Schulisches WLAN mit Einwilligung nutzen

Lesezeit: < 1 Minute

Viele Schulen stellen Schülern und Lehrkräften personalisierte WLAN Zugänge bereit, die sie über private Endgeräte oder schulische Leihgeräte im Rahmen des Unterrichts so wie zur Vor- und Nachbereitung desselben nutzen können. Dabei werden auch personenbezogene Daten verarbeitet. Nicht für alle davon lässt sich aus dem Schulgesetz NRW in Verbindung mit dem DSG NRW eine Rechtsgrundlage ableiten. Das macht eine Einwilligung der Betroffenen erforderlich.

In der Regel braucht es auch eine Nutzungsvereinbarung für ein schulisches WLAN. Die Vorlage berücksichtigt die Nutzung eines Zugangs auf das Internet, Online-Plattformen und damit verbundene Dienste über das schulische WLAN1Anders als die Einwilligungsvorlage berücksichtigt diese Vorlage nicht den Zugriff auf Ressourcen im schulinternen Netzwerk!:

Weitere Informationen zum Thema schulisches WLAN

Informationen der Medienberatung NRW zum Thema schulisches WLAN finden sich in einer Broschüre mit dem Titel WLAN AN SCHULEN – Eine Orientierungshilfe für Schulträger, Schulleitungen und Entscheidungsgremien.pdf2In dieser Broschüre finden sich übrigens auch interessante Aussagen zur logischen Trennung von Netzwerken (virtuelle Netzwerke) – siehe Kapitel “NETZWERKKONFIGURATIONEN UND BENUTZERVERWALTUNG”

Sehr hilfreich ist auch die Broschüre SCHULISCHES WLAN – HAFTUNGSRECHTLICHE FRAGEN FÜR DEN BETRIEB EINES SCHULISCHEN WLAN der Gesellschaft für Informationssicherheit mbH

Distanzunterricht – Leistungsbewertung – Datenschutz

Lesezeit: 2 Minuten

Mit Bezug auf Distanzunterricht kommt bei Lehrkräften immer wieder die eine Frage auf: “Wie kann man im Distanzunterricht Leistungen bewerten, wenn Schüler sich weigern, die Videokamera einzuschalten?” “Ich muss Noten im Sportunterricht machen. Wie soll das gehen, wenn ich die Schüler nicht sehe?” “Wenn ich meine Schüler nicht hören kann, wie soll ich im Fremdsprachunterricht ihr Sprechen bewerten?

Wie im Beitrag Distanzunterricht – rechtliche Vorgaben und Möglichkeiten beschrieben, findet sich weder im SchulG NRW in der aktuellen Fassung noch in  der Zweiten Verordnung zur befristeten Änderung der Ausbildungs- und Prüfungsordnungen gemäß § 52 SchulG  eine Rechtsgrundlage, die es ermöglicht, Schüler zur Nutzung einer Videokonferenzplattform zu verpflichten.

Dieses wurde übrigens auch noch einmal bei der Beantwortung einer kleinen Anfrage (Drucksache 17/12894) im Landtag NRW von der Landesregierung so bestätigt.

“Die Verarbeitung von Audio- und Videodaten mit Personenbezug durch die Schule erfordert die Einwilligung der Betroffenen bzw. deren Erziehungsberechtigten, sofern Minderjährige das 16. Lebensjahr noch nicht vollendet haben.”

Gleichzeitig ist aber auch klar, dass der Distanzunterricht in die Leistungsbewertungen der Unterrichtsfächer mit einfließt. Entsprechend heißt es in §5 der Zweiten Verordnung:

“Sie [die Lehrerinnen und Lehrer] informieren die Schülerinnen und Schüler regelmäßig über die Lern- und Leistungsentwicklung.”

und in §6 Abs. 2:

“Die Leistungsbewertung erstreckt sich auch auf die im Distanzunterricht vermittelten Kenntnisse, Fähigkeiten und Fertigkeiten der Schülerinnen und Schüler. Die im Distanzunterricht erbrachten Leistungen werden in der Regel in die Bewertung der sonstigen Leistungen im Unterricht einbezogen.”

Für die Praxis bedeutet das:

  • wenn Schülerinnen und Schüler auf freiwilliger Basis am Distanzunterricht über eine bestimmte Plattform teilnehmen, werden die dort erbrachten Leistungen entsprechend der Zweiten Verordnung in der Leistungsbewertung berücksichtigt,
  • willigen Schülerinnen und Schüler nicht in die Verarbeitung von personenbezogenen Daten zur Nutzung einer bestimmten Plattform ein und wollen beispielsweise die Kamera nicht einschalten, dann
    • kann dieses nicht als nicht erbrachte Leistung gewertet werden,
    • muss die Lehrkraft Alternativen anbieten wie diese Schülerinnen und Schüler eine vergleichbare Leistung erbringen können.

Die Note in einem Fach setzt sich immer aus verschiedenen Arten von Leistungen zusammen. Wenn es nicht möglich ist, die Durchführung von gymnastischen Übungen zu bewerten, weil der Schüler oder die Schülerin weder bereit ist, diese Übungen vor einer Webcam zu zeigen oder der Lehrkraft ein selbstaufgenommenes Video zur Verfügung zu stellen, muss man alternativ eben einen Aufsatz anfertigen lassen zu einem vergleichbaren Thema. Kann man seine Schüler im Fremdsprachunterricht auf Distanz nicht in einer Video- oder Audiokonferenz sprechen hören, weil sie keine Einwilligung erteilen wollen, könnte man ihnen einen Anruf per Telefon anbieten. Alternativ muss man dann vermutlich auf die Bewertung des Sprechens an sich verzichten und andere Leistungen des Schülers zu Bewertung heranziehen und damit ausgleichen. Das tut man in der Regel auch bei sehr stillen Schülern. Kreativität ist gefragt.

Fazit

Leistungen werden selbstverständlich gemäß der Zweiten Verordnung im Distanzunterricht bewertet, da das schulische Datenschutzrecht jedoch Grenzen setzt, was die Verpflichtung zur Nutzung bestimmter Formate von digitalem Distanzunterricht angeht, muss man hier auf alternative Möglichkeiten ausweichen, mit denen Schülerinnen und Schülern Leistungen erbringen können.

Verarbeitung von Gesundheitsdaten durch Schulen – Coronaselbsttests

Lesezeit: 3 Minuten
Einen Tag, nachdem dieser Beitrag online ging, erschien eine aktualisierte Fassung der Schrift der LDI NRW. Der Beitrag ist entsprechend angepasst.

Die Corona Pandemie stellt Schulen auch in Bezug auf Datenschutz vor manche Herausforderung. Welche Informationen darf eine Schule über die Anzahl von Infektionen an der Schule und in einzelnen Klassen weitergeben? Ist es zulässig, die Namen von Infizierten Personen in der Klasse selbst bekannt zu machen? Zu einigen Unsicherheiten trug das Ministerium für Schule und Bildung nicht unwesentlich durch seine Vorgaben bei. Dabei ging es vor allem um die Selbsttestungen bis zu den Osterferien, für die es nach Informationen des Ministeriums möglich sein sollte, auf eine Einwilligung zu verzichten. Stattdessen setzte man auf eine Widerrufslösung in Kombination mit einer Einwilligung durch eine einwilligende Handlung durch Teilnahme am Selbsttest.1“Auf Basis dieser Verfahrensvorgaben ist festzustellen, dass datenschutzrechtlich eine Einwilligung nach Art. 7 DS-GVO zur Erhebung der Gesundheitsdaten (= Testergebnis) in der Schule vorliegt. Diese datenschutzrechtliche Einwilligung muss nicht zwingend schriftlich erklärt werden, sondern mit der eigenen aktiven Teilnahme am Test, ohne Handlung einer anderen Person, bei gleichzeitigem Verzicht auf eine Widerspruchserklärung ist eine Einwilligung in die Erhebung des Testergebnisses erteilt. Über die Umstände der Testungen wurde auch informiert. Dem steht auch nicht der Erwägungsgrund 32 zur DS-GVO entgegen. Danach sollen Stillschweigen oder Untätigkeit der betroffenen Person keine Einwilligung darstellen. Ein solcher Fall ist hier jedoch nicht gegeben, denn mit dem vg. Verhalten ist in diesem Kontext das Einverständnis durch eindeutige bestätigende Handlung klar signalisiert.” Schreiben des MSB, Referat 212, vom 26.03.2021

Mittlerweile hat sich die Sachlage geändert. Mit der Wiederaufnahme des Unterrichtsbetriebs nach den Osterferien trat die geänderte Coronabetreuungsverordnung (CoronaBetrVO) in Kraft und aus den freiwilligen Selbsttests wurden verpflichtende Selbsttests.

Nachdem wohl vor allem vor den Osterferien sehr viele Anfragen bei der Aufsichtsbehörde des Landes NRW eingegangen waren, veröffentlichte diese zum 20.04.2020 die Schrift Coronaselbsttests – Verarbeitung von Gesundheitsdaten durch Schulen.pdf, in welcher sie sich mit den datenschutzrechtlichen Grundsätzen, Voraussetzungen und Grenzen der Verarbeitung von personenbezogenen Daten durch Schulen im Rahmen der Selbsttestungen auseinandersetzt. Am 28.04.2021 erschien die aktualisierte Fassung Coronaselbsttests – Verarbeitung von Gesundheitsdaten durch Schulen.pdf

Darin geht die Aufsichtsbehörde auch auf das Verfahren vor den Osterferien ein und es wird deutlich, dass sie die rechtliche Einschätzung des Ministerium für Schule und Bildung nicht uneingeschränkt teilt. Personen, die schon zuvor an der Rechtmäßigkeit des vom Land gewählten Verfahrens zweifelten, werden sich dadurch bestätigt sehen.

Die Aufsichtsbehörde befasst sich dann mit der aktuell geltenden Situation und bewertet die rechtlichen Vorgaben aus der überarbeiteten CoronaBetrVO in Bezug auf ihre Verhältnismäßigkeit. Nach einer Bewertung der Geeignetheit, Erforderlichkeit und Angemessenheit der getroffenen Regelungen, kommt sie zu dem Schluss, dass die Verhältnismäßigkeit gewahrt ist. Im letzten Teil der Schrift betrachtet die Aufsichtsbehörde die Verantwortlichkeit für die Gewährleistung des Datenschutzes an der Schule, erläutert die Verpflichtung der Schule und der beteiligten Personen, die Vertraulichkeit der Testergebnisse zu wahren, bevor es dann um die Dokumentation der Testergebnisse geht und die Übermittlung derselben an Dritte.

Gerade bei der Übermittlung der personenbezogenen Daten von Personen mit positivem Selbsttest sah man in der Aufsichtsbehörde noch einen deutlichen Klärungsbedarf und wollte nun vom Ministerium für Schule und Bildung wissen “ob, unter welchen Voraussetzungen und gegebenenfalls auf welcher Rechtsgrundlage eine Übermittlung der Testergebnisse unter dem Gesichtspunkt des Gesundheitsschutzes und der Pandemiebekämpfung an andere Personen
und/oder Stellen vorgesehen ist und zulässig sein soll.

Das Land kam dieser Aufforderung nach mit der Präzisierung einiger Vorschriften in der CoronaBetrVO.

Schulen sollten beim Umgang mit positiven Ergebnissen von Selbsttests folgende Regel beachten:

  • Das Ergebnis des eine konkrete Schülerin oder einen konkreten Schüler betreffenden Selbsttests darf unmittelbar nur dieser oder diesem bzw. den jeweiligen Erziehungsberechtigten bekanntgegeben werden.
  • Dieses muss so erfolgen, dass Dritte dabei nichts mitbekommen.
  • Bei der Herausnahme der betroffenen Person aus dem Unterricht sollte  nicht direkt offensichtlich werden, dass diese einen positiven Selbsttest hatte.
  • Bei einer positiven Selbsttestung informiert die Schule das zuständige Gesundheitsamt.
  • Eine Übermittlung der positiven Testergebnisse von Selbsttests an andere Personen oder Stellen über das Gesundheitsamt hinaus, ist nicht zulässig.
  • Die Ergebnisse der durchgeführten Selbsttests oder vorgelegten Testnachweise werden von der Schule erfasst, dokumentiert und nach 14 Tagen vernichtet.
  • Diese Daten dürfen nur den Personen zugänglich gemacht werden, die sie zur Erfüllung ihrer Aufgaben benötigen.
  • Bei einem positiven Selbsttest werden die direkten Sitznachbar*innen bzw. engen Kontaktpersonen (sog. „social bubble“) bis zum Vorliegen eines PCR-Testergebnisses des Verdachtsfalls aufgefordert, nicht nur strikt die Infektions- und Hygienemaßnahmen einzuhalten, sondern auch nicht notwendige Kontakte in der Schule zu vermeiden.
  • Die Schule darf die betroffenen Personen aus dem Umfeld des Verdachtsfalls nicht selbst über den Verdachtsfall informieren.

Letzteres müsste dann wohl das Gesundheitsamt übernehmen.

Neue Veröffentlichung der LDI NRW – zum Thema Verarbeitung von Gesundheitsdaten durch Schulen

Lesezeit: < 1 Minute

Mit Datum vom 22.03. 2021 hat die LDI NRW eine neue Schrift veröffentlicht, um Klarheit beim Thema Verarbeitung von Gesundheitsdaten in der Schule zu schaffen, hier bezogen auf das Thema Nichtteilnahme am Präsenzunterricht zum Schutz vorerkrankter Angehöriger – Verarbeitung von Gesundheitsdaten durch Schulen.pdf

Im PDF wird gut erklärt, welche Gesundheitsdaten eine Schule in welcher Art und Weise im Zusammenhang mit der Nichtteilnahme von Schülern am Präsenzunterricht zum Schutz vorerkrankter Angehöriger überhaupt erheben darf. Wann darf sie ein ärztliches Attest einfordern und wann ein amtsärztliches Gutachten? Es geht darüber hinaus auch um die oft gestellte Frage, ob die Schule zum Zwecke der Einholung eines amtsärztlichen Gutachtens Daten an das Gesundheitsamt weiterleiten darf. Die Antwort lautet: die Schule benötigt hierfür immer eine Einwilligung der Betroffenen, da es keine Rechtsgrundlage dafür gibt, wie in der Schrift ausführlich erläutert wird.

Die Schrift knüpft an an die im November 2020 erschienene Schrift Maskenpflicht und Masernschutz – Verarbeitung von Gesundheitsdaten durch
Schulen.pdf, welche Schulleitungen rechtliche Hilfestellungen gibt, wenn es um die Verarbeitung von personenbezogenen Daten in den im Titel genannten Zusammenhängen geht. Die Schrift erklärt am Beispiel von verschiedenen Fallkonstellationen, wo die datenschutzrechtlichen Grenzen und Möglichkeiten für das Handeln der Schulleitungen liegen.

Eltern zu einer Besprechung per Videokonferenz einladen

Lesezeit: 2 Minuten

In Zeiten von Corona möchten viele Schulen gerne Elterngespräche in Form von Videokonferenzen anbieten. Es geht dabei sowohl um Elterngespräche in Format 1 zu 1 wie auch Informationsabende, bei denen Eltern über die Arbeit der Schule informiert werden sollen. Auch hierbei ist das Thema Datenschutz zu beachten. Eltern müssen über die zur Teilnahme an einer Videokonferenz erforderliche Datenverarbeitung gemäß Art. 13 DS-GVO informiert werden und dann eine Einwilligung erteilen. Das ist auch der Fall, wenn sie zur Teilnahme an einer Videokonferenz ein bestehendes schulisches Konto ihres Kindes nutzen, da die Einwilligung in die Verarbeitung von personenbezogenen Daten bei der Nutzung dieses Kontos das Kind betraf, nicht aber die Eltern selbst.

Da es sich bei den Teilnehmern um Erwachsene handelt und die Videokonferenzen nur einzelne oder gelegentliche Veranstaltungen sind, kann die Einwilligung durch die Eltern hier auch durch sogenanntes konkludentes Handeln1“Im Zivilrecht spricht man von einer konkludenten Willenserklärung, wenn sie ohne ausdrückliche Erklärung durch schlüssiges Verhalten abgegeben wird. D.h. die Willenserklärung wird aus den Handlungen des Erklärenden abgeleitet.” Quelle Wiktionary gegeben werden. Die Eltern willigen in die Datenverarbeitung ein, indem sie an der Videokonferenz teilnehmen. Schalten sie dazu beispielsweise die Kamera ein, willigen sie in die Verarbeitung des Bildsignals ein.

Praktische Umsetzung

Die Schule übermittelt den Eltern eine Einladung, in welcher die Informationen zur Datenverarbeitung gegeben werden wie auch die Einwilligungserklärung, letztere jedoch ohne Unterschriftenfeld. Wichtig wie immer bei der Einwilligung ist das Angebot einer Alternative für Eltern, die nicht an einer Videokonferenz teilnehmen möchten.

Beispiel Elterngespräch
Beispiel Informationen über die Schule
Beispiel Elterngespräch

Die Vorlage geht davon aus, dass die Eltern den Zugang des Kindes zu Logineo NRW Messenger für die Videokonferenz mit den Lehrkräften der Schule nutzen.

Hinweis

Bitte achten Sie darauf, dass für Videokonferenzen, in welchen es um vertrauliche oder sensible Inhalte gehen soll, sichere und vertrauenswürdige Anbieter genutzt werden. Ein Vertrag zur Auftragsverarbeitung zwischen Schule und Anbieter sollte vorliegen.

03/2021

Notenkonferenzen per Videokonferenz?

Lesezeit: 7 Minuten

In einem Schreiben an die Bezirksregierungen vom 15.01.2021 zur Weiterleitung an die Schulen macht das MSB auch Aussagen zur Erteilung der Halbjahreszeugnisse im Schuljahr 2020/21 und Anmeldung an den weiterführenden Schulen für das Schuljahr 2021/22.1 Vergleichbare Informationen gibt es auch aus einer Veröffentlichung auf der Website des Schulministeriums vom 18.01.2021.

Dazu gehört auch das Thema Zeugniskonferenzen. Bei den Aussagen hierzu sticht ein Satz hervor.

1. Zeugniskonferenzen und vorbereitende Dienstgeschäfte in den Schulen werden nicht von den Einschränkungen des § 1 Absatz 11 Corona- BetrVO erfasst und sind daher – unter Beachtung der erforderlichen Hygienemaßnahmen – zulässig. Es wird empfohlen, alternative Formen der Durchführung von Konferenzen zu prüfen.

Das MSB empfiehlt, auch wenn es möglich ist, die Schule für Zeugniskonferenzen und vorbereitende Dienstgeschäfte zu betreten, alternative Formen der Durchführung von Konferenzen. Es liegt nahe, dass damit Audio- und Videokonferenzen gemeint sind. Bei den Empfängern entstanden genau an dieser Stelle viele Fragen bezüglich des Datenschutzes. Das Ministerium sah sich dadurch veranlasst, sich noch einmal konkreter zu den datenschutzrechtlichen Aspekten von Notenkonferenzen zu äußern.

1. Teilnahme von Lehrkräften:
Grundsätzlich ist für Video-/Tonaufnahmen eine Einwilligung erforderlich, da Videoaufnahmen in der VO DV II nicht ausdrücklich erlaubt/geregelt sind.
Hier ist aber eine ergänzende Hinzuziehung von § 3 DSG zulässig (§ 122 Absatz 1 Satz 3 SchulG), da es sich um einen „ungeregelten Fall“ handelt, in dem ein Rückgriff auf das allgemeine Datenschutzrecht möglich ist.

Damit ist auf Grund von § 3 DSG bei bestehendem dringendem dienstlichem Bedürfnis in Pandemiezeiten die Teilnahme an einer Videokonferenz mit dem Datenschutz vereinbar.

2. Notendiskussion im Videostream: Zeugnisnoten sind personenbezogene Schülerdaten, die zulässigerweise von Schulen nach § 120 Abs. 1 SchulG und der VO DV I verarbeitet werden dürfen. Danach sind diverse Verarbeitungsformen (mündlich/schriftlich, analog/digital) zulässig. Maßgeblich ist, dass durch informationstechnische und organisatorische Maßnahmen, z.B. Wahl eines insofern geeigneten Videotools, der Schutz der Daten sichergestellt ist.

Wie einer meiner Kollege auf Nachfrage beim MSB erfuhr, ging man beim Verfassen der Ergänzung zum Erlass vom Vorhandensein von Dienstgeräten bei den Lehrkräften aus. Das ist in sofern von Bedeutung, da die Schulleitung nicht über die privaten Endgeräte der Lehrkräfte verfügen kann.

Wie sind diese Aussagen nun zu verstehen?

Für Audio- und Videokonferenzen gibt es in der VO-DV II bisher keine spezifischen Regelungen, die solche auf der Grundlage des Schulgesetzes NRW zulassen oder ausdrücklich eine Einwilligung voraussetzen. Dieses hatte auch die LDI NRW im Mai 2020 in der Schrift Pandemie und Schule ähnlich beschrieben. In der Praxis orientiert man sich stattdessen an den Vorgaben zu Video-/Tonaufnahmen, für die eine Einwilligung erforderlich ist. Siehe hierzu auch den Beitrag Distanzunterricht – rechtliche Vorgaben und Möglichkeiten. Wie die LDI NRW, die in der besonderen Ausnahme von Schulschließungen durch Covid19 eine Möglichkeit sieht, die fehlenden Regelungen, die weder eine ausdrückliche Erlaubnis noch ein Verbot bedeuten, sieht man im MSB deshalb aktuell die Möglichkeit, Zeugniskonferenzen auf §122 Abs. 1 Satz 3 des Schulgesetzes zu stützen. Dieser lautet.

Ergänzend gelten die allgemeinen datenschutzrechtlichen Vorschriften.

Im Schulgesetz NRW, so wird mit diesem Satz noch einmal ausdrücklich bestimmt, finden die allgemeinen datenschutzrechtlichen Vorschriften aus dem DSG NRW und der DS-GVO Anwendung, soweit sich in §120 und §121 keine bereichsspezifischen Datenschutzregelungen finden. In Verbindung mit §3 DSG NRW ist es dann nach Aussagen des MSB, “bei bestehendem dringendem dienstlichem Bedürfnis in Pandemiezeiten die Teilnahme an einer Videokonferenz mit dem Datenschutz vereinbar.”

§ 3
Zulässigkeit der Verarbeitung personenbezogener Daten

(1) Soweit spezialgesetzliche Regelungen nicht vorgehen, ist die Verarbeitung personenbezogener Daten durch öffentliche Stellen zulässig, wenn sie für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe der verarbeitenden Stellen erforderlich ist oder wenn sie in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

Die Verarbeitung von personenbezogenen Daten zur Teilnahme an Videokonferenzen durch die Schule erfolgt dann auf der Rechtsgrundlage von §3 DSG NRW in Kombination mit §122 Abs. 1 Satz 3 SchulG NRW.

Für die Schule entfällt damit die Erfordernis, von Lehrkräften eine Einwilligung zur Teilnahme an einer Videokonferenz einzuholen.

Die Teilnahme wird damit für Lehrkräfte verpflichtend. Wichtig ist dabei jedoch, dass sämtliche der folgende Bedingungen erfüllt sind:

  1. es gibt keine bereichsspezifische Regelung im SchulG NRW zu Videokonferenzen2, die Schulen die Verarbeitung von personenbezogenen Daten zur Durchführung von Videokonferenzen ausdrücklich erlaubt oder verbietet.und
  2. es besteht ein dringendes dienstliches Bedürfnis – und
  3. es herrschen Pandemiezeiten – und
  4. es werden die allgemeinen datenschutzrechtlichen Vorschriften eingehalten – und
  5. die Lehrkräfte verfügen über ein Dienstgerät.

Ist eine der genannten Bedingungen nicht erfüllt, besteht – zumindest aktuell – keine Möglichkeit, Lehrkräfte zur Teilnahme an einer Videokonferenz zu verpflichten. Von besonderer Bedeutung ist dabei Nr. 4, da sich hinter dieser Bedingung eine ganze Reihe von zu erfüllenden Kriterien verbergen.

Videokonferenz – Teilnahme per …

Besteht die Möglichkeit, Lehrkräfte zu einer Teilnahme an Videokonferenzen, wie oben beschrieben zu verpflichten, so ist dieses nicht automatisch mit einer Verpflichtung zur Teilnahme mit Videobild gleichzusetzen, es sei denn es lässt sich eine Erfordernis dazu begründen. In der Regel sollte es ausreichen, wenn Lehrkräfte an einer Videokonferenz ohne Bild teilnehmen, da es weder angemessen ist, darüber die Anwesenheit oder Aktivitäten der Teilnehmer zu kontrollieren, noch dass ihr Bild für Redebeiträge erforderlich wäre. Auch Abstimmungen benötigen kein Bild, da dieses auch über Chat, digitales Handzeigen oder Abstimmungstools möglich und, vor allem bei größerer Teilnehmerzahl, praktikabler ist.3Eine Erfordernis für eine Teilnahme per Videobild könnte sich jedoch daraus ergeben, wenn eine Plattform keine Möglichkeit bietet, die Teilnahme auf authentifizierte Teilnehmer zu beschränken. Dann wäre das Videobild die einzige Möglichkeit, einigermaßen sicher zu kontrollieren, dass nur berechtigte Personen an der Videokonferenz teilnehmen.

Informationen über Datenverarbeitung

Auch wenn die Nutzung einer Videokonferenz unter den beschriebenen Bedingungen keiner Einwilligung bedarf, so gehört zur Erfüllung der  “allgemeinen datenschutzrechtlichen Vorschriften” die Information der Betroffenen über die Verarbeitung von personenbezogenen Daten gemäß Art. 13 DS-GVO.4Welche Daten werden auf welcher Rechtsgrundlage zu welchen Zwecken verarbeitet? Für welche Dauer werden sie verarbeitet, erfolgt eine Übermittlung an Dritte bzw. wer sind gegebenenfalls die Empfänger, und welche Rechte haben die Betroffenen?

Keine Aufzeichnungen

Es sollte jedem klar sein, dass die vom MSB beschriebene Möglichkeit zur Verarbeitung von personenbezogenen Daten von Lehrkräften zur Durchführung  Videokonferenzen mit verpflichtender Teilnahme nicht die Aufzeichnung von Videokonferenzen einschließt. Diese fallen unter die Vorgaben von §121 Abs. 1 Satz 25” Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen bedürfen der Einwilligung der betroffenen Personen.” und sind einwilligungspflichtig. Darunter fallen auch Funktionen einiger Videokonferenzplattformen, die im Hintergrund Aufzeichnungen erstellen, um den Start einer Aufzeichnung durch den Gastgeber unmittelbar umsetzen zu können. Solche Funktionen müssen deaktiviert werden, wenn eine Teilnahme verpflichtend sein soll.

Sicherheit

Ein Aspekt, der auch mit Bezug auf Datenschutz Relevanz hat, ist das Thema Sicherheit, welches unter anderem in Nr. 2 der Erläuterung des MSB angesprochen wird. Das meint nicht nur eine eventuelle Verschlüsselung der Videokonferenz, die aktuell nur bei wenigen Plattformen möglich ist, sondern auch die Kontrolle des Zugangs. Man sollte bei Lehrkräften eigentlich sicher sein können, dass sie ihre Zugangsdaten zu einer Videokonferenz, in welcher es um Noten und Zeugnisse geht, nicht an Dritte weitergeben. Außerdem gibt es bei verschiedenen Plattformen Zugangskontrollen in Form von Warteräumen. Diese schützen jedoch nur begrenzt. Kann man die Teilnehmer nicht sehen, hat man keine hunderprozentige Gewähr, dass auch tatsächlich die berechtigte Person an der Videokonferenz teilnimmt. Dieses könnte man nur sicherstellen, wenn Teilnehmer sich vorher authentifizieren müssen. Das könnte über die Anbindung an eine andere von der Schule genutzte Plattform erfolgen. Einige Anbieter von Videokonferenzlösungen im Zusammenhang mit anderen Plattformen bieten diese Möglichkeit. Auch Moodle kann die Authentifizierung von Nutzern für die Teilnahme an Videokonferenzen übernehmen.

Welche Daten in welcher Plattform?

Vor allem bei der Nutzung der Plattformen von US Anbietern ist bisher immer klar gewesen, dass dabei bestimmte Arten von personenbezogenen Daten außen vor zu bleiben haben. Das ist in allen Bundesländern und sogar der Schweiz und Österreich so, wo der Einsatz von Office 365, G Suite for Education, Apple Classroom und ähnlich nicht grundsätzlich untersagt ist. Überall gilt, eine pädagogische Nutzung ist möglich, wenn dabei darauf geachtet wird, die Verwendung von personenbezogenen Daten auf ein Minimum zu reduzieren. Auch eine Nutzung zur Teamarbeit im Kollegium oder zur Bereitstellung von Dokumentvorlagen und Informationen aus der schulinternen Verwaltung ist möglich, solange dabei keine personenbezogenen Daten im Spiel sind. Nichts zu suchen haben in den Plattformen hingegen personenbezogene Daten im Zusammenhang mit pädagogischer Dokumentation und schulinterner Verwaltung. Bei Noten- und Zeugniskonferenzen geht es aber genau um diese personenbezogenen Daten.

Eine Verarbeitung von Zeugnisnoten über eine Videokonferenzplattform ist auf der Rechtsgrundlage des §120 Abs. 1 SchulG NRW und der VO-DV I möglich, wie im unter Nr. 2 in den Erläuterungen des MSB zum Erlass dargestellt. Es gilt dabei jedoch, wie ebenfalls dort dargestellt, “Maßgeblich ist, dass durch informationstechnische und organisatorische Maßnahmen, z.B. Wahl eines insofern geeigneten Videotools, der Schutz der Daten sichergestellt ist.

Eine Möglichkeit, Daten vor unberechtigtem Zugriff zu schützen, ist die Verschlüsselung. Derzeit unterstützen nur sehr wenige Plattformen eine echte Ende-zu-Ende Verschlüsselung von Videokonferenzen, da diese technisch sehr schwierig zu implementieren ist und mit dem Verlust von Funktionalität einhergeht.6Siehe dazu https://www.datenschutz-notizen.de/ende-zu-ende-verschluesselung-von-videokonferenzen-1825597/  von April 2020 Zoom gehört dazu und auch Jitsi.7Im Januar 2021 ist die Funktionalität der Ende-zu-Ende Verschlüsselung bei beiden Plattformen bereits nutzbar, jedoch noch in der Erprobung. MS Teams, Cisco Webex und Google Meet bieten zwar eine gewisse Verschlüsselung. Das Problem ist dabei jedoch, dass die Schlüssel dafür beim Anbieter liegen und dieser die Videokonferenzen damit problemlos entschlüsseln und dadurch Dritten zugänglich machen könnte oder dass die Videokonferenzen auf dem Server des Anbieters entschlüsselt werden, bevor sie verschlüsselt an die Teilnehmer gehen.

Damit wird auch dieser Sicherheitsaspekt zum Ausschlusskriterium für einige der gängigen Videokonferenz Plattformen.

Wie kann man sich hier behelfen?

Eine Möglichkeit, wie man Noten- und Zeugniskonferenzen auch ohne eine Ende-zu-Ende Verschlüsselung durchführen kann, besteht darin, dass man ohne die Namen der Schüler arbeitet. Alle Lehrkräfte haben Namenlisten mit einer eindeutigen Nummerierung/Kennung vorliegen. Es wird in der Videokonferenz dann nur über Nummern gesprochen, nicht über Namen. Für Dritte sind dann ohne einen unverhältnismäßig hohen Aufwand die Noten und Bemerkungen zu Noten und Zeugnisse, die im Laufe der Konferenz genannt werden, keiner identifizierbaren Person zuzuordnen.

Eine Frage der Plattform

Da durch die Möglichkeit, eine Verarbeitung von personenbezogenen Daten zur Durchführung von Videokonferenz auf der Grundlage von §3 DSG NRW nicht gleichzeitig alle anderen datenschutzrechtlichen Vorschriften außer Kraft gesetzt werden, kommt der Auswahl der Plattform durchaus eine Bedeutung zu.

(Vermutlich) nicht DS-GVO konform

Eine Plattform, bei der zweifelhaft ist, ob sie DS-GVO konform nutzbar ist, hält demnach die “allgemeinen datenschutzrechtlichen Vorschriften” vermutlich nicht vollständig ein. Damit wäre eine der 4 Bedingungen nicht erfüllt und die Plattform könnte nicht genutzt werden, um Lehrkräfte zu einer Teilnahme an Videokonferenzen zu verpflichten. Die Zahl der Videokonferenz Plattformen, bei denen die DS-GVO Konformität angezweifelt wird, ist nicht klein.8Dazu gehören dürften dann auch Plattformen gehören, deren Nutzung vom MSB als “bedenklich” eingestuft wird oder Plattformen, die auf der Liste der Berliner Aufsichtsbehörde schlecht davon gekommen sind. Es gibt Schulen und Schulträger, die Gutachten haben anfertigen lassen von Fachkanzleien, die den von ihnen genutzten Plattformen eine DS-GVO Konformität attestieren. Im Streitfall entscheiden hier letztlich die Gerichte, falls es an einer Schule soweit kommt.

Vertrag zur Auftragsverarbeitung

Um die allgemeinen datenschutzrechtlichen Vorschriften zu erfüllen, ist auch der Abschluss eines Vertrags zur Auftragsverarbeitung9Im nicht deutschsprachigen Raum meist als Data Processing Addendum oder Data Processing Agreement bezeichnet. gemäß Art. 28 DS-GVO mit dem Anbieter der Videokonferenz Plattform zwingend erforderlich. Eine Plattform, deren Anbieter diesen Vertrag nicht anbietet, scheidet für eine Durchführung von Noten- und Zeugniskonferenzen per Videokonferenz aus.

Einwilligung erforderlich

Einige Plattformen erfordern zur Aktivierung eines Nutzerkontos eine Einwilligung in die Verarbeitung von personenbezogenen Daten. Dazu gehören die drei Logineo NRW Plattformen und damit auch der Messenger, bei dem es seit kurzem das Modul Videokonferenz mit Jitsi gibt. Da eine Einwilligung immer nur freiwillig sein kann, um rechtswirksam zu sein, ist es damit nicht möglich, die Nutzung einer solchen Plattform verpflichtend vorzuschreiben. Solange bei Logineo NRW Messenger diese Erfordernis zur Einwilligung nicht technisch deaktiviert wird, ist eine verpflichtende Nutzung ausgeschlossen. Gleiches gilt für Plattformen mit vergleichbarem Vorgehen.10Hinweis: Die Kernaussage dieses Abschnitts bezieht sich nur auf die Einwilligung in die Verarbeitung von personenbezogenen Daten, nicht auf die Einwilligung oder Annahme einer Nutzungsvereinbarung.

Wo es möglich wäre

Auf den ersten Blick scheint es, dass eine verpflichtende Teilnahme an Videokonferenzen, wie oben beschrieben, mangels geeigneter Plattformen, welche die “allgemeinen datenschutzrechtlichen Vorschriften” einhalten, gar nicht möglich ist. Aber es gibt Plattformen, mit denen sich die Vorgaben recht gut einhalten lassen. Dazu gehören BigBlueButton und Jitsi, wie sie von verschiedenen Unternehmen angeboten werden. Mehr zu den Plattformen im Datenschutz Check.11Dort sind beispielhaft auch einige Anbieter genannt. Je nach Anbieter können diese Videokonferenz Lösungen auch an andere Plattformen angedockt werden, die sich dann zur Authentifizierung nutzen lassen. Es gibt außerdem auch Plattformen und Apps, die Videokonferenzen als ein integriertes Modul anbieten. Solange zur Nutzung der Videokonferenz Lösungen, ob als Stand-alone Lösung oder als Bestandteil einer größeren Lösung keine Einwilligung in die Verarbeitung von personenbezogenen Daten erforderlich ist, und sie auch sonst den allgemeinen datenschutzrechtlichen Vorschriften entsprechen, ließen sich für eine Schule damit die zu Beginn beschriebenen Möglichkeiten umsetzen.

Bei einem vertrauenswürdigen Anbieter, der seine Videokonferenz Plattform mit Vertrag zur Auftragsverarbeitung in einem sicheren Serverzentrum betreibt und die Plattform sicher und datenschutzkonform konfiguriert hat, ist es vertretbar, wenn Videokonferenzen auch ohne eine echte Ende-zu-Ende Verschlüsselung durchgeführt werden. Bei Anbietern, die ihre Plattform auf der Basis von Jitsi betreiben und Ende-zu-Ende Verschlüsselung bereits implementiert haben, wäre es möglich, diese zu aktivieren.12Hinweis: Die Ende-zu-Ende Verschlüsselung wird aktuell nicht von allen Browsern unterstützt.

Fazit

Das MSB eröffnet Schulen für den Ausnahmefall der Pandemie die Möglichkeit, Videokonferenzen als Alternative zu Präsenztreffen zu nutzen, um bei bestehendem dringendem dienstlichem Bedürfnis zumindest mit Noten- und Zeugniskonferenzen durchzuführen. Dieses setzt jedoch voraus, dass dazu einige Bedingungen erfüllt werden. Neben der in Erlass und Erläuterungen unerwähnten aber vorausgesetzen Ausstattung der Lehrkräfte mit Dienstgeräten müssen auch die allgemeinen datenschutzrechtlichen Vorschriften eingehalten werden. Mit Blick auf die aktuell an Schulen genutzten Plattformen wird dann jedoch schnell deutlich, dass viele dieser Plattformen die erforderlichen Voraussetzungen nicht vollständig erfüllen werden. Schulen, die versuchen, eine verpflichtende Teilnahme mit diesen Plattformen mit Bezug auf den Erlass und die ergänzenden Erläuterungen des MSB bei ihren Lehrkräften durchzusetzen, laufen dabei Gefahr, gegen geltendes Recht zu verstoßen. Letzte Klärung wird in solchen Fällen dann, falls es soweit kommt, ein Verwaltungsgericht herbeiführen.

Für eine Übertragung auf andere Zusammenhänge, etwa gewöhnliche Lehrerkonferenzen, oder den Unterricht scheint diese vom MSB ausdrücklich unterstützte Ausnahmeregelung nicht geeignet. Siehe dazu auch Distanzunterricht – rechtliche Vorgaben und MöglichkeitenDistanzunterricht – rechtliche Vorgaben und Möglichkeiten und Teilnahme am Unterricht über Video – geht das?

 

Stand 01/2021

Distanzunterricht – rechtliche Vorgaben und Möglichkeiten

Lesezeit: 14 Minuten

Dieser Beitrag ist eine überarbeitete und auf die aktuelle Rechtslage im Januar 2021 angepasste Version des älteren Beitrags Teilnahme am Unterricht über Video – geht das? Im Nachtrag stellt der Beitrag Aussagen aus den Bezirksregierungen, dem MSB und der LDI NRW zur Frage, ob Lehrkräfte zur Erteilung von und Schüler zur Teilnahmen an Distanzunterricht per Videokonferenz Tool verpflichtet werden können dar und ordnet diese ein.


Das Land befindet sich im Lockdown, die Schulen sind weitestgehend geschlossen und Unterricht muss als Distanzunterricht erteilt werden. Für Schulen stellt sich die Frage, wie dieser Distanzunterricht organisiert werden kann. Nahezu jeder denkt dabei an Distanzunterricht über eine Videokonferenz Plattform, zumeist kombiniert mit weiteren Plattformen. In diesem Beitrag soll aus datenschutzrechtlicher Sicht betrachtet werden, welche Möglichkeiten sich aus den verschiedenen Rechtstexten ergeben und wo die Grenzen liegen.

Maßgeblich ist für die Organisation und Erteilung von Distanzunterricht die Zweite Verordnung zur befristeten Änderung der Ausbildungs- und Prüfungsordnungen gemäß § 52 SchulG1https://bass.schul-welt.de/19272.htm. Diese wird ergänzt zur Erläuterungen im Faktenblatt zur Wiederaufnahme eines angepassten Schulbetriebs in Corona-Zeiten zu Beginn des Schuljahres 2020/20212https://www.schulministerium.nrw.de/system/files/media/document/file/Faktenblatt%20angepasster%20Schulbetrieb%20Schuljahresbeginn%202020%2021.pdf.

Es gibt in beiden Dokumenten jeweils einen Satz, der etwas zum digitalen Format des Distanzunterrichts aussagt.

In der ​Zweiten Verordnung zur befristeten Änderung​ ​der Ausbildungs- und Prüfungsordnungen gemäß § 52 SchulG​ heißt es unter §3 Abs. 6

“​Distanzunterricht ​soll​ digital erteilt werden, ​wenn​ die Voraussetzungen dafür erfüllt sind.​”

Dazu findet sich im ​Faktenblatt angepasster Schulunterricht​ auf S. 11 eine Präzisierung.

“Distanzunterricht soll dann digital erteilt werden, wenn die Voraussetzungen hierfür vorliegen, also ​insbesondere eine ausreichende technische Ausstattung der Schülerinnen und Schüler sowie der Lehrkräfte gewährleistet ist​.”

Demnach setzt digitaler Distanzunterricht eine technische Ausstattung der Beteiligten voraus. Was gehört zu einer ausreichenden technischen Ausstattung? Es braucht:

  • digitale Endgeräte bzw. Zugangsgeräte​, die dem Stand der Technik entsprechen. Dazu gehören Tablet, Notebook, Laptop und Computer. Ein Smartphone ist bedingt durch die geringe Bildschirmgröße weniger geeignet (und dürfte von daher eher keine ausreichende technische Ausstattung darstellen) sowie
  • eine ​ausreichende Internetanbindun​g über einen Anschluss zu Hause, in der Schule oder einen Mobilzugang.

Außerdem braucht es von Seiten der Schule:

  • Plattformen, Software, Apps​ – über die der digitale Distanzunterricht organisiert und durchgeführt werden kann. Dazu gehören LMS, Schulserver, Cloud Speicher, Arbeitsplattformen, Videokonferenz Plattformen, Messenger, …

Das heißt, wenn Schülerinnen und Schüler sowie Lehrkräfte über eine ausreichende technische Ausstattung in Form von geeigneten Zugangsgeräten und Internetzugängen verfügen, um am Distanzunterricht teilzunehmen bzw. diesen zu erteilen, dann soll er digital erteilt werden.

In diesem Zusammenhang sind auch die Initiativen des Landes zu sehen, über welche Leihgeräte für bedürftige Schüler und Dienstgeräte für Lehrkräfte an den Schulen zur Verfügung gestellt werden sollen.

Für den Fall, dass die Voraussetzungen nicht erfüllt sind, womit hier jedoch nicht nur eine nicht ausreichende technische Ausstattung gemeint ist, stellt die Schule in Absprache mit dem Schulträger gem. §3 Abs. 7 Schülerinnen und Schülern Räumlichkeiten für die Teilnahme am Distanzunterricht zur Verfügung.

“Soweit nötig, stellt die Schule den Schülerinnen und Schülern zur Sicherung eines chancengerechten und gleichwertigen Lernumfelds im Einvernehmen mit dem Schulträger Räume für den Distanzunterricht zur Verfügung.”

Die Zweite Verordnung und das sie ergänzende Faktenblatt betrachten die Voraussetzungen für die Erteilung bzw. Teilnahme an einem digitalen Distanzunterricht von den materiellen Voraussetzungen her, den Endgeräten, Online-Zugängen und wenn auch nicht direkt genannt, den der Schule zur Verfügung stehenden Plattformen. Es werden dabei jedoch keinerlei Aussagen zur Form des digitalen Distanzunterrichtes gemacht. Die Spanne der vorstellbaren Formen von digitalem Distanzunterricht reicht hier von der Übermittlung und Rückübermittlung von Arbeitsmaterialien per E-Mail bis zur Durchführung des Distanzunterrichts mittels LMS und Videokonferenz Plattform oder einer Arbeits- und Kommunikationsplattform mit integrierter Videokonferenzlösung.

Das Thema Datenschutz beim digitalen Distanzunterricht

Auch wenn an keiner Stelle in der Zweiten Verordnung das Thema Datenschutz erwähnt wird, so ist klar, dass auch dieser bei den Überlegungen zur Form des digitalen Distanzunterrichts eine Rolle spielt.

Um die weiteren Betrachtungen diesbezüglich zu vereinfachen, gehe ich von folgender, idealer Situation aus: die Schule XYZ hat alle Lehrkräfte mit Dienstgeräten und alle Schülerinnen und Schüler mit digitalen Endgeräten ausgestattet. Alle Lehrkräfte und Schüler haben einen guten und zuverlässigen Internetzugang zu Hause und einen Arbeitsplatz, von dem aus sie ungestört arbeiten können. Die Schule nutzt die Landesplattformen Logineo NRW LMS und Messenger sowie ein im Auftrag von einem deutschen Anbieter betriebenes BigBlueButton als Videokonferenzlösung.

Die Schule möchte die Nutzung der drei Plattformen für alle verbindlich, d.h. verpflichtend, vorschreiben. Ein Beschluss der Schulkonferenz wird hierzu herbeigeführt.

Die Schule ist sich sicher, sie ist auf dem richtigen Weg, denn der neue Absatz 5 in §120 SchulG NRW eröffnet Schulen jetzt die Möglichkeit, digitale Lehr- und Lernplattformen verpflichtend einzuführen.

“Die Schule darf für den Einsatz digitaler Lehr- und Lernmittel personenbezogene Daten der Schülerinnen und Schüler und der Eltern verarbeiten, soweit dies für die Aufgaben der Schule erforderlich ist.”

Aber so einfach ist das dann leider doch nicht. Warum?

Keine Verpflichtung bei Einwilligung

Die beiden Landesplattformen Logineo NRW LMS und Logineo NRW Messenger erfordern beide eine Einwilligung der Nutzer in die Verarbeitung von personenbezogenen Daten beim ersten Login. Gemeint sind damit Daten, die freiwillig eingestellt werden und nichts mit Schule und Unterricht zu tun haben, etwa ein persönliches Profil oder eine private Kommunikation. Eine Einwilligung kann nur rechtswirksam sein, wenn sie freiwillig ist. Damit ist eine verpflichtende Nutzung nicht mehr möglich. Die Einwilligung ist nicht zu umgehen und wäre, wenn sie verpflichtend abgegeben werden müsste, nicht mehr freiwillig.

Dieses Problem lässt sich nur dann beseitigen, wenn man in den Logineo NRW Plattformen zukünftig die Erfordernis zur Einwilligung technisch deaktiviert und eine Nutzung mit privaten Daten entweder komplett untersagt oder die Einwilligung für eine Nutzung mit privaten Daten als Option anbietet. Aktuell ist eine solche Änderung der Plattformen nicht absehbar.3Es müsste zudem eine neue Dienstvereinbarung mit den Hauptpersonalräten geben, denn in der bisherigen mit Stand vom 21.10.2020 heißt es ausdrücklich: “Die Nutzung von LOGINEO NRW ist freiwillig und setzt eine Einwilligungserklärung der jeweiligen Nutzerin/des jeweiligen Nutzers bzw. deren/dessen gesetzlicher Vertretung voraus.” Hinweis: die Dienstvereinbarung bezieht sich aktuell nur auf die Basisplattform Logineo NRW, nicht das LMS und den Messenger. Es ist jedoch zu erwarten, dass unter aktuellen Bedingungen Dienstvereinbarungen bezüglich dieser beiden Plattformen oder eine Erweiterung der bestehenden Vereinbarung um diese Plattformen vergleichbare Regelungen bezüglich der Freiwilligkeit enthielten.

BigBlueButton ist ein Musterbeispiel für eine datenschutzfreundliche Videokonferenz Plattform. Sie ist open source und lässt sich sicher und datensparsam betreiben. Trotzdem ist eine verbindliche Nutzung auch hier momentan nicht möglich. Dafür gibt es mehrere Gründe.

Schulgesetz NRW und Videokonferenzen

Das Thema Videokonferenzen ist ein ungeregelter Bereich, denn im  Schulgesetz NRW finden sich dazu keinerlei konkrete Vorgaben. Aussagen gibt es lediglich zu Aufnahmen des Unterrichts.

In der neuen Fassung des Schulgesetzes von Mai 2020 sind Aufnahmen des Unterrichts gemäß §120 Abs. 6 nur mit Einwilligung der Betroffenen zulässig.

„Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen bedürfen der Einwilligung der betroffenen Personen. Die Einwilligung muss freiwillig erteilt werden. Den betroffenen Personen dürfen keine Nachteile entstehen, wenn sie eine Einwilligung nicht erteilen.“

Ein entsprechender Passus findet sich auch für §121 Abs. 1. Satz 2 bezüglich der Rechte der Lehrkräfte.

Auch wenn Streaming von Bild und Ton im Rahmen einer Video- oder Audiokonferenz keine Aufzeichnung darstellt, könnte man sich an dieser Vorgabe orientieren, denn auch die Teilnahme am Distanzunterricht ist verpflichtend wie die im Präsenzunterricht. Es kommt hinzu, dass vor allem eine Teilnahme an einer Videokonferenz einen deutlichen Eingriff in die Privatsphäre der Teilnehmer darstellt.

Orientiert man sich an den Vorgaben des Schulgesetzes NRW zu Bild- und Tonaufzeichnungen des Unterrichts, so ist kaum vorstellbar, dass für Video- und Audiokonferenzen völlig andere Regelungen gelten, zumal es an keiner Stelle im Schulgesetz, den anhängigen Verordnungen, Erlassen und anderen Schriften des Ministeriums Aussagen gibt, die eine andere Handhabung möglich erscheinen lassen.

Die LDI NRW und Videokonferenzen im Distanzunterricht

In der ursprünglichen Version der Schrift Pandemie und Schule – Datenschutz mit Augenmaß vom Mai 2020 sah die LDI NRW eine Möglichkeit, im Ausnahmefall der Pandemie in sehr engen Grenzen die Nutzung von Videokonferenzplattformen verbindlich vorzuschreiben. “Die Durchführung von Videokonferenzen einschließlich der damit verbundenen erforderlichen Datenverarbeitung könnte temporär auf die o.g. schulrechtlichen in Generalklauseln in § 120 Abs. 1 Satz 1 und 121 Abs. 1 Satz 1 SchulG gestützt werden, soweit es die Schulleitung während der Schulschließungen und der weitgehenden Kontaktverbote zur Aufrechterhaltung des Unterrichts- und Schulbetriebs für erforderlich erachtet, derartige Videokonferenzen durchzuführen.” Im Oktober 2020 erschien eine überarbeitete Fassung der Schrift Pandemie und Schule – Datenschutz mit Augenmaß 4https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Schule_-Videokonferenzsysteme-und-Messenger-Dienste-waehrend-der-Corona-Pandemie/LDI-NRW—Pandemie-und-Schule-20_10_2020.pdf Mit der aktualisierten Fassung wurden die zwischenzeitlich erfolgte Überarbeitung des SchulG NRW mit der Neueinführung von §120 Abs. 5 und §121 Abs. 1 Satz 1 berücksichtigt. Darauf nimmt die LDI NRW nun Bezug.

“Zum anderen besteht durch die oben erwähnten Neuregelungen in §120 Abs. 5 und §121 Abs. 1 Satz 1 SchulG auch die Möglichkeit, die mit der Durchführung von Videokonferenzen verbundene Datenverarbeitung auf diese Erlaubnisnormen zu stützen, soweit sie für die Aufgabenwahrnehmung der Schule erforderlich ist.”

Dabei dürfte aber der Teil “soweit es für die  erforderlich Aufgabenwahrnehmung der Schule erforderlich ist” in der Praxis anfechtbar sein. Sind Videokonferenzen zwingend erforderlich, um den Unterrichts- und Schulbetrieb aufrecht zu erhalten? Muss dabei auch die Kamera eingeschaltet sein? Diese Schrift erschien nach der Verabschiedung der Zweiten Verordnung zur befristeten Änderung der Ausbildungs- und Prüfungsordnungen gemäß § 52 SchulG, die eine solche Möglichkeit an keiner Stelle erwähnt. Auch das SchulG NRW in der überarbeiteten Version und die bisher bekannte Entwurfsfassungen von VO-DV I und II machen keine Aussagen zum Thema Videokonferenzen.

Selbst wenn man davon ausgeht, dass es der Schulleitung möglich wäre, die Nutzung einer Plattform für Video- und Audiokonferenzen “zur Aufgabenwarnehmung der Schule“, wie von der LDI NRW beschrieben, verpflichtend vorzugeben, so stellt sich die Frage, mit welchen Plattformen dieses überhaupt möglich wäre? In ​Pandemie und Schule​ gibt die LDI NRW Kriterien vor, welche eingehalten werden müssen, wenn eine Schule im Ausnahmefall die Nutzung einer Videokonferenzplattform verpflichtend vorgeben möchte:

“Zum einen ist zu beachten, dass dieser Ansatz überhaupt nur zum Tragen kommen kann, soweit die Verarbeitung der hierfür erforderlichen Daten entsprechend der gesetzlichen Vorschrift im Verantwortungsbereich der Schule erfolgt, d.h. sie selbst die Daten verarbeitet oder durch Regelungen in einem Auftragsverarbeitungsvertrag sichergestellt ist, dass sie „Herrin der Daten“ ist. Zum anderen setzt gerade eine verpflichtende Nutzung voraus, dass gewährleistet ist, dass alle Betroffenen die digitalen Module auch tatsächlich und zudem nur im zulässigen Umfang nutzen können;

Ob die Schule tatsächlich voll und ganz “Herrin der Daten” ist, dürfte selbst bei Vorliegen eines Vertrag zur Auftragsverarbeitung gerade bei Plattformen von US Anbietern nicht unstrittig sein. Und auch die Nutzung im zulässigen Umfang wird vor allem bei Videokonferenz Plattformen von verschiedenen Seiten stark angezweifelt. Eine Kontrolle, ob Teilnehmer an einer Videokonferenz heimlich Screenshots oder Mitschnitte anfertigen, ist im Anwendungsfall Distanzunterricht kaum möglich. Nutzer können nur zu verantwortungsvollem Verhalten angehalten werden. Eine Verpflichtung, sich an verabredete Regeln zu halten, kann dazu beitragen, und kann der Schule im Fall eines Verstoßes eine rechtliche Handhabe bieten, Sanktionen gegen Schüler einzuleiten, eine missbräuchliche Nutzung verhindern, kann allerdings nichts davon.

Bezüglich der im Schulgesetz NRW beabsichtigten und mittlerweile im oben beschriebenen § 120 Abs. 5 umgesetzten Rechtsvorgabe zur verpflichtenden Einführung von Unterrichtsplattformen mahnt die LDI NRW in der Schrift Pandemie und Schule an, dass in der Überarbeitung von VO-DV I & II eine

“Festschreibung, welche konkreten Daten regelmäßig für den Einsatz der E-Learning-Plattformen verarbeitet werden dürfen.”

erfolgt.

Die LDI NRW deutet an, in welche Richtung dabei gedacht ist.

“Weiterhin ist aus Sicht der LDI NRW bei der Umsetzung insbesondere maßgeblich, dass eine Datenverarbeitung auch tatsächlich nur im Rahmen des Erforderlichen erfolgt. Als ein Beispiel sei die Protokollierung der Systemzugriffe genannt. Diese ist aus datenschutzrechtlicher Sicht erforderlich, um die Sicherheit der Systeme zu gewährleisten; nicht erforderlich und damit unzulässig ist dagegen, dass Lehrkräfte Zugriff auf die Protokolldaten erhalten, um das Arbeitsverhalten ihrer Schülerinnen und Schüler zu kontrollieren.”

Die angemahnte Festschreibung in der Überarbeitung von VO-DV I & II steht aktuell noch aus. In der Entwurfsfassungen von VO-DV I und II findet sich jedoch ein Abschnitt, in welchem die Verarbeitung von Protokolldaten geregelt ist.5“Beim Einsatz digitaler Lehr- und Lernmittel, digitaler Kommunikationsmittel sowie IT-Infrastrukturen ist die Verarbeitung der zum Betrieb erforderlichen Protokolldaten zulässig.”Damit sollte das MSB die Forderung der LDI NRW umgesetzt haben. Noch offen ist momentan, wie weit der Begriff der digitalen Lehr- und Lernmittel, welchen die LDI NRW als E-Learning-Plattformen bezeichnet, zu verstehen ist. Von daher ist gegenwärtig trotz §120 Abs. 5 SchulG NRW noch unsicher, wie sich die dort eröffneten Möglichkeiten zur verpflichtenden Einführung von Unterrichtsplattformen rechtssicher umsetzen lassen.

Was heißt das für die Praxis?

Ist Präsenzunterricht nicht oder nur eingeschränkt möglich, so findet er gemäß der Zweiten Verordnung “mit räumlicher Distanz in engem und planvollem Austausch der Lehrenden und Lernenden statt (Distanzunterricht).” Sind dabei die Voraussetzungen auf Seiten von Schülern und Lehrkräften vor allem mit Blick auf die technische Ausstattung erfüllt, soll der Distanzunterricht “digital erteilt werden.” Welches Format der digitale Distanzunterricht dabei hat, ist an keiner Stelle definiert. Die Spannbreite möglicher Formate ist groß.

Digitaler Distanzunterricht ist in seinen Möglichkeiten durch die schulrechtlichen Vorgaben zum Datenschutz und übergeordnete datenschutzrechtliche Regelungen begrenzt. Auch wenn die Teilnahme am Distanzunterricht bzw. dessen Erteilung für Schüler wie Lehrkräfte durch die Vorgaben aus der Zweiten Verordnung zweifelsfrei verpflichtend ist, lässt sich aus dieser Verpflichtung für Schulen keine Berechtigung ableiten, dazu die Nutzung einer digitalen Plattform zwingend vorzugeben, sofern diese nicht den datenschutzrechtlichen Vorgaben, denen Schulen unterliegen, genügt.

Unter der Voraussetzung, dass eine “ausreichende technische Ausstattung der Schülerinnen und Schüler sowie der Lehrkräfte gewährleistet ist“​ müssten aus datenschutzrechtlicher Sicht die folgenden Bedingungen erfüllt sein, um die Nutzung einer bestimmten Plattform im Distanzunterricht verpflichtend vorschreiben zu können:

  • die Plattform müsste von der Schule selbst betrieben oder mit Vertrag zur Auftragsverarbeitung von einem Dienstleister bereitgestellt werden,
  • ihre Nutzung müsste in dem von SchulG NRW und DS-GVO gesteckten Rahmen möglich sein,
  • bei ihrer Nutzung dürften nur personenbezogene Daten im Rahmen des Erforderlichen verarbeitet werden, und
  • sie müsste so angelegt sein oder voreingestellt werden können, dass sie sich von Schülern und Lehrkräften nur im zulässigen Umfang nutzen ließe.

Außerdem wären bei einer verpflichtenden Einführung gegebenenfalls auch die Beteiligungsrechte gemäß LPVG zu berücksichtigen und die Plattform sollte durch Beschluss der Schulkonferenz eingeführt werden.

Es ist an dieser Stelle hoffentlich deutlich geworden, dass es vermutlich nur sehr wenige Plattformen gibt, mit denen sich alle diese Bedingungen zweifelsfrei erfüllen lassen. Dazu könnten beispielsweise ein Moodle zählen, eine NextCloud oder ein Messenger, welche die Schule selbst betreibt oder im Auftrag betreiben lässt, bei denen datenschutzfreundliche Voreinstellungen gewählt sind und bei deren Nutzung es untersagt ist, private Daten einzustellen, sofern für deren Verarbeitung keine gesonderte Einwilligung erteilt wurde. Es wird sicherlich auch andere kommerzielle entwickelte Plattformen geben wie z.B. spezielle Schul Apps, welche die beschrieben Bedingungen erfüllen können. Unter den gegebenen schul- und datenschutzrechtlichen Bedingungen gibt es, wie oben deutlich geworden sein sollte, aktuell keine spezifische Regelung, aus welcher sich eine verpflichtende Nutzung von Videokonferenz Plattformen herleiten lässt. Es bleibt, wenn überhaupt, eine sehr weite Auslegung von §120 Abs. 5 und § 121 Abs. 1 Satz 1, um eine Verpflichtung im Rahmen “der Aufgabenwahrnehmung der Schule” zu begründen.

Außen vor bleiben für eine verpflichtende Nutzung im Distanzunterricht außerdem alle Plattformen, deren Nutzung eine Einwilligung voraussetzt, wie gegenwärtig die Logineo NRW Plattformen, und Plattformen, deren Nutzung nicht zweifelsfrei DS-GVO konform möglich ist. Solange das Land NRW keine Lösung mit den jeweiligen Anbietern aushandelt, so wie Baden Württemberg dieses aktuell für Office 365 versucht, fallen darunter leider auch Plattformen wie Microsoft Teams, Office 365, G Suite for Education und Apple Classroom.

Angebot statt Verpflichtung

Viele Schulen setzen auf die Plattformen von US Anbietern. Die Gründe dafür sind verschieden und für die weiteren Überlegungen nicht von Bedeutung. Wenn eine Schule z.B. auf MS Teams setzt, um damit den Distanzunterricht im digitalen Format zu erteilen, dann kann dieses immer nur ein Angebot sein. In vielen Fällen werden Lehrkräfte und Schüler bzw. deren Eltern eine Einwilligung erteilen, sei es dass sie von der Plattform überzeugt sind und die Risiken durch eine Nutzung für sich für vertretbar halten oder dass sie in Zeiten von Distanzunterricht Datenschutzbedenken zurückstellen. Es wird jedoch auch immer wieder Lehrkräfte, Schüler und Eltern geben, die nicht bereit sind, sich zur Nutzung der Plattform für sie unkalkulierbaren Risiken auszusetzen. Das ist ihr gutes Recht, solange eine Plattform die oben beschriebenen Bedingungen nicht zweifelsfrei erfüllt oder ihre Nutzung durch eine Rechtsvorgabe es Landes eindeutig vorgeschrieben ist.

Schulen kann nur dringend davon abgeraten werden, Druck auf einzelne Lehrkräfte, Schüler oder Eltern auszuüben, eine Einwilligung zu erteilen und die Plattform zu nutzen. Mir sind Fälle bekannt, in denen Schulen Betroffene, die eine Nutzung der Plattform verweigern, regelrecht schikanieren und ihnen das Leben erschweren. Auch wenn es möglich wäre, Arbeitsmaterialien anstatt über MS Teams per E-Mail zu übermitteln, werden Betroffene genötigt, diese persönlich bei der Schule abzuholen. Schüler werden gedrängt, in MS Teams auch die Kamera einzuschalten, damit man sie sehen kann. So etwas geht nicht und kann für Schulen und hier an erster Stelle die Schulleitung rechtliche Folgen haben, wenn die Betroffenen die Datenschutzaufsicht einschalten oder vor einem Verwaltungsgericht klagen. Dass Eltern hier von ihren Rechten Gebrauch machen werden, ist vor allem dann nicht unwahrscheinlich, wenn ihre Kinder durch eine Nichteinwilligung Nachteile erfahren, die das Lernen beeinträchtigen und zu schlechteren Leistungen führen.

Schulen sollten offen und ehrlich informieren über die Plattformen, welche sie für den Distanzunterricht nutzen möchten und Alternativen vorbereiten, so dass Lehrkräfte, Schüler und Eltern eine echte Wahlmöglichkeit haben und ihnen aus einer Nicht-Einwilligung keine Nachteile entstehen. Das bedeutet für die Schule eventuell zusätzliche Arbeit und Mühe, ist aber der sicherere Weg.

Alle bisherigen Betrachtungen gingen von Schulen mit idealen Voraussetzungen bezüglich der Ausstattung und Internetzugänge aus. Auch wenn in absehbarer Zukunft alle Lehrkräfte in NRW über ein Dienstgerät verfügen sollten, so wird es noch deutlich länger dauern, bis auch Schüler flächendeckend mit Endgeräten und Internetzugängen ausgestattet sind. Schon von daher ist aktuell an vielen Schulen nicht einmal daran zu denken, Distanzunterricht mit einer bestimmten Plattform verpflichtend vorzuschreiben, selbst wenn diese die schul- und datenschutzrechtlichen Bedingungen dafür erfüllen würde.

In Ergänzung siehe auch den Beitrag Distanzunterricht – Leistungsbewertung – Datenschutz

Nachtrag

In der ersten Jahreshälfte 2021 kam es bei den Bezirksregierungen, dem MSB und der Aufsichtsbehörde NRW vermehrt zu Beschwerden und Nachfragen verschiedener Betroffener im Zusammenhang mit der verpflichtenden Nutzung von Videokonferenz Tools. Beschwerden betrafen beispielsweise die Versuche von Schulleitungen, ihre Lehrkräfte zur Erteilung von Distanzunterricht mittels Microsoft Teams zu verpflichten. Auch im Landtag kam das Thema auf die Tagesordnung. Von den verschiedenen Stellen gab es in Folge Aussagen, mit welchen diese ihre rechtliche Einschätzung darstellten.

Bezirksregierung X

So war im Mai beispielsweise der Mitarbeiter einer Bezirksregierung der Ansicht, dass eine Lehrkraft die Software Microsoft Teams zumindest mit Audio im Distanzunterricht gemäß den Weisungen der Schulleitung einzusetzen habe. Eine Rechtsgrundlage wurde dafür nicht genannt.

Ministerium für Schule und Bildung

Auch im MSB äußerte man sich im Mai zur Thematik. Dort vertrat man die Meinung, dass die bestehenden Regelungen in § 122 Abs. 1 S. 3 SchuIG, §1 Abs. 3 S. 2 VO-DV II in Verbindung mit der allgemeinen Regelung des § 3 Abs. 1 DSG NRW ausreichten, Lehrkräfte zur Durchführung von digitalem Unterricht anzuweisen, auch mit einem Videokonferenz Tool, sofern dieses während längerer Schulschließungen im Zuge der Pandemie erforderlich sei, um den Bildungsauftrag zu erfüllen – zur Sicherung des konkreten Unterrichtsgeschehens oder aus anderen pädagogisch-didaktischen Gründen. Voraussetzung für eine dienstliche Verpflichtung, so das MSB, sei jedoch die Ausstattung mit einem dienstlichen Gerät und einem darauf installierten bestimmten Videokonferenz Tool. Sofern diese Bedingungen erfüllt seien, könne die Schulleitung Lehrkräfte zur Nutzung dieses Videokonferenz Tools verpflichtend anweisen. Um welches Videokonferenz Tool es sich dabei handele, sei Entscheidung der Schulleitung.

Landesregierung NRW

Mit Bezug auf Schüler äußerte die Landesregierung im Rahmen der Beantwortung einer kleinen Anfrage im Landtag (Drucksache 17/12894) im März 2021 die Ansicht, dass für Schülerinnen und Schülern das Einschalten der Kamera bei Videokonferenzen einer Einwilligung bedarf, da es um eine Verarbeitung von Audio- und Videodaten mit Personenbezug durch die Schule gehe. Diese Einwilligung, die bei Minderjährigen vor Vollendung des 16. Lebensjahres erteilt werden müsse, könne dann während einer Videokonferenz auch durch Ein- und Ausschalten der Kamera und des Mikrofons (ggf. in Verbindung mit der dazu erteilten Erlaubnis der jeweils Erziehungsberechtigten) gegeben bzw. widerrufen werden.

LDI NRW

Die LDI NRW äußerte sich nicht nur in ihrer Schrift Pandemie und Schule zum Thema Videokonferenzen, sondern auch bei Anfragen und Beschwerden von Betroffenen.

Bei der Aufsichtsbehörde sieht man die Verpflichtung von Lehrkräften durch die Schulleitung, Online-Unterrichtseinheiten per Audio- und Videostream durchzuführen, weniger als eine datenschutzrechtliche, sondern als eine Dienst- und Arbeitsrechtliche Fragestellung. §122 Abs. 4 erlaube es dem MSB, die zur Verarbeitung zugelassenen Beschäftigtendaten zu bestimmen, und dieses erfolge entsprechend in §120, 121 SchulG NRW und VO-DV I & II. Bei der Aufsichtsbehörde sieht man, so wird aus verschiedenen Äußerungen deutlich, vor allem in §120 Abs. 5 SchulG NRW (bezogen auf die Daten der Schüler) und §121 Abs. 1 S. 1 SchulG NRW (bezogen auf die Lehrkräfte), sowie §120 Abs. 7 SchulG NRW (sonstige an der Schule tätige Personen) eine Rechtsgrundlage, auf welche die mit dem Einsatz von Videokonferenz Tools verbundene Verarbeitung von personenbezogenen Daten gestützt werden kann, soweit sie für die Aufgabenerfüllung der Schule erforderlich ist. Die beschriebenen Normen des SchulG NRW seien, so die Ansicht der Aufsichtsbehörde, die Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten, nicht die Einwilligung, welche jederzeit widerrufen werden kann. Die Aufsichtsbehörde macht allerdings auch immer wieder darauf aufmerksam, dass die aktuellen Rechtsgrundlagen weiterer Konkretisierungen bedürfen, etwa welche Daten regelmäßig für den Einsatz von digitalen Lehr- und Lernmitteln verarbeitet werden dürfen.

Kann man Videokonferenz Tools unter die in §120 Abs. 5 und §121 Abs. 1 S. 1 SchulG NRW beschriebenen “digitalen Lehr- und Lernmittel” fassen? Während man bei der Aufsichtsbehörde im oben wiedergegebenen Schreiben von Mai 2021 Videokonferenz Tools als unter die Regelungen fallend beschreibt,  äußert man sich in einem anderen Schreiben von Juli 2021 etwas zurückhaltender. Man geht dort davon aus, dass Videokonferenz Tools im weiteren Sinne unter digitale Lehr- und Lernmittel fallen dürften.6“Durch die in § 120 Abs. 5 (bezogen auf die Daten der Schüler*innen) und § 121 Abs. 1 Satz 1 Schulgesetz Nordrhein‐Westfalen (SchulG) (bezogen auf die Daten der Lehrer*innen sowie gemäß § 121 Abs. 7 SchulG sonstige an der Schule tätige Personen) getroffenen und am 03. Juni 2020 in Kraft getretenen Neuregelungen besteht die Möglichkeit, die mit dem Einsatz von digitalen Lehr‐ und Lernmitteln verbundene Verarbeitung personenbezogener Daten auf diese Erlaubnisnormen zu stützen, soweit sie dies für die Aufgabenwahrnehmung der Schule erforderlich ist. Hierunter dürfte neben dem Einsatz von E‐Learning‐Plattformen auch der Einsatz von Videokonferenztools – als digitale Lehr‐ und Lernmittel im weiteren Sinne – fallen.” Auch wenn das SchulG NRW hier nach Ansicht der Aufsichtsbehörde eine Rechtsgrundlage bietet, die Verarbeitung von personenbezogenen Daten auf die genannten Rechtsgrundlagen zu stützen, so kommt das Thema Datenschutz auf jeden Fall an der Stelle ins Spiel, bei welcher es um die Vorgaben des SchulG NRW und der DS-GVO geht, welche eine Schule bei der Verarbeitung von personenbezogenen Daten einhalten muss. Es braucht einen Vertrag zur Auftragsverarbeitung mit dem Anbieter, so dass die Schule Herrin der Daten sei. Außerdem setze “gerade eine verpflichtende Nutzung voraus, dass die Systeme selbst den datenschutzrechtlichen Anforderungen insbesondere aus Art. 5, 24, 25 und 32 DS‐ GVO genügen sowie ggf. die in Art. 28 DS‐GVO normierten Anforderungen an eine Auftragsverarbeitung erfüllt werden.” Darüber hinaus weist man noch einmal darauf hin, dass die “Betroffenen die entsprechenden Systeme auch tatsächlich nutzen können und die Nutzung nur im zulässigen Umfang möglich ist.”

Was bedeutet das für die Praxis?

Es wird zunächst deutlich, dass die Einschätzungen von Bezirksregierung, MSB und LDI NRW nicht direkt auf einer Linie liegen. Alle drei stimmen darin überein, dass es sich bei der Frage, ob Lehrkräfte zur Nutzung von Videokonferenz Tools zur Erteilung von Distanzunterricht verpflichtet werden können, um eine dienstrechtliche Fragestellung handelt. Ob die bestehenden Rechtsgrundlagen ausreichen, darüber besteht Unsicherheit. Während die LDI NRW davon ausgeht, dass Videokonferenz Tools unter die in § 120 Abs. 5 und § 121 Abs. 1 Satz 1 SchulG NRW beschriebenen digitalen Lehr- und Lernmittel fallen dürften, sofern man den Begriff weit auslegt, ist man sich hier im MSB sicherer. Man weiß dort allerdings auch, dass die von der LDI NRW angemahnten Konkretisierungen noch fehlen. Spezielle Regelungen im SchulG NRW zur Verwendung von Videokonferenz Tools, sind nach Aussagen des MSB von Mai 2021, zwar beabsichtigt, aber noch nicht im Zuge einer Gesetzesänderung verabschiedet. Was sowohl von in den Aussagen der Bezirksregierung wie auch des MSB unerwähnt bleibt, sind die datenschutzrechtlichen Voraussetzungen, welche Plattformen erfüllen müssen, um in Schule verpflichtend eingeführt werden zu können. Diese lassen sich auch nicht mit dienst- und arbeitsrechtlichen Rechtsgrundlagen umgehen, wie nicht nur die oben wiedergegebenen Aussagen der LDI NRW zeigen, sondern auch die Arbeit aller Aufsichtsbehörden auf Bundes- wie Landesebene, wenn es beispielsweise um den Einsatz von Office 365/ Microsoft 365 und Zoom in Behörden und Unternehmen geht.

Bezüglich der Schüler gehen die Aussagen deutlich auseinander. Während man bei der Aufsichtbehörde durchaus eine Möglichkeit sieht, die Verarbeitung von personenbezogenen Daten zur Durchführung einer Videokonferenz auf die schon vorhandene von §120 Abs. 5 SchulG NRW zu stützen, sofern auch die restlichen Voraussetzungen stimmen, orientiert man sich im MSB (Landesregierung) noch deutlich an den Vorgaben von §120 Abs. 6 SchulG NRW und geht von der Erfordernis einer Einwilligung aus.

Die Zeit von Schulschließungen und Distanzunterricht für alle Schülerinnen und Schüler liegt erst einmal hinter uns. Aktuell geht es vor allem um den Distanzunterricht für einzelne Schülerinnen und Schüler in Quarantäne. Dieses scheint vielfach ohne Videokonferenzen zu erfolgen. Die beschriebenen unterschiedlichen Einschätzungen bezüglich der Einhaltung der datenschutzrechtlichen Vorgaben verschiedener Videokonferenz Tools berühren den schulischen Alltag von daher kaum noch. Es bleibt zu hoffen, dass das Land auf absehbare Zeit endlich tragbare Rechtsgrundlagen schafft, so wie dieses in anderen Bundesländern längst geschehen ist. Schulen erhalten dann Rechtssicherheit beim Einsatz von Videokonferenz Tools im Unterricht. Solange das nicht erfolgt, werden im Zweifelsfall die Verwaltungsgerichte eine Klärung herbeiführen müssen, sollte es wieder zu einer vergleichbaren Situation wie während der Schulschließungen kommen.

Stand: 09/2021

Die letzte Überarbeitung dieses Beitrags vom 26.09.2021 berücksichtigt die Entwicklungen seit Beginn des Jahres anhand von Äußerungen aus den Bezirksregierungen, dem MSB und der Aufsichtsbehörde.

Die Überarbeitung dieses Beitrags vom 31.01.2021 berücksichtigt die aktualisierte Fassung der Schrift Pandemie und Schule der LDI NRW vom 20.10.2020 und die Entwurfsfassung von VO-DV I & II.

Informationen zur Datenverarbeitung bei der Ausleihe eines Schülergerätes

Lesezeit: < 1 Minute

Das Ausleihen eines digitalen Endgerätes an Schüler im Rahmen des Sofortausstattungsprogramms des Bundes und des Landes NRW ist ein Vorgang, der separat von der Verwaltung in einem MDM erfolgt. Es ist auch vorstellbar, dass Geräte ohne eine Verwaltung verliehen werden. Die Verwaltung des Ausleihvorgangs selbst stellt eine Datenverarbeitung dar und bedarf der Information gemäß Art. 13 DS-GVO. Eine Einwilligung in die Datenverarbeitung sollte hier nicht erforderlich sein, da sich eine Rechtsgrundlage aus §120 Abs. 1 Satz 1 Schulgesetz NRW in Verbindung mit der Richtlinie über die Förderung von digitalen Sofortausstattungen herleiten lassen sollte. Die Vorlage ist zur Information bezüglich der Datenverarbeitung beim Ausleihvorgang gedacht, wenn die Schule die Ausleihe anstelle des Schulträgers selbst regelt. Sie könnte entsprechend auch auf die Ausleihe von Dienstgeräten für Lehrkräfte angepasst werden.

Vorlagen für IServ

Lesezeit: < 1 Minute

IServ ist ein mittlerweile gut etablierter deutscher Schulserver der vor allem damit glänzen kann, dass er komplett auf nicht-EU Dienste verzichtet. Er setzt sehr stark auf Open-Source Komponenten1BigBlueButton (Videokonferenzen), DAViCal (Kalender-Backend), Etherpad Lite (Texte), FullCalendar (Kalender-Frontend), LibreOffice Online (Office), Matrix (Messenger-Backend), opsi (Softwareverteilung), Symfony (Grundsystem), … Quelle: IServ-Dokumentation.pdf , besteht aber auch aus proprietären Eigenentwicklungen.2Die FOOS Community würde gerne den kompletten IServ “befreit” sehen.

IServ ist ein modulares Server Produkt, welches neben einer lokalen Nutzung auch einen Zugriff über ein Webportal erlaubt. Über die unterrichtliche Nutzung bietet der Server noch Funktionen zur Verwaltung von Geräten und des schulischen Netzwerks. Mittlerweile wird der Server auch als SAAS komplett Cloud basiert angeboten. Auch ein Videokonferenz Modul auf Basis von BigBlueButton ist im Angebot.

Auch wenn IServ spezielle Module wie die Raumbuchung, Curriculum, Kurswahlen, Vertretungs- und Mensa-Pläne und mehr anbietet, ist die Plattform in erster Linie ein Server für die pädagogische Arbeit. Das heißt, es ist nicht möglich, auf einem einzigen IServ sowohl Unterricht als auch schulinterne Verwaltung abzubilden. Wer das tun möchte, braucht eine zweite, kostenpflichtige Instanz. Diese kann durchaus auf dem selben Server betrieben werden, wenn beide Instanzen logisch voneinander getrennt sind, etwa durch Betrieb auf zwei virtuellen Servern. Aber auch hier gibt es Grenzen, die mit dem Sicherheitskonzept des IServ zu tun haben3Im Handbuch heißt es unter 9.5.6 Verschlüsselung – “Die Datenübertragung beim Zugriff auf die IServ Weboberfläche erfolgt immer verschlüsselt. Gespeichert werden die Daten auf den Festplatten des Servers jedoch unverschlüsselt, damit die Benutzer jederzeit von überall aus auf ihre Daten zugreifen können und der Server auch bei einem Stromausfall ohne Eingriff eines Administrators starten kann. Zusätzlich besteht die Möglichkeit, Daten mit erhöhtem Schutzniveau auf dem Server abzulegen, falls diese vor der Übertragung mit einer geeigneten Software verschlüsselt werden. Dazu können beispielsweise passwortgeschützte Zip-Archive oder verschlüsselte Container-Dateien genutzt werden.”.

IServ hält unter https://iserv.eu/downloads/privacy/ zahlreiche Dokumente bereit, welche von Schulen bei der Einführung des Schulservers genutzt werden können. Sehr umfangreiche Informationen zum Datenschutz finden sich auch in der jeweils aktuellsten Version des Handbuches.

Da öfter angefragt, gibt es hier eine kombinierte Nutzungsvereinbarung mit Informationen zur Datenverarbeitung und Einwilligung, einmal in einer Version für Schüler und dann, da die Zahl der genutzten Funktionen hier größer, für Lehrkräfte.

Logineo NRW Messenger, AWS und Datenschutz

Lesezeit: 3 Minuten

Der Messenger, den das Land NRW seinen Schulen kostenlos zur Verfügung stellt, basiert auf dem open source Matrix Protokoll und folgt damit der Landesstrategie, quelloffene Plattformen für Schulen bereitzustellen. Als Dienstleister für den Betrieb der Plattform gewann man die SVA System Vertrieb Alexander GmbH aus Wiesbaden, die dann ihrerseits Amazon Web Services1AWS EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg (AWS), eine EU Tochter des US Konzerns Amazon, als Unterauftragnehmer beauftragte.

Letzteres blieb nicht lange unbemerkt, da es selbstredend im Vertrag zur Auftragsverarbeitung, den Schulen bei der Beauftragung des Messengers mit SVA GmbH abschließen, nachzulesen ist. Und so kam es dann zu einer kleinen Anfrage im Landtag NRW2Es waren genau genommen zwei kleine Anfragen zum Thema, Drucksache 17/10918 und 17/11265 und einem daraus folgenden Bericht bei Westpol. Bei Schulen, die den Messenger schon beauftragt hatten oder dieses planten, führte alles dieses zu großer Verunsicherung. Die Beunruhigung ist verständlich, denn als US Anbieter unterliegt auch AWS mit seinen Serverstandorten in Europa dem US amerikanischem CLOUD-Act. US Ermittlungsbehörden können von US Unternehmen, die Server in der EU betreiben, die Herausgabe von personenbezogenen Daten verlangen. Zwar können diese sich vor Gericht dagegen zur Wehr setzen, wenn das Ansinnen der US Ermittler lokalem Datenschutzrecht widerspricht, doch nicht immer sind US Firmen dabei erfolgreich, und es gibt auch Anfragen, die geheim sind3sogenannte GAG Orders und deshalb nicht gerichtlich abgewehrt werden können.

Die kleine(n) Anfrage(n) wurden Anfang Oktober 2020 von der Landesregierung beantwortet und die Antwort ist als Drucksache MMD17-11271 über das Dokumentenarchiv des Landtags einsehbar. Sie lautet kurz gefasst:

Datenschutzbedenken bestehen […] nicht.

Aus der Antwort erfährt man, dass das Land “einen öffentlich bestellten und vereidigten IT-Sachverständigen einbezogen” hat, um bei der Erstellung einer Leistungsbeschreibung  wie auch der Ausschreibung für den Messenger Unterstützung zu erhalten. Da man zu dem Schluss kam, dass der Messenger nur als Cloud Lösung umsetzbar ist, wurde vom Land NRW bereits im Vergabeverfahren die Nutzung von AWS als Cloud-Anbieter vorgesehen. Man hat sich hier von den projektbetreuenden Fachleuten leiten lassen.

Die projektbetreuenden IT Sachverständigen hatten eine besondere Expertise für die Umsetzung eines Projekts dieser Größenordnung in der AWS-Umgebung. Die Umsetzung mit AWS ermöglicht eine den qualitativen Anforderungen entsprechende Durchführung eines so großen Projekts.

Den CLOUD-Act, dem AWS als US Unternehmen unterliegt, schätzt das Land nicht als Risiko ein und führt dafür drei Gründe an:

  1. Eine Übermittlung von personenbezogenen Daten des Messengers aus der AWS Datenregion nach außerhalb der EU, etwa in die USA ist nur zulässig, wenn der Verantwortliche, hier die Schule, diesem zuvor zustimmt.
  2. Wenn es durch US Ermittlungsbehörden ein Verlangen auf Zugriff auf Daten von Nutzern des Messengers gäbe, dann nur, wenn gegen einen Nutzer des Messengers “ein Ermittlungsverfahren einer amerikanischen Strafverfolgungsbehörde eröffnet werden würde.” Dieses wäre dann ein Rechtsvorgang wie auch in Deutschland, da einem solchen Ermittlungsverfahren “eine rechtmäßige Verfügung einer amerikanischen Ermittlungsbehörde oder eines amerikanischen Gerichts” vorausgehe.4        Diese Einschätzung des CLOUD-Acts dürfte ihresgleichen in der Fachwelt suchen. Die Problematik des CLOUD-Act besteht nicht darin, dass US Ermittler möglicherweise außerhalb von geltendem US Recht handeln. Vielmehr erfolgen Zugriffe von US Ermittlungsbehörden auf der Basis des CLOUD-Act außerhalb von internationalem Recht, wie etwa bei einem Ermittlungshilfeabkommen. Das heißt, es gibt keinen Vertrag zwischen der EU und den USA, durch welchen Zugriffe von US Ermittlungsbehörden auf personenbezogene Daten innerhalb der EU auf der Grundlage des CLOUD-Act legitimiert werden. Dadurch stellen diese Zugriffe einen Verstoß gegen die DS-GVO dar.
    Der Fachjurist Carlo Pilz setzt sich in dem Beitrag Schrems II: US CLOUD Act kein Problem? Zumindest nach Ansicht der Landesregierung NRW mit der Einschätzung des CLOUD-Acts durch die Landesregierung auseinander.
  3. Sollte es zu einem Zugriffsbegehren auf personenbezogene Daten von Nutzern des Messengers kommen, wären die von AWS an US Ermittlungsbehörden herausgegebenen Daten für diese wertlos, da sie einmal durch die Ende-zu-Ende-Verschlüsselung während Übermittlung und Speicherung und zusätzlich durch die vom Dienstleister
    SVA eingerichtete Verschlüsselung der in AWS abgelegten Daten geschützt sind.

Der Kern des Sicherheitskonzeptes von Logineo NRW Messenger ist demnach die Sicherheit des Messengers selbst und darüber hinaus Sicherheitsmaßnahmen des Dienstleisters zum Schutz von Daten, die nicht durch die Funktionalitäten des Messengers selbst geschützt werden. Das Matrix Protokoll gilt als sehr sicher und der Messenger verschlüsselt die Kommunikation der Nutzer automatisch.5In den Unterstützungsmaterialien des MSB wie auch den FAQ wird auf die Bedeutung der Ende-zu-Ende Verschlüsselung hingewiesen und die Sicherung der Schlüssel erklärt. Die Nutzung von AWS lässt sich im Fall des Messengers aus datenschutzrechtlicher Sicht dadurch vertreten, dass die Daten der Nutzer vor Zugriffen durch US Ermittlungsbehörden durch ihre Verschlüsselung ausreichend geschützt sind.

Solange das Matrix Protokoll keine Sicherheitslücken aufweist und die Maßnahmen des Dienstleisters ausreichend sicher sind, sollten aus der Nutzung des Logineo NRW Messengers für Schüler und Lehrkräfte auch mit sensiblen Inhalten keine Risiken entstehen.