Distanzunterricht – rechtliche Vorgaben und Möglichkeiten

Lesezeit: 9 Minuten

Dieser Beitrag ist eine überarbeitete und auf die aktuelle Rechtslage im Januar 2021 angepasste Version des älteren Beitrags Teilnahme am Unterricht über Video – geht das?

Das Land befindet sich im Lockdown, die Schulen sind weitestgehend geschlossen und Unterricht muss als Distanzunterricht erteilt werden. Für Schulen stellt sich die Frage, wie dieser Distanzunterricht organisiert werden kann. Nahezu jeder denkt dabei an Distanzunterricht über eine Videokonferenz Plattform, zumeist kombiniert mit weiteren Plattformen. In diesem Beitrag soll aus datenschutzrechtlicher Sicht betrachtet werden, welche Möglichkeiten sich aus den verschiedenen Rechtstexten ergeben und wo die Grenzen liegen.

Maßgeblich ist für die Organisation und Erteilung von Distanzunterricht die Zweite Verordnung zur befristeten Änderung der Ausbildungs- und Prüfungsordnungen gemäß § 52 SchulG1https://bass.schul-welt.de/19272.htm. Diese wird ergänzt zur Erläuterungen im Faktenblatt zur Wiederaufnahme eines angepassten Schulbetriebs in Corona-Zeiten zu Beginn des Schuljahres 2020/20212https://www.schulministerium.nrw.de/system/files/media/document/file/Faktenblatt%20angepasster%20Schulbetrieb%20Schuljahresbeginn%202020%2021.pdf.

Es gibt in beiden Dokumenten jeweils einen Satz, der etwas zum digitalen Format des Distanzunterrichts aussagt.

In der ​Zweiten Verordnung zur befristeten Änderung​ ​der Ausbildungs- und Prüfungsordnungen gemäß § 52 SchulG​ heißt es unter §3 Abs. 6

“​Distanzunterricht ​soll​ digital erteilt werden, ​wenn​ die Voraussetzungen dafür erfüllt sind.​”

Dazu findet sich im ​Faktenblatt angepasster Schulunterricht​ auf S. 11 eine Präzisierung.

“Distanzunterricht soll dann digital erteilt werden, wenn die Voraussetzungen hierfür vorliegen, also ​insbesondere eine ausreichende technische Ausstattung der Schülerinnen und Schüler sowie der Lehrkräfte gewährleistet ist​.”

Demnach setzt digitaler Distanzunterricht eine technische Ausstattung der Beteiligten voraus. Was gehört zu einer ausreichenden technischen Ausstattung? Es braucht:

  • digitale Endgeräte bzw. Zugangsgeräte​, die dem Stand der Technik entsprechen. Dazu gehören Tablet, Notebook, Laptop und Computer. Ein Smartphone ist bedingt durch die geringe Bildschirmgröße weniger geeignet (und dürfte von daher eher keine ausreichende technische Ausstattung darstellen) sowie
  • eine ​ausreichende Internetanbindun​g über einen Anschluss zu Hause, in der Schule oder einen Mobilzugang.

Außerdem braucht es von Seiten der Schule:

  • Plattformen, Software, Apps​ – über die der digitale Distanzunterricht organisiert und durchgeführt werden kann. Dazu gehören LMS, Schulserver, Cloud Speicher, Arbeitsplattformen, Videokonferenz Plattformen, Messenger, …

Das heißt, wenn Schülerinnen und Schüler sowie Lehrkräfte über eine ausreichende technische Ausstattung in Form von geeigneten Zugangsgeräten und Internetzugängen verfügen, um am Distanzunterricht teilzunehmen bzw. diesen zu erteilen, dann soll er digital erteilt werden.

In diesem Zusammenhang sind auch die Initiativen des Landes zu sehen, über welche Leihgeräte für bedürftige Schüler und Dienstgeräte für Lehrkräfte an den Schulen zur Verfügung gestellt werden sollen.

Für den Fall, dass die Voraussetzungen nicht erfüllt sind, womit hier jedoch nicht nur eine nicht ausreichende technische Ausstattung gemeint ist, stellt die Schule in Absprache mit dem Schulträger gem. §3 Abs. 7 Schülerinnen und Schülern Räumlichkeiten für die Teilnahme am Distanzunterricht zur Verfügung.

“Soweit nötig, stellt die Schule den Schülerinnen und Schülern zur Sicherung eines chancengerechten und gleichwertigen Lernumfelds im Einvernehmen mit dem Schulträger Räume für den Distanzunterricht zur Verfügung.”

Die Zweite Verordnung und das sie ergänzende Faktenblatt betrachten die Voraussetzungen für die Erteilung bzw. Teilnahme an einem digitalen Distanzunterricht von den materiellen Voraussetzungen her, den Endgeräten, Online-Zugängen und wenn auch nicht direkt genannt, den der Schule zur Verfügung stehenden Plattformen. Es werden dabei jedoch keinerlei Aussagen zur Form des digitalen Distanzunterrichtes gemacht. Die Spanne der vorstellbaren Formen von digitalem Distanzunterricht reicht hier von der Übermittlung und Rückübermittlung von Arbeitsmaterialien per E-Mail bis zur Durchführung des Distanzunterrichts mittels LMS und Videokonferenz Plattform oder einer Arbeits- und Kommunikationsplattform mit integrierter Videokonferenzlösung.

Das Thema Datenschutz beim digitalen Distanzunterricht

Auch wenn an keiner Stelle in der Zweiten Verordnung das Thema Datenschutz erwähnt wird, so ist klar, dass auch dieser bei den Überlegungen zur Form des digitalen Distanzunterrichts eine Rolle spielt.

Um die weiteren Betrachtungen diesbezüglich zu vereinfachen, gehe ich von folgender, idealer Situation aus: die Schule XYZ hat alle Lehrkräfte mit Dienstgeräten und alle Schülerinnen und Schüler mit digitalen Endgeräten ausgestattet. Alle Lehrkräfte und Schüler haben einen guten und zuverlässigen Internetzugang zu Hause und einen Arbeitsplatz, von dem aus sie ungestört arbeiten können. Die Schule nutzt die Landesplattformen Logineo NRW LMS und Messenger sowie ein im Auftrag von einem deutschen Anbieter betriebenes BigBlueButton als Videokonferenzlösung.

Die Schule möchte die Nutzung der drei Plattformen für alle verbindlich, d.h. verpflichtend, vorschreiben. Ein Beschluss der Schulkonferenz wird hierzu herbeigeführt.

Die Schule ist sich sicher, sie ist auf dem richtigen Weg, denn der neue Absatz 5 in §120 SchulG NRW eröffnet Schulen jetzt die Möglichkeit, digitale Lehr- und Lernplattformen verpflichtend einzuführen.

“Die Schule darf für den Einsatz digitaler Lehr- und Lernmittel personenbezogene Daten der Schülerinnen und Schüler und der Eltern verarbeiten, soweit dies für die Aufgaben der Schule erforderlich ist.”

Aber so einfach ist das dann leider doch nicht. Warum?

Keine Verpflichtung bei Einwilligung

Die beiden Landesplattformen Logineo NRW LMS und Logineo NRW Messenger erfordern beide eine Einwilligung der Nutzer in die Verarbeitung von personenbezogenen Daten beim ersten Login. Gemeint sind damit Daten, die freiwillig eingestellt werden und nichts mit Schule und Unterricht zu tun haben, etwa ein persönliches Profil oder eine private Kommunikation. Eine Einwilligung kann nur rechtswirksam sein, wenn sie freiwillig ist. Damit ist eine verpflichtende Nutzung nicht mehr möglich. Die Einwilligung ist nicht zu umgehen und wäre, wenn sie verpflichtend abgegeben werden müsste, nicht mehr freiwillig.

Dieses Problem lässt sich nur dann beseitigen, wenn man in den Logineo NRW Plattformen zukünftig die Erfordernis zur Einwilligung technisch deaktiviert und eine Nutzung mit privaten Daten entweder komplett untersagt oder die Einwilligung für eine Nutzung mit privaten Daten als Option anbietet. Aktuell ist eine solche Änderung der Plattformen nicht absehbar.3Es müsste zudem eine neue Dienstvereinbarung mit den Hauptpersonalräten geben, denn in der bisherigen mit Stand vom 21.10.2020 heißt es ausdrücklich: „Die Nutzung von LOGINEO NRW ist freiwillig und setzt eine Einwilligungserklärung der jeweiligen Nutzerin/des jeweiligen Nutzers bzw. deren/dessen gesetzlicher Vertretung voraus.“ Hinweis: die Dienstvereinbarung bezieht sich aktuell nur auf die Basisplattform Logineo NRW, nicht das LMS und den Messenger. Es ist jedoch zu erwarten, dass unter aktuellen Bedingungen Dienstvereinbarungen bezüglich dieser beiden Plattformen oder eine Erweiterung der bestehenden Vereinbarung um diese Plattformen vergleichbare Regelungen bezüglich der Freiwilligkeit enthielten.

BigBlueButton ist ein Musterbeispiel für eine datenschutzfreundliche Videokonferenz Plattform. Sie ist open source und lässt sich sicher und datensparsam betreiben. Trotzdem ist eine verbindliche Nutzung auch hier momentan nicht möglich. Dafür gibt es mehrere Gründe.

Schulgesetz NRW und Videokonferenzen

Das Schulgesetz NRW sagt nichts zum Thema Video- und Audiokonferenzen, aber es gibt Aussagen zum Thema Aufnahmen des Unterrichts.

In der neuen Fassung des Schulgesetzes von Mai 2020 sind Aufnahmen des Unterrichts gemäß §120 Abs. 6 nur mit Einwilligung der Betroffenen zulässig.

„Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen bedürfen der Einwilligung der betroffenen Personen. Die Einwilligung muss freiwillig erteilt werden. Den betroffenen Personen dürfen keine Nachteile entstehen, wenn sie eine Einwilligung nicht erteilen.“

Ein entsprechender Passus findet sich auch für §121 Abs. 1. Satz 2 bezüglich der Rechte der Lehrkräfte.

Auch wenn Streaming von Bild und Ton im Rahmen einer Video- oder Audiokonferenz keine Aufzeichnung darstellt, kann man sich an dieser Vorgabe orientieren, denn auch die Teilnahme am Distanzunterricht ist verpflichtend wie die im Präsenzunterricht. Es kommt hinzu, dass vor allem eine Teilnahme an einer Videokonferenz einen deutlichen Eingriff in die Privatsphäre der Teilnehmer darstellt.

Orientiert man sich an den Vorgaben des Schulgesetzes NRW zu Bild- und Tonaufzeichnungen des Unterrichts, so ist kaum vorstellbar, dass für Video- und Audiokonferenzen völlig andere Regelungen gelten, zumal es an keiner Stelle im Schulgesetz, den anhängigen Verordnungen, Erlassen und anderen Schriften des Ministeriums Aussagen gibt, die eine andere Handhabung möglich erscheinen lassen.

Die LDI NRW und Videokonferenzen im Distanzunterricht

Die LDI NRW sieht in der Schrift Pandemie und Schule – Datenschutz mit Augenmaß4https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Schule_-Videokonferenzsysteme-und-Messenger-Dienste-waehrend-der-Corona-Pandemie/LDI-NRW—Pandemie-und-Schule-18_05_2020.pdf von Mai 2020 eine Möglichkeit, im Ausnahmefall der Pandemie in sehr engen Grenzen die Nutzung von Videokonferenzplattformen verbindlich vorzuschreiben:

“Angesichts der bisher noch nie dagewesenen besonderen Ausnahmesituation aufgrund der Corona-Pandemie erscheint für diese Krisenzeit – und grundsätzlich nur, solange diese fortbesteht – zum anderen allerdings auch noch ein anderer datenschutzrechtlicher Ansatz vertretbar: Die Durchführung von Videokonferenzen einschließlich der damit verbundenen erforderlichen Datenverarbeitung könnte temporär auf die o.g. schulrechtlichen in Generalklauseln in § 120 Abs. 1 Satz 1 und 121 Abs. 1 Satz 1 SchulG gestützt werden, soweit es die Schulleitung während der Schulschließungen und der weitgehenden Kontaktverbote zur Aufrechterhaltung des Unterrichts- und Schulbetriebs für erforderlich erachtet, derartige Videokonferenzen durchzuführen.”

Vor allem der Teil „soweit es die Schulleitung … für erforderlich erachtet“ dürfte in der Praxis anfechtbar sein. Sind Videokonferenzen zwingend erforderlich, um den Unterrichts- und Schulbetrieb aufrecht zu erhalten? Diese Schrift erschien drei Monate vor der Verabschiedung der Zweiten Verordnung, die eine solche Möglichkeit an keiner Stelle erwähnt. Von daher erscheint es unrealistisch, dass eine Schule sich jetzt noch auf diese Aussage stützen kann, um eine Videokonferenz Plattform zur verpflichtenden Nutzung einzuführen.

Selbst wenn man davon ausgeht, dass es der Schulleitung möglich wäre, die Nutzung einer Plattform für Video- und Audiokonferenzen in engen Grenzen, wie von der LDI NRW beschrieben, verpflichtend vorzugeben, so stellt sich die Frage, mit welchen Plattformen dieses überhaupt möglich wäre? In ​Pandemie und Schule​ gibt die LDI NRW Kriterien vor, welche eingehalten werden müssen, wenn eine Schule im Ausnahmefall die Nutzung einer Videokonferenzplattform verpflichtend vorgeben möchte:

“Zum einen ist zu beachten, dass dieser Ansatz überhaupt nur zum Tragen kommen kann, soweit die Verarbeitung der hierfür erforderlichen Daten entsprechend der gesetzlichen Vorschrift im Verantwortungsbereich der Schule erfolgt, d.h. sie selbst die Daten verarbeitet oder durch Regelungen in einem Auftragsverarbeitungsvertrag sichergestellt ist, dass sie „Herrin der Daten“ ist. Zum anderen setzt gerade eine verpflichtende Nutzung voraus, dass gewährleistet ist, dass alle Betroffenen die digitalen Module auch tatsächlich und zudem nur im zulässigen Umfang nutzen können;”

Ob die Schule tatsächlich voll und ganz „Herrin der Daten“ ist, dürfte selbst bei Vorliegen eines Vertrag zur Auftragsverarbeitung gerade bei Plattformen von US Anbietern nicht unstrittig sein. Und auch die Nutzung im zulässigen Umfang wird vor allem bei Videokonferenz Plattformen von verschiedenen Seiten stark angezweifelt. Eine Kontrolle, ob Teilnehmer an einer Videokonferenz heimlich Screenshots oder Mitschnitte anfertigen, ist im Anwendungsfall Distanzunterricht kaum möglich. Nutzer können nur zu verantwortungsvollem Verhalten angehalten werden. Eine Verpflichtung, sich an verabredete Regeln zu halten, kann dazu beitragen, und kann der Schule im Fall eines Verstoßes eine rechtliche Handhabe bieten, Sanktionen gegen Schüler einzuleiten, eine missbräuchliche Nutzung verhindern, kann allerdings nichts davon.

Bezüglich der im Schulgesetz NRW beabsichtigten und mittlerweile im oben beschriebenen Abs. 5 § 120 umgesetzten Rechtsvorgabe zur verpflichtenden Einführung von Unterrichtsplattformen mahnt die LDI NRW in der Schrift Pandemie und Schule an, dass in der Überarbeitung von VO-DV I & II eine

“Festschreibung, welche konkreten Daten regelmäßig für den Einsatz der E-Learning-Plattformen verarbeitet werden dürfen.”

erfolgt.

Die LDI NRW deutet an, in welche Richtung dabei gedacht ist.

“Weiterhin ist aus Sicht der LDI NRW bei der Umsetzung insbesondere maßgeblich, dass eine Datenverarbeitung auch tatsächlich nur im Rahmen des Erforderlichen erfolgt. Als ein Beispiel sei die Protokollierung der Systemzugriffe genannt. Diese ist aus datenschutzrechtlicher Sicht erforderlich, um die Sicherheit der Systeme zu gewährleisten; nicht erforderlich und damit unzulässig ist dagegen, dass Lehrkräfte Zugriff auf die Protokolldaten erhalten, um das Arbeitsverhalten ihrer Schülerinnen und Schüler zu kontrollieren.“

Die angemahnte Festschreibung in der Überarbeitung von VO-DV I & II steht aktuell noch aus. Zur Zeit ist deshalb nicht klar zu bestimmen, welche personenbezogenen Daten in einem digitalen Lehr- und Lernmittel zulässigerweise verarbeitet werden dürfen, damit dieses verpflichtend eingeführt werden kann. Offen ist darüber hinaus auch, wie weit der Begriff der digitalen Lehr- und Lernmittel, welchen die LDI NRW als E-Learning-Plattformen bezeichnet, zu verstehen ist. Von daher ist es gegenwärtig trotz Abs. 5 §120 nicht möglich, die dort eröffneten Möglichkeiten zur verpflichtenden Einführung von Unterrichtsplattformen rechtssicher umzusetzen.

Was heißt das für die Praxis?

Ist Präsenzunterricht nicht oder nur eingeschränkt möglich, so findet er gemäß der Zweiten Verordnung „mit räumlicher Distanz in engem und planvollem Austausch der Lehrenden und Lernenden statt (Distanzunterricht).“ Sind dabei die Voraussetzungen auf Seiten von Schülern und Lehrkräften vor allem mit Blick auf die technische Ausstattung erfüllt, soll der Distanzunterricht „digital erteilt werden.“ Welches Format der digitale Distanzunterricht dabei hat, ist an keiner Stelle definiert. Die Spannbreite möglicher Formate ist groß.

Digitaler Distanzunterricht ist in seinen Möglichkeiten durch die schulrechtlichen Vorgaben zum Datenschutz und übergeordnete datenschutzrechtliche Regelungen begrenzt. Auch wenn die Teilnahme am Distanzunterricht bzw. dessen Erteilung für Schüler wie Lehrkräfte durch die Vorgaben aus der Zweiten Verordnung zweifelsfrei verpflichtend ist, lässt sich aus dieser Verpflichtung für Schulen keine Berechtigung ableiten, dazu die Nutzung einer digitalen Plattform zwingend vorzugeben, sofern diese nicht den datenschutzrechtlichen Vorgaben, denen Schulen unterliegen, genügt.

Unter der Voraussetzung, dass eine „ausreichende technische Ausstattung der Schülerinnen und Schüler sowie der Lehrkräfte gewährleistet ist„​ müssten aus datenschutzrechtlicher Sicht die folgenden Bedingungen erfüllt sein, um die Nutzung einer bestimmten Plattform im Distanzunterricht verpflichtend vorschreiben zu können:

  • die Plattform müsste von der Schule selbst betrieben oder mit Vertrag zur Auftragsverarbeitung von einem Dienstleister bereitgestellt werden,
  • ihre Nutzung müsste in dem von SchulG NRW und DS-GVO gesteckten Rahmen möglich sein,
  • bei ihrer Nutzung dürften nur personenbezogene Daten im Rahmen des Erforderlichen verarbeitet werden, und
  • sie müsste so angelegt sein oder voreingestellt werden können, dass sie sich von Schülern und Lehrkräften nur im zulässigen Umfang nutzen ließe.

Außerdem wären bei einer verpflichtenden Einführung gegebenenfalls auch die Beteiligungsrechte gemäß LPVG zu berücksichtigen und die Plattform sollte durch Beschluss der Schulkonferenz eingeführt werden.

Es ist an dieser Stelle hoffentlich deutlich geworden, dass es vermutlich nur sehr wenige Plattformen gibt, mit denen sich alle diese Bedingungen zweifelsfrei erfüllen lassen. Dazu könnten beispielsweise ein Moodle zählen, eine NextCloud oder ein Messenger, welche die Schule selbst betreibt oder im Auftrag betreiben lässt, bei denen datenschutzfreundliche Voreinstellungen gewählt sind und bei deren Nutzung es untersagt ist, private Daten einzustellen, sofern für deren Verarbeitung keine gesonderte Einwilligung erteilt wurde. Es wird sicherlich auch andere kommerzielle entwickelte Plattformen geben wie z.B. spezielle Schul Apps, welche die beschrieben Bedingungen erfüllen können. Unter den gegebenen schul- und datenschutzrechtlichen Bedingungen scheint es hingegen keine Möglichkeit zu geben, die Nutzung einer Videokonferenz Plattform verpflichtend vorzuschreiben, da die Verarbeitung von Bild- und Tondaten von Schülern und Lehrkräften in der Schule grundsätzlich einwilligungspflichtig ist.

Außen vor bleiben für eine verpflichtende Nutzung im Distanzunterricht außerdem alle Plattformen, deren Nutzung eine Einwilligung voraussetzt, wie gegenwärtig die Logineo NRW Plattformen, und Plattformen, deren Nutzung nicht zweifelsfrei DS-GVO konform möglich ist. Solange das Land NRW keine Lösung mit den jeweiligen Anbietern aushandelt, so wie Baden Württemberg dieses aktuell für Office 365 versucht, fallen darunter leider auch Plattformen wie Microsoft Teams, Office 365, G Suite for Education und Apple Classroom.

Angebot statt Verpflichtung

Viele Schulen setzen auf die Plattformen von US Anbietern. Die Gründe dafür sind verschieden und für die weiteren Überlegungen nicht von Bedeutung. Wenn eine Schule z.B. auf MS Teams setzt, um damit den Distanzunterricht im digitalen Format zu erteilen, dann kann dieses immer nur ein Angebot sein. In vielen Fällen werden Lehrkräfte und Schüler bzw. deren Eltern eine Einwilligung erteilen, sei es dass sie von der Plattform überzeugt sind und die Risiken durch eine Nutzung für sich für vertretbar halten oder dass sie in Zeiten von Distanzunterricht Datenschutzbedenken zurückstellen. Es wird jedoch auch immer wieder Lehrkräfte, Schüler und Eltern geben, die nicht bereit sind, sich zur Nutzung der Plattform für sie unkalkulierbaren Risiken auszusetzen. Das ist ihr gutes Recht, solange eine Plattform die oben beschriebenen Bedingungen nicht zweifelsfrei erfüllt oder ihre Nutzung durch eine Rechtsvorgabe es Landes eindeutig vorgeschrieben ist.

Schulen kann nur dringend davon abgeraten werden, Druck auf einzelne Lehrkräfte, Schüler oder Eltern auszuüben, eine Einwilligung zu erteilen und die Plattform zu nutzen. Mir sind Fälle bekannt, in denen Schulen Betroffene, die eine Nutzung der Plattform verweigern, regelrecht schikanieren und ihnen das Leben erschweren. Auch wenn es möglich wäre, Arbeitsmaterialien anstatt über MS Teams per E-Mail zu übermitteln, werden Betroffene genötigt, diese persönlich bei der Schule abzuholen. Schüler werden gedrängt, in MS Teams auch die Kamera einzuschalten, damit man sie sehen kann. So etwas geht nicht und kann für Schulen und hier an erster Stelle die Schulleitung rechtliche Folgen haben, wenn die Betroffenen die Datenschutzaufsicht einschalten oder vor einem Verwaltungsgericht klagen. Dass Eltern hier von ihren Rechten Gebrauch machen werden, ist vor allem dann nicht unwahrscheinlich, wenn ihre Kinder durch eine Nichteinwilligung Nachteile erfahren, die das Lernen beeinträchtigen und zu schlechteren Leistungen führen.

Schulen sollten offen und ehrlich informieren über die Plattformen, welche sie für den Distanzunterricht nutzen möchten und Alternativen vorbereiten, so dass Lehrkräfte, Schüler und Eltern eine echte Wahlmöglichkeit haben und ihnen aus einer Nicht-Einwilligung keine Nachteile entstehen. Das bedeutet für die Schule eventuell zusätzliche Arbeit und Mühe, ist aber der sicherere Weg.

Alle bisherigen Betrachtungen gingen von Schulen mit idealen Voraussetzungen bezüglich der Ausstattung und Internetzugänge aus. Auch wenn in absehbarer Zukunft alle Lehrkräfte in NRW über ein Dienstgerät verfügen sollten, so wird es noch deutlich länger dauern, bis auch Schüler flächendeckend mit Endgeräten und Internetzugängen ausgestattet sind. Schon von daher ist aktuell an vielen Schulen nicht einmal daran zu denken, Distanzunterricht mit einer bestimmten Plattform verpflichtend vorzuschreiben, selbst wenn diese die schul- und datenschutzrechtlichen Bedingungen dafür erfüllen würde.

Stand: 01/2021

Informationen zur Datenverarbeitung bei der Ausleihe eines Schülergerätes

Lesezeit: < 1 Minute

Das Ausleihen eines digitalen Endgerätes an Schüler im Rahmen des Sofortausstattungsprogramms des Bundes und des Landes NRW ist ein Vorgang, der separat von der Verwaltung in einem MDM erfolgt. Es ist auch vorstellbar, dass Geräte ohne eine Verwaltung verliehen werden. Die Verwaltung des Ausleihvorgangs selbst stellt eine Datenverarbeitung dar und bedarf der Information gemäß Art. 13 DS-GVO. Eine Einwilligung in die Datenverarbeitung sollte hier nicht erforderlich sein, da sich eine Rechtsgrundlage aus §120 Abs. 1 Satz 1 Schulgesetz NRW in Verbindung mit der Richtlinie über die Förderung von digitalen Sofortausstattungen herleiten lassen sollte. Die Vorlage ist zur Information bezüglich der Datenverarbeitung beim Ausleihvorgang gedacht, wenn die Schule die Ausleihe anstelle des Schulträgers selbst regelt. Sie könnte entsprechend auch auf die Ausleihe von Dienstgeräten für Lehrkräfte angepasst werden.

Vorlagen für IServ

Lesezeit: < 1 Minute

IServ ist ein mittlerweile gut etablierter deutscher Schulserver der vor allem damit glänzen kann, dass er komplett auf nicht-EU Dienste verzichtet. Er setzt sehr stark auf Open-Source Komponenten1BigBlueButton (Videokonferenzen), DAViCal (Kalender-Backend), Etherpad Lite (Texte), FullCalendar (Kalender-Frontend), LibreOffice Online (Office), Matrix (Messenger-Backend), opsi (Softwareverteilung), Symfony (Grundsystem), … Quelle: IServ-Dokumentation.pdf , besteht aber auch aus proprietären Eigenentwicklungen.2Die FOOS Community würde gerne den kompletten IServ „befreit“ sehen.

IServ ist ein modulares Server Produkt, welches neben einer lokalen Nutzung auch einen Zugriff über ein Webportal erlaubt. Über die unterrichtliche Nutzung bietet der Server noch Funktionen zur Verwaltung von Geräten und des schulischen Netzwerks. Mittlerweile wird der Server auch als SAAS komplett Cloud basiert angeboten. Auch ein Videokonferenz Modul auf Basis von BigBlueButton ist im Angebot.

Auch wenn IServ spezielle Module wie die Raumbuchung, Curriculum, Kurswahlen, Vertretungs- und Mensa-Pläne und mehr anbietet, ist die Plattform in erster Linie ein Server für die pädagogische Arbeit. Das heißt, es ist nicht möglich, auf einem einzigen IServ sowohl Unterricht als auch schulinterne Verwaltung abzubilden. Wer das tun möchte, braucht eine zweite, kostenpflichtige Instanz. Diese kann durchaus auf dem selben Server betrieben werden, wenn beide Instanzen logisch voneinander getrennt sind, etwa durch Betrieb auf zwei virtuellen Servern. Aber auch hier gibt es Grenzen, die mit dem Sicherheitskonzept des IServ zu tun haben3Im Handbuch heißt es unter 9.5.6 Verschlüsselung – „Die Datenübertragung beim Zugriff auf die IServ Weboberfläche erfolgt immer verschlüsselt. Gespeichert werden die Daten auf den Festplatten des Servers jedoch unverschlüsselt, damit die Benutzer jederzeit von überall aus auf ihre Daten zugreifen können und der Server auch bei einem Stromausfall ohne Eingriff eines Administrators starten kann. Zusätzlich besteht die Möglichkeit, Daten mit erhöhtem Schutzniveau auf dem Server abzulegen, falls diese vor der Übertragung mit einer geeigneten Software verschlüsselt werden. Dazu können beispielsweise passwortgeschützte Zip-Archive oder verschlüsselte Container-Dateien genutzt werden.“.

IServ hält unter https://iserv.eu/downloads/privacy/ zahlreiche Dokumente bereit, welche von Schulen bei der Einführung des Schulservers genutzt werden können. Sehr umfangreiche Informationen zum Datenschutz finden sich auch in der jeweils aktuellsten Version des Handbuches.

Da öfter angefragt, gibt es hier eine kombinierte Nutzungsvereinbarung mit Informationen zur Datenverarbeitung und Einwilligung, einmal in einer Version für Schüler und dann, da die Zahl der genutzten Funktionen hier größer, für Lehrkräfte.

Logineo NRW Messenger, AWS und Datenschutz

Lesezeit: 3 Minuten

Der Messenger, den das Land NRW seinen Schulen kostenlos zur Verfügung stellt, basiert auf dem open source Matrix Protokoll und folgt damit der Landesstrategie, quelloffene Plattformen für Schulen bereitzustellen. Als Dienstleister für den Betrieb der Plattform gewann man die SVA System Vertrieb Alexander GmbH aus Wiesbaden, die dann ihrerseits Amazon Web Services1AWS EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg (AWS), eine EU Tochter des US Konzerns Amazon, als Unterauftragnehmer beauftragte.

Letzteres blieb nicht lange unbemerkt, da es selbstredend im Vertrag zur Auftragsverarbeitung, den Schulen bei der Beauftragung des Messengers mit SVA GmbH abschließen, nachzulesen ist. Und so kam es dann zu einer kleinen Anfrage im Landtag NRW2Es waren genau genommen zwei kleine Anfragen zum Thema, Drucksache 17/10918 und 17/11265 und einem daraus folgenden Bericht bei Westpol. Bei Schulen, die den Messenger schon beauftragt hatten oder dieses planten, führte alles dieses zu großer Verunsicherung. Die Beunruhigung ist verständlich, denn als US Anbieter unterliegt auch AWS mit seinen Serverstandorten in Europa dem US amerikanischem CLOUD-Act. US Ermittlungsbehörden können von US Unternehmen, die Server in der EU betreiben, die Herausgabe von personenbezogenen Daten verlangen. Zwar können diese sich vor Gericht dagegen zur Wehr setzen, wenn das Ansinnen der US Ermittler lokalem Datenschutzrecht widerspricht, doch nicht immer sind US Firmen dabei erfolgreich, und es gibt auch Anfragen, die geheim sind3sogenannte GAG Orders und deshalb nicht gerichtlich abgewehrt werden können.

Die kleine(n) Anfrage(n) wurden Anfang Oktober 2020 von der Landesregierung beantwortet und die Antwort ist als Drucksache MMD17-11271 über das Dokumentenarchiv des Landtags einsehbar. Sie lautet kurz gefasst:

Datenschutzbedenken bestehen […] nicht.

Aus der Antwort erfährt man, dass das Land „einen öffentlich bestellten und vereidigten IT-Sachverständigen einbezogen“ hat, um bei der Erstellung einer Leistungsbeschreibung  wie auch der Ausschreibung für den Messenger Unterstützung zu erhalten. Da man zu dem Schluss kam, dass der Messenger nur als Cloud Lösung umsetzbar ist, wurde vom Land NRW bereits im Vergabeverfahren die Nutzung von AWS als Cloud-Anbieter vorgesehen. Man hat sich hier von den projektbetreuenden Fachleuten leiten lassen.

Die projektbetreuenden IT Sachverständigen hatten eine besondere Expertise für die Umsetzung eines Projekts dieser Größenordnung in der AWS-Umgebung. Die Umsetzung mit AWS ermöglicht eine den qualitativen Anforderungen entsprechende Durchführung eines so großen Projekts.

Den CLOUD-Act, dem AWS als US Unternehmen unterliegt, schätzt das Land nicht als Risiko ein und führt dafür drei Gründe an:

  1. Eine Übermittlung von personenbezogenen Daten des Messengers aus der AWS Datenregion nach außerhalb der EU, etwa in die USA ist nur zulässig, wenn der Verantwortliche, hier die Schule, diesem zuvor zustimmt.
  2. Wenn es durch US Ermittlungsbehörden ein Verlangen auf Zugriff auf Daten von Nutzern des Messengers gäbe, dann nur, wenn gegen einen Nutzer des Messengers „ein Ermittlungsverfahren einer amerikanischen Strafverfolgungsbehörde eröffnet werden würde.“ Dieses wäre dann ein Rechtsvorgang wie auch in Deutschland, da einem solchen Ermittlungsverfahren „eine rechtmäßige Verfügung einer amerikanischen Ermittlungsbehörde oder eines amerikanischen Gerichts“ vorausgehe.4        Diese Einschätzung des CLOUD-Acts dürfte ihresgleichen in der Fachwelt suchen. Die Problematik des CLOUD-Act besteht nicht darin, dass US Ermittler möglicherweise außerhalb von geltendem US Recht handeln. Vielmehr erfolgen Zugriffe von US Ermittlungsbehörden auf der Basis des CLOUD-Act außerhalb von internationalem Recht, wie etwa bei einem Ermittlungshilfeabkommen. Das heißt, es gibt keinen Vertrag zwischen der EU und den USA, durch welchen Zugriffe von US Ermittlungsbehörden auf personenbezogene Daten innerhalb der EU auf der Grundlage des CLOUD-Act legitimiert werden. Dadurch stellen diese Zugriffe einen Verstoß gegen die DS-GVO dar.
    Der Fachjurist Carlo Pilz setzt sich in dem Beitrag Schrems II: US CLOUD Act kein Problem? Zumindest nach Ansicht der Landesregierung NRW mit der Einschätzung des CLOUD-Acts durch die Landesregierung auseinander.
  3. Sollte es zu einem Zugriffsbegehren auf personenbezogene Daten von Nutzern des Messengers kommen, wären die von AWS an US Ermittlungsbehörden herausgegebenen Daten für diese wertlos, da sie einmal durch die Ende-zu-Ende-Verschlüsselung während Übermittlung und Speicherung und zusätzlich durch die vom Dienstleister
    SVA eingerichtete Verschlüsselung der in AWS abgelegten Daten geschützt sind.

Der Kern des Sicherheitskonzeptes von Logineo NRW Messenger ist demnach die Sicherheit des Messengers selbst und darüber hinaus Sicherheitsmaßnahmen des Dienstleisters zum Schutz von Daten, die nicht durch die Funktionalitäten des Messengers selbst geschützt werden. Das Matrix Protokoll gilt als sehr sicher und der Messenger verschlüsselt die Kommunikation der Nutzer automatisch.5In den Unterstützungsmaterialien des MSB wie auch den FAQ wird auf die Bedeutung der Ende-zu-Ende Verschlüsselung hingewiesen und die Sicherung der Schlüssel erklärt. Die Nutzung von AWS lässt sich im Fall des Messengers aus datenschutzrechtlicher Sicht dadurch vertreten, dass die Daten der Nutzer vor Zugriffen durch US Ermittlungsbehörden durch ihre Verschlüsselung ausreichend geschützt sind.

Solange das Matrix Protokoll keine Sicherheitslücken aufweist und die Maßnahmen des Dienstleisters ausreichend sicher sind, sollten aus der Nutzung des Logineo NRW Messengers für Schüler und Lehrkräfte auch mit sensiblen Inhalten keine Risiken entstehen.

Lehrer fotografieren mit ihrem Smartphone in der Schule

Lesezeit: 3 Minuten

Im Zeitalter des Smartphones ist die beste Kamera die, welche man dabei hat. Das ist in der Regel das Smartphone. Digitale Kameras sind an Schulen zwar vorhanden, aber müssen erst ausgeliehen werden. Also Smartphone. Und deshalb kommt immer wieder die Frage auf, ob Lehrkräfte mit ihren Smartphones Aufnahmen von Schülern machen dürfen. Anlage 3 der VO-DV I listet abschließend eine Reihe von personenbezogenen Daten von Schülern und Erziehungsberechtigten, welche Lehrkräfte mit einem privaten Endgerät, für welches sie die Genehmigung der Schulleitung eingeholt haben, auf der Rechtsgrundlage des Schulgesetzes NRW verarbeiten dürfen. Fotos finden sich dort nicht aufgeführt. Im Genehmigungsvordruck ist die Auflistung aus Anlage 3 jedoch unter 3.3 erweitert um mögliche personenbezogene Daten, welche Lehrkräfte mit Genehmigung der Betroffenen auf ihren privaten Endgeräten verarbeiten dürfen.

3.3 Daten, die von Lehrer/innen auf Basis wirksamer Einverständniserklärungen verarbeitet werden dürfen

Darunter finden sich auch Fotos. Die Auflistung kann, wie die zur Genehmigung herausgegebene Handreichung erklärt, an jeder Schule unterschiedlich sein.

Es ist, und darum geht es hier, also problemlos möglich, dass Lehrkräfte mit ihren privaten Smartphones im Schulalltag Fotos von Schülerinnen und Schülern machen. Dieses setzt zunächst die Genehmigung der Schulleitung für die Nutzung des Smartphones zur Verarbeitung von personenbezogenen Daten aus der Schule voraus. Dazu braucht es dann noch die Einwilligung der Betroffenen.

Hinweise

  • Laut der Handreichung zur Genehmigung können Betroffene die Einwilligung auch gegenüber der jeweiligen Lehrkraft erklären.
    • „Unter Punkt 3.3 sind alle Daten aufgeführt, die eine Lehrkraft automatisiert auf privaten Endgeräten verarbeiten darf, wenn der oder die einzelne Betroffene ihr bzw. der Schule die Einwilligung zur Verarbeitung erteilt hat.“1Handreichung zur Genehmigung – abgerufen am 15.08.2020
  • Da Einwilligungen an der Schule sonst grundsätzlich gegenüber der Schulleitung abzugeben sind, empfiehlt es sich, auch hier vor allem bei jüngeren Schülerinnen und Schülern diesen Weg zu wählen. Wenn eine Lehrkraft eine Klasse 9 neu übernimmt und möchte gerne Fotos der Schüler in ihr Noten App aufnehmen, um die Namen schneller lernen zu können, so kann sie die Einwilligung hier sicher auch unkompliziert mündlich einholen. Geht es um mehr, etwa Fotos auf einer Klassenfahrt, Videoaufnahmen im Sport, so sollte die Einwilligung immer schriftlich eingeholt werden, um sie im Zweifelsfall nachweisen zu können, und eben so, dass sie gegenüber der Schulleitung erteilt wird.
  • In der Genehmigung für die Verarbeitung von personenbezogenen Daten auf privaten Endgeräten ist es durchaus möglich, diese für das Smartphone auf das Anfertigen von Fotos einzuschränken, falls die Schulleitung der Ansicht ist, dass ein Smartphone für die Verarbeitung anderer personenbezogener Daten aus der Schule nicht geeignet ist.
  • Lehrkräfte müssen bei der Nutzung eines Smartphones für Fotografien von Schülerinnen und Schülern in der Lage sein, Synchronisation und Backup der Aufnahmen in eine Anbieter Cloud oder eine privat genutzte Cloud per Einstellung zu unterbinden.
  • Nach der Anfertigung sollten die Fotos auf einen Dienstrechner übertragen und vom Smartphone gelöscht werden.

Alternative Lesart der Handreichung

Der Abschnitt

  • „Unter Punkt 3.3 sind alle Daten aufgeführt, die eine Lehrkraft automatisiert auf privaten Endgeräten verarbeiten darf, wenn der oder die einzelne Betroffene ihr bzw. der Schule die Einwilligung zur Verarbeitung erteilt hat.“2Handreichung zur Genehmigung – abgerufen am 15.08.2020

lässt auch eine alternative Lesart zu. Die Formulierung sagt nicht, dass ausdrücklich in die Verarbeitung auf dem Gerät einer Lehrkraft eingewilligt werden muss. Es wird lediglich in die Verarbeitung von bestimmten Daten durch die Schule und damit auch durch die Lehrkraft eingewilligt. Hinzu kommt, auch alle in Anlage 3 der VO-DV I gelisteten Daten können ohne ausdrückliche Einwilligung der Betroffenen auf privaten Endgeräten der Lehrkräfte verarbeitet werden, sofern sie die Genehmigung der Schulleitung dafür haben.

Schließt man sich dieser Lesart an, braucht es keine Einwilligung, in welcher explizit eingewilligt wird, dass die betreffenden Daten auch auf den privaten Endgeräten von Lehrkräften verarbeitet werden dürfen.

Bußgeld gegen Grundschule in Belgien

Lesezeit: 2 Minuten

Schon im Juni 2020 wurde von einem belgischen Gericht ein Bußgeld von 2.000 € gegen eine Grundschule verhängt, da diese Schülerinnen und Schüler über eine von der Schule genutzt digitale Plattform zu ihrem Wohlbefinden befragt hatte, ohne zuvor die Eltern zu informieren und eine Einwilligung einzuholen. Auf der Seite DSGVO-Portal wird der Fall wie folgt beschrieben:

„Die Grundschule hatte über ein Tool eines Smartschooling-Systems eine Umfrage zum Wohlbefinden der Schüler durchgeführt. Mehrere Eltern von Minderjährigen hatten daraufhin eine Beschwerde bei der Datenschutzbehörde über dieses Vorgehen eingereicht.

Zum Einen versäumte es die Schule die Einwilligung der Eltern in Stellvertretung der Schüler unter 13 Jahren für die Datenerhebung einzuholen und diese über die Umfrage und deren Datenverarbeitung aufzuklären. Auch wurde gegen das Datenminimierungsprinzip verstoßen, da die Daten, welche auch Auskünfte über die Gesundheit und die häusliche Situation der Kinder enthielten, nicht anonymisiert erhoben wurden.“

Der Fall war bei der belgischen Aufsichtsbehörde als Beschwerde eingegangen und wurde dann vor der Kammer für Streitsachen der Datenschutzbehörde verhandelt. Im Rechtsstreit ging es dann unter anderem um folgende datenschutzrechtliche Aspekte.

Einwilligung nach Art. 8 DS-GVO

Art. 8 DSGVO ist nach Ansicht des Gerichts anzuwenden, da da es sich bei dem von der Grundschule verwendeten SmartSchool Tool um einen sogenannten Dienst der Informationsgesellschaft handelt. Bei solchen sind Kinder vor Vollendung des 13. Lebensjahres nicht einwilligungsfähig. 1Diese Altersgrenze gilt auch in Österreich, während in Deutschland eine Altersgrenze von Vollendung des 16. Lebensjahres gilt. Siehe dazu auch Auswirkungen der DS-GVO auf die Einwilligungsfähigkeit von Schülern Im Fall der Grundschule waren die Kinder jünger. Eine Einwilligung der Eltern nach Art. 6 Abs. 1 lit. a DS-GVO ist somit erforderlich, war jedoch nicht von der Grundschule nicht eingeholt worden.

Rechtsgrundlage der Befragung

Die Schule war nach eigenen Angaben davon ausgegangen, dass sie die Befragung durchführen konnte, um rechtliche Verpflichtungen gemäß Art. 6 Abs. 1 lit. c. DS-GVO zu erfüllen, denen sie unterliegt. Dieser Ansicht schloss sich das Gericht nicht an und sah stattdessen nur die Einwilligung nach Art. 6 Abs. 1 lit. a. DS-GVO als mögliche Rechtsgrundlage.

Verletzung des Grundsatzes der Transparenz

Nach Ansicht  des Gerichts wurde bei der Befragung der Schüler zu ihrem Wohlbefinden auch der Grundsatz der erforderlichen Transparenz von Seiten des Verantwortlichen gemäß Art. 5 Abs. 1 lit. a DSGVOArt. 12 DSGVO und Art. 13 DSGVO verletzt.

Datenschutz Folgenabschätzung

Der Beschwerdeführer hatte außerdem gefordert, dass die verantwortliche Stelle eine Datenschutz Folgenabschätzung hätte durchführen müssen. Dieser Ansicht schloss sich das Gericht nicht an.

Urteil des Gerichts

Ergebnis des Verfahrens war, dass Schule die Verarbeitung in Übereinstimmung mit Art. 5 Abs. 1 lit. a,  Art. 12 Abs. 1. und Art. 13 Abs. 1 lit. c und d und Art. 13 Abs. 2 lit. b  DS-GVO bringen muss und darüber hinaus eine Verwaltungsstrafe von EUR 2.000,- zu bezahlen hat.

Ob die Verwaltungsstrafe in Belgien von der Schule, der Schulleitung oder der Person, welche die Befragung durchführte oder veranlasste, zu zahlen war, ist den Unterlagen nicht zu entnehmen. Als Beklagter war keine Person genannt worden.

Die Beschwerde, die zu dem Bußgeld führte, wurde bereits im Juli 2019 bei der Aufsichtsbehörde eingereicht. Bis zum Urteilsspruch brauchte es so knapp ein Jahr.

Was kann man als Schule mitnehmen aus dem Fall?

Bezüglich der Verarbeitung von personenbezogenen Daten in der Schule sollte immer klar sein, auf welcher Rechtsgrundlage diese erfolgt. Das Schulgesetz legitimiert nur bestimmte Verarbeitungszwecke und dafür erforderliche personenbezogene Daten. Bei der Nutzung von Online Diensten sollte geprüft werden, ob es sich dabie um Dienste der Informationsgesellschaft handelt, bei denen hier in Deutschland eine rechtswirksame Einwilligung erst ab Vollendung des 16. Lebensjahres möglich ist[siehe dazu auch Auswirkungen der DS-GVO auf die Einwilligungsfähigkeit von Schülern.

Quellen:

Microsoft 365 – Zukunft für Schulen ungewiss

Lesezeit: 4 Minuten

Office 365, jetzt Microsoft 365, ist an Schulen als ausgereifte, moderne, funktionsreiche und gut zu nutzende Kommunikations- und Arbeitsplattform beliebt. Kollaborative Arbeitsformen im Unterricht und im Kollegium erlauben es, Dokumente im Team zu erstellen, auch zeitgleich, ohne sie erst auf den eigenen Rechner herunterladen zu müssen. Während in der Vergangenheit vor allem Berufskollegs und Gymnasien auf die US Plattform setzten, kamen mit den Schulschließungen durch Covid19 und den Druck, Unterricht stärker unter Einbeziehung digitaler Medien zu gestalten, immer mehr Schulen hinzu. Teams und seine einfache Möglichkeit für Videokonferenzen erwiesen sich als schnell verfügbare und einfach zu nutzende Lösung in der Not, Unterricht online zu erteilen. In Bayern stellte man sogar von Landesseite für die Corona Zeit Microsoft Teams bereit.

Die Handhabe bezüglich Microsoft 365 war in den Bundesländern bislang höchst unterschiedlich. Einige dulden die Nutzung der Online Funktionen (Hessen), manche können sie nicht empfehlen (NRW) und andere verbieten sie komplett (Thüringen). In Baden Württemberg versucht man, mit Microsoft unter Beteiligung der Aufsichtsbehörde einen Weg zu finden, wie Schulen Microsoft 365 einschließlich der Online Funktionalitäten DS-GVO konform nutzen können. Seit längerer Zeit beschäftigt sich schon eine Unterarbeitsgruppe der Datenschutzkonferenz mit dem Thema Office 365 und Schule. Zu all den bestehenden Problemen, zu denen auch noch der CLOUD-Act zählt und die Einwilligung als Rechtsgrundlage der schulischen Nutzung, kommt jetzt noch das Urteil des EUGH hinzu, welches zum Ende des EU-US Privacy Shield führte.

Mit dem Wegfall dieses Rechtsinstrumentes bricht die wichtigste Rechtsgrundlage weg, mit welcher eine Übermittlung von personenbezogenen Daten in die USA zumindest formell legitimiert werden konnte. Dass in den USA ein der EU vergleichbares Datenschutzniveau herrscht, wurde vielfach angezweifelt, auch wenn der EU-US Privacy Shield US Unternehmen die Möglichkeit gab, durch Selbstzertifizierung für die Einhaltung europäischer Vorgaben einzustehen.

US Firmen weichen nun auf die Standardvertragsklauseln (SCC) aus, auch wenn der EUGH klar gemacht hat, dass dieses ohne zusätzliche Garantien und Schutzmaßnahmen nicht ausreichen kann.

Es sieht nicht gut aus, was die Zukunft von Microsoft 365 an den Schulen im Lande angeht. Das meint vor allem Teams und das OneNote Kursnotizbuch, wie auch die damit verbundenen Office-Online Komponenten und einen großen Teil der Funktionen, die einen Datenaustausch mit den Servern von Microsoft erfordern. Noch haben die Aufsichtsbehörden sich nicht gemeinsam positioniert, welche Folgen sich für sie aus dem Schrems II Urteil ableiten. Lediglich der LfDI Baden Württemberg gibt mit seiner Orientierungshilfe zum internationalen Datentransfer eine Ahnung, in welche Richtung es von Seiten der Aufsichtsbehörden wohl gehen wird. Klar ist, aus dem EUGH Urteil ergibt sich die Forderung nach einem konsequenten Vollzug, der sich die Aufsichtsbehörden nicht entziehen können.

Die Unterarbeitsgruppe der Datenschutzkonferenz soll, so liest man, zu dem Schluss gekommen sein, dass eine Nutzung von Microsoft 365 in Schulen nicht datenschutzkonform möglich ist. Noch hat man die Ergebnisse der Analyse aus den monatelangen Untersuchugen nicht veröffentlicht, da Bayern hier wohl anderer Meinung ist.

Lösungen, die aktuell für Unternehmen erarbeitet werden, um Datenübermittlungen in die USA abzusichern, werden sich so auf Schulen nicht übertragen lassen, abgesehen davon, dass bisher nicht einmal klar ist, ob sie tatsächlich eine DS-GVO konforme Datenübermittlung in die USA ermöglichen.

Sollte der Hammer fallen und die Unterarbeitsgruppe die Ergebnisse ihrer Analyse mit dem Fazit veröffentlichen, dass eine Nutzung von Microsoft 365 über die Client Version hinaus nicht datenschutzkonform möglich ist, so kann man davon ausgehen, dass in vielen Schulministerien nicht lange gezögert wird, ein Verbot auszusprechen. Und sollten dann auch die Aufsichtsbehörden nach ihrer Abstimmung noch zu dem Schluss kommen, dass eine Nutzung der Online Komponenten von Microsoft 365 nicht möglich ist wegen der Übermittlung von personenbezogenen Daten in die USA ohne ausreichende Rechtsgrundlagen, dann wäre das der letzte Sargnagel, den es braucht, um auch das letzte Schulministerium zu überzeugen.

Viele halten einen solchen Schritt der Schulministerien nicht für möglich, dass man den vielen Schulen, welche die Plattform nutzen, so etwas antun könnte. Darauf sollte man sich nicht verlassen. Auch die Öffentlichkeit kann Druck erzeugen. Es geht um Politik und besorgte Eltern sind Wählerstimmen.

Auch wenn es bei der Nutzung von Microsoft 365 mit seinen online Komponenten wohl weniger um essentielle Risiken für Betroffene geht und mehr um datenschutzrechtliche Probleme, wären Schulen dann gezwungen, auf „zumutbare Alternativen“ auszuweichen, wie es in der Orientierungshilfe aus Baden Württemberg heißt.

Gibt es Möglichkeiten, Microsoft 365 für Schulen zu retten, falls es zum Ärgsten kommt? Dass die DS-GVO entschärft wird, worauf viele hoffen, die sie als überzogen ansehen, ist auf absehbare Zeit wenig wahrscheinlich. Auch der Abschluss eines neuen EU-US Privacy Shield 2, auf den viele Unternehmen hoffen, wird in naher Zukunft nicht zu erwarten sein. Die DS-GVO selbst bietet durchaus rechtliche Möglichkeiten für Datentransfers in unsichere Drittländer. Für Schulen wird aber wohl keine davon in Frage kommen.

Eine neue Treuhand Cloud, betrieben durch einen großen IT Dienstleister, ist eine Frage der Kosten. Aus Bundesländern, wo man darüber bereits nachgedacht hat, hört man, dass die Kosten nicht zu stemmen wären.

Microsoft könnte definitiv das Blatt wenden, indem man die Übermittlung von Telemetriedaten, die personenbezogene oder -beziehbare Daten enthalten, in die USA komplett deaktiviert. Außerdem könnte Microsoft das Vertragswerk derart umgestalten, dass die komplette Verarbeitung von personenbezogenen Daten, nur innerhalb der EU stattfindet. Für ruhende Daten gibt es diese Zusage bereits und technisch ist es ohnehin schon jetzt überwiegend der Fall.1Es gibt dann immer noch das Problem CLOUD-Act, doch man kann davon ausgehen, dass hier auf absehbare Zeit eine Lösung kommen wird. Die EU verhandelt bereits seit einiger Zeit mit den USA. Es geht um einen Vertrag, bei dem die USA der EU gleiche Rechte einräumen.

Microsoft dorthin zu bewegen könnte am besten gelingen, wenn sich die Bundesregierung einschaltet und ähnlich dem Justizministerum der Niederlande (2018/19) mit Microsoft verhandelt und Druck macht. Wenn man in der Corona Notzeit eine Nutzung von Microsoft Teams vorübergehend zuließ, können die Risiken für die Betroffenen auch von daher nicht so groß sein, dass eine Nutzung sich komplett verbietet. Man könnte Microsoft also eine Frist setzen und Schulen eine Übergangszeit unter Auflagen bis dahin gewähren.

DEMAT – HSP+ – Einwilligung erforderlich?

Lesezeit: 2 Minuten

Einwilligungen der Betroffenen werden an so vielen Stellen im Schulalltag benötigt. Doch es gibt auch Bereiche, wo nicht immer klar ist, ob es eine Einwilligung braucht oder nicht. Deshalb kommt auch immer wieder die Frage auf, ob bei der Durchführung von HSP+ und DEMAT eine solche erforderlich ist. Beide Tests werden beispielsweise an weiterführenden Schulen oft eingesetzt bei den neuen Schülerinnen und Schüler im 5. Schuljahr, um zu ermitteln, wo die Kinder stehen. Später werden die Tests dann wiederholt, um zu überprüfen, ob die Fördermaßnahmen im Unterricht zu einer Verbesserung geführt haben.

Ob es nun eine Einwilligung braucht oder nicht, hängt davon ab, ob sich aus dem Schulgesetz NRW oder Erlassen eine Rechtsgrundlage ableiten lässt, welche eine Durchführung legitimiert oder ob es eine solche nicht gibt. Der entscheidende Passus im SchulG NRW ist §120 Abs. 3.

(3) Standardisierte Tests und schriftliche Befragungen von Schulanfängerinnen und -anfängern (§ 36) und Schülerinnen und Schülern dürfen in der Schule nur durchgeführt werden, soweit dies für die Feststellung der Schulfähigkeit oder des Sprachstandes, für eine sonderpädagogische Förderung oder für Maßnahmen zur Qualitätsentwicklung und Qualitätssicherung geeignet und erforderlich ist. Die Schülerinnen und Schüler sowie die Eltern sind über die wesentlichen Ergebnisse zu informieren. Aus Tests und schriftlichen Befragungen zur Feststellung der Schulfähigkeit und des sonderpädagogischen Förderbedarfs dürfen nur die Ergebnisse und der festgestellte Förderbedarf an andere Schulen übermittelt werden.“

Darüber hinaus gibt es noch Abs. 4, bei dem es um wissenschaftliche Untersuchungen, Tests und Befragungen geht.

Die Frage ist dann, fallen HSP+ und DEMAT unter wissenschaftliche Tests oder nicht? Schaut man sich BASS 10-45 Nr. 2 Wissenschaftliche Untersuchungen,
Tests und Befragungen an Schulen gemäß § 120 Abs. 4 SchulG an, sollten HSP+ und DEMAT ziemlich sicher nicht unter die Regelungen von Abs. 4 fallen.

Als Rechtsgrundlage von Interesse sein könnte auch noch BASS 14-01 Förderung von Schülerinnen und Schülern bei besonderen Schwierigkeiten im Erlernen des Lesens und Rechtschreibens (LRS). Dort findet man unter 2.1 Analyse der Lernsituation als eine Aufgabe der Schule definiert „- kognitive (z.B. Stand der Lese- und Schreibentwicklung, Denkstrategie, Wahrnehmung, Sprache),“ Damit zu argumentieren, dass HSP+ unter dieser Regelung gefasst werden könnte, wäre möglich, wenn er als Teil einer LRS Diagnose genutzt würde. Zur Legitimierung des DEMAT eignet sich diese Rechtsgrundlage allerdings nicht.

Passender ist hier, wenn man sich auf §120 Abs. 3 beruft, denn HSP+ und DEMAT sind definitiv standardisierte Tests, und argumentiert, dass man die beiden Tests im Rahmen der Qualitätsentwicklung und Qualitätssicherung durchführt. Vorab werden die Eltern über die Durchführung der Tests und die erforderliche Datenverarbeitung informiert.1Anzugeben sind, welche Daten, zu welchem Zweck auf welcher Rechtsgrundlage – SchulG NRW – verarbeitet werden, wer davon betroffen ist, an wen Daten übermittelt werden – hier in pseudonymisierter Form – bzw. wer Zugriff auf die Daten hat – hier die Lehrkräfte -, wie lange die Daten gespeichert werden und welche Rechte die Betroffenen haben – hier z.B. Recht auf Auskunft. Nach Durchführung der Tests werden sie über die Ergebnisse in Kenntnis gesetzt. Nutzt man die Online Auswertung mittels HSP+, dann werden dort keine Schülernamen verwendet, sondern nur Codes. Für die Schule selbst handelt es sich bei diesen Pseudonymen um personenbezogene Daten, für den Anbieter sind sie anonym. Eine Einwilligung für die Online Auswertung sollte damit nicht erforderlich sein. Die Durchführung im Rahmen der Qualitätsentwicklung und Qualitätssicherung liefert eine plausible Rechtsgrundlage, wenn man später noch einmal testet, um zu sehen, ob die individuellen Fördermaßnahmen im Unterricht die Kinder in ihrer Entwicklung in Rechtschreibung und Mathematik weitergebracht haben oder nicht.

Leseo – Lesetraining Plattform – Einwilligungsvorlagen

Lesezeit: < 1 Minute

Leseo ist ein Angebot der Cornelsen Verlagsgruppe zur digitalen Leseförderung für Schülerinnen und Schüler der Grundschule. Lehrkräfte können sich bei Leseo individuell ein Nutzerkonto erstellen. Dieses setzt jedoch ein Kundenkonto bei Cornelsen voraus. Die Erstellung eines solchen Kontos ist Privatsache einer jeden Lehrkraft. Die Verarbeitung der bei der Nutzung von Leseo anfallenden personenbezogenen Daten von Lehrkräften wie auch Schülerinnen und Schülern fällt in die Verantwortung der Schule. Um dieses zu regeln, wird einmalig ein Vertrag zur Auftragsverarbeitung (AVV) mit Cornelsen abgeschlossen. Wichtig ist deshalb, dass im Kopf des AVV der Name der Schule, der Schulleitung und die schulische Adresse eingetragen werden. Die Schulleitung unterzeichnet den Vertrag, der dann an Cornelsen übermittelt wird.

Nach der Erstellung eines Kontos,  erstellen Lehrkräfte die Konten für ihre Schülerinnen und Schüler. Die Einwilligung der Erziehungsberechtigten ist vorab einzuholen. Anschließend erhalten die Kinder den Anmelde-Code.1

Wer als Lehrkraft Leseo für sich entdeckt hat, sollte in der Schule nachfragen, ob es den AVV bereits gibt, bevor man das eigene Konto erstellt wird.

Die Vorlagen finden sich auch im Download Bereich unter Download weitere Einwilligungen.

Stand 08/2020

Bedarfsabfragen zur Versorgung der Schülerinnen und Schüler mit digitalen Endgeräten

Lesezeit: < 1 Minute

Im Juli 2020 legte die Landesregierung NRW ein Programm zur Sofortausstattung von Schülerinnen und Schüler mit digitalen Endgeräten auf1Es handelt sich um die „Richtlinie über die Förderung von digitalen Sofortausstattungen (Zusatzvereinbarung zur Verwaltungsvereinbarung DigitalPakt Schule 2019 bis 2024 – Sofortausstattungsprogramm) an Schulen
und in Regionen in Nordrhein-Westfalen“; RdErl. d. Ministeriums für Schule und Bildung v. 21.07.2020 – 411
. Es ist nun an den Schulen, festzustellen, welche Schülerinnen und Schüler im Falle einer Schulschließung oder Quarantäne ein Leihgerät benötigen. Das MSB hat beispielhaft einige Fragen zur Abfrage der Voraussetzungen zu Hauseveröffentlicht – Beispielfragen: Ist-Zustand der Schülerinnen und Schüler.pdf

Hinweis: Es gibt von Seiten des Ministeriums für Schule und Bildung NRW keine Vorgabe, dass Schulen Bedarfe bei Schülern durch Fragebogen ermitteln müssen. Viele Schulen scheinen jedoch den Fragebogen als ein praktikables Mittel einzuschätzen und planen solche Abfragen oder führen sie bereits durch.

Nicht vergessen werden sollte, dass es sich bei dieser Abfrage um eine Datenerhebung handelt. Auch wenn die Beantwortung der Abfrage auf Freiwilligkeit beruht, ist eine Information über die Datenverarbeitung gemäß Art. 13 DS-GVO erforderlich. Bei der Abfrage sollte außerdem darauf geachtet werden, nur die Daten zu erheben, welche tatsächlich erforderlich sind, um zu beurteilen, ob Schüler ein Leihgerät benötigen, falls sie in den Distanzunterricht gehen. Es ist durchaus möglich, auch weitere Informationen abzufragen, etwa ob ein Internetzugang vorhanden ist oder ein Arbeitsplatz, an dem in Ruhe gearbeitet werden kann.

Vorlage für eine Abfrage mit Datenschutzinformationen

Stand 08/2020