Endlich klare Aussagen vom MSB NRW zu datenschutzrechtlichen Fragen

Lesezeit: 1 Minute

Es hat lange gedauert bis sich das Ministerium für Schule und Bildung NRW einmal umfänglich zu datenschutzrechtlichen Fragen im Zusammenhang mit der umstrittenen Genehmigung zur Verarbeitung von personenbezogenen Daten aus der Schule auf privaten Endgeräten von Lehrkräften äußert. Was geht und was geht nicht, wie sieht es mit Haftungsfragen aus? Antworten kommen auch zu vielen anderen Fragen: z.B. E-Mail Kommunikation mit Eltern über dienstliche und private E-Mail Adressen, Speicherung von Fotos von Schülern auf dem Smartphone, Nutzung von privaten Smartphones für Kommunikation mit Eltern, Fragen zu zulässigen Anwendungen, Zugriff auf Webanwendungen und die Genehmigung, und die Zulässigkeit von WhatsApp, Telegram und iMessage auf privaten Geräten, wenn sie dienstlich genutzt werden. Zu finden ist dieses unter

Da es an Schulen nicht nur viele Fragen zur Genehmigung gibt, sondern auch zu anderen Bereichen, wurden in einer zweiten Sammlung weitere Fragen zum Thema Datenschutz an der Schule aufgegriffen. Hier geht es um die Aufgaben von Datenschutzbeauftragten, Notelisten in Papierform am heimischen Arbeitsplatz, die Übermittlung von Elterndaten an die Schulpflegschaft, Office 365 im schulischen Einsatz, Videoüberwachung und elektronische Schließanlagen an der Schule.

Sicherlich werden verschiedene Akteure im Bereich Schule die Antworten unterschiedlich beurteilen. Es bleiben definitiv auch noch Fragen offen, doch es ist gut, dass das Ministerium zu den meisten Fragen sehr eindeutig Stellung bezogen hat. Mit diesen Antworten kann man planen und Entscheidungen fällen.

Auch zum Thema Schulhomepage gibt es einige (wenige) datenschutzrechtliche Aussagen vom Ministerium.

Digitales Klassenbuch – geht das und was ist zu beachten?

Lesezeit: 1 Minute

Frage: Unter welchen Bedingungen wäre der Einsatz eines digitalen Klassenbuchs unter Bedingungen des Datenschutzes in NRW möglich?b

In NRW können digitale Klassenbücher problemlos an Schulen genutzt werden. Handelt es sich dabei um Cloud basierte digitale Klassenbücher, also um Plattformen, bei denen die Verwaltung der Daten auf einem Server beim Anbieter läuft,

  • muss ein Vertrag zur Auftragsverarbeitung mit dem Anbieter abgeschlossen werden
  • sollten Lehrkräfte eine Genehmigung der Schulleitung zur Nutzung eines privaten Endgerätes zur Verarbeitung von personenbezogenen Daten aus der Schule haben, um das digitale Klassenbuch mittels App oder Browserzugriff zu nutzen
  • sollte grundsätzlich darauf geachtet werden, dass mit dem digitalen Klassenbuch und den weiteren Funktionalitäten der Plattform (Buchung Elternsprechtag, Fotos, …) nur personenbezogenen Daten verarbeitet werden, für welche es eine rechtliche Grundlage nach dem SchulG NRW gibt oder wofür eine Einwilligung der Betroffenen vorliegt.

Einen ausführlichen Beitrag zum Thema gibt es unter Digitale Klassenbücher.

Kann eine Schule Facebook und Instagram zur Öffentlichkeitsarbeit nutzen?

Lesezeit: 2 Minuten

Manche Schulen haben sie schon lange, andere Schulen überlegen gerade, ob sie sie einrichten, die Präsenz bei Facebook und bei Instagram. Schulen, die mit digitalen Medien unterwegs sind, sehen sich oft der Herausforderung gegenüber, auch in den sozialen Medien Präsenz zu zeigen. Auch wenn Facebook gerade bei jungen Menschen heute nicht mehr den Stellenwert besitzt, den die Plattform noch vor einigen Jahren hatte, so ist sie doch Teil nahezu jeder Social Media Strategie. Wesentlich angesagter bei Schülern ist hingegen Instagram. Deshalb wird auch hier immer wieder überlegt, ob eine Nutzung für eine Schule möglich ist. Mit der Datenschutz Grundverordnung haben sich die Rahmenbedingungen deutlich verändert, was die Pflichten für Verantwortliche hierbei angeht. Zwar wurde auch schon in den vergangenen Jahren immer wieder Kritik an Facebook laut, doch erst jetzt gibt es Gerichtsurteile, sogar auf europäischer Ebene, und Vorgaben der Datenschutzkonferenz. Diese Veränderungen können und sollten auch von Schulen berücksichtigt werden, wenn sie eine dieser Plattformen nutzen oder nutzen wollen. Im Beitrag Facebook und Instagram zur Außendarstellung wird die Problemstellung näher erläutert.

Smart Speaker im Klassenraum aufstellen – geht das?

Lesezeit: 1 Minute

Eine Schule möchte gerne Smart Speaker im Klassenraum aufstellen, um eine einfache Kommunikation zwischen den Räumen für die Lehrkräfte zu ermöglich und smarte Erinnerungen und Timer zu setzen. Die Namen von Schülern sollen nicht genannt werden bei solchen Nachrichten und Erinnerungen. Man denkt an Amazon Echo, den kleinsten Smart Speaker. Das Gerät ist einfach zu bedienen, billig, spart eine aufwändige Verkabelung im Gebäude und kann mehr als eine Gegensprechanlage. Aber geht das auch? Was ist mit dem Datenschutz? Das Thema ist komplex und ich habe mich ausführlich damit auseinander gesetzt. Die Ergebnisse finden sich im Beitrag ALEXA, GOOGLE ASSISTANT, SIRI UND CO. – SMART SPEAKER IM KLASSENRAUM

Online Terminabstimmung mit Eltern – DS-GVO freundlich gestalten

Lesezeit: 3 Minuten

Termine für den Elternsprechtag lassen sich heute leicht über das Internet abstimmen. Dafür gibt es mehrere Möglichkeiten. Nicht alle sind aus Sicht des Datenschutzes gleich gut.

Doodle und Co.

Doodle

Das im Tweet angesprochene Doodle ist ein Unternehmen aus der Schweiz und müht sich schon um ein Angebot, welches sich datenschutzkonform einsetzen lässt. Wie die Datenschutzerklärung zeigt, braucht das Unternehmen jedoch eine ganze Reihe von Diensten, welche auf die Daten der Nutzer zugreifen, teilweise in anonymisierter Form. Zudem ist es möglich Doodle mit Kalendern zu koppeln und darüber Nutzer per E-Mail einzuladen. Auch wenn die genutzten Server in Irland und Deutschland stehen und die verschiedenen Datennutzungen in der Datenschutzerklärung sauber ausgewiesen sind, sollte man für Schule eine datensparsamere Alternative nutzen.

Dudle

Eine solche Alternative ist Dudle von der TU Dresden. Das Angebot lässt sich sehr datensparsam einsetzen, auf Wunsch personalisieren1Mit der Personalisierung werden mehr personenbezogenen Daten erforderlich für die Nutzung. oder auch komplett anonym nutzen.

DFNTerminplaner

Ebenfalls ohne kommerzielle Interessen wird das Online Tool zur Abstimmung von Terminen,  DFNTerminplaner, vom Verein zur Förderung eines Deutschen Forschungsnetzes e. V. betrieben. Es kommt in verschiedenen Versionen. Die einfachste Version lässt sich sehr datensparsam nutzen und ist vergleichbar zur anonymen Version von Dudle.2DFN Terminplaner basiert auf Foodle, einer Entwicklung aus Norwegen. Wer das Tool selbst auf einem Server betreiben möchte, findet es auf Github unter Uninett/ Foodle.

Terminplaner

Auf der gleichen Plattform wie der DFNTerminplaner basiert auch der Terminplaner, der von IT.NRW zur kostenlosen Nutzung zur Verfügung gestellt wird. Entsprechend sind Bedienung und Funktionalitäten nahezu identisch. Die von IT.NRW bereitgestellte Version entspricht dem einfachen DFNTerminplaner. Die weiteren dort angebotenen Versionen mit zusätzlicher Funktionalität gibt es hier nicht.

Dudl, DFNTerminplaner und Terminplaner aus datenschutzrechtlicher Sicht

Auch wenn man davon ausgehen kann, dass sowohl die Betreiber von Dudl als auch von DFNTerminplaner und Terminplaner ihre Online Terminabfrage Seiten ohne kommerzielle Interessen betreiben und die personenbezogenen Daten der Nutzer nur entsprechend ihrer Datenschutzerklärungen verarbeiten, bewegt man sich aus datenschutzrechtlicher Sicht vermutlich in einem Graubereich, wenn man diese Möglichkeit zur Planung von Elternsprechtagen nutzt. Aus datenschutzrechtlicher Sicht könnte man argumentieren, dass für diese Terminabfragen ein Vertrag zur Auftragsverarbeitung mit den Anbietern abgeschlossen werden müsste, da ähnlich wie bei der Schulhomepage personenbezogene Daten der Besucher verarbeitet werden.3 Bei Dudel können dieses sein:
– In Umfragen eingegebene Daten (z.B. Titel der Umfrage, Namen der Teilnehmer, Verfügbarkeiten, Kommentare)
– IP Adresse
– Name der abgerufenen Datei
– Datum und Uhrzeit des Abrufs
– Meldung, ob der Abruf erfolgreich war
– verwendeter Browser
– verwendetes Betriebssystem

Empfehlung

Wenn man als Lehrkraft den Eltern eine Online Terminabstimmung für einen Elternsprechtag anbieten möchte, so sollte man dafür auf eine Lösung wie Doodle definitiv verzichten. Zwar sieht die Terminabstimmung für Eltern dort nicht wesentlich anders aus als bei Dudel, DFNTerminplaner oder Terminplaner – Name eintragen und Termin wählen, doch was die Eltern nicht sehen, Doodle greift deutlich mehr Daten ab, wenn der Termin ausgewählt wird. Besser sind hier dann Dudel oder der DFNTerminplaner. Sie können, wenn man die Daten der Person, welche die Terminabfrage erstellt, minimieren möchte, in der anonymen Form genutzt werden. Den Link kann man den Eltern per Schulmail mitteilen oder auf einem Zettel mit einem QR Code. Bei einem Einsatz von Dudl oder DFNTerminplaner durch eine Schule sollten den Eltern auf jeden Fall Informationen zur Datenverarbeitung auf der jeweiligen Plattform gegeben werden.4Das könnte etwa in dieser Art erfolgen. „Liebe Eltern zur Terminabstimmung für den Elternsprechtag am … nutzen wir das Online Tool …. von der Universität … Bei der Nutzung werden außer einer Eingabe des Nachnamens und der Wunschtermine folgende Informationen über den Browser erhoben: … Der … Anbieter sichert über seine Datenschutzerklärung (verlinken!) zu, dass diese Daten nicht für andere Zwecke als die Terminplanung und den technischen Betrieb der Plattform genutzt werden. Falls Sie das Online Tool nicht nutzen möchten, können Sie Ihre Terminwünsche auf folgendem Weg rückmelden …“ So können sie selbst entscheiden, ob sie das Tool nutzen wollen oder statt dessen eine Terminrückmeldung über Papier oder E-Mail wünschen.

Hinweis
Die Nutzung einer Online Terminabfrage kann in jedem Fall nur auf freiwilliger Basis erfolgen.5Aus schulrechtlicher Sicht lässt sich keine Verpflichtung zur Nutzung eines solchen Tools ableiten. Eltern, welche diese Möglichkeit nicht nutzen wollen oder können, muss ein alternativer Weg angeboten werden.

Besser noch als kleine Lösungen, bei denen jede Lehrkraft ihre eigene Online Terminabfrage erstellt, sind sicherlich schulische Gesamtlösungen, die datenschutzrechtlich sauber aufgestellt sind. Dazu gehören kostenpflichtige Plattformen wie der Schulmanger Online, der ein eigenes Elternsprechtag Modul bietet, dessen Funktionen über eine einfache Terminabstimmung hinaus gehen. Für eine Schule ist eine derartige Lösung aus Sicht des Datenschutz die sauberste Lösung, da mit dem Anbieter ein Vertrag zur Auftragsverarbeitung abgeschlossen werden kann und die Verwendung der personenbezogenen Daten der erstellenden Personen wie auch der Eltern eindeutig geregelt ist.

Weiter lesen

Stand 12/2018

Daten zwischen kooperierenden Schulen per E-Mail übertragen – geht das?

Lesezeit: 4 Minuten

Folgende Frage erreichte mich: „Unsere Koop-Schule will von unseren Schülern, die rüber kommen, den Schild-Datensatz. Darf man das per Schild-Export und E-Mail übertragen und wenn ja, dann wie?“

Bevor es um die eigentliche Frage geht, kurz zur Rechtmäßigkeit der Datenübermittlung zwischen kooperierenden Schulen.

Dürfen Schulen einander personenbezogene Daten von Schülern übermitteln, wenn sie miteinander kooperieren?

In NRW setzen das Schulgesetz (SchulG NRW) und die VO-DV I enge Grenzen, bezüglich der Übermittlung von personenbezogenen Daten von Schülern. Das betrifft die möglichen Empfänger wie auch die Verfahren. §120 Abs. 5 Satz 1 SchulG NRW lässt eine Übermittlung unter folgenden Bedingungen zu:

Die in Absatz 1 Satz 1 genannten Daten dürfen einer Schule, […] nur übermittelt werden, soweit sie von diesen Stellen zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben benötigt werden.

Es muss also eine durch eine Rechtsvorschrift übertragene Aufgabe vorliegen, zu deren Erfüllung die personenbezogenen Daten von Schülern erforderlich sind, damit Daten übermittelt werden dürfen. Ein Kommentar zum SchulG NRW päzisiert dieses.

„Nur wenn die konkrete Form der Kooperation eine Übermittlung von personenbezogenen Daten erforderlich macht, beispielsweise weil gemeinsame Unterrichtsveranstaltungen im Sinne des § 4 Abs. 3 Satz 2 SchulG stattfinden, ist ein solcher Transfer nach Maßgabe des § 120 Abs. 5 Satz 1 SchulG zulässig. Insoweit findet dann die Regelung des § 6 Abs. 1 Satz 2 VO-DV I Anwendung.“6Katernberg in SchulG NRW – Kommentar, März 2008

In § 6 Abs. 1 Satz 2 VO-DV I7Satz 2 = Hervorhebung heißt es:

1) Bei einem Schulwechsel übermittelt die abgebende Schule der aufnehmenden Schule personenbezogene Daten aus dem Schülerstammblatt und dem sonstigen Datenbestand, soweit die Daten für die weitere Schulausbildung der Schülerin oder des Schülers erforderlich sind. Entsprechendes gilt bei der Kooperation von Schulen. Die Unterlagen selbst verbleiben bei der abgebenden Schule.

Die rechtliche Grundlage für die Übermittlung von personenbezogenen Daten der Schüler, welche an der Kooperationsschule unterrichtet werden, ist damit gegeben. Klar ist dabei jedoch auch, dass nur die Daten übermittelt werden dürfen, welche für die Erteilung des Unterrichts an der anderen Schule von dieser benötigt werden.8Alle anderen Daten dürfen nur auf der Grundlage einer Einwilligung der Betroffenen übermittelt werden. Beispiel: die andere Schule möchte wissen, ob unter den Schülern, die am Unterricht teilnehmen werden, Vegetarier sind, da man die eigene Mensa informieren möchte. (Es besteht hier keine Erforderlichkeit, die sich aus der Erfüllung einer Rechtsvorschrift ergibt.) In SchiLD NRW werden dazu nur die erforderlichen personenbezogenen Daten exportiert.

Übermittlungsverfahren

Eine Übermittlung von personenbezogenen Daten muss entsprechend dem Stand der Technik gesichert erfolgen. Die VO-DV I macht hier in §5 Absatz 2 entsprechende Vorgaben:

„Die Datenübermittlung kann schriftlich, mündlich, automatisiert oder auf Datenträgern erfolgen. Datenträger, die versandt werden, dürfen personenbezogene Daten nur enthalten, soweit diese für die Empfängerin oder den Empfänger bestimmt sind. Eine automatisierte Datenübermittlung kann auch über eine gemeinsam genutzte informationstechnische Basis-Infrastruktur erfolgen, sofern die technischen und organisatorischen Sicherheitsanforderungen des § 10 des Datenschutzgesetzes NordrheinWestfalen erfüllt werden. Eine Datenübermittlung auf Datenträgern bedarf einer Verschlüsselung nach dem aktuellen Stand der Technik. Automatisierte Verfahren, die die Übermittlung personenbezogener Daten durch Abruf ermöglichen, sind unzulässig.“

Der letzte Satz hat es in sich, denn einige Verfahren werden hier grundsätzlich ausgeschlossen. Gemeint sind dabei solche Verfahren,

„die die Übermittlung personenbezogener Daten durch Abruf einer anderen Stelle ermöglichen, bei denen also eine Übermittlung stattfindet, ohne dass die speichernde bzw. übermittelnde Stelle davon Kenntnis hat und verantwortlich entscheidet, ob eine Übermittlung erfolgen darf.“9Katernberg in SchulG NRW – Kommenfar, März 2015

Dieses wäre beispielsweise der Fall, wenn ein Freigabeordner in einer Cloud eingerichtet würde und dem Empfänger würden der Link und das Passwort dazu mitgeteilt. Die übermittelnde Stelle hätte keinerlei Kontrolle darüber, ob die Daten abgerufen werden und wer sie abruft.10Die Informationen zum Zugang könnten in falsche Hände geraten, zufällig gefunden werden, durch einen Fehler offenbar werden und ähnlich.

Darf der SchiLD NRW Export per E-Mail an die Kooperationsschule übertragen werden?

Unter den bei den meisten Schulen in NRW akutell gegeben Bedingungen ist von einer Übertragung per E-Mail dringend abzuraten. Es gibt jedoch Ausnahmen. Nutzen beide Schulen in einer Kommune oder Stadt den gleichen kommunalen/städtischen E-Mail Dienst und sind in der Lage, ihre E-Mails zu verschlüsseln, spricht nichts gegen eine Übermittlung per E-Mail. Sobald Logineo NRW zur Verfügung steht und von beiden Schulen genutzt wird, kann auch dessen E-Mail Funktionalität genutzt werden. Aber auch hier empfiehlt es sich, die E-Mails mit den sensiblen Schülerdaten zu verschlüsseln.

Es gibt Schulen, die Anbieter wie T-Online, Web.de oder GMX nutzen. Eine Übermittlung per E-Mail über diese oder vergleichbare E-Mail Anbieter, so wie man sie im Privatbereich nutzt, ist nicht zu empfehlen, auch nicht wenn die E-Mails verschlüsselt sind. In der Regel liegen E-Mails zumindest einige Tage auf dem E-Mail Server des Absenders, oft auch des Empfängers. Wird einer dieser Server gehackt und die Daten entwendet, ist nie sicher, was mit den Daten passiert. Selbst eine Verschlüsselung, die heute als sicher gilt, könnte in einigen Jahren zu knacken sein11siehe Quantum Computing, Künstliche Intelligenz und zu Problemen für die Betroffenen führen.

Siehe auch „E-Mail Kommunikation sicher nutzen

Lösungen

Auch wenn eine Übermittlung per E-Mail in den meisten Fällen aus Gründen der Sicherheit nicht möglich ist, lassen sich die Daten aus dem SchiLD Export in digitaler Form übermitteln.

Der einfachste Weg wird die Speicherung auf einem verschlüsselten USB Stick sein, der dann persönlich durch eine Lehrkraft an der kooperierenden Schule abgegeben wird. Wenn zwei Schulen kooperieren, werden sie in räumlicher Nähe zueinander liegen und dieser Weg sollte ohne Probleme möglich sein.12Denkbar wäre auch noch der postalische Versand eines verschlüsselten Datenträgers. Vermutlich ist das jedoch aufwändiger als eine persönliche Übergabe, da bei der postalischen Übermittlung das Passwort zum Entschlüsseln getrennt auf einem anderen Wege übermittelt werden müsste.

Nutzen beide Schulen eine sichere Cloud Lösung, über welche sie Daten austauschen können, ist auch dieses eine Möglichkeit.13Google Drive und Microsoft OneDrive wie auch Dropbox und ähnliche Anbieter gehören nicht zu diesen Lösungen, auch wenn sich die Daten dort verschlüsselt ablegen lassen. Die Gründe dafür liegen daran, dass es sich um nicht europäische Anbieter handelt, bei denen ein tatsächliche Einhaltung der DS-GVO nicht zu einhundert Prozent überprüfbar gewährleistet ist. Eine Nutzung für personenbezogene Daten im Rahmen der schulischen Verwaltung ist damit aktuell (November 2018) nicht zulässig.. Logineo NRW könnte in NRW eine solche Cloud Lösung sein. Nutzen beide Schulen eine Plattform wie kommunal/städtisch betriebenes Moodle, wäre auch dieses eine Möglichkeit. Hierbei muss das Verfahren so gestaltet werden, dass kein Konflikt mit der Vorgabe des letzten Satzes von VO-DV I §5 entsteht.14siehe oben

Ein gemeinsames Verzeichnis, auf welches nur die Sekretariate beider Schulen zugriff haben, wäre eine Möglichkeit.

Datenübermittung an die Gesundheitsbehörden – Einwilligung erforderlich?

Lesezeit: 1 Minute

Seit Beginn der Umsetzung der DS-GVO ist im Mai diesen Jahres werden in Schulen viele alltägliche Formen der Datenverarbeitung auf den Prüfstein gestellt, da man sich nicht mehr sicher ist, ob man bisher wirklich alles richtig macht. Bei Datenübermittlungen stellt sich so häufig die Frage nach der rechtlichen Grundlage. Eine Grundschule fragte an:

Braucht es für die Übermittlung von personenbezogenen Daten von Schülerinnen und Schülern an die untere Gesundheitsbehörde eine Einwilligung der Eltern?

Kurze Antwort, nein. In NRW gibt es mit §120 Abs. 5 SchulG NRW und §8 VO-DV I eine rechtliche Grundlage für die Übermittlung von personenbezogenen Daten von Schülern und Eltern an die untere Gesundheitsbehörde. Welche Daten dieses genau sind, definiert §8 VO-DV I. Damit ist eine Verarbeitung nach DS-GVO Art. 6 Abs. 1 lit. e möglich und eine Einwilligung nicht notwendig.

Erforderlich ist jedoch eine Information der Betroffenen nach Art. 13, die man am besten bereits bei der Anmeldung an der Schule gibt.15Siehe dazu auch Information über Datenverarbeitung gemäß Art. 13 und Art. 14 DS-GVO unter INFORMATIONEN SCHULE (NRW)

Schulgesetz NRW §120 Abs. 5
Die in Absatz 1 Satz 1 genannten Daten dürfen einer Schule, der Schulaufsichtsbehörde, dem Schulträger, der unteren Gesundheitsbehörde, dem Jugendamt, dem Landesjugendamt, den Ämtern für Ausbildungsförderung, dem Landesamt für Ausbildungsförderung sowie den Ausbildungsbetrieben der Schülerinnen und Schüler an Berufskollegs nur übermittelt werden, soweit sie von diesen Stellen zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben benötigt werden.
Quelle: SchulG NRW § 120
VO-DV I § 8
Datenübermittlung zum Zwecke der Schulgesundheitspflege
(1) Zur Durchführung von Maßnahmen der Schulgesundheitspflege übermittelt die Schule der unteren Gesundheitsbehörde personenbezogene Daten von Schülerinnen und Schülern sowie den Eltern.
(2) Folgende Daten der Betroffenen werden übermittelt:
1. Name, Vorname,
2. Geburtsdatum, -ort und -land,
3. Geschlecht,
4. Erreichbarkeit,
5. Name, Vorname und Erreichbarkeit der Eltern
Quelle: VO-DV I § 8
Art. 6 Abs. 1 lit. e
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

(e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
Quelle: DS-GVO Art. 6 Abs. 1 lit. e

Office 365, iCloud, G Suite for Education – wo sind die Probleme für Schulen?

Lesezeit: 7 Minuten

Cloud Anwendungen sind heute nicht nur in der Wirtschaft zu finden, sondern auch in Schule. Vor allem beim Thema Kollaboration, einer der vier zentralen Kompetenzen des 21. Jahrhunderts, geht ohne Cloud Anbindung kaum etwas. Außerdem erlauben Angebote wie Office 365, iCloud und G Suite for Education einen Zugriff rund um die Uhr von überall aus, ideal für mobiles Lernen. Und so schauen sich immer mehr Schulen nach entsprechenden Lösungen um. Schulträger favorisieren häufig Microsofts Office 365, da sie es selbst in der Verwaltung einsetzen. iPad Schulen kommen automatisch auf die iCloud, um iPads optimal einsetzen zu können. Die Kollaborations Features von Apple Apps benötigen die iCloud16oder alternativ Box.netAuch die Einrichtung von shared iPads, eine Funktion, die es erlaubt, mehrere Schüler ein einzelnes iPad mit separaten Accounts nutzen zu lassen, geht nicht ohne die iCloud. Die G Suite for Education besticht vor allem durch die kostenfreie, plattformübergreifende und einfache Nutzungbarkeit.

Rein formal betrachtet erfüllen alle drei Anbieter, Microsoft, Apple und Google die Vorgaben der Datenschutzgrundverordnung. Sie stellen Verträge zur Auftragsverarbeitung bzw. andere, gleichwertige Rechtsinstrumente zur Verfügung, die bei Microsoft17siehe hier auch den Beitrag Office 365 und der Vertrag zur Auftragsverarbeitung und Google durch Annahme der Nutzungsbedingungen zustandekommen und bei Apple aus einem PDF bestehen, welches heruntergeladen und unterschrieben wird. Alle drei Anbieter bieten die EU Standardvertragsklauseln an, haben das EU-US Privacy Shield unterschrieben, sind nach diversen ISO zertifiziert und bieten darüber hinaus noch weitere Zusicherungen an bezüglich Einhaltung der Vorgaben der DS-GVO. Microsoft und Google sind beide Player im Business Bereich, zählen große Firmen zu ihren Kunden und können sich hier schon aus Geschäftsgründen keine Blöße geben. Apple nutzt den Schutz personenbezogener Daten als Geschäftmodell und Wettbewerbsvorteil gegenüber der Konkurrenz, bietet aber die iCloud nicht zur Nutzung mit sensiblen Daten für Firmen an. Fragt man persönlich bei Microsoft, Apple und Google nach, wie es mit der Einhaltung der DS-GVO aussieht, versichern einem die Mitarbeiter immer wieder, dass man vollkommen kompliant sei und dieses doch entsprechend dokumentiert ist. Die Sorgen der anfragenden Schulen und Datenschutzbeauftragten kann man nicht nachvollziehen.

Das klingt eigentlich alles gut. Wo liegt also das Problem? Es gibt doch bereits viele Schulen, die eine der drei Plattformen nutzen, oft schon seit Jahren. Mit Microsoft gibt es sogar Rahmenverträge für den Bildungsbereich. Und auch in europäischen Nachbarländern bestehen längst nicht so viele Bedenken wie hierzulande.

Das Problem ist mehrschichtig. Zwei Bereiche stehen aktuell im Vordergrund, einer davon schon länger und der andere wiederholt.

Vertrauen ist gut – Kontrolle ist besser

Microsoft, Apple und Google sind gigantische Unternehmen und in verschiedensten Geschäftsfeldern aktiv. Server und Datenleitungen befinden sich nicht nur in Europa, sondern sind Bestandteil einer weltweiten IT Infrastruktur.  Entsprechend sind die Datenströme innerhalb dieser Unternehmen kaum nachzuvollziehen. Alle drei Unternehmen sind nicht nur Dienstleister, sondern verwerten die personenbezogenen Daten ihrer Nutzer auch für vielfältige eigene Zwecke, und diese reichen je nach Unternehmen und Geschäftsbereich von der Optimierung und Entwicklung von Produkten bis zur Erstellung von Profilen für Werbe- oder andere Zwecke.18Die Bildungsprodukte sind aufgrund gesetzlicher Vorgaben und auch durch Selbstverpflichtungserklärungen der Anbieter von der kommerziellen Auswertung der Nutzerdaten ausgenommen. Dazu kommt, dass es bei allen drei Anbietern in der Vergangenheit auch wiederholt zu Datenpannen gekommen ist. Personenbezogene Daten wurden anders als offiziell angegeben genutzt, ohne Kenntnis der Betroffenen erhoben oder es gab Sicherheitsvorfälle.

Entsprechend der Größe dieser Konzerne, ihrer vielschichtigen Geschäftsfelder und negativer Erfahrungen aus der Vergangenheit ist es schwierig, diesen Anbietern uneingeschränktes Vertrauen zu schenken. Dieses ist jedoch wichtig, da der Verantwortliche auch für das verantwortlich ist, was bei einem Auftragsverarbeiter mit den personenbezogenen Daten der Betroffenen geschieht. Das Bundesdatenschutzgesetz gibt dazu in §62 vor

„Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen.“

In Art. 28 DSGVO wird diese Verantwortung des Verantwortlichen noch weiter spezifiziert. Der Abschluss von Verträgen zur Auftragsverarbeitung oder von anderen Rechtsinstrumenten und darin durch die Auftragsverarbeiter abgegebene Garantien und Erklärungen sorgt dafür, dass der formale Rahmen stimmt. Der Verantwortliche ist damit jedoch nicht seiner Verantwortung enthoben, sicherzustellen, dass alles dieses auch eingehalten wird. Die zentrale Frage hierbei ist immer:

Werden die personenbezogenen Daten der Betroffenen tatsächlich nur den Weisungen des Verantwortlichen entsprechend verarbeitet?

Das heißt, werden diese Daten nicht doch in irgendeiner Form verwertet durch den Auftragnehmer? Erstellt beispielsweise Microsoft eventuell (anonymisierte19Anonymisierung kann ein Schutz sein. Niemand weiß jedoch, ob es nicht durch Zusammenführen mit anderen Daten möglich ist, die anonymisierten Daten wieder Personen zuzuweisen und damit zu personenbezogenen Daten zu machen. Das ist vor allem dann kritisch, wenn nicht bekannt ist, wer wann auf diese anonymisierten Nutzerprofile Zugriff erhält und zu welchem Zweck diese Daten dann genutzt werden.) Nutzerprofile aus den Nutzungsdaten der schulischen Nutzer von Office 365? Trackt Google Nutzer von G Suite for Education außerhalb von Google Classroom? Fließen irgendwo Daten ab? Haben möglicherweise andere Mitarbeiter oder Abteilungen des Anbieters Zugriff auf die personenbezogenen Daten, obwohl dafür im Rahmen der Vertragserfüllung keine Notwendigkeit besteht? Werden die personenbezogenen Daten vielleicht an weltweiten Standorten gespeichert, für welche es keine entsprechenden Garantien gibt?

Es besteht für Verantwortliche also durchaus ein Anlass, die vertraglichen Regelungen und Garantien zu hinterfragen. Gegenbenenfalls muss der Verantwortliche die Einhaltung seiner Weisungen und die technischen und organisatorischen Maßnahmen zur Wahrung des Schutzes und der Sicherheit der Daten, wie sie vertraglich festgelegt wurden, selbst überprüfen, um der eigenen Verantwortung nachzukommen. Das ist bei weltweit agierenden Konzernen letztlich unmöglich. Und Schulen bzw. deren Leitungen können so etwas ohnehin nicht leisten, da ihnen das Hintergrundwissen dazu fehlt. Also hofft man auf grünes Licht von Seiten der Schulministerien oder Aufsichtsbehörden. Doch leider gibt es von keiner Seite eine Empfehlung, denn auch dort steht man vor dem gleichen Dilemma. Man hat nur eingeschränkte Möglichkeiten, die Einhaltung der Vorgaben zu überprüfen.20Einige Kontrollmöglichkeiten bestehen beispielsweise erst dann, wenn man selbst ein Office 365 nutzt und dann Experten die Datenströme kontrollieren können. Doch selbst dann ist nur selten mit 100% Sicherheit zu sagen, dass alles sauber ist. Also gibt es auch von dort keine Empfehlungen, in einigen Bundesländern allerdings von Seiten der Schulministerien Verbote. Dort, wo es weder Empfehlungen noch Verbote gibt, bleiben Schulen auf sich selbst gestellt.21Die einzige Ausnahme bildet aktuell die sogenannte Microsoft Cloud Deutschland, eine technisch rechtliche Konstruktion, bei welcher die personenbezogenen Daten der Betroffenen in Treuhand der Telekom verarbeitet werden. Microsoft selbst hat dabei keinen Zugriff auf die Daten – zumindest offiziell nicht. Hier gibt es tatsächlich eine Empfehlung der hessischen Aufsichtsbehörde, an welche man sich auch in NRW angehängt hat. Für Endnutzer sind die Kosten höher und seit Umsetzung der DS-GVO besteht, zumindest formell, kein Anlass mehr für eine spezielle in Deutschland lokalisierte Cloud. Dieses Angebot wird auch aus diesem Grund Anfang 2019 eingestellt.

Cloud Act

Als wären die Unsicherheiten bezüglich einer Nutzung von Office 365, iCloud und G Suite for Education in Schule durch mangelndes Vertrauen und die Unmöglichkeit einer echten Kontrolle nicht schon groß genug, kommt nun mit dem Cloud Act das nächste Problem. Microsoft, Apple und Google sind US-amerikanische Anbieter und damit der Jurisdiktion ihres Heimatlandes unterworfen. Es war schon immer möglich und sogar DS-GVO konform, dass US Behörden im Rahmen von Rechtshilfeabkommen in Strafsachen (engl. Mutual Legal Assistance Treaty – MLAT) die Herausgabe von personenbezogenen Daten von den drei Anbietern verlangen konnten, auch wenn die betroffenen Server in Europa standen. Eine US Ermittlungsbehörde stellte dann eine Anfrage an die passende europäische Stelle und von dieser wurde die Übergabe der angefragten personenbezogenen Daten an die US Stelle veranlasst. Das trug der Tatsache Rechnung, dass Server, die in Europa stehen, auch europäischem Recht unterliegen, war aber umständlich und zeitaufwändig. Bislang konnten Microsoft, Apple und Google sich auf diesen Sachverhalt berufen, wenn amerikanische Ermittlungsbehörden sich mit ihren Anfragen direkt an die Unternehmen wendeten. Es kam aus diesem Grund zu Auseinandersetzungen, die bis vor US Gerichte gingen.

Mit dem Cloud Act hat dieses sich geändert. Der amerikanische Kongress hat mit diesem Gesetz eine rechtliche Grundlage geschaffen, die Microsoft, Apple und Google dazu verpflichtet, personenbezogene Daten von Servern außerhalb der USA, also auch in Europa, direkt an die US Ermittlungsbehörden zu übermitteln. Zwar gibt der Cloud Act den Cloud Anbietern durchaus die Möglichkeit, einer Anfrage durch eine US Ermittlungsbehörde zu widersprechen, wenn es um nicht US Bürger geht oder ein Konflikt mit der lokalen Gesetzgebung entsteht, doch inwieweit der Cloud Act mit den Vorgaben der DS-GVO vereinbar ist, bleibt vorerst unklar. Zusätzliche Brisanz erhält die mit dem Cloud Act geschaffene Rechtslage, da diese auch das Bestehen des EU-US Privacy Shields gefährdet.22Die EU hatte den USA hier ein Ultimatum gestellt, sich an die Vorgaben des Privacy Shield zu halten oder diese auszusetzen. Das Ultimatum ist verstrichen, eine Konsequenz ist bisher jedoch nicht erfolgt. Und als ob das nicht ausreicht, drohen dem Privacy Shield und den oben erwähnten Standardvertragsklauseln noch von einer weiteren Seite Gefahr. Es gibt hier eine Klage, in welcher die Sicherheit von personenbezogenen Daten vor dem Zugriff durch US Regierungsstellen bei einer Übertragung in die USA in Frage gestellt wird23siehe Schrems Litigation in  Privacy Shield on Shaky Ground: What’s Up With EU-U.S. Data Privacy Regulations.

Da bei einer Nutzung von Cloud Angeboten von Microsoft, Apple und Google, selbst wenn die Daten europäischer Nutzer überwiegend auf europäischen Servern verarbeitet werden, Datentransfers in die USA nicht auszuschließen sind, hängt alles von dem weiteren Bestehen des EU-US Privacy Shields und der Standardvertragsklauseln ab, denn sie gewährleisten – zumindest formell, dass eine Datenverarbeitung im Auftrag im Rahmen der Vorgaben der DS-GVO möglich ist.

Fazit

Noch bestehen der EU-US Privacy Shield und die Standardvertragsklauseln. Solange in einem Bundesland kein ausdrückliches Verbot ausgesprochen wurde, spricht für Schulen von daher gegenwärtig rein formell nichts gegen eine Nutzung von Office 365, iCloud und G Suite for Education, wenn man dabei an einige Grundsätze beachtet. Diese tragen der oben geschilderten Tatsache Rechnung, dass auch wenn formell alles im grünen Bereich ist, man faktisch nicht mit absoluter Sicherheit einen umfassenden Schutz von personenbezogenen Daten garantieren kann. Eine Nutzung von Office 365, iCloud und G Suite for Education ist in Schule möglich, wenn

  • eine Verarbeitung von personenbezogenen Daten aus der Schulverwaltung komplett ausgeschlossen ist,24Dieses schließt auch dienstliche E-Mails ein, wenn sie über einen Cloud Account laufen.
  • die Schulverwaltung die Cloud nur nutzt, um allgemeine Informationen weiterzugeben und Formulare bereitzustellen,
  • Lehrkräfte sie untereinander zur Teamarbeit, zur Erstellung von Unterrichtsmaterialien, Konzeptarbeit, Entwicklung von Fachlehrplänen und ähnlich nutzen,
  • Nutzerkonten pseudonymisiert erstellt werden25Eine Erstellung von Nutzerkennungen nach dem Schema tholler@xyzschule.de oder thom2018@xyzschule.de für Thomas Müller sollte vertretbar sein,
  • per Nutzervereinbarung geregelt wird, dass bei der pädagogischen Nutzung der Plattform personenbezogene Daten auf das absolute Minimum beschränkt werden (z.B. keine Lebensläufe mit Echtdaten),
  • und keine Leistungsdaten dort zu finden sind.

Schulen, die eine der drei genannten Cloud Lösungen einführen wollen, sollten das Mittel der Datenschutz-Folgenabschätzung (DFA) für sich nutzen, um sich Klarheit zu verschaffen, ob das, was man vorhat, Sinn macht und vertretbar ist.26Art. 35 Abs. 7 listet auf, welche Fragen bei einer DFA zu klären sind. So kann eine Schule außerdem nachweisen, dass sie sich systematisch mit dem Thema auseinandergesetzt hat, und kann ihre Entscheidung begründen.

Zusätzlich zu den oben genannten Vorgaben, die man beachten sollte, wenn man eine der drei Cloud Lösungen in einer Schule einsetzen möchte, gibt es die Möglichkeit, den Schutz personenbezogener Daten durch die Nutzung von  sogeannten Hybridlösungen weiter zu optimieren. Hybridlösungen sind Kombinationen aus Cloud und lokaler Speicherung. Mit Office 365 und der iCloud lässt sich so etwas gut realisieren. Im Fall der iCloud wird diese nur für das Anlegen von Managed Apple IDs zur Einrichtung von shared iPads genutzt. Die Synchronisation der iPads mit der iCloud wird auf ein Minimum von App Einstellungen und ähnlich eingeschränkt. Erarbeitete Dateien wie Dokumente oder z.B. BookCreator Bücher werden lokal auf einen Server im Haus, ein NAS27Network attached Storage, eine Netzwerkfestplatte. oder ein anderes Speichermedium abgelegt. Bei Office 365 würde man beispielsweise Dokumente mit personenbezogenen Daten, etwa einen Lebenslauf, lokal auf einem Server in der Schule abspeichern, der nicht in die Cloud synchronisiert wird.

Eine weitere Möglichkeit, den Schutz personenbezogener Daten von Schülern und Lehrern bei der Nutzung der genannten Cloud Dienste zu verbessern, sind sogenannte Single Sign-on (SSO) Lösungen. Dabei erfolgt die Anmeldung an der Cloud Plattform nicht mit individueller Nutzerkennung und Passwort, sondern über eine andere Plattform, die diesen Anmeldedienst bereitstellt. Office 365 und G Suite for Education ermöglichen Single Sign-on, Anbieter wie itslearning oder die HPI Schul Cloud unterstützen dieses Verfahren. Auch eine Landesplattform wie Logineo NRW könnte dafür eingerichtet werden.

Wie man mit Clouds datensparsam arbeiten kann, ist hier nur kurz skizziert. Weitere Informationen folgen später in einem weiteren Beitrag.

Weiter lesen:

Brauchen Schulen Datenschutzerklärungen zu den Verarbeitungsprozessen in der Schule?

Lesezeit: 6 Minuten

Frage

Vor einiger Zeit kam die Frage auf, ob Schulen neben der Datenschutzerklärung der Homepage zusätzlich auch eine Datenschutzerklärung bezüglich der Verarbeitung von personenbezogenen Daten in der Schule benötigen, die dann ebenfalls auf der Schulhomepage veröffentlich wird.

Rechtliche Grundlagen

Art. 12 DS-GVO Abs. 1 fordert ein, dass Betroffene informiert werden und diese Informationen leicht zugänglich sind.

“Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; […] Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch.”

Entsprechend gibt der zugehörige Erwägungsgrund 58 folgende Erläuterung:

“Der Grundsatz der Transparenz setzt voraus, dass eine für die Öffentlichkeit oder die betroffene Person bestimmte Information präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst ist und gegebenenfalls zusätzlich visuelle Elemente verwendet werden. Diese Information könnte in elektronischer Form bereitgestellt werden, beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist.”

Das Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen (IFG NRW) führt aus:

§ 12
Veröffentlichungspflichten
Geschäftsverteilungspläne, Organigramme und Aktenpläne sind nach Maßgabe dieses Gesetzes allgemein zugänglich zu machen. Die öffentlichen Stellen sollen Verzeichnisse führen, aus denen sich die vorhandenen Informationssammlungen und -zwecke erkennen lassen. Soweit möglich hat die Veröffentlichung in elektronischer Form zu erfolgen. § 4 Abs. 2 Satz 1 dieses Gesetzes bleibt unberührt.

Wie sind diese Vorgaben zu verstehen?

Von rechtlicher Seite gibt es Vorgaben, sowohl von der DS-GVO wie auch vom IFG. Beide lassen jedoch Spielraum für die Umsetzung. Zu beachten ist dabei ein Unterschied zwischen DS-GVO und IFG. Während es bei der DS-GVO ausschließlich um die Rechte der Betroffenen geht, betrifft das IFG die Öffentlichkeit und deren Recht auf Informationen.

Schulen unterliegen entsprechend der DS-GVO dem Gebot der Transparenz wie jede andere datenverarbeitende öffentliche Stellen. Nach Art. 13 sind Betroffene zum Zeitpunkt der Erhebung von personenbezogenen Daten bezüglich der beabsichtigten Verarbeitung und ihrer Rechte zu informieren. Werden die personenbezogenen Daten nicht beim Betroffenen selbst erhoben, sind diese nach Art. 14 entsprechend nachträglich zu informieren.

Das IFG fordert von öffentlichen Stellen, Informationen zu verarbeiteten Daten und den Verarbeitungszwecken möglichst in elektronischer Form zu veröffentlichen. Es geht hier um eine Veröffentlichungspflicht. Die Veröffentlichung auf einer Internetseite wäre eine elektronische Form. Zum Vergleich: auf Bundesebene gibt es für Behörden gemäß dem IFG des Bundes eine Veröffentlichungspflicht im Internet.28 Der Bund gibt unter Anwendungshinweise zum Informationsfreiheitsgesetz zur Veröffentlichung folgende Informationen:
Welche Veröffentlichungspflichten bestehen im Internet?
Die Behörden des Bundes sollen geeignete Informationen möglichst umfassend im Rahmen aktiver Informationspolitik nach und nach in das Internet einstellen (§ 11 Abs. 3). Das IFG geht jedoch nicht über die bestehenden Verpflichtungen aus dem Kabinettbeschluss zur langfristigen Sicherung der im Rahmen der eGovernment-Initiative BundOnline 2005 getätigten Investitionen vom 9. März 2005 hinaus.
Insbesondere Organisations- und Aktenpläne ohne Angabe personenbezogener Daten sollen beim Internetauftritt jeder Behörde berücksichtigt werden. Solche Organisations- und Aktenpläne sollen es dem Bürger erleichtern, sich einen Überblick der vorhandenen Informationen zu verschaffen. Wie detailliert solche Pläne eingestellt werden, entscheidet jede Behörde selbst.

Zwischen den Vorgaben der DS-GVO und des IFG gibt es Unterschiede im Umfang der Informationen. Während sich das IFG auf eine Information über vorhandene Informationssammlungen und -zwecke beschränkt, geht es bei der DS-GVO um sehr viel genauere Informationen (z.B. Betroffene, Rechtsgrundlage, Zwecke der Verarbeitung, Kategorien von Daten und Empfängern, Dauer der Speicherung, Rechte der Betroffenen).

In Art. 12 ist vorgegeben, dass der Verantwortliche, hier die Schulleitung, “geeignete Maßnahmen” trifft, die Betroffenen zu informieren, und dass die Informationen in “leicht zugänglicher Form” bzw. “leicht zugänglich” zu übermitteln sind. Für die Form gibt es keine exakt definierten Vorgaben. Die Bereitstellung in elektronischer Form auf einer Website wird im Erwägungsgrund als eine Möglichkeit angegeben. Das IFG  wird etwas deutlicher und fordert die elektronische Form, sofern möglich.

Entsprechend dem IFG würde es praktisch ausreichen, auf die VO-DV I und II zu verlinken, da das IFG selbst keinerlei Vorgaben macht, wie einfach oder verständlich diese Angaben sein müssen. Auch der Begriff Verzeichnis ist nicht exakt definiert. Eine Formulierung auf der Schulhomepage könnte so lauten, wie die obere Tabellenzelle. Wenn man etwas ausführlicher sein möchte, fügt man die Inhalte der restlichen Zellen an.

Information über Informationssammlungen und -zwecke gemäß §12 Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen  (IFG NRW)

Die Schule verarbeitet die personenbezogenen Daten von Schülern, Erziehungsberechtigten und Lehrkräften in dem Umfang und für die Zwecke, wie sie durch das SchulG NRW, VO-DV I (Schüler, Erziehungsberechtigte) und VO-DV II (Lehrkräfte) vorgegeben sind.

Informationssammlung Schüler/ Erziehungsberechtigte
Schülerstammblatt

  1. die Personaldaten der in § 1 Abs. 1 Nr. 1 – 3 genannten Personen (Individualdaten) gemäß Abschnitt A Nr. I der Anlage 1,
  2. die Information zur schulischen Laufbahn der Schülerin oder des Schülers (Organisations- bzw. Schullaufbahndaten) gemäß Abschnitt A Nr. II der Anlage 1,
  3. die Angaben über den individuellen Leistungsstand der Schülerin oder des Schülers (Leistungsdaten) gemäß Abschnitt B der Anlage 1,
  4. die für die einzelnen Schulformen oder Schulstufen benötigten zusätzlichen Informationen (schulform- oder schulstufenspezifische Zusatzdaten) gemäß Abschnitt C der Anlage 1.

sonstiger Datenbestand

Zwecke
  • Schülerverwaltung
  • Leistungsdatenverwaltung
  • Zeugniserstellung
  • Unterrichtsplanung
  • Schulstatistik
  • Diagnostik/ Erstellung von Förderempfehlungen/ individuellen Förderplänen
  • Schulpflichtüberwachung
  • Kontaktaufnahme mit den Erziehungsberechtigten
  • Evaluation und Qualitätsentwicklung
  • Öffentlichkeitsarbeit
  • Erstellung von Fördergutachten (AO-SF Verfahren)
  • Schülerspezialverkehr (an Förderschulen)
  • Praktikumsverwaltung
  • Erziehungs- und Ordnungsmaßnahmen
  • Dokumentation im Klassenbuch
  • Dokumentation von Konferenzen
Informationssammlung Lehrkräfte
 Datenbestand in der Schule

  • Person
  • Werdegang
  • Vorbereitungsdienst,   Staatsprüfung
  • Qualifikationen
  • Laufbahn
  • Beschäftigung
  • Unterricht
  • Geschäftsablauf

Akten der Schulleitung

  • Persönliche Angaben
  • Ausbildung, sonstige Tätigkeiten, besondere Fähigkeiten
  • Tätigkeiten an der Schule
  • Weitere Angaben
Zwecke
  1. Planung und Ermittlung des Unterrichtsbedarfs, Durchführung des Unterrichts
  1. Planung und Einrichtung von Bildungsgängen, Klassen und Gruppen; Ermittlung und Deckung besonderer Bedarfe und Förderungsbedarfe; Unterrichtsorganisation; Unterrichtsverteilung
  2. Aufstellen von Aufsichts-, Prüfungs-, Stunden- und Vertretungsplänen, Sprechstundenlisten sowie Übersichten der an der Schule Beschäftigten
  1. Erledigung der laufenden schulischen Angelegenheiten
  1. Berichte in arbeits-, dienst- und personalrechtlichen Angelegenheiten und Angelegenheiten der Lehrerversorgung
  2. Berichte zur Vorbereitung von Dienstleistungszeugnissen, Beratung zur dienstlichen Beurteilung, Berichte in disziplinarrechtlichen Angelegenheiten
  3. Beantwortung von Anfragen und Erhebungen der Schulaufsichtsbehörden sowie anderer Behörden aus dem Geschäftsbereich des für die Schule zuständigen Ministeriums
  4. Durchführung von Maßnahmen der Qualitätsentwicklung und Qualitätssicherung gemäß § 3 Abs. 4 SchulG
  1. Statistische Daten
  2. Lehrerausbildung (Ausbildungslehrerinnen und -lehrer, Lehramtsanwärterinnen und Lehramtsanwärter und Lehrkräfte in Ausbildung)
  3. Lehrerfortbildung
  4. Erfüllung der Schulleitungsaufgaben

Entsprechend der DS-GVO müssen Betroffene (Schüler und Erziehungsberechtigte sowie Lehrkräfte) bei der Erhebung von Daten oder, sofern die Daten nicht bei ihnen direkt erhoben wurden, nachträglich informiert werden. Die unmittelbare Information kann mittels eines entsprechenden Informationsschreibens29„Informationen Schule (NRW) – datenschutz-schule.info.“ https://datenschutz-schule.info/service-downloads/informationen-schule-nrw/. gegeben werden, welches den Betroffenen ausgehändigt wird, so dass sie jederzeit über die von der Schule verarbeiteten Daten und ihre Rechte im Bilde sind. Erforderlich ist diese Art von Information bei Schülern und ihren Erziehungsberechtigten erstmals bei der Anmeldung an der Schule, bei Lehrkräften, wenn sie den Dienst an einer neuen Schule aufnehmen, welche dazu personenbezogene Daten von ihnen selbst oder einer anderen Stelle (Stammschule/ abgebende Schule/ Schulamt/ Bezirksregierung) erhält.

Die DS-GVO unterscheidet beim Transparenzgebot im Erwägungsgrund 58 zwischen betroffener Person und Öffentlichkeit. Nur wenn es um Informationen zur Herstellung von Transparenz geht, welche für die Öffentlichkeit bestimmt sind, wird die Veröffentlichung auf einer Website als Möglichkeit vorgeschlagen. Für die Information der Betroffenen selbst wird dieses nicht vorgeschlagen. Da die Formulierung von Art. 12 Abs. 1 Satz 1 sehr offen ist, bleibt dem Verantwortlichen Gestaltungsspielraum.

“Insgesamt belässt Abs. 1 S. 1 dem Verantwortlichen bei der Wahl der Darstellungsweise einen beträchtlichen Gestaltungsspielraum.”30Bäcker in Kühling/Buchner Art. 12 Abs. 1 Rn. 12

Es lässt sich aus keiner Stelle in der DS-GVO eine eindeutige Vorgabe ableiten, dass zur Herstellung von Transparenz eine Veröffentlichung von Informationen entsprechend Art. 13 und 14 auf der Schulhomepage erforderlich ist. Genausowenig ist ersichtlich, dass eine Schule die Öffentlichkeit informieren muss.

Abgesehen davon spricht jedoch auch nichts dagegen, die Informationen zur Verarbeitung von personenbezogenen Daten von Betroffenen zusätzlich leicht auffindbar auf der Schulhomepage zu hinterlegen als Informationen über die Datenverarbeitung an der Schule nach DS-GVO Art. 12. Dort könnte man dann die Informationen aus den Informationsschreiben direkt in die Webseite einstellen und eventuell auch noch die Schreiben als PDFs zum Download anzubieten.

Wie das MSB das Thema sieht

Das Ministerium für Schule und Bildung (MSB) hat sich auf den Seiten der Medienberatung zum Thema Informationspflicht nach Art. 13 DS-GVO geäußert31„Homepage der Schulen – Bildungsportal NRW.“ https://www.schulministerium.nrw.de/docs/Recht/Datenschutz/Umsetzung-EU-Datenschutzgrundverordnung/Regelungsbereiche/Homepage-der-Schulen/index.html.. Das MSB schlägt vor, der Informationspflicht über die Schulhomepage nachzukommen, um den Verwaltungsaufwand für die Schule in Grenzen zu halten. Es sollte dann ausreichend sein, “mittels Link auf die ausführlichen Vorgaben der VO DV I und II” zu verweisen. Da die DS-GVO Information aber auch eine Information zum Zeitpunkt der Datenerhebung verlangt, sollen Schulen den Erziehungsberechtigten bzw. volljährigen Schülern bei Anmeldung an der Schule einen “einen Papierausdruck der VO DV I” aushändigen.

Auch wenn dieser Vorschlag gut gemeint ist, so widerspricht er einem der wichtigen Grundsätze der DS-GVO, wie dem Zitat zu Beginn des Textes zu entnehmen. Der Erwägungsgrund wird noch deutlicher. Die Information soll in “präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst” sein. Dem entspricht die VO-DV I wohl kaum.

Aus den Ausführungen des MSB lässt sich, was für die Fragestellung hier noch bedeutsamer ist, keinerlei Verpflichtung zur Veröffentlichung dieser Informationen auf der Schulhomepage ableiten.

Fazit

  • Schulen müssen entsprechend der Vorgaben der DS-GVO Besucher ihrer Schulhomepage (Betroffene) über die Verarbeitung von personenbezogenen Daten auf der Website selbst in Form einer Datenschutzerklärung informieren.
  • Schulen sollen als öffentliche Stellen gemäß der Vorgaben des IFG NRW in elektronischer Form Verzeichnisse führen, welche die Öffentlichkeit über Informationssammlungen und -zwecke informiert. Das erfolgt am zweckmäßigsten vermutlich über die Schulhomepage.32Mir ist bisher keine Schule bekannt, welche derartige Informationen nach dem IFG auf ihrer Schulhomepage eingestellt hat. Auch, dass es wegen des Fehlens solcher Informationen Probleme gegeben hat, ist mir nicht bekannt.
  • Schulen können ergänzend zu einer direkten Information der Betroffenen vor oder nach der Datenerhebung zusätzlich über die Verarbeitung personenbezogener Daten entsprechend Art. 13 und 14 auf ihrer Homepage informieren, wenn die Schulleitung darin eine geeignete Maßnahme sieht, der Informationspflicht nachzukommen.

Zu den Informationen, die nach dem IFG NRW auf einer Schulhomepage veröffentlicht werden sollen, gehören neben Informationen über die Schulleitung auch solche über die Lehrkräfte, deren Funktion in der Schule und Angaben zur dienstlichen Erreichbarkeit. Siehe dazu den Beitrag: Welche personenbezogenen Daten von Lehrkräften dürfen OHNE Einwilligung auf die Schulhomepage?

Office 365 und der Vertrag zur Auftragsverarbeitung

Lesezeit: 5 Minuten

Wollen Schulen einen Online Dienst nutzen und es werden dabei personenbezogene Daten aus der Schule verwendet, ist nach Art. 28 DS-GVO ein Vertrag erforderlich, welcher Rechte und Pflichten beider Seiten regelt. Vielfach bestehen diese Verträge aus Dokumenten, die ausgedruckt von beiden Seiten in Kopie unterschrieben werden, um rechtliche Gültigkeit zu erlangen. Bei Microsoft sucht man eine derartige Möglichkeit zum Abschluss eines Vertrags zur Auftragsverarbeitung oder auch Auftragsverarbeitungsvertrag (AVV) vergeblich. Heißt das nun, man kann mit Microsoft nicht den erforderlichen Vertrag abschließen, um Office 365 im Unterricht oder für die Teamarbeit der Lehrkräfte zu nutzen?

In Art. 28 heißt es unter Abs. 3

„Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor …“

Schaut man sich diesen Absatz genauer an, sieht man, dass rechtliche Grundlage für die Verarbeitung von personenbezogenen Daten des Auftraggebers durch den Auftragnehmer nicht zwingend ein Vertrag sein muss, wie man ihn beispielsweise mit seinem Website Hoster abschließt und wie oben beschrieben. Das Wort ODER lässt auch andere Optionen als gleichwertig zu einem Vertrag zu. Möglich ist demnach auch ein anderes Rechtsinstrument nach Unionsrecht oder dem Recht der Mitgliedstaaten. Alle drei Optionen erfüllen die Vorgabe nach Art. 28.

Microsoft bietet anstelle eines Vertrages, wie er im deutschen Rechtsraum üblich ist, die sogenannten OST oder Online Service Terms, zu Deutsch Online Service-Nutzungsbedingungen. Alle Volumenlizenzverträge von Microsoft umfassen diese Online Services-Nutzungsbedingungen. Die Volumenlizenzverträge werden abgeschlossen, wenn eine Schule sich für ein Office 365 Paket anmeldet (was ist wenn das Paket von Schulträger bereitgestellt wird?) Das geschieht in einem Dialog ähnlich dem folgenden.

Beispiel Dialog bei der Erstellung eines Office 365 Testabonnement Vertrags.

Wenn das entsprechende Häkchen gesetzt ist, hat der Nutzer den Vertrag abgeschlossen und damit auch die OST angenommen.

Bestandteil der OST sind die sogenannten Standardvertragsklauseln.33Microsoft hat lange Zeit die Standardvertragsklauseln (auch EU Model Clauses genannt) als Grundlage für die Übertragung von Daten für seine Onlinedienste für Unternehmen verwendet. Die EU-Standardvertragsklauseln sind von der Europäischen Kommission bereitgestellte Standardbedingungen, die für die richtlinienkonforme Übertragung von Daten außerhalb des Europäischen Wirtschaftsraums verwendet werden können. Microsoft hat die Standardvertragsklauseln mithilfe der Online Services-Nutzungsbedingungen in alle Volumenlizenzverträge integriert. Die Artikel-29-Datenschutzgruppe hat dabei festgestellt, dass die Umsetzung der Standardvertragsklauseln durch Microsoft richtlinienkonform ist. Quelle: DSGVO – häufig gestellte Fragen

Die EU-Standardvertragsklauseln gehören zu den oben erwähnten anderen Rechtsinstrumenten nach dem Unionsrecht. Auch in Art. 28 sind die Standardvertragsklauseln aufgeführt und unter Abs. 6 heißt es

„Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7 und 8 des vorliegenden Artikels genannten Standardvertragsklauseln beruhen, …“

Die EU-Standardvertragsklauseln umfassen die in Abs. 3 und 4 aufgeführten Vorgaben, die vertraglich zwischen Auftraggeber und Auftragnehmer festzuschreiben sind. Als Standardvertragsklauseln können hierbei solche verwendet werden,

„die entweder unmittelbar von der Kommission erlassen oder aber nach dem Kohärenzverfahren von einer Aufsichtsbehörde angenommen und dann von der Kommission erlassen wurden.“34Erwägungsgrund 81

Bei den von Microsoft in den OST genutzten Standardvertragsklauseln handelt es sich um solche, die von der der Europäischen Kommission bereitgestellt wurden. Ergänzt werden diese Standardvertragsklauseln im Anhang 4 des 35-seitigen Dokuments durch eine Zusicherung von Microsoft, „die Anforderungen an Auftragsverarbeiter gemäß Artikel 28 sowie anderen Artikeln der DSGVO zu erfüllen.35DSGVO – häufig gestellte Fragen Das alles ist im Rahmen der Vorgaben von Art. 28.

Auch vom Inhalt her sollten die OST, alleine durch die Standardvertragsklauseln, den Vorgaben der DS-GVO entsprechen. Da dieser Vertrag nicht nur im Bildungsbereich, sondern auch im Businessbereich zum Einsatz kommt, kann Microsoft sich hier keine Fehler erlauben. Zu allen in Art. 28 geforderten Angaben werden umfassende Aussagen gemacht. Doch wie sieht es mit der Form aus?

Die DS-GVO ist bezüglich der Formvorgaben zum Abschluss eines Vertrages oder anderen Rechtsinstrumentes wesentlich offener als das Bundesdatenschutzgesetz oder das alte Bundesdatenschutzgesetz. In Art. 28 heißt es zur Form in Abs. 9

„Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.“

Es besteht also eine Schrifterfordernis und elektronisches Format ist möglich. Die Fachautoren sind sich einig darin, dass es sich beim elektronischen Format um ein dauerhaftes Format handeln muss, welches auch nicht nachträglich verändert werden kann.36„Als Form für den Abschluss einer Vereinbarung zur Auftragsverarbeitung gibt Art. 28 Abs. 9 DSGVO die Schriftform oder ein elektronisches Format vor. Dies entspricht der in § 126 b BGB genannten Textform. Entscheidend ist hierbei, dass das ausgewählte Format sicherstellen muss, dass nachträgliche Änderungen technisch ausgeschlossen werden. Somit lässt sich eine Vereinbarung zur Auftragsverarbeitung z.B. über eine schreibgeschützte PDF-Datei, nicht aber über einfache E-Mails schließen.“ Quelle Die OST entsprechen dieser Formvorgabe. Man lädt sie in der Regel als schreibgeschützte docx Datei herunter.

Eine Unterschrift ist nach der DS-GVO nicht länger erforderlich, um einen rechtswirksamen Vertrag abzuschließen.

„Die Auftragserteilung kann gemäß Art. 28 Abs. 9 DS-GVO in Zukunft auch in einem elektronischen Format erfolgen. Das strenge Schriftformerfordernis (handschriftliche Unterschrift) gilt damit nicht mehr. Ausreichend für das elektronische Format ist jedes elektronische Dokument, das dauerhaft wiedergegeben werden kann (vergleichbar mit der Textform in [§ 126b BGB]).“37sagt der Landesbeauftragte für Datenschutz und Informationsfreiheit RLP in einem Beitrag zur Auftragsverarbeitung.

Die Bestätigung von Seiten des Auftraggebers, hier der Schule, erfolgt bei den OST als Bestandteil der Abschlusses eines Volumenlizenzvertrags durch Setzen eines Häkchens. In den OST gibt es eine eingescannte Unterschrift unter den Standardvertragsklauseln. Verschiedene Fachjuristen kommen zu dem Schluss, dass es nicht einmal dieser eingescannten Unterschrift bedarf. Die Erklärung sollte, da es sich bei der DS-GVO um eine europäische Rechtsnorm handelt, anders als im nationalen Recht unterschriftlos gültig sein.38„Mithin herrscht Einigkeit darüber, dass der europäische Gesetzgeber dem elektronischen Format nicht das Verständnis der deutschen Norm aus dem BGB zugrunde gelegt hat. Vielmehr scheint sich die Ansicht durchzusetzen, dass die Textform nach § 126b BGB den Anforderungen an das elektronische Format i.S.d. Art. 28 Abs. 9 DSGVO genügt. Bei der Textform handelt es sich um eine unterschriftlose Erklärung, die auf einem dauerhaften Datenträger (eine Download-Möglichkeit kann ausreichen) abgegeben wird und gegen nachträgliche Änderungen geschützt ist.“ Elektronischer Vertragsschluss der Auftragsverarbeitung (Art. 28 DSGVO) von Datenschutzkanzlei Es sind allerdings nicht alle Fachleute dieser Meinung. Einigkeit herrscht jedoch zumindest darin, dass es keiner „qualifizierten elektronischen Signatur“ bedarf39Auch aktuelle Aussagen der Europäischen Kommission von September 2018 untermauern die Ansicht, dass eine elektroniche Signatur nicht erforderlich ist: „Eine elektronische Signatur ist für die Rechtswirksamkeit von Verträgen gerade nicht erforderlich. Signaturen sind eines von mehreren Mitteln, um den Vertragsschluss beweisen zu können. Dies bedeutet, dass Autragsverarbeitungsverträge auch „einfach“ elektronisch, zB per PDF Dokument oder über eine Webseite, abgeschlossen werden können.“ Carlo Piltz in Europäische Kommission zum Formerfordernis für Auftragsverarbeitungsverträge nach der DSGVO.

In der aktuellen Situation sollte das von Microsoft angebotene Format den Vorgaben zum Abschluss eines Vertrags oder anderen Rechtsinstrumentes zur Auftragsverarbeitung nach Art. 28 DS-GVO genügen. Diesen Spielraum lassen die Vorgaben zu. Die OST werden online angeboten, die Standardvertragsklauseln als zentrales Element dieser Vereinbarung sind unterzeichnet, und zeigen damit den Willen Microsofts, einen Vertrag mit dem Kunden einzugehen. Der nimmt das Angebot durch Setzen eines Häkchens an und speichert die OST ab oder druckt sie aus.40„Weitergehend kann es bei einer online erfolgenden invitatio ad offerendum ausreichend sein, dass der bestellende Kunde eine Checkbox betätigt und so ein rechtswirksames Angebot auf einen bereitgestellten Vertrag abgeben kann, das der Vertragspartner sodann mit dem Hauptvertrag annimmt, wenn der Vertrag speicher- und druckbar ist.“Koreng/Lachenmann DatenschutzR-FormHdB | 1. Vergleich Auftragsverarbeitung nach dem BDSG und der DS-GVO Rn. 1. – 7. – beck-online

Fazit

Durch Annahme der OST als Bestandteil eines Volumenlizenvertrags zu Office 365 ist aktuell den Vorgaben der DS-GVO nach Art. 28 zum Abschluss eine Vertrages zur Auftragsverarbeitung zwischen Schule als Auftraggeber und Microsoft als Auftragnehmer Genüge getan. Rein Vertraglich sind hier auch die erforderlichen Vorgaben bezüglich des Exports von Daten in Drittstaaten abgedeckt, da Microsoft auch das EU-US Privacy Shield Übereinkommen unterzeichnet hat und eine entsprechende Zertifizierung erhalten hat.

Schulen, die einen Volumenlizenvertrag mit Microsoft abschließen, sollten dabei auf zwei Dinge achten, um im Sinne von Art. 28 den Abschluss eines Vertrags bzw. anderen Rechtsinstrumentes zur Regelung der Auftragsdatenverarbeitung dokumentieren zu können:

  • Die Seite, wo die Vertragsbedingungen zum Volumenlizenzvertrag angenommen werden, sollten mit gesetzen Häkchen ausgedruckt werden.
  • Über den Link zu den OST  sollten die aktuellen Online Service-Nutzungsbedingungen des Monats heruntergeladen und abgespeichert werden.

Wo Fragen bleiben

Ein gänzlich anderes Thema und wesentlich bedeutsamer als der Vertrag ist die Frage, ob Microsoft tatsächlich den vertraglich zugesicherten Angaben gerecht wird bzw. werden kann. Die Aufsichtsbehörden sind sich hier trotz aller Zusicherungen durch und Zertifizierungen von Microsoft nicht sicher. Für sie bleiben Fragen ungeklärt. Aus diesem Grund sprechen sie bisher keine Empfehlung aus. Ein Verbot gibt es jedoch auch nicht von offizieller Stelle, zumindest in NRW. Hierzu an anderer Stelle mehr.

Wer ist verantwortlich?

Auch wenn Microsoft den Formalien eines AVV entspricht und Schulen so rechtswirksam ihrer Pflicht nach Art. 28 nachkommen können, so kann es für Schulen rein rechtlich zum Problem werden, wenn der Vertrag durch den Schulträger abgeschlossen wurde. Das ist vielfach der Fall. Eine rechtswirksame Vereinbarung im Sinne von Art. 28 Abs. 3 muss immer zwischen dem Verantwortlichen als Auftraggeber und dem Dienstleister als Auftragnehmer abgeschlossen werden. Verantwortlicher ist bei Schulen immer die Schulleitung. Eine nachträgliche Änderung wird vermutlich nahezu unmöglich sein, vor allem, wenn der Schulträger den Vertrag für mehrere Schulen abgeschlossen hat. Schulträger haben oft Volumenlizenzverträge für die kommunalen Verwaltungen abgeschlossen und werden entsprechend EDU Volumenlizenzverträge an die bestehende Instanz anhängen. Auch das wird eine Änderung erschweren bis unmöglich machen. Mein Tipp: Es gibt viele dringendere Baustellen in Sachen Datenschutz, die eine Schule angehen sollte, bevor sie sich hier Mühen macht. Viel wichtiger ist für Schulen, ein Konzept, wie man Office 365 so nutzen kann, dass man mit einem Minimum an personenbezogenen Daten auskommt.

Links: