Austausch Grundschule und Kinderarzt

Lesezeit: < 1 Minute

Liegen bei Schülerinnen und Schülern gesundheitliche Beeinträchtigungen vor, welche die schulische Entwicklung des Kindes unter Umständen beeinträchtigen, kann es sinnvoll sein, wenn die Grundschule eine Möglichkeit erhält, sich mit dem das Kind behandelnden Kinderarzt bzw. seiner Kinderärztin auszutauschen, um das pädagogische Handeln abzustimmen.

Beide Seiten, Schule wie auch Kinderärzte, sind jedoch der Schweigepflicht unterworfen und dürfen keine Informationen miteinander austauschen, auch wenn das sinnvoll und im Sinne des Kindes wäre. Die rechtliche Grundlage für einen Informationsaustausch ist eine Schweigepflichtentbindung durch die Erziehungsberechtigten. Sie ermöglicht, falls gewünscht, den Austausch in beide Richtungen. Die folgende Vorlage ist hierfür gedacht und entsprechend anpassbar.

Weitere Informationen zum Thema Schweigepflicht im Gegensatz zu Datenschutz finde sich im Beitrag Datenschutz und Schweigepflicht.

 

FAQ – Einsatz von digitalen Plattformen ab März 2022

Lesezeit: 6 Minuten

Mit dem 16. Schulrechtsänderungsgesetz von Februar 2022 haben sich bezüglich des Einsatzes von digitalen Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen zur Erfüllung des Bildungs- und Erziehungsauftrags an Schulen in NRW grundlegend verändert. Im Beitrag 16. Schulrechtsänderungsgesetz und Datenschutz werden diese Möglichkeiten ausführlich erläutert. Einige Fragen werden nach der Lektüre dieses Beitrags offen bleiben. In dieser FAQ sollen häufige Fragen deshalb beantwortet werden. Viele Fragen der praktischen Umsetzung werden sich vermutlich erst mit der Zeit klären. An einigen Stellen werden möglicherweise ergänzende Erlasse oder sogar Entscheidungen von Verwaltungsgerichten für Klärung sorgen müssen.

Ist bei jeder Einführung einer digitalen Plattform im Sinne von § 8 Satz 2 eine Beteiligung gemäß LPVG erforderlich?

Im LPVG NRW heißt es in § 72 Satz 3 Nr. 2 “(3) Der Personalrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, mitzubestimmen in Rationalisierungs-, Technologie- und Organisationsangelegenheiten bei
1. …
2. Einführung, Anwendung und Erweiterung technischer Einrichtungen, es sei denn, dass deren Eignung zur Überwachung des Verhaltens oder der Leistung der Beschäftigten ausgeschlossen ist,

Es hängt demnach von der jeweiligen Plattform ab, ob diese mitbestimmungspflichtig durch den Personalrat ist. Sind deren Funktionen nicht geeignet Verhalten oder Leistung von Lehrkräften zu überwachen, unterliegt die Plattform nicht der Mitbestimmung gem. LPVG. Die Logineo NRW Plattformen sind mitbestimmt, da sie viele solche Möglichkeiten bieten. Man wird davon ausgehen können, dass vor allem große Plattformen wie eine NextCloud oder IServ mitbestimmungspflichtig sind, vor allem wenn sie auch für Abbildung schulinterner Organisationsabläufe genutzt werden. Hingegen sollten Plattformen wie Antolin oder Anton, die unter Lehr und Lernsysteme gem. § 8 Satz 2 SchulG NRW fallen sollten, keine Möglichkeiten bieten, Aufschluss über das Nutzerverhalten von Lehrkräften zu gewinnen. Gleiches sollte auch für ein TaskCards gelten. Die Frage ist hier jedoch immer auch, wie weit man “Eignung zur Überwachung des Verhaltens oder der Leistung” fasst. Reicht es, wenn die Schulleitung die Anzahl der durch eine Lehrkraft erstellten Taskcards einsehen kann?

Man kann als Faustregel für die Abschätzung, ob eine Mitbestimmungspflicht vorliegt oder nicht, nehmen: je komplexer eine Plattform ist, desto wahrscheinlicher ist es, dass sie mitbestimmungspflichtig ist. Gleiches gilt auch, wenn sie für die Abbildung schulinterner Verwaltungs- und Organisationsprozesse durch Lehrkräfte genutzt wird. Einfachere Plattformen, in denen vor allem die Schülerinnen und Schüler im Mittelpunkt stehen, sollten tendenziell seltener der Mitbestimmungspflicht unterliegen.

Siehe auch Datenschutz & Mitbestimmung.

Können auch Microsoft 365 und Teams auf der neuen Rechtsgrundlage eingeführt werden?

Diese Frage dürfte viele Schulen bewegen.  Zum aktuellen Stand im März 2022 wird die DS-GVO Konformität von Microsoft 365 von den Aufsichtsbehörden angezweifelt. Die kurze Antwort ist deshalb: solange eine Schule nicht in der Lage ist nachzuweisen, dass die Verarbeitung von personenbezogenen Daten bei der Nutzung von Microsoft 365 durch Schüler und Lehrkräfte DS-GVO konform möglich ist, ist auch eine Nutzung auf der Grundlage von § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW nicht möglich. Die Verarbeitung von personenbezogenen Daten setzt deshalb weiterhin eine Einwilligung der Betroffenen voraus.

Das Thema Microsoft 365 ist in Bewegung. Sogar die Kultusminister Konferenz engagiert sich jetzt mit Unterstützung einer Arbeitsgruppe der Datenschutzkonferenz. Bis Ende 2022 wird Microsoft alle Telemetriedaten ausschließlich in der EU Verarbeiten. Aber noch gibt es den CLOUD-Act, der kritisch gesehen wird, und Microsoft räumt sich in den Datenschutzbestimmungen das Recht ein, einige personenbezogene oder -beziehbare Daten für eigene Zwecke zu verarbeiten. Das wird von Aufsichtsbehörden als nicht DS-GVO konform eingestuft. Das heißt Abwarten – noch ist nichts verloren.

Die Aussagen zu Microsoft 365 lassen sich auch auf Google Workspace for Education übertragen. In den Niederlanden ist eine datenschutzkonforme Nutzung an Schulen mit Billigung der dortigen obersten Aufsichtsbehörde bereits möglich. Hier müssen Aufsichtsbehörden von Schulen erst noch davon überzeugt werden.

Was gilt für MNSPro Cloud?

MNSpro Cloud  von der Firma AIXConcept besteht aus zwei Teilen, MNSpro und Microsoft 365. Für beide werden getrennte Verträge zur Auftragsverarbeitung abgeschlossen. Während man das von AIXConcept erstellte und betriebene MNSpro auf der Rechtsgrundlage der neuen Regelungen einführen können sollte, gilt für die angedockten Microsoft 365 Tenant, was zuvor schon für Microsoft 365 gesagt wurde.

Wie sieht es mit itslearning aus?

Die aus Norwegen kommenden Plattform, sollte bezüglich der eigentlichen Kernplattform im Sinne der neuen Regelungen des SchulG NRW nutzbar sein. In Bremen ist itslearning sogar mitbestimmt (siehe Dienstvereinbarung zu der Lernplattform „itslearning“). Ein Problem stellt jedoch das integrierte Microsoft Office dar. Dieses Office speichert zwar die erstellten Word, Excel und PowerPoint Dokumente auf den itslearning Servern, braucht jedoch zur Bearbeitung in der Plattform die Online-Office Dienste von Microsoft, und deren DS-GVO Konformität wird angezweifelt. In Baden Württemberg, erhalten Schulen itslearning über das Schulministerium, aus den genannten Gründen allerdings ohne Freischaltung der (Microsoft) Office Komponente, wie im 21. Tätigkeitsbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden Württemberg nachzulesen ist. Integriert man stattdessen ein im Auftrag betriebenes Collabora Office oder Only Office, sollte eine Nutzung von itslearning komplett nach den neuen Regelungen möglich sein.

Kann Moodle auf der neuen Rechtsgrundlage verpflichtend genutzt werden?

Anders als zur Zeit bei Logineo NRW LSM, dem Landes Moodle, steht einer Nutzung von Moodle außerhalb der Landeslösung nichts entgegen. Da Logineo NRW LSM mitbestimmt ist, sollte eine Mitbestimmung gem. LPVG NRW leicht zu erreichen sein. Das ist vor allem dann der Fall, wenn die Konfiguration sich an der der Landeslösung orientiert und keine zusätzlichen Plugins genutzt werden, welche ihrerseits durch ihre Funktionen mitbestimmungspflichtig sind.

Wie geht man mit den freiwillig eingebrachten Nutzerdaten um?

Hier gibt es nur eine sinnvolle Lösung. Per Nutzungsordnung muss die Nutzung für Inhalte, die in keinem Zusammenhang mit dem Unterricht bzw. bei Lehrkräften mit der Erfüllung der Aufgaben und der Durchführung von Unterricht stehen, untersagt werden. Diese Nutzungsordnung müssen Nutzer dann zur Kenntnis nehmen. Die Kenntnisnahme kann in verschiedener Form erfolgen. Bei Schülerinnen und Schülern wie auch Lehrkräften kann das eine Belehrung sein mit Hinweis, wo die Nutzungsordnung in schriftlicher Form nachzulesen ist. Es muss keine Online-Nutzungsordnung sein, die vor Freischaltung des Nutzerkontos per Setzen eines Häkchens zu quittieren ist.

Alternativ wäre vorstellbar, dass eine Plattform so eingestellt wird, dass Nutzer die Möglichkeit haben, in die Verarbeitung von personenbezogenen Daten, die über Unterricht bzw. bei Lehrkräften die Erfüllung der Aufgaben und die Durchführung von Unterricht hinausgehen, innerhalb der Plattform in den Nutzereinstellungen einzuwilligen. Zusätzliche Funktionen, etwa zum Anlegen eines Nutzerprofils erscheinen nach er Einwilligung. Der Widerruf der Einwilligung und das Löschen der dort hinterlegten Daten sollten dort dann ebenfalls möglich sein.

Ist auch eine verpflichtende Nutzung von personenbezogenen Daten in einer digitalen Plattform möglich, die vor März 2022 an der Schule eingeführt wurde?

Wie aus den Erläuterungen im  Gesetzesentwurf zum 16. Schulrechtsänderungsgesetz hervorgeht, lassen sich die neuen Regelungen auch auf bereits eingeführte Plattformen anwenden: “Dies schließt alle Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen im Sinne des § 8 Absatz 2 ein, die die Schule zur Erfüllung ihres Bildungs- und Erziehungsauftrags nutzt.” Auch die Formulierungen in § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW nehmen hier keine Eingrenzung auf Plattformen vor, die ausdrücklich auf der Grundlage § 8 Abs. 2 SchulG NRW einführt wurden. Bereits an Schulen genutzte Plattformen können, sofern sie die Vorgaben des SchulG NRW und der DS-GVO erfüllen, ebenfalls auf der Grundlage von § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW in Verbindung mit § 8 Abs. 2 genutzt werden. Auch eine verpflichtende Nutzung ist möglich. Eine Grundschule, die bereits LeseLudi, Antolin, ZahlenZorro oder ähnlich im Sinne des § 8 Absatz 2 nutzt, könnte die Nutzung dann umstellen und auf das Einholen einer Einwilligung zukünftig verzichten. Informationen gem. Art. 13 DS-GVO über die Datenverarbeitung bei der Nutzung sind jedoch weiterhin erforderlich.

Was, wenn für eine Plattform bereits Einwilligungen eingeholt/ erteilt wurden?

Verfügt eine Schule über eine Plattform, die sie bereits vor dem 16. Schulrechtsänderungsgesetz zur Erfüllung des Bildungs- und Erziehungsauftrags einsetzte, so dürften für die Verarbeitung von personenbezogenen Daten Einwilligungen von Schülern und Lehrkräften vorliegen. Die Schule kann Einwilligungen nicht von ihrer Seite aus aufheben. Sie haben also weiterhin Gültigkeit. Widerrufen Betroffene ihre Einwilligung, müssen der Zugang und die mit der Nutzung angefallenen personenbezogenen Daten der betroffenen Person gelöscht werden, da diese auf der Rechtsgrundlage Einwilligung verarbeitet wurden. Es könnte im Anschluss jedoch direkt ein neues Nutzerkonto erstellt werden, wenn die Schule die Plattform jetzt auf der Grundlage der neuen Regelungen nutzt. Die betroffene Person wäre dann sogar zu dessen Nutzung verpflichtet, wenn die dafür erforderlichen Voraussetzungen wie die Ausstattung mit einem Endgerät stimmen.

Können Schüler und Lehrkräfte zur Nutzung der Online Tools von kits.blog verpflichtet werden?

Leider ist das nicht möglich. Auch wenn die Tools des Niedersächsischen Landesinstituts für schulische Qualitätsentwicklung (NLQ) sehr datenschutzfreundlich sind, erfüllen sie die Vorgaben des SchulG NRW nicht, da mit dem NLQ kein Vertrag zur Auftragsverarbeitung abgeschlossen werden kann. Gleiches gilt auch für vergleichbare Plattformen, etwa von ZUM oder von eBildungslabor und ähnlich.

Wir haben keine 1:1 Ausstattung. Ist eine verpflichtende Nutzung damit unmöglich?

Nein, sie kann durchaus möglich sein. Es muss nur jedem Nutzer ein schulisches Endgerät zur Verfügung stehen. Das können auch die Tablets aus dem Tablet Koffer sein, den die Lerngruppe sich für ein Unterrichtsprojekt ausleiht. Viele Schulen haben noch PC Räume. Auch dort ist eine verpflichtende Nutzung durchaus umsetzbar. Weder in den neuen Regelungen des SchulG NRW, noch in den Erläuterungen zum Gesetzesentwurf gibt es Hinweise, dass die verpflichtende Nutzung ein persönliches digitales Endgerät voraussetzt.


Sollte es von Seiten der Leser Fragen geben, so schreiben Sie diese gerne in die Kommentare.

16. Schulrechtsänderungsgesetz und Datenschutz

Lesezeit: 11 Minuten

Am 23. Februar 2022 wurde das Gesetz zur Modernisierung und Stärkung der Eigenverantwortung von Schulen (16. Schulrechtsänderungsgesetz) vom Landtag NRW verabschiedet und damit unmittelbar wirksam. Es enthält auch Änderungen, welche das Thema Datenschutz betreffen und sehr weitreichende Auswirkungen auf die Nutzung digitaler Medien im Unterricht haben werden. Das gilt vor allem mit Blick auf die verpflichtende Nutzung von unterrichtlich genutzten Plattformen, einschließlich Videokonferenz Plattformen.

Auch schon vor dieser Gesetzesänderung war es in NRW durchaus möglich, die Verarbeitung von personenbezogenen Daten bei der Nutzung von unterrichtlich eingesetzten Plattformen zur Erfüllung des Bildungs- und Erziehungsauftrages auf das Schulgesetz NRW und die VO-DV I & II in Verbindung mit den höherrangigen Rechtsnormen zu stützen. Die personenbezogenen Daten von Schülerinnen und Schülern und Eltern, Lehrerinnen und Lehrer, Personal an den ZfsL, Lehramtsanwärterinnen und Lehramtsanwärtern und Lehrkräften in Ausbildung betreffend, erfolgte dieses durch Hinzuziehung von Art. 6 Abs. 1 lit. e und Abs. 3 lit. b DS-GVO, und die Verarbeitung der personenbezogenen Daten von Funktionsträgerinnen und Funktionsträgern betreffend, erfolgte dieses unter Hinzuziehung von.  Art. 6 Abs. 1 lit. e und Abs. 3 lit. b DS-GVO in Verbindung mit § 3 Abs. 1 DSG NRW. Eine Einwilligung in die Verarbeitung von personenbezogenen Daten war damit, soweit sie die Erfüllung des Bildungs- und Erziehungsauftrages betraf, nicht erforderlich. Auch eine verpflichtende Nutzung war bereits möglich und wurde so beispielsweise vom MSB im Verlauf der Pandemie kommuniziert, als es um die Nutzung von Videokonferenz Plattformen durch Lehrkräfte zur Erteilung von Distanzunterricht ging. Ob Schüler und Lehrkräfte im Einzelfall während der Pandemie tatsächlich zu einer Nutzung verpflichtet werden konnten, hing jedoch wesentlich von weiteren Faktoren ab, etwa der Verfügbarkeit von von der Schule bereitgestellten Schülergeräten und Dienstgeräten für Lehrkräfte.1Weitere Faktoren waren die DS-GVO Konformität der Plattform, um die es ging, und ob die Plattform zur Aktivierung des Kontos eine datenschutzrechtliche Einwilligung zwingend voraussetzt oder nicht. Im Fall von Logineo NRW war und ist die Freiwilligkeit der Nutzung zusätzlich durch eine Dienstvereinbarung festgeschrieben und schließt damit eine verpflichtende Nutzung aus. Ausgenommen von der Verarbeitung auf der beschriebenen Rechtsgrundlage sind freiwillig von den Betroffenen bereitgestellte Nutzungsdaten. Ihre Verarbeitung durch die Schule setzt deshalb eine Einwilligung voraus.2 Ein Blick auf die Datenschutzerklärung von Logineo NRW mit Stand vom 19.08.2020 zeigt, dass man dort genau diesem Ansatz folgt und bei den angegebenen Rechtsgrundlagen entsprechend differenziert.

Spätestens der Distanzunterrichts mittels digitaler Plattformen in der Pandemiezeit seit Frühjahr 2020 machte allen Beteiligten deutlich, dass dem Schulgesetz NRW genau an dieser Stelle bereichsspezifische konkrete datenschutzrechtliche Regelungen fehlten. Mit dem 16. Schulrechtsänderungsgesetz hat das Land NRW reagiert und im Schulgesetz NRW eine Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten bei der Nutzung digitaler Plattformen zur Erfüllung des Bildungs- und Erziehungsauftrags geschaffen. Dafür wurden eine Konkretisierung auf zwei Kategorien von Plattformtypen vorgenommen und der rechtliche Rahmen für eine verpflichtende Nutzung gesetzt. Ergänzend hierzu wurde in § 2 Abs. 1 Satz 3 VO-DV I die Verarbeitung von Protokolldaten geregelt.

Die folgenden Änderungen bzw. Ergänzungen wurden bezüglich der Nutzung von digitalen Plattformen in der Schule vorgenommen.

§ 8 SchulG NRW

Auch wenn die Änderung von § 8 SchulG NRW nicht schulisches Datenschutzrecht betrifft, wird diese hier erwähnt, da sie die Grundlagen für die in den §§ 120 und 121 vorgenommenen datenschutzrechtlichen Änderungen legt. Die Änderungen in § 8 SchulG NRW betreffen die Überschrift, die erweitert wurde, und einen neuen Absatz 2.3Der bisherige Absatz 2 wurde dadurch zu Absatz 3.

§ 8
Unterrichtszeit, Unterrichtsorganisation, Digitalisierung
(1) Der Unterricht wird als Vollzeitunterricht in der Regel an wöchentlich fünf Tagen erteilt. Über Ausnahmen entscheidet die Schulkonferenz im Einvernehmen mit dem Schulträger.
(2) Zur Erfüllung des Bildungs- und Erziehungsauftrags kann die Schule bereitgestellte Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen in digitaler Form nutzen.

Mit dem Hinzufügen des Wortes “Digitalisierung” in der Überschrift möchte man die Digitalisierung der Schulen als “ein wichtiges Ziel bildungspolitischen Handelns der Landesregierung” im Schulgesetz festschreiben. Das MSB bezeichnet dieses als einen “ersten programmatischen Schritt, mit welchem man “einen normativen Bezug für die „Digitalstrategie Schule“4siehe Erläuterungen im Gesetzesentwurf vom 09.12.2021 schafft. Wesentlich wichtiger als diese politische Willenserklärung in Form einer Überschrift ist dann jedoch die mit Abs. 2 geschaffene Rechtsnorm, da hiermit der schulische Einsatz digitaler Lehr- und Lernsysteme sowie digitaler Arbeits- und Kommunikationsplattformen gesetzlich verankert wird. Das ist neu und bricht mit der bisherigen Systematik des SchulG NRW, da vergleichbare Regelungen sich bisher ausschließlich in den §§ 120 und 121 fanden. Es zeigt aber auch, welchen Stellenwert man der Nutzung digitaler Plattformen einräumt, indem man diese Regelung auf eine Stufe mit Vorgaben zur Unterrichtszeit und Unterrichtsorganisation stellt. Was steckt in diesem Satz 2?

Der Rechtsrahmen

Zur Erfüllung des Bildungs- und Erziehungsauftrags kann die Schule bereitgestellte Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen in digitaler Form nutzen.

Schulen erhalten die Möglichkeit, digitale Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen zu nutzen, soweit dieses erforderlich ist, um den Bildungs- und Erziehungsauftrags zu erfüllen. Auch wenn dieses eine damit einhergehende Verarbeitung von personenbezogenen Daten durch die Schule bereits impliziert, erfolgt die bereichsspezifische konkrete datenschutzrechtliche Regelung diesbezüglich erst in den §§ 120 und 121. Die Erfüllung des Bildungs- und Erziehungsauftrags beschränkt sich nicht nur auf den Unterricht selbst. Es geht hier laut MSB im Gesetzesentwurf um eine Nutzung “für pädagogisch-didaktische Zwecke, insbesondere für die Gestaltung von Lehr- Lernprozessen, aber auch für schulinterne Verwaltungstätigkeiten sowie interne und externe Kommunikationsprozesse …

Entscheidung der Schule

Zur Erfüllung des Bildungs- und Erziehungsauftrags kann die Schule bereitgestellte Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen in digitaler Form nutzen.”

Die Entscheidung über die Nutzung digitaler Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen zur Erfüllung des Bildungs- und Erziehungsauftrags liegt damit bei der Schule. Vor dem Einsatz ist gemäß der ebenfalls neu geschaffenen Regelung in § 65 Abs. 2 Nr. 6 die Schulkonferenz an der Entscheidung über die Einführung einer vom Schulträger vorgeschlagenen Plattform zu beteiligen.5Wie im Gesetzesentwurf angemerkt ist, gilt diese Entscheidungsbefugnis nicht für bereits vor Inkrafttreten des 16. Schulrechtsänderungsgesetzes existierende und genutzte Systeme und Plattformen. (siehe Zu Nummer 22 (§ 65))

(2) Die Schulkonferenz entscheidet im Rahmen der Rechts- und Verwaltungsvorschriften in folgenden Angelegenheiten:
[…]

6. über den Vorschlag zur Nutzung der vom Schulträger bereitgestellten Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen in digitaler Form (§ 8 Absatz 2),

Im Gesetzesentwurf vom 09.12.2021 heißt es außerdem, “Das Nähere, insbesondere unter welchen Voraussetzungen die Systeme zu nutzen sind, regeln die Ausbildungs- und Prüfungsordnungen.” Dort wird es dann, sofern noch nicht vorhanden, entsprechende Vorgaben geben.

Digitale Plattformen

Zur Erfüllung des Bildungs- und Erziehungsauftrags kann die Schule bereitgestellte Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen in digitaler Form nutzen.”

Bezüglich digitaler Medien gab es im Schulgesetz NRW bisher nur eine Rechtsgrundlage für die Nutzung von “digitalen Lehr- und Lernmitteln.”6siehe § 120 Abs. 5 Satz 1, worunter sich beispielsweise digitale Schulbücher fassen lassen. Mit den digitalen “Lehr- und Lernsystemen sowie Arbeits- und Kommunikationsplattformen” erweitern sich die Plattformtypen, in welchen eine Schule zur Erfüllung des Bildungs- und Erziehungsauftrags personenbezogene Daten verarbeiten darf, auf “informationstechnische Systeme” zu denen laut Erläuterung des MSB im Gesetzesentwurf “insbesondere Lernmanagementsysteme, E-Mail- und Messengerdienste sowie Videokonferenztools” zählen. Das beschreibt ziemlich genau, was die Plattformen der Logineo NRW Familie leisten und entsprechend verweist das MSB im Gesetzesentwurf auch auf diese und stellt ihre Vorteile heraus. In Frage kommen für eine Nutzung im Rahmen von  § 8 Abs. 2 weitere Plattformen, etwa Cloud Plattformen wie NextCloud mit integrierten oder angeschlossenem Office, Schulserver wie ein IServ, Classroom Management Systeme oder auch Lern Apps wie Anton. Auch Systeme für Umfragen und Feedback sollten sich darunter fassen lassen oder Apps wie beispielsweise Schulmanager Online, Sdui und Elternnachricht, digitale Klassenbücher und Stunden- und Vertretungspläne, über welche schulische Organisationsabläufe, wie sie zur Erfüllung des Bildungs- und Erziehungsauftrags erforderlich sind, abgebildet werden.

§§ 120 und 121 SchulG NRW

Für die in § 8 geschaffene Rechtsgrundlage, welche es Schulen ermöglicht, digitale Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen zur Erfüllung des Bildungs- und Erziehungsauftrags einzusetzen, werden in § 120 Abs. 5 durch Hinzufügen von Satz 2 bereichsspezifische konkrete datenschutzrechtliche Regelung getroffen7Auch wenn sich hier in Teilen eine Dopplung mit § 8 Satz 2 ergibt, so sind die Regelungen in §§ 120 und 121 an dieser Stelle erforderlich, da diese beiden Paragraphen diejenigen sind, an welchen im SchulG NRW schulischer Datenschutz geregelt ist.:

(5) Die Schule darf für den Einsatz digitaler Lehr- und Lernmittel personenbezogene Daten der Schülerinnen und Schüler und der Eltern verarbeiten, soweit dies für die Aufgabenerfüllung der Schule erforderlich ist. Dies gilt entsprechend für den Einsatz von Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen (§ 8 Absatz 2); in diesem Rahmen sind die Schülerinnen und Schüler zur Nutzung verpflichtet.

In § 121 Abs. 1 wird durch Hinzufügen eines nahezu wortgleichen Satzes 2 entsprechend verfahren:

(1) Daten der Lehrerinnen und Lehrer dürfen von Schulen verarbeitet werden, soweit dies zur Aufgabenerfüllung bei […] der Durchführung des Unterrichts, einschließlich des Einsatzes digitaler Lehr- und Lernmittel, […] erforderlich ist. Dies gilt entsprechend für den Einsatz von Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen (§ 8 Absatz 2); in diesem Rahmen sind die Lehrerinnen und Lehrer zur Nutzung verpflichtet.

Schulen dürfen damit beim Einsatz von digitalen Lehr- und Lernsystemen sowie Arbeits- und Kommunikationsplattformen die personenbezogenen Daten von Schülerinnen und Schülern und ihren Eltern sowie von Lehrkräften verarbeiten, soweit dieses zur Erfüllung des Bildungs- und Erziehungsauftrags erforderlich ist. Dieses schließt auch Videokonferenz Plattformen ein. Innerhalb des gesteckten Rahmens sind sowohl Schülerinnen und Schüler wie auch Lehrkräfte zur Nutzung der genannten Plattformen verpflichtet. Eltern sind von dieser Verpflichtung ausgenommen.

Welche Daten

Die Zulässigkeit der Verarbeitung von personenbezogenen Daten von Schülern, Eltern und Lehrkräften erstreckt sich auf die in VO-DV I und II normierten Daten und geht sogar noch über diese hinaus. Digitale Plattformen lassen sich nicht betreiben, ohne dass dabei weitere personenbezogene und -beziehbare Daten anfallen. Diese müssen sich jedoch im Rahmen des technisch Erforderlichen bewegen. Mit §2 Abs. 1 Satz 3 VO-DV I wird dieses klargestellt: “ Beim Einsatz digitaler Lehr- und Lernmittel, digitaler Kommunikationsmittel sowie IT-Infrastrukturen ist die Verarbeitung von Protokolldaten nur zulässig, soweit dies zum Betrieb technisch erforderlich ist.” Für die Verarbeitung von Protokolldaten oder auch Logdaten werden hier zwei Grenzen aufgezeigt. Es dürfen zum Einen nur solche Protokolldaten erhoben werden, die technisch erforderlich sind. Außerdem dürfen die erhobenen Daten nur genutzt werden, soweit dieses technisch erforderlich ist, um die jeweilige Plattform zu betreiben. Gleichsam ist es auch nicht zulässig, diese Daten für andere Zwecke zu nutzen. Protokolldaten dürfen somit nicht genutzt werden, um Aufschlüsse über Nutzerverhalten zu gewinnen.8Eine Ausnahme wäre hier die Kontrolle von Protokolldaten, wenn der Verdacht besteht, dass mit einer Plattform Missbrauch betrieben wird. Dieses setzt jedoch die Erfüllung weiterer Vorgaben voraus.

Welche Plattformen

In den Erläuterungen im Gesetzesentwurf wird noch einmal klargestellt, dass die neuen Regelungen in den §§ 120 und 121 weit gefasst werden: “Dies schließt alle Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen im Sinne des § 8 Absatz 2 ein, die die Schule zur Erfüllung ihres Bildungs- und Erziehungsauftrags nutzt.” Auch schon vor Inkrafttreten des 16. Schulrechtsänderungsgesetzes bestehende Plattformen fallen unter die Regelung, sofern sie von einer Schule im Sinne des § 8 Absatz 2 zur Erfüllung ihres Bildungs- und Erziehungsauftrags genutzt werden.9Siehe dazu auch die Erläuterung zu § 8 Absatz 2 unter der Überschrift “Digitale Plattformen“, wo in Frage kommende Plattformen ausführlicher beschrieben sind.

Keine Einwilligung aber Information

Durch die in den §§ 120 und 121 neu aufgenommenen Sätze verfügen Schulen nun über eine konkrete Rechtsgrundlage, welche ihnen die Verarbeitung von personenbezogenen Daten in digitalen Lehr- und Lernsystemen sowie Arbeits- und Kommunikationsplattformen wie dort beschrieben erlaubt und Schüler wie auch Lehrkräfte sogar zur Nutzung verpflichtet. Eine Einwilligung ist hierfür somit nicht erforderlich. Es besteht jedoch weiterhin eine Informationspflicht gem. Art. 13 DS-GVO.

Ganz konkret bedeutet dieses, dass weder von Schülern noch von Eltern oder Lehrkräften eine Einwilligung eingeholt werden muss, wenn eine Schule beispielsweise eine Videokonferenz Plattform wie Jitsi für die Durchführung von Unterricht oder von Beratungsgesprächen mit Eltern nutzt.

Videokonferenz Plattform

Im Verlauf der Pandemie war vor allem strittig, ob Lehrkräfte zur Erteilung von Distanzunterricht per Videokonferenz verpflichtet werden konnten und dieses mit eingeschalteter Videokamera. Genau diesem Umstand dürfte die ausdrückliche Erwähnung von “Videokonfenzsystemen” geschuldet sein. Das Land NRW legt damit fest, dass sich die Zulässigkeit der Verarbeitung von personenbezogenen Daten von Schülern, Eltern und Lehrkräften zur Aufgabenerfüllung und bei Lehrkräften außerdem zur Durchführung von Unterricht auch auf die Nutzung von Videokonferenz Plattformen erstreckt. Welche weitreichenden Möglichkeiten sich dadurch für Schulen ergeben, erläutert das MSB im Gesetzesentwurf: “Ebenso besteht die Möglichkeit, Schülerinnen und Schüler, die nicht an Präsenzunterricht teilnehmen können (z.B. Quarantäne, Wechsel von Präsenz- und Distanzphasen, Krankheit etc.) am Unterricht vor Ort „zuzuschalten“ und somit am Unterricht teilhaben zu lassen.” Anders als bisher braucht es dafür von den Schülerinnen und Schülern im Klassenraum keine Einwilligung mehr. Gleiches gilt auch für die Durchführung von Konferenzen in Form von Videokonferenzen.

Videokamera an – aus?

Neben den Möglichkeiten, Videokonferenz Plattformen im Unterricht einzusetzen werden im Gesetzesentwurf auch die Grenzen beschrieben: “Zulässig ist der Einsatz von Videokonferenzsystemen nur, wenn dies zur Erfüllung des Bildungsauftrags erforderlich ist. Die Erforderlichkeit liegt vor, wenn dies zur Sicherung des konkreten Unterrichtsgeschehens oder aus anderen pädagogisch-didaktischen Gründen gegeben ist.” Werden Schülerinnen und Schüler, die nicht am Präsenzunterricht teilnehmen können, dem Unterricht zugeschaltet, so dürfte es in der Regel nicht erforderlich sein, dass dabei permanent Ton und/oder Kamera eingeschaltet sind, weder im Klassenraum, noch auf Seiten der Schülerinnen und Schüler. Eine Erforderlichkeit, Kamera und Ton im Klassenraum aus pädagogisch-didaktischen Gründen einzuschalten, ist aber in dem Moment gegeben, in welchem die Lehrkraft oder Schülerinnen und Schüler im Klassenraum etwas vorführen oder ein Unterrichtsgespräch in der Lerngruppe stattfindet.

Mit dem Satz “Die Verpflichtung der Schülerinnen und Schüler zum Einsatz von Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen und zur Nutzung von Videokonferenzsystemen mit Einschalten von Ton und Bild besteht in dem durch § 8 Absatz 2 gesetzten Rahmen.” der entsprechend auch für  Lehrkräfte gilt, wird noch einmal ausdrücklich darauf verwiesen, dass die Verpflichtung, Ton und Bild einzuschalten, sich in dem durch § 8 Absatz 2 gesetzten Rahmen bewegen muss. Sie ist somit nur möglich, sofern dieses zur Erfüllung des Bildungs- und Erziehungsauftrages erforderlich ist.

Das lässt Interpretationsspielraum, denn nicht jeder, ob Schüler oder Lehrkraft, wird je nach Situation eine Erforderlichkeit anerkennen.

Nutzung nur im im zulässigen Umfang

Auch wenn dieser Punkt aus den Änderungen im SchulG nicht unmittelbar hervorgeht, soll er hier erwähnt werden, denn er geht auf eine Forderung der LDI NRW in der Schrift Pandemie und Schule zurück. Wenn eine Verpflichtung zur Nutzung besteht, muss zu Schutz aller Beteiligten “gewährleistet sein, dass alle Betroffenen die digitalen Module nur im zulässigen Umfang nutzen können. Dieses wird durch technische und organisatorische Maßnahmen geregelt, etwa entsprechende Voreinstellungen in der Plattform und gegebenenfalls Nutzungs- bzw. Dienstvereinbarungen.” Dieses ist erforderlich, um beispielsweise Cyberbullying oder unbefugte Mitschnitte von Videokonferenzen zu verhindern und gegebenenfalls Maßnahmen ergreifen zu können, sollte es zu unzulässigen Nutzungen kommen.

Grenzen der Verpflichtung

Auch wenn durch die Änderungen im Schulgesetz NRW die rechtlichen Grundlagen für eine verpflichtende Nutzung von digitalen Plattformen und die dafür erforderliche Verarbeitung von personenbezogenen Daten geschaffen worden sind und sich dadurch für Schulen neue Perspektiven die Gestaltung von Unterricht wie auch die Abbildung von Verwaltungstätigkeiten eröffnen, so sind diesen neuen Möglichkeiten Grenzen gesetzt. Einige davon sind durch die neuen Regelungen selbst bedingt, andere hängen mit externen Faktoren zusammen, die in Zukunft wegfallen könnten.

Nicht für Eltern

Eine Grenze beschreibt § 120 Abs. 5 Satz 2 selbst, indem die Verpflichtung zur Nutzung nur für Schülerinnen und Schüler sowie Lehrkräfte vorgegeben wird, nicht jedoch für Eltern. Bezüglich der Eltern heißt dieses, Schulen können deren Daten bei der Nutzung von digitalen Lehr- und Lernsystemen sowie Arbeits- und Kommunikationsplattformen einschließlich Videokonferenz Plattformen ohne Einwilligung nutzen, die Eltern aber nicht zur Nutzung verpflichten. Damit können Schulen in infrage kommenden Plattformen beispielsweise Konten für die Eltern anlegen und den Eltern eine Nutzung anbieten. Diese sind jedoch nicht verpflichtet, diese Plattformen auch zu nutzen. In einem solchen Fall müssten sie aber mit Anlegen eines Kontos immer auch über die Datenverarbeitung gem. Art. 13 DS-GVO informiert werden.

Nutzung im Sinne von § 8 Satz 2

Eine Verpflichtung zur Nutzung eines digitalen Lehr- und Lernsystems oder einer Arbeits- und Kommunikationsplattform einschließlich Videokonferenz Plattform setzt voraus, dass die Nutzung im Sinne von § 8 Satz 2 erfolgt, also zur Erfüllung des Erziehungs- und Bildungsauftrags. Mit Bezug auf den Einsatz von Videokonferenz Plattformen heißt es hierzu im Gesetzesentwurf: “Zulässig ist der Einsatz von Videokonferenzsystemen nur, wenn dies zur Erfüllung des Bildungsauftrags erforderlich ist. Die Erforderlichkeit liegt vor, wenn dies zur Sicherung des konkreten Unterrichtsgeschehens oder aus anderen pädagogisch-didaktischen Gründen gegeben ist.” Für eine über die zur Erfüllung des Erziehungs- und Bildungsauftrags hinausgehende Nutzung sind Schüler wie Lehrkräfte nicht verpflichtet.

Sächliche Voraussetzungen sind gegegeben

Schülerinnen und Schüler können zu einer Nutzung von Lehr- und Lernsystemen sowie Arbeits- und Kommunikationsplattformen, die von der Schule zur Erfüllung ihres Bildungs- und Erziehungsauftrags eingesetzt werden, nur dann verpflichtet werden, wenn sie auch die Möglichkeit dazu haben. Stehen den Schülerinnen und Schülern ausreichend viele schulische Geräte mit dienstlich zugelassenen Anwendungen zur Verfügung, ist eine verpflichtende Nutzung möglich. Ist dieses nicht der Fall und Schülerinnen und Schüler müssen private Endgeräte nutzen, so kann dieses nur auf freiwilliger Basis erfolgen. Das MSB stellt im Gesetzesentwurf unter “zu Buchstabe b” ausdrücklich klar: “Eltern bzw. Schülerinnen und Schüler sind schulrechtlich nicht verpflichtet, ein digitales Endgerät für den Unterricht anzuschaffen oder einzusetzen.” Gleiches gilt auch für Lehrkräfte. Auch sie sind nicht zur Nutzung von privaten Endgeräten verpflichtet. Eine verpflichtende Nutzung setzt entsprechend bei Lehrkräften ein Dienstgerät mit dienstlich zugelassenen Anwendungen voraus.

Keine Einwilligung oder Freiwilligkeit vorgeschrieben

Eine verpflichtende Nutzung ist nicht möglich, wenn eine Einwilligung in die Datenverarbeitung bei der Nutzung einer Plattform zwingend vorgeschrieben ist. Dieses ist bei den Produkten der Logineo NRW Familie jedoch der Fall. Es kommt hinzu, dass die Freiwilligkeit der Nutzung auch in einer Dienstvereinbarung mit den Hauptpersonalräten (Stand 21.10.2020) vereinbart wurde10Hinweis: Es gibt genau genommen zwei Dienstvereinbarungen, da die Hauptpersonalräte sich der Dienstvereinbarung der anderen Schulformen nicht anschließen wollten.: “Die Nutzung von LOGINEO NRW ist freiwillig und setzt eine Einwilligungserklärung der jeweiligen Nutzerin oder des jeweiligen Nutzers bzw. deren oder dessen gesetzlicher Vertretung voraus.” In der Logineo NRW Rahmendienstnutzungsordnung mit Datum vom 28.01.2021 heißt es unter Gegenstand und Geltungsbereich “Die Nutzung von LOGINEO NRW ist freiwillig. Die Einwilligung kann im Rahmen der Aktivierung des individuellen Nutzeraccounts bei Erstanmeldung am System erteilt werden.” und unter 6. Nutzung des LOGINEO NRW Messengers und des VideokonferenztoolsDie anlassbezogene Nutzung des im LOGINEO NRW Messengers enthaltenen Videokonferenztools ist freiwillig. Es obliegt den einzelnen Nutzerinnen und Nutzern sich an einer Videokonferenz zu beteiligen. Insbesondere das Einschalten der Kamerafunktion ist nicht verpflichtend.”

Im Fall von Logineo NRW ist eine verpflichtende Nutzung von daher solange ausgeschlossen, wie die Dienstvereinbarungen wie auch die zugehörige Rahmendienstnutzungsordnungen in der aktuellen Form gelten.

Es ist auch nicht rechtmäßig, wie aus zumindest einer Bezirksregierung im Verlauf der Pandemie zu hören war, Lehrkräfte zur Einwilligung dienstlich anzuweisen, um sie damit zur Nutzung einer Videokonferenz Plattform zur Erteilung von Unterricht zu verpflichten. Eine Einwilligung setzt immer die Freiwilligkeit voraus. Ohne ist sie nicht rechtswirksam.

Im Sinne des SchulG NRW und DS-GVO genutzte Plattform

Die LDI NRW hat sich in der Schrift Pandemie und Schule (Stand 12.05.2021) auch zur verpflichtenden Nutzung von schulischen Plattformen auf der Grundlage der bis dahin bestehenden Regelungen des SchulG NRW11dort bezeichnet als “dieser Ansatz” geäußert. “Dabei ist zum einen zu beachten, dass dieser Ansatz nur zum Tragen kommen kann, soweit die Verarbeitung der hierfür erforderlichen Daten entsprechend den gesetzlichen Vorschriften im Verantwortungsbereich der Schule erfolgt, d.h. sie selbst die Daten verarbeitet oder durch Regelungen in einem Auftragsverarbeitungsvertrag sichergestellt ist, dass sie „Herrin der Daten“ ist.” In Frage kommen damit nur Plattformen im Sinne von § 8 Abs. 2, welche die Schule entweder selbst betreibt, oder welche sie durch den Schulträger oder einen Dienstleister auf der Grundlage eines Vertrags zur Auftragsverarbeitung gem. Art. 28 DS-GVO bereitstellen lässt. Außerdem sind, wie die LDI NRW beschreibt, weitere Anforderungen der DS-GVO zu erfüllen: “Gerade wenn eine Nutzung jedoch verpflichtend erfolgen soll, muss gewährleistet sein, dass die digitalen Module selbst den datenschutzrechtlichen Anforderungen insbesondere aus Art. 5, 24, 25 und 32 DS-GVO genügen  ….

Fazit

Eine verpflichtende Nutzung von digitalen Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen ist nur möglich, wenn die Schule diese

  • zur Erfüllung ihres Bildungs- und Erziehungsauftrags nutzt, und
  • allen Schülerinnen und Schülern der Lerngruppe ein von der Schule bereitgestelltes digitales Endgerät einschließlich der erforderlichen Anwendungen zur Verfügung steht, und
  • es sich um eine Plattform handelt, die nach Februar 2022 auf der Grundlage von § 8 Satz 2 SchulG NRW eingeführt wurde, oder deren Einführung vor Februar 2022 im Sinne von § 8 Satz 2 erfolgte, und
  • die Plattform die Vorgaben des SchulG NRW und der DS-GVO erfüllt, und
  • die Plattform keine Einwilligung oder Freiwilligkeit der Nutzung vorschreibt.

Über die eingesetzten digitalen Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen entscheidet die Schule. Unter welchen Voraussetzungen die Systeme zu nutzen sind, regeln die Ausbildungs- und Prüfungsordnungen.

Schulen dürfen die personenbezogenen Daten von Schülern und Lehrkräften bei der Nutzung digitalen Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen auf der Grundlage des SchulG NRW verarbeiten, wodurch die Erfordernis zu einer Einwilligung entfällt. Die Verpflichtung Betroffene über die Verarbeitung von personenbezogenen Daten gem. Art. 13 DS-GVO zu informieren besteht allerdings weiterhin.

Auch wenn digitale Lehr- und Lernsysteme und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen ohne Verpflichtung genutzt werden, etwa weil Schülerinnen und Schüler private Endgeräte auf freiwilliger Basis nutzen, bedarf es dazu keiner Einwilligung, da auch diese Verarbeitung von personenbezogenen Daten durch die neuen Regelungen abgedeckt sind.

Geht die Nutzung digitaler Lehr- und Lernsysteme und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsysteme über die Erfüllung des Bildungs- und Erziehungsauftrages hinaus, so setzt die dafür erforderliche Verarbeitung von personenbezogenen Daten eine Einwilligung der Betroffenen voraus.

Und außerdem

Mit den Neuerungen in den §§ 120 und 121 besteht nun die Möglichkeit, die personenbezogenen Daten von Schülern und Lehrkräften auch beim Einsatz von Videokonferenzsystemen zu verarbeiten. Die Aufzeichnung von Videokonferenzen ist auf dieser Rechtsgrundlage jedoch nicht möglich. Hier gelten weiterhin § 120 Abs. 6 bzw. § 121 Abs. 1 Satz 3, wonach “Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen […] der Einwilligung der betroffenen Personen.” bedürfen.

Fragen und Antworten zur Umsetzung der neuen Regelungen

Was die neuen Regelungen für die Praxis bedeuten, wird in den folgenden FAQ näher betrachtet.

FAQ – Einsatz von digitalen Plattformen ab März 2022

Stand 03/2022

Schulchronik – Änderungen VO-DV I & II

Lesezeit: 2 Minuten

Schulen in NRW führen in der Regel eine Schulchronik, in welcher Daten zur Schulgeschichte festgehalten werden. Welche Daten dazu unbefristet verarbeitet werden dürfen, regelten bisher § 9 Abs. 4 VO-DV I (Schüler:innen) und § 9 Abs. 5 VO-DV II (Lehrkräfte, Lehramtsanwärter:innen und sonstiges an Schulen tätiges Personal).

Aus der Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten vom Dezember 2021 ergeben sich auch wichtige Änderungen der zum Führen einer Schulchronik  zulässigen personenbezogenen Daten. Da diese Änderungen zu einer starken Einschränkung der zulässigen Daten führen, entstand auch ein Regelungsbedarf bezüglich bereits bestehender historischer Schulchroniken.

Änderungen die Schüler:innen betreffend

Bezüglich der Schüler:innen ergibt sich durch die Änderung der Norm eine starke Einschränkung der zum Führen der Schulchronik zulässigen Daten. Außerdem wurde durch den Zusatz “nicht öffentlich” klargestellt, dass die Schulchronik ein internes Dokument ist.

Alte Fassung
§ 9 Abs. 4 VO-DV I

(4) Zur Führung der Schulchronik (Daten zur Schulgeschichte) dürfen Schulen die folgenden personenbezogenen Daten von Schülerinnen und Schülern zeitlich unbefristet verwenden:
1. Name, Geburtsname, Vorname, Geschlecht,
2. Geburtsdatum, Geburtsort, Geburtsland,
3. Anschrift,
4. Daten über die Dauer des Besuchs der Schule.
Neue Fassung
§ 9 Abs. 5 VO-DV I
(5) Zur Führung der nicht öffentlichen Schulchronik (Daten zur Schulgeschichte) dürfen Schulen die folgenden personenbezogenen Daten von Schülerinnen und Schülern zeitlich unbefristet verwenden:
1. Name, Vorname und
2. Jahr der Beendigung des Schulverhältnisses.“

Änderungen die Lehrkräfte betreffend

Bei den Lehrkräften, Lehramtsanwärtern und sonstigem an Schulen tätigen Personal fielen die Änderungen entsprechend aus. Auch hier wurden die zur Führung einer Schulchronik zulässigen personenbezogenen Daten deutlich eingeschränkt und der Zusatz “nicht öffentlich” ergänzt.

Alte Fassung
§ 9 Abs. 5 VO-DV II
(5) Zur Führung einer Schulchronik (Daten zur Schulgeschichte) dürfen Schulen die folgenden personenbezogenen Daten des Personenkreises nach § 1 Absatz 1 Nummer 1 bis 3 zeitlich unbefristet verwenden:
1. Name(n), Geburtsname, Vorname(n), Geschlecht,
2. Geburtsdatum, Geburtsort, Geburtsland,
3. Anschrift,
4. Daten über Art und Dauer der Beschäftigung an der Schule.
Neue Fassung
§ 9 Abs. 6 VO-DV II
(6) Zur Führung einer nicht öffentlichen Schulchronik (Daten zur Schulgeschichte) dürfen Schulen die folgenden personenbezogenen Daten des Personenkreises nach § 1 Absatz 1 Nummer 1 bis 3 zeitlich unbefristet verwenden:
1. Name(n), Vorname(n)
2. Daten über Art und Dauer der Beschäftigung an der Schule.

Wie aus der Kommentierung im Entwurf einer Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten auf den Seiten 15 und 23 zu entnehmen, gehen die Änderungen auf eine Einschätzung der LDI NRW zurück. Die LDI NRW hielt die bisherige Norm für missverständlich und irreführend, da sie Schulen zwar zur Führung der Chronik berechtige, nicht aber zu deren Veröffentlichung oder Einsichtnahme. Außerdem sah sie keinen hinreichenden Grund, dass Schulen auch sensible Daten wie Geburtsdatum, Geburtsort, Geburtsland und Anschrift zur Führung einer Schulchronik dauerhaft speichern. In Folge hatte die LDI NRW sogar angeregt, die Zulässigkeit zum Führen einer Schulchronik ersatzlos zu streichen.

Soweit ging man im MSB nicht. Stattdessen wurde der Umfang der zulässigen personenbezogenen Daten stark reduziert. Da Schulen in NRW bereits seit Jahrzehnten Chroniken führen, und diese Daten enthalten, deren Verarbeitung mit der Änderung von VO-DV I & II nicht mehr zulässig ist, entstand zusätzlicher Regelungsbedarf.

Für den Umgang mit den historischen Schulchroniken wurde in § 11 VO-DV I und § 11 VO-DV II eine jeweils wortgleiche Übergangsvorschrift geschaffen.

“Schulchroniken, die bei Inkrafttreten dieser Verordnung bereits bestehen, können mit den bisherigen Inhalten für schulinterne Zwecke aufbewahrt werden.”

Damit möchte man nun vermeiden, dass Schulen ihre bereits bestehenden historischen Schulchroniken vernichten oder schwärzen müssen. Die Übergangsregelung gibt Schulen damit die Möglichkeit, ihre bereits bestehenden Schulchroniken weiterhin aufzubewahren. Sie dürfen jedoch nur schulintern aufbewahrt werden. Eine Veröffentlichung ist damit ausgeschlossen. Wie aus der Kommentierung im Entwurf einer Verordnung zur Änderung von Verordnungen hervorgeht, ist man sich im MSB bewusst, dass diese Übergangsregelung mit Blick auf die Anregung der LDI NRW datenschutzrechtlich nicht unbedenklich ist. Entsprechend ist fraglich, ob diese Regelung auf Dauer Bestand haben wird. Vorstellbar wäre, dass Schulen in einer kommenden Änderung der Verordnungen zur Datenverarbeitung auch die Möglichkeit zur schulinternen Aufbewahrung genommen wird und sie dann nur noch die Wahl haben, die historischen Chroniken dem Archiv ihrer Kommune oder Stadt zu übergeben oder sie zu vernichten.

 

 

 

Auswirkungen der geänderten VO-DV II auf Nutzung Privatgeräte

Lesezeit: < 1 Minute

Nicht nur durch die Änderung der VO-DV I ergeben sich Änderungen für die Nutzung von privaten Endgeräten zur Verarbeitung von personenbezogenen Daten aus der Schule zu dienstlichen Zwecken, sondern auch aus der Änderung der VO-DV II. Hier betreffen die Neuregelungen jedoch nicht Lehrkräfte generell, sondern nur die Personen, welche an Schulen und an den ZfsL Lehramtsanwärterinnen und Lehramtsanwärter sowie der Lehrkräfte und sonstigen Personen in Ausbildung betreuen und dabei deren personenbezogenen Daten verarbeiten. Ähnlich wie durch die Neuregelungen in der VO-DV I wird die Nutzung von Privatgeräten für diese Zwecke nun deutlich eingeschränkt, sobald ein Dienstgerät zur Verfügung gestellt bzw. ausgehändigt wurde. Aber die Regelungen geben auch Freiräume für begrenzte Ausnahmen. Als Bonbon findet sich in der VO-DV II sogar eine eingeschränkte Möglichkeit, wie Lehrkräfte dienstlich bekannte Daten von Lehrkräften, anderem Personal an Schule oder von Personen in Ausbildung ohne Genehmigung auf Privatgeräten verarbeiten dürfen. Details hierzu werden genauer erläutert unter Verarbeitung von personenbezogenen Daten auf dienstlichen und privaten Endgeräten – VO-DV II.

Gemeinsame und schuleigene Datenschutzbeauftrage – VO-DV II

Lesezeit: 5 Minuten

Mit Datum vom 13. Dezember 2021 wurden die VO-DV I und VO-DV II durch die Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten geändert. Deutliche Veränderungen ergeben sich durch die Änderungen auch für die Bestellung von Datenschutzbeauftragten für die Schulen in öffentlicher Trägerschaft. Regelungen wurden auch für die ZfSL geschaffen.

In §1 Abs. 6 der alten Fassung der VO-DV II war die Regelung zur Bestellung von Datenschutzbeauftragten nur sehr knapp gefasst.

(6) Die in Absatz 1 genannten Behörden oder Einrichtungen bestellen behördliche Datenschutzbeauftragte gemäß § 32a DSG NRW. Mehrere Stellen können gemeinsam einen behördlichen Datenschutzbeauftragten bestellen, wenn dadurch die Erfüllung seiner Aufgaben nicht beeinträchtigt wird. Für Schulen in kommunaler und staatlicher Trägerschaft bestellt das Schulamt eine Person, die die Aufgaben gemäß § 32a DSG NRW wahrnimmt.

Die neue Fassung fällt deutlich umfangreicher aus, da Zuständigkeiten für die Bestellung neu zugewiesen werden, um personalvertretungsrechtliche Belange zu berücksichtigen, und auch die Möglichkeiten zur Bestellung erweitert werden.

“(6) (1)Die in Absatz 1 genannten Behörden oder Einrichtungen benennen behördliche Datenschutzbeauftragte gemäß Artikel 37 der Datenschutz-Grundverordnung. (2) Mehrere Stellen können gemeinsam eine Person benennen, wenn dadurch die Erfüllung ihrer Aufgaben nicht beeinträchtigt wird. (3) Abweichend von Satz 1 wählen für Schulen in kommunaler und staatlicher Trägerschaft die Schulämter Personen aus, die in ihrem Bezirk die Aufgaben gemäß Artikel 39 der Datenschutz-Grundverordnung wahrnehmen sollen. (4) Zur Wahrung personalvertretungsrechtlicher Interessen werden diese Personen nach Artikel 37 Absatz 3 der Datenschutz-Grundverordnung von den Bezirksregierungen benannt und an das jeweilige Schulamt anteilig zur Wahrnehmung der Funktion abgeordnet. (5) Schulen können stattdessen eine schuleigene Datenschutzbeauftragte oder einen schuleigenen Datenschutzbeauftragten benennen. (6) Sofern für Zentren für schulpraktische Lehrerausbildung nach Artikel 37 Absatz 3 der Datenschutz-Grundverordnung gemeinsame Datenschutzbeauftragte benannt werden sollen, erfolgt ihre Benennung zur Wahrung personalvertretungsrechtlicher Interessen durch die Bezirksregierungen.”

Eigene Datenschutzbeauftragte

Die bisherigen Regelungen zur Bestellung von Datenschutzbeauftragten sah nur die Möglichkeit vor, diese Personen für mehrere Stellen gemeinsam zu benennen. Entsprechend wurden für jeden Kreis und jede kreisfreie Stadt bis zu zwei Personen zu behördlichen Datenschutzbeauftragten bestellt. Diese sind dem Schulamt zugeordnet und für alle Schulen in öffentlicher Trägerschaft des jeweiligen Kreises bzw. der jeweiligen kreisfreien Stadt zuständig. Diese Möglichkeit besteht mit Satz (3) auch weiterhin unverändert fort.

Satz (5) der Verordnung Schulen lässt Schulen nun jedoch die Wahl. Sie können wie bisher die Dienste der bereits bestellen behördlich Datenschutzbeauftragten in Anspruch nehmen, oder nun selbst eine Person für ihre Schule benennen, welche diese Funktion übernehmen soll. Den Erläuterungen des MSB im Entwurf einer Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten ist zu entnehmen, dass diese Änderung auf eine Anregung der LDI NRW zurückgeht und diese Möglichkeit vor allem “bei großen oder besonders technisierten Schulen zweckmäßig sein könnte.

Damit besteht ab sofort für jede Schule in öffentlicher Trägerschaft die Möglichkeit, einen bzw. eine schuleigene/n Datenschutzbeauftragte/n zu benennen. § 1 Abs. 5 schränkt diese Option dabei in keiner Weise ein, weder auf Schulformen noch die Größe von Schulen.

Benennung

Während die behördlich bestellten schulischen Datenschutzbeauftragten nach der neuen Regelung von den Schulämtern ausgewählt und vorgeschlagen und dann von den Bezirksregierungen unter Beteiligung der Personalvertretung benannt werden, können dem Wortlauf von Satz (5) nach Schulen die Person eigenständig benennen.1Die Formulierung in Satz (4) “diese Personen” bezieht sich grammatikalisch auf die in Satz (3) beschriebenen von den Schulämtern ausgewählten Personen. Demnach können die in Satz (5) beschriebenen Personen nicht unter die Regelung von Satz (4) fallen. Entsprechend wird es dort auch keine Teilabordnungen durch die Bezirksregierungen an die Schulämter geben.

Es wird aber zumindest erforderlich sein, diese Benennungen an die Schulämter zu melden, damit diese ihrerseits die behördlich bestellten schulischen Datenschutzbeauftragten in Kenntnis setzen können. Ob auch eine Meldung an die Bezirksregierungen notwendig wird, bleibt abzuwarten.

Thema Zuständigkeiten

Hat eine Schule einen schuleigenen Datenschutzbeauftragten benannt, nimmt diese Person für die Schule alle Aufgaben gemäß  Art. 39 DS-GVO wahr. Die Zuständigkeit der behördlich bestellten dem Schulamt zugeordneten schulischen Datenschutzbeauftragten endet damit für diese Schule. 2Ergänzend ist anzumerken, dass gerade dieser Punkt bei einen behördlich bestellten Datenschutzbeauftragten (bDSB) sehr umstritten ist. Nach ihrer Ansicht geht mit der Benennung eines schulischen Datenschutzbeauftragten nicht ein Wechsel der Zuständigkeiten einher. Sie gehen davon aus, dass dieses sonst eine Abberufung von der konkreten Schule gegen den Willen des bDSB darstellt, für die sie jedoch keine Rechtsgrundlage sehen. – Sollte ein von einer Schule benannter schulischer Datenschutzbeauftragter sich gegen die Einmischung eines bDSB in seinen Tätigkeitsbereich an seiner Schule verwehren und der bDSB sieht sich hier in der Ausübung seiner Tätigkeit behindert, muss im Zweifelsfall ein Verwaltungsgericht für Klärung sorgen.

Meldung bei der Aufsichtsbehörde

Mit der Benennung eines schuleigenen Datenschutzbeauftragten geht auch die Verpflichtung einher, diese Person gem. Art. 37 Abs. 7 DS-GVO bei der LDI NRW zu melden. Die Meldung erfolgt im Meldeportal der Aufsichtsbehörde nach vorheriger Registrierung auf der Seite.

Veröffentlichung der Kontaktdaten

Gem. Art. 37 Abs. 7 DS-GVO muss die Schule auch die Kontaktdaten der zum Datenschutzbeauftragten bestellten Person veröffentlichen. Das betrifft einige Stellen, von der Schulhomepage bis zu Datenschutzinformationen für Schülern, Eltern und Lehrkräfte gem. Art. 13 und Art. 14 DS-GVO.

Entlastung – Freistellung

Für die behördlich bestellten dem Schulamt zugeordneten schulischen Datenschutzbeauftragten hat das Land Stundenkontingente zur Verfügung gestellt, die es ermöglichen, diese Personen von ihren Schulen mit einer Stundenzahl abzuordnen.

Es ist zu erwarten, dass Schulen, die eine Person für die Funktion des schuleigenen Datenschutzbeauftragten benennen, diese Person aus eigenen Mitteln entlasten müssen. Größere Systeme haben hier vermutlich die Möglichkeit, die Aufgaben des/ der schuleigenen Datenschutzbeauftragten an eine Funktionsstelle zu koppeln.

Welche Personen kommen in Frage?

Wer die Funktion als schuleigenen Datenschutzbeauftragte/r übernehmen möchte, sollte die Bereitschaft mitbringen, sich fachlich zu qualifizieren und sollte ausreichend Einblicke in die Datenverarbeitungsabläufe einer Schule erhalten und sich damit vertraut machen.

Die Person sollte gem. Art. 38 Abs. 6 nicht durch andere schulische Funktionen und Aufgabenbereiche in eine Konfliktsituation mit der Funktion als Datenschutzbeauftragte/r kommen. Damit scheiden Personen, welche selbst große Mengen von personenbezogenen Daten in der schulinternen Verwaltung verarbeiten oder Zugriff darauf haben für die Funktion aus. Das wären beispielsweise Lehrkräfte, welche auch Administratoren für schulische Plattformen wie LMS oder Arbeits- und Kommunikationsplattformen sind. Auch bei Mitgliedern der erweiterten Schulleitung könnten solche Interessenkonflikte bestehen. Die Schulleitung als Verantwortlicher kann definitiv nicht gleichzeitig schuleigene/r Datenschutzbeauftragte/r sein.

Weisungsfrei

Die behördlich bestellten schulischen Datenschutzbeauftragten haben überwiegend nicht mit ihren eigenen Schulen zu tun. An den meisten Schulen in ihrer Zuständigkeit sind sie deshalb externe Personen. Schulische Datenschutzbeauftragte im Sinne von Satz (5) sind an ihrer Schule gem. Art. 38 Abs. 3 weisungsfrei bezüglich der Ausübung ihrer Funktion. Das bedeutet auch, sie müssen gegebenenfalls Dinge sagen, etwa wenn sie Betroffene beraten, die den Interessen der Schule zuwider laufen. Daran dürfen sie nicht gehindert werden. Es dürfen ihnen aus ihrem Handeln in der Funktion als schulischer Datenschutzbeauftragter auch keine Nachteile entstehen.

Verantwortung

Selbstredend bleibt die Schulleitung weiterhin Verantwortlicher im Sinne der DS-GVO und des Schulgesetzes NRW. Diese Verantwortung kann eine Schulleitung nicht delegieren. Die Aufgaben eines Datenschutzbeauftragten sind in Art. 39 DS-GVO klar definiert. Darüber hinaus steht es natürlich jeder Schule frei, den schuleigenen Datenschutzbeauftragten bzw. die schuleigene Datenschutzbeauftragte mit der Erstellung und Pflege der Dokumentation (Verfahrensverzeichnis, Einwilligungen, Informationen gem. Art. 12 DS-GVO, …) zu betrauen.

Schulung

Gem. Art. 39 Abs. 2 ist der Verantwortliche verantwortlich, dem Datenschutzbeauftragten “die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen […] sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung” zu stellen. Während bei den behördlich bestellten schulischen Datenschutzbeauftragten die Schulämter die Ausstattung etwa in Form von Dienstgeräten, Büros und Fachliteratur bereitstellen und die Bezirksregierung3zumindest auf die BR Arnsberg zutreffend für die Kostenfür Ausbildung und Schulung aufkommen, ist zu erwarten, dass Schulen im Falle der Benennung eines schuleigenen Datenschutzbeauftragten für diese Kosten selbst aufkommen müssen.

Wo und wie die schulischen Datenschutzbeauftragten sich selbst aus- bzw. fortbilden können, ist offen. Die behördlich bestellten schulischen Datenschutzbeauftragten können die Dienste der Fortbildungsakademie Mont Cenis hier in Anspruch nehmen. Dort finden regelmäßig Schulungen statt, die einen Einstieg in die Thematik bieten, jedoch eher auf kommunale Behörden abzielen. Darüber hinaus bieten unzählige Dienstleister Ausbildungen an, die aber sämtlich kostenpflichtig sind. Fakt ist, es kann keine Schule erwarten, dass ihre benannten schuleigenen Datenschutzbeauftragten diese Kosten aus eigener Tasche zahlen, wie dieses bei Lehrkräften so oft der Fall ist.

Geänderte Zuständigkeiten für die Benennung der behördlich bestellen schulischen Datenschutzbeauftragten

Wie oben schon kurz beschrieben, haben sich die Zuständigkeiten bei der Benennung der behördlich bestellen schulischen Datenschutzbeauftragten verändert. Wurden sie bisher von den Schulämtern ausgewählt und benannt, so wurde jetzt mit Satz (4) die Zuständigkeit für die Benennung der schulischen Datenschutzbeauftragten auf die Bezirksregierungen übertragen.

Geänderte Zuständigkeiten für die Benennung der gemeinsamen Datenschutzbeauftragten für ZfsL

Zentren für schulpraktische Lehrerausbildung konnten schon immer im Rahmen der bisherigen Regelungen von §1 Abs. 6 VO-DV I eigene oder gemeinsame Datenschutzbeauftragte benennen. Hier ist jetzt mit Satz (6) eine Zuweisung von Zuständigkeiten für den Fall, dass mehrere ZfsL gemeinsame Datenschutzbeauftragte benennen wollen, erfolgt. Die eigentliche Benennung erfolgt nun durch die Bezirksregierungen, um dadurch eine Beteiligung der Personalvertretungen zu ermöglichen.

Stand 01/2022

Auswirkungen der geänderten VO-DV I auf Nutzung Privatgeräte

Lesezeit: 2 Minuten

Mit Datum vom 13. Dezember 2021 wurden die VO-DV I und VO-DV II durch die Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten geändert. Die Änderungen in den beiden Verordnungen wirken sich sehr deutlich auf die Arbeit der an den Schulen tätigen Personen aus, so dass man hier von einer Zäsur sprechen kann. Veränderungen mit vergleichbar starken Auswirkungen auf die Verarbeitung von personenbezogenen Daten an Schulen hat es in den vergangenen Jahren nicht gegeben.

Der Grund dafür liegt in der jetzt sehr starken Eingrenzung der Möglichkeiten, weiterhin private Endgeräte für die Verarbeitung von personenbezogenen Daten aus der Schule zu nutzen. Das war bisher anders. Lehrkräfte konnten ihre privaten Endgeräte im Rahmen der Vorgaben der VO-DV I & II nutzen, um darauf diese Daten zu verarbeiten. Damit war es ihnen möglich, den Mangel an für Verwaltungsarbeiten in der Schule eingerichteten Lehrerarbeitsplätzen auszugleichen, mobil innerhalb der Schule zu arbeiten und auch Arbeiten zu Hause zu erledigen. Die Rahmenbedingungen begannen jedoch sich in dem Moment zu ändern, als Schulträger mit Unterstützung des Landes und des Bundes in die Lage versetzt wurden, Lehrkräfte mit dienstlichen Endgeräten auszustatten. Aus Sicht des Gesetzgebers wie auch der Aufsichtsbehörde des Landes NRW entfiel damit die Erfordernis, Lehrkräften weiterhin die Nutzung privater Endgeräte für die Verarbeitung von personenbezogenen Daten aus der Schule auf privaten Endgeräten zu gestatten. Gleichzeitig sah man jedoch auch, dass es an Schulen weiteres Personal gibt, welches wie Lehrkräfte personenbezogene Daten verarbeitet. Da es für diese Personengruppe noch keine Ausstattungsrichtlinie gibt, wurde auch hier die rechtliche Grundlage geschaffen, eine Genehmigung zur Nutzung von privaten Endgeräten zu erteilen. Die Möglichkeit, auch Lehrkräften diese Genehmigung zu erteilen, ist nicht komplett verschwunden, jedoch stark eingeschränkt, auf Personen, denen noch kein Dienstgerät zur Verfügung steht, deren Dienstgerät defekt oder verlustig gegangen ist, ohne dass Ersatz gestellt werden kann, und auf eine begrenzte Zahl von Ausnahmefällen.

Im Beitrag Verarbeitung von personenbezogenen Daten auf dienstlichen und privaten Endgeräten – VO-DV I werden die Auswirkungen der Änderungen in der VO-DV I im Detail betrachtet und kommentiert. Im Text wie auch in den FAQ am Ende wird versucht, an praktischen Beispielen zu zeigen, welche Spielräume die neuen Regelungen im schulischen Alltag lassen.

Schulisches WLAN mit Einwilligung nutzen

Lesezeit: < 1 Minute

Viele Schulen stellen Schülern und Lehrkräften personalisierte WLAN Zugänge bereit, die sie über private Endgeräte oder schulische Leihgeräte im Rahmen des Unterrichts so wie zur Vor- und Nachbereitung desselben nutzen können. Dabei werden auch personenbezogene Daten verarbeitet. Nicht für alle davon lässt sich aus dem Schulgesetz NRW in Verbindung mit dem DSG NRW eine Rechtsgrundlage ableiten. Das macht eine Einwilligung der Betroffenen erforderlich.

In der Regel braucht es auch eine Nutzungsvereinbarung für ein schulisches WLAN. Die Vorlage berücksichtigt die Nutzung eines Zugangs auf das Internet, Online-Plattformen und damit verbundene Dienste über das schulische WLAN1Anders als die Einwilligungsvorlage berücksichtigt diese Vorlage nicht den Zugriff auf Ressourcen im schulinternen Netzwerk!:

Weitere Informationen zum Thema schulisches WLAN

Informationen der Medienberatung NRW zum Thema schulisches WLAN finden sich in einer Broschüre mit dem Titel WLAN AN SCHULEN – Eine Orientierungshilfe für Schulträger, Schulleitungen und Entscheidungsgremien.pdf2In dieser Broschüre finden sich übrigens auch interessante Aussagen zur logischen Trennung von Netzwerken (virtuelle Netzwerke) – siehe Kapitel “NETZWERKKONFIGURATIONEN UND BENUTZERVERWALTUNG”

Sehr hilfreich ist auch die Broschüre SCHULISCHES WLAN – HAFTUNGSRECHTLICHE FRAGEN FÜR DEN BETRIEB EINES SCHULISCHEN WLAN der Gesellschaft für Informationssicherheit mbH

Verarbeitung von Gesundheitsdaten durch Schulen – Coronaselbsttests

Lesezeit: 3 Minuten
Einen Tag, nachdem dieser Beitrag online ging, erschien eine aktualisierte Fassung der Schrift der LDI NRW. Der Beitrag ist entsprechend angepasst.

Die Corona Pandemie stellt Schulen auch in Bezug auf Datenschutz vor manche Herausforderung. Welche Informationen darf eine Schule über die Anzahl von Infektionen an der Schule und in einzelnen Klassen weitergeben? Ist es zulässig, die Namen von Infizierten Personen in der Klasse selbst bekannt zu machen? Zu einigen Unsicherheiten trug das Ministerium für Schule und Bildung nicht unwesentlich durch seine Vorgaben bei. Dabei ging es vor allem um die Selbsttestungen bis zu den Osterferien, für die es nach Informationen des Ministeriums möglich sein sollte, auf eine Einwilligung zu verzichten. Stattdessen setzte man auf eine Widerrufslösung in Kombination mit einer Einwilligung durch eine einwilligende Handlung durch Teilnahme am Selbsttest.1“Auf Basis dieser Verfahrensvorgaben ist festzustellen, dass datenschutzrechtlich eine Einwilligung nach Art. 7 DS-GVO zur Erhebung der Gesundheitsdaten (= Testergebnis) in der Schule vorliegt. Diese datenschutzrechtliche Einwilligung muss nicht zwingend schriftlich erklärt werden, sondern mit der eigenen aktiven Teilnahme am Test, ohne Handlung einer anderen Person, bei gleichzeitigem Verzicht auf eine Widerspruchserklärung ist eine Einwilligung in die Erhebung des Testergebnisses erteilt. Über die Umstände der Testungen wurde auch informiert. Dem steht auch nicht der Erwägungsgrund 32 zur DS-GVO entgegen. Danach sollen Stillschweigen oder Untätigkeit der betroffenen Person keine Einwilligung darstellen. Ein solcher Fall ist hier jedoch nicht gegeben, denn mit dem vg. Verhalten ist in diesem Kontext das Einverständnis durch eindeutige bestätigende Handlung klar signalisiert.” Schreiben des MSB, Referat 212, vom 26.03.2021

Mittlerweile hat sich die Sachlage geändert. Mit der Wiederaufnahme des Unterrichtsbetriebs nach den Osterferien trat die geänderte Coronabetreuungsverordnung (CoronaBetrVO) in Kraft und aus den freiwilligen Selbsttests wurden verpflichtende Selbsttests.

Nachdem wohl vor allem vor den Osterferien sehr viele Anfragen bei der Aufsichtsbehörde des Landes NRW eingegangen waren, veröffentlichte diese zum 20.04.2020 die Schrift Coronaselbsttests – Verarbeitung von Gesundheitsdaten durch Schulen.pdf, in welcher sie sich mit den datenschutzrechtlichen Grundsätzen, Voraussetzungen und Grenzen der Verarbeitung von personenbezogenen Daten durch Schulen im Rahmen der Selbsttestungen auseinandersetzt. Am 28.04.2021 erschien die aktualisierte Fassung Coronaselbsttests – Verarbeitung von Gesundheitsdaten durch Schulen.pdf

Darin geht die Aufsichtsbehörde auch auf das Verfahren vor den Osterferien ein und es wird deutlich, dass sie die rechtliche Einschätzung des Ministerium für Schule und Bildung nicht uneingeschränkt teilt. Personen, die schon zuvor an der Rechtmäßigkeit des vom Land gewählten Verfahrens zweifelten, werden sich dadurch bestätigt sehen.

Die Aufsichtsbehörde befasst sich dann mit der aktuell geltenden Situation und bewertet die rechtlichen Vorgaben aus der überarbeiteten CoronaBetrVO in Bezug auf ihre Verhältnismäßigkeit. Nach einer Bewertung der Geeignetheit, Erforderlichkeit und Angemessenheit der getroffenen Regelungen, kommt sie zu dem Schluss, dass die Verhältnismäßigkeit gewahrt ist. Im letzten Teil der Schrift betrachtet die Aufsichtsbehörde die Verantwortlichkeit für die Gewährleistung des Datenschutzes an der Schule, erläutert die Verpflichtung der Schule und der beteiligten Personen, die Vertraulichkeit der Testergebnisse zu wahren, bevor es dann um die Dokumentation der Testergebnisse geht und die Übermittlung derselben an Dritte.

Gerade bei der Übermittlung der personenbezogenen Daten von Personen mit positivem Selbsttest sah man in der Aufsichtsbehörde noch einen deutlichen Klärungsbedarf und wollte nun vom Ministerium für Schule und Bildung wissen “ob, unter welchen Voraussetzungen und gegebenenfalls auf welcher Rechtsgrundlage eine Übermittlung der Testergebnisse unter dem Gesichtspunkt des Gesundheitsschutzes und der Pandemiebekämpfung an andere Personen
und/oder Stellen vorgesehen ist und zulässig sein soll.

Das Land kam dieser Aufforderung nach mit der Präzisierung einiger Vorschriften in der CoronaBetrVO.

Schulen sollten beim Umgang mit positiven Ergebnissen von Selbsttests folgende Regel beachten:

  • Das Ergebnis des eine konkrete Schülerin oder einen konkreten Schüler betreffenden Selbsttests darf unmittelbar nur dieser oder diesem bzw. den jeweiligen Erziehungsberechtigten bekanntgegeben werden.
  • Dieses muss so erfolgen, dass Dritte dabei nichts mitbekommen.
  • Bei der Herausnahme der betroffenen Person aus dem Unterricht sollte  nicht direkt offensichtlich werden, dass diese einen positiven Selbsttest hatte.
  • Bei einer positiven Selbsttestung informiert die Schule das zuständige Gesundheitsamt.
  • Eine Übermittlung der positiven Testergebnisse von Selbsttests an andere Personen oder Stellen über das Gesundheitsamt hinaus, ist nicht zulässig.
  • Die Ergebnisse der durchgeführten Selbsttests oder vorgelegten Testnachweise werden von der Schule erfasst, dokumentiert und nach 14 Tagen vernichtet.
  • Diese Daten dürfen nur den Personen zugänglich gemacht werden, die sie zur Erfüllung ihrer Aufgaben benötigen.
  • Bei einem positiven Selbsttest werden die direkten Sitznachbar*innen bzw. engen Kontaktpersonen (sog. „social bubble“) bis zum Vorliegen eines PCR-Testergebnisses des Verdachtsfalls aufgefordert, nicht nur strikt die Infektions- und Hygienemaßnahmen einzuhalten, sondern auch nicht notwendige Kontakte in der Schule zu vermeiden.
  • Die Schule darf die betroffenen Personen aus dem Umfeld des Verdachtsfalls nicht selbst über den Verdachtsfall informieren.

Letzteres müsste dann wohl das Gesundheitsamt übernehmen.

Neue Veröffentlichung der LDI NRW – zum Thema Verarbeitung von Gesundheitsdaten durch Schulen

Lesezeit: < 1 Minute

Mit Datum vom 22.03. 2021 hat die LDI NRW eine neue Schrift veröffentlicht, um Klarheit beim Thema Verarbeitung von Gesundheitsdaten in der Schule zu schaffen, hier bezogen auf das Thema Nichtteilnahme am Präsenzunterricht zum Schutz vorerkrankter Angehöriger – Verarbeitung von Gesundheitsdaten durch Schulen.pdf

Im PDF wird gut erklärt, welche Gesundheitsdaten eine Schule in welcher Art und Weise im Zusammenhang mit der Nichtteilnahme von Schülern am Präsenzunterricht zum Schutz vorerkrankter Angehöriger überhaupt erheben darf. Wann darf sie ein ärztliches Attest einfordern und wann ein amtsärztliches Gutachten? Es geht darüber hinaus auch um die oft gestellte Frage, ob die Schule zum Zwecke der Einholung eines amtsärztlichen Gutachtens Daten an das Gesundheitsamt weiterleiten darf. Die Antwort lautet: die Schule benötigt hierfür immer eine Einwilligung der Betroffenen, da es keine Rechtsgrundlage dafür gibt, wie in der Schrift ausführlich erläutert wird.

Die Schrift knüpft an an die im November 2020 erschienene Schrift Maskenpflicht und Masernschutz – Verarbeitung von Gesundheitsdaten durch
Schulen.pdf, welche Schulleitungen rechtliche Hilfestellungen gibt, wenn es um die Verarbeitung von personenbezogenen Daten in den im Titel genannten Zusammenhängen geht. Die Schrift erklärt am Beispiel von verschiedenen Fallkonstellationen, wo die datenschutzrechtlichen Grenzen und Möglichkeiten für das Handeln der Schulleitungen liegen.