Blog

Veröffentlicht am

Brauchen Schulen Datenschutzerklärungen zu den Verarbeitungsprozessen in der Schule?

Lesezeit: 6 Minuten

Frage

Vor einiger Zeit kam die Frage auf, ob Schulen neben der Datenschutzerklärung der Homepage zusätzlich auch eine Datenschutzerklärung bezüglich der Verarbeitung von personenbezogenen Daten in der Schule benötigen, die dann ebenfalls auf der Schulhomepage veröffentlich wird.

Rechtliche Grundlagen

Art. 12 DS-GVO Abs. 1 fordert ein, dass Betroffene informiert werden und diese Informationen leicht zugänglich sind.

“Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; […] Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch.”

Entsprechend gibt der zugehörige Erwägungsgrund 58 folgende Erläuterung:

“Der Grundsatz der Transparenz setzt voraus, dass eine für die Öffentlichkeit oder die betroffene Person bestimmte Information präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst ist und gegebenenfalls zusätzlich visuelle Elemente verwendet werden. Diese Information könnte in elektronischer Form bereitgestellt werden, beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist.”

Das Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen (IFG NRW) führt aus:

§ 12 Veröffentlichungspflichten
Geschäftsverteilungspläne, Organigramme und Aktenpläne sind nach Maßgabe dieses Gesetzes allgemein zugänglich zu machen. Die öffentlichen Stellen sollen Verzeichnisse führen, aus denen sich die vorhandenen Informationssammlungen und -zwecke erkennen lassen. Soweit möglich hat die Veröffentlichung in elektronischer Form zu erfolgen. § 4 Abs. 2 Satz 1 dieses Gesetzes bleibt unberührt.

Wie sind diese Vorgaben zu verstehen?

Von rechtlicher Seite gibt es Vorgaben, sowohl von der DS-GVO wie auch vom IFG. Beide lassen jedoch Spielraum für die Umsetzung. Zu beachten ist dabei ein Unterschied zwischen DS-GVO und IFG. Während es bei der DS-GVO ausschließlich um die Rechte der Betroffenen geht, betrifft das IFG die Öffentlichkeit und deren Recht auf Informationen.

Schulen unterliegen entsprechend der DS-GVO dem Gebot der Transparenz wie jede andere datenverarbeitende öffentliche Stellen. Nach Art. 13 sind Betroffene zum Zeitpunkt der Erhebung von personenbezogenen Daten bezüglich der beabsichtigten Verarbeitung und ihrer Rechte zu informieren. Werden die personenbezogenen Daten nicht beim Betroffenen selbst erhoben, sind diese nach Art. 14 entsprechend nachträglich zu informieren.

Das IFG fordert von öffentlichen Stellen, Informationen zu verarbeiteten Daten und den Verarbeitungszwecken möglichst in elektronischer Form zu veröffentlichen. Es geht hier um eine Veröffentlichungspflicht. Die Veröffentlichung auf einer Internetseite wäre eine elektronische Form. Zum Vergleich: auf Bundesebene gibt es für Behörden gemäß dem IFG des Bundes eine Veröffentlichungspflicht im Internet. (Der Bund gibt unter Anwendungshinweise zum Informationsfreiheitsgesetz entsprechende Informationen.)

Zwischen den Vorgaben der DS-GVO und des IFG gibt es Unterschiede im Umfang der Informationen. Während sich das IFG auf eine Information über vorhandene Informationssammlungen und -zwecke beschränkt, geht es bei der DS-GVO um sehr viel genauere Informationen (z.B. Betroffene, Rechtsgrundlage, Zwecke der Verarbeitung, Kategorien von Daten und Empfängern, Dauer der Speicherung, Rechte der Betroffenen).

In Art. 12 ist vorgegeben, dass der Verantwortliche, hier die Schulleitung, “geeignete Maßnahmen” trifft, die Betroffenen zu informieren, und dass die Informationen in “leicht zugänglicher Form” bzw. “leicht zugänglich” zu übermitteln sind. Für die Form gibt es keine exakt definierten Vorgaben. Die Bereitstellung in elektronischer Form auf einer Website wird im Erwägungsgrund als eine Möglichkeit angegeben. Das IFG wird etwas deutlicher und fordert die elektronische Form, sofern möglich.

Entsprechend dem IFG würde es praktisch ausreichen, auf die VO-DV I und II zu verlinken, da das IFG selbst keinerlei Vorgaben macht, wie einfach oder verständlich diese Angaben sein müssen. Auch der Begriff Verzeichnis ist nicht exakt definiert. Eine Formulierung auf der Schulhomepage könnte so lauten, wie die obere Tabellenzelle. Wenn man etwas ausführlicher sein möchte, fügt man die Inhalte der restlichen Zellen an.

Information über Informationssammlungen und -zwecke gemäß §12 Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen (IFG NRW)

Die Schule verarbeitet die personenbezogenen Daten von Schülern, Erziehungsberechtigten und Lehrkräften in dem Umfang und für die Zwecke, wie sie durch das SchulG NRW, VO-DV I (Schüler, Erziehungsberechtigte) und VO-DV II (Lehrkräfte) vorgegeben sind.
Informationssammlung Schüler/ Erziehungsberechtigte
Schülerstammblatt

  1. die Personaldaten der in § 1 Abs. 1 Nr. 1 – 3 genannten Personen (Individualdaten) gemäß Abschnitt A Nr. I der Anlage 1,
  2. die Information zur schulischen Laufbahn der Schülerin oder des Schülers (Organisations- bzw. Schullaufbahndaten) gemäß Abschnitt A Nr. II der Anlage 1,
  3. die Angaben über den individuellen Leistungsstand der Schülerin oder des Schülers (Leistungsdaten) gemäß Abschnitt B der Anlage 1,
  4. die für die einzelnen Schulformen oder Schulstufen benötigten zusätzlichen Informationen (schulform- oder schulstufenspezifische Zusatzdaten) gemäß Abschnitt C der Anlage 1.

sonstiger Datenbestand
Zwecke
  • Schülerverwaltung
  • Leistungsdatenverwaltung
  • Zeugniserstellung
  • Unterrichtsplanung
  • Schulstatistik
  • Diagnostik/ Erstellung von Förderempfehlungen/ individuellen Förderplänen
  • Schulpflichtüberwachung
  • Kontaktaufnahme mit den Erziehungsberechtigten
  • Evaluation und Qualitätsentwicklung
  • Öffentlichkeitsarbeit
  • Erstellung von Fördergutachten (AO-SF Verfahren)
  • Schülerspezialverkehr (an Förderschulen)
  • Praktikumsverwaltung
  • Erziehungs- und Ordnungsmaßnahmen
  • Dokumentation im Klassenbuch
  • Dokumentation von Konferenzen
Informationssammlung Lehrkräfte
Datenbestand in der Schule

  • Person
  • Werdegang
  • Vorbereitungsdienst, Staatsprüfung
  • Qualifikationen
  • Laufbahn
  • Beschäftigung
  • Unterricht
  • Geschäftsablauf

Akten der Schulleitung

  • Persönliche Angaben
  • Ausbildung, sonstige Tätigkeiten, besondere Fähigkeiten
  • Tätigkeiten an der Schule
  • Weitere Angaben
Zwecke
  1. Planung und Ermittlung des Unterrichtsbedarfs, Durchführung des Unterrichts
  1. Planung und Einrichtung von Bildungsgängen, Klassen und Gruppen; Ermittlung und Deckung besonderer Bedarfe und Förderungsbedarfe; Unterrichtsorganisation; Unterrichtsverteilung
  2. Aufstellen von Aufsichts-, Prüfungs-, Stunden- und Vertretungsplänen, Sprechstundenlisten sowie Übersichten der an der Schule Beschäftigten
  1. Erledigung der laufenden schulischen Angelegenheiten
  1. Berichte in arbeits-, dienst- und personalrechtlichen Angelegenheiten und Angelegenheiten der Lehrerversorgung
  2. Berichte zur Vorbereitung von Dienstleistungszeugnissen, Beratung zur dienstlichen Beurteilung, Berichte in disziplinarrechtlichen Angelegenheiten
  3. Beantwortung von Anfragen und Erhebungen der Schulaufsichtsbehörden sowie anderer Behörden aus dem Geschäftsbereich des für die Schule zuständigen Ministeriums
  4. Durchführung von Maßnahmen der Qualitätsentwicklung und Qualitätssicherung gemäß § 3 Abs. 4 SchulG
  1. Statistische Daten
  2. Lehrerausbildung (Ausbildungslehrerinnen und -lehrer, Lehramtsanwärterinnen und Lehramtsanwärter und Lehrkräfte in Ausbildung)
  3. Lehrerfortbildung
  4. Erfüllung der Schulleitungsaufgaben

Entsprechend der DS-GVO müssen Betroffene (Schüler und Erziehungsberechtigte sowie Lehrkräfte) bei der Erhebung von Daten oder, sofern die Daten nicht bei ihnen direkt erhoben wurden, nachträglich informiert werden. Die unmittelbare Information kann mittels eines entsprechenden Informationsschreibens gegeben werden. Eine anpassbare Vorlage dafür findet sich unter Informationen Schule (NRW) und mittlerweile auch beim MSB (siehe unten), welches den Betroffenen ausgehändigt wird, so dass sie jederzeit über die von der Schule verarbeiteten Daten und ihre Rechte im Bilde sind.

Die DS-GVO unterscheidet beim Transparenzgebot im Erwägungsgrund 58 zwischen betroffener Person und Öffentlichkeit. Nur wenn es um Informationen zur Herstellung von Transparenz geht, welche für die Öffentlichkeit bestimmt sind, wird die Veröffentlichung auf einer Website als Möglichkeit vorgeschlagen. Für die Information der Betroffenen selbst wird dieses nicht vorgeschlagen. Da die Formulierung von Art. 12 Abs. 1 Satz 1 sehr offen ist, bleibt dem Verantwortlichen Gestaltungsspielraum.

“Insgesamt belässt Abs. 1 S. 1 dem Verantwortlichen bei der Wahl der Darstellungsweise einen beträchtlichen Gestaltungsspielraum.”

Es lässt sich aus keiner Stelle in der DS-GVO eine eindeutige Vorgabe ableiten, dass zur Herstellung von Transparenz eine Veröffentlichung von Informationen entsprechend Art. 13 und 14 auf der Schulhomepage erforderlich ist. Genausowenig ist ersichtlich, dass eine Schule die Öffentlichkeit informieren muss.

Abgesehen davon spricht jedoch auch nichts dagegen, die Informationen zur Verarbeitung von personenbezogenen Daten von Betroffenen zusätzlich leicht auffindbar auf der Schulhomepage zu hinterlegen als Informationen über die Datenverarbeitung an der Schule nach DS-GVO Art. 12. Dort könnte man dann die Informationen aus den Informationsschreiben direkt in die Webseite einstellen und eventuell auch noch die Schreiben als PDFs zum Download anzubieten.

Eine Bereitstellung über die Schulhomepage kann darüber hinaus helfen, Papier zu sparen. Bei der Anmeldung legt man die Informationen zur Datenverarbeitung im Wartebereich aus, so dass Eltern sie einsehen können. Eltern erhalten dann ein grundlegendes Informationsschreiben, in welchem auf die Bereitstellung der Informationen zur Datenverarbeitung auf der Schulhomepage hingewiesen wird mit Link und QR-Code und dem Hinweis, dass diese Informationen auf Wunsch immer auch im Sekretariat in ausgedruckter Form erhältlich sind.

Wie das MSB das Thema sieht

Das Ministerium für Schule und Bildung (MSB) hat sich im Bildungsportal NRW unter Einzelne wesentliche Regelungsbereiche der Datenschutz-Grundverordnung zur Informationspflicht nach Art. 13 DS-GVO geäußert. Anders als in der Vergangenheit, als das MSB vorschlug, der Informationspflicht nachzukommen, indem man den Erziehungsberechtigten bzw. volljährigen Schülern bei Anmeldung an der Schule einen “einen Papierausdruck der VO DV I” aushändigt, hält man auf der oben verlinkten Seite mittlerweile sogar eine bearbeitbare Vorlage Muster MSB Informationspflicht Schülerinnen und Schüler Datenerhebung Artikel 13, 14 DSGVO.docx zum Download bereit. Eine entsprechende Vorlage gibt es auch für Lehrkräfte als Muster MSB Informationspflicht Lehrkräfte Datenerhebung Artikel 13, 14 DSGVO.docx. Wie in der Vergangenheit empfiehlt das MSB, die Informationen gem. Art. 13, 14 auch auf der Schulhomepage zu veröffentlichen.

Auch wenn das MSB, die Veröffentlichung der Informationen zur Datenverarbeitung als “zweckmäßig” empfiehlt, so leitet sich daraus keine Verpflichtung für Schulen ab. Es gibt aber durchaus gute Gründe, welche dafür sprechen.

Fazit

  • Schulen müssen entsprechend der Vorgaben der DS-GVO Besucher ihrer Schulhomepage (Betroffene) über die Verarbeitung von personenbezogenen Daten auf der Website selbst in Form einer Datenschutzerklärung informieren.
  • Schulen sollen als öffentliche Stellen gemäß der Vorgaben des IFG NRW in elektronischer Form Verzeichnisse führen, welche die Öffentlichkeit über Informationssammlungen und -zwecke informiert. Das erfolgt am zweckmäßigsten vermutlich über die Schulhomepage.
  • Schulen können ergänzend zu einer direkten Information der Betroffenen vor oder nach der Datenerhebung zusätzlich über die Verarbeitung personenbezogener Daten entsprechend Art. 13 und 14 auf ihrer Homepage informieren, wenn die Schulleitung darin eine geeignete Maßnahme sieht, der Informationspflicht nachzukommen.

Zu den Informationen, die nach dem IFG NRW auf einer Schulhomepage veröffentlicht werden sollen, gehören neben Informationen über die Schulleitung auch solche über die Lehrkräfte, deren Funktion in der Schule und Angaben zur dienstlichen Erreichbarkeit. Siehe dazu den Beitrag: Welche personenbezogenen Daten von Lehrkräften dürfen OHNE Einwilligung auf die Schulhomepage?

Veröffentlicht am

Office 365 und der Vertrag zur Auftragsverarbeitung

Lesezeit: 6 Minuten

Wollen Schulen einen Online Dienst nutzen und es werden dabei personenbezogene Daten aus der Schule verwendet, ist nach Art. 28 DS-GVO ein Vertrag erforderlich, welcher Rechte und Pflichten beider Seiten regelt. Vielfach bestehen diese Verträge aus Dokumenten, die ausgedruckt von beiden Seiten in Kopie unterschrieben werden, um rechtliche Gültigkeit zu erlangen. Bei Microsoft sucht man eine derartige Möglichkeit zum Abschluss eines Vertrags zur Auftragsverarbeitung oder auch Auftragsverarbeitungsvertrag (AVV) vergeblich. Heißt das nun, man kann mit Microsoft nicht den erforderlichen Vertrag abschließen, um Office 365 im Unterricht oder für die Teamarbeit der Lehrkräfte zu nutzen?

In Art. 28 heißt es unter Abs. 3

“Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor …”

Schaut man sich diesen Absatz genauer an, sieht man, dass rechtliche Grundlage für die Verarbeitung von personenbezogenen Daten des Auftraggebers durch den Auftragnehmer nicht zwingend ein Vertrag sein muss, wie man ihn beispielsweise mit seinem Website Hoster abschließt und wie oben beschrieben. Das Wort ODER lässt auch andere Optionen als gleichwertig zu einem Vertrag zu. Möglich ist demnach auch ein anderes Rechtsinstrument nach Unionsrecht oder dem Recht der Mitgliedstaaten. Alle drei Optionen erfüllen die Vorgabe nach Art. 28.

Microsoft bietet anstelle eines Vertrages, wie er im deutschen Rechtsraum üblich ist, die sogenannten OST oder Online Service Terms, zu Deutsch Online Service-Nutzungsbedingungen, wozu auch das Data Processing Addendum (DPA) gehört. Alle Volumenlizenzverträge von Microsoft umfassen diese Online Services-Nutzungsbedingungen. Die Volumenlizenzverträge werden abgeschlossen, wenn eine Schule sich für ein Office 365 Paket anmeldet. Das geschieht in einem Dialog ähnlich dem folgenden.

Beispiel Dialog bei der Erstellung eines Office 365 Testabonnement Vertrags.

Wenn das entsprechende Häkchen gesetzt ist, hat der Nutzer den Vertrag abgeschlossen und damit auch die OST einschließlich des DPA angenommen.

Das Data Processing Addendum ist ein den OST anhängiges Dokument und berücksichtigt neben der DS-GVO auch verschiedene Datenschutzstandards/ -vorgaben aus den USA wie auch anderen Ländern. Die Standardvertragsklauseln1Microsoft hat lange Zeit die Standardvertragsklauseln (auch EU Model Clauses genannt) als Grundlage für die Übertragung von Daten für seine Onlinedienste für Unternehmen verwendet. Die EU-Standardvertragsklauseln sind von der Europäischen Kommission bereitgestellte Standardbedingungen, die für die richtlinienkonforme Übertragung von Daten außerhalb des Europäischen Wirtschaftsraums verwendet werden können. Microsoft hat die Standardvertragsklauseln mithilfe des den Online Services-Nutzungsbedingungen anhängigen DPA in alle Volumenlizenzverträge integriert. Die Artikel-29-Datenschutzgruppe hat dabei festgestellt, dass die Umsetzung der Standardvertragsklauseln durch Microsoft richtlinienkonform ist. Quelle: DSGVO – häufig gestellte Fragen sind ein Bestandteil dieses Dokuments, bilden den Anhang 2 und umfassen sechs Seiten. Es findet sich zum Download wie die OST unter Ressourcen zur Lizenzierung.

Die EU-Standardvertragsklauseln gehören zu den oben erwähnten anderen Rechtsinstrumenten nach dem Unionsrecht. Auch in Art. 28 sind die Standardvertragsklauseln aufgeführt und unter Abs. 6 heißt es

“Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7 und 8 des vorliegenden Artikels genannten Standardvertragsklauseln beruhen, …”

Die EU-Standardvertragsklauseln umfassen die in Abs. 3 und 4 aufgeführten Vorgaben, die vertraglich zwischen Auftraggeber und Auftragnehmer festzuschreiben sind. Als Standardvertragsklauseln können hierbei solche verwendet werden,

“die entweder unmittelbar von der Kommission erlassen oder aber nach dem Kohärenzverfahren von einer Aufsichtsbehörde angenommen und dann von der Kommission erlassen wurden.”2Erwägungsgrund 81

Bei den von Microsoft im DPA genutzten Standardvertragsklauseln handelt es sich um solche, die von der der Europäischen Kommission bereitgestellt wurden. Da dieser Vertrag nicht nur im Bildungsbereich, sondern auch im Businessbereich zum Einsatz kommt, kann Microsoft sich hier keine Fehler erlauben. Zu allen in Art. 28 geforderten Angaben werden umfassende Aussagen gemacht. Doch wie sieht es mit der Form aus?

Die DS-GVO ist bezüglich der Formvorgaben zum Abschluss eines Vertrages oder anderen Rechtsinstrumentes wesentlich offener als das Bundesdatenschutzgesetz oder das alte Bundesdatenschutzgesetz. In Art. 28 heißt es zur Form in Abs. 9

“Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.”

Es besteht also eine Schrifterfordernis und elektronisches Format ist möglich. Die Fachautoren sind sich einig darin, dass es sich beim elektronischen Format um ein dauerhaftes Format handeln muss, welches auch nicht nachträglich verändert werden kann.3“Als Form für den Abschluss einer Vereinbarung zur Auftragsverarbeitung gibt Art. 28 Abs. 9 DSGVO die Schriftform oder ein elektronisches Format vor. Dies entspricht der in § 126 b BGB genannten Textform. Entscheidend ist hierbei, dass das ausgewählte Format sicherstellen muss, dass nachträgliche Änderungen technisch ausgeschlossen werden. Somit lässt sich eine Vereinbarung zur Auftragsverarbeitung z.B. über eine schreibgeschützte PDF-Datei, nicht aber über einfache E-Mails schließen.” Quelle Die OST und das anhängige DPA entsprechen dieser Formvorgabe. Man lädt sie in der Regel als schreibgeschützte docx Datei herunter.

Eine Unterschrift ist nach der DS-GVO nicht länger erforderlich, um einen rechtswirksamen Vertrag abzuschließen.

“Die Auftragserteilung kann gemäß Art. 28 Abs. 9 DS-GVO in Zukunft auch in einem elektronischen Format erfolgen. Das strenge Schriftformerfordernis (handschriftliche Unterschrift) gilt damit nicht mehr. Ausreichend für das elektronische Format ist jedes elektronische Dokument, das dauerhaft wiedergegeben werden kann (vergleichbar mit der Textform in [§ 126b BGB]).”4sagt der Landesbeauftragte für Datenschutz und Informationsfreiheit RLP in einem Beitrag zur Auftragsverarbeitung.

Die Bestätigung von Seiten des Auftraggebers, hier der Schule, erfolgt bei den OST als Bestandteil der Abschlusses eines Volumenlizenzvertrags durch Setzen eines Häkchens. Im DPA gibt es eine eingescannte Unterschrift unter den Standardvertragsklauseln. Verschiedene Fachjuristen kommen zu dem Schluss, dass es nicht einmal dieser eingescannten Unterschrift bedarf. Die Erklärung sollte, da es sich bei der DS-GVO um eine europäische Rechtsnorm handelt, anders als im nationalen Recht unterschriftlos gültig sein.5“Mithin herrscht Einigkeit darüber, dass der europäische Gesetzgeber dem elektronischen Format nicht das Verständnis der deutschen Norm aus dem BGB zugrunde gelegt hat. Vielmehr scheint sich die Ansicht durchzusetzen, dass die Textform nach § 126b BGB den Anforderungen an das elektronische Format i.S.d. Art. 28 Abs. 9 DSGVO genügt. Bei der Textform handelt es sich um eine unterschriftlose Erklärung, die auf einem dauerhaften Datenträger (eine Download-Möglichkeit kann ausreichen) abgegeben wird und gegen nachträgliche Änderungen geschützt ist.” Elektronischer Vertragsschluss der Auftragsverarbeitung (Art. 28 DSGVO) von Datenschutzkanzlei Es sind allerdings nicht alle Fachleute dieser Meinung. Einigkeit herrscht jedoch zumindest darin, dass es keiner “qualifizierten elektronischen Signatur” bedarf6Auch aktuelle Aussagen der Europäischen Kommission von September 2018 untermauern die Ansicht, dass eine elektroniche Signatur nicht erforderlich ist: “Eine elektronische Signatur ist für die Rechtswirksamkeit von Verträgen gerade nicht erforderlich. Signaturen sind eines von mehreren Mitteln, um den Vertragsschluss beweisen zu können. Dies bedeutet, dass Autragsverarbeitungsverträge auch „einfach“ elektronisch, zB per PDF Dokument oder über eine Webseite, abgeschlossen werden können.” Carlo Piltz in Europäische Kommission zum Formerfordernis für Auftragsverarbeitungsverträge nach der DSGVO.

In der aktuellen Situation sollte das von Microsoft angebotene Format den Vorgaben zum Abschluss eines Vertrags oder anderen Rechtsinstrumentes zur Auftragsverarbeitung nach Art. 28 DS-GVO genügen. Diesen Spielraum lassen die Vorgaben zu. Die OST und das anhängige DPA werden online angeboten, die Standardvertragsklauseln als zentrales Element dieser Vereinbarung sind unterzeichnet, und zeigen damit den Willen Microsofts, einen Vertrag mit dem Kunden einzugehen. Der nimmt das Angebot durch Setzen eines Häkchens an und speichert die OST sowie das DPA ab oder druckt beides aus.7“Weitergehend kann es bei einer online erfolgenden invitatio ad offerendum ausreichend sein, dass der bestellende Kunde eine Checkbox betätigt und so ein rechtswirksames Angebot auf einen bereitgestellten Vertrag abgeben kann, das der Vertragspartner sodann mit dem Hauptvertrag annimmt, wenn der Vertrag speicher- und druckbar ist.”Koreng/Lachenmann DatenschutzR-FormHdB | 1. Vergleich Auftragsverarbeitung nach dem BDSG und der DS-GVO Rn. 1. – 7. – beck-online

Fazit

Durch Annahme der OST mit dem anhängigen DPA als Bestandteil eines Volumenlizenvertrags zu Office 365 ist aktuell den Vorgaben der DS-GVO nach Art. 28 zum Abschluss eine Vertrages zur Auftragsverarbeitung zwischen Schule als Auftraggeber und Microsoft als Auftragnehmer Genüge getan. Rein vertraglich sind hier auch die erforderlichen Vorgaben bezüglich des Exports von Daten in Drittstaaten abgedeckt, da Microsoft auch das EU-US Privacy Shield Übereinkommen unterzeichnet und sich damit entsprechend zertifiziert hat.

Schulen, die einen Volumenlizenvertrag mit Microsoft abschließen, sollten dabei auf zwei Dinge achten, um im Sinne von Art. 28 den Abschluss eines Vertrags bzw. anderen Rechtsinstrumentes zur Regelung der Auftragsdatenverarbeitung dokumentieren zu können:

  • Die Seite, wo die Vertragsbedingungen zum Volumenlizenzvertrag angenommen werden, sollten mit gesetzen Häkchen ausgedruckt werden.
  • Über den Link zu den OST und DPA sollten die aktuellen Online Service-Nutzungsbedingungen des Monats sowie das Online Services Data Protection Addendum (DPA) heruntergeladen und abgespeichert werden.

Wo Fragen bleiben

Ein gänzlich anderes Thema und wesentlich bedeutsamer als der Vertrag ist die Frage, ob Microsoft tatsächlich den vertraglich zugesicherten Angaben gerecht wird bzw. werden kann. Die Aufsichtsbehörden sind sich hier trotz aller Zusicherungen durch und Zertifizierungen von Microsoft nicht sicher. Für sie bleiben Fragen ungeklärt. Aus diesem Grund sprechen sie bisher keine Empfehlung aus. Ein Verbot gibt es jedoch auch nicht von offizieller Stelle, zumindest in NRW. Hierzu an anderer Stelle mehr.

Wer ist verantwortlich?

Auch wenn Microsoft den Formalien eines AVV entspricht und Schulen so rechtswirksam ihrer Pflicht nach Art. 28 nachkommen können, so kann es für Schulen rein rechtlich zum Problem werden, wenn der Vertrag durch den Schulträger abgeschlossen wurde. Das könnte an einigen Stellen der Fall sein. Eine rechtswirksame Vereinbarung im Sinne von Art. 28 Abs. 3 muss immer zwischen dem Verantwortlichen als Auftraggeber und dem Dienstleister als Verarbeiter bzw. als Auftragnehmer abgeschlossen werden. Verantwortlicher ist bei Schulen immer die Schulleitung. Eine nachträgliche Änderung wird vermutlich nahezu unmöglich sein, vor allem, wenn der Schulträger den Vertrag für mehrere Schulen abgeschlossen hat. Schulträger haben oft Volumenlizenzverträge für die kommunalen Verwaltungen abgeschlossen und werden entsprechend EDU Volumenlizenzverträge an die bestehende Instanz anhängen. Auch das wird eine Änderung erschweren bis unmöglich machen.8Ich kenne bisher leider zu wenige aktuelle Beispiel, wie Schulträger dieses regeln, um dieses sicher beurteilen zu können. Gänzlich anders sollte die Sache aussehen, wenn der Schulträger einen Rahmenvertrag mit Microsoft abgeschlossen hat. Tritt eine Schule diesem bei, tut sie dieses in eigener Verantwortung und kann ganz regulär die OST mit dem anhängigen DPA mit Microsoft abschließen.

Für den Fall, dass der Schulträger die Lizenenzen beschafft, ist es durchaus möglich, dass die Schule einen Vertrag zur Auftragsverarbeitung mit dem Schulträger selbst abschließt, der wiederum seinerseits die OST mit dem anhängigen DPA mit Microsoft vereinbart. Microsoft taucht dann im Vertrag zur Auftragsverarbeitung zwischen Schule und Schulträger als Unterverarbeiter auf. Stellt der Schulträger Lizenzen für mehrere Schulen zur Verfügung, sollte für jeder Schule ein eigener Tenant angelegt werden, um die Instanzen auch rechtlich sauber von einander zutrennen.

Es spricht aus rechtlicher Sicht durchaus etwas dafür, dass der Schulträger den Vertrag mit Microsoft abschließt, da er so ein Stück weit mit in die Verantwortung genommen wird.

Links:

Stand 06/2020

Veröffentlicht am

Wie kann Schule das Problem mit E-Mails und Datenschutz pragmatisch lösen?

Lesezeit: < 1 Minute

E-Mail ist ein wichtiges Kommunikationsmittel für Schulen, stellt sie aber gleichzeitig wegen der datenschutzrechtlichen Anforderungen für eine sichere Übermittlung von personenbezogenen Daten vor enorme, teilweise nicht lösbare Probleme. Im Themen Beitrag E-Mail Kommunikation sicher nutzen stelle ich pragmatische Lösungen vor, die für Schulen und Lehrkräfte umsetzbar sein sollten, ohne großes Expertenwissen, damit so etwas wie in der Grafik dargestellt, garantiert nicht vorkommt.

E-Mails werden mit Inhalten, die personenbezogene Daten aus der Schule enthalten, ohne jeglichen Schutz von einer privaten E-Mail Adresse an die Schule verschickt – ein absolutes NO GO.
Veröffentlicht am

Auf die Information nach Art. 13 bei der Anmeldung an der Schule kommt es an

Lesezeit: < 1 Minute

Bei der Anmeldung von Schülern an einer Schule werden umfänglich personenbezogene Daten erhoben. Entsprechend der Vorgaben von Art. 13 DSGVO Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person sind die Betroffenen zu informieren.

Ist man dieser Informationspflicht nachgekommen und es werden später im Laufe der Schulzeit anlassbezogene Einwilligungen eingeholt, kann auf einen Teil der nach Art. 13 vorgeschriebenen Informationen verzichtet werden, da sie bereits bei der Anmeldung umfänglich gegeben wurden.1“Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt.” Art. 13 Abs. 4 DS-GVO

Bei einer anlassbezogenen Einwilligung könnte man dann auf folgende Punkte verzichten2Achtung – sämtliche andere Informationen müssen gegeben werden, um eine rechtswirksame Einwilligung einholen zu können. und damit die Einwilligung deutlich verkürzen:

  • Kontaktdaten des Verantwortlichen (und eventuell des Vertreters)
  • Kontaktdaten des Datenschutzbeauftragten
  • Information über die Rechte der Betroffenen gegenüber der Schule (Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht gegen die Verarbeitung, Recht auf Datenübertragbarkeit)
  • Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird
  • Beschwerderecht bei einer Aufsichtsbehörde

In den Vorlagen für Einwilligungen könnten dann diese Punkte gelöscht werden. Es empfielt sich jedoch, auf die Möglichkeit hinzuweisen, die Informationen entsprechend Art. 13 in der Schule jederzeit zu erhalten oder auf der Schulhomepage einsehen zu können.3Auch ein Hinweis auf den Ablageort auf der Schulhomepage wäre sinnvoll.

Ausführliche Informationen zur Erstellung einer Einwilligung finden sich unter Wie erstellt man eine datenschutzrechtlich korrekte Einwilligung für Schule?

Veröffentlicht am

Verarbeitung auf Grundlage einer Interessenabwägung – geht das bei Schulen?

Lesezeit: 2 Minuten

Nach §§120 – 122 Schulgesetz NRW gibt es nur zwei datenschutzrechtliche Grundlagen, sogenannte Erlaubnistatbestände, für die Verarbeitung von personenbezogenen Daten von Schülern, Eltern und Lehrkräften: eine Rechtsvorschrift erlaubt sie oder die Betroffenen willigen ein. In Bezug auf Schüler heißt es deshalb in Abs. 1 §120 SchulG NRW,

“Schulen […] dürfen personenbezogene Daten der Schülerinnen und Schüler, der in § 36 genannten Kinder sowie der Eltern verarbeiten, soweit dies zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben erforderlich ist. […] Andere Daten dürfen nur mit Einwilligung der Betroffenen erhoben werden.”

Die im Schulgesetz aufgeführten Erlaubnistatbestände entsprechen den Buchstaben e und a in Art. 6 der Datenschutz Grundverordnung (DS-GVO). e entspricht dabei der Verarbeitung auf der Grundlage einer Rechtsvorschrift1lit. e “die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;”2Eine entsprechende Vrogabe findet sich auch in §3 Bundesdatenschutzgesetz, “Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist.” . a entspricht der Verarbeitung auf Grundlage einer Einwilligung der betroffenen Person3lit. a “Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;”.

Auch wenn eigentlich aufgrund der Vorgaben aus dem Schulgesetz klar sein sollte, dass es keine anderen Erlaubnistatbestände gibt, welche in Schule eine Verarbeitung von personenbezogenen Daten rechtfertigen können, kommt trotzdem immer wieder die Frage auf, ob es für Schulen auch zulässig ist, eine Verarbeitung von personenbezogenen Daten von Schülern, Eltern und Lehrkräften auch auf der Grundlage von Art. 6 Buchstabe f4“die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.” durchzuführen? Das meint die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen, hier also der berechtigten Interessen der Schule. Kann eine Schule eine Interessenabwägung vornehmen zwischen ihren eigenen Interessen und denen der Betroffenen, und eine Verarbeitung auch ohne Einwilligung oder gesetzliche Grundlage vornehmen, wenn sie zu dem Schluss kommt, dass die Interessen der Schule überwiegen?

Dazu gibt es sogar in der DS-GVO eine Antwort. Direkt unter Buchstabe f findet sich in Art. 6 DS-GVO ein Passus, welcher Behörden von dieser Regelung ausnimmt.

“Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.”

Eine Schule ist eine öffentliche Stelle und verwaltungstechnisch eine Behörde.5„Im Schulbereich ist Behörde im Sinne des Hessischen Verwaltungsverfahrensgesetzes (HVwVfG) jede Schule in öffentlicher Trägerschaft, …“ ), in Raabe, Schulleitung Online, Verwaltungsakt-Rechtsbegriff. Entsprechend ist die Ausnahme auf Schulen in öffentlicher Trägerschaft anzuwenden.

In einem Dokument des Europäischen Rates65419/1/16 REV 1 S. 277Eine gleichlautende Aussage findet sich auch in Erwägungsgrund 47 wird erläutert, warum Art. 6 lit. f nicht auf Behörden angewendet werden soll:

“Da es dem Gesetzgeber obliegt, per Rechtsvorschrift die Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch die Behörden zu schaffen, sollte diese Rechtsgrundlage nicht für Verarbeitungen durch Behörden gelten, die diese in Erfüllung ihrer Aufgaben vornehmen.”

Diese “Ausnahme ist dem Grundsatz des Gesetzesvorbehalts geschuldet”8Buchner / Petri in Kühling / Buchner Art. 6 Rn. 157

Das heißt, für Verarbeitungen von personenbezogenen Daten, welche eine Schule in Erfüllung ihrer Aufgaben, vornimmt, ist Art. 6 lit. f nicht anwendbar, denn hier ist Rechtsgrundlage für die Verarbeitung personenbezogener Daten das SchulG NRW und daraus abgeleitete Verordnungen. Schulen können demnach in dem Bereich, wo es um die Erfüllung ihrer Aufgaben als Schule geht, keine Verarbeitung auf der Grundlage einer Interessenabwägung vornehmen.

Die DS-GVO kann durchaus in bestehende datenschutzrechtliche Vorgaben eingreifen, wie das etwa bei der Einschränkung der Einwilligungsfähigkeit von Kindern und Jugendlichen entsprechend Art. 8 Abs. 1 der Fall ist. Sie kann aber keine neuen Erlaubnistatbestände in bestehende Regelungen einführen. Und selbst wenn dieses möglich wäre, so ist von der DS-GVO für den in Frage stehenden Bereich, die Interessenabwägung, nicht einmal vorgesehen.

Veröffentlicht am

Sind Einwilligungen jetzt nur noch ab 16 Jahren möglich?

Lesezeit: < 1 Minute

Die europäische Datenschutz Grundordnung berücksichtigt den Schutz der personenbezogenen Daten von Kindern und Jugendlichen besonders und hat deshalb, zum Selbstschutz der Kinder, mit einer Altersvorgabe geregelt, ab wann sie eine rechtswirksame Einwilligung abgeben können. In Art. 8 Abs. 1 wird ein Mindestalter angegeben und unter welchen Bedingungen diese Vorgabe gilt. An vielen Stellen liest man, dass dadurch nun rechtswirksame Einwilligungen von Kindern generell erst ab Vollendung des 16. Lebensjahres abgegeben werden können. Bisher gängige Praxis in Schulen war, dass man die Entscheidung, ob ein Kind eigenständig eine Einwilligung abgeben kann, von der Einwilligungsfähigkeit abhängig machte, unter Berücksichtigung der Komplexität der Datenverarbeitungsprozesse und der Tragweite der mit einer Einwilligung verbundenen Entscheidung. Die Einwilligungsfähigkeit setzte man so bei etwa 14 bis 15 Jahren an. Bei nicht gegebener Einwilligungsfähigkeit war dann die Zustimmung bzw. Einwilligung der Eltern einzuholen.

Ist es nun seit Mai 2018 tatsächlich so, dass unsere Schülerinnen und Schüler jetzt grundsätzlich erst ab Vollendung des 16. Lebensjahres eine rechtswirksame Einwilligung abgeben können, egal ob es sich um Fotos für die Schulhomepage handelt oder um die Anmeldung an einer Plattform im Internet? Dieser Frage geht der Themenbeitrag Auswirkungen der DS-GVO auf die Einwilligungsfähigkeit von Schülern nach.

Veröffentlicht am

Vorabkontrolle der Genehmigungen für Lehrer in NRW durch schulische DSB entfällt

Lesezeit: 2 Minuten

Als das Ministerium für Schule und Bildung Anfang des Jahres den neuen Genehmigungsvordruck zu Nutzung privater Endgeräte zur Verarbeitung personenbezogener Daten aus der Schule per Erlass einführte, war dort noch eine Vorabkontrolle durch die behördlich bestellten schulischen Datenschutzbeauftragten (DSB) verbindlich vorgesehen. Diese sollten jeden Genehmigungsantrag von Lehrkräften prüfen, bevor die Schulleitung dann die Genehmigung erteilte. Mit Beginn der Umsetzung der Datenschutz Grundverordnung (DS-GVO), nur wenige Monate nach Einführung der Genehmigung ist die Vorgabe zur Kontrolle durch die schulischen nicht länger erforderlich. Dieses hängt mit einer Veränderung der Aufgabenbeschreibung von Datenschutzbeauftragten zusammen, die sich mit der DS-GVO gegenüber dem alten Bundesdatenschutz Gesetz ergeben hat.

In einem Schreiben des MSB, Ref. 212 von Mai 2018 heißt es entsprechend,

“Die bisherige Pflicht gem. §§ 8, 10 DSG, ein Verfahrensverzeichnis zur Führung und Einsichtnahme bei den behördlichen Datenschutz- beauftragten zu erstellen und ihnen das Verzeichnis zur Vorabkontrolle vorzulegen, entfällt.
[…] Zwar sind die Datenschutzbeauftragten zur Vorabkontrolle des Verzeichnisses nicht mehr konkret gesetzlich verpflichtet. Gleichwohl wird den Schulleitungen dringend empfohlen, sie weiterhin um Prüfung neuer Dokumentationen zu bitten. Dies unterfällt dem Beratungsrecht der Schulleitungen bzw. der korrespondierenden Pflicht der Datenschutzbeauftragten.

Entsprechendes gilt für die Genehmigung zur Nutzung von privaten ADV-Geräten der Lehrkräfte:

Der Genehmigungsvordruck, der mit der Dienstanweisung (BASS 10-41 Nr. 4) zur Verfügung gestellt worden ist, sieht die Dokumentation der Vorabkontrolle nach bislang geltender Rechtslage vor. Hierzu wird ebenfalls empfohlen, die Datenschutzbeauftragten weiterhin im Wege der Beratung einzubeziehen und dies vom Verantwortlichen (Schulleitung oder ZfsL-Leitung) entsprechend dort im Vordruck zu vermerken.

Die bzw. der Datenschutzbeauftragte ist nicht mehr zur schriftlichen Prüfungsbestätigung verpflichtet.”

Auch eine Vorabkontrolle der Verfahrensverzeichnisse  jetzt Verzeichnisse von Verarbeitungstätigkeiten ist nicht länger verbindlich vorgeschrieben, wird jedoch empfohlen, wie den Ausführungen des MSB zu entnehmen ist.

Schulleitungen entscheiden also selbst, ob sie ihren zuständigen DSB beratend hinzuziehen möchten, bevor sie ihren Lehrkräften eine Genehmigung erteilen. Eine Verpflichtung dazu besteht nicht.

Veröffentlicht am

TeacherTool zeigt, Datenschutz kann einfach sein

Lesezeit: 2 Minuten

Es tut gut, wenn man sieht, dass es Softwareentwickler gibt, die mitdenken. Privacy by Design und Privacy by Default1Siehe dazu Privacy by Design gehören nach Art. 25 DS-GVO zu Grundprinzipien des Datenschutzes. Wer ein Softwareprodukt oder einen Online Dienst entwickelt, sollte entsprechend direkt bei der Entwicklung Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen berücksichtigen. TeacherTool, ein iOS App für die Schülerverwaltung, macht genau dieses schon seit Jahren auf vorbildliche Art und Weise. Der Entwickler der Software kennt die Nöte seiner Kunden, die vor allem in NRW seit der neuen Genehmigung eher zugenommen haben, wenn es um die dienstlichen Vorgaben zur Nutzung von Privatgeräten von Lehrkräften zur Verarbeitung von personenbezogenen Daten aus der Schule geht. Das App, welches Lehrkräften die Verwaltung von Schülerdaten (Noten, Fehlzeiten, Bemerkungen, …) erleichtert und auch die Führung eines Kursbuchs zur Planung des Unterrichts beinhaltet, dürfte von Lehrkräften überwiegend auf Privatgeräte genutzt werden. Und das geht ohne Genehmigung nicht. Strenge technische und organisatorische Vorgaben sind einzuhalten, um das Gerät sicher zu machen. iOS Geräte sind an sich schon sehr sicher, wenn man die vom System angebotenen Sicherheitseinstellungen nutzt. Teachertool packt seine eigenen Sicherheitsfeatures noch oben drauf, um Lehrern die Einhaltung datenschutzrechtlicher Vorgaben zu erleichtern. Das App lässt sich mit einer Zugangssperre versehen, die Datenbanken mit Passwort sichern und der Versand von Kursbüchern per E-Mail, um sie am Rechner zu sichern, erfolgt immer verschlüsselt und passwortgesichert.

Als zusätzlichen Service bietet der Entwickler des Programms auf seiner Website umfängliche Informationen zur sicheren Arbeit mit personenbezogenen Daten von Schülern in TeacherTool. Neben zahlreichen Hilfen auf der Website selbst, stehen aktuell zwei Downloads zur Verfügung. “Informationen zu Datenschutzfragen” geht auf die verschiedenen datenschutzrechtlichen Aspekte bei der Nutzung des Apps und der Desktopsoftware ein, erläutert, welche Daten überhaupt verarbeitet werden sowie relevante technische Aspekte bei der Nutzung und gibt Hinweise, wie man mit maximaler Sicherheit arbeitet. “TeacherTool und die DSGVO” beschäftigt sich speziell mit den Vorgaben der Datenschutz Grundverordnung, gibt aber auch noch weitere hinausgehende Informationen zum Thema.

Gerade für Lehrkräfte in NRW, die mit iOS Geräten arbeiten, ist TeacherTool ideal. Wer sich bei der Verarbeitung von personenbezogene Daten von Schülern auf einem iOS Gerät auf den Einsatz von TeacherTool beschränkt, und dabei sowohl die Sicherheitseinstellungen des Systems wie auch von TeacherTool vollumfänglich einsetzt, der kann den Antrag zur Genehmigung ohne Bedenken unterschreiben. Genauso sollte eine Schulleitung hier ohne Bedenken eine Genehmigung erteilen, denn sicherer geht es nicht.2Ich würde hierzu gegenenfalls das Genehmigungsformular um einen Passus ergänzen, welcher die Genehmigung zur Verarbeitung von personenbezogenen Daten von Schülerinnen und Schülern auf dem iOS Gerät, für welches eine Genehmigung eingeholt werden soll, auf TeacherTool beschränkt. Je nach Situation kann das eine Lösung sein, auch wenn sie nicht ideal ist, da so andere Verarbeitungsmöglichkeiten ausgeschlossen werden. Die Sicherungsdateien sollten dann auf einen schulischen Verwaltungsrechner geschickt und dort gespeichert werden.3So braucht es keine zusätzliche Genehmigung für ein weiteres privates Endgerät. Ausdrucken kann man entweder vom iOS Gerät per WLAN zu Hause oder in der Schule aus der übermittelten Datei.

Als schulischer Datenschutzbeauftragter kann ich für TeacherTool eine uneingeschränkte Empfehlung abgeben.

Schulen, die ihren Lehrer iPads stellen und diese über ein MDM verwalten, können darüber auch Voreinstellungen zur Datenverarbeitung für die Nutzung des TeacherTool App konfigurieren. So kann Schule sicherstellen, dass auch auf dienstlichen iPad im App nur zulässige personenbezogene Daten von Schülern verarbeitet werden.

Veröffentlicht am

Elektronische Schließanlagen in Schulen – ein Problem – zwei Sichten

Lesezeit: 4 Minuten

In NRW beschäftigt Schulen schon seit einiger Zeit das Problem elektronischer oder elektromechanischer Schließsysteme. Diese sollen die Sicherheit der Gebäudezugänge erhöhen und eine Vereinfachung der Verwaltung der Schlüssel- und Schließanlagen bewirken. So kann bei Verlust eines Schlüssels, die Schließberechtigung für diesen einen Schlüssel aufgehoben werden und ein Komplettaustausch der kompletten Schließanlage ist nicht mehr erforderlich.

Bei mechatronischen Schließanlagen hat man einen mechanischen Schlüssel, der im Kopfteil eine elektronische Komponente hat. Über das Zusammenwirken von Schlüssel und Schließzylinder kann durch Berechtigungen bestimmt werden, welcher Schlüssel welche Tür öffnen kann. Der Schließzylinder in der Tür  zeichnet sämtliche Schließvorgänge auf mit Datum und Uhrzeit und ob ein Schließversuch berechtigt oder unberechtigt war. Da die Schließzylinder nur eine begrenzte Anzahl von Schließvorgängen aufzeichnen können, werden die ältesten Schließvorgänge gelöscht, sobald der Speicher voll ist. Die Zuteilung der Schlüssel auf Benutzer erfolgt über eine Software, die meist bei der Haustechnik installiert ist. Mittels eines Handlesegerätes lassen sich die Schließzylinder auslesen. Die dabei aufgenommenen Daten lassen sich in die Software einspielen. Dort können dann Schließvorgänge mit Nutzern zusammengeführt werden. Elektronische Schließsysteme mit Funk-Transponder oder Chipkarten arbeiten vom Prinzip her ähnlich. Das Problem ist das gleiche. Es werden personenbezogene Daten der Personen aufgezeichnet, welche einen Schlüssel innehaben, mittels derer es möglich wäre, nachzuhalten, wann wer das Gebäude betreten hat, eine Tür verschlossen hat, etwa beim Verlassen des Klassenraumes, oder eine Toilette aufgesucht hat.

Interessant ist nun, dass dieser Sachverhalt, der definitiv eine datenschutzrechtliche Komponente hat, je nach Bundesland völlig anders bewertet wird, sowohl was die Verantwortlichkeiten angeht als auch die Rechte der Betroffenen.

Wer ist verantwortlich?

NRW – die Schulleitung ist verantwortlich

Hier in NRW ist man von Seiten des Schulministeriums der Ansicht, dass für die datenschutzrechtlichen Belange, welche sich durch den Betrieb einer elektronischen Schließanlage ergeben, die Schulleitung zuständig ist. Dieses leitet man aus der Dienstanweisung für die automatisierte Verarbeitung personenbezogener Daten in der Schule (BASS 10 – 41 Nr. 4) Nr 3. ab.1Zu einem entsprechenden Schluss kam in einem Urteil am 09.03. 2018 auch das Oberlandesgericht Hamm, 11 U 25/17
“Verantwortliche Stelle i.S.d. § 3 Abs. 3 DSG NW ist nach den obigen Ausführungen hier aber allein die Schule und nicht auch der Beklagte.”Gemeint ist mit der Beklagte der Schulträger, gegen welchen eine Lehrkraft vor Gericht gegangen war.

“Die Schule ist – auch soweit sie sich in kommunaler Trägerschaft befindet – speichernde Stelle im Sinne des Datenschutzgesetzes Nordrhein-Westfalen (DSG NW). Für das Einhalten der Datenschutzvorschriften ist die Schulleiterin oder der Schulleiter verantwortlich.”

Das hat rechtliche Folgen, denn betrieben wird die elektronische Schließanlage nicht durch die Schule, sondern durch den Schulträger oder einen mit dem Gebäudemanagement beauftragten Dienstleister. Die Schulleitung als Verantwortlicher muss demnach mit dem Schulträger einen Vertrag zur Datenverarbeitung im Auftrag abschließen, in welchem ein eventueller Dienstleister für das Gebäudemanagement als Unterauftragnehmer benannt ist. Der Schulträger ist damit gegenüber der Schulleitung weisungsgebunden. Das bedeutet, jegliches Auslesen der Schließzylinder und Zusammenführen der Daten kann nur auf Weisung der Schulleitung erfolgen.

Baden Württemberg – der Schulträger ist verantwortlich

Eine gänzlich andere Sicht auf diese Thematik hat man in Baden Württemberg. Dort geht man davon aus, dass nach § 48 Schulgesetz (SchG) der Schulträger im Rahmen seiner Zuständigkeit für die äußeren Schulangelegenheiten nicht nur das Schulgebäude errichtet und erhält, wozu auch der Einbau einer elektronischen Schließanlage zählt, sondern auch für den Betrieb dieser Anlage verantwortlich ist.2siehe Datenschutzrechtlich verantwortliche Stelle Entsprechend führt man auf einer Seite des Ministeriums aus:

“In der Konsequenz dieser schulrechtlichen Zuweisung der Verantwortung treffen auch die materiell-rechtlichen und formalen datenschutzrechtlichen Anforderungen an den Betrieb der Schließanlage nicht die Schulleitung, sondern den Schulträger.”

Damit liegt hier keine Erfordernis vor, einen Vertrag zur Datenverarbeitung im Auftrag abzuschließen. Dieses selbst dann nicht der Fall, wenn der Schulträger die Verwaltung der Schließanlage ganz oder teilweise auf den Schulleiter delegiert und dieser dann im Rahmen des § 41 SchG BaWü Aufgaben des Schulträgers übernimmt, dabei aber an dessen Weisungen gebunden ist.

Die Rechte der Betroffenen

Einwilligung in NRW

Die schulische Datenschutzgesetzgebung lässt nur die Verarbeitung von personenbezogenen Daten der Lehrkräfte zu, die in der VO-DV II aufgeführt sind. Entsprechend heißt es in einem Schreiben der Bezirksregierung Arnsberg von Januar 2016 zum Beschäftigtendatenschutz bei Einführung elektronischer Schließanlagen in Schulen3Eine gleichlautende Ausführung findet sich auch in einem Schreiben des Schulministeriums von Dezember 2015.:

Mangels Ermächtigung aus dem schulspezifischen Datenschutzrecht käme allenfalls eine Datenverarbeitung mit Einwilligung nach §§ 4, 29a Datenschutzgesetz (DSG) in Betracht.”

Demnach geht in Schulen in NRW nichts ohne eine Einwilligung der betroffenen Lehrkräfte. Diese ist nur rechtswirksam, wenn sie freiwillig erfolgt. Das wiederum ist jedoch nur möglich, wenn es Handlungsalternativen gibt. Das kann, wenn es nur um Außentüren geht, eine Türe sein, die ohne elektronische Schließanlage gesichert oder den ganzen Schultag über unverschlossen ist. Eine weitere Möglichkeit besteht in der Zulosung der Schlüssel, so dass die Schließvorgänge keinem Nutzer zugeordnet werden können.4Dieses bringt jedoch einen Nachteil mit sich. Bei Verlust eines Schlüssels müssen sämtliche Programmierungen verändert werden, so dass nur noch die nicht vorhandenen Schlüssel Schließberechtigung haben. Damit wird ein Pluspunkt dieser System komplett ad absurdum geführt. Schwierig wird es, wenn es um Fachräume geht, bei denen nur zwei oder drei Personen schließberechtigt sind. Ähnliches gilt für Serverräume. Eine Anonymität der Schließvorgänge ist in diesen Fällen nicht mehr herstellbar. Alternative Zugänge haben diese Räume in den meisten Fällen ebenfalls nicht, wodurch auch keine Freiwilligkeit mehr gegeben ist. Ein Dilemma für Schule und Schulträger. In Konformität mit den datenschutzrechtlichen Vorgaben ist eine elektronische Schließanlage hier gar nicht zu betreiben. Solange alle mitspielen und einwilligen, ist das im Alltag kein Problem. Was jedoch, wenn eine Lehrkraft nicht einwilligt oder ihre Einwilligung nachträglich, etwa im Streitfall, in Frage stellt?

Keine Einwilligung in Baden Württemberg

Die datenschutzrechtlichen Probleme, vor welche Schulen und Schulträger in NRW sich durch den Betrieb einer elektronischen Schließanlage gestellt sehen, kennt man in Baden Württemberg nicht. Man orientiert sich dabei an Aussagen des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein (ULD). Dort sieht man “die Erhebung und Speicherung von Zutrittsdaten in elektronischen Schließanlagen für Zwecke der Gefahrenabwehr  (Einbruchschutz und Brandbekämpfung) als zulässig an (Tätigkeitsbericht 2005, Kapitel 4.1.3).” Zu einer vergleichbaren Einschätzung kam auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit, (Jahresbericht 2010, Kapitel 9.1.2 [pdf].5Siehe Datenschutzrechtliche Anforderungen

Das bedeutet, hier ist keine Einwilligung durch die Betroffenen erforderlich, da die Erhebung und Speicherung von Zutrittsdaten in elektronischen Schließanlagen für Zwecke der Gefahrenabwehr rechtlich vorgeht.

Wie in NRW gelten natürlich auch in BaWü die allgemeinen datenschutzrechtlichen Vorgaben zur Transparenz wie zur Zweckbindung und zur Datenvermeidung und –minimierung. Selbstredend steht den Betroffenen ein Auskunftsrecht gegenüber dem Schulträger entsprechend des Landesdatenschutzgesetzes bzw. der DS-GVO zu.

Fazit

Wie das Beispiel Baden Württemberg6Es ist zu erwarten, dass auch andere Bundesländer in diesem Bereich ähnliche Regelungen haben, zumindest in Schleswig Holstein und in Berlin. zeigt, kann das Thema elektronische Schließanlagen auch anders gehandhabt werden. Dabei ist nicht entscheidend, wer letztlich verantwortliche Stelle für die Verarbeitung personenbezogener Daten in der Schließanlage ist, sondern wie diese Datenverarbeitung rechtlich eingeordnet wird.

Werden Betroffene in ihren Rechten zur informationellen Selbstbestimmung in Baden Württemberg eingeschränkt? Das trifft sicherlich zu. Die Frage ist jedoch, ob dieses von Bedeutung ist. Die Datenverarbeitung in den elektronischen Schließanlagen ist zweckgebunden. Entsprechend ist nach Bewertung des  Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein “die Nutzung der Protokoll- oder Ereignisdaten für Zwecke der Überwachung der Mitarbeiter, in der Schule also der Lehrerinnen und Lehrer sowie des Personals des Schulträgers für unzulässig.” Eine Zweckbindung reicht völlig aus, um Betroffene zu schützen. Die Schulleitung, die es wagen sollte, Daten aus der Schließanlage zweckfremd zur Überwachung der Lehrkräfte zu nutzen, wird dafür persönlich gerade stehen müssen und sich zivilrechtlich wie dienstrechtlich verantworten müssen.

Vielleicht sollte man hier in NRW von Seiten des MSB über entsprechende gesetzliche Änderungen nachdenken. Für Schulen und Schulträger könnten die quasi unlösbaren Probleme mit dem datenschutzrechtlich sauberen Betrieb einer elektronischen Schließanlage dann der Vergangenheit angehören.

Veröffentlicht am

DS-GVO – Datenschutz – welche Baustellen sind für Schulen aktuell wichtig?

Lesezeit: 6 Minuten

Mit Beginn der Umsetzung der Datenschutz Grundverordnung (DS-GVO) im Mai diesen Jahres begann für viele Schulen eine Zeit mit großen Unsicherheiten. Kann mir als Schule etwas passieren? Wo muss etwas getan werden? Sind Abmahnungen und Bußgelder in Millionenhöhe eine Gefahr und wie kann ich sie vermeiden? Vor allem die Homepages der Schulen wurden vielfach zum Sorgenkind, da sich hartnäckig Gerüchte über Abmahnungen für fehlende Datenschutzerklärungen und Datenerhebungen ohne Einwilligung hielten. Auch was Fotografien angeht, war und ist die Unsicherheit groß, wie Beispiele mit Fotoverboten bei Entlass- und Einschulungsfeiern und Massenlöschungen von Bildern auf Schulhomepages zeigen.

Mittlerweile hat sich die Aufregung gelegt. Manches wird klarer. Einige Reaktionen an Schulen waren vielleicht etwas übereilt und teilweise auch völlig überzogen, wenngleich verständlich und nachvollziehbar. Bei aller Aufregung um die Datenschutz Grundverordnung sollte jedoch nicht vergessen werden – im schulischen Alltag funktioniert der Datenschutz bisher mehrheitlich gut, und daran hat sich seit Mai diesen Jahres auch nichts geändert.

Nichts wird so heiß gegessen, wie es gekocht wird. Das gilt hier ebenso. Ganz sicher gibt es an fast jeder Schule Optimierungsbedarf beim Datenschutz, doch Schulen haben genug andere, drängendere Probleme zu bewältigen. Die folgende Übersicht soll vermitteln,  wo zeitnah Handlungsbedarf besteht und bei welchen Datenschutzthemen man es ruhiger angehen lassen kann.

Einwilligungen

Sie stellen das vermutlich dringlichste Thema dar, denn eine Schule muss nachweisen können, dass eine Einwilligung vorliegt, wenn personenbezogene Daten verarbeitet werden, die nicht auf gesetzlicher Grundlage (SchulG NRW, DS-GVO I & II) erhoben wurden. Nur so kann sie sich vor rechtlichen Folgen schützen. Alte Einwilligungen können, wenn sie gewisse Vorgaben erfüllen, weiter genutzt werden. Trifft das nicht zu oder es gibt gar keine Einwilligungen, sollte man mit gesundem Menschenverstand abwägen, ob es Sinn macht, die Einwilligung zu erneuern bzw. nachträglich einzuholen. Sind die Betroffenen noch Schüler bzw. Beschäftigte der Schule, sollte man auf jeden Fall aktuelle Einwilligungen dieser Personen haben, wenn es um neue Fotografien und Videos geht. Auch bei Zweckänderungen in der Verarbeitung von bereits erhobenen personenbezogenen Daten sollte man sich entsprechend durch eine Einwilligung absichern. Geht es um Bilder oder Berichte auf der Schulhomepage, die Personen sind nicht mehr an der Schule, haben sich aber nie beschwert, so belässt man die Dinge wie sie sind. Sollte irgendwann doch einmal ein Betroffener eine Löschung wünschen, kommt man dieser nach und das Thema ist damit in der Regel erledigt. Dass sich hieraus ein Rechtsstreit ergibt ist mit der DS-GVO nicht wahrscheinlicher geworden als zuvor.

Einwilligungen stehen hier an erster Stelle, da Betroffene vor Gericht auf Schadensersatz klagen können, wenn die Schule personenbezogene Daten ohne ihre Einwilligung verarbeitet und diese z.B. auf der Schulhomepage veröffentlicht oder an Dritte übermittelt.

Risiken minimieren

Auch wenn es insgesamt gut bestellt ist um den Datenschutz in der Schule, so beobachtet man doch immer wieder Praktiken, die riskant sind und zu viel Ärger und empfindlichen Strafen führen können, wenn es dann doch einmal schief geht. Gemeint sind folgende Bereiche:

  1. Keine personenbezogenen Daten per E-Mail versenden, wenn das E-Mail nicht verschlüsselt ist. Der Schulträger, die Verkehrsbetriebe oder eine andere Stelle benötigt eine Liste mit Teilnehmern oder das Schulamt fragt an wegen eines Schülers. Tabellen und Word Dokumente werden dann schnell verschickt. Es ist einfach und bequem – aber extrem unsicher! Auch wenn es mehr Arbeit macht, nutzen Sie einen sicheren Weg und wenn es per Brief ist oder Fax – falls Sie nicht in der Lage sind, E-Mails zu verschlüsseln.
  2. Transport von personenbezogenen Daten nur auf gesicherten Datenträgern! Einen USB Stick hat man schnell verloren, eine externe Festplatte bleibt auch einmal wo liegen. Ungesichert kann jeder den Inhalt auslesen. Falls man selbst keinen USB Stick verschlüsseln kann – es gibt solche mit integrierter Verschlüsselung. Sie kosten zwischen 20 und 30 € und sind einfach zu nutzen und sicher.
  3. Keine Aufnahmen von Schülerinnen und Schülern mal eben so! Es gibt viele schöne Projekte im Unterricht, wo es passend scheint, Aufnahmen zu anzufertigen, Bewegungsanalysen im Sportunterricht, ein Sketch im Fremdsprachunterricht und ähnlich. Auch wenn die Schüler nichts dagegen haben, sichert man sich besser durch eine Einwilligung ab. Man kann dieses bei der Anmeldung an der Schule machen oder später anlassbezogen nachholen. Besondere Anlässe benötigen immer eine anlassbezogene Einwilligung!
  4. Vor Veröffentlichung von personenbezogenen Daten – insbesondere Fotos und Videos – vergewissern, dass eine Einwilligung vorliegt! Wenn es an ihrer Schule Schüler oder Lehrkräfte gibt, die eine Einwilligung für die Veröffentlichung von personenbezogenen Daten generell oder bestimmten Formen (z.B. Fotos) nicht gegeben oder diese widerrufen haben, gehen sie vor jeder Veröffenlichung sicher, dass hier kein Fehler gemacht wird, denn dieses kann teuer werden. Wer nicht einwilligt oder eine Einwilligung widerruft, wird mit Sicherheit auf seinem Recht bestehen, auch vor Gericht.
  5. Melden sie ihre Schüler nicht mal einfach so auf irgendeiner Plattform an! Solange eine Plattform ohne Anmeldung mit personenbezogenen Daten genutzt werden kann, gibt es keine Probleme. Wenn sie für ihre Schüler ohne Einwilligung auf einer Plattform unter Verwendung personenbezogener Daten User anlegen, kann das Ärger geben. Bitte beachten sie, nach der DS-GVO sind in Deutschland Schüler selbst erst ab 16 Jahren einwilligungsfähig! Denken sie außerdem daran, dass die Nutzung einer externen Plattform mit personenbezogenen Daten eine Genehmigung durch die Schulleitung braucht und eventuell einen Vertrag zur Auftragsverarbeitung.
  6. Geben Sie keine personenbezogenen Daten ohne die entsprechende Einwilligung weiter! Eine Telefonliste für alle Eltern, die am ersten Elternabend anwesend sind, einschließlich der Telefonnummern der Eltern, die nicht anwesend sind, was ist schon dabei? Das örtliche Geldinstitut möchte gerne eine Teilnehmerliste der Zehner haben, die am Seminar in der Filiale teilnehmen. Kein Problem, oder? Leider doch. Schulen dürfen ohne Einwilligung nur personenbezogene Daten weitergeben, wenn dieses durch entsprechende Rechtsvorschriften abgedeckt ist, sonst nicht. Bevor also die Telefonliste herausgegeben wird an alle Eltern mit allen Nummern, muss erst die Einwilligung der fehlenden Eltern eingeholt werden. Bei den Zehnern braucht es die der Schülerinnen und Schüler, schriftlich, damit sie die Einwilligung nachweisen können.
  7. Vernichten bzw. löschen sie personenbezogene Daten sicher! Wenn personenbezogene Daten aus der Schule im Müll auftauchen oder auf dem Flohmarkt, gespeichert auf einer entsorgten Festplatte, dann kann das schwer ins Auge gehen. Deswegen sollten alle diese Unterlagen, ob in Form von Papier oder digitalen Medien sachgerecht und sicher entsorgt werden. In jedes Schulsekretariat gehört ein guter Schredder zumindest DIN 66399‎. Ausgediente digitale Medien sollte man entweder selbst physikalisch zerstören oder durch einen Profi Entsorger vernichten lassen. Gleiches gilt für gößere Aktenmengen. Schulträger haben die entsprechenden Kontakte. Sicheres Löschen bzw. Vernichten gilt auch für Lehrkräfte. Sollen digitale Medien weiter im Haus genutzt werden, müssen sie durch entsprechende Software sicher gelöscht werden. Gehen sie außer Haus ist eine Zerstörung bzw. professionelle Entsorgung der bessere Weg.
  8. Verzichten sie als Schule auf einen Facebook Auftritt – aktuell sieht es sehr danach aus, dass man als Betreiber einer eigenen Facebook Fanpage, und darunter fällt auch eine schulische Facebook Präsenz, Mitverantwortung für die Datenerhebung und -verarbeitung durch Facebook trägt. Wer der Schule übel will, könnte das ausnutzen, um rechtliche Schritte gegen die Schule einzuleiten.1Sollten sie nicht auf die Facebook Präsenz ihrer Schule verzichten wollen, so würde ich auf jeden Fall dringend von der Veröffentlichung irgendwelcher personenbezogener Daten von Schülern und Lehrkräften abraten, vor allem von Fotos und Videos.

Schulhomepage

Auch wenn es bei der Schulhomepage bezüglich des Datenschutz keine Angriffspunkte gibt, wegen derer eine Schule abgemahnt werden könnte, sollte man vorbeugen und die Verarbeitung von personenbezogenen Daten auf das notwendige Minimum reduzieren. Es empfiehlt sich sehr, auf Website Elemente zu verzichten, die Daten erheben und an Dritte weiterleiten und stattdessen auf datenschutzfreundliche Alternativen zu setzen. Wenn es doch nicht ohne geht, dann muss in der Datenschutzerklärung darüber informiert werden. Aktuell gehen rechtliche Risiken in Bezug auf die Schulhomepage weniger von Seiten des Datenschutz aus als von Verletzungen des Urheberrechts oder des Persönlichkeitsrechts. Viele Schulen waren hier schon aktiv und es sollte kaum noch Handlungsbedarf bestehen.

Vertrag zur Datenverarbeitung im Auftrag

Wenn Schulen personenbezogene Daten durch externe Dienstleister verarbeiten lassen, sei es der Hoster für die Website, der Schulträger für ein Lernmanagementsystem, die Office 365 Cloud, Apple für die Managed Apple IDs, Westermanns Leseplattform Antolin oder ähnlich, so muss dieser dazu beauftragt werden. Hier gibt es eine Vorgabe für Schulen in NRW in der VO-DV I §2 Abs. 32(3) Die Schulen und Schulaufsichtsbehörden sind berechtigt, unter Beachtung der Voraussetzung des § 11 DSG NRW die Datensicherheit gewährleistende und zuverlässige Institutionen mit der Verarbeitung ihrer Daten zu beauftragen. Die Datenverarbeitung im Auftrag ist nur zulässig nach Weisung der Schule oder der Schulaufsichtsbehörden und ausschließlich für deren Zwecke.. Das Mittel, um die Beauftragung zu dokumentieren, ist ein Vertrag zur Auftragsverarbeitung, der auch elektronisch abgeschlossen werden kann. Es ist gut, wenn man die entsprechenden Verträge hat. Wer wird es kontrollieren? Vermutlich niemand. Sollte es beim Anbieter zu einem Datenschutzvorfall kommen, ist man mit einem Vertrag aber eindeutig auf der sicheren Seite.

Verzeichnis von Verarbeitungstätigkeiten

Die DS-GVO macht die Vorgabe, diese Verzeichnisse zu erstellen. Was genau eine Verarbeitungstätigkeit von einer anderen abgrenzt, bleibt bislang unklar. Wird der Datenschutz besser durch dieses Verzeichnis? Wohl nicht. Anders als noch die alten Verfahrensverzeichnisse, müssen die neuen Verzeichnisse Betroffenen nicht offengelegt werden. Auch die Vorabkontrolle durch die Datenschutzbeauftragten gibt es nicht mehr. Wenn überhaupt, dann könnte die Aufsichtsbehörde sie anfordern. Aber auch damit ist nicht zu rechnen, denn die geringe Zahl der Mitarbeiter lässt der Aufsichtbehörde dafür kaum Zeit. Man muss sich um Betriebe kümmern. Und anders als bei öffentlichen Stellen, zu denen Schulen zählen, können Betriebe mit Bußgeldern belegt werden, wenn die Dokumentation fehlt oder nicht stimmig ist. Das heißt: Schulen können dieses Thema weit hintenanstellen. Wenn Zeit und Ressourcen da sind, lädt man die passenden Vorlagen herunter, füllt das Vorblatt und ergänzt oder streicht, wo erforderlich und gut ist.

Stolz präsentiert von WordPress