NextCloud – Plattform – Datenschutz für Schulen mit Open Source

Lesezeit: 2 Minuten

NextCloud ist eine Open Source Plattform, die für Schulen gut geeignet ist, für Teamarbeit im Kollegium, zur Abbildung von schulischen Organisationsstrukturen und -abläufen und zur Durchführung von Unterricht. Die Plattform zeichnet sich durch Flexibilität aus, einfache Bedienung und sehr gute Sicherheitsmerkmale1300.000 Bedienstete der Bundesverwaltung nutzen die NextCloud statt Dropbox oder Google Drive.. Eine Dateiablage, ein ausgefeiltes Rechte- und Rollenmanagement für Nutzer und Ressourcen, Kollaborationswerkzeuge wie ein OnlineOffice, ein Messenger, ein Kalender, Verschlüsselung, 2-Faktor-Authentifizierung und weitere Module ermöglichen eine sichere Nutzung für Schüler und Lehrkräfte. Man kann die kostenlose Plattform als Schule selbst aufsetzen, durch den Schulträger oder einen von diesem beauftragten Dienstleister betreiben lassen oder man nimmt die Dienste eines anderen Anbieters in Anspruch. Neben diversen großen Webspace Anbietern gibt es auch Anbieter, die sich auf den Bereich Schule spezialisiert haben. Einer von diesen ist beispielsweise EduDocs aus Lübeck. Dort hat man die Möglichkeit, die schulische NextCloud so einzurichten, dass sie den datenschutzrechtlichen Vorgaben aus Westfalen entspricht.2Wer hier mehr Informationen haben möchte, kann mich gerne kontaktieren.  Da ich immer auf der Suche nach guten, datenschutzkonformen Lösungen bin, habe ich den Anbieter bei der Konzeption einer Lösung für Schulen in NRW, die sich ein wenig an Logineo NRW orientiert, in meiner Freizeit beraten. Disclaimer: Meine Beratung erfolgte rein idealistisch. Ich habe keinerlei finanzielle Vorteile von einer Nennung des Anbieters. Anders als bei großen internationalen Anbietern von Plattformen braucht eine Schule sich mit einer in Deutschland betriebenen NextCloud keine Sorgen machen wegen einer Verarbeitung von personenbezogenen Daten auf Servern außerhalb der EU und den damit einhergehenden datenschutzrechtlichen Problemen.

Die Nutzung einer schulischen NextCloud bedeutet auch immer, es werden personenbezogene Daten von Schülern und Lehrkräften verarbeitet. Dafür braucht es eine Einwilligung. In die Vorlage integriert sind eine Nutzungsvereinbarung und Informationen zur Datenverarbeitung in der NextCloud. Da sich die Nutzung für Schüler und Lehrkräfte deutlich unterscheidet, gibt es zwei Vorlagen.3Als Zugabe gibt es noch eine Vorlage für ein Nutzungskonzept Nutzungskonzept für NextCloud – EduDocs.docx Die Vorlage für Schüler ist zusätzlich in vereinfachter Sprache abgefasst, so dass auch Schüler und Personen mit geringeren Deutschkenntnissen die Informationen verstehen können.

Verpflichtung zur Vertraulichkeit und zum Datenschutz

Lesezeit: 1 Minute

In vielen Schulen übernehmen Lehrkräfte Administrationsaufgaben, sei es im pädagogischen Netz oder in einer durch die Schule genutzten Plattform, egal ob es sich dabei um Office 365 handelt, im Apple School Manager und ein MDM, um Moodle, G Suite for Education, iServ oder eine Nextcloud wie EduDocs.4Die Beispiele sollen deutlich machen, dass es vor allem um Administrationstätigkeiten geht, bei denen personenbezogene Daten in größerem Umfang oder auch sensiblere Informationen verarbeitet werden oder bei denen die dort verarbeiteten Daten Aufschluss über Nutzerverhalten geben. Die Schulleitung muss hier selbst entscheiden, ob sie eine Verpflichtung für notwendig erachtet. Im Zweifelsfall kann eine Verpflichtung nicht schaden. Durch ihre Administrationsrechte erhalten diese Personen die Möglichkeit, auf viele personenbezogene Daten aus der Schule zuzugreifen bzw. diese einzusehen. Selbst wenn die Administrationsrechte nur auf einen Teilbereich beschränkt sind, wie etwa die Nutzerverwaltung, so besteht auch dann immer noch die Möglichkeit, auf möglicherweise sensible personenbezogene Daten Zugriff zu erhalten. Zu den technischen und organisatorischen Maßnahmen nach Art. 5 Abs. 1 lit. f sollte auch eine Verpflichtung zur Vertraulichkeit und zum Datenschutz gehören. Zwar sind Lehrkräfte als Bedienstete des Landes zur Verschwiegenheit verpflichtet, doch trotzdem empfiehlt sich diese Verpflichtung mit einer Belehrung im Vorfeld. Eine Schulleitung stellt so sicher, dass die mit Administrationsaufgaben betraute Person sich im Klaren ist über die mit dieser Rolle einhergehenden Pflichten. Sie kommt so auch ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO 5Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).nach. Zusätzlich stellt diese Verpflichtung eine Gewähr für andere Lehrkräfte an der Schule dar, dass das Kollegiumsmitglied, welches durch seine Administrationstätigkeit nun eine Zugriffsmöglichkeit auf ihre personenbezogenen Daten hat, diese Möglichkeit nicht missbrauchen darf. Der schulische Administrator sollte nach Unterzeichnung der Verpflichtung eine Kopie davon erhalten.

Hinweis: Administratoren des Schulträgers oder von durch diesen beauftragten IT-Dienstleistern werden durch ihre jeweiligen Arbeitgeber entsprechend verpflichtet.

Datenschutz im Klassenraum

Lesezeit: 2 Minuten

Ein guter Hinweis von Corinna Lammert auf Twitter. Viele Schulen fungieren während Wahlen als Wahllokale. Das bedeutet, es kommen viele Menschen in die Klassenzimmer, in welchen die Stimmbezirke ihre Wahlurnen aufgestellt haben. Viele dieser Menschen mögen die Kinder kennen, in deren Klassenraum sie ihre Stimme abgeben. Trotzdem haben sie damit kein Anrecht darauf, Einblick in persönliche Informationen aus der Schule zu nehmen. Selbst Informationen, die harmlos erscheinen, können durchaus mehr über eine Person sagen, als man zunächst vermutet. Ein Foto im Klassenraum der 2a kann einem Nachbarn, der das vielleicht nicht weiß, die Information geben, dass ein Kind eine Klassen wiederholt. Entsprechend fordert Frau Lammert richtig:

„Liebe Wahlämter, informiert doch bitte die Schulen, in denen gewählt wird, über notwendige Maßnahmen zum Datenschutz am Wahltag. Korrigierte Tests und Fotowände mit Namen und Geburtstagen dürfen nicht für alle Wähler*innen am Wahltag einsehbar sein.“

Es kommen natürlich auch andere Personen in den Klassenraum, vom Hausmeister bis zu den Reinigungskräften. Diese Personen werden in der Regel durch ihren Arbeitgeber zur Verschwiegenheit verpflichtet. Möglicherweise sensible Informationen sollten jedoch trotzdem grundsätzlich nicht offen herumliegen, so etwa Tests und Klassenarbeiten, vor allem wenn sie bewertet sind, denn es gibt durchaus auch Situationen, in welchen andere Personen in die Klassenräume kommen, etwa Handwerker.

Auch wenn Lehrkräften im hektischen Alltag in der Schule oft die Zeit fehlt am Ende einer Stunde oder des Schultages, Materialien in Schränke und Schubladen zu verstauen, so sollte man Materialien mit möglicherweise sensiblen Informationen zumindest umdrehen oder abdecken, so dass der Inhalt nicht direkt offensichtlich ist. In der Regel reicht dieses bei vielen Materialien als Schutz in der Klasse oder im Lehrerzimmer bereits aus. Wirklich sensible Informationen hingegen sollten nie offen zugänglich bleiben!

Ein Wahltag kommt selten vor und ein Hinweis vorab wäre in der Tat angebracht, denn nicht jede Lehrkraft weiß, dass ihr Klassenraum als Wahllokal dient, vor allem wenn die Lehrkräfte ortsfremd sind. Fotowände in der Klasse könnte man dann eben mit einem Tuch abhängen.

Weitere Informationen zu technischen und organisatorischen Maßnahmen zum Schutz von personenbezogenen Daten in der Schule finden sich unter Technische und organisatorische Maßnahmen.

Datenübermittlung an den Schulträger zur Feststellung des Bedürfnisses?

Lesezeit: 2 Minuten

Ein Schulträger bittet eine Grundschule um die Übermittlung einer Liste mit den Namen der Schüler, den von der Schule ausgesprochenen Empfehlungen (für eine weiterführende Schule) und der tatsächlichen Schulwahl.

Darf bzw. muss die Schule dem Schulträger diese personenbezogenen Daten übermitteln?

Grundsätzlich gilt nach §120 Abs. 5 Satz 1 – SchulG NRW

„(5) Die in Absatz 1 Satz 1 genannten Daten dürfen einer Schule, der Schulaufsichtsbehörde, dem Schulträger, der unteren Gesundheitsbehörde, dem Jugendamt, dem Landesjugendamt, den Ämtern für Ausbildungsförderung, dem Landesamt für Ausbildungsförderung sowie den Ausbildungsbetrieben der Schülerinnen und Schüler an Berufskollegs nur übermittelt werden, soweit sie von diesen Stellen zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben benötigt werden.“

Da der Schulträger für äußere Schulangelegenheiten zuständig ist, ist bei der gestellten Anfrage zweifelhaft, auf welcher Rechtsgrundlage diese erfolgen soll.6„Außerhalb des Auftragsverhältnisses fragt sich, zur Wahrnehmung welcher konkreten Aufgaben des Schulträgers es ggf. überhaupt einer personenbezogenen Übermittlung durch Schulen und Schulaufsichtsbehörden bedarf. Dem Schulträger obliegt nach Maßgabe der §§ 78 ff. SchulG die Wahrnehmung der äußeren Schulangelegenheiten.“ – Wingen SchulG NRW-Kommentar, März 2015, Katernberg, zu §120 Abs. 5 Satz 1

Es ist zu vermuten, dass die Anfrage des Schulträger im Zusammenhang mit der Feststellung des Bedürfnisses nach §78 Abs. 5 – SchulG NRW erfolgt ist.

“(5) Die Entwicklung des Schüleraufkommens und der Wille der Eltern sind bei der Feststellung des Bedürfnisses zu berücksichtigen.”

Entsprechend Abs. 2.1 Abschnitt c Satz 4 des Runderlasses  zur Einrichtung und Auflösung von weiterführenden allgemeinbildenden Schulen und Berufskollegs kann der Schulträger zur Feststellung des Bedürfnisses eine Befragung vornehmen.

“Ein geheimes Verfahren im strengen Sinne ist nicht zwingend erforderlich; es muss aber gewährleistet sein, dass Namen und Votum der einzelnen Erziehungsberechtigten vertraulich behandelt und dienstlich geheim gehalten werden.“

Der Schulträger darf also im Rahmen seiner Aufgabenerfüllung nach §78 SchulG NRW Namen der Eltern und Votum als Ausdruck des Elternwillens in Erfahrung bringen. Allerdings setzt diese eine durch den Schulträger selbst durchgeführte Erhebung bzw. Befragung voraus und es geht um die Erziehungsberechtigten, nicht die Kinder. Es gibt in §78 keine Stelle, aus welcher sich ableiten lässt, dass der Schulträger einen rechtlichen Anspruch auf die tatsächliche Schulwahl einzelner Kinder und die von der Schule abgegebene Empfehlung hat.

Der Schulträger benötigt die von ihm angefragten personenbezogenen Daten eindeutig nicht, um seiner Aufgabenerfüllung nach §78 SchulG NRW nachzukommen. Hier würde auch eine anonymisierte Statistik der Schule ausreichen. Alleine dass die vom Schulträger angefragten personenbezogenen Daten der Schüler diesem dienlich oder nützlich sind, reicht als Rechtsgrundlage nicht für eine Übermittlung durch die Schule aus.7„… ist der Datentransfer zur Aufgabenerfüllung der Empfängerin oder des Empfängers nicht erforderlich, sondern lediglich dienlich oder nützlich, dürfen die Daten nur auf der Grundlage wirksamer Einwilligungen der Betroffenen (vgl. unter Erl. 2.2 und 2.3 zu § 120 SchulG) transferiert werden.” – Wingen SchulG NRW-Kommentar, März 2015, Katernberg, zu §120 Abs. 5 Satz 1

Wäre die Schule Willens, die angefragten Daten an den Schulträger zu übermitteln, so wäre dieses in diesem Falle nur auf der Grundlage einer Einwilligung der Betroffenen möglich.

Bleibt der Schulträger trotz allem der Meinung, dass die Schule ihm gegenüber verpflichtet ist, die gewünschten personenbezogenen Daten zu übermitteln, so muss er in der Lage sein, eine rechtliche Begründung zu liefern.8„Wenn der Schulträger die Übermittlung von personenbezogenen Daten der Schülerinnen, Schüler und /oder Eltern von der Schule beansprucht, ist es im Übrigen grundsätzlich an ihm, der Schule gegenüber darzulegen und zu begründen, warum er im konkreten Fall bestimmte Daten mit Personenbezug zu seiner Aufgabenerfüllung benötigt.“ – Wingen SchulG NRW-Kommentar, März 2015, Katernberg, zu §120 Abs. 5 Satz 1

Dass der Schulträger dazu in der Lage sein wird, ist aufgrund der Rechtslage nicht vorstellbar.

Die Antwort kurz gefasst:

Der Schulträger hat keinen aus dem Schulgesetz NRW ableitbaren rechtlichen Anspruch auf die Übermittlung der von ihm angefragten personenbezogenen Daten von Schülerinnen und Schülern der Schule.

Bußgeld für einen norwegischen Schulträger wegen Verstoß gegen DS-GVO

Lesezeit: 2 Minuten

Im norwegischen Bergen wurde jetzt ein Schulträger wegen eines massiven Verstoßes gegen die DS-GVO zu einer Geldstrafe in Höhe von umgerechnet 170.000 € verurteilt. In dem Fall geht es um die Zugangsdaten von 35.000 Schülern und Angestellten an den Schulen der Stadt, welche durch unzureichende Sicherheitsmaßnahmen offen zugänglich waren. Mittels dieser Zugangsdaten war es für jedermann möglich, sich in das Computersystem der Schule einzuloggen und Zugriff auf personenbezogenen Daten zu erhalten, darunter auch Noten und Bewertungen durch Lehrkräfte in einer Lernplattform. Die norwegische Aufsichtsbehörde war zu dem Schluss gekommen, dass der Schulträger gegen Art. 5 Abs. 1 lit. f (Grundsätze für die Verarbeitung personenbezogener Daten9„Personenbezogene Daten müssen
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);“
) und Art. 32 (Sicherheit der Verarbeitung) der DS-GVO verstoßen hat.

Erschwerend kam in diesem Fall hinzu, dass es sich bei den betroffenen Personen vor allem um Kinder handelt. Diese genießen in der DS-GVO einen besonderen Schutzstatus. Außerdem war der Schulträger mehrfach auf die unzureichenden Sicherheitsmaßnahmen hingewiesen worden, auch von der Aufsichtsbehörde. In Orientierung an Art. 83 DS-GVO wurde dann eine Strafe verhängt, die nach Ansicht der Aufsichtsbehörde der Sachlage angemessen, abschreckend und wirksam ist.

Könnte es einen solchen Fall in Deutschland geben?

Möglich wäre ein vergleichbarer Verstoß gegen die DS-GVO in Deutschland durchaus, wenngleich es auch definitiv Unterschiede gäbe. Dass personenbezogene Daten von Schülern und Lehrkräften in dem Maße wie im norwegischen Bergen beim Schulträger verarbeitet werden, ist in Deutschland nur im Rahmen einer Auftragsverarbeitung vorstellbar. Das heißt, die Schule als Verantwortlicher wäre hier in einem solchen Fall rechtlich mit in der Verantwortung. Eine Schule wird sich natürlich auf den Schulträger verlassen und im Vertrag zur Auftragsverarbeitung nach Art. 28 DS-GVO wird auch festgelegt, dass der Auftragnehmer entsprechend Abs. 3 lit. c „alle gemäß Artikel 32 erforderlichen Maßnahmen ergreift;„. Ein Vertrag ist die eine Sache. Rechtlich gesehen muss der Verantwortliche auch sicher sein, dass der Auftragnehmer die Bedingungen erfüllt. Wie sich dieses bei der Verhängung eines Bußgeldes bei einem ähnlichen Fall in Deutschland auswirken würde, bliebe abzuwarten, da es vergleichbare Fälle bisher vermutlich nicht gibt.

Der zweite Unterschied zum norwegischen Fall ist die Verhängung des Bußgeldes10Siehe auch Mögliche rechtliche Folgen eines Datenschutzverstoßes für Schulen. In Deutschland würde das Bußgeld gegen Personen verhängt und nicht gegen den Schulträger. Da letzteres nur ein Umschichten von Steuergeldern bewirken würde, werden gegen öffentliche Stellen in Deutschland keine Bußgelder verhängt. Wen genau es in Deutschland treffen würde, lässt sich schwer sagen. Wäre es der Bürgermeister oder ein IT Verantwortlicher?

Fazit für Schulen in Deutschland

Wenn man als Schule aus dem Fall eines lernen kann, dann dass die Sicherheit bei der Verarbeitung von personenbezogenen Daten durch entsprechende Maßnahmen höchste Priorität haben sollte. Wer hier nachlässig handelt, setzt eventuell die Rechte und Freiheit von Schülern und Lehrkräften einem unnötigen Risiko aus und riskiert dafür eine Geldbuße und weitergehende rechtliche Konsequenzen.

Quelle: Administrative fine of 170.000 € imposed on Bergen Municipality, Datatilsynet, 12.04.2019

Antolin & Datenschutz

Lesezeit: 2 Minuten

Antolin Raabe

Vor allem an Grundschulen beliebt ist die Online Plattform zur Förderung der Lesekompetenz, Antolin. Betrieben wird die Plattform von der Westermann Verlagsgruppe, und da auf der Plattform Nutzerdaten von Schülern und Lehrkräften erhoben und verarbeitet werden, wird entsprechend Art. 28 DS-GVO ein Vertrag zur Auftragsverarbeitung (AVV)11Aktuell (Stand 11.05.2019) finden sich einige kleine Fehler im AVV. So sind dort beispielsweise die Lehrkräfte nicht berücksichtigt und es fehlen Angaben zu den Löschfirsten durch Westermann selbst, nachdem die Schule einen Benutzer gelöscht hat. angeboten. Diesen müssen Schulen mit Westermann abschließen, um das Angebot datenschutzkonform an der Schule nutzen zu können. Oftmals erwerben Schulträger eine Lizenz für alle ihre Grundschulen. Damit sind sie Vertragspartner/ Lizenznehmer von Westermann. Trotzdem muss jede Schule einen eigenen AVV mit Westermann abschließen.

Wichtig ist dabei, dass die Schulleitung in Person den AVV abschließt und selbst unterschreibt. Dieses kann nicht von Lehrkräften übernommen werden!

Der unterschriebene AVV wird dann an Westermann geschickt, dort gegengezeichnet und ist damit gültig. Die Kopie, welche man zurück erhält, gehört zur Dokumentation des Verfahrens im Verzeichnis der Verarbeitungstätigkeiten. Für dieses braucht die Schule eine Beschreibung der Verarbeitungstätigkeit Antolin.

Außerdem ist es erforderlich, die Einwilligungen der Betroffenen einzuholen, da mit der Nutzung von Antolin personenbezogene Daten verarbeitet werden, deren Verarbeitung nicht auf der Grundlage des Schulgesetzes entsprechend Art. 6 lit. e legitimiert ist. Einwilligen müssen nicht nur die Schüler, sondern auch die Lehrkräfte, da auch deren Daten in Antolin verarbeitet werden, wenn sie als Nutzer dort angelegt werden und anschließend ihre Schüler in der Plattform betreuen. Sie kommentieren, stellen Quiz-Fragen und es fallen Nutzungsdaten an.

Als Hilfe gibt es für Schulen, die Antolin nutzen drei Vorlagen. Diese finden sich sonst auch im Bereich der Downloads.

Schulen, die andere Angebote von Westermann nutzen wie z.B. Zahlenzorro,  Bumblebee oder Grundschuldiagnose können diese Vorlagen leicht anpassen.

Datenschutz & Mitbestimmung

Lesezeit: 4 Minuten

Auch wenn man es auf den ersten Blick nicht erwartet, Datenschutz und Mitbestimmung haben Schnittpunkte. Das Thema Mitbestimmung ist geregelt im Personalvertretungsgesetz für das Land Nordrhein-Westfalen (LPVG), welches vergleichbar ist dem Betriebsverfassungsgesetz (BetrVG) für Arbeitnehmer in Unternehmen12Da beide Regelungen viele Ähnlichkeiten aufweisen, kann man sich bezüglich des LPVG auch an entsprechenden Kommentierungen zum BetrVG orientieren. . Von Bedeutung für Schulen und das Thema digitale Plattformen ist dort der §72, denn dort sind mitbestimmungspflichtige Angelegenheiten geregelt.

(3) Der Personalrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, mitzubestimmen in Rationalisierungs-, Technologie– und Organisationsangelegenheiten bei

1. Einführung, Anwendung, wesentlicher Änderung oder wesentlicher Erweiterung von automatisierter Verarbeitung personenbezogener Daten der Beschäftigten außerhalb von Besoldungs-, Gehalts-, Lohn-, Versorgungs- und Beihilfeleistungen sowie Jubiläumszuwendungen,

2. Einführung, Anwendung und Erweiterung technischer Einrichtungen, es sei denn, dass deren Eignung zur Überwachung des Verhaltens oder der Leistung der Beschäftigten ausgeschlossen ist,

3. Einführung grundlegend neuer, wesentlicher Änderung und wesentlicher Ausweitung von Arbeitsmethoden,

4. Maßnahmen, die die Hebung der Arbeitsleistung oder Erleichterungen des Arbeitsablaufs zur Folge haben sowie Maßnahmen der Änderung der Arbeitsorganisation,

5. Einführung, wesentlicher Änderung oder wesentlicher Ausweitung betrieblicher Informations- und Kommunikationsnetze,

“(4) Der Personalrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, mitzubestimmen über

1. Beginn und Ende der täglichen Arbeitszeit und der Pausen sowie Verteilung der Arbeitszeit auf die einzelnen Wochentage, Einführung, Ausgestaltung und Aufhebung der gleitenden Arbeitszeit,”

In Bezug auf Datenschutz ist vor allem Nr. 2 von Interesse. Auch wenn im Gesetzestext hier das Wort Datenschutz selbst nicht einmal vorkommt, so geht es doch genau um diesen, da Überwachung datenschutzrechtliche Implikationen hat. Werden an einer Schule also technische Einrichtungen eingeführt oder erweitert, bei welchen eine Eignung zur Überwachung des Verhaltens oder der Leistung der Beschäftigten nicht ausgeschlossen ist, so ist diese Angelegenheit mitbestimmungspflichtig.13„Maßgeblich für die Eignung zur Überwachung ist, ob durch die technische Einrichtung anonym, d.h. ohne dass die Beschäftigten sich dem entziehen können, Daten erzeugt, erhoben oder ausgewertet werden können, die einen unmittelbaren Rückschluss auf ihr Verhalten oder ihre Leistung zulassen. Der seit dem 16.07.2011 geltende – also aktuelle – Gesetzeswortlaut des § 72 Abs. 3 Nr. 2 LPVG ist insofern eindeutig: Das Mitbestimmungsrecht wird bereits dadurch ausgelöst, dass die einzuführende technische Einrichtung zur Überwachung oder Leistungskontrolle in technischer Hinsicht geeignet ist.“, Leitfaden zur Mitbestimmung nach LPVG NRW bei der Umsetzung der Open.NRW Strategie Technische Einrichtungen meint auch digitale Plattformen, egal ob lokal betrieben oder in einer Cloud.14Einführung und Anwendung technischer Einrichtungen, § 87 Abs. 1 Nr. 6 BetrVG

Eine Vielzahl EDV-gestützter Anwendungen ist dazu geeignet, Mitarbeiterverhalten am Arbeitsplatz zu beobachten. Der weite Anwendungsbereich dieses Mitbestimmungsrechts führt zu einem Beteiligungsrecht des Betriebsrats bei einer Vielzahl von IT-Sicherheitsfragen.“ heißt es in einer Kommentierung zur durch Paul Voigt in IT-Sicherheitsrecht: Wann ist der Betriebsrat einzubeziehen?
 Nicht ausgeschlossen heißt, es ist ausreichend, dass die Möglichkeit besteht, selbst wenn eine Überwachung nicht geplant ist.15Ob eine Nutzung der Überwachungs- und Kontrollfunktionen auch beabsichtigt ist oder tatsächlich stattfindet, spielt keine Rolle. Im Ergebnis muss deshalb in aller Regel von einer Überwachungsmöglichkeit und damit der Einschlägigkeit des § 72 Abs. 3 Nr. 2, PVG NRW ausgegangen werden. Anders ist dies nur dann, wenn diese Möglichkeit definitiv -der Nachweis wäre aber in diesem Falle von der Dienststelle zu führen – ausgeschlossen ist“, Leitfaden zur Mitbestimmung nach LPVG NRW bei der Umsetzung der Open.NRW Strategie Die Einführung einer Plattform, welche von der Schulleitung dazu genutzt werden könnte, Rückschlüsse auf das Nutzerverhalten und die Leistungen von Lehrkräften zu ziehen, hat damit immer auch datenschutzrechtliche Implikationen. Es geht dabei um das Risiko, welches durch eine Zweckentfremdung von personenbezogenen Daten, hier Daten, die einen Aufschluss über das Nutzerverhalten geben, zu einem Schaden für die Betroffenen führen könnte.

Genau dieses Risiko greift die Orientierungshilfe Online-Lernplattformen der Datenschutzkonferenz auf, die sich mit den datenschutzrechtlichen Aspekten der Einführung und Nutzung solcher Plattformen beschäftigt. Die Orientierungshilfe geht davon aus, dass die Verarbeitung von personenbezogenen Daten in einer solchen Online-Lernplattform in aller Regel

„ein voraussichtlich hohes Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen (Schüler, Lehrer, Eltern) zur Folge“ haben wird.“

Sobald dieses der Fall ist, hat der “Verantwortliche vorab eine Datenschutz-Folgenabschätzung nach Art. 35 Datenschutz-Grundverordnung durchzuführen“. Zu einer solchen gehört, wie im Kurzpapier Nr. 5 Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO ausgeführt, die “Identifikation und Einbindung von Akteuren und betroffenen Personen.“

„Ggf. holt der Verantwortliche den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung ein (Art. 35 Abs. 9 DS-GVO). Dies umfasst beispielsweise die Einbindung von Gremien der Mitbestimmung, z. B. von Betriebsräten.“

Der Wortlaut der Empfehlung im Kurzpapier entspricht fast der Formulierung in Art. 35 Abs. 9 DS-GVO.

“Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.”

Unklar bleibt in dieser Formulierung mit gegebenenfalls, unter welchen Umständen der Standpunkt der Betroffenen oder ihrer Vertreter einzuholen ist. Jandt geht in Kühling, Buchner Art. 35 DS-GVO Rn. 57 davon aus, dass sich aus der Forderung nach Einholung des Standpunktes eine Informationspflicht der Betroffenen oder ihrer Vertreter logisch ergeben müsste. Wer mit Vertreter gemeint ist, wird nicht explizit genannt. Man kann aber davon ausgehen, dass hier Vertreter nach den Regeln der betrieblichen bzw. behördlichen Mitbestimmung gemeint sind “oder anderer Personengruppen wie Eltern- oder Schülervertreter”16Karg in Simitis, Hornung, Spieker, Art. 35 Rn 69 .

Was bedeutet das für die Praxis?

Wenn an einer Schule eine Plattform eingeführt oder eine bestehende in ihrer Funktion deutlich ausgeweitet werden soll und diese Plattform soll durch alle Lehrkräfte genutzt werden, dann ist die Mitbestimmung mit großer Wahrscheinlichkeit mit einzubeziehen. Der Grund dafür muss nicht einmal ein datenschutzrechtlicher Belang sein. Geht es beispielsweise darum, ab welcher Uhrzeit E-Mails an Arbeitstagen abgerufen oder der digitale Vertretungsplan eingesehen werden muss, so fällt dieses unter die Regelungen von §72 LPVG, da es zumindest die Arbeitszeiten betrifft. Eröffnet eine Plattform die Möglichkeit, das Verhalten der Nutzer in der Plattform zu überwachen, etwa durch Protokolldateien, die Logins und Logouts oder wann in der Plattform der Unterricht gestartet und beendet wurde zeigen, dann ist dieses auf jeden Fall mitbestimmungspflichtig. Die Mitbestimmungspflicht ist hier auch ein Datenschutzthema, da personenbezogene Daten von Lehrkräften anders genutzt werden (können) als es dem Verarbeitungszweck der Plattform entspricht, etwa Durchführung von Unterricht oder Führen eines digitalen Klassenbuches. Ob und welche Risiken eine Verarbeitung von personenbezogenen Daten etwa durch eine Online-Lernplattform oder ein digitales Klassenbuch für die betroffenen Lehrkräfte bedeuten kann und durch welche Maßnahmen diese Risiken reduziert werden können, ist Gegenstand der Datenschutz-Folgenabschätzung. Anders als durch §72 Abs. 3 LPVG ergibt sich aus Art. 35 Abs. 9 DS-GVO jedoch keine Verpflichtung, die Mitbestimmung im Rahmen der Datenschutz-Folgenabschätzung einzuholen.

Die Einbeziehung der Mitbestimmung sollte es ermöglichen, im Endergebnis zu einer für alle Betroffenen verträglichen Lösung zu kommen. Diese kann dann beispielsweise in einer Dienstvereinbarung festgehalten werden, in welcher Regeln bezüglich der Nutzung der Plattform und Maßnahmen zum Schutz der personenbezogenen Daten der Betroffenen, auch vor unrechtmäßiger Überwachung durch die Schulleitung, vereinbart sind. Welche Gremien der Mitbestimmung beteiligt werden, hängt vom jeweiligen Fall ab. Je umfangreicher der Regelungsbedarf, desto wahrscheinlicher ist es, dass man sich nicht nur auf die schulinternen Vertretungsgremien beschränken, sondern auch den örtlichen Personalrat mit einbeziehen sollte. Dort findet man in der Regel eine entsprechende Kompetenz, die Tragweite von möglichen Risiken zu beurteilen, die mit der Einführung einer Plattform für die Betroffenen einhergehen können.

Ist man zu einer verträglichen Regelung gekommen, haben Lehrkräfte jedoch weiterhin die Möglichkeit, ihre Einwilligung in die erforderliche Verarbeitung von personenbezogenen Daten zu verweigern, solange die Nutzung der Plattform nicht durch ein Gesetz oder eine andere rechtliche Grundlage verbindlich vorgeschrieben ist.17Beispiel Logineo NRW: Dort heißt es in der Dienstvereibarung:

Für die Bereitstellung von LOGINEO NRW für Teile oder das gesamte in der Schule tätige Personal ist ein Beschluss der Lehrerkonferenz erforderlich.
Für die Bereitstellung von LOGINEO NRW für Schülerinnen und Schüler sowie für Eltern, die Mitglieder von Mitwirkungsorganen sind, ist ein Beschluss der Schulkonferenz erforderlich.
Die Nutzung von LOGINEO NRW ist freiwillig und setzt eine Einwilligungserklärung der jeweiligen Nutzerin/des jeweiligen Nutzers bzw. deren/dessen gesetzlicher Vertretung voraus.“

Diese Beschreibung der Mitbestimmung aus Sicht des Datenschutz hatte vor allem die Lehrkräfte an den Schulen im Blick. Mitbestimmung gibt es natürlich auch für alle anderen Betroffenen in Schule. Schüler und Eltern sind, je nach Fall, über ihre Gremien, die SV und die Elternpflegschaft, ebenfalls zu beteiligen.

Stand 05/2019

Fax bietet keine ausreichende Sicherheit für sensible Daten

Lesezeit: 1 Minute

Dass auch Fax ein Datenschutz Thema sein kann, ist vermutlich den wenigsten bewusst. Immerhin gilt Fax bisher als zuverlässig, sicher und echt. Mit dem Wandel der Kommunikationstechnologie zu IP basierten Systemen, hat sich auch die Technologie verändert, über welche Faxe übermittelt werden. Beim Endanwender hat sich nichts geändert, doch wie auch beim Telefonieren wurde die zugrundeliegende Technik auf Digitaltechnik umgestellt. Alles läuft jetzt quasi durch das Internet. Entsprechend wies jetzt die Landesbeauftragte für Datenschutz und Informationsfreiheit von Bremen in ihrem 1. Jahresbericht 18 Download Link zum 1. Jahresbericht als PDF auf die sich dadurch ergebenden Sicherheitsprobleme bei der Übermittlung von personenbezogenen Daten per Fax hin.

„Nach Ermittlung des Schutzbedarfs der zu übermittelnden Daten und einer Analyse der Risiken der Verarbeitung sind für Übertragungsverfahren Sicherheitsmaßnahmen wie beispielsweise die in Artikel 32 Absatz 1 Buchstabe a Datenschutzgrundverordnung (DSGVO) explizit genannte Verschlüsselung zu ermitteln und umzusetzen. Hierbei ist zu beobachten, dass die Übermittlung per Fax inzwischen wie die Übermittlung durch eine unverschlüsselte E-Mail bewertet werden muss, weil beide Verfahren inzwischen IP-basierte Telekommunikationsnetze nutzen.“

Die DS-GVO verpflichtet Verantwortliche, bei einer Übermittlung von personenbezogenen Daten dem Schutzbedarf und den möglichen Risiken angemessene Maßnahmen zu treffen, um die Sicherheit der Verarbeitung bzw. Übermittlung zu gewährleisten. Bei E-Mails kann dieses z.B. durch Verschlüsselung erfolgen. Fax bietet solche Möglichkeiten nicht und sollte aus diesem Grund nicht zur Übermittlung von personenbezogenen Daten mit einem erhöhten Schutzbedarf genutzt werden.

Eine Übermittlung per Fax ist nicht sicherer als eine ungesicherte Übermittlung per E-Mail. Schulen und Schulämter sollten dieses in Zukunft unbedingt beachten, denn gerade zwischen diesen werden oft höchst sensible Informationen über Fax ausgetauscht.

Verarbeiten – Speichern – Unterricht – Lehrergeräte

Lesezeit: 3 Minuten
„Die für die Verarbeitung zugelassenen Daten ergeben sich aus der Anlage 3.“19§2 Satz 3 VO-DV I

Welche personenbezogenen Daten Lehrkräfte in NRW mit Genehmigung der Schulleitung auf ihren privaten Endgeräten verarbeiten dürfen, ist durch Anlage 3 der VO-DV I recht genau eingegrenzt.

Datensatz bei Genehmigung der Verarbeitung personenbezogener Schülerinnen- und Schülerdaten auf privaten ADV-Anlagen der die Schülerinnen und Schüler unterrichtenden Lehrerinnen und Lehrer“20Satz 1 Anlage 3 VO-DV I

Anders als bei den personenbezogenen Daten, welche in der Verwaltung verarbeitet werden dürfen, sind die hier zugelassenen Daten eng begrenzt. Es wird von einem Datensatz gesprochen, der verarbeitet werden darf. Im Kommentar zum Schulgesetz von 2015 wird davon gesprochen, dass durch die Regelung in der VO-DV I ein Export  in die privaten Endgeräte der Lehrkräfte ermöglicht wird.

„… besonderen Regelung, damit bestimmte Daten in einem begrenzten Umfang für dienstliche Zwecke aus der Schule exportiert und in privaten ADV-Anlagen der Lehrkräfte verarbeitet werden dürfen.“21 SchulG NRW-Kommentar, März 2015, Katernberg

Nicht mehr zeitgemäß

An der Stelle wird deutlich, dass die Vorgaben des Schulgesetzes NRW und der anhängigen Verordnungen in diesem Bereich längst nicht mehr zeitgemäß sind. Warum?

Die Vorgaben in der VO-DV I sollen sicherstellen, dass die personenbezogenen Daten von Schülern und Eltern ausreichend geschützt sind und dass Lehrkräfte deshalb nicht alle nach dem Schulgesetz NRW für eine Verarbeitung zugelassenen personenbezogenen Daten auf ihren privaten Endgeräten verarbeiten und dadurch einem zusätzlichen Risiko aussetzen. Beim Begriff Verarbeiten hat der Gesetzgeber hierbei jedoch wohl vor allem an eine Speicherung auf den Geräten gedacht. Darauf deuten auch die Löschfristen hin, welche für personenbezogene Daten aus der Schule auf privaten Endgeräten deutlich eingeschränkt sind. Sie dürfen dort nur maximal ein Jahr gespeichert werden, gerechnet ab dem Ende des Kalenderjahres, nachdem eine Lehrkraft einen Schüler zuletzt unterrichtet hat. Die Schule hingegen bewahrt die Daten von Schülern 5 Jahre und länger auf.

Verarbeitung ist der Sammelbegriff für sämtliche Vorgänge, die mit oder ohne automatisierte Verfahren mit personenbezogenen Daten erfolgen22Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;“ Art. 4 Nr. 2 . Wie der Beitrag Verarbeitung, Bearbeitung, Speicherung, Bildschirmanzeige und Logineo NRW hoffentlich zeigen konnte, macht die Verwendung dieses Begriffes schon Probleme, wenn es um die Nutzung des Date-Safe von Logineo NRW mit personenbezogenen Daten geht, welche nicht in Anlage 3 aufgeführt sind. Sie dürften dem Wortlaut der VO-DV I nach zur Zeit auch von privaten Endgeräten aus nicht im Daten-Safe verarbeitet werden, da bereits die Bildschirmanzeige ein Verarbeitung im Sinne von Art. 4 Nr. 2 DS-GVO darstellt.

Das Schulgesetz NRW und die VO-DV I tragen der Tatsache, dass heute zunehmend online gearbeitet wird, noch keine Rechnung. Anders als vor wenigen Jahren können Dokumente mittlerweile online bearbeitet werden. Sie müssen dazu nicht länger auf dem Endgerät gespeichert werden, wie das z.B. bei lo-net oder anderen einfachen Plattformen der Fall war. Dort musste eine Datei zunächst auf den Rechner heruntergeladen werden, um sie anzusehen und zu bearbeiten, bevor sie dann wieder in der bearbeiteten Version hochgeladen wurde. Moderne Plattformen erlauben sowohl die Anzeige wie auch die Verarbeitung online. Wenn dieses im Browser erfolgt, findet nur eine temporäre Speicherung im Arbeitsspeicher statt. Diese stellt jedoch keine dauerhafte Speicherung im Sinne der DS-GVO dar.23Siehe dazu ebenfalls Eßer in Eßer/Kramer/ v. Lewinski Art. 4 Nr. 2 DS-GVO Rn. 43 Herbst in Kühling/Buchner, Art. 4 Nr. 2 DS-GVO Rn. 24

Dem muss die Schulgesetzgebung Rechnung tragen. Sie muss deutlich unterscheiden zwischen personenbezogenen Daten aus der Schule, welche mit Genehmigung durch die Schulleitung auf privaten Endgeräten verarbeitet werden dürfen, einschließlich einer Speicherung auf dem Gerät, und solchen, welche verarbeitet werden dürfen, jedoch unter Ausschluss einer Speicherung.

Was ist zu tun?

Der bisher in Anlage 3 aufgeführte Datensatz wird unverändert beibehalten für eine uneingeschränkte Verarbeitung einschließlich einer Speicherung auf dem Gerät. Zusätzlich aufgenommen werden sollten in die VO-DV I jedoch weitere Daten bzw. Kategorien von Daten, für welche eine eingeschränkte Verarbeitung, welche eine Speicherung auf dem Endgerät ausdrücklich ausschließt, über den Browser zulässig ist.24Neben dem Zugriff über einen Browser könnten auch Software und Apps zuässig sein, welche keine Daten lokal ablegen können. Dazu gehören würden Daten, für welche schon jetzt eine Bearbeitung im Daten-Safe von Logineo NRW vorgesehen ist. Mit aufgenommen werden müssten unbedingt auch sämtliche personenbezogenen Daten, welche zur Nutzung von Lern Management Systemen (LMS), Lernplattformen und Classroom Management Systemen (CMS) erforderlich sind.25Welche personenbezogenen Daten dort verarbeitet werden dürfen, ist dann Bestandteil anderer Regelungen. Dieses ist dringend erforderlich, um der Tatsache Rechnung zu tragen, dass im Unterricht zunehmend Online-Plattformen genutzt werden. Dort erfolgt sämtliches Lernen und Arbeiten online über den Browser und es ist erforderlich, dass Lehrkräfte die Möglichkeit erhalten, in der Plattform von Schülern erarbeitete Materialien einzusehen, um Feedback zu geben und Bewertungen vorzunehmen, oder um durchgeführte Abfragen auszuwerten. So wie traditionell Lehrkräfte die Hefte von Schülern mit nach Hause nehmen, macht es die Arbeit mit Online-Plattformen erforderlich, die von Schülern bearbeiteten Materialien auch zu Hause in der Plattform durchsehen zu können. Das alles ist, momentan von privaten Endgeräten aus rein rechtlich nicht möglich, da diese Daten nicht zu dem in Anlage 3 detaillierten Datensatz gehören.

Mit Dienstgeräten würde sich die beschriebene Erfordernis einer zeitgemäßen Anpassung der schulischen Gesetzgebung nicht ergeben. Da es gegenwärtig illusorisch ist, mit einer zeitnahen Ausstattung aller Lehrkräfte mit Dienstgeräten zu rechnen, sich nun aber immer mehr Schulen und Lehrkräfte auf den Weg machen, digitale Medien in den Unterricht zu integrieren, was vor allem in weiterführenden Schulen den Einsatz von Online-Plattformen einschließt, braucht es die beschriebene Anpassung der datenschutzrechtlichen Vorgaben im Schulgesetz und anhängigen Verordnungen zur Datenverarbeitung. Auch die Verarbeitung von personenbezogenen Daten, welche nicht auf privaten Endgeräten gespeichert werden dürfen, macht diese Änderung deshalb erforderlich.

 

Der Privatbereich von Schülern im Unterricht

Lesezeit: 3 Minuten

Dieser Tweet einer Mutter erregte jetzt bei Twitter die Gemüter, wurde mehr als dreihundertmal kommentiert, retweeted, und von knapp 2.000 anderen Nutzern mit einem Like versehen.

Kann man als Lehrkraft im Unterricht bei Schülerinnen und Schülern eine derartige Abfrage durchführen? Wie verträgt sich das mit dem Datenschutz?

Das Thema ist schwierig und es ist nicht einfach, eine pauschale Aussage zu treffen. Die Biologie Lehrkraft meint es sicherlich gut, wenn man sich in der Klasse mit dem Thema „Gesunde Ernährung“ auseinandersetzt und die Kinder dafür sensibilisiert. Allerdings sind Ernährungsgewohnheiten schon eine sehr persönliche Angelegenheit, die Aufschluss über weitaus mehr zulassen. Ob eine Familie Bio Produkte kauft oder nicht, muss nichts mit einem vorhandenen oder mangelnden Bewusstsein für gesunde und nachhaltige Ernährung zu tun haben, sondern kann auch mit der finanziellen Situation zusammenhängen. Als Lehrer oder Lehrerin möchte man gerne Lernanlässe mit lebensweltlichen Bezügen gestalten. Macht doch mal ein Foto von eurem Zimmer. Erzählt doch mal von den Berufen eurer Eltern. Manche scheinbar belanglose Frage kann ein Kind dazu nötigen, Dinge aus dem Privatbereich der Familie zu offenbaren, die es selbst bloßstellen oder den Eltern nicht recht sind, aus welche Gründen auch immer.

Man braucht bezüglich der mit solchen Abfragen verbundenen Problematik nicht einmal auf die Europäische Datenschutz Grundverordnung (DS-GVO) schauen, wie dies in einigen kommentierenden Tweets geschah. Auch das Schulgesetz NRW äußert sich zu einer solchen Erhebung von Daten.26In den Schulgesetzen der anderen Bundesländer werden sich entsprechende Formulierungen finden.

In §2 Abs. 2 der VO-DV I heißt es:

„(2) Nicht in den Anlagen aufgeführte Daten dürfen nur erhoben werden, wenn die oder der Betroffene eingewilligt hat. […] Auch mit Einwilligung dürfen unzumutbare, nicht zweckdienliche oder sachfremde Angaben nicht erhoben werden.“

Wenn es um die Ernährung und den Einkauf von Bio Produkten geht, dann betrifft dieses auch die Eltern. Man sollte sich in Schule grundsätzlich davor hüten, Abfragen bei Schülern zu machen, welche die Eltern betreffen, egal ob es dabei um das Alter der Eltern geht, ob und warum sie arbeitslos sind, oder welche Eltern getrennt leben. Im Fall der geplanten Beratung zur Ernährung werden einige Eltern die eingeforderten Informationen als unzumutbar empfinden. Dieses Recht haben sie. Fraglich ist zudem, ob die Informationen wirklich zweckdienlich sind? Um beim Beispiel zu bleiben. Es wäre auch möglich, im Biologieunterricht ein Beratungsschema zu erarbeiten, mit welchem die Schüler zu Hause die Ernährung in ihrer Familie unter die Lupe nehmen können, um die Eltern hinterher zu beraten. Das Ziel, die Kinder für eine gesunde und nachhaltige Ernährung zu sensibilisieren, wäre auch hiermit erreicht.

Obige Abfrage aus dem Biologieunterricht ist nicht nur problematisch, weil sie die Verhältnisse im Elternhaus betrifft und für einige Eltern nicht zumutbar ist, sondern auch, weil es sich um eine verbindliche Abfrage handelt, eine Hausaufgabe, bei welcher der Schüler möglicherweise noch sanktioniert wird, wenn zur nächsten Stunde keine Liste vorgezeigt wird. In einem Kommentar zum SchulG NRW wird folgende Empfehlung gegeben:

„Insgesamt haben die Lehrkräfte dafür Sorge zu tragen, dass personenbezogene Daten im Unterricht nur im Rahmen des Erforderlichen verarbeitet und ansonsten vermieden werden. Hier ist neben dem notwendigen pädagogischen Fingerspitzengefühl auch eine besondere datenschutzrechtliche Sensibilität geboten. Im Zweifel sollten die Eltern in der Klassenpflegschaftssitzung und/ oder durch Elternbriefe über möglicherweise datenschutzrelevante Inhalte einer geplanten Unterrichtseinheit oder -reihe informiert werden, so dass sie die Möglichkeit haben, etwaige Einwände rechtzeitig vorzutragen.“27Quelle: Wingen, SchulG NRW-Kommentar, März 2015, Katernberg

Es wäre sicherlich übertrieben, wenn man den Privatbereich von Schülerinnen und Schülern komplett aus dem Unterricht ausklammern würde. Wenn Schüler von sich aus Informationen aus dem Privatbereich im Unterricht offenbaren, ist das etwas Anderes, als wenn sie durch eine Hausaufgabe oder Antwortkette, zu der jeder etwas beitragen muss, zur Preisgabe von solchen Informationen genötigt werden. Vor allem ältere Schüler können recht gut einschätzen, ob und was sie von sich preisgeben wollen. Solange klar ist, dass alles auf Freiwilligkeit und ohne Nachteile bei Nichtbeantwortung abläuft und das Kind über den Umfang der Informationen selbst entscheidet, die es preisgeben möchte, kann man informell im Klassengespräch über eher allgemeine Dinge reden wie Hobbys, Lieblingssportler, Vorlieben und Freizeiterlebnisse und ähnlich. Bei jüngeren Schülern, vor allem in der Grundschule, fehlt dieses Urteilsvermögen oft noch völlig. Lehrkräfte müssen deshalb hier wesentlich umsichtiger handeln. Schriftliche Befragungen sollten besonders vorsichtig angegangen werden, etwa durch eine vorherige Absprache mit den Eltern und eine Anonymisierung der Abfrage. Grundsätzlich sollte man immer überlegen, ob es nicht andere Wege gibt, um zum gleichen Ziel zu gelangen. Sensible Bereiche aus dem Privatleben sollten im Unterricht besser meiden.