Neue Veröffentlichung der LDI NRW – zum Thema Verarbeitung von Gesundheitsdaten durch Schulen

Lesezeit: < 1 Minute

Mit Datum vom 22.03. 2021 hat die LDI NRW eine neue Schrift veröffentlicht, um Klarheit beim Thema Verarbeitung von Gesundheitsdaten in der Schule zu schaffen, hier bezogen auf das Thema Nichtteilnahme am Präsenzunterricht zum Schutz vorerkrankter Angehöriger – Verarbeitung von Gesundheitsdaten durch Schulen.pdf

Im PDF wird gut erklärt, welche Gesundheitsdaten eine Schule in welcher Art und Weise im Zusammenhang mit der Nichtteilnahme von Schülern am Präsenzunterricht zum Schutz vorerkrankter Angehöriger überhaupt erheben darf. Wann darf sie ein ärztliches Attest einfordern und wann ein amtsärztliches Gutachten? Es geht darüber hinaus auch um die oft gestellte Frage, ob die Schule zum Zwecke der Einholung eines amtsärztlichen Gutachtens Daten an das Gesundheitsamt weiterleiten darf. Die Antwort lautet: die Schule benötigt hierfür immer eine Einwilligung der Betroffenen, da es keine Rechtsgrundlage dafür gibt, wie in der Schrift ausführlich erläutert wird.

Die Schrift knüpft an an die im November 2020 erschienene Schrift Maskenpflicht und Masernschutz – Verarbeitung von Gesundheitsdaten durch
Schulen.pdf, welche Schulleitungen rechtliche Hilfestellungen gibt, wenn es um die Verarbeitung von personenbezogenen Daten in den im Titel genannten Zusammenhängen geht. Die Schrift erklärt am Beispiel von verschiedenen Fallkonstellationen, wo die datenschutzrechtlichen Grenzen und Möglichkeiten für das Handeln der Schulleitungen liegen.

Eltern zu einer Besprechung per Videokonferenz einladen

Lesezeit: 2 Minuten

In Zeiten von Corona möchten viele Schulen gerne Elterngespräche in Form von Videokonferenzen anbieten. Es geht dabei sowohl um Elterngespräche in Format 1 zu 1 wie auch Informationsabende, bei denen Eltern über die Arbeit der Schule informiert werden sollen. Auch hierbei ist das Thema Datenschutz zu beachten. Eltern müssen über die zur Teilnahme an einer Videokonferenz erforderliche Datenverarbeitung gemäß Art. 13 DS-GVO informiert werden und dann eine Einwilligung erteilen. Das ist auch der Fall, wenn sie zur Teilnahme an einer Videokonferenz ein bestehendes schulisches Konto ihres Kindes nutzen, da die Einwilligung in die Verarbeitung von personenbezogenen Daten bei der Nutzung dieses Kontos das Kind betraf, nicht aber die Eltern selbst.

Da es sich bei den Teilnehmern um Erwachsene handelt und die Videokonferenzen nur einzelne oder gelegentliche Veranstaltungen sind, kann die Einwilligung durch die Eltern hier auch durch sogenanntes konkludentes Handeln1„Im Zivilrecht spricht man von einer konkludenten Willenserklärung, wenn sie ohne ausdrückliche Erklärung durch schlüssiges Verhalten abgegeben wird. D.h. die Willenserklärung wird aus den Handlungen des Erklärenden abgeleitet.“ Quelle Wiktionary gegeben werden. Die Eltern willigen in die Datenverarbeitung ein, indem sie an der Videokonferenz teilnehmen. Schalten sie dazu beispielsweise die Kamera ein, willigen sie in die Verarbeitung des Bildsignals ein.

Praktische Umsetzung

Die Schule übermittelt den Eltern eine Einladung, in welcher die Informationen zur Datenverarbeitung gegeben werden wie auch die Einwilligungserklärung, letztere jedoch ohne Unterschriftenfeld. Wichtig wie immer bei der Einwilligung ist das Angebot einer Alternative für Eltern, die nicht an einer Videokonferenz teilnehmen möchten.

Beispiel Elterngespräch
Beispiel Informationen über die Schule
Beispiel Elterngespräch

Die Vorlage geht davon aus, dass die Eltern den Zugang des Kindes zu Logineo NRW Messenger für die Videokonferenz mit den Lehrkräften der Schule nutzen.

Hinweis

Bitte achten Sie darauf, dass für Videokonferenzen, in welchen es um vertrauliche oder sensible Inhalte gehen soll, sichere und vertrauenswürdige Anbieter genutzt werden. Ein Vertrag zur Auftragsverarbeitung zwischen Schule und Anbieter sollte vorliegen.

03/2021

Notenkonferenzen per Videokonferenz?

Lesezeit: 7 Minuten

In einem Schreiben an die Bezirksregierungen vom 15.01.2021 zur Weiterleitung an die Schulen macht das MSB auch Aussagen zur Erteilung der Halbjahreszeugnisse im Schuljahr 2020/21 und Anmeldung an den weiterführenden Schulen für das Schuljahr 2021/22.1 Vergleichbare Informationen gibt es auch aus einer Veröffentlichung auf der Website des Schulministeriums vom 18.01.2021.

Dazu gehört auch das Thema Zeugniskonferenzen. Bei den Aussagen hierzu sticht ein Satz hervor.

1. Zeugniskonferenzen und vorbereitende Dienstgeschäfte in den Schulen werden nicht von den Einschränkungen des § 1 Absatz 11 Corona- BetrVO erfasst und sind daher – unter Beachtung der erforderlichen Hygienemaßnahmen – zulässig. Es wird empfohlen, alternative Formen der Durchführung von Konferenzen zu prüfen.

Das MSB empfiehlt, auch wenn es möglich ist, die Schule für Zeugniskonferenzen und vorbereitende Dienstgeschäfte zu betreten, alternative Formen der Durchführung von Konferenzen. Es liegt nahe, dass damit Audio- und Videokonferenzen gemeint sind. Bei den Empfängern entstanden genau an dieser Stelle viele Fragen bezüglich des Datenschutzes. Das Ministerium sah sich dadurch veranlasst, sich noch einmal konkreter zu den datenschutzrechtlichen Aspekten von Notenkonferenzen zu äußern.

1. Teilnahme von Lehrkräften:
Grundsätzlich ist für Video-/Tonaufnahmen eine Einwilligung erforderlich, da Videoaufnahmen in der VO DV II nicht ausdrücklich erlaubt/geregelt sind.
Hier ist aber eine ergänzende Hinzuziehung von § 3 DSG zulässig (§ 122 Absatz 1 Satz 3 SchulG), da es sich um einen „ungeregelten Fall“ handelt, in dem ein Rückgriff auf das allgemeine Datenschutzrecht möglich ist.

Damit ist auf Grund von § 3 DSG bei bestehendem dringendem dienstlichem Bedürfnis in Pandemiezeiten die Teilnahme an einer Videokonferenz mit dem Datenschutz vereinbar.

2. Notendiskussion im Videostream: Zeugnisnoten sind personenbezogene Schülerdaten, die zulässigerweise von Schulen nach § 120 Abs. 1 SchulG und der VO DV I verarbeitet werden dürfen. Danach sind diverse Verarbeitungsformen (mündlich/schriftlich, analog/digital) zulässig. Maßgeblich ist, dass durch informationstechnische und organisatorische Maßnahmen, z.B. Wahl eines insofern geeigneten Videotools, der Schutz der Daten sichergestellt ist.

Wie einer meiner Kollege auf Nachfrage beim MSB erfuhr, ging man beim Verfassen der Ergänzung zum Erlass vom Vorhandensein von Dienstgeräten bei den Lehrkräften aus. Das ist in sofern von Bedeutung, da die Schulleitung nicht über die privaten Endgeräte der Lehrkräfte verfügen kann.

Wie sind diese Aussagen nun zu verstehen?

Für Audio- und Videokonferenzen gibt es in der VO-DV II bisher keine spezifischen Regelungen, die solche auf der Grundlage des Schulgesetzes NRW zulassen oder ausdrücklich eine Einwilligung voraussetzen. Dieses hatte auch die LDI NRW im Mai 2020 in der Schrift Pandemie und Schule ähnlich beschrieben. In der Praxis orientiert man sich stattdessen an den Vorgaben zu Video-/Tonaufnahmen, für die eine Einwilligung erforderlich ist. Siehe hierzu auch den Beitrag Distanzunterricht – rechtliche Vorgaben und Möglichkeiten. Wie die LDI NRW, die in der besonderen Ausnahme von Schulschließungen durch Covid19 eine Möglichkeit sieht, die fehlenden Regelungen, die weder eine ausdrückliche Erlaubnis noch ein Verbot bedeuten, sieht man im MSB deshalb aktuell die Möglichkeit, Zeugniskonferenzen auf §122 Abs. 1 Satz 3 des Schulgesetzes zu stützen. Dieser lautet.

Ergänzend gelten die allgemeinen datenschutzrechtlichen Vorschriften.

Im Schulgesetz NRW, so wird mit diesem Satz noch einmal ausdrücklich bestimmt, finden die allgemeinen datenschutzrechtlichen Vorschriften aus dem DSG NRW und der DS-GVO Anwendung, soweit sich in §120 und §121 keine bereichsspezifischen Datenschutzregelungen finden. In Verbindung mit §3 DSG NRW ist es dann nach Aussagen des MSB, „bei bestehendem dringendem dienstlichem Bedürfnis in Pandemiezeiten die Teilnahme an einer Videokonferenz mit dem Datenschutz vereinbar.“

§ 3
Zulässigkeit der Verarbeitung personenbezogener Daten

(1) Soweit spezialgesetzliche Regelungen nicht vorgehen, ist die Verarbeitung personenbezogener Daten durch öffentliche Stellen zulässig, wenn sie für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe der verarbeitenden Stellen erforderlich ist oder wenn sie in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

Die Verarbeitung von personenbezogenen Daten zur Teilnahme an Videokonferenzen durch die Schule erfolgt dann auf der Rechtsgrundlage von §3 DSG NRW in Kombination mit §122 Abs. 1 Satz 3 SchulG NRW.

Für die Schule entfällt damit die Erfordernis, von Lehrkräften eine Einwilligung zur Teilnahme an einer Videokonferenz einzuholen.

Die Teilnahme wird damit für Lehrkräfte verpflichtend. Wichtig ist dabei jedoch, dass sämtliche der folgende Bedingungen erfüllt sind:

  1. es gibt keine bereichsspezifische Regelung im SchulG NRW zu Videokonferenzen2, die Schulen die Verarbeitung von personenbezogenen Daten zur Durchführung von Videokonferenzen ausdrücklich erlaubt oder verbietet.und
  2. es besteht ein dringendes dienstliches Bedürfnis – und
  3. es herrschen Pandemiezeiten – und
  4. es werden die allgemeinen datenschutzrechtlichen Vorschriften eingehalten – und
  5. die Lehrkräfte verfügen über ein Dienstgerät.

Ist eine der genannten Bedingungen nicht erfüllt, besteht – zumindest aktuell – keine Möglichkeit, Lehrkräfte zur Teilnahme an einer Videokonferenz zu verpflichten. Von besonderer Bedeutung ist dabei Nr. 4, da sich hinter dieser Bedingung eine ganze Reihe von zu erfüllenden Kriterien verbergen.

Videokonferenz – Teilnahme per …

Besteht die Möglichkeit, Lehrkräfte zu einer Teilnahme an Videokonferenzen, wie oben beschrieben zu verpflichten, so ist dieses nicht automatisch mit einer Verpflichtung zur Teilnahme mit Videobild gleichzusetzen, es sei denn es lässt sich eine Erfordernis dazu begründen. In der Regel sollte es ausreichen, wenn Lehrkräfte an einer Videokonferenz ohne Bild teilnehmen, da es weder angemessen ist, darüber die Anwesenheit oder Aktivitäten der Teilnehmer zu kontrollieren, noch dass ihr Bild für Redebeiträge erforderlich wäre. Auch Abstimmungen benötigen kein Bild, da dieses auch über Chat, digitales Handzeigen oder Abstimmungstools möglich und, vor allem bei größerer Teilnehmerzahl, praktikabler ist.3Eine Erfordernis für eine Teilnahme per Videobild könnte sich jedoch daraus ergeben, wenn eine Plattform keine Möglichkeit bietet, die Teilnahme auf authentifizierte Teilnehmer zu beschränken. Dann wäre das Videobild die einzige Möglichkeit, einigermaßen sicher zu kontrollieren, dass nur berechtigte Personen an der Videokonferenz teilnehmen.

Informationen über Datenverarbeitung

Auch wenn die Nutzung einer Videokonferenz unter den beschriebenen Bedingungen keiner Einwilligung bedarf, so gehört zur Erfüllung der  „allgemeinen datenschutzrechtlichen Vorschriften“ die Information der Betroffenen über die Verarbeitung von personenbezogenen Daten gemäß Art. 13 DS-GVO.4Welche Daten werden auf welcher Rechtsgrundlage zu welchen Zwecken verarbeitet? Für welche Dauer werden sie verarbeitet, erfolgt eine Übermittlung an Dritte bzw. wer sind gegebenenfalls die Empfänger, und welche Rechte haben die Betroffenen?

Keine Aufzeichnungen

Es sollte jedem klar sein, dass die vom MSB beschriebene Möglichkeit zur Verarbeitung von personenbezogenen Daten von Lehrkräften zur Durchführung  Videokonferenzen mit verpflichtender Teilnahme nicht die Aufzeichnung von Videokonferenzen einschließt. Diese fallen unter die Vorgaben von §121 Abs. 1 Satz 25“ Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen bedürfen der Einwilligung der betroffenen Personen.“ und sind einwilligungspflichtig. Darunter fallen auch Funktionen einiger Videokonferenzplattformen, die im Hintergrund Aufzeichnungen erstellen, um den Start einer Aufzeichnung durch den Gastgeber unmittelbar umsetzen zu können. Solche Funktionen müssen deaktiviert werden, wenn eine Teilnahme verpflichtend sein soll.

Sicherheit

Ein Aspekt, der auch mit Bezug auf Datenschutz Relevanz hat, ist das Thema Sicherheit, welches unter anderem in Nr. 2 der Erläuterung des MSB angesprochen wird. Das meint nicht nur eine eventuelle Verschlüsselung der Videokonferenz, die aktuell nur bei wenigen Plattformen möglich ist, sondern auch die Kontrolle des Zugangs. Man sollte bei Lehrkräften eigentlich sicher sein können, dass sie ihre Zugangsdaten zu einer Videokonferenz, in welcher es um Noten und Zeugnisse geht, nicht an Dritte weitergeben. Außerdem gibt es bei verschiedenen Plattformen Zugangskontrollen in Form von Warteräumen. Diese schützen jedoch nur begrenzt. Kann man die Teilnehmer nicht sehen, hat man keine hunderprozentige Gewähr, dass auch tatsächlich die berechtigte Person an der Videokonferenz teilnimmt. Dieses könnte man nur sicherstellen, wenn Teilnehmer sich vorher authentifizieren müssen. Das könnte über die Anbindung an eine andere von der Schule genutzte Plattform erfolgen. Einige Anbieter von Videokonferenzlösungen im Zusammenhang mit anderen Plattformen bieten diese Möglichkeit. Auch Moodle kann die Authentifizierung von Nutzern für die Teilnahme an Videokonferenzen übernehmen.

Welche Daten in welcher Plattform?

Vor allem bei der Nutzung der Plattformen von US Anbietern ist bisher immer klar gewesen, dass dabei bestimmte Arten von personenbezogenen Daten außen vor zu bleiben haben. Das ist in allen Bundesländern und sogar der Schweiz und Österreich so, wo der Einsatz von Office 365, G Suite for Education, Apple Classroom und ähnlich nicht grundsätzlich untersagt ist. Überall gilt, eine pädagogische Nutzung ist möglich, wenn dabei darauf geachtet wird, die Verwendung von personenbezogenen Daten auf ein Minimum zu reduzieren. Auch eine Nutzung zur Teamarbeit im Kollegium oder zur Bereitstellung von Dokumentvorlagen und Informationen aus der schulinternen Verwaltung ist möglich, solange dabei keine personenbezogenen Daten im Spiel sind. Nichts zu suchen haben in den Plattformen hingegen personenbezogene Daten im Zusammenhang mit pädagogischer Dokumentation und schulinterner Verwaltung. Bei Noten- und Zeugniskonferenzen geht es aber genau um diese personenbezogenen Daten.

Eine Verarbeitung von Zeugnisnoten über eine Videokonferenzplattform ist auf der Rechtsgrundlage des §120 Abs. 1 SchulG NRW und der VO-DV I möglich, wie im unter Nr. 2 in den Erläuterungen des MSB zum Erlass dargestellt. Es gilt dabei jedoch, wie ebenfalls dort dargestellt, „Maßgeblich ist, dass durch informationstechnische und organisatorische Maßnahmen, z.B. Wahl eines insofern geeigneten Videotools, der Schutz der Daten sichergestellt ist.

Eine Möglichkeit, Daten vor unberechtigtem Zugriff zu schützen, ist die Verschlüsselung. Derzeit unterstützen nur sehr wenige Plattformen eine echte Ende-zu-Ende Verschlüsselung von Videokonferenzen, da diese technisch sehr schwierig zu implementieren ist und mit dem Verlust von Funktionalität einhergeht.6Siehe dazu https://www.datenschutz-notizen.de/ende-zu-ende-verschluesselung-von-videokonferenzen-1825597/  von April 2020 Zoom gehört dazu und auch Jitsi.7Im Januar 2021 ist die Funktionalität der Ende-zu-Ende Verschlüsselung bei beiden Plattformen bereits nutzbar, jedoch noch in der Erprobung. MS Teams, Cisco Webex und Google Meet bieten zwar eine gewisse Verschlüsselung. Das Problem ist dabei jedoch, dass die Schlüssel dafür beim Anbieter liegen und dieser die Videokonferenzen damit problemlos entschlüsseln und dadurch Dritten zugänglich machen könnte oder dass die Videokonferenzen auf dem Server des Anbieters entschlüsselt werden, bevor sie verschlüsselt an die Teilnehmer gehen.

Damit wird auch dieser Sicherheitsaspekt zum Ausschlusskriterium für einige der gängigen Videokonferenz Plattformen.

Wie kann man sich hier behelfen?

Eine Möglichkeit, wie man Noten- und Zeugniskonferenzen auch ohne eine Ende-zu-Ende Verschlüsselung durchführen kann, besteht darin, dass man ohne die Namen der Schüler arbeitet. Alle Lehrkräfte haben Namenlisten mit einer eindeutigen Nummerierung/Kennung vorliegen. Es wird in der Videokonferenz dann nur über Nummern gesprochen, nicht über Namen. Für Dritte sind dann ohne einen unverhältnismäßig hohen Aufwand die Noten und Bemerkungen zu Noten und Zeugnisse, die im Laufe der Konferenz genannt werden, keiner identifizierbaren Person zuzuordnen.

Eine Frage der Plattform

Da durch die Möglichkeit, eine Verarbeitung von personenbezogenen Daten zur Durchführung von Videokonferenz auf der Grundlage von §3 DSG NRW nicht gleichzeitig alle anderen datenschutzrechtlichen Vorschriften außer Kraft gesetzt werden, kommt der Auswahl der Plattform durchaus eine Bedeutung zu.

(Vermutlich) nicht DS-GVO konform

Eine Plattform, bei der zweifelhaft ist, ob sie DS-GVO konform nutzbar ist, hält demnach die „allgemeinen datenschutzrechtlichen Vorschriften“ vermutlich nicht vollständig ein. Damit wäre eine der 4 Bedingungen nicht erfüllt und die Plattform könnte nicht genutzt werden, um Lehrkräfte zu einer Teilnahme an Videokonferenzen zu verpflichten. Die Zahl der Videokonferenz Plattformen, bei denen die DS-GVO Konformität angezweifelt wird, ist nicht klein.8Dazu gehören dürften dann auch Plattformen gehören, deren Nutzung vom MSB als „bedenklich“ eingestuft wird oder Plattformen, die auf der Liste der Berliner Aufsichtsbehörde schlecht davon gekommen sind. Es gibt Schulen und Schulträger, die Gutachten haben anfertigen lassen von Fachkanzleien, die den von ihnen genutzten Plattformen eine DS-GVO Konformität attestieren. Im Streitfall entscheiden hier letztlich die Gerichte, falls es an einer Schule soweit kommt.

Vertrag zur Auftragsverarbeitung

Um die allgemeinen datenschutzrechtlichen Vorschriften zu erfüllen, ist auch der Abschluss eines Vertrags zur Auftragsverarbeitung9Im nicht deutschsprachigen Raum meist als Data Processing Addendum oder Data Processing Agreement bezeichnet. gemäß Art. 28 DS-GVO mit dem Anbieter der Videokonferenz Plattform zwingend erforderlich. Eine Plattform, deren Anbieter diesen Vertrag nicht anbietet, scheidet für eine Durchführung von Noten- und Zeugniskonferenzen per Videokonferenz aus.

Einwilligung erforderlich

Einige Plattformen erfordern zur Aktivierung eines Nutzerkontos eine Einwilligung in die Verarbeitung von personenbezogenen Daten. Dazu gehören die drei Logineo NRW Plattformen und damit auch der Messenger, bei dem es seit kurzem das Modul Videokonferenz mit Jitsi gibt. Da eine Einwilligung immer nur freiwillig sein kann, um rechtswirksam zu sein, ist es damit nicht möglich, die Nutzung einer solchen Plattform verpflichtend vorzuschreiben. Solange bei Logineo NRW Messenger diese Erfordernis zur Einwilligung nicht technisch deaktiviert wird, ist eine verpflichtende Nutzung ausgeschlossen. Gleiches gilt für Plattformen mit vergleichbarem Vorgehen.10Hinweis: Die Kernaussage dieses Abschnitts bezieht sich nur auf die Einwilligung in die Verarbeitung von personenbezogenen Daten, nicht auf die Einwilligung oder Annahme einer Nutzungsvereinbarung.

Wo es möglich wäre

Auf den ersten Blick scheint es, dass eine verpflichtende Teilnahme an Videokonferenzen, wie oben beschrieben, mangels geeigneter Plattformen, welche die „allgemeinen datenschutzrechtlichen Vorschriften“ einhalten, gar nicht möglich ist. Aber es gibt Plattformen, mit denen sich die Vorgaben recht gut einhalten lassen. Dazu gehören BigBlueButton und Jitsi, wie sie von verschiedenen Unternehmen angeboten werden. Mehr zu den Plattformen im Datenschutz Check.11Dort sind beispielhaft auch einige Anbieter genannt. Je nach Anbieter können diese Videokonferenz Lösungen auch an andere Plattformen angedockt werden, die sich dann zur Authentifizierung nutzen lassen. Es gibt außerdem auch Plattformen und Apps, die Videokonferenzen als ein integriertes Modul anbieten. Solange zur Nutzung der Videokonferenz Lösungen, ob als Stand-alone Lösung oder als Bestandteil einer größeren Lösung keine Einwilligung in die Verarbeitung von personenbezogenen Daten erforderlich ist, und sie auch sonst den allgemeinen datenschutzrechtlichen Vorschriften entsprechen, ließen sich für eine Schule damit die zu Beginn beschriebenen Möglichkeiten umsetzen.

Bei einem vertrauenswürdigen Anbieter, der seine Videokonferenz Plattform mit Vertrag zur Auftragsverarbeitung in einem sicheren Serverzentrum betreibt und die Plattform sicher und datenschutzkonform konfiguriert hat, ist es vertretbar, wenn Videokonferenzen auch ohne eine echte Ende-zu-Ende Verschlüsselung durchgeführt werden. Bei Anbietern, die ihre Plattform auf der Basis von Jitsi betreiben und Ende-zu-Ende Verschlüsselung bereits implementiert haben, wäre es möglich, diese zu aktivieren.12Hinweis: Die Ende-zu-Ende Verschlüsselung wird aktuell nicht von allen Browsern unterstützt.

Fazit

Das MSB eröffnet Schulen für den Ausnahmefall der Pandemie die Möglichkeit, Videokonferenzen als Alternative zu Präsenztreffen zu nutzen, um bei bestehendem dringendem dienstlichem Bedürfnis zumindest mit Noten- und Zeugniskonferenzen durchzuführen. Dieses setzt jedoch voraus, dass dazu einige Bedingungen erfüllt werden. Neben der in Erlass und Erläuterungen unerwähnten aber vorausgesetzen Ausstattung der Lehrkräfte mit Dienstgeräten müssen auch die allgemeinen datenschutzrechtlichen Vorschriften eingehalten werden. Mit Blick auf die aktuell an Schulen genutzten Plattformen wird dann jedoch schnell deutlich, dass viele dieser Plattformen die erforderlichen Voraussetzungen nicht vollständig erfüllen werden. Schulen, die versuchen, eine verpflichtende Teilnahme mit diesen Plattformen mit Bezug auf den Erlass und die ergänzenden Erläuterungen des MSB bei ihren Lehrkräften durchzusetzen, laufen dabei Gefahr, gegen geltendes Recht zu verstoßen. Letzte Klärung wird in solchen Fällen dann, falls es soweit kommt, ein Verwaltungsgericht herbeiführen.

Für eine Übertragung auf andere Zusammenhänge, etwa gewöhnliche Lehrerkonferenzen, oder den Unterricht scheint diese vom MSB ausdrücklich unterstützte Ausnahmeregelung nicht geeignet. Siehe dazu auch Distanzunterricht – rechtliche Vorgaben und MöglichkeitenDistanzunterricht – rechtliche Vorgaben und Möglichkeiten und Teilnahme am Unterricht über Video – geht das?

 

Stand 01/2021

Distanzunterricht – rechtliche Vorgaben und Möglichkeiten

Lesezeit: 10 Minuten

Dieser Beitrag ist eine überarbeitete und auf die aktuelle Rechtslage im Januar 2021 angepasste Version des älteren Beitrags Teilnahme am Unterricht über Video – geht das?

Das Land befindet sich im Lockdown, die Schulen sind weitestgehend geschlossen und Unterricht muss als Distanzunterricht erteilt werden. Für Schulen stellt sich die Frage, wie dieser Distanzunterricht organisiert werden kann. Nahezu jeder denkt dabei an Distanzunterricht über eine Videokonferenz Plattform, zumeist kombiniert mit weiteren Plattformen. In diesem Beitrag soll aus datenschutzrechtlicher Sicht betrachtet werden, welche Möglichkeiten sich aus den verschiedenen Rechtstexten ergeben und wo die Grenzen liegen.

Maßgeblich ist für die Organisation und Erteilung von Distanzunterricht die Zweite Verordnung zur befristeten Änderung der Ausbildungs- und Prüfungsordnungen gemäß § 52 SchulG1https://bass.schul-welt.de/19272.htm. Diese wird ergänzt zur Erläuterungen im Faktenblatt zur Wiederaufnahme eines angepassten Schulbetriebs in Corona-Zeiten zu Beginn des Schuljahres 2020/20212https://www.schulministerium.nrw.de/system/files/media/document/file/Faktenblatt%20angepasster%20Schulbetrieb%20Schuljahresbeginn%202020%2021.pdf.

Es gibt in beiden Dokumenten jeweils einen Satz, der etwas zum digitalen Format des Distanzunterrichts aussagt.

In der ​Zweiten Verordnung zur befristeten Änderung​ ​der Ausbildungs- und Prüfungsordnungen gemäß § 52 SchulG​ heißt es unter §3 Abs. 6

“​Distanzunterricht ​soll​ digital erteilt werden, ​wenn​ die Voraussetzungen dafür erfüllt sind.​”

Dazu findet sich im ​Faktenblatt angepasster Schulunterricht​ auf S. 11 eine Präzisierung.

“Distanzunterricht soll dann digital erteilt werden, wenn die Voraussetzungen hierfür vorliegen, also ​insbesondere eine ausreichende technische Ausstattung der Schülerinnen und Schüler sowie der Lehrkräfte gewährleistet ist​.”

Demnach setzt digitaler Distanzunterricht eine technische Ausstattung der Beteiligten voraus. Was gehört zu einer ausreichenden technischen Ausstattung? Es braucht:

  • digitale Endgeräte bzw. Zugangsgeräte​, die dem Stand der Technik entsprechen. Dazu gehören Tablet, Notebook, Laptop und Computer. Ein Smartphone ist bedingt durch die geringe Bildschirmgröße weniger geeignet (und dürfte von daher eher keine ausreichende technische Ausstattung darstellen) sowie
  • eine ​ausreichende Internetanbindun​g über einen Anschluss zu Hause, in der Schule oder einen Mobilzugang.

Außerdem braucht es von Seiten der Schule:

  • Plattformen, Software, Apps​ – über die der digitale Distanzunterricht organisiert und durchgeführt werden kann. Dazu gehören LMS, Schulserver, Cloud Speicher, Arbeitsplattformen, Videokonferenz Plattformen, Messenger, …

Das heißt, wenn Schülerinnen und Schüler sowie Lehrkräfte über eine ausreichende technische Ausstattung in Form von geeigneten Zugangsgeräten und Internetzugängen verfügen, um am Distanzunterricht teilzunehmen bzw. diesen zu erteilen, dann soll er digital erteilt werden.

In diesem Zusammenhang sind auch die Initiativen des Landes zu sehen, über welche Leihgeräte für bedürftige Schüler und Dienstgeräte für Lehrkräfte an den Schulen zur Verfügung gestellt werden sollen.

Für den Fall, dass die Voraussetzungen nicht erfüllt sind, womit hier jedoch nicht nur eine nicht ausreichende technische Ausstattung gemeint ist, stellt die Schule in Absprache mit dem Schulträger gem. §3 Abs. 7 Schülerinnen und Schülern Räumlichkeiten für die Teilnahme am Distanzunterricht zur Verfügung.

“Soweit nötig, stellt die Schule den Schülerinnen und Schülern zur Sicherung eines chancengerechten und gleichwertigen Lernumfelds im Einvernehmen mit dem Schulträger Räume für den Distanzunterricht zur Verfügung.”

Die Zweite Verordnung und das sie ergänzende Faktenblatt betrachten die Voraussetzungen für die Erteilung bzw. Teilnahme an einem digitalen Distanzunterricht von den materiellen Voraussetzungen her, den Endgeräten, Online-Zugängen und wenn auch nicht direkt genannt, den der Schule zur Verfügung stehenden Plattformen. Es werden dabei jedoch keinerlei Aussagen zur Form des digitalen Distanzunterrichtes gemacht. Die Spanne der vorstellbaren Formen von digitalem Distanzunterricht reicht hier von der Übermittlung und Rückübermittlung von Arbeitsmaterialien per E-Mail bis zur Durchführung des Distanzunterrichts mittels LMS und Videokonferenz Plattform oder einer Arbeits- und Kommunikationsplattform mit integrierter Videokonferenzlösung.

Das Thema Datenschutz beim digitalen Distanzunterricht

Auch wenn an keiner Stelle in der Zweiten Verordnung das Thema Datenschutz erwähnt wird, so ist klar, dass auch dieser bei den Überlegungen zur Form des digitalen Distanzunterrichts eine Rolle spielt.

Um die weiteren Betrachtungen diesbezüglich zu vereinfachen, gehe ich von folgender, idealer Situation aus: die Schule XYZ hat alle Lehrkräfte mit Dienstgeräten und alle Schülerinnen und Schüler mit digitalen Endgeräten ausgestattet. Alle Lehrkräfte und Schüler haben einen guten und zuverlässigen Internetzugang zu Hause und einen Arbeitsplatz, von dem aus sie ungestört arbeiten können. Die Schule nutzt die Landesplattformen Logineo NRW LMS und Messenger sowie ein im Auftrag von einem deutschen Anbieter betriebenes BigBlueButton als Videokonferenzlösung.

Die Schule möchte die Nutzung der drei Plattformen für alle verbindlich, d.h. verpflichtend, vorschreiben. Ein Beschluss der Schulkonferenz wird hierzu herbeigeführt.

Die Schule ist sich sicher, sie ist auf dem richtigen Weg, denn der neue Absatz 5 in §120 SchulG NRW eröffnet Schulen jetzt die Möglichkeit, digitale Lehr- und Lernplattformen verpflichtend einzuführen.

“Die Schule darf für den Einsatz digitaler Lehr- und Lernmittel personenbezogene Daten der Schülerinnen und Schüler und der Eltern verarbeiten, soweit dies für die Aufgaben der Schule erforderlich ist.”

Aber so einfach ist das dann leider doch nicht. Warum?

Keine Verpflichtung bei Einwilligung

Die beiden Landesplattformen Logineo NRW LMS und Logineo NRW Messenger erfordern beide eine Einwilligung der Nutzer in die Verarbeitung von personenbezogenen Daten beim ersten Login. Gemeint sind damit Daten, die freiwillig eingestellt werden und nichts mit Schule und Unterricht zu tun haben, etwa ein persönliches Profil oder eine private Kommunikation. Eine Einwilligung kann nur rechtswirksam sein, wenn sie freiwillig ist. Damit ist eine verpflichtende Nutzung nicht mehr möglich. Die Einwilligung ist nicht zu umgehen und wäre, wenn sie verpflichtend abgegeben werden müsste, nicht mehr freiwillig.

Dieses Problem lässt sich nur dann beseitigen, wenn man in den Logineo NRW Plattformen zukünftig die Erfordernis zur Einwilligung technisch deaktiviert und eine Nutzung mit privaten Daten entweder komplett untersagt oder die Einwilligung für eine Nutzung mit privaten Daten als Option anbietet. Aktuell ist eine solche Änderung der Plattformen nicht absehbar.3Es müsste zudem eine neue Dienstvereinbarung mit den Hauptpersonalräten geben, denn in der bisherigen mit Stand vom 21.10.2020 heißt es ausdrücklich: „Die Nutzung von LOGINEO NRW ist freiwillig und setzt eine Einwilligungserklärung der jeweiligen Nutzerin/des jeweiligen Nutzers bzw. deren/dessen gesetzlicher Vertretung voraus.“ Hinweis: die Dienstvereinbarung bezieht sich aktuell nur auf die Basisplattform Logineo NRW, nicht das LMS und den Messenger. Es ist jedoch zu erwarten, dass unter aktuellen Bedingungen Dienstvereinbarungen bezüglich dieser beiden Plattformen oder eine Erweiterung der bestehenden Vereinbarung um diese Plattformen vergleichbare Regelungen bezüglich der Freiwilligkeit enthielten.

BigBlueButton ist ein Musterbeispiel für eine datenschutzfreundliche Videokonferenz Plattform. Sie ist open source und lässt sich sicher und datensparsam betreiben. Trotzdem ist eine verbindliche Nutzung auch hier momentan nicht möglich. Dafür gibt es mehrere Gründe.

Schulgesetz NRW und Videokonferenzen

Das Thema Videokonferenzen ist ein ungeregelter Bereich, denn im  Schulgesetz NRW finden sich dazu keinerlei konkrete Vorgaben. Aussagen gibt es lediglich zu Aufnahmen des Unterrichts.

In der neuen Fassung des Schulgesetzes von Mai 2020 sind Aufnahmen des Unterrichts gemäß §120 Abs. 6 nur mit Einwilligung der Betroffenen zulässig.

„Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen bedürfen der Einwilligung der betroffenen Personen. Die Einwilligung muss freiwillig erteilt werden. Den betroffenen Personen dürfen keine Nachteile entstehen, wenn sie eine Einwilligung nicht erteilen.“

Ein entsprechender Passus findet sich auch für §121 Abs. 1. Satz 2 bezüglich der Rechte der Lehrkräfte.

Auch wenn Streaming von Bild und Ton im Rahmen einer Video- oder Audiokonferenz keine Aufzeichnung darstellt, könnte man sich an dieser Vorgabe orientieren, denn auch die Teilnahme am Distanzunterricht ist verpflichtend wie die im Präsenzunterricht. Es kommt hinzu, dass vor allem eine Teilnahme an einer Videokonferenz einen deutlichen Eingriff in die Privatsphäre der Teilnehmer darstellt.

Orientiert man sich an den Vorgaben des Schulgesetzes NRW zu Bild- und Tonaufzeichnungen des Unterrichts, so ist kaum vorstellbar, dass für Video- und Audiokonferenzen völlig andere Regelungen gelten, zumal es an keiner Stelle im Schulgesetz, den anhängigen Verordnungen, Erlassen und anderen Schriften des Ministeriums Aussagen gibt, die eine andere Handhabung möglich erscheinen lassen.

Die LDI NRW und Videokonferenzen im Distanzunterricht

In der ursprünglichen Version der Schrift Pandemie und Schule – Datenschutz mit Augenmaß vom Mai 2020 sah die LDI NRW eine Möglichkeit, im Ausnahmefall der Pandemie in sehr engen Grenzen die Nutzung von Videokonferenzplattformen verbindlich vorzuschreiben. „Die Durchführung von Videokonferenzen einschließlich der damit verbundenen erforderlichen Datenverarbeitung könnte temporär auf die o.g. schulrechtlichen in Generalklauseln in § 120 Abs. 1 Satz 1 und 121 Abs. 1 Satz 1 SchulG gestützt werden, soweit es die Schulleitung während der Schulschließungen und der weitgehenden Kontaktverbote zur Aufrechterhaltung des Unterrichts- und Schulbetriebs für erforderlich erachtet, derartige Videokonferenzen durchzuführen.” Im Oktober 2020 erschien eine überarbeitete Fassung der Schrift Pandemie und Schule – Datenschutz mit Augenmaß 4https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Schule_-Videokonferenzsysteme-und-Messenger-Dienste-waehrend-der-Corona-Pandemie/LDI-NRW—Pandemie-und-Schule-20_10_2020.pdf Mit der aktualisierten Fassung wurden die zwischenzeitlich erfolgte Überarbeitung des SchulG NRW mit der Neueinführung von §120 Abs. 5 und §121 Abs. 1 Satz 1 berücksichtigt. Darauf nimmt die LDI NRW nun Bezug.

“Zum anderen besteht durch die oben erwähnten Neuregelungen in §120 Abs. 5 und §121 Abs. 1 Satz 1 SchulG auch die Möglichkeit, die mit der Durchführung von Videokonferenzen verbundene Datenverarbeitung auf diese Erlaubnisnormen zu stützen, soweit sie für die Aufgabenwahrnehmung der Schule erforderlich ist.”

Dabei dürfte aber der Teil „soweit es für die  erforderlich Aufgabenwahrnehmung der Schule erforderlich ist“ in der Praxis anfechtbar sein. Sind Videokonferenzen zwingend erforderlich, um den Unterrichts- und Schulbetrieb aufrecht zu erhalten? Muss dabei auch die Kamera eingeschaltet sein? Diese Schrift erschien nach der Verabschiedung der Zweiten Verordnung zur befristeten Änderung der Ausbildungs- und Prüfungsordnungen gemäß § 52 SchulG, die eine solche Möglichkeit an keiner Stelle erwähnt. Auch das SchulG NRW in der überarbeiteten Version und die bisher bekannte Entwurfsfassungen von VO-DV I und II machen keine Aussagen zum Thema Videokonferenzen.

Selbst wenn man davon ausgeht, dass es der Schulleitung möglich wäre, die Nutzung einer Plattform für Video- und Audiokonferenzen „zur Aufgabenwarnehmung der Schule„, wie von der LDI NRW beschrieben, verpflichtend vorzugeben, so stellt sich die Frage, mit welchen Plattformen dieses überhaupt möglich wäre? In ​Pandemie und Schule​ gibt die LDI NRW Kriterien vor, welche eingehalten werden müssen, wenn eine Schule im Ausnahmefall die Nutzung einer Videokonferenzplattform verpflichtend vorgeben möchte:

“Zum einen ist zu beachten, dass dieser Ansatz überhaupt nur zum Tragen kommen kann, soweit die Verarbeitung der hierfür erforderlichen Daten entsprechend der gesetzlichen Vorschrift im Verantwortungsbereich der Schule erfolgt, d.h. sie selbst die Daten verarbeitet oder durch Regelungen in einem Auftragsverarbeitungsvertrag sichergestellt ist, dass sie „Herrin der Daten“ ist. Zum anderen setzt gerade eine verpflichtende Nutzung voraus, dass gewährleistet ist, dass alle Betroffenen die digitalen Module auch tatsächlich und zudem nur im zulässigen Umfang nutzen können;

Ob die Schule tatsächlich voll und ganz „Herrin der Daten“ ist, dürfte selbst bei Vorliegen eines Vertrag zur Auftragsverarbeitung gerade bei Plattformen von US Anbietern nicht unstrittig sein. Und auch die Nutzung im zulässigen Umfang wird vor allem bei Videokonferenz Plattformen von verschiedenen Seiten stark angezweifelt. Eine Kontrolle, ob Teilnehmer an einer Videokonferenz heimlich Screenshots oder Mitschnitte anfertigen, ist im Anwendungsfall Distanzunterricht kaum möglich. Nutzer können nur zu verantwortungsvollem Verhalten angehalten werden. Eine Verpflichtung, sich an verabredete Regeln zu halten, kann dazu beitragen, und kann der Schule im Fall eines Verstoßes eine rechtliche Handhabe bieten, Sanktionen gegen Schüler einzuleiten, eine missbräuchliche Nutzung verhindern, kann allerdings nichts davon.

Bezüglich der im Schulgesetz NRW beabsichtigten und mittlerweile im oben beschriebenen Abs. 5 § 120 umgesetzten Rechtsvorgabe zur verpflichtenden Einführung von Unterrichtsplattformen mahnt die LDI NRW in der Schrift Pandemie und Schule an, dass in der Überarbeitung von VO-DV I & II eine

“Festschreibung, welche konkreten Daten regelmäßig für den Einsatz der E-Learning-Plattformen verarbeitet werden dürfen.”

erfolgt.

Die LDI NRW deutet an, in welche Richtung dabei gedacht ist.

“Weiterhin ist aus Sicht der LDI NRW bei der Umsetzung insbesondere maßgeblich, dass eine Datenverarbeitung auch tatsächlich nur im Rahmen des Erforderlichen erfolgt. Als ein Beispiel sei die Protokollierung der Systemzugriffe genannt. Diese ist aus datenschutzrechtlicher Sicht erforderlich, um die Sicherheit der Systeme zu gewährleisten; nicht erforderlich und damit unzulässig ist dagegen, dass Lehrkräfte Zugriff auf die Protokolldaten erhalten, um das Arbeitsverhalten ihrer Schülerinnen und Schüler zu kontrollieren.“

Die angemahnte Festschreibung in der Überarbeitung von VO-DV I & II steht aktuell noch aus. In der Entwurfsfassungen von VO-DV I und II findet sich jedoch ein Abschnitt, in welchem die Verarbeitung von Protokolldaten geregelt ist.5„Beim Einsatz digitaler Lehr- und Lernmittel, digitaler Kommunikationsmittel sowie IT-Infrastrukturen ist die Verarbeitung der zum Betrieb erforderlichen Protokolldaten zulässig.“Damit sollte das MSB die Forderung der LDI NRW umgesetzt haben. Noch offen ist momentan, wie weit der Begriff der digitalen Lehr- und Lernmittel, welchen die LDI NRW als E-Learning-Plattformen bezeichnet, zu verstehen ist. Von daher ist gegenwärtig trotz §120 Abs. 5 SchulG NRW noch unsicher, wie sich die dort eröffneten Möglichkeiten zur verpflichtenden Einführung von Unterrichtsplattformen rechtssicher umsetzen lassen.

Was heißt das für die Praxis?

Ist Präsenzunterricht nicht oder nur eingeschränkt möglich, so findet er gemäß der Zweiten Verordnung „mit räumlicher Distanz in engem und planvollem Austausch der Lehrenden und Lernenden statt (Distanzunterricht).“ Sind dabei die Voraussetzungen auf Seiten von Schülern und Lehrkräften vor allem mit Blick auf die technische Ausstattung erfüllt, soll der Distanzunterricht „digital erteilt werden.“ Welches Format der digitale Distanzunterricht dabei hat, ist an keiner Stelle definiert. Die Spannbreite möglicher Formate ist groß.

Digitaler Distanzunterricht ist in seinen Möglichkeiten durch die schulrechtlichen Vorgaben zum Datenschutz und übergeordnete datenschutzrechtliche Regelungen begrenzt. Auch wenn die Teilnahme am Distanzunterricht bzw. dessen Erteilung für Schüler wie Lehrkräfte durch die Vorgaben aus der Zweiten Verordnung zweifelsfrei verpflichtend ist, lässt sich aus dieser Verpflichtung für Schulen keine Berechtigung ableiten, dazu die Nutzung einer digitalen Plattform zwingend vorzugeben, sofern diese nicht den datenschutzrechtlichen Vorgaben, denen Schulen unterliegen, genügt.

Unter der Voraussetzung, dass eine „ausreichende technische Ausstattung der Schülerinnen und Schüler sowie der Lehrkräfte gewährleistet ist„​ müssten aus datenschutzrechtlicher Sicht die folgenden Bedingungen erfüllt sein, um die Nutzung einer bestimmten Plattform im Distanzunterricht verpflichtend vorschreiben zu können:

  • die Plattform müsste von der Schule selbst betrieben oder mit Vertrag zur Auftragsverarbeitung von einem Dienstleister bereitgestellt werden,
  • ihre Nutzung müsste in dem von SchulG NRW und DS-GVO gesteckten Rahmen möglich sein,
  • bei ihrer Nutzung dürften nur personenbezogene Daten im Rahmen des Erforderlichen verarbeitet werden, und
  • sie müsste so angelegt sein oder voreingestellt werden können, dass sie sich von Schülern und Lehrkräften nur im zulässigen Umfang nutzen ließe.

Außerdem wären bei einer verpflichtenden Einführung gegebenenfalls auch die Beteiligungsrechte gemäß LPVG zu berücksichtigen und die Plattform sollte durch Beschluss der Schulkonferenz eingeführt werden.

Es ist an dieser Stelle hoffentlich deutlich geworden, dass es vermutlich nur sehr wenige Plattformen gibt, mit denen sich alle diese Bedingungen zweifelsfrei erfüllen lassen. Dazu könnten beispielsweise ein Moodle zählen, eine NextCloud oder ein Messenger, welche die Schule selbst betreibt oder im Auftrag betreiben lässt, bei denen datenschutzfreundliche Voreinstellungen gewählt sind und bei deren Nutzung es untersagt ist, private Daten einzustellen, sofern für deren Verarbeitung keine gesonderte Einwilligung erteilt wurde. Es wird sicherlich auch andere kommerzielle entwickelte Plattformen geben wie z.B. spezielle Schul Apps, welche die beschrieben Bedingungen erfüllen können. Unter den gegebenen schul- und datenschutzrechtlichen Bedingungen gibt es, wie oben deutlich geworden sein sollte, aktuell keine spezifische Regelung, aus welcher sich eine verpflichtende Nutzung von Videokonferenz Plattformen herleiten lässt. Es bleibt, wenn überhaupt, eine sehr weite Auslegung von §120 Abs. 5 und § 121 Abs. 1 Satz 1, um eine Verpflichtung im Rahmen „der Aufgabenwahrnehmung der Schule“ zu begründen.

Außen vor bleiben für eine verpflichtende Nutzung im Distanzunterricht außerdem alle Plattformen, deren Nutzung eine Einwilligung voraussetzt, wie gegenwärtig die Logineo NRW Plattformen, und Plattformen, deren Nutzung nicht zweifelsfrei DS-GVO konform möglich ist. Solange das Land NRW keine Lösung mit den jeweiligen Anbietern aushandelt, so wie Baden Württemberg dieses aktuell für Office 365 versucht, fallen darunter leider auch Plattformen wie Microsoft Teams, Office 365, G Suite for Education und Apple Classroom.

Angebot statt Verpflichtung

Viele Schulen setzen auf die Plattformen von US Anbietern. Die Gründe dafür sind verschieden und für die weiteren Überlegungen nicht von Bedeutung. Wenn eine Schule z.B. auf MS Teams setzt, um damit den Distanzunterricht im digitalen Format zu erteilen, dann kann dieses immer nur ein Angebot sein. In vielen Fällen werden Lehrkräfte und Schüler bzw. deren Eltern eine Einwilligung erteilen, sei es dass sie von der Plattform überzeugt sind und die Risiken durch eine Nutzung für sich für vertretbar halten oder dass sie in Zeiten von Distanzunterricht Datenschutzbedenken zurückstellen. Es wird jedoch auch immer wieder Lehrkräfte, Schüler und Eltern geben, die nicht bereit sind, sich zur Nutzung der Plattform für sie unkalkulierbaren Risiken auszusetzen. Das ist ihr gutes Recht, solange eine Plattform die oben beschriebenen Bedingungen nicht zweifelsfrei erfüllt oder ihre Nutzung durch eine Rechtsvorgabe es Landes eindeutig vorgeschrieben ist.

Schulen kann nur dringend davon abgeraten werden, Druck auf einzelne Lehrkräfte, Schüler oder Eltern auszuüben, eine Einwilligung zu erteilen und die Plattform zu nutzen. Mir sind Fälle bekannt, in denen Schulen Betroffene, die eine Nutzung der Plattform verweigern, regelrecht schikanieren und ihnen das Leben erschweren. Auch wenn es möglich wäre, Arbeitsmaterialien anstatt über MS Teams per E-Mail zu übermitteln, werden Betroffene genötigt, diese persönlich bei der Schule abzuholen. Schüler werden gedrängt, in MS Teams auch die Kamera einzuschalten, damit man sie sehen kann. So etwas geht nicht und kann für Schulen und hier an erster Stelle die Schulleitung rechtliche Folgen haben, wenn die Betroffenen die Datenschutzaufsicht einschalten oder vor einem Verwaltungsgericht klagen. Dass Eltern hier von ihren Rechten Gebrauch machen werden, ist vor allem dann nicht unwahrscheinlich, wenn ihre Kinder durch eine Nichteinwilligung Nachteile erfahren, die das Lernen beeinträchtigen und zu schlechteren Leistungen führen.

Schulen sollten offen und ehrlich informieren über die Plattformen, welche sie für den Distanzunterricht nutzen möchten und Alternativen vorbereiten, so dass Lehrkräfte, Schüler und Eltern eine echte Wahlmöglichkeit haben und ihnen aus einer Nicht-Einwilligung keine Nachteile entstehen. Das bedeutet für die Schule eventuell zusätzliche Arbeit und Mühe, ist aber der sicherere Weg.

Alle bisherigen Betrachtungen gingen von Schulen mit idealen Voraussetzungen bezüglich der Ausstattung und Internetzugänge aus. Auch wenn in absehbarer Zukunft alle Lehrkräfte in NRW über ein Dienstgerät verfügen sollten, so wird es noch deutlich länger dauern, bis auch Schüler flächendeckend mit Endgeräten und Internetzugängen ausgestattet sind. Schon von daher ist aktuell an vielen Schulen nicht einmal daran zu denken, Distanzunterricht mit einer bestimmten Plattform verpflichtend vorzuschreiben, selbst wenn diese die schul- und datenschutzrechtlichen Bedingungen dafür erfüllen würde.

Stand: 02/2021

Die letzte Überarbeitung dieses Beitrags vom 31.01.2021 berücksichtigt die aktualisierte Fassung der Schrift Pandemie und Schule der LDI NRW vom 20.10.2020 und die Entwurfsfassung von VO-DV I & II.

Informationen zur Datenverarbeitung bei der Ausleihe eines Schülergerätes

Lesezeit: < 1 Minute

Das Ausleihen eines digitalen Endgerätes an Schüler im Rahmen des Sofortausstattungsprogramms des Bundes und des Landes NRW ist ein Vorgang, der separat von der Verwaltung in einem MDM erfolgt. Es ist auch vorstellbar, dass Geräte ohne eine Verwaltung verliehen werden. Die Verwaltung des Ausleihvorgangs selbst stellt eine Datenverarbeitung dar und bedarf der Information gemäß Art. 13 DS-GVO. Eine Einwilligung in die Datenverarbeitung sollte hier nicht erforderlich sein, da sich eine Rechtsgrundlage aus §120 Abs. 1 Satz 1 Schulgesetz NRW in Verbindung mit der Richtlinie über die Förderung von digitalen Sofortausstattungen herleiten lassen sollte. Die Vorlage ist zur Information bezüglich der Datenverarbeitung beim Ausleihvorgang gedacht, wenn die Schule die Ausleihe anstelle des Schulträgers selbst regelt. Sie könnte entsprechend auch auf die Ausleihe von Dienstgeräten für Lehrkräfte angepasst werden.

Vorlagen für IServ

Lesezeit: < 1 Minute

IServ ist ein mittlerweile gut etablierter deutscher Schulserver der vor allem damit glänzen kann, dass er komplett auf nicht-EU Dienste verzichtet. Er setzt sehr stark auf Open-Source Komponenten1BigBlueButton (Videokonferenzen), DAViCal (Kalender-Backend), Etherpad Lite (Texte), FullCalendar (Kalender-Frontend), LibreOffice Online (Office), Matrix (Messenger-Backend), opsi (Softwareverteilung), Symfony (Grundsystem), … Quelle: IServ-Dokumentation.pdf , besteht aber auch aus proprietären Eigenentwicklungen.2Die FOOS Community würde gerne den kompletten IServ „befreit“ sehen.

IServ ist ein modulares Server Produkt, welches neben einer lokalen Nutzung auch einen Zugriff über ein Webportal erlaubt. Über die unterrichtliche Nutzung bietet der Server noch Funktionen zur Verwaltung von Geräten und des schulischen Netzwerks. Mittlerweile wird der Server auch als SAAS komplett Cloud basiert angeboten. Auch ein Videokonferenz Modul auf Basis von BigBlueButton ist im Angebot.

Auch wenn IServ spezielle Module wie die Raumbuchung, Curriculum, Kurswahlen, Vertretungs- und Mensa-Pläne und mehr anbietet, ist die Plattform in erster Linie ein Server für die pädagogische Arbeit. Das heißt, es ist nicht möglich, auf einem einzigen IServ sowohl Unterricht als auch schulinterne Verwaltung abzubilden. Wer das tun möchte, braucht eine zweite, kostenpflichtige Instanz. Diese kann durchaus auf dem selben Server betrieben werden, wenn beide Instanzen logisch voneinander getrennt sind, etwa durch Betrieb auf zwei virtuellen Servern. Aber auch hier gibt es Grenzen, die mit dem Sicherheitskonzept des IServ zu tun haben3Im Handbuch heißt es unter 9.5.6 Verschlüsselung – „Die Datenübertragung beim Zugriff auf die IServ Weboberfläche erfolgt immer verschlüsselt. Gespeichert werden die Daten auf den Festplatten des Servers jedoch unverschlüsselt, damit die Benutzer jederzeit von überall aus auf ihre Daten zugreifen können und der Server auch bei einem Stromausfall ohne Eingriff eines Administrators starten kann. Zusätzlich besteht die Möglichkeit, Daten mit erhöhtem Schutzniveau auf dem Server abzulegen, falls diese vor der Übertragung mit einer geeigneten Software verschlüsselt werden. Dazu können beispielsweise passwortgeschützte Zip-Archive oder verschlüsselte Container-Dateien genutzt werden.“.

IServ hält unter https://iserv.eu/downloads/privacy/ zahlreiche Dokumente bereit, welche von Schulen bei der Einführung des Schulservers genutzt werden können. Sehr umfangreiche Informationen zum Datenschutz finden sich auch in der jeweils aktuellsten Version des Handbuches.

Da öfter angefragt, gibt es hier eine kombinierte Nutzungsvereinbarung mit Informationen zur Datenverarbeitung und Einwilligung, einmal in einer Version für Schüler und dann, da die Zahl der genutzten Funktionen hier größer, für Lehrkräfte.

Logineo NRW Messenger, AWS und Datenschutz

Lesezeit: 3 Minuten

Der Messenger, den das Land NRW seinen Schulen kostenlos zur Verfügung stellt, basiert auf dem open source Matrix Protokoll und folgt damit der Landesstrategie, quelloffene Plattformen für Schulen bereitzustellen. Als Dienstleister für den Betrieb der Plattform gewann man die SVA System Vertrieb Alexander GmbH aus Wiesbaden, die dann ihrerseits Amazon Web Services1AWS EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg (AWS), eine EU Tochter des US Konzerns Amazon, als Unterauftragnehmer beauftragte.

Letzteres blieb nicht lange unbemerkt, da es selbstredend im Vertrag zur Auftragsverarbeitung, den Schulen bei der Beauftragung des Messengers mit SVA GmbH abschließen, nachzulesen ist. Und so kam es dann zu einer kleinen Anfrage im Landtag NRW2Es waren genau genommen zwei kleine Anfragen zum Thema, Drucksache 17/10918 und 17/11265 und einem daraus folgenden Bericht bei Westpol. Bei Schulen, die den Messenger schon beauftragt hatten oder dieses planten, führte alles dieses zu großer Verunsicherung. Die Beunruhigung ist verständlich, denn als US Anbieter unterliegt auch AWS mit seinen Serverstandorten in Europa dem US amerikanischem CLOUD-Act. US Ermittlungsbehörden können von US Unternehmen, die Server in der EU betreiben, die Herausgabe von personenbezogenen Daten verlangen. Zwar können diese sich vor Gericht dagegen zur Wehr setzen, wenn das Ansinnen der US Ermittler lokalem Datenschutzrecht widerspricht, doch nicht immer sind US Firmen dabei erfolgreich, und es gibt auch Anfragen, die geheim sind3sogenannte GAG Orders und deshalb nicht gerichtlich abgewehrt werden können.

Die kleine(n) Anfrage(n) wurden Anfang Oktober 2020 von der Landesregierung beantwortet und die Antwort ist als Drucksache MMD17-11271 über das Dokumentenarchiv des Landtags einsehbar. Sie lautet kurz gefasst:

Datenschutzbedenken bestehen […] nicht.

Aus der Antwort erfährt man, dass das Land „einen öffentlich bestellten und vereidigten IT-Sachverständigen einbezogen“ hat, um bei der Erstellung einer Leistungsbeschreibung  wie auch der Ausschreibung für den Messenger Unterstützung zu erhalten. Da man zu dem Schluss kam, dass der Messenger nur als Cloud Lösung umsetzbar ist, wurde vom Land NRW bereits im Vergabeverfahren die Nutzung von AWS als Cloud-Anbieter vorgesehen. Man hat sich hier von den projektbetreuenden Fachleuten leiten lassen.

Die projektbetreuenden IT Sachverständigen hatten eine besondere Expertise für die Umsetzung eines Projekts dieser Größenordnung in der AWS-Umgebung. Die Umsetzung mit AWS ermöglicht eine den qualitativen Anforderungen entsprechende Durchführung eines so großen Projekts.

Den CLOUD-Act, dem AWS als US Unternehmen unterliegt, schätzt das Land nicht als Risiko ein und führt dafür drei Gründe an:

  1. Eine Übermittlung von personenbezogenen Daten des Messengers aus der AWS Datenregion nach außerhalb der EU, etwa in die USA ist nur zulässig, wenn der Verantwortliche, hier die Schule, diesem zuvor zustimmt.
  2. Wenn es durch US Ermittlungsbehörden ein Verlangen auf Zugriff auf Daten von Nutzern des Messengers gäbe, dann nur, wenn gegen einen Nutzer des Messengers „ein Ermittlungsverfahren einer amerikanischen Strafverfolgungsbehörde eröffnet werden würde.“ Dieses wäre dann ein Rechtsvorgang wie auch in Deutschland, da einem solchen Ermittlungsverfahren „eine rechtmäßige Verfügung einer amerikanischen Ermittlungsbehörde oder eines amerikanischen Gerichts“ vorausgehe.4        Diese Einschätzung des CLOUD-Acts dürfte ihresgleichen in der Fachwelt suchen. Die Problematik des CLOUD-Act besteht nicht darin, dass US Ermittler möglicherweise außerhalb von geltendem US Recht handeln. Vielmehr erfolgen Zugriffe von US Ermittlungsbehörden auf der Basis des CLOUD-Act außerhalb von internationalem Recht, wie etwa bei einem Ermittlungshilfeabkommen. Das heißt, es gibt keinen Vertrag zwischen der EU und den USA, durch welchen Zugriffe von US Ermittlungsbehörden auf personenbezogene Daten innerhalb der EU auf der Grundlage des CLOUD-Act legitimiert werden. Dadurch stellen diese Zugriffe einen Verstoß gegen die DS-GVO dar.
    Der Fachjurist Carlo Pilz setzt sich in dem Beitrag Schrems II: US CLOUD Act kein Problem? Zumindest nach Ansicht der Landesregierung NRW mit der Einschätzung des CLOUD-Acts durch die Landesregierung auseinander.
  3. Sollte es zu einem Zugriffsbegehren auf personenbezogene Daten von Nutzern des Messengers kommen, wären die von AWS an US Ermittlungsbehörden herausgegebenen Daten für diese wertlos, da sie einmal durch die Ende-zu-Ende-Verschlüsselung während Übermittlung und Speicherung und zusätzlich durch die vom Dienstleister
    SVA eingerichtete Verschlüsselung der in AWS abgelegten Daten geschützt sind.

Der Kern des Sicherheitskonzeptes von Logineo NRW Messenger ist demnach die Sicherheit des Messengers selbst und darüber hinaus Sicherheitsmaßnahmen des Dienstleisters zum Schutz von Daten, die nicht durch die Funktionalitäten des Messengers selbst geschützt werden. Das Matrix Protokoll gilt als sehr sicher und der Messenger verschlüsselt die Kommunikation der Nutzer automatisch.5In den Unterstützungsmaterialien des MSB wie auch den FAQ wird auf die Bedeutung der Ende-zu-Ende Verschlüsselung hingewiesen und die Sicherung der Schlüssel erklärt. Die Nutzung von AWS lässt sich im Fall des Messengers aus datenschutzrechtlicher Sicht dadurch vertreten, dass die Daten der Nutzer vor Zugriffen durch US Ermittlungsbehörden durch ihre Verschlüsselung ausreichend geschützt sind.

Solange das Matrix Protokoll keine Sicherheitslücken aufweist und die Maßnahmen des Dienstleisters ausreichend sicher sind, sollten aus der Nutzung des Logineo NRW Messengers für Schüler und Lehrkräfte auch mit sensiblen Inhalten keine Risiken entstehen.

Lehrer fotografieren mit ihrem Smartphone in der Schule

Lesezeit: 3 Minuten

Im Zeitalter des Smartphones ist die beste Kamera die, welche man dabei hat. Das ist in der Regel das Smartphone. Digitale Kameras sind an Schulen zwar vorhanden, aber müssen erst ausgeliehen werden. Also Smartphone. Und deshalb kommt immer wieder die Frage auf, ob Lehrkräfte mit ihren Smartphones Aufnahmen von Schülern machen dürfen. Anlage 3 der VO-DV I listet abschließend eine Reihe von personenbezogenen Daten von Schülern und Erziehungsberechtigten, welche Lehrkräfte mit einem privaten Endgerät, für welches sie die Genehmigung der Schulleitung eingeholt haben, auf der Rechtsgrundlage des Schulgesetzes NRW verarbeiten dürfen. Fotos finden sich dort nicht aufgeführt. Im Genehmigungsvordruck ist die Auflistung aus Anlage 3 jedoch unter 3.3 erweitert um mögliche personenbezogene Daten, welche Lehrkräfte mit Genehmigung der Betroffenen auf ihren privaten Endgeräten verarbeiten dürfen.

3.3 Daten, die von Lehrer/innen auf Basis wirksamer Einverständniserklärungen verarbeitet werden dürfen

Darunter finden sich auch Fotos. Die Auflistung kann, wie die zur Genehmigung herausgegebene Handreichung erklärt, an jeder Schule unterschiedlich sein.

Es ist, und darum geht es hier, also problemlos möglich, dass Lehrkräfte mit ihren privaten Smartphones im Schulalltag Fotos von Schülerinnen und Schülern machen. Dieses setzt zunächst die Genehmigung der Schulleitung für die Nutzung des Smartphones zur Verarbeitung von personenbezogenen Daten aus der Schule voraus. Dazu braucht es dann noch die Einwilligung der Betroffenen.

Hinweise

  • Laut der Handreichung zur Genehmigung können Betroffene die Einwilligung auch gegenüber der jeweiligen Lehrkraft erklären.
    • „Unter Punkt 3.3 sind alle Daten aufgeführt, die eine Lehrkraft automatisiert auf privaten Endgeräten verarbeiten darf, wenn der oder die einzelne Betroffene ihr bzw. der Schule die Einwilligung zur Verarbeitung erteilt hat.“1Handreichung zur Genehmigung – abgerufen am 15.08.2020
  • Da Einwilligungen an der Schule sonst grundsätzlich gegenüber der Schulleitung abzugeben sind, empfiehlt es sich, auch hier vor allem bei jüngeren Schülerinnen und Schülern diesen Weg zu wählen. Wenn eine Lehrkraft eine Klasse 9 neu übernimmt und möchte gerne Fotos der Schüler in ihr Noten App aufnehmen, um die Namen schneller lernen zu können, so kann sie die Einwilligung hier sicher auch unkompliziert mündlich einholen. Geht es um mehr, etwa Fotos auf einer Klassenfahrt, Videoaufnahmen im Sport, so sollte die Einwilligung immer schriftlich eingeholt werden, um sie im Zweifelsfall nachweisen zu können, und eben so, dass sie gegenüber der Schulleitung erteilt wird.
  • In der Genehmigung für die Verarbeitung von personenbezogenen Daten auf privaten Endgeräten ist es durchaus möglich, diese für das Smartphone auf das Anfertigen von Fotos einzuschränken, falls die Schulleitung der Ansicht ist, dass ein Smartphone für die Verarbeitung anderer personenbezogener Daten aus der Schule nicht geeignet ist.
  • Lehrkräfte müssen bei der Nutzung eines Smartphones für Fotografien von Schülerinnen und Schülern in der Lage sein, Synchronisation und Backup der Aufnahmen in eine Anbieter Cloud oder eine privat genutzte Cloud per Einstellung zu unterbinden.
  • Nach der Anfertigung sollten die Fotos auf einen Dienstrechner übertragen und vom Smartphone gelöscht werden.

Alternative Lesart der Handreichung

Der Abschnitt

  • „Unter Punkt 3.3 sind alle Daten aufgeführt, die eine Lehrkraft automatisiert auf privaten Endgeräten verarbeiten darf, wenn der oder die einzelne Betroffene ihr bzw. der Schule die Einwilligung zur Verarbeitung erteilt hat.“2Handreichung zur Genehmigung – abgerufen am 15.08.2020

lässt auch eine alternative Lesart zu. Die Formulierung sagt nicht, dass ausdrücklich in die Verarbeitung auf dem Gerät einer Lehrkraft eingewilligt werden muss. Es wird lediglich in die Verarbeitung von bestimmten Daten durch die Schule und damit auch durch die Lehrkraft eingewilligt. Hinzu kommt, auch alle in Anlage 3 der VO-DV I gelisteten Daten können ohne ausdrückliche Einwilligung der Betroffenen auf privaten Endgeräten der Lehrkräfte verarbeitet werden, sofern sie die Genehmigung der Schulleitung dafür haben.

Schließt man sich dieser Lesart an, braucht es keine Einwilligung, in welcher explizit eingewilligt wird, dass die betreffenden Daten auch auf den privaten Endgeräten von Lehrkräften verarbeitet werden dürfen.

Bußgeld gegen Grundschule in Belgien

Lesezeit: 2 Minuten

Schon im Juni 2020 wurde von einem belgischen Gericht ein Bußgeld von 2.000 € gegen eine Grundschule verhängt, da diese Schülerinnen und Schüler über eine von der Schule genutzt digitale Plattform zu ihrem Wohlbefinden befragt hatte, ohne zuvor die Eltern zu informieren und eine Einwilligung einzuholen. Auf der Seite DSGVO-Portal wird der Fall wie folgt beschrieben:

„Die Grundschule hatte über ein Tool eines Smartschooling-Systems eine Umfrage zum Wohlbefinden der Schüler durchgeführt. Mehrere Eltern von Minderjährigen hatten daraufhin eine Beschwerde bei der Datenschutzbehörde über dieses Vorgehen eingereicht.

Zum Einen versäumte es die Schule die Einwilligung der Eltern in Stellvertretung der Schüler unter 13 Jahren für die Datenerhebung einzuholen und diese über die Umfrage und deren Datenverarbeitung aufzuklären. Auch wurde gegen das Datenminimierungsprinzip verstoßen, da die Daten, welche auch Auskünfte über die Gesundheit und die häusliche Situation der Kinder enthielten, nicht anonymisiert erhoben wurden.“

Der Fall war bei der belgischen Aufsichtsbehörde als Beschwerde eingegangen und wurde dann vor der Kammer für Streitsachen der Datenschutzbehörde verhandelt. Im Rechtsstreit ging es dann unter anderem um folgende datenschutzrechtliche Aspekte.

Einwilligung nach Art. 8 DS-GVO

Art. 8 DSGVO ist nach Ansicht des Gerichts anzuwenden, da da es sich bei dem von der Grundschule verwendeten SmartSchool Tool um einen sogenannten Dienst der Informationsgesellschaft handelt. Bei solchen sind Kinder vor Vollendung des 13. Lebensjahres nicht einwilligungsfähig. 1Diese Altersgrenze gilt auch in Österreich, während in Deutschland eine Altersgrenze von Vollendung des 16. Lebensjahres gilt. Siehe dazu auch Auswirkungen der DS-GVO auf die Einwilligungsfähigkeit von Schülern Im Fall der Grundschule waren die Kinder jünger. Eine Einwilligung der Eltern nach Art. 6 Abs. 1 lit. a DS-GVO ist somit erforderlich, war jedoch nicht von der Grundschule nicht eingeholt worden.

Rechtsgrundlage der Befragung

Die Schule war nach eigenen Angaben davon ausgegangen, dass sie die Befragung durchführen konnte, um rechtliche Verpflichtungen gemäß Art. 6 Abs. 1 lit. c. DS-GVO zu erfüllen, denen sie unterliegt. Dieser Ansicht schloss sich das Gericht nicht an und sah stattdessen nur die Einwilligung nach Art. 6 Abs. 1 lit. a. DS-GVO als mögliche Rechtsgrundlage.

Verletzung des Grundsatzes der Transparenz

Nach Ansicht  des Gerichts wurde bei der Befragung der Schüler zu ihrem Wohlbefinden auch der Grundsatz der erforderlichen Transparenz von Seiten des Verantwortlichen gemäß Art. 5 Abs. 1 lit. a DSGVOArt. 12 DSGVO und Art. 13 DSGVO verletzt.

Datenschutz Folgenabschätzung

Der Beschwerdeführer hatte außerdem gefordert, dass die verantwortliche Stelle eine Datenschutz Folgenabschätzung hätte durchführen müssen. Dieser Ansicht schloss sich das Gericht nicht an.

Urteil des Gerichts

Ergebnis des Verfahrens war, dass Schule die Verarbeitung in Übereinstimmung mit Art. 5 Abs. 1 lit. a,  Art. 12 Abs. 1. und Art. 13 Abs. 1 lit. c und d und Art. 13 Abs. 2 lit. b  DS-GVO bringen muss und darüber hinaus eine Verwaltungsstrafe von EUR 2.000,- zu bezahlen hat.

Ob die Verwaltungsstrafe in Belgien von der Schule, der Schulleitung oder der Person, welche die Befragung durchführte oder veranlasste, zu zahlen war, ist den Unterlagen nicht zu entnehmen. Als Beklagter war keine Person genannt worden.

Die Beschwerde, die zu dem Bußgeld führte, wurde bereits im Juli 2019 bei der Aufsichtsbehörde eingereicht. Bis zum Urteilsspruch brauchte es so knapp ein Jahr.

Was kann man als Schule mitnehmen aus dem Fall?

Bezüglich der Verarbeitung von personenbezogenen Daten in der Schule sollte immer klar sein, auf welcher Rechtsgrundlage diese erfolgt. Das Schulgesetz legitimiert nur bestimmte Verarbeitungszwecke und dafür erforderliche personenbezogene Daten. Bei der Nutzung von Online Diensten sollte geprüft werden, ob es sich dabie um Dienste der Informationsgesellschaft handelt, bei denen hier in Deutschland eine rechtswirksame Einwilligung erst ab Vollendung des 16. Lebensjahres möglich ist[siehe dazu auch Auswirkungen der DS-GVO auf die Einwilligungsfähigkeit von Schülern.

Quellen:

Microsoft 365 – Zukunft für Schulen ungewiss

Lesezeit: 4 Minuten

Office 365, jetzt Microsoft 365, ist an Schulen als ausgereifte, moderne, funktionsreiche und gut zu nutzende Kommunikations- und Arbeitsplattform beliebt. Kollaborative Arbeitsformen im Unterricht und im Kollegium erlauben es, Dokumente im Team zu erstellen, auch zeitgleich, ohne sie erst auf den eigenen Rechner herunterladen zu müssen. Während in der Vergangenheit vor allem Berufskollegs und Gymnasien auf die US Plattform setzten, kamen mit den Schulschließungen durch Covid19 und den Druck, Unterricht stärker unter Einbeziehung digitaler Medien zu gestalten, immer mehr Schulen hinzu. Teams und seine einfache Möglichkeit für Videokonferenzen erwiesen sich als schnell verfügbare und einfach zu nutzende Lösung in der Not, Unterricht online zu erteilen. In Bayern stellte man sogar von Landesseite für die Corona Zeit Microsoft Teams bereit.

Die Handhabe bezüglich Microsoft 365 war in den Bundesländern bislang höchst unterschiedlich. Einige dulden die Nutzung der Online Funktionen (Hessen), manche können sie nicht empfehlen (NRW) und andere verbieten sie komplett (Thüringen). In Baden Württemberg versucht man, mit Microsoft unter Beteiligung der Aufsichtsbehörde einen Weg zu finden, wie Schulen Microsoft 365 einschließlich der Online Funktionalitäten DS-GVO konform nutzen können. Seit längerer Zeit beschäftigt sich schon eine Unterarbeitsgruppe der Datenschutzkonferenz mit dem Thema Office 365 und Schule. Zu all den bestehenden Problemen, zu denen auch noch der CLOUD-Act zählt und die Einwilligung als Rechtsgrundlage der schulischen Nutzung, kommt jetzt noch das Urteil des EUGH hinzu, welches zum Ende des EU-US Privacy Shield führte.

Mit dem Wegfall dieses Rechtsinstrumentes bricht die wichtigste Rechtsgrundlage weg, mit welcher eine Übermittlung von personenbezogenen Daten in die USA zumindest formell legitimiert werden konnte. Dass in den USA ein der EU vergleichbares Datenschutzniveau herrscht, wurde vielfach angezweifelt, auch wenn der EU-US Privacy Shield US Unternehmen die Möglichkeit gab, durch Selbstzertifizierung für die Einhaltung europäischer Vorgaben einzustehen.

US Firmen weichen nun auf die Standardvertragsklauseln (SCC) aus, auch wenn der EUGH klar gemacht hat, dass dieses ohne zusätzliche Garantien und Schutzmaßnahmen nicht ausreichen kann.

Es sieht nicht gut aus, was die Zukunft von Microsoft 365 an den Schulen im Lande angeht. Das meint vor allem Teams und das OneNote Kursnotizbuch, wie auch die damit verbundenen Office-Online Komponenten und einen großen Teil der Funktionen, die einen Datenaustausch mit den Servern von Microsoft erfordern. Noch haben die Aufsichtsbehörden sich nicht gemeinsam positioniert, welche Folgen sich für sie aus dem Schrems II Urteil ableiten. Lediglich der LfDI Baden Württemberg gibt mit seiner Orientierungshilfe zum internationalen Datentransfer eine Ahnung, in welche Richtung es von Seiten der Aufsichtsbehörden wohl gehen wird. Klar ist, aus dem EUGH Urteil ergibt sich die Forderung nach einem konsequenten Vollzug, der sich die Aufsichtsbehörden nicht entziehen können.

Die Unterarbeitsgruppe der Datenschutzkonferenz soll, so liest man, zu dem Schluss gekommen sein, dass eine Nutzung von Microsoft 365 in Schulen nicht datenschutzkonform möglich ist. Noch hat man die Ergebnisse der Analyse aus den monatelangen Untersuchugen nicht veröffentlicht, da Bayern hier wohl anderer Meinung ist.

Lösungen, die aktuell für Unternehmen erarbeitet werden, um Datenübermittlungen in die USA abzusichern, werden sich so auf Schulen nicht übertragen lassen, abgesehen davon, dass bisher nicht einmal klar ist, ob sie tatsächlich eine DS-GVO konforme Datenübermittlung in die USA ermöglichen.

Sollte der Hammer fallen und die Unterarbeitsgruppe die Ergebnisse ihrer Analyse mit dem Fazit veröffentlichen, dass eine Nutzung von Microsoft 365 über die Client Version hinaus nicht datenschutzkonform möglich ist, so kann man davon ausgehen, dass in vielen Schulministerien nicht lange gezögert wird, ein Verbot auszusprechen. Und sollten dann auch die Aufsichtsbehörden nach ihrer Abstimmung noch zu dem Schluss kommen, dass eine Nutzung der Online Komponenten von Microsoft 365 nicht möglich ist wegen der Übermittlung von personenbezogenen Daten in die USA ohne ausreichende Rechtsgrundlagen, dann wäre das der letzte Sargnagel, den es braucht, um auch das letzte Schulministerium zu überzeugen.

Viele halten einen solchen Schritt der Schulministerien nicht für möglich, dass man den vielen Schulen, welche die Plattform nutzen, so etwas antun könnte. Darauf sollte man sich nicht verlassen. Auch die Öffentlichkeit kann Druck erzeugen. Es geht um Politik und besorgte Eltern sind Wählerstimmen.

Auch wenn es bei der Nutzung von Microsoft 365 mit seinen online Komponenten wohl weniger um essentielle Risiken für Betroffene geht und mehr um datenschutzrechtliche Probleme, wären Schulen dann gezwungen, auf „zumutbare Alternativen“ auszuweichen, wie es in der Orientierungshilfe aus Baden Württemberg heißt.

Gibt es Möglichkeiten, Microsoft 365 für Schulen zu retten, falls es zum Ärgsten kommt? Dass die DS-GVO entschärft wird, worauf viele hoffen, die sie als überzogen ansehen, ist auf absehbare Zeit wenig wahrscheinlich. Auch der Abschluss eines neuen EU-US Privacy Shield 2, auf den viele Unternehmen hoffen, wird in naher Zukunft nicht zu erwarten sein. Die DS-GVO selbst bietet durchaus rechtliche Möglichkeiten für Datentransfers in unsichere Drittländer. Für Schulen wird aber wohl keine davon in Frage kommen.

Eine neue Treuhand Cloud, betrieben durch einen großen IT Dienstleister, ist eine Frage der Kosten. Aus Bundesländern, wo man darüber bereits nachgedacht hat, hört man, dass die Kosten nicht zu stemmen wären.

Microsoft könnte definitiv das Blatt wenden, indem man die Übermittlung von Telemetriedaten, die personenbezogene oder -beziehbare Daten enthalten, in die USA komplett deaktiviert. Außerdem könnte Microsoft das Vertragswerk derart umgestalten, dass die komplette Verarbeitung von personenbezogenen Daten, nur innerhalb der EU stattfindet. Für ruhende Daten gibt es diese Zusage bereits und technisch ist es ohnehin schon jetzt überwiegend der Fall.1Es gibt dann immer noch das Problem CLOUD-Act, doch man kann davon ausgehen, dass hier auf absehbare Zeit eine Lösung kommen wird. Die EU verhandelt bereits seit einiger Zeit mit den USA. Es geht um einen Vertrag, bei dem die USA der EU gleiche Rechte einräumen.

Microsoft dorthin zu bewegen könnte am besten gelingen, wenn sich die Bundesregierung einschaltet und ähnlich dem Justizministerum der Niederlande (2018/19) mit Microsoft verhandelt und Druck macht. Wenn man in der Corona Notzeit eine Nutzung von Microsoft Teams vorübergehend zuließ, können die Risiken für die Betroffenen auch von daher nicht so groß sein, dass eine Nutzung sich komplett verbietet. Man könnte Microsoft also eine Frist setzen und Schulen eine Übergangszeit unter Auflagen bis dahin gewähren.