Der Privatbereich von Schülern im Unterricht

Lesezeit: 3 Minuten

Dieser Tweet einer Mutter erregte jetzt bei Twitter die Gemüter, wurde mehr als dreihundertmal kommentiert, retweeted, und von knapp 2.000 anderen Nutzern mit einem Like versehen.

Kann man als Lehrkraft im Unterricht bei Schülerinnen und Schülern eine derartige Abfrage durchführen? Wie verträgt sich das mit dem Datenschutz?

Das Thema ist schwierig und es ist nicht einfach, eine pauschale Aussage zu treffen. Die Biologie Lehrkraft meint es sicherlich gut, wenn man sich in der Klasse mit dem Thema „Gesunde Ernährung“ auseinandersetzt und die Kinder dafür sensibilisiert. Allerdings sind Ernährungsgewohnheiten schon eine sehr persönliche Angelegenheit, die Aufschluss über weitaus mehr zulassen. Ob eine Familie Bio Produkte kauft oder nicht, muss nichts mit einem vorhandenen oder mangelnden Bewusstsein für gesunde und nachhaltige Ernährung zu tun haben, sondern kann auch mit der finanziellen Situation zusammenhängen. Als Lehrer oder Lehrerin möchte man gerne Lernanlässe mit lebensweltlichen Bezügen gestalten. Macht doch mal ein Foto von eurem Zimmer. Erzählt doch mal von den Berufen eurer Eltern. Manche scheinbar belanglose Frage kann ein Kind dazu nötigen, Dinge aus dem Privatbereich der Familie zu offenbaren, die es selbst bloßstellen oder den Eltern nicht recht sind, aus welche Gründen auch immer.

Man braucht bezüglich der mit solchen Abfragen verbundenen Problematik nicht einmal auf die Europäische Datenschutz Grundverordnung (DS-GVO) schauen, wie dies in einigen kommentierenden Tweets geschah. Auch das Schulgesetz NRW äußert sich zu einer solchen Erhebung von Daten.1In den Schulgesetzen der anderen Bundesländer werden sich entsprechende Formulierungen finden.

In §2 Abs. 2 der VO-DV I heißt es:

„(2) Nicht in den Anlagen aufgeführte Daten dürfen nur erhoben werden, wenn die oder der Betroffene eingewilligt hat. […] Auch mit Einwilligung dürfen unzumutbare, nicht zweckdienliche oder sachfremde Angaben nicht erhoben werden.“

Wenn es um die Ernährung und den Einkauf von Bio Produkten geht, dann betrifft dieses auch die Eltern. Man sollte sich in Schule grundsätzlich davor hüten, Abfragen bei Schülern zu machen, welche die Eltern betreffen, egal ob es dabei um das Alter der Eltern geht, ob und warum sie arbeitslos sind, oder welche Eltern getrennt leben. Im Fall der geplanten Beratung zur Ernährung werden einige Eltern die eingeforderten Informationen als unzumutbar empfinden. Dieses Recht haben sie. Fraglich ist zudem, ob die Informationen wirklich zweckdienlich sind? Um beim Beispiel zu bleiben. Es wäre auch möglich, im Biologieunterricht ein Beratungsschema zu erarbeiten, mit welchem die Schüler zu Hause die Ernährung in ihrer Familie unter die Lupe nehmen können, um die Eltern hinterher zu beraten. Das Ziel, die Kinder für eine gesunde und nachhaltige Ernährung zu sensibilisieren, wäre auch hiermit erreicht.

Obige Abfrage aus dem Biologieunterricht ist nicht nur problematisch, weil sie die Verhältnisse im Elternhaus betrifft und für einige Eltern nicht zumutbar ist, sondern auch, weil es sich um eine verbindliche Abfrage handelt, eine Hausaufgabe, bei welcher der Schüler möglicherweise noch sanktioniert wird, wenn zur nächsten Stunde keine Liste vorgezeigt wird. In einem Kommentar zum SchulG NRW wird folgende Empfehlung gegeben:

„Insgesamt haben die Lehrkräfte dafür Sorge zu tragen, dass personenbezogene Daten im Unterricht nur im Rahmen des Erforderlichen verarbeitet und ansonsten vermieden werden. Hier ist neben dem notwendigen pädagogischen Fingerspitzengefühl auch eine besondere datenschutzrechtliche Sensibilität geboten. Im Zweifel sollten die Eltern in der Klassenpflegschaftssitzung und/ oder durch Elternbriefe über möglicherweise datenschutzrelevante Inhalte einer geplanten Unterrichtseinheit oder -reihe informiert werden, so dass sie die Möglichkeit haben, etwaige Einwände rechtzeitig vorzutragen.“2Quelle: Wingen, SchulG NRW-Kommentar, März 2015, Katernberg

Es wäre sicherlich übertrieben, wenn man den Privatbereich von Schülerinnen und Schülern komplett aus dem Unterricht ausklammern würde. Wenn Schüler von sich aus Informationen aus dem Privatbereich im Unterricht offenbaren, ist das etwas Anderes, als wenn sie durch eine Hausaufgabe oder Antwortkette, zu der jeder etwas beitragen muss, zur Preisgabe von solchen Informationen genötigt werden. Vor allem ältere Schüler können recht gut einschätzen, ob und was sie von sich preisgeben wollen. Solange klar ist, dass alles auf Freiwilligkeit und ohne Nachteile bei Nichtbeantwortung abläuft und das Kind über den Umfang der Informationen selbst entscheidet, die es preisgeben möchte, kann man informell im Klassengespräch über eher allgemeine Dinge reden wie Hobbys, Lieblingssportler, Vorlieben und Freizeiterlebnisse und ähnlich. Bei jüngeren Schülern, vor allem in der Grundschule, fehlt dieses Urteilsvermögen oft noch völlig. Lehrkräfte müssen deshalb hier wesentlich umsichtiger handeln. Schriftliche Befragungen sollten besonders vorsichtig angegangen werden, etwa durch eine vorherige Absprache mit den Eltern und eine Anonymisierung der Abfrage. Grundsätzlich sollte man immer überlegen, ob es nicht andere Wege gibt, um zum gleichen Ziel zu gelangen. Sensible Bereiche aus dem Privatleben sollten im Unterricht besser meiden.

Verarbeitung, Bearbeitung, Speicherung, Bildschirmanzeige und Logineo NRW

Lesezeit: 4 Minuten

Manchmal können einzelne Worte entscheidend sein. Beim Datenschutz hängt von Formulierungen in rechtlichen Vorgaben deshalb eine Menge ab. Ein Beispiel dafür ist die VO-DV I, welche regelt, welche Daten eine Schule verarbeiten darf und, in diesem Zusammenhang besonders interessant, welche personenbezogenen Daten Lehrkräfte mit Genehmigung der Schulleitung auf privaten Endgeräten verarbeiten dürfen.1siehe hierzu Anlage 3 der VO-DV I Entscheidend ist hier das Wort verarbeiten. So heißt es in §2 Abs. 2 Satz 1 VO-DV I von Februar 2017:

„Die Verarbeitung personenbezogener Daten von Schülerinnen und Schülern in privaten ADV-Anlagen von Lehrerinnen und Lehrern für dienstliche Zwecke bedarf der schriftlichen, ein Verfahrensverzeichnis gemäß § 8 DSG NRW enthaltenden Genehmigung durch die Schulleiterin oder den Schulleiter.“

Eine entsprechende Formulierung findet sich auch in der Dienstanweisung für die automatisierte Verarbeitung von personenbezogenen Daten in der Schule, die im Februar 2018 zum ursprünglich geplanten Einführungstermin von Logineo NRW erschien:

„Die Verarbeitung personenbezogener Daten für dienstliche Zwecke auf privaten ADV-Anlagen von Lehrkräften ist nur mit schriftlicher Genehmigung der Schulleiterin oder des Schulleiters zulässig.“

Die Wahl des Wortes Verarbeitung macht je nach Perspektive durchaus Sinn. Als die Verordnung erlassen wurde, ging es darum, durch den Begriff Verarbeitung eine Eingrenzung vorzunehmen. Es sollte damit sichergestellt werden, dass die in der Anlage aufgeführten personenbezogenen Daten aus der Schule nur auf dem durch eine Genehmigung zugelassenen Gerät selbst gespeichert, angesehen, verändert, kopiert usw. werden dürfen, nicht jedoch in der Cloud oder auf anderen Geräten, sofern für diese keine Genehmigung vorliegt.

Verarbeitung findet sich als ein grundlegender Begriff in allen Datenschutzgesetzen und ist in der DS-GVO in Art. 4 Nr. 2 definiert.

Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;“

Diese Definition ist sehr weit und umfasst, je nach Auslegung, „jeden Vorgang, der irgendwie im Zusammenhang mit personenbezogenen Daten steht.“2Rossnagel, S. 300, Simitis, Hornung, Spieker, Art. 4 Nr. 2 Rn11 So fallen auch sämtliche technischen Vorgänge innerhalb eines Computers darunter, bei welchen personenbezogene Daten beteiligt sind, auch das Anzeigen am Bildschirm, und ohne dass ein Nutzer die angezeigten Daten in irgendeiner Form aktiv verändert.3„Auch wenn die Daten etwa im Cache eines Browsers nur kurzzeitig zwischengespeichert werden, stellt dies ebenso eine Verarbeitung dar wie die bloße Anzeige einer Datei auf einem Bildschirm oder die Weitergabe eines mobilen Speichermediums.“ Rossnagel, S. 300, Simitis, Hornung, Spieker, Art. 4 Nr. 2 Rn11

Entsprechend ist auch folgenden Aussage von Ende Januar 2019 aus Richtung Ministerium bezüglich der Zulässigkeit des Online-Zugriffs auf nicht in Anlage 3 aufgeführte personenbezogenen Daten stimmig4Die Quelle dieser Aussage ist mir bekannt, soll hier jedoch nicht genannt werden, um mögliche Probleme zu vermeiden.:

„Da die Verarbeitung von Gesundheits- und Verhaltensdaten im Rahmen der Erstellung von Fördergutachten nicht genehmigungsfähig ist- diese Daten werden in Anlage 3 VO-DV I nicht gelistet – können sie mit Personenbezug nicht auf Privatgeräten erstellt werden. Auch nicht online, da dazu ja in der Regel die Anzeige auf einem Monitor erforderlich ist.

Warum ist das Wort Verarbeitung so wichtig?

Es ist wichtig, denn mit diesem einen Wort steht und fällt das Konzept das Daten-Safe in Logineo NRW.

Nach Anlage 3 der VO-DV I sind Daten, die dort nicht explizit aufgeführt sind, von der Genehmigung ausgenommen und dürfen von daher unter keinen Umständen auf einem privaten Endgerät verarbeitet werden. Zu diesen Daten zählen z.B. Wortzeugnisse und Gutachten im Rahmen eines AOSF Verfahrens oder Notizen, welche sich Förderpädagogen bei Unterrichtsbeobachtungen machen, wenn es um Fördergutachten geht. Im Alltag bereitet diese Einschränkung Lehrkräften mangels Alternativen enorme Probleme, da oft weder Dienstgeräte noch ausreichend Computer Arbeitsplätze in der Schule zur Verfügung stehen.

Hier kommt nun der sogenannte Daten-Safe von Logineo NRW ins Spiel.

In der Rahmenmediennutzungsordnung5Der Link zum Dokument von 2017 ist nicht länger verfügbar. zur Landesplattform heißt es:

„Besonders schützenswerte Daten/Dokumente werden in dem durch ein weiteres Passwort gesicherten „Daten-SAFE“ der Verwaltungscloud gespeichert.“

Der Daten-Safe erlaubt nicht nur eine Speicherung, sondern auch eine Bearbeitung von Dokumenten. In Teil B Datensicherheit der aktuellen Version der Genehmigung zur Verarbeitung von personenbezogenen Daten aus der Schule auf privaten Endgeräten6Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gemäß § 2 Absatz 2 VO-DV I/§ 2 Absatz 4 VO-DV II – abgerufen 01.03.2019 heißt es deshalb:

„Sofern LOGINEO NRW eingesetzt wird und erreichbar ist: Bearbeitung und Speicherung von Dokumenten, die sensible personenbezogene Daten (z.B. Wortzeugnisse) enthalten, ausschließlich über den Online-Editor von LOGINEO NRW.“

Dieser Formulierung nach soll der Daten-Safe es Lehrkräften ermöglichen, bei Vorliegen der Genehmigung, die oben genannten sensiblen personenbezogenen Daten, die unter keinen Umständen auf einem privaten Endgerät verarbeitet werden dürfen, von selbigem Gerät aus im Online-Editor des Daten-Safes zu bearbeiten und zu speichern.7In einer Präsentation von 2017 zu Logineo NRW hieß es zum Daten-Safe unter anderem auch „Der Online-Editor ermöglicht die Arbeit mit privaten digitalen Endgeräten.“ und „Es steht ein Online-Editor zur Verfügung, sodass Dokumente mit besonders schützenswerten Daten nicht auf schulischen oder privaten Endgeräten gespeichert werden müssen.“ Quelle: SlideShare Das Konzept des Daten-Safe in Logineo NRW geht davon aus, dass zur Bearbeitung, welche auch eine Anzeige einschließt, keine Speicherung auf dem Endgerät erforderlich ist. Es wird in älteren Dokumenten zum Daten-Safe auch von einer virtuellen Umgebung gesprochen. Die sensiblen personenbezogenen Daten befinden sich nur vorübergehend im Browser Cache, was nicht mit einer permanenten Speicherung gleichzusetzen ist. 8Diese Einschätzung wird auch von Experten geteilt. Siehe dazu Eßer in Eßer, Kramer, v. Lewinski Art. 4 Nr. 2 DS-GVO Rn. 43 und Herbst in Kühling, Buchner, Art. 4 Nr. 2 DS-GVO Rn. 24. Entsprechend ist Logineo NRW gedacht als „Eine Basis-IT-Infrastruktur, als ein geschützter virtueller Arbeitsraum zur rechtskonformen Datenverarbeitung mit einer zentralen Benutzerverwaltung und grundlegenden Modulen zur Kommunikation, Organisation und Recherche für digitale Lernmittel, kann eingeführt werden.9Dienstanweisung für die automatisierte Verarbeitung von personenbezogenen Daten in der Schule Nr. 1 Satz 3

Während es im Text der VO-DV I um Verarbeitung geht, wird beim Daten-Safe von Bearbeiten und Speichern gesprochen, zwei Formen der Verarbeitung. Damit ergibt sich ein Problem für das Nutzungskonzept des Daten-Safe unter den Vorgaben der VO-DV I zum aktuellen Stand.

Bearbeitet und speichert eine Lehrkraft nicht in Anlage 3 gelistete, sensible personenbezogene Daten von Schülerinnen und Schülern im Daten-Safe von Logineo NRW, verstößt sie – entsprechend der Auslegung des Wortes Verarbeitung durch das MSB – gegen die Vorgaben der VO-DV I.10Es sei denn die oben zitierte im Teil B der Genehmigung enthaltene Vorgabe, dass diese Daten bei Verfügbarkeit ausschließlich im Online-Editor des Daten-Safe von Logineo NRW bearbeitet und gespeichert werden dürfen reicht bereits als Rechtsgrundlage, um eine Ausnahme von der Vorgabe in der VO-DV I zu schaffen.

Verarbeitung – Bearbeiten und Speichern

Der Daten-Safe zielt darauf ab, durch Bereitstellung einer virtuellen Umgebung eine Speicherung und Bearbeitung auf dem Endgerät selbst zu vermeiden. Da aber bereits der Zugriff über den Browser auf nicht in Anlage 3 aufgeführte sensible personenbezogene Daten nach der VO-DV I untersagt ist, da dieser bereits eine Verarbeitung darstellt, kann es also nur eine Lösung geben. Die VO-DV I muss angepasst werden. Es kann dabei nicht ausreichen, einen Erlaubnistatbestand für die Verarbeitung der genannten Daten von einem privaten Endgerät aus über eine in den technischen und organisatorischen Maßnahmen aufgeführte Ausnahme zu legitimieren, wie bisher geschehen. Vor Gericht hätte das im Zweifelsfall vermutlich keinen Bestand. Wäre Logineo NRW im ersten Anlauf, vor dem Zwangsstop, in Betrieb genommen worden, wäre die Nutzung zumindest in Teilen wider die Vorgaben der VO-DV I erfolgt. Interessant, dass keinem der Beteiligten dieses Problem in der Vergangenheit aufgefallen ist.

Zur Zeit befindet sich die VO-DV I in der Überarbeitung. Man darf gespannt sein, ob die „neue“ Version dieses Problem löst.

Die aktuell gültige Version von Anlage 3 VO-DV I (03/2019)

Alles Wortklauberei, möchte mancher jetzt vielleicht sagen. Leider nein, denn mitunter kommt es auf die Wahl des Wortes an.

 

 

 

 

Schule und Schulträger – Verantwortung beim Datenschutz

Lesezeit: 4 Minuten

Das Verhältnis von Schule und Schulträger ist nicht immer einfach. Oft ist man beim Schulträger der Meinung, wo das Geld ist, wird entschieden. Das betrifft die IT Ausstattung, von der Hardware bis zur Software. Schulträger entscheiden in vielen Bereichen und immer wieder über Schule anstatt mit Schule. Verwaltung und pädagogisches Netz werden mal eben mit Office 365 ausgestattet, die Kameras in iPads werden deaktiviert, die Nutzung bestimmter Internet-Dienste gesperrt, Dienstleister mit Support und Administration beauftragt und Schule hat das zu nehmen wie es ist. Kann ein Schulträger das mal eben alles so entscheiden?

Grundsätzlich sollten Entscheidungen, die eine Schule betreffen immer im Einvernehmen zwischen Schulträger und Schule getroffen werden.

Manchmal ist es für beide Seiten hilfreich, wenn man sich die rechtlichen Grundlagen vor Augen führt.

Schulträger als Sachaufwandsträger

Nach §79 SchulG NRW1§ 79 Bereitstellung und Unterhaltung der Schulanlage und Schulgebäude Die Schulträger sind verpflichtet, die für einen ordnungsgemäßen Unterricht erforderlichen Schulanlagen, Gebäude, Einrichtungen und Lehrmittel bereitzustellen und zu unterhalten sowie das für die Schulverwaltung notwendige Personal und eine am allgemeinen Stand der Technik und Informationstechnologie orientierte Sachausstattung zur Verfügung zu stellen. sind Schulträger als Aufwandsträger für die sächliche Ausstattung verantwortlich. Allerdings ist die  Schule gemäß §76 SchulG NRW vom Schulträger bei Entscheidungen zu beteiligen2Die Schule ist vom Schulträger in den für sie bedeutsamen Angelegenheiten rechtzeitig zu beteiligen. Hierzu gehören insbesondere […] 4. räumliche Unterbringung und Ausstattung der Schule sowie schulische Baumaßnahmen,.

Schule und innere Angelegenheiten

Anders als bei den äußeren Angelegenheiten ist die Schule in Bezug auf die inneren Angelegenheiten nach §3 SchulG NRW eigenverantwortlich3verwaltet und organisiert ihre inneren Angelegenheiten selbstständig. Unter die inneren Angelegenheiten fällt auch die Verarbeitung von personenbezogenen Daten. Entsprechend liegt die Verantwortung für die Einhaltung der datenschutzrechtlichen Vorgaben des Schulgesetzes nach §1 Abs. 3 VO-DV I bei der Schulleitung.

„(3) Für die Schule stellt die Schulleiterin oder der Schulleiter, […] durch technische oder organisatorische Maßnahmen sicher, dass der Schutz der verarbeiteten Daten gemäß § 10 DSG NRW gewährleistet ist und die Löschungsbestimmungen eingehalten werden.“

Das bedeutet, die Schule ist bei sämtlicher Verarbeitung von personenbezogenen Daten von Schülern, Lehrkräften und Erziehungsberechtigten, soweit sie innere Angelegenheiten betreffen, Verantwortlicher im Sinne von Art. 4 Nr. 7 DS-GVO.

Verhältnisse klarstellen

Wenn ein Schulträger, egal ob es das Schulamt ist, der kommunale oder städtische Datenschutzbeauftragte, die IT Abteilung im Rathaus oder ein vom Schulträger beauftragter IT Dienstleister, mit Vorgaben, Anordnungen, Konfigurationen schulischer Soft- und Hardware oder Verboten in Prozesse der Datenverarbeitung in Schule eingreift, dann ist dieses sicherlich in den meisten Fällen wohlwollend gemeint, überschreitet jedoch eindeutig die rechtlichen Zuständigkeiten dieser Stellen. Genau genommen können derartige Eingriffe in die datenschutzrechtlichen Angelegenheiten einer Schule sogar als Verstöße gegen geltendes Datenschutzrecht, vom Schulrecht über Landes- und Bundesdatenschutzgesetzgebung bis zur Europäischen Datenschutz Grundverordnung bewertet werden. Schulen sind in Bezug auf das Datenschutzrecht einzig ihren vorgesetzten Dienststellen, sofern diesbezüglich weisungsberechtigt, und der zuständigen Aufsichtsbehörde gegenüber weisungsgebunden.

Schulträgern und den Personen, Stellen und Dienstleistern, welche für sie tätig sind, ist dieser Sachverhalt oftmals nicht einmal klar.

Es gibt für Schulen hier einen einfachen Weg, um Abhilfe zu schaffen, ein Weg, mit dem eine Schule in den meisten Fällen auch einer datenschutzrechtlichen Pflicht nachkommt. Nach §2 Abs. 3 VO-DV I gilt:

„(3) Die Schulen […] sind berechtigt, unter Beachtung der Voraussetzung des § 11 DSG NRW die Datensicherheit gewährleistende und zuverlässige Institutionen mit der Verarbeitung ihrer Daten zu beauftragen. Die Datenverarbeitung im Auftrag ist nur zulässig nach Weisung der Schule […] und ausschließlich für deren Zwecke.“

In der Mehrheit aller Schulen ist der Schulträger mittels seiner eigenen IT Abteilung oder durch einen beauftragten IT Dienstleister mit Support und administrativen Aufgaben für die schulische IT beauftragt.

Immer wenn dabei auch ein Zugriff auf personenbezogene Daten aus der Schule erforderlich oder möglich ist, muss nach Art. 28 Nr. 3 DS-GVO ein Vertrag zur Auftragsverarbeitung geschlossen werden. In diesem sind die Zuständigkeiten zwischen dem Verantwortlichen, hier der Schule als Auftraggeber, und dem Auftragnehmer (Auftragsverarbeiter), eindeutig geregelt. Dazu gehört, dass der Auftragnehmer gegenüber dem Auftraggeber weisungsgebunden ist. Selbiges gilt auch, wenn schulische IT aus dem Schulgebäude ausgelagert betrieben wird. Das ist beispielsweise der Fall, wenn ein Schulverwaltungsprogramm wie SchiLD NRW zentral auf einem Server des Schulträgers oder beauftragten IT Dienstleisters betrieben wird.

Handlungsempfehlung

Letztlich geht es also nur darum, dem Schulträger deutlich zu machen, dass eine Schule bzw. eine Schulleitung ihrer datenschutzrechtlichen Verantwortung nur gerecht werden kann, wenn der Schulträger Eingriffe in die Schulische IT, sofern sie Datenverarbeitungsprozesse oder die technischen und organisatorischen Maßnahmen zum Schutz der verarbeiteten Daten betreffen, in Abstimmung mit der Schule vornimmt.4Das gilt natürlich auch in die umgekehrte Richtung, wie die Dienstanweisung für die automatisierte Verarbeitung von personenbezogenen Daten in der Schule unter 11.6 deutlich macht „Die Schulleiterin oder der Schulleiter hat im Einvernehmen mit dem Schulträger durch organisatorische Maßnahmen den Datenschutz sicherzustellen.

Schulträger verstehen dieses oft besser, wenn man den verantwortlichen Personen vor Augen führt, dass sich datenschutzrechtlich auch die kommunale bzw. städtische Verwaltung in einer vergleichbaren Situation befindet. Auch dort würde man keine Einmischung oder Bevormundung durch externe Stellen oder Personen zulassen (dürfen).

Mit einem zusätzlichen Hinweis auf die Vorgaben aus der Schulgesetzgebung und dem Abschluss der erforderlichen Verträge zur Auftragsverarbeitung sollte dann für alle Beteiligten klar sein, wie es mit der rechtlichen Stellung und den daraus resultierenden Verantwortlichkeiten im Verhältnis von Schule und Schulträger bestellt ist. Verantwortliche aus kommunaler bzw. städtischer Verwaltung verstehen die Sprache von Gesetzen und Verordnungen aus ihrem Berufsalltag sehr gut und bringen, wenn sie um die rechtlichen Verhältnisse wissen, auch mehr Verständnis für die Zuständigkeiten  für schulinterne Datenverarbeitungsprozesse auf.

Auf dieser Basis, sollte eine vertrauensvolle Zusammenarbeit von beiden Seiten aus gut möglich sein. Eine Schule kann auf dieser Grundlage dann auch besser argumentieren, wenn der Schulträger

  • eine Software, die seit Jahren essentiell für interne Abläufe ist, nicht mehr unterstützen möchte und keine Alternative bietet,
  • die Schulverwaltung von einem Server in der Schule auf einen Server im Rathaus umstellen will,
  • Verarbeitungsprozesse an einen Dienstleister auslagern will,
  • für alle sicheren, schuleigenen USB Sticks der Lehrkräfte ein einziges Passwort vorschreibt,
  • alle Schulen auf ein einheitliches Schulverwaltungsprogramm umstellen möchte,
  • im Internetzugang der Schule Ports gesperrt werden, die zur Nutzung eines Online-Angebotes, erforderlich sind,
  • die Kameras in iPads deaktiviert werden,
  • die Mitarbeiter des IT Dienstleisters mitten im Schulbetrieb für Wartungszwecke das schulische Netzwerk lahmlegen,
  • man für die sichere Aufbewahrung von Datenträgern und Festplatten zur Sicherung von Daten nach Jahren noch immer keinen (feuersicheren) Safe erhalten hat,

und dabei die entscheidet als hätte die Schule hier nichts zu sagen.

 

In Sachen Datenverarbeitung ist der Schulträger somit Auftragsverarbeiter und gegenüber der Schule weisungsgebunden. Das bedeutet:

  • Ohne entsprechende Verträge zur Auftragsverarbeitung geht gar nichts.

Datenschutzverstöße und mögliche rechtliche Folgen für eine Schule

Lesezeit: < 1 Minute

Es wird immer wieder gefragt, welche rechtlichen Folgen es haben kann, wenn es in der Schule zu einem Datenschutzverstoß kommt oder Vorgaben der DS-GVO bezüglich der Schulhomepage nicht eingehalten wurden. Der Beitrag Mögliche rechtliche Folgen eines Datenschutzverstoß für Schulen schaut deshalb auf die rechtlichen Möglichkeiten, welche für die Aufsichtsbehörde und die Betroffenen bestehen. Wie man dabei sieht, wird die Aufsichtsbehörde kein Bußgeld gegen eine Schule in öffentlicher Trägerschaft verhängen. Das bedeutet aber nicht, dass in der Schule tätige Personen nicht mit rechtlichen Konsequenzen rechnen müssen, vor allem wenn sie vorsätzlich gehandelt haben. Aber auch Unwissenheit schützt vor Strafe nicht und so können auch aus Nichtwissen oder Nachlässigkeit begangene Verstöße gegen das Datenschutzrecht durchaus rechtliche Konsequenzen nach sich ziehen, wenn den Betroffenen ein Schaden hierdurch entstanden ist, und dieser kann auch immaterieller Natur sein.

Windows 7 Support endet Anfang 2020

Lesezeit: < 1 Minute

In einigen Schulverwaltungen laufen noch immer PCs mit dem Betriebssystem Microsoft Windows 7. Dieses wird demnächst nicht mehr unterstützt. Bei Microsoft heißt es dazu1Ende des Supports für Windows 7:

„Ab dem 14. Januar 2020 stellt Microsoft weder Sicherheitsupdates noch technischen Support für Windows 7 zur Verfügung.“

Ein veraltetes Betriebssystem ist auch ein Datenschutz-Thema. In der Schulverwaltung werden personenbezogene Daten von Schülerinnen und Schülern, von Eltern und Lehrkräften verarbeitet, darunter auch sehr sensible Daten. Eine Verarbeitung von personenbezogenen Daten setzt nach §2 Abs. 1 SchulG NRW2(1) Die automatisierte Verarbeitung der personenbezogenen Daten ist zulässig auf ADV-Arbeitsplätzen und in Netzwerken, die für Verwaltungszwecke eingerichtet sind, auf sonstigen schulischen ADV-Anlagen und in sonstigen Netzwerken, wenn jeweils über die Konfiguration die Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Revisionsfähigkeit und
Transparenz gemäß § 10 des Datenschutzgesetzes Nordrhein-Westfalen
gewährleistet sind.
3Eine vergleichbare Vorgabe zu technischen und organisatorischen Maßnahmen findet sich in Art. 32 DS-GVO. voraus, dass durch geeignete technische und organisatorische Maßnahmen der Schutz und die Sicherheit dieser Daten gewährleistet ist.

Mit Windows 7 wird dieses nach dem 14. Januar 2020 nicht mehr möglich sein.4Ausnahme: der Schulträger bezahlt Microsoft für weitere Sicherheitsupdates und technischen Support. Dann ließe sich eine Nutzung unter Einhaltung der Vorgaben des Schulgesetzes NRW und der DS-GVO noch bis 2023 vertreten. Es reicht auch nicht, sich hier auf einen guten Virenschutz zu verlassen. Sobald ein Betriebssystem keine Sicherheitsupdates mehr erhält, steigt mit jedem neu entdeckten Sicherheitsleck das Risiko, dass Dritte ohne Berechtigung Zugriff auf die Daten der Schule erhalten, diese entwenden, verändern oder zerstören können.

Von daher ist es Schulen dringend zu empfehlen, sich mit dem Schulträger in Verbindung zu setzen und das Upgrade auf eine neuere Version des Betriebssystems, bei den meisten Schulen vermutlich Windows 10, frühzeitig zu planen, so dass dieses spätestens in den Weihnachtsferien zum Ende diesen Jahres in Angriff genommen werden kann.5System Administratoren sollten hierbei bedenken, Windows 10 durch entsprechende Maßnahmen ausreichend zu härten, um die Sicherheit des Systems zu erhöhen. Siehe hierzu SiSyPHuS Win10: Studie zu Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10 des BSI

Weitere Informationen: Ende des Supports für Windows 7

 

Datenschutz – ein Quiz mit Kahoot für Fortbildungen

Lesezeit: < 1 Minute

Für Fortbildungen von Lehrkräften und zur Sensibilisierung für datenschutzrechtliche Fragen im Schulalltag gibt es nun ein Kahoot Quiz mit 25 Fragen.

Ergänzend dazu gibt es zu jeder Frage Erläuterungen mit den rechtlichen Hintergründen, bezogen auf die Rechtslage in NRW. Der Quiz kann auch in anderen Bundesländern genutzt werden, da die Rechtslage überwiegend ähnlich ist. Die Erläuterungen als PDF und in anpassbaren Versionen.

Sollte sich die Rechtslage durch Anpassungen des Schulgesetzes oder der Verordnungen zur Datenverarbeitung ändern, werden Quiz und Erläuterungen aktualisiert.

 

Datenschutzbeauftragter des Schulträgers weisungsberechtigt gegenüber Schule?

Lesezeit: 2 Minuten

In einer nordrhein-westfälischen Kommune hat der Datenschutzbeauftragte des Schulträgers die Kommunikation zwischen Lehrern und Schülern mittels WhatsApp an allen städtischen Schulen untersagt. Dass schulische Kommunikation mittels WhatsApp ein Datenschutzthema ist, ist keine Frage.  Inwieweit jedoch der Datenschutzbeauftragte des Schulträgers den Schulen gegenüber weisungsberechtigt ist, steht auf einem anderen Blatt. Im Alltag hört man immer wieder, dass es solche Verbote oder Weisungen von dieser Seite gibt. Wie ist damit umzugehen? Ist das rechtens?

In Nordrhein-Westfalen gibt das Schulgesetz in §3 Absatz 1 Satz 2 vor, dass die Schule ihre inneren Angelegenheiten selbst verwaltet1„Sie verwaltet und organisiert ihre inneren Angelegenheiten selbstständig.“ es gibt zwar einen Passus im Schulgesetz, welcher Schulen dazu verpflichtet, den Anordnungen des Schulträgers zu folgen,2„Die Anordnungen des Schulträgers in seinem Aufgabenbereich sind für die Schulleiterin oder den Schulleiter verbindlich.“ §59 Abs. 11 Satz 2  doch gilt dieses nur, soweit es den Aufgabenbereich des Schulträgers betrifft. Und zu diesen gehören nicht die inneren Angelegenheiten der Schule. Soweit es den Bereich digitale Medien betrifft, ist der Schulträger nach §79 SchulG NRW verpflichtet, für eine angemessene Sachausstattung zu sorgen.3„Die Schulträger sind verpflichtet, die für einen ordnungsgemäßen Unterricht erforderlichen Schulanlagen, Gebäude, Einrichtungen und Lehrmittel bereitzustellen und zu unterhalten sowie das für die Schulverwaltung notwendige Personal und eine am allgemeinen Stand der Technik und Informationstechnologie orientierte Sachausstattung zur Verfügung zu stellen.“ Aus schulrechtlicher Sicht liegt in der Schule die datenschutzrechtliche Verantwortung bei der Schulleitung. Die ADO führt hierzu in §26 Abs. 5 Satz 2 aus:

„Sie oder er ist für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich (§ 1 Absatz 3 VO-DV I – BASS 10-44 Nr. 2.1, § 1 Absatz 5 VO-DV II – BASS 10-41 Nr. 6.1).“

Das ist sehr eindeutig. Wenn es um Vorgaben oder Verbote bezüglich des Datenschutzes geht, dann können diese nur von Seiten des Schulministeriums kommen oder einer untergeordneten Behörde mit entsprechenden rechtlichen Weisungsbefugnissen, nicht jedoch vom Datenschutzbeauftragten des Schulträgers.

Wie sieht es mit den behördlich bestellten schulischen Datenschutzbeauftragten aus?

Im Grunde genommen sieht es nicht anders aus. Auch die vom Schulträger bestellten Datenschutzbeauftragten für die Schulen der Kommune haben keine Weisungsbefugnis gegenüber den Schulen in ihrem Zuständigkeitsbereich. In der VO-DV I §1 Abs. 3 Satz 2 heißt es:

„Die Zuständigkeit der gemäß § 1 Abs. 6 VO-DV II bestellten behördlichen Datenschutzbeauftragten (§ 32 a DSG NRW) besteht auch für die Kontrolle der Einhaltung der datenschutzrechtlichen Vorschriften in Bezug auf die Daten der Schülerinnen, Schüler und Eltern.“

In der Art. 39 DS-GVO sind die Aufgaben eines Datenschutzbeauftragten klar definiert. Dazu gehören unter anderem Unterrichtung und Beratung, Überwachung der Einhaltung der DS-GVO,  Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen, Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung und Zusammenarbeit mit der Aufsichtsbehörde.  Auch Art. 38 DS-GVO, bei dem es um die Stellung des Datenschutzbeauftragten geht, ist keine Rede davon, dass dieser eine Weisungsbefugnis hat.

Fazit

Datenverarbeitung in der Schule, und dazu gehört auch welche digitalen Medien Schüler und Lehrer zur Kommunikation nutzen, liegt zuallererst in der Verantwortung der Schulleitung. Das jeweilige Schulministerium und die Schulaufsichten können im Rahmen der ihnen zur Verfügung stehenden Rechtsmittel (Erlasse, Verordnungen, Dienstanweisungen, …) Schulen datenschutzrechtliche Vorgaben machen, für deren Einhaltung dann die Schulleitung verantwortlich ist. Die behördlich bestellten schulischen Datenschutzbeauftragten können die Einhaltung datenschutzrechtlicher Vorgaben überprüfen, sind jedoch ohne jegliche Weisungsbefugnis gegenüber den Schulen. Datenschutzbeauftragte des Schulträgers, welche für die kommunale Verwaltung zuständig sind, haben in Bezug auf die Schulen keinerlei Zuständigkeit. Entsprechend sind auch Schulträger selbst oder deren kommunale IT-Dienstleister nicht berechtigt, Schulen irgendwelche datenschutzrechtlichen Vorschriften zu machen.

Schulleitungen und Schulträger sind gehalten, einvernehmlich zusammenzuarbeiten. Dazu gehört jedoch keine datenschutzrechtliche Bevormundung durch Personen oder Stellen auf Seiten des Schulträgers, die dazu keinerlei rechtliche Befugnis haben. Es kann auch nicht sein, dass hier eine Seite durch die Hoheit über die Zuweisung finanzieller Mittel versucht, eine Machtbefugnis zu erlangen, die ihr nicht zusteht.

Was tun wenn das Gerät mit Zugang zum digitalen Klassenbuch verschwunden ist?

Lesezeit: < 1 Minute

Zum Glück ist nichts passiert, doch wie ein Fall bei Hannover zeigt, kann es heikel werden, wenn das Smartphone mit Zugang zum digitalen Klassenbuch und Zeugnissen von Schülern einer Lehrkraft abhanden kommt.

Eine Lehrerin deponierte dort ihren „Rucksack mit allerlei Wertsachen und einem Handy darin, welches ihr den Zugriff auf sensible Daten wie das digitale Klassenbuch und die Zeugnisse ihrer Schüler sichert“1Quelle: http://www.haz.de/Umland/Burgdorf/Burgdorf-Angeblicher-Diebstahl-in-Fitnessstudio-in-Burgdorf-Schusseligkeit-loest-Polizeieinsatz-aus im Spind im Fitnesstudio. Sie glaubte zunächst der Rucksack samt Inhalt sei gestohlen worden. Wie sich später herausstellte, hatte sie ihn nur in einen anderen Spind gepackt.

Der Fall zeigt aber mehr als deutlich, wo für Lehrkräfte Gefahren lauern können, wenn sie personenbezogene Daten aus der Schule auf einem mobilen privaten Endgerät verarbeiten.

  1. Geräte, über welche personenbezogenen Daten aus der Schule verarbeitet werden, egal ob es Privatgeräte sind oder Dienstgeräte, müssen sicher aufbewahrt werden. Das gilt für die Aufbewahrung in der Schule, zu Hause und vor allem außer Hauses. 2Ein Spind in einem Fitnessstudio zählt sicher nicht zu den Orten, wo man ein solches Gerät aufbewahren sollte.
  2. Geräte, über welche personenbezogene Daten aus der Schule verarbeitet werden, müssen durch technische Maßnahmen gesichert werden. Dazu gehört ein sicherer Zugangsschutz. Bei einem Smartphone könnte das etwa ein Sicherheitscode, der aus mehr als vier Zahlen besteht, sein. Auch die für die Verarbeitung von personenbezogenen Daten aus der Schule genutzten Apps oder Programme müssen durch einen Zugangsschutz gesichert werden. Erfolgt der Zugriff auf ein digitales Klassenbuch oder die Zeugnisverwaltung über den Browser, so dürfen die Zugangsdaten nicht im Browser gespeichert werden.

Sollte es tatsächlich einmal zu einem Verlust kommen, muss die Schule bzw. ein Verantwortlicher umgehend informiert werden, um z.B. im Falle eines Online Zugangs zum digitalen Klassenbuch den Zugang der Lehrkraft sofort zu sperren oder die Zugangsdaten zu ändern. Das sollte auch erfolgen, wenn das Gerät und die Zugänge im Gerät gut gesichert sind.

 

 

 

 

Datenschutzrechtliche Untersuchung der Nutzung von Office 365 an Schulen in der Schweiz

Lesezeit: 2 Minuten

Anders als in Deutschland ist in der Schweiz bisher die Nutzung von Office 365 an Schulen aus datenschutzrechtlicher Sicht recht problemlos möglich gewesen. Entsprechend weit verbreitet ist der Einsatz dort. Noch im September 2018 hatte der Datenschutzbeauftragte des Kanton Zürich einen Leitfaden zur Nutzung von Office 365 an Bildungseinrichtungen herausgegeben.1Schulen, die Office 365 nutzen, sollten diesen Leitfaden kennen, da er wertvolle Hinweise für eine datenschutzrechtlich verantwortungsvolle Nutzung von Office 365 gibt. Beachten sollte man dabei allerdings, dass einige Aussagen sich nicht auf NRW bzw. Deutschland übertragen lassen, etwa die Nutzung von Office 365 in der Schulverwaltung. Einige Wochen später enteckte man in den Niederlanden, dass Office 365 wohl weitaus mehr Telemetriedaten für Support und Softwareentwicklung an US Server übermittelt, als in der von Microsoft zur Verfügung gestellten Dokumentation ausgewiesen. Diese Daten, auch wenn überwiegend technischer Natur, sind mit Benutzerkonten verknüpft bzw. verknüpfbar und stellen nach der DS-GVO personenbezogene Daten dar. Die niederländischen Datenschützer kamen zu dem Schluss, dass Mircosoft hier gegen die DS-GVO verstößt.2siehe Dutch government report says Microsoft Office telemetry collection breaks GDPR Die holländischen Datenschützer haben 8 Probleme definiert und mögliche Lösungen aufgezeigt.

Die acht datenschutzrechtlichen Problembereiche von Office 365 im Zusammenhang mit Telemetriedaten
Es geht um:
* Mangelnde Transparenz
* Fehlende Möglichkeit, die Sammlung und Übermittlung von Telemetriedaten temporär und dauerhaft zu beeinflussen
* Unrechtmäßige Sammlung und Speicherung von sensiblen personenbezogenen Daten
* Unzutreffende Beschreibung von Microsoft als Verarbeiter
* Unzureichende Kontrolle über Sub Auftragsverarbeiter
* Mangelnde Beschränkung der Verarbeitungszwecke – Übertrag von Daten aus dem EU Raum hinaus
* Unbegrenzte Speicherung der diagnostischen Daten

Das hat nun auch den Datenschutzbeauftragten des Kanton Zürich aufgegriffen. Die Befunde der Niederländer bedeuten für ihn jedoch nicht automatisch, dass die Übermittlung der Telemetriedaten durch Microsoft rechtswidrig ist, denn seine Fachstelle hatte mit Microsoft speziell für den Bildungsbereich Rahmenbedingungen für die Nutzung von Office 365 ausgehandelt. Da für ihn nicht klar ist, inwieweit die in den Niederlanden ermittelten Probleme auch für den Schulbereich in der Schweiz relevant sind, hat er Microsoft zu einer Stellungnahme aufgefordert. Es geht dabei nun darum, ob die Verarbeitung dieser Telemetriedaten durch Microsoft datenschutzrechtskonform ist oder nicht.

Microsoft selbst verweist auf die für Kunden verfügbare Dokumentation Diagnostic Data in Office Applications, zeigt sich jedoch kooperativ und will mit den Datenschützern an Lösungen arbeiten. Erste Anworten und Maßnahmen sind für das erste Quartal 2019 angekündigt.

Auswirkungen auf die Nutzung von Office 365 an Schulen in NRW

Auch in NRW dürften einige Schulen schon im November hellhörig geworden sein, als die Meldungen aus den Niederlanden kamen. Wer als Schule bei der Nutzung von Office 365 einige Grundregeln beachtet, sollte vorerst damit weiterarbeiten können.3Siehe dazu auch die Informationen des MSB NRW von Dezember 2018 zu Office 365, wo es u.a. heißt: „Grundsätzlich kann für die jetzige praktische Handhabung festgestellt werden:
Schulleitungen, die sich mangels einer offiziellen Einschätzung in NRW auf die Bewertung des DSB Hessen verlassen und die dortigen einschränkenden Bedingungen zur Nutzung von Office 365 einhalten, u.a. keine Nutzung der Cloud für Verwaltungszwecke, kann kein fahrlässiges oder vorwerfbares Handeln vorgehalten werden.“

  • Office 365 kann nicht im Bereich der Schulverwaltung eingesetzt werden, wenn es um die Verarbeitung von personenbezogenen Daten von Schülern, Lehrkräften und Eltern geht. Die Verarbeitung von allgemeinen, nicht personenbezogenen Daten bzw. Informationen (z.B. die Erstellung und Bereitstellung von Formularen) ist jedoch durchaus möglich.
  • Im Unterricht sollte Office 365 so datensparsam wie möglich genutzt werden. Bewertungen und Leistungsdaten gehören nicht in Office 365. 4Bei einer ausschließlichen Nutzung über schulische Geräte fallen die wenigsten personenbezogenen Daten an, wenn die Benutzerkonten datenschutzfreundlich erstellt werden.

Dass Microsoft hier jetzt patzen wird, ist eher unwahrscheinlich. Es steht zu viel auf dem Spiel. Man kann wohl damit rechnen, dass Microsoft nachbessern wird und zumindest im Bildungsbereich die bemängelten Funktionalitäten einschränkt und besser dokumentiert, den Verantwortlichen und Nutzern mehr Kontrolle über die Erhebung und Verarbeitung der Telemetriedaten gibt sowie die Speicherdauer und Verwertung eingrenzt.

Quelle für die Informationen aus der Schweiz ist der Beitrag mit dem etwas reißerischen Titel Verstossen Lehrer und Schüler mit Microsoft Office gegen das Gesetz? (12/2018)

Endlich klare Aussagen vom MSB NRW zu datenschutzrechtlichen Fragen

Lesezeit: < 1 Minute

Es hat lange gedauert bis sich das Ministerium für Schule und Bildung NRW einmal umfänglich zu datenschutzrechtlichen Fragen im Zusammenhang mit der umstrittenen Genehmigung zur Verarbeitung von personenbezogenen Daten aus der Schule auf privaten Endgeräten von Lehrkräften äußert. Was geht und was geht nicht, wie sieht es mit Haftungsfragen aus? Antworten kommen auch zu vielen anderen Fragen: z.B. E-Mail Kommunikation mit Eltern über dienstliche und private E-Mail Adressen, Speicherung von Fotos von Schülern auf dem Smartphone, Nutzung von privaten Smartphones für Kommunikation mit Eltern, Fragen zu zulässigen Anwendungen, Zugriff auf Webanwendungen und die Genehmigung, und die Zulässigkeit von WhatsApp, Telegram und iMessage auf privaten Geräten, wenn sie dienstlich genutzt werden. Zu finden ist dieses unter

Da es an Schulen nicht nur viele Fragen zur Genehmigung gibt, sondern auch zu anderen Bereichen, wurden in einer zweiten Sammlung weitere Fragen zum Thema Datenschutz an der Schule aufgegriffen. Hier geht es um die Aufgaben von Datenschutzbeauftragten, Notelisten in Papierform am heimischen Arbeitsplatz, die Übermittlung von Elterndaten an die Schulpflegschaft, Office 365 im schulischen Einsatz, Videoüberwachung und elektronische Schließanlagen an der Schule.

Sicherlich werden verschiedene Akteure im Bereich Schule die Antworten unterschiedlich beurteilen. Es bleiben definitiv auch noch Fragen offen, doch es ist gut, dass das Ministerium zu den meisten Fragen sehr eindeutig Stellung bezogen hat. Mit diesen Antworten kann man planen und Entscheidungen fällen.

Auch zum Thema Schulhomepage gibt es einige (wenige) datenschutzrechtliche Aussagen vom Ministerium.