Padlet mit Einwilligung nutzen

Lesezeit: 2 Minuten

Padlet ist sehr beliebt bei Lehrkräften, da es einfach zu nutzen ist, für Schüler wie Lehrkräfte. Meist werden von Lehrkräften kostenlose Konten mit einer beschränkten Anzahl von Padlets erstellt. Mitunter ist Lehrkräften Padlet so nützlich, dass sie dafür sogar zahlen.

Ich hatte in diesem Beitrag bisher den Begriff Zustimmung genutzt, die Nutzung von Padlet durch die Schule ohne einen Vertrag zur Auftragsverarbeitung von einer Nutzung mit abzugrenzen. Wie ich mittlerweile von aufmerksamen Lesern jedoch gelernt habe, kann der Begriff der Zustimmung im juristischen Sinne so nicht verwendet werden. Entsprechend sind der Beitrag und auch die Vorlage abgeändert.

Ohne eigenes Nutzerkonto der Schüler

Eine Nutzung von Padlet ist ohne eigenes Konto für Schüler möglich. Der Zugriff auf ein Padlet erfolgt dann auf Einladung durch die Lehrkraft über einen Link. Je nach Art der Nutzung fallen dabei fast gar keine bis einige personenbezogene Daten an. Erfolgt die Nutzung auf schulischen Endgeräten, ohne eine Anmeldung der Schüler an anderen externen Diensten und am Standort Schule, bleibt die Nutzung anonym, solange keine Inhalte mit personenbezogenen Daten in das Padlet eingestellt werden. Anders ist das bei der häuslichen Nutzung an einem privaten Endgerät oder im Fall von BYOD in der Schule. Über das Gerät, das System, den Browser und eventuelle Logins an anderen Plattformen sind Schüler für Padlet und dort eingesetzte Technologien von Dritten durch dort vorhandene Daten oder Zusammenführung mit Daten aus anderen Quellen potentiell identifizierbar.1Potentiell identifizierbar“ muss nicht automatisch bedeuten, dass der Anbieter von Padlet dieses auch tut. Vertraut man der Datenschutzerklärung, werden keine Profile gebildet. Padlet setzt auf Google-Analytics. Momentan geht aus der Datenschutzerklärung nicht hervor, ob dabei auch Daten an Google fließen oder ob man die Option nutzt, Daten nur selbst zu verwenden. Nach einer Prüfung über https://checkgoogleanalytics.psi.uni-bamberg.de/ muss davon ausgegangen werden, dass Google-Analytics nicht mit IP Nummern Verkürzung genutzt wird. Stand 11.06.2020
Potentiell identifizierbar“ würde hier bedeuten, dass einer identifizierbaren Person die Nutzung von Padlet an einem bestimmten Tag zu einer bestimmten Uhrzeit zugeordnet werden kann. Es geht dabei nicht um Inhalte eines Padlets, sofern diese nicht selbst aus externen Quellen eingebunden sind, wie YouTube Videos.

Vertiefende Informationen zur Datenverarbeitung durch Padlet finden sich unter Datenschutz Check – Padlet – digitale Pinnwand. Dort geht es auch um den Vertrag zur Auftragsverarbeitung, den Schulen mit dem Anbieter abschließen können, wenn sie ein Schulkonto einrichten.

Padlet mit Vertrag zur Auftragsverarbeitung

Padlet bietet auch die Möglichkeit, einen Vertrag zur Auftragsverarbeitung abzuschließen. Dieser ist erhältlich, wenn Schulen eine Backpack Schul- oder Lehrerlizenz erwerben. Der Vertrag zur Auftragsverarbeitung nennt sich bei Padlet Data Processing Addendum. Im Datenschutz-Check zu Padlet ist er genauer beschrieben und kann dort auch eingesehen werden.

Information und Einwilligung

Wie bei jeder Einwilligung sollten die Betroffenen, Eltern und Schüler, in die Lage versetzt werden, eine informierte Entscheidung zu treffen. Dafür sollten auch Informationen zur Datenverarbeitung bei Padlet gegeben werden. Ziel dieser Vorlage ist es, die Informationen möglichst leicht verständlich zu geben.

 

Hinweis 1
Lehrkräfte sollten vor einer Nutzung von Padlet wie auch anderen Online Tools, welche eine aktive Beteiligung von Schülern einschließt, die Genehmigung der Schulleitung einholen oder sie zumindest informieren. Wird Padlet nur als Website genutzt, um Schülern Inhalte bereitzustellen – und es geht nicht um eine aktive Arbeit der Schüler im Padlet – braucht es weder einer Einwilligung der Betroffenen noch eine Genehmigung/ Informierung der Schulleitung. Ein Padlet ist dann nichts anders als jede andere Website.
Hinweis 2
Bitte beachten Sie, dass durch das EU-GH Urteil vom 16.07.2020, der EU-US Privacy Shield für ungültig erklärt wurde. Transfers von personenbezogenen Daten in die USA, wie sie auch bei einer Nutzung von Padlet möglich sind, können damit nicht mehr auf der Grundlage des EU-US Privacy Shield erfolgen. Eltern sollten entsprechend informiert werden. Bei einer Nutzung von Padlet ohne personenbezogene oder -beziehbare Daten von Schülerinnen und Schülern, wie oben beschrieben, hat der Wegfall es EU-US Privacy Shield keine nachteiligen Auswirkungen.

Stand 09/2020

Eltern in NRW sind verpflichtet Schulen E-Mail Adresse zu geben

Lesezeit: < 1 Minute

Normalerweise beruht die Angabe einer privaten E-Mail Adresse von Eltern in NRW auf Freiwilligkeit. Viele Eltern geben zumindest eine E-Mail Adresse bei der Anmeldung des Kindes an der Schule an, aber nicht alle. Das Schulministerium NRW hat eine Corona Virus FAQ veröffentlicht und sich dort zum Thema Angabe einer E-Mail Adresse geäußert.1Das Zitat gibt den Stand vom 19.03.2020 wieder.

„Unter Rückgriff auf die allgemeine Regelung des § 3 Abs. 1 DSG NRW ist es zur Erfüllung des Bildungsauftrags der Schulen datenschutzrechtlich zulässig, in Fällen der längeren Schulschließungen wegen der Corona-Pandemie von den Schülerinnen und Schüler bzw. Eltern die Angabe der privaten E-Mail-Adresse zu fordern und ihnen die Materialien zuzusenden.“

Entsprechend § 3 Abs. 1 DSG NRW kann die Schule nun geltend machen, dass sie die E-Mail Adresse der Eltern einfordert, „wenn sie für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe der verarbeitenden Stellen erforderlich ist oder wenn sie in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.“

Hinweis: Die Verarbeitung der auf dieser Rechtsgrundlage bei den Eltern erhobenen E-Mail-Adressen erfolgt zweckgebunden, um „ihnen die Materialien zuzusenden“. Sobald durch die Aufhebung der Corona Virus bedingten Schulschließungen dieser Verarbeitungszweck entfällt, ist für Schulen eine  weitere Nutzung und Speicherung dieser E-Mail Adressen nicht länger zulässig. 2Bitte beachten Sie, diese Vorgabe gilt nur für die E-Mail Adressen, welche auf der Grundlage von § 3 Abs. 1 DSG NRW erhoben wurden, nicht für solche welche bei den Eltern auf der Grundlage einer Einwilligung erhoben wurden.

Einwilligung ohne Papier in Zeiten von Corona

Lesezeit: < 1 Minute

In Zeiten des Corona Virus sind die Schulen geschlossen und trotzdem muss der Unterrichtsbetrieb irgendwie weiterlaufen. Auch die Kommunikation mit Schülern und Erziehungsberechtigten muss möglichst reibungslos und unaufwändig weiterhin möglich sein. Schulen setzen von daher vermehrt auf Online-Plattformen und Apps. Da diese in der Vergangenheit jedoch entweder noch nicht genutzt wurden oder nur von einem Teil der Schülerinnen, Schüler, Lehrkräfte und eventuell auch Eltern, ist es oftmals erforderlich, eine Einwilligung der Betroffenen einzuholen. Wollte man dieses in Papierform erledigen, wäre solches mit sehr viel Aufwand verbunden. Außerdem müsste damit gerechnet werden, dass die Rücklaufquote nicht 100 % ist und je nach Situation sogar extrem gering ausfallen könnte, etwa weil Person das Haus nicht verlassen können.

Was viele nicht bekannt ist, Einwilligungen können durch aus auch elektronisch von den Betroffenen eingeholt werden. Auf welcher  Rechtsgrundlage dieses für Schulen in Nordrhein-Westfalen möglich ist wie man elektronische Einwilligungen umsetzen kann, wird in dem Beitrag Einwilligung einholen ohne Papier ausführlich erklärt.

Wenn Eltern personenbezogene Daten per E-Mail an die Schule senden …

Lesezeit: 3 Minuten

Es kommt immer wieder einmal vor, dass Eltern personenbezogene Daten via E-Mail an Lehrkräfte oder die Schule übermitteln. Mal ist es das eingescannte oder abfotografierte ärztliche Attest, mit welchem das Kind entschuldigt werden soll oder es ist eine Krankmeldung mit ausführlicher Darstellung des Befundes. Mitunter übermitteln Eltern auch Unterlagen, welche bei der Anmeldung an einer Schule vorzulegen sind, vom letzten Grundschulzeugnis bis zur Geburtsurkunde.

Auch aus diesem Grund wird von Lehrkräften immer mal wieder die Frage gestellt, ob sie dann den Eltern auf gleichem Wege antworten dürfen und dabei auch personenbezogene Daten übermitteln können?

Die E-Mail-Adresse, welche von Erziehungsberechtigten bei der Anmeldung an der Schule angegeben wird, kann selbst verständlich genutzt werden, um allgemeine Informationen an die Eltern zu übermitteln. Das können der schulische Newsletter sein, das Elternrundschreiben, die Informationen zur nächsten Klassenfahrt und ähnlich.

Schreiben Eltern, die gerade dabei sind, ihre Kinder an der Schule anzumelden, der Schule per E-Mail, so kann die Schule auf gleichem Wege antworten. Eltern müssen damit rechnen, dass ein E-Mail Empfänger, hier die Schule, die Absenderadresse nutzt, um seine Antwort an diese zu richten. Allerdings sollte sich die Schule davor hüten, auf diesem Wege personenbezogene Daten an die Eltern zu übermitteln. Wenn die Schule per E-Mail Unterlagen erhält, kann sie den Empfang dieser auf gleichem Wege bestätigen und sollte die Eltern dabei darauf hinweisen, dass dieser Weg der Übermittlung unsicher ist und man davon abrät, personenbezogene Daten des Kindes, vor allem sensible personenbezogene Daten, auf diesem Wege an die Schule zu übermitteln. Abhalten kann man die Eltern letztlich nicht von ihrem Handeln. Sie tun es in eigener Verantwortung und auf eigenes Risiko.

Die Schule auf ihrer Seite kann dieses nicht tun. Wenn sie als verantwortliche Stelle personenbezogene Daten verarbeitet, muss die Sicherheit der Verarbeitung gewährleistet sein. Das schließt auch die Übermittlung von personenbezogenen Daten ein. Selbst mit Einwilligung der Eltern sollte von einer ungeschützten Übermittlung von sensiblen personenbezogenen Daten per E-Mail abgesehen werden.1In Österreich wurde 2018 eine Strafe gegen eine Tagesklinik verhängt, weil diese Patientendaten unverschlüsselt an Patienten übermittelt hatte, mit Einwilligung der Patienten. „Die Datenschutzbehörde stellte in ihrer Entscheidung (DSB-D213.692/0001-DSB/2018) klar, dass Einwilligungserklärungen den (hohen) Anforderungen der DSGVO genügen müssen und dass eine Einwilligung der betroffenen Person nicht dazu dienen kann, um (ungenügende) Datensicherheitsmassnahmen zu rechtfertigen.“ Quelle: Datenschutzbehörde Österreich: Einwilligung in den unverschlüsselten Versand von Patientendaten ist unwirksam; 31.05.2019; abgerufen am 07.03.2020

Welche Möglichkeiten haben Schulen, Eltern personenbezogene Daten zu übermitteln?

Es bleiben immer die klassischen Möglichkeiten, Eltern wichtige personenbezogene Daten per Post oder telefonisch zu übermitteln. Je nach Situation sind diese beiden Möglichkeiten aber nicht passend, etwa da Briefe zu lange brauchen, bis sie beim Empfänger ankommen, oder da einige Eltern telefonisch schwer erreichbar sind. Alternativ können Schulen auch sichere Messenger nutzen oder spezialisierte Apps für Schulen mit Funktionen zur Übermittlung von Nachrichten. WhatsApp, das auch bei Eltern weit verbreitet ist, bietet zwar eine sichere Ende-zu-Ende Verschlüsselung, kann aber von Schulen nicht für die Übermittlung von Nachrichten mit personenbezogenen Daten an Eltern genutzt werden, da die datenschutzrechtlichen Voraussetzungen insgesamt nicht gegeben sind. NRW gesteht Lehrkräften momentan die Möglichkeit zu, Eltern Nachrichten, auch mit personenbezogenen Daten, über WhatsApp zu übermitteln, wenn dieses im gegenseitigen Einvernehmen erfolgt.  2Wenn Lehrkräfte mit Eltern sowie Schülerinnen und Schülern über WhatsApp kommunizieren und personenbezogenen Daten übermittelt werden, liegt dies daher im persönlichen Ermessen aller Beteiligten und ist keine von der Schulleitung zu verantwortende dienstliche Kommunikation. Sinnvollerweise ist eine schriftliche Einverständniserklärung der betroffenen Personen bzw. der Erziehungsberechtigten für diese Form der Kommunikation einzuholen.Fragen zur Kommunikation mit Eltern, Medienberatung NRW, abgerufen am 09.03.2020; Zu empfehlen ist dieses jedoch nicht, mag aber manchmal vielleicht die einzige Möglichkeit sein. Andere Bundesländer sind hier deutlich restriktiver und untersagen Schulen und Lehrkräften die Kommunikation mit WhatsApp grundsätzlich.  

Es gibt allerdings gute Alternativen zu WhatsApp und E-Mail. Am Markt haben sich mittlerweile gut ein Dutzend Anbieter etabliert, welche spezielle Kommunikationsplattformen für Schulen entwickelt haben. Viele dieser Plattformen bieten außer Kommunikation weitere für Schulen nützliche Funktionen. Darüber hinaus gibt es neben WhatsApp auch einige reine Messenger, die datenschutzkonform nutzbar sind für Schulen. Ein Überblick über Messenger und Plattformen für Schulen mit Kommunikationsfunktionen, die für eine offizielle Nutzung durch Schule in Frage kommen, finden sich unter Schulische Plattformen (Kommunikation).

Brauchen Schülerfotos mit unkenntlich gemachtem Gesicht eine Einwilligung?

Lesezeit: 3 Minuten

Die Frage, ob man bei Fotos auf denen Personen abgebildet sind, um die lästige Einwilligung umhin kommen kann, wenn man die Gesichter der abgebildeten Personen unkenntlich macht, stellen sich Lehrkräfte in Schule immer wieder. Manchmal sind es bloggende Lehrkräfte aus dem Twitterlehrerzimmer, die einen Einblick in ihre Unterrichtsprojekte mit digitalen Medien geben möchten, oder es geht Lehrkräfte, die mit ihren Schülern Projekte aus dem Unterricht im Klassen-Blog vorstellen möchten. Auch bei der Erstellung von Präsentationen für den Informationsabend für Eltern neuer Schüler stellt sich die Frage immer wieder, wenn man im Archiv nach brauchbaren Aufnahmen sucht, welche den Unterricht und dasSchulleben anschaulich illustrieren.

Gemein ist allen Beispielen, dass es um Personenaufnahmen geht und deren Veröffentlichung setzt in den meisten Fällen eine Einwilligung der Betroffenen voraus1Siehe hierzu auch den Beitrag Alte Klassenfotos für Festschrift und Ausstellung nutzen – geht das?, wo Ausnahmen beschrieben sind, bei denen keine Einwilligung erforderlich ist, auch wenn die betroffene Person erkennbar abgebildet ist.. Während es im ersten und zweiten Beispiel um aktuelle Aufnahmen geht, sind im dritten Beispiel oft auch ältere Aufnahmen betroffen, Fotos, auf denen Schüler abgebildet sind, die nicht einmal mehr auf der Schule sind. Eine Einwilligung für die geplanten Veröffentlichungszwecke liegt dort meist nicht vor und kann auch nicht mehr eingeholt werden. Die bloggenden Lehrkräfte bzw. Lehrkräfte, die mit ihren Schülern im Unterricht einen Internetauftritt gestalten, hätten zwar die Möglichkeit, Einwilligungen einzuholen, versuchen aber, um die lästige Formalie herumzukommen.

Bild von Toller Unterricht verlinkt. Im unteren Bild sind die abgebildeten Schüler vermutlich eher nicht zu identifizieren. Eine Einwilligung dürfte dort nicht erforderlich sein. Beim oberen Bild könnte von den beiden Schülern vorne, zumindest der rechts sitzende Schüler anhand der Kleidung erkennbar sein, auch über die Klassen- oder Kursgruppe hinaus.

Immer wieder wird deshalb die Frage an Datenschutzbeauftragte gerichtet, ob es reicht, die Gesichter mit einem Smiley 😀 zu überdecken oder sonst unkenntlich zu machen, um die Fotos dann ohne vorliegende Einwilligung für Zwecke wie die oben beschriebenen nutzen zu können?

Auch mit unkenntlich gemachten Gesichtern fallen Personenabbildungen weiterhin unter die DS-GVO und KUG, solange die abgebildeten Personen erkennbar bleiben, wie der Tweet von Jörn Erbguth beschreibt.

Bei Bildern, auf denen Gesichter durch Smileys überdeckt oder anders unkenntlich gemacht sind,  fällt zwar das Gesicht als identifizierendes Merkmal weg, doch es verbleiben oftmals viele weitere Merkmale, wie die Kleidung, Statur und Körpergröße. An diesen können zumindest Personen, welche die Schüler kennen, diese meist problemlos identifizieren.2Darüber hinaus ist nicht auszuschließen, dass über entsprechende Programme und weiteres vorliegendes Bildmaterial aus anderen Quellen eine Identifizierung der abgebildeten Schüler möglich ist, wenn die Aufnahmen im Internet veröffentlicht werden.

Auch wenn alle Gesichter auf einer Aufnahme unkenntlich gemacht wurden, bedeutet dieses nicht automatisch, dass solche Fotos von Schülerinnen und Schülern ohne Einwilligung der Betroffenen veröffentlicht werden können. Dabei ist es unerheblich, ob es sich um eine Nutzung der Aufnahmen auf einer Website handelt oder um eine Nutzung für eine Präsentation, welche interessierten Eltern bei der Vorstellung der Schule am Informationsabend gezeigt wird.

Da die Identifizierung der Schüler durch das Unkenntlichmachen jedoch nur für einen kleinen Personenkreis aus dem unmittelbaren Umfeld der Schüler möglich ist, sollte für Eltern kaum etwas dagegen sprechen, Lehrkräften bzw. der Schule der Kinder eine Einwilligung zur Nutzung derart bearbeiteter Aufnahmen für die in den Beispielen beschriebenen Zwecke zu erteilen. Dass die Aufnahmen entsprechend bearbeitet werden, um die Identität der Kinder zu schützen, sollte in der Einwilligung deshalb ausdrücklich erwähnt werden.3 Normalerweise werden Einwilligungen für die Anfertigung und Nutzung bzw. Veröffentlichung von Aufnahmen in der Schule immer gegenüber der Schulleitung erteilt. Im Fall, dass eine Lehrkraft Fotos für ihr privates Lehrerblog nutzen möchte, muss die Einwilligung gegenüber der Lehrkraft erteilt werden. Die Lehrkraft sollte dieses jedoch mit der Schulleitung absprechen und diese Information entsprechend in die Einwilligung mit aufnehmen, eventuell sogar mit einer Unterschrift der Schulleitung. Eine Ausnahme bilden nur solche Aufnahmen, bei denen über das unkenntlich gemachte Gesicht hinaus keine weiteren Merkmale erkennbar sind, die es zulassen würden, die abgebildete Person zu identifizieren.

Auch bei Aufnahmen, bei welchen Schülerinnen und Schüler so fotografiert werden, dass sie nicht direkt in die Kamera schauen, muss darauf geachtet werden, ob sie trotzdem noch einfach zu erkennen sind, zumindest für die Personen in ihrem Umfeld. Ist das der Fall, sollte über eine Einwilligung nachgedacht werden.

Wie gut Algorithmen zur Gesichtserkennung mittlerweile sind, zeigt der Beitrag Gesichtserkennung und Identifikation trotz Atemmaske möglich von Datenschutz-Notizen.de und die Entwicklung geht hier in großen Schritten weiter.

Brexit und die Folgen für Schule aus Datenschutzsicht

Lesezeit: 2 Minuten

Großbritannien hat zum 01.02.2020 die EU verlassen. Bis zum 31.12.2020 gilt eine Übergangsfrist, während der die Vereinbarungen und Abkommen der EU weiterhin Bestand haben. Damit hat auch die DS-GVO noch bis Ende diesen Jahres Bestand auf der britischen Insel. Schulen können in dieser Zeit problemlos Apps1Apps meint hier solche, deren Nutzung eine Onlineanbindung an die Server des Anbieters erfordert. und Online-Plattformen britischer Anbieter mit Schülerinnen und Schülern nutzen, wenn deren Einsatz auch bisher den Anforderungen aus Schul- und Datenschutzrecht entsprach.

Sofern britische Anbieter ihre Verarbeitung personenbezogener Daten in diesem Zeitraum jedoch nicht für die Zeit nach Ende der Übergangsfrist umstellen, wird eine Nutzung für Schulen in der EU nicht länger möglich sein. Warum ist das so?

Nach dem Ende der Übergangsfrist gilt in Großbritannien nicht mehr die DS-GVO. Großbritannien gilt dann als ein sogenanntes unsicheres Drittland. Eine Übermittlung bzw. Verarbeitung von personenbezogenen Daten in einem Drittland ist nur möglich, wenn es

  • entweder ein Abkommen zwischen der EU und Großbritannien gibt oder
  • für Großbritannien ein Angemessenheitsbeschluss besteht oder
  • die EU Standardvertragsklauseln angewendet werden können oder
  • man eine Art EU UK Privacy Shield aushandelt, nach welchem Anbieter sich selbst zertifizieren können.

Die Möglichkeit, mit Erlaubnis der Aufsichtsbehörde einen Vertrag mit dem Anbieter abzuschließen, welche die Sicherheit und den Schutz der personenbezogenen Daten garantiert, besteht für Unternehmen und kommt für Schulen wohl eher nicht in Betracht.

Die britische Regierung hat bereits angekündigt, dass man von den Regelungen der DS-GVO abweichen und stattdessen eigenes Datenschutzrecht schaffen will. Das wird es deutlich erschweren, eine zeitnahe Lösung für eine Rechtsgrundlage auszuhandeln, auf welcher personenbezogene Daten aus der EU in Großbritannien verarbeitet werden können.

Das bedeutet

für britische Anbieter von Apps und Online-Plattformen im Bildungsbereich, dass sie andere Lösungen finden müssen, um Schulen in der EU auch nach dem Ende der Übergangsfrist eine datenschutzkonforme Nutzen zu ermöglichen. In der Praxis lässt sich dieses am leichtesten umsetzen, wenn die Verarbeitung und Speicherung der personenbezogenen Daten von Schülerinnen und Schülern aus der EU in ein EU-Land verlegt wird.2Möglich wäre auch die Nutzung eines Serverstandortes in einem Drittland, für welches ein Angemessenheitsbeschluss besteht, die EU Standardvertragsklauseln gelten oder es ein sonstiges Abkommen mit der EU gibt. Ein Serverstandort innerhalb der EU oder des EWR wird jedoch die einfachste und sicherste Lösung sein.

für Schulen hängt die Bedeutung des Endes der Übergangsfrist davon ab, ob der Anbieter eine Lösung gefunden hat, die es ihnen erlaubt, sein Produkt weiterhin datenschutzkonform zu nutzen oder nicht.

  • Schafft es der Anbieter nicht, Schulen nach Ende der Übergangsfrist eine datenschutzkonforme Lösung anzubieten, sind Schulen gezwungen, die Nutzung des Apps bzw. der Plattform mit dem Ende der Übergangsfrist einzustellen. Sämtliche Nutzerkonten sind bis dahin zu löschen. Erstellte digitale Medien sollten, sofern sie personenbezogene oder -beziehbare Daten enthalten, heruntergeladen oder in eine andere Plattform übertragen werden, bevor sie ebenfalls zu löschen sind.
  • Kann der Anbieter eine neue, datenschutzkonforme Lösung anbieten, sind gegebenenfalls bestehende Verträge zur Auftragsverarbeitung zu überprüfen und an die neuen Bedingungen anzupassen.

Nachtrag 28.02.2020

In einem im Februar veröffentlichten Strategiepapier der britischen Regierung „The Future Relationship with the EU – The UK’s Approach to Negotiations“ strebt man einen Angemessenheitsbeschluss an3Data Adequacy

59. The UK will have an independent policy on data protection at the end of the transition period and will remain committed to high data protection standards.
60. To maintain the continued free flow of personal data from the EU to the UK, the UK will seek ‘adequacy decisions’ from the EU under both the General Data Protection Regulation and the Law Enforcement Directive before the end of the transition period. These are separate from the wider future relationship and do not form part of trade agreements. This will allow the continued free flow of personal data from the EEA States to the UK, including for law enforcement purposes. The European Commission has recognised a number of third countries globally as providing adequate levels of data protection.
61. On a transitional basis, the UK has allowed for the continued free flow of personal data from the UK to the EU. The UK will conduct assessments of the EEA States and other countries under an independent international transfer regime.
62. The UK will also seek appropriate arrangements to allow continued cooperation between the UK Information Commissioner’s Office and EU Member State data protection authorities, and a clear, transparent framework to facilitate dialogue on data protection issues in the future.

abgerufen am 28.02.2020 unter https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/868874/The_Future_Relationship_with_the_EU.pdf
. Ob und wann es dazu kommt, ist aktuell nicht abzusehen.

 

Darf Schule die Adressen ehemaliger Schüler herausgeben?

Lesezeit: 2 Minuten

Vor allem weiterführende Schulen finden sich immer einmal wieder in der Situation, dass ehemalige Schüler anfragen, ob man ihnen Listen mit Namen und Kontaktdaten ehemaliger Mitschüler und Lehrkräfte aushändigen könne, damit man diese zu einem Klassen- oder Ehemaligentreffen einladen kann. Darf die Schule diese Informationen herausgeben und wenn ja unter welchen Bedingungen?

Das Schulgesetz NRW

Ein schneller Blick in §120 Abs. 5 Satz 3 SchulG NRW erbringt folgende Ergebnis:

„Die Übermittlung von Daten der Schülerinnen und Schüler und der Eltern an Personen oder Stellen außerhalb des öffentlichen Bereichs ist nur zulässig, wenn ein rechtlicher Anspruch auf die Bekanntgabe der Daten besteht und schutzwürdige Belange der oder des Betroffenen nicht beeinträchtigt werden oder wenn die oder der Betroffene im Einzelfall eingewilligt hat.“

Anfragende ehemalige Schülerinnen und Schüler oder auch Lehrkräfte handeln im beschriebenen Fall als Privatpersonen. Sie gelten damit als Personen außerhalb des öffentlichen Bereichs und fallen unter die Regelung aus Satz 3. Aus der Absicht, ein Ehemaligentreffen zu veranstalten, lässt sich kein rechtlicher Anspruch ableiten. Die Wahrscheinlichkeit, dass man an der Schule in der Vergangenheit Einwilligungen bei den ehemaligen Schülern wie Lehrkräften eingeholt hat, ihre Kontaktdaten zum Zweck der Organisation von Ehemaligentreffen an ehemalige Schüler herauszugeben, dürfte äußerst gering sein.

Für den Fall, dass keine entsprechende Einwilligung vorliegt, darf Schule die personenbezogenen Daten der ehemaligen Schüler und Lehrkräfte nicht herausgeben.

Alternativen

Gibt es trotzdem Möglichkeiten ehemalige Mitschüler und Lehrkräfte zur Organisation eines Ehemaligentreffens zu kontaktieren? Der Kommentar zum Schulgesetz NRW115. Erg.-Lfg., SchulG NRW-Kommentar, März 2015, Katernberg, S. 81f stellt das Adressmittlungsverfahren als eine Alternative vor, wie die Schule das Anliegen der ehemaligen Schüler unterstützen kann. Die Organisatoren des Ehemaligentreffens übergeben der Schule die Anschreiben mit Bitte um Mitteilung der Kontaktdaten an das Organisatorenteam, gedruckt oder als Vorlage für die Textverarbeitung, und die Schule versieht diese mit den Adressen der Ehemaligen. Anschließend gibt die Schule die fertigen Anschreiben in den Postversand. Die Ehemaligen entscheiden dann selbst, ob sie dem Organisatorenteam ihre Kontaktdaten übermitteln wollen oder nicht.

Alternativ stehen den Organisatoren auch noch weitere Möglichkeiten offen. Sie könnten die Schule bitten, das geplante Ehemaligentreffen auf die Schulhomepage zu setzen mit der Bitte um Anmeldung durch die Ehemaligen. Das Organisatorenteam könnte neben der Schulhomepage ihr Ehemaligentreffen auch über örtliche Zeitung oder Social Media bewerben.

Andere Bundesländer

Ein Blick über die Landesgrenzen hinaus zeigt, dass die Handhabe dieses Themas in nicht in allen Bundesländern gleich ist. In Rheinland-Pfalz findet sich in ÜSchO § 89 Abs. 8 eine Regelung, die eine Rechtsgrundlage für die Weitergabe von personenbezogenen Daten ehemaliger Schüler und auch Lehrkräften an Schüler zur Organisation von Ehemaligentreffen regelt.

(8) Die Schule kann ehemaligen Schülerinnen und Schülern die zur Organisation eines Treffens geeigneten personenbezogenen Daten von ehemaligen Schülerinnen, Schülern und Lehrkräften übermitteln.

 

 

Lehrer Apps und Cloud Speicher

Lesezeit: 5 Minuten

Viele Lehrkräfte nutzen schon seit Jahren Computer zur Vorbereitung von Unterricht wie auch zur Verwaltung von Noten. Excel Tabellen und analoge Lehrerkalender mit Notenteil werden heute zunehmend durch Apps auf Mobilgeräten abgelöst. Neben den großen Plattformen für die digitale Organisation des Schulalltags mit digitalem Klassenbuch, Stunden- und Vertretungsplan, Absenzenverwaltung u.s.w. gibt noch einen Markt für Apps und Plattformen, die sich an Einzelnutzer richten. Diese Angebote richten sich vor allem an Lehrkräfte, an deren Schulen es noch keine große Plattform gibt oder wo eine solche aus anderen Gründen nicht eingeführt werden kann oder soll. Apps und Plattformen für Einzelnutzer gibt es heute für alle Desktop und mobilen Betriebssysteme. Um diese soll es im Folgenden gehen. Die meisten Aussagen lassen sich jedoch auch auf die großen Plattformen übertragen, die für eine schulweite Nutzung konzipiert sind.

Mangels Dienstgeräten nutzen Lehrkräfte Apps zur Verwaltung von Noten, Absenzen, Versäumnislisten und ähnlich momentan überwiegend auf ihren privaten Endgeräten, d.h. Tablets, Smartphones, Notebooks oder auch stationären Rechnern. Wie die Anbieter für die großen Schulplattformen werben auch die Anbieter von Apps und Plattformen für Einzelnutzer mit Sicherheit und Einhaltung der DS-GVO. Trotzdem sollten Lehrkräfte bei der Auswahl eines Anbieters sehr genau hinsehen, ob sie bei der Nutzung der Plattform die rechtlichen Vorgaben aus der Schul- und Datenschutzgesetzgebung einhalten können, denn hier geht es um personenbezogene Daten von Schülerinnen und Schülern.

Genehmigung

In der Regel setzt die Verarbeitung von personenbezogenen Daten aus der Schule auf einem privaten Endgerät eine Genehmigung der Schulleitung voraus. Das ist streng genommen auch der Fall, wenn die Daten pseudonymisiert in das digitale Notenbuch eingetragen werden, denn auch dann handelt es sich noch immer um personenbezogene Daten1Die Lehrkraft, welche die Daten einträgt, kann sie auch einzelnen Schülern zuordnen., und diese unterliegen den Vorschriften aus den  schul- und datenschutzrechtlichen Vorgaben des jeweiligen Bundeslandes.

Speicherort der Daten

Beim Speicherort hängt viel davon ab, wo genau die personenbezogenen Daten abgelegt werden. Speichert das App oder Programm die Daten lokal auf dem Gerät selbst oder erfolgt die Speicherung der Daten in eine Cloud? Letztere Möglichkeit nutzen einige Anbieter, um Lehrkräften einen einfachen und komfortablen Weg zu bieten, die im App eingetragenen Daten zu sichern und bei Nutzung des Apps auf mehreren Geräten die Daten zwischen den Geräten zu synchronisieren. Manche Anbieter ermöglichen damit zusätzlich einen Zugriff über ein Webinterface, welches mit einem Browser von einem beliebigen Rechner aus angesteuert wird. Was bei den großen Schulplattformen in der Regel kein rechtliches Problem darstellt, kann bei Apps und Plattformen, die sich an Einzelnutzer richten, durchaus zu einem werden. Wann das der Fall ist, ist das Hauptanliegen dieses Beitrags und das wird im Folgenden erklärt.

Lokale Speicherung

Solange ein App Daten nur lokal ablegt und die Sicherheit der verarbeiteten Daten auf dem Endgerät durch entsprechende technische Maßnahmen des App Anbieters, Sicherheitseinstellungen auf dem Gerät, Backups und verantwortungsvolles Handeln des Nutzers gewährleistet ist, ist die Nutzung aus Sicht des Datenschutzes eher unbedenklich.2In NDS schätzt man das anders ein. Dort ist eine lokale Speicherung von personenbezogene Daten auf privaten mobilen Endgeräten (Smartphones und Tablets) seit Anfang 2020 nicht mehr zulässig. Apps, die keine Speicherung in einer offiziellen Cloud zulassen, können damit von Lehrkräften in NDS nicht mehr genutzt werden. Siehe dazu auch RdErl. d. MK v. 1. 1. 2020 – 15-05410/1-8 Abs. 1.1 Satz 4 „Die Speicherung personenbezogener Daten auf dem Festspeicher privater mobiler Endgeräte (Smartphones und Tablets) ist nicht zulässig. Zu berücksichtigen ist für eine Bewertung jedoch auch noch das für eine Datensicherung genutzte Verfahren. Dazu mehr weiter unten.

Cloud Speicherung

Sobald eine Cloud an der Speicherung von personenbezogenen Daten aus dem App beteiligt ist, wird es aus Sicht des Datenschutz deutlich enger. Die externe Speicherung von personenbezogenen Daten aus der Schule setzt immer einen Vertrag zur Auftragsdatenverarbeitung (AVV) zwischen Schule und Anbieter voraus, sofern es sich nicht um eine von der Schule selbst betriebene Lösung handelt3Selbst betrieben meint dabei, dass es sich weder um einen gemieteten Server handelt, noch dass dieser Server von Mitarbeitern des Schulträgers oder eines IT Dienstleisters betreut wird.. Die Erfordernis zum Abschluss eines AVV besteht selbst dann, wenn die Übertragung dieser Daten zwischen App und Cloud Ende-zu-Ende verschlüsselt ist, die Speicherung auf dem Server verschlüsselt erfolgt und der Schlüssel zur Entschlüsselung nur auf dem Endgerät des Nutzers hinterlegt ist4Aus Sicherheitsgründen sollte dieses immer der Fall sein. Es macht auch keinen Unterschied, wenn die App die Nutzung von nicht vom Anbieter betriebenen Cloud Diensten zulässt, etwa in Google Drive, iCloud, Dropbox, OneDrive oder NextCloud. Solange es von Seiten der Schule mit dem Anbieter des Cloud Dienstes keinen AVV gibt, ist eine Nutzung zur Sicherung oder Synchronisierung von personenbezogenen Daten durch Lehrkräfte nicht zulässig, egal um welche Art von genutztem App es sich dabei handelt.

Manche Anbieter argumentieren damit, dass die personenbezogenen Daten durch die Verschlüsselung und die für sie fehlende Möglichkeit zur Entschlüsselung lediglich anonymisierte Daten darstellen, und auf diese fände die DS-GVO keine Anwendung. Das stimmt so leider nicht, denn die verarbeitende Person, hier die Lehrkraft, kann diese Daten entschlüsseln, und das zählt. Die Verschlüsselung ist lediglich eine technische Maßnahme zum Schutz der Daten und selbst auch eine Form der Verarbeitung.5Es wird oft gefragt, warum Lehrer mit Anwendungen mit BoxCryptor oder VeraCrypt sicher verschlüsselte personenbezogene Daten nicht in der privaten Dropbox, Google Drive oder OneDrive speichern dürfen? Es kann sie doch niemand lesen, selbst wenn sie gestohlen werden. Fakt ist, es sind und bleiben personenbezogene Daten. Darüber hinaus gibt es keine Garantie, dass Daten, die heute als sicher verschlüsselt gelten, in Zukunft nicht durch Weiterentwicklungen in der IT Technik – Stichwort Quantum Computing, Künstliche Intelligenz – entschlüsselt werden können.

Zu den nicht zulässigen Cloud Speichern zählen auch die Clouds der Anbieter der Hardware oder des Betriebssystem. Das ist bei iOS Geräten und Macs beispielsweise die iCloud, bei Android Geräten kann es Google Drive oder je nach Hersteller eine eigene Lösung sein, wie etwa bei Samsung. Je nach Einrichtung kann unter Windows z.B. OneDrive ein solcher Cloud Speicher sein. Egal, welcher Cloud Speicher auf einem Endgerät läuft, ob ein System- oder Hersteller-eigener oder ein anderer, wie Dropbox, solange es sich nicht um einen von der Schule offiziell genutzten Cloud Speicher handelt, müssen jegliches automatische Backup und jede Synchronisationsfunktion für die in der Lehrer App verarbeiteten personenbezogenen Daten deaktiviert werden.

Sicherung der Daten

Apps, die nicht mit einer Cloud verbunden sind, benötigen ebenfalls Möglichkeiten, die dort gespeicherten Daten regelmäßig zu sichern. Dazu sind verschiedene Verfahren üblich. Der einfachste Weg ist ein Ausdruck auf Papier. Einige Apps lassen Exporte in verschlüsselte Tabellen, PDF oder Archiv Dateien zu, die dann entweder im Dateisystem abgelegt werden oder sich per E-Mail vom Gerät aus an ein anderes Gerät senden lassen, wo sie dann gespeichert werden. Sobald E-Mail zur Übermittlung genutzt wird, kommt dafür nur ein dienstliches E-Mail Konto in Frage. Auch E-Mail Dienste laufen über externe Server und nur das dienstliche E-Mail Konto erfüllt die Anforderungen, welche Schul- und Datenschutzrecht voraussetzen. Eine Übermittlung über ein privates E-Mail Konto ist nicht zulässig.

Fazit

Die Nutzung von Apps, mit denen Lehrkräfte personenbezogene Daten von Schülern verarbeiten, setzt voraus, dass zu ihrer Nutzung keine Speicherung in Cloud Diensten erforderlich ist, für welche kein Vertrag zur Auftragsverarbeitung zwischen Schule und Anbieter abgeschlossen wurde. Wird Lehrkräften selbst der Abschluss eines AVV mit dem Anbieter eingeräumt, so wäre dieser rechtsunwirksam und die Nutzung der App und des damit verbundenen Cloud Dienstes rechtswidrig. Gleiches gilt auch die Nutzung eines privaten E-Mail Kontos zur Übermittlung einer Sicherungsdatei, auch wenn diese Übermittlung an ein schulisches E-Mail Konto erfolgt. Das heißt also anders herum, möchten Lehrkräfte einer Schule eine für Einzelanwender entwickelte App zur Verwaltung von Noten und ähnlichen personenbezogenen Daten ihrer Schüler nutzen und diese App erfordert für Sicherung und/ oder Synchronisation die Einbindung eines externen Servers, so ist dieses nur möglich, wenn die Schule mit dem Anbieter zuvor einen Vertrag zur Auftragsverarbeitung abschließt. Sobald dieser vorliegt, können die einzelnen Lehrkräfte das App bzw. die Plattform rechtskonform nutzen.

Alte Klassenfotos für Festschrift und Ausstellung nutzen – geht das?

Lesezeit: 4 Minuten

Jubiläen gehören zu den großen Feierlichkeiten von Schulen. Die Schule wird 50 Jahre, 75 Jahre oder 100 Jahre und man möchte zum Anlass des Jubiläums eine Festschrift erstellen und vielleicht sogar eine Ausstellung gestalten. In den Archiven der Schulen schlummern in der Regel zigtausende alte Aufnahmen, Klassenfotos, Fotos aus dem Schulleben und von Festen und Feiern. Zur Gestaltung einer Festschrift, einer Bilderschau oder für eine Ausstellung holt man diese alten Aufnahmen gerne wieder hervor, um mit ihnen die Geschichte der Schule zu illustrieren. In Zeiten einer erhöhten datenschutzrechtlicher Sensibilität stellen sich die Verantwortlichen irgendwann auch die Frage, ob es aus Sicht des Datenschutzes überhaupt zulässig ist, diese alten Aufnahmen für das geplante Vorhaben zu verwenden? Einwilligungen wurden bei der Erstellung der alten Aufnahmen nie eingeholt und die abgebildeten Personen sind, vor allem wenn die Aufnahmen älter sind, niemandem in der Schule bekannt. Das Einholen von Einwilligungen würde, selbst wenn alle Personen und auch ihre Kontaktinformationen bekannt sind, einen nicht zu vertretenen Aufwand darstellen. Was soll man also tun? Muss man auf die alten Aufnahmen verzichten?

Ein Beispiel

Klassenfoto 4. Klasse 1963
Klassenfoto 3. oder 4. Klasse 1963 oder 1964 ??? Volksschule Trostberg, Flickr, Labormicro, CC BY SA 2.0

Die Kinder auf der digitalisierten Aufnahme dürften jetzt um die 65 Jahre alt sein. Ihre Lehrerin ist vermutlich bereits verstorben. Nur eine sehr begrenzte Zahl von Personen wird in Lage sein, eine der abgebildeten Personen zu identifizieren, da dieses voraussetzt, dass man die Personen schon lange kennt.1Moderne Gesichtserkennungstechnologie wie Clearview AI ist in der Lage, auch Kinder zu identifizieren, sofern ihr von dieser Person Aufnahmen als Erwachsene Person vorliegen. Es ist zu erwarten, dass die Möglichkeiten mit einer Weiterentwicklung bestehender Technologien zur Gesichtserkennung zunehmen werden. Ob die technische Möglichkeit, einzelne Personen zu identifizieren, bei der obigen Aufnahme jemals bestehen wird, ist schwierig zu beurteilen. Beim Original auf Flickr könnte es aber möglich sein.

Die Rechtslage

Zumindest drei Rechtsgebiete könnten relevant sein:

  • Datenschutzrecht (DS-GVO)
  • Kunsturheberrecht (KUG), Recht am eigenen Bild
  • Urheberrecht, Urheberrecht des Fotografen

Das Urheberrecht wird man bei Fotos, welche die Schule in ihrem Archiv liegen hat, vermutlich vernachlässigen können, da diese Fotos entweder durch die Schule angefertigt wurden oder im Auftrag für die Schule.2Es gilt generell für Lichtbildwerke folgende Regelung: Lichtbildwerke: Definition und Schutzdauer Lichtbildwerke sind persönliche, geistige Schöpfungen. Sie sind kreativ, individuell und mit erkennbarer gestalterischer Höhe. Für Lichtbildwerke garantiert das Urheberrecht einen lebenslangen Schutz sowie weitere 70 Jahre für die Rechtsnachfolger. Quelle: firma.de, abgerufen 15.02.2020 Im folgenden geht es von daher nur darum, inwieweit sich das Datenschutzrecht sowie das Kunsturheberrecht auf die Fragestellung auswirken.

Unter dem Titel „DSGVO und Fotografie: Was ändert sich für Fotografen?“ beschäftigt sich e-recht24 auch mit der Frage der Altbestände. Solange kein Ausnahme von der Einwilligungserfordernis vorliegt, so erklärt man dort, ist eine Einwilligung der Betroffenen erforderlich, denn die DS-GVO ist auch auf „Altbestände“ anwendbar. Einmal erteilte Einwilligungen wirken allerdings fort.

Entsprechend macht es Sinn, wenn die Mittelbayrische im Beitrag mit dem Titel „Auch Opas Klassenfoto wird zensiert„, die Bayrische Aufsichtsbehörde mit der Aussage zitiert: „Das Zeigen ist tatsächlich nur zulässig, wenn von jedem einzelnen Abgebildeten eine Erlaubnis vorliegt.“ Ohne Einwilligung der Betroffenen ist demnach nicht einmal das Aufhängen alter Klassenfotos im Schulgebäude zulässig. Und weiter heißt es im Beitrag:

Der Datenschutz ist ein Grundrecht. Und jede Erhebung personenbezogener Daten greift in dieses Grundrecht ein – auch Fotos. Schon seit 1949 gilt: Ohne Einverständnis der abgebildeten Person kein Foto. In der Vergangenheit sei das Rechtsbewusstsein in diesem Punkt noch nicht so ausgereift gewesen, sagt der Referatsleiter des BayLfD. Jahrelang seien Fotos angefertigt worden, ohne dass man sich Gedanken dazu gemacht habe. Tatsächlich sei aber jedes Foto ohne unterschriebene Einverständniserklärung rechtswidrig.

Ausnahmen von der Regel

Das Vorliegen einer Einwilligung der Betroffenen gilt allerdings nicht uneingeschränkt. Es gibt eine Reihe von Ausnahmen, bei welchen die Vorgaben der DS-GVO und des KUG nicht greifen.

Ausnahme: Beiwerk

Wenn die abgebildeten Personen nur Beiwerk sind, dann ist eine Nutzung ohne Einwilligung möglich. Ein Beispiel dafür wäre der Blick auf das gesamte Schulgebäude und den Schulhof davor und es ist eindeutig zu erkennen, dass es nicht um die zufällig mit abgebildeten Kinder, sondern das Schulgebäude oder Schulgelände geht.

Ausnahmen: Versammlung, Aufzug

Wenn es sich um Fotografien handelt, die auf öffentlichen Veranstaltungen entstanden, etwa Schulfesten, oder bei Beteiligung an öffentlichen Umzügen, dann sollte man diese auch ohne Einwilligung der abgebildeten Personen für die geplanten Zwecke nutzen können. Bei Fotografien von öffentlichen schulischen Veranstaltungen sollte allerdings bedacht werden, dass die Teilnahme für Kinder und Lehrkräfte verpflichtend war. Die Ausnahme gilt also nur für Besucher, denn diese haben die Veranstaltung freiwillig besucht und mussten damit rechnen, dass dort Fotografien angefertigt werden, auch für eine öffentliche Berichterstattung.

Ausnahme: Verstorbene

Eine weitere Ausnahme besteht, wenn die abgebildeten Personen bereits verstorben sind, denn die DS-GVO gilt nicht für die personenbezogenen Daten Verstorbener.3Mit Bezug auf die DS-GVO heißt es in Erwägungsgrund 27: “Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener.” Das könnte beispielsweise der Fall bei einem sehr alten Kollegiumsfoto sein. Zu beachten ist allerdings das KUG. Denn dieses gilt für Aufnahmen, die zu Lebzeiten der abgebildeten Person entstanden, 10 Jahre über den Tod hinaus. Sind die abgebildeten Personen bereits länger als zehn Jahre verstorben, kann das Foto dann aber tatsächlich ohne Einwilligung genutzt werden. Gleiches gilt für Fotografien von einzelnen Personen, etwa einer Schulleitung. Bei Fotografien, auf welchen Schüler abgebildet sind, wird man bei der heutigen Lebenserwartung vermutlich davon ausgehen müssen, dass diese etwa 100 – 110 Jahre alt sein müssen (Alter Ende 4. Klasse von 10 Jahren, plus 90 Lebensjahre, plus 10 Jahre gem. § 22 Satz 3 Kunsturhebergesetz (KUG)410 Jahre nach dem Tod des Abgebildeten endet das Recht am eigenen Bild. „Aber auch nach Ablauf von 10 Jahren nach dem Tod kann die Nutzung eines Fotos, auf dem ein Verstorbener abgebildet ist, unzulässig sein. Dies ist z.B. der Fall, wenn die konkrete Art der Fotonutzung das postmortale Persönlichkeitsrecht des Verstorbenen grob beeinträchtigt“ Quelle, abgerufen am 15.02.2020 ), um keine Rechte lebender Personen mehr zu verletzen. 

Ausnahme: Personen nicht eindeutig erkennbar

Wenn die abgebildeten Personen nicht eindeutig identifiziert werden können, sind weder DS-GVO noch KUG anwendbar.

Was heißt das jetzt?

Möchte eine Schule alte Fotografien aus ihrem Archiv veröffentlichen, sind die oben genannten Voraussetzungen zu erfüllen. Wenn die abgebildeten Personen erkennbar und kein Beiwerk sind, es sich nicht um eine Versammlung oder einen Aufzug handelt oder der Todeszeitpunkt der Personen weniger als 10 Jahre zurückliegt, braucht es eine Einwilligung der Betroffenen. Einwilligungen von vor dem 25.05.2018 müssen den bis dahin geltenden datenschutzrechtlichen Vorgaben genügen, um weiterhin rechtswirksam zu sein. Es ist dabei unerheblich, ob die Fotografien für eine Festschrift genutzt, in einer Bilderschau vorgeführt, auf einer Website veröffentlicht oder in einer öffentlichen Ausstellung gezeigt werden sollen.

Solange für die Aufnahmen keine Veröffentlichung im Internet beabsichtigt ist, sollte man Aufnahmen wie die obige allerdings nutzen können, wenn sie in einer Form veröffentlicht werden, welche das Identifizieren einzelner Personen extrem erschwert oder gar unmöglich macht. Druckt man das Foto oben mit 10 cm Seitenlänge der längsten Seite ab, ist es so undeutlich, dass wenn überhaupt eigentlich nur die abgebildeten Personen selbst, Familienangehörige oder Personen, die im Besitz einer Originalaufnahme sind, in der Lage sein werden, Gesichter Personen zuordnen. Würde man bei diesem Foto die Auflösung oder die Schärfe reduzieren, wäre auch das nur noch möglich, wenn man ein Original daneben legte.

Man braucht also nicht unbedingt auf alte Aufnahmen verzichten, wenn man eine  Verwendung für eine Festschrift, Bilderschau oder Ausstellung im Rahmen eines Jubiläums der Schule plant – auch wenn das Einholen einer Einwilligung für einen Teil der Aufnahmen nicht möglich ist.

 

Signal Messenger in der Schule – Möglichkeiten und Grenzen

Lesezeit: 4 Minuten

Geht es in Schule um das Thema Messenger, ist damit meist WhatsApp gemeint. Selbst wenn eine Nutzung in Schule für die informelle Kommunikation zwischen Eltern, Schülern und Lehrkräften oder von Lehrkräften untereinander geduldet ist, heißt das nicht, dass dieser Messenger eine gute Wahl darstellt. Der Austausch von Nachrichten ist zwar Ende-zu-Ende verschlüsselt, doch Facebook, zu dem WhatsApp gehört, erhält trotzdem noch immer eine Fülle an wertvollen Meta-Informationen über die Nutzer, die sich gewinnbringend verwerten lassen, demnächst auch für die gezielte Anzeige von Werbung im Messenger. Nicht umsonst gehen einige Bundesländer soweit, Lehrkräften die Nutzung von WhatsApp in Schule komplett zu untersagen.

Eine Alternative, die in der Diskussion um WhatsApp immer wieder genannt wird, ist Signal.1Die folgende Aussage stammt aus einer Telegram Gruppe.

„Edward Snowden empfiehlt Signal. Der Quellcode ist Open Source, die Verschlüsselung also nachvollziehbar (gut).
An meiner Schule sind alle bei Signal, weil der Datenschutzbeauftragte  da nicht locker gelassen hat.“

Signal nutzt ein Open Source Protokoll, ist sehr sicher und ganz gewiss eine gute Alternative zu WhatApp. Trotzdem sind den Nutzungsmöglichkeiten von Signal an einer Schule Grenzen gesetzt. Warum?

Voraussetzungen zur Nutzung eines Messengers für eine offizielle Kommunikation in der Schule

Möchte eine Schule eine Messaging Plattform zur offiziellen Kommunikation in der Schule nutzen, so müssen dazu aus Sicht des Datenschutzes einige Bedingungen erfüllt sein.

(1) Vertrag zur Auftragsverarbeitung (AVV) zwischen Schule und Anbieter

Erforderlich ist ein AVV immer dann, wenn in der Schule personenbezogene Daten über einen externen Anbieter verarbeitet werden sollen. Möchte das Kollegium über einen Messenger auch Notenlisten, Informationen über Erkrankungen von Schülern und ähnlich austauschen, setzt dieses einen AVV voraus. Gleiches gilt auch, wenn der Messenger zum Austausch personenbezogener Daten zwischen Lehrkräften und Schülern oder zwischen Lehrkräften und Eltern genutzt werden soll.2Könnte man auf einen AVV nicht verzichten, da sämtliche Nachrichten in Signal verschlüsselt sind und der Anbieter sie niemals zu Gesicht bekommt? Damit verarbeitet er doch gar keine personenbezogenen Daten. Aus Sicht des Anbieters handelt es sich tatsächlich nicht um personenbezogene Daten. Für den Sender wie auch den Empfänger sind und bleiben es personenbezogene Daten. Solange die Nachrichten nicht mit einer beschränkten Lebensdauer versehen sind, liegen sie weiterhin auf den Servern des Anbieters und können vom Sender und Empfänger eingesehen werden. Es werden also personenbezogene Daten verarbeitet und ein AVV ist erforderlich. Verwaltet die Schule die Nutzerkonten von Schülern, Lehrkräften und eventuell sogar Eltern, setzt dieses immer einen AVV voraus.

(2) Einwilligung in die Verarbeitung von personenbezogenen Daten

Die Verarbeitung von personenbezogenen Daten durch die Schule setzt eine Einwilligung der Betroffenen voraus, sobald sich keine Rechtsgrundlage für diese Verarbeitung aus dem Schulgesetz ergibt. Bezüglich der Nutzung eines Messengers gibt es aktuell wohl in keinem Bundesland entsprechende Rechtsgrundlagen.

(3) Freiwilligkeit der Nutzung

Die Nutzung eines Messengers kann unter den gegebenen rechtlichen Bedingungen nur auf der Basis von Freiwilligkeit erfolgen. Das bedeutet, weder Lehrkräfte, noch Schüler oder Eltern können zu einer Nutzung verpflichtet werden.

(4) Alternative Kanäle

Aus der Freiwilligkeit ergibt sich, dass Personen aus einer Nichtnutzung keine Nachteile entstehen dürfen. Die Schule muss also in der Lage sein, die über den Messenger kommunizierten Informationen immer auch auf alternativen Kanälen anzubieten. Welche dieses sind, hängt vom jeweiligen Setting ab. Es kann die Nachricht in Papierform im Fach der Lehrkraft sein oder als E-Mail, die Elternmitteilung als Brief oder ähnlich.

(5) Sicherheit

Nachrichten sollten mit Ende-zu-Ende Verschlüsselung ausgetauscht und verschlüsselt auf dem Endgerät wie dem Server des Anbieters gespeichert werden. Die Kontoerstellung sollte ohne eine Mobilfunknummer möglich sein. Metadaten sollten in möglichst geringem Umfang gespeichert werden.

(6) Europäische Anbieter und Server in der EU

Von der Möglichkeit einer datenschutzkonformen Nutzung kann am ehesten ausgegangen werden, wenn der Anbieter seinen Sitz in Europa hat, im Idealfall in der EU, im EWR3Europäischere Wirtschaftsraum oder in einem Land, für welches ein sogenannter Angemessenheitsbeschluss entsprechend Art. 45 DS-GVO vorliegt. Gleiches gilt für die Standorte der Server. Bei Anbietern aus den USA sollte man momentan der Sicherheit halber davon ausgehen, dass diese die Voraussetzungen für eine datenschutzkonforme Nutzung nicht erfüllen können. Dabei macht es keinen Unterschied, ob die Server des Anbieters in seinem Eigentum sind oder in dessen Auftrag betrieben werden, da für diese bei EU Standort der amerikanische CLOUD-Act gilt.4Bei Servern in den USA greift der CLOUD-Act nicht. Dafür bestehen hier für US Ermittlungsbehörden direktere Möglichkeiten, Zugriff auf die dort gespeicherten Daten zu erhalten.

Für eine offizielle Kommunikation ist Signal nicht datenschutzkonform nutzbar

Können bei einer Nutzung von Signal zur offiziellen Kommunikation alle oben genannten Voraussetzungen erfüllt werden? Die Antwort ist, nein. Zwar ist das Risiko bezüglich eines Zugriffs durch US Ermittlungsbehörden für Nutzer trotz Sitz des Anbieters und Server Standort in den USA dank der sehr sicheren Verschlüsselung extrem gering, so dass man Kriterium Nr. 6 hier eventuell vernachlässigen könnte, doch die Betreiber des Signal Messengers stellen keinen Vertrag zur Auftragsverarbeitung zur Verfügung. Und damit ist eine wesentliche Voraussetzung für eine rechtssichere Nutzung von Signal für den Austausch von personenbezogenen Daten für Schulen nicht gegeben. Dabei ist es unerheblich, dass die Schule die Konten der Nutzer nicht verwaltet. Der entscheidende Punkt ist, dass bei Signal personenbezogene Daten aus der Schule von einem externen Anbieter verarbeitet werden.

Wäre eine Nutzung von Signal zur informellen Kommunikation zwischen Lehrkräften und Eltern/ Lehrkräften und Schülern möglich?

In NRW sieht man aktuell keinen Grund, Schulen eine informelle Nutzung von Whatsapp und vergleichbaren Messengern zwischen Lehrkräften und Eltern sowie Schülern zu verbieten, solange dieses im gegenseitigen Einvernehmen geschieht. Selbst wenn dabei personenbezogene Daten ausgetauscht werden, gilt dieses nicht als dienstliche Kommunikation.5„Wenn Lehrkräfte mit Eltern sowie Schülerinnen und Schülern über WhatsApp kommunizieren und personenbezogenen Daten übermittelt werden, liegt dies daher im persönlichen Ermessen aller Beteiligten und ist keine von der Schulleitung zu verantwortende dienstliche Kommunikation. Sinnvollerweise ist eine schriftliche Einverständniserklärung der betroffenen Personen bzw. der Erziehungsberechtigten für diese Form der Kommunikation einzuholen.“  Qelle: https://www.medienberatung.schulministerium.nrw.de/Medienberatung/Datenschutz-und-Schule/Haeufig-gestellte-Fragen/Elternkommunikation/, abgerufen am 15.02.2020 Diese informelle Nutzung erfolgt quasi im privaten Bereich. Bei einer informellen Nutzung sollten die oben aufgeführten Kriterien 2 – 6 idealerweise auch erfüllt sein.

Um dienstliche Kommunikation würde es sich in dem Moment handeln, wenn die Messaging Plattform offiziell von der Schule für den Austausch von Informationen eingeführt würde.

Signal ist eindeutig WhatsApp vorzuziehen, wenn es um einen informellen Austausch zwischen Lehrkräften und Eltern sowie Schülern gehen soll, so wie er in NRW momentan zulässig ist.

Wäre es möglich, Signal zur informellen Kommunikation im Kollegium zu nutzen?

Unvorstellbar wäre ein solches Szenario sicherlich nicht, doch wenn Lehrkräfte untereinander kommunizieren, dürfte dieses eher einen überwiegend dienstlichen Charakter haben und damit wäre Signal außen vor. Selbst wenn alle sich fest vornehmen, keine personenbezogenen Daten über den Messenger zu kommunizieren, so dürfte klar sein, dass dieses in Wirklichkeit anders aussehen wird. An vielen Schulen nutzen Lehrkräfte WhatsApp, um schnell und einfach Nachrichten auszutauschen. Und obwohl jeder weiß, dass damit keine personenbezogenen Daten weitergegeben werden dürfen, so geschieht dieses doch immer wieder. Es ist eben der schnellste und einfachste Weg. Von daher kann auch von einer informellen Nutzung innerhalb eines Kollegiums nur abgeraten werden.6Wenn ein Kollegium allerdings unbedingt einen informellen Informationskanal nutzen möchte (auch ohne Billigung/ Wissen/ Beteiligung der Schulleitung), dann wäre Signal gegenüber WhatsApp eindeutig der Vorzug zu geben. Man könnte dann immerhin davon ausgehen, dass die Kommunikation datenschutzfreundlich möglich ist und aktuell kein bekanntes Risiko eines unrechtmäßigen Zugriffs auf kommunizierte Inhalte durch Dritte besteht.

Alternativen?

Signal ist zwar eine in Bezug auf Sicherheit sehr überzeugende Messaging Lösung, doch die Möglichkeiten einer Nutzung sind für Schulen begrenzt. Wenn es um eine Messaging Plattform geht, welche als offizieller Informationskanal genutzt werden soll, so gibt es für Schulen bessere Lösungen. Es haben sich mittlerweile eine ganze Reihe Anbieter am Markt platziert, welche Messenger Dienste anbieten, die von Schulen in Einklang mit den Vorgaben aus Schul- und Datenschutzgesetzen genutzt werden können. Die Mehrheit der angebotenen Messenger Dienste sind Bestandteil von Plattformen mit weiteren Schule interessanten Funktionen. Eine Übersicht über Anbieter solcher Plattformen findet sich in einem Padlet mit dem Namen Schulische Plattformen (Kommunikation).

Mitbestimmung

Bei der Einführung eines Messaging Dienstes als offizieller Informationskanal sollte auch das Thema Mitbestimmung berücksichtigt werden. Wie Personen im Privatbereich einen Messenger nutzen, ist ihre Sache. Doch wenn es um offizielle dienstliche Kommunikation geht, sollten Regelungen gefunden werden, welche für alle Beteiligten verträglich sind. Dazu gehören beispielsweise Vereinbarungen, an welchen Tagen und zu welchen Zeiten Nachrichten gelesen werden müssen und wann dieses nicht erwartet werden kann.