Technologie- und Organisationsangelegenheiten bei
1. …
2. Einführung, Anwendung und Erweiterung technischer Einrichtungen, es sei denn, dass deren Eignung zur Überwachung des Verhaltens oder der Leistung der Beschäftigten ausgeschlossen ist,

Es hängt demnach von der jeweiligen Plattform ab, ob diese mitbestimmungspflichtig durch den Personalrat ist. Sind deren Funktionen nicht geeignet Verhalten oder Leistung von Lehrkräften zu überwachen, unterliegt die Plattform nicht der Mitbestimmung gem. LPVG. Die Logineo NRW Plattformen sind mitbestimmt, da sie viele solche Möglichkeiten bieten. Man wird davon ausgehen können, dass vor allem große Plattformen wie eine NextCloud oder IServ mitbestimmungspflichtig sind, vor allem wenn sie auch für Abbildung schulinterner Organisationsabläufe genutzt werden. Hingegen sollten Plattformen wie Antolin oder Anton, die unter Lehr und Lernsysteme gem. § 8 Satz 2 SchulG NRW fallen sollten, keine Möglichkeiten bieten, Aufschluss über das Nutzerverhalten von Lehrkräften zu gewinnen. Gleiches sollte auch für ein TaskCards gelten. Die Frage ist hier jedoch immer auch, wie weit man “Eignung zur Überwachung des Verhaltens oder der Leistung” fasst. Reicht es, wenn die Schulleitung die Anzahl der durch eine Lehrkraft erstellten Taskcards einsehen kann?

Man kann als Faustregel für die Abschätzung, ob eine Mitbestimmungspflicht vorliegt oder nicht, nehmen: je komplexer eine Plattform ist, desto wahrscheinlicher ist es, dass sie mitbestimmungspflichtig ist. Gleiches gilt auch, wenn sie für die Abbildung schulinterner Verwaltungs- und Organisationsprozesse durch Lehrkräfte genutzt wird. Einfachere Plattformen, in denen vor allem die Schülerinnen und Schüler im Mittelpunkt stehen, sollten tendenziell seltener der Mitbestimmungspflicht unterliegen.

Siehe auch Datenschutz & Mitbestimmung.

Können auch Microsoft 365 und Teams auf der neuen Rechtsgrundlage eingeführt werden?

Diese Frage dürfte viele Schulen bewegen.  Mit Stand von November 2022 wird die DS-GVO Konformität von Microsoft 365 von den Aufsichtsbehörden angezweifelt. Die kurze Antwort ist deshalb: solange eine Schule nicht in der Lage ist nachzuweisen, dass die Verarbeitung von personenbezogenen Daten bei der Nutzung von Microsoft 365 durch Schüler und Lehrkräfte DS-GVO konform möglich ist, ist auch eine Nutzung auf der Grundlage von § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW nicht möglich. Die Verarbeitung von personenbezogenen Daten setzt deshalb weiterhin eine Einwilligung der Betroffenen voraus.1Hinweis: Die Nutzung von Einwilligungen im Zusammenhang mit Unterricht wird von Aufsichtsbehörden äußerst kritisch gesehen. Die LDI NRW geht davon aus, dass die unterrichtliche Nutzung einer Plattform auf der Grundlage einer Einwilligung in der Regel nicht möglich ist. Das bedeutet, es kann durchaus Ausnahmen geben, doch überwiegend kann man davon ausgehen, dass eine Einwilligung als Rechtsgrundlage für die Nutzung ausscheidet.

Das Thema Microsoft 365 ist in Bewegung. Sogar die Kultusminister Konferenz engagiert sich jetzt mit Unterstützung einer Arbeitsgruppe der Datenschutzkonferenz. Bis Ende 2022 wird Microsoft alle Telemetriedaten ausschließlich in der EU Verarbeiten. Aber noch gibt es den CLOUD-Act, der kritisch gesehen wird, und Microsoft räumt sich in den Datenschutzbestimmungen das Recht ein, einige personenbezogene oder -beziehbare Daten für eigene Zwecke zu verarbeiten. Das wird von Aufsichtsbehörden als nicht DS-GVO konform eingestuft. Das heißt Abwarten – noch ist nichts verloren.

Die Aussagen zu Microsoft 365 lassen sich auch auf Google Workspace for Education übertragen. In den Niederlanden ist eine datenschutzkonforme Nutzung an Schulen mit Billigung der dortigen obersten Aufsichtsbehörde bereits möglich. Hier müssen Aufsichtsbehörden von Schulen erst noch davon überzeugt werden.

Was gilt für MNSPro Cloud?

MNSpro Cloud  von der Firma AIXConcept besteht aus zwei Teilen, MNSpro und Microsoft 365. Für beide werden getrennte Verträge zur Auftragsverarbeitung abgeschlossen. Während man das von AIXConcept erstellte und betriebene MNSpro auf der Rechtsgrundlage der neuen Regelungen einführen können sollte, gilt für die angedockten Microsoft 365 Tenant, was zuvor schon für Microsoft 365 gesagt wurde.

Was ist bei IServ zu beachten?

IServ ist ein deutscher Anbieter und die Plattform lässt sich DS-GVO konform nutzen, egal ob es sich um die klassische on premise Lösung mit Server im Schulkeller oder beim Schulträger handelt oder um die vom Anbieter gehostete “Cloud” Version. Die Plattform bringt damit alle Voraussetzungen für eine verpflichtende Nutzung mit. Zu regeln ist die Nutzung des Profils, denn hier können schulische Nutzer persönliche Informationen einstellen, die über für den Unterricht erforderliche Daten hinausgehen. Die einfachste Lösung für Schulen ist die komplette Deaktivierung des Profils. Möchte eine Schule die Nutzung des Profils zulassen, sollte eine Nutzungsvereinbarung erstellt werden, welche das Füllen des Profils davon abhängig macht, ob Nutzer zuvor eine Einwilligung in die Verarbeitung der dort eingetragenen Daten erteilt haben. Die im Download Bereich zur Verfügung gestellte Einwilligung mit Informationen zur Datenverarbeitung gem. Art. 13 DS-GVO für IServ kann eine verpflichtende Nutzung umgearbeitet werden.

Wie sieht es mit itslearning aus?

Die aus Norwegen kommenden Plattform, sollte bezüglich der eigentlichen Kernplattform im Sinne der neuen Regelungen des SchulG NRW nutzbar sein. In Bremen ist itslearning sogar mitbestimmt (siehe Dienstvereinbarung zu der Lernplattform „itslearning“). Ein Problem stellt jedoch das integrierte Microsoft Office dar. Dieses Office speichert zwar die erstellten Word, Excel und PowerPoint Dokumente auf den itslearning Servern, braucht jedoch zur Bearbeitung in der Plattform die Online-Office Dienste von Microsoft, und deren DS-GVO Konformität wird angezweifelt. In Baden Württemberg, erhalten Schulen itslearning über das Schulministerium, aus den genannten Gründen allerdings ohne Freischaltung der (Microsoft) Office Komponente, wie im 21. Tätigkeitsbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden Württemberg nachzulesen ist. Integriert man stattdessen ein im Auftrag betriebenes Collabora Office oder Only Office, sollte eine Nutzung von itslearning komplett nach den neuen Regelungen möglich sein.

Kann Moodle auf der neuen Rechtsgrundlage verpflichtend genutzt werden?

Anders als zur Zeit bei Logineo NRW LMS, dem Landes Moodle, steht einer Nutzung von Moodle außerhalb der Landeslösung nichts entgegen. Da Logineo NRW LMS mitbestimmt ist, sollte eine Mitbestimmung gem. LPVG NRW leicht zu erreichen sein. Das ist vor allem dann der Fall, wenn die Konfiguration sich an der der Landeslösung orientiert und keine zusätzlichen Plugins genutzt werden, welche ihrerseits durch ihre Funktionen mitbestimmungspflichtig sind.

Wie geht man mit den freiwillig eingebrachten Nutzerdaten um?

Hier gibt es nur eine sinnvolle Lösung. Per Nutzungsordnung muss die Nutzung für Inhalte, die in keinem Zusammenhang mit dem Unterricht bzw. bei Lehrkräften mit der Erfüllung der Aufgaben und der Durchführung von Unterricht stehen, untersagt werden. Diese Nutzungsordnung müssen Nutzer dann zur Kenntnis nehmen. Die Kenntnisnahme kann in verschiedener Form erfolgen. Bei Schülerinnen und Schülern wie auch Lehrkräften kann das eine Belehrung sein mit Hinweis, wo die Nutzungsordnung in schriftlicher Form nachzulesen ist. Es muss keine Online-Nutzungsordnung sein, die vor Freischaltung des Nutzerkontos per Setzen eines Häkchens zu quittieren ist.

Alternativ wäre vorstellbar, dass eine Plattform so eingestellt wird, dass Nutzer die Möglichkeit haben, in die Verarbeitung von personenbezogenen Daten, die über Unterricht bzw. bei Lehrkräften die Erfüllung der Aufgaben und die Durchführung von Unterricht hinausgehen, innerhalb der Plattform in den Nutzereinstellungen einzuwilligen. Zusätzliche Funktionen, etwa zum Anlegen eines Nutzerprofils erscheinen nach er Einwilligung. Der Widerruf der Einwilligung und das Löschen der dort hinterlegten Daten sollten dort dann ebenfalls möglich sein.

Ist auch eine verpflichtende Nutzung von personenbezogenen Daten in einer digitalen Plattform möglich, die vor März 2022 an der Schule eingeführt wurde?

Wie aus den Erläuterungen im  Gesetzesentwurf zum 16. Schulrechtsänderungsgesetz hervorgeht, lassen sich die neuen Regelungen auch auf bereits eingeführte Plattformen anwenden: “Dies schließt alle Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen im Sinne des § 8 Absatz 2 ein, die die Schule zur Erfüllung ihres Bildungs- und Erziehungsauftrags nutzt.” Auch die Formulierungen in § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW nehmen hier keine Eingrenzung auf Plattformen vor, die ausdrücklich auf der Grundlage § 8 Abs. 2 SchulG NRW einführt wurden. Bereits an Schulen genutzte Plattformen können, sofern sie die Vorgaben des SchulG NRW und der DS-GVO erfüllen, ebenfalls auf der Grundlage von § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW in Verbindung mit § 8 Abs. 2 genutzt werden.

Auch eine verpflichtende Nutzung ist möglich. Diese setzt einen Beschluss der Schulkonferenz gemäß § 65 Abs. 2 Nr. 6 voraus. Im Gesetzesentwurf weist das MSB darauf hin, dass die der Schulkonferenz dort eingeräumte Entscheidungsbefugnis nicht für bereits vor Inkrafttreten des 16. Schulrechtsänderungsgesetzes existierende und genutzte Systeme und Plattformen gilt. Das bedeutet, Schulen können nicht nachträglich über bereits genutzte Plattformen und Systeme entscheiden, sondern müssen einen Umweg gehen. Dafür bitten sie den Schulträger, der Schulkonferenz gegenüber zu erklären, dass er der Schule die jeweilige Plattform bzw. das jeweilige System bereitstellen möchte und zur Nutzung vorschlägt. Daraufhin entscheidet die Schulkonferenz über diesen Vorschlag zur Nutzung.

Eine Grundschule, die bereits LeseLudi, Antolin, ZahlenZorro oder ähnlich im Sinne des § 8 Absatz 2 nutzt, könnte die Nutzung dann umstellen und auf das Einholen einer Einwilligung zukünftig verzichten. Informationen gem. Art. 13 DS-GVO über die Datenverarbeitung bei der Nutzung sind jedoch weiterhin erforderlich.

Was, wenn für eine Plattform bereits Einwilligungen eingeholt/ erteilt wurden?

Verfügt eine Schule über eine Plattform, die sie bereits vor dem 16. Schulrechtsänderungsgesetz zur Erfüllung des Bildungs- und Erziehungsauftrags einsetzte, so dürften für die Verarbeitung von personenbezogenen Daten Einwilligungen von Schülern und Lehrkräften vorliegen. Die Schule kann Einwilligungen nicht von ihrer Seite aus aufheben. Sie haben also weiterhin Gültigkeit. Widerrufen Betroffene ihre Einwilligung, müssen der Zugang und die mit der Nutzung angefallenen personenbezogenen Daten der betroffenen Person gelöscht werden, da diese auf der Rechtsgrundlage Einwilligung verarbeitet wurden. Es könnte im Anschluss jedoch direkt ein neues Nutzerkonto erstellt werden, wenn die Schule die Plattform jetzt auf der Grundlage der neuen Regelungen nutzt. Die betroffene Person wäre dann sogar zu dessen Nutzung verpflichtet, wenn die dafür erforderlichen Voraussetzungen wie die Ausstattung mit einem Endgerät stimmen.

Können Schüler und Lehrkräfte zur Nutzung der Online Tools von kits.blog verpflichtet werden?

Leider ist das nicht möglich. Auch wenn die Tools des Niedersächsischen Landesinstituts für schulische Qualitätsentwicklung (NLQ) sehr datenschutzfreundlich sind, erfüllen sie die Vorgaben des SchulG NRW nicht, da mit dem NLQ kein Vertrag zur Auftragsverarbeitung abgeschlossen werden kann. Gleiches gilt auch für vergleichbare Plattformen, etwa von ZUM oder von eBildungslabor und ähnlich.

Wir haben keine 1:1 Ausstattung. Ist eine verpflichtende Nutzung damit unmöglich?

Nein, sie kann durchaus möglich sein. Es muss nur jedem Nutzer ein schulisches Endgerät zur Verfügung stehen. Das können auch die Tablets aus dem Tablet Koffer sein, den die Lerngruppe sich für ein Unterrichtsprojekt ausleiht. Viele Schulen haben noch PC Räume. Auch dort ist eine verpflichtende Nutzung durchaus umsetzbar. Weder in den neuen Regelungen des SchulG NRW, noch in den Erläuterungen zum Gesetzesentwurf gibt es Hinweise, dass die verpflichtende Nutzung ein persönliches digitales Endgerät voraussetzt.


Sollte es von Seiten der Leser Fragen geben, so schreiben Sie diese gerne in die Kommentare.