Dürfen digitale Klassenarbeiten auf privaten Lehrerendgeräten gespeichert werden?

Lesezeit: 4 Minuten

Folgende Frage wurde gestellt:

„Angenommen eine Kollegin lässt im EDV-Unterricht eine Excel-Tabelle als Leistungsüberprüfung (z.B. Klassenarbeit) erstellen. Diese werden von den SuS im pädagogischen Netz gespeichtert. Da die Kollegin keinen schulischen Arbeitsplatz zur Verfügung hat, möchte sie die Excel-Tabellen gerne am privaten PC bewerten. Darf sie das?“

Wie in der Anfrage bereits festgestellt, werden Klassenarbeiten nicht in der Genehmigung für die Verarbeitung personenbezogener Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken … aufgeführt.

Anlage 3 der VO-DV I führt tatsächlich nur „Leistungsbewertung in den Fächern, in denen die Lehrkraft die Schülerinnen und Schüler unterrichtet“ als zum Datensatz gehörig auf, den Lehrerinnen und Lehrer mit Genehmigung verarbeiten dürfen. Klassenarbeiten selbst gehören in NRW nicht einmal zum Datenbestand der Schule selbst, sondern nur die Noten daraus und die Bewertungen.1 Anders als bei Unterlagen zum sonderpädagogischen Förderbedarf, wo ausdrücklich nur das Ergebnis der Entscheidung verarbeitet werden darf, nicht aber beispielsweise die zugrundeliegenden Gutachten, werden Klassenarbeiten auch an keiner Stelle von der Verarbeitung ausgeschlossen. 2    In Schleswig Holstein zählen Klassenarbeiten zu den von der Schule geführten Akten, die gesondert von der Schülerakte geführt werden. (Siehe dazu §8 „Landesverordnung über die Verarbeitung personenbezogener Daten an öffentlichen Schulen (Schul-Datenschutzverordnung – SchulDSVO)„) 

Für den Fragesteller ergibt sich deshalb die Frage, ob

„Leistungsüberprüfungen überhaupt als personenbezogene Daten im Sinne der Datenschutzgesetzgebung anzusehen sind?“

Gehören die Inhalte von Leistungsüberprüfungen zu den personenbezogenen Daten?

Leistungsüberprüfungen enthalten mit der Namensangabe automatisch personenbezogene Daten, außer sie werden anonym verfasst, etwa um einen allgemeinen Eindruck vom Stand der Lerngruppe zu erhalten. Dem Datum Name lassen sich dann weitere Daten aus dem Inhalt der Leistungsüberprüfung zuordnen: richtig, falsch, Anzahl richtig und falsch, vollständig, unvollständig, ausführlich, knapp, Aufgabe missverstanden, Fehlertypen, usw.. Je nach Aufgabenstellung können etwa auch Meinungen enthalten sein.

Personenbezogene Daten umfassen, laut Artikel 4 DS-GVO und Kommentaren dazu, ohne Einschränkung „alle Informationen“, die sich auf eine Person beziehen und der Begriff ist von daher grundsätzlich weit zu verstehen.3Siehe dazu Klar/Kühling in Kühling/Buchner, Art. 4 Nr. 1 DS-GVO Rn. 8 So fallen darunter auch innere Zustände. Eine Klassenarbeit kann als Ausdruck eines inneren Zustandes gesehen werden. Schüler X verfügt über folgende Kompetenzen/ verweigert die Leistung/hat die Aufgabenstellung nicht verstanden/ lehnt es ab, Tiere zu töten, ….

Das gilt für analoge Klassenarbeiten, wo es noch das zusätzliche Merkmal Handschrift gibt oder vielleicht den typischen Geruch des Heftes (Raucher, Parfüm, ….) wie auch für digitale Klassenarbeiten. Bei digitalen Daten und digitale Klassenarbeiten fallen darunter, ist die DS-GVO noch einmal kritischer. Wenn es um automatisierte Datenverarbeitung geht, worunter schon das bloße Speichern fällt, gibt es kein belangloses Datum.4Siehe dazu Klar/Kühling in Kühling/Buchner, Art. 4 Nr. 1 DS-GVO Rn. 9

Digitale Klassenarbeiten lassen sich darüber hinaus auch digital aus- und mittels entsprechender Algorithmen bewerten, ähnlich wie Daten in einer Lernplattform. Rein technisch gesehen liefert eine Klassenarbeit wie alle von Schülern angefertigten Arbeiten, wie ihr Verhalten, ihre Mitarbeit, … (personenbezogene) Rohdaten, welche Lehrkräfte auswerten und den Schülern zugeordnet in Noten fassen, wodurch sie neue personenbezogene Daten generieren.

In Abgrenzung zu den Sachdaten liegt bei einer Klassenarbeit ein Zweckelement vor, da es möglich ist, die Informationen darin zur Beurteilung einer Person zu nutzen.

Was bedeutet das nun für die Kollegin?

Die Bewertung der gesamten Situation wird, wie oben dargestellt, deutlich erschwert durch das Fehlen jeglicher Regelungen bezüglich der Verarbeitung von derartigen personenbezogenen Daten. Auf der sicheren Seite ist man deshalb eigentlich nur, wenn man die bestehenden Vorgaben restriktiv auslegt. Damit darf die Kollegin, wenn sie sich an die Vorgaben der VO-DV I hält, die von den Schülern bearbeiteten Excel Tabellen nicht auf ihrem privaten Endgerät speichern.

Wie kann man das Problem lösen?

Zwei Möglichkeiten sind denkbar.

  1. Arbeitet die Schule offiziell mit einer Plattform wie Moodle, Office 365 oder ähnlich5        Dazu würde in NRW auch Logineo NRW zählen. und es ist dadurch möglich, die Dateien über Zugriff auf die Plattform von zu Hause aus innerhalb der Plattform anzuzeigen, in einem in die Plattform integrierten Datei Viewer oder im Fall von Office 365 über die Browser Version von Excel, dann ist dieses mit den Vorgaben der VO-DV I vereinbar. Die vorübergehende Speicherung im Cache des Browsers zur Anzeige stellt keine Speicherung bzw. Verarbeitung auf dem Gerät selbst im Sinne der DS-GVO6        Siehe dazu Eßer in Eßer/Kramer/ v. Lewinski Art. 4 Nr. 2 DS-GVO Rn. 43 und Herbst in Kühling/Buchner, Art. 4 Nr. 2 DS-GVO Rn. 24 dar. Die Lehrkraft ist damit nicht der Beschränkung auf die in VO-DV I Anlage 3 aufgeführten personenbezogenen Daten unterworfen.7       Der Lehrkraft sollte eine Genehmigung der Schulleitung zur Verarbeitung personenbezogener Daten aus der Schule vorliegen.
  2. Stellt die Schule USB Sticks8         Diese USB Sticks sollten geschützt sein. Siehe dazu auch den Themen Beitrag: USB Sticks und Datensicherheit zur Verfügung, man speichert die Dateien der Schüler auf diesem USB Stick und öffnet sie von dort aus (also ohne sie auf den Rechner zu kopieren) mit einem kompatiblen Tabellenkalkulationsprogramm, dann ist auch das mit den Vorgaben der VO-DV I vereinbar. Die temporäre Arbeitskopie, wie beispielsweise Excel sie anlegt, wenn man die Datei vom USB Stick öffnet, fällt nicht unter den Begriff der Speicherung9         Siehe dazu ebenfalls Eßer in Eßer/Kramer/ v. Lewinski Art. 4 Nr. 2 DS-GVO Rn. 43 Herbst in Kühling/Buchner, Art. 4 Nr. 2 DS-GVO Rn. 24, die ihrerseits eine Form der Verarbeitung ist. Somit kann man auch auf diesem Wege die Beschränkung auf die in VO-DV I Anlage 3 gelisteten personenbezogenen Daten umgehen, da die Verarbeitung nicht auf dem Gerät selbst stattfindet.10        Der Lehrkraft sollte trotzdem eine Genehmigung der Schulleitung zur Verarbeitung personenbezogener Daten aus der Schule vorliegen.

Die beiden vorgeschlagenen Lösungen lassen sich aktuell so aus datenschutzrechtlicher Sicht nicht umsetzen. Um den Zeitpunkt als der Beitrag entstand, ging man im Schulministerium NRW noch davon aus, dass es mit Genehmigung für private Endgeräte durch die Schulleitung Lehrkräften möglich ist, nicht in Anlage 3 aufgeführte personenbezogene Daten aus der Schule mit vorliegen der Genehmigung für private Endgeräte in einer virtuellen Umgebung wie Logineo NRW zu verarbeiten. Das war auch der Gedanke bei der Nutzung des sogenannten Daten-Safe. Mittlerweile musste das MSB hier seine Position korrigieren. Wie im Beitrag Verarbeiten – Speichern – Unterricht – Lehrergeräte ausführlich dargestellt, fällt bereits die Anzeige von personenbezogenen Daten am Bildschirm unter den Begriff der Verarbeitung. Das bedeutet für die Praxis:

Auch mit Genehmigung dürfen Lehrkräfte von einem privaten Endgerät aus nur die in Anlage 3 aufgeführten personenbezogenen Daten aus der Schule verarbeiten! Alle anderen Daten dürfen nur von Dienstgeräten oder für Verwaltungsarbeiten eingerichteten Arbeitsplätzen aus verarbeitet werden. Arbeiten, die Schüler im pädagogischen Netz angefertigt haben, können entsprechend auch dort durch die Lehrkraft verarbeitet werden.

Die Kollegin kann nach aktueller Rechtslage die Excel-Tabellen nur an einem Schulrechner bewerten oder sie muss sie ausdrucken. In Papierform kann sie sie mitnehmen wie jedes Arbeitsmaterial. Diese Antwort ist natürlich unbefriedigend und jeder muss für sich entscheiden, was man daraus macht.

Übertragen bedeutet das

Es ist zur Beweissicherung auch nicht zulässig, Klassenarbeiten abzufotografieren oder zu Hause einzuscannen, etwa wenn Schüler immer wieder die zurückgegebene, bewertete Arbeiten manipulierten, um der Lehrkraft Fehler zu unterstellen mit dem Ziel, eine bessere Note zu bekommen. Hier bleibt dann nur die Kopie am Kopierer oder das Einscannen über einen schulischen Dokumentenscanner.

überarbeitet mit Stand 05/2019

Welche Löschfristen gelten für personenbezogene Daten auf einem dienstlichen USB Stick?

Lesezeit: 2 Minuten

Nach Lektüre meines Themen Beitrags USB Sticks und Datensicherheit, in welchem erklärt wird, welche Möglichkeiten es gibt, USB Sticks so zu sichern, dass die Vertraulichkeit der darauf gespeicherten personenbezogenen Daten gewährleistet ist, stellte sich ein Leser die Frage, wie es mit den Löschfristen der auf einem dienstlichen USB Stick gespeicherten personenbezogenen Daten aus der Schule aussieht.

„Bei einem privaten Endgerät beträgt die Löschfrist ein Jahr zum Ende des Kalenderjahres. Ändert sich etwas, wenn die Schule den Kolleginnen und Kollegen einen schulischen USB-Stick zur Verfügung stellt? Gilt dann die 5 Jahresfrist?“

Die VO-DV I legt unter §9 Abs. 2 für die Aufbewahrung und Löschung von auf privaten Endgeräten von Lehrkräften gespeicherte personenbezogene Daten aus der Schule gesonderte Fristen fest, die deutlich kürzer sind als die für Computer in der Schule.

„(2) Sind die Daten nach Absatz 1 in öffentlichen ADV-Anlagen oder auf Datenträgern gespeichert, gelten die Aufbewahrungsfristen entsprechend. Für in privaten ADV-Anlagen gespeicherte Daten (§ 2 Abs. 2) beträgt die Aufbewahrungsfrist ein Jahr. Sie beginnt abweichend von Absatz 1 mit Ablauf des Kalenderjahres, in dem die Schülerin oder der Schüler von der Lehrerin oder dem Lehrer nicht mehr unterrichtet wird.“

Die Frage ist nun also, fallen von der Schule bereitgestellte, dienstliche USB Sticks unter Datenträger im Sinne von §9 Abs. 2 oder muss man sie doch eher wie private ADV-Anlagen betrachten?

  • Richtet man sich nach dem Wortlaut der VO-DV I (grammatikalische Auslegung), gilt die Regel mit der Löschfrist nach einem Jahr ab Ablauf des Kalenderjahres eindeutig nur für private Endgeräte. Ein von der Schule zur Verfügung gestellter USB Stick fiele demnach nicht unter diese Regelung und wäre gleichzubehandeln mit einem Datenträger, wie im ersten Satz von §9 Abs. 2 genannt. Entsprechend würden hier dann auch die dafür geltenden Löschfristen zutreffen.
  • Man könnte die Sache allerdings auch dem Sinn und Zweck nach betrachten (teleologische Auslegung). Wenn man also zu dem Schluss kommt, der dienstlich bereitgestellte USB Stick wird vom Charakter her wie ein privater USB Stick genutzt, dann müsste der USB Stick wie ein Privatgerät behandelt werden und entsprechend die einjährige Löschfrist gelten.

Eine gleiche Fragestellung würde sich auch für Dienstgeräte ergeben und die Löschfristen dort. Persönlich würde ich eher zur grammatikalischen Auslegung tendieren.

Käme es zu einem Streitfall, würde man entsprechend argumentieren. Das sollte vor Gericht ausreichen.

Man sollte die Frage bezüglich der Löschfristen sicher auch noch unter dem Gesichtspunkt der Datenminimierung betrachten. Ist es erforderlich, dass auf einem USB Stick personenbezogene Daten von Schülern gespeichert sind, die eine Lehrkraft das letzte Mal zwei Jahren zuvor unterrichtet hat? Diese Frage kann man in der Mehrheit der Fälle wohl verneinen. Und es bliebe der Lehrkraft immer noch die Möglichkeit, die Daten in der Schule in einem ihr zugewiesenen Verzeichnis im Verwaltungsnetz abzulegen.

Fotos & Videos ohne Einwilligung können auch zu Disziplinarmaßnahmen führen

Lesezeit: < 1 Minute

Wie ein Fall von vor einigen Jahren aus NRW zeigt, verstößt eine Lehrkraft, die ohne Einwilligung Fotos oder Videos von ihren Schülerinnen und Schülern macht, nicht nur gegen die Datenschutzgesetzgebung, sondern verletzt auch die ihr obliegenden Dienstpflichten, wofür sie dann entsprechend mit Disziplinarmaßnahmen belegt werden kann.

Durch die Lehrkraft waren im Sportunterricht Videoaufnahmen von Schülerinnen angefertigt worden, ohne eine Einwilligung der Erziehungsberechtigten oder Erlaubnis durch die Schulleitung und obwohl die Schülerinnen den Aufnahmen widersprochen hatten. Die Schulleitung, bei welcher sich die Schülerinnen beschwert hatten, hatte die Lehrkraft daraufhin auf die Rechtswidrigkeit dieses Verhaltens hingewiesen. Nach diesem Vorfall hatte die Lehrkraft Fotografien von Schülern einer 7. Klasse im Chemieunterricht angefertigt und diese auf einem privaten Datenspeicher gespeichert, obwohl auch dazu keine Einwilligungen vorgelegen und ein Schüler darauf hingewiesen hatte.

Entsprechend hatte dann die Disziplinarkammer im ursprünglichen Verfahren einen Dienstvergehenstatbestand als erfüllt angesehen und eine Geldbuße verhängt. Ein Antrag auf Berufung wurde vom Oberverwaltungsgericht nicht zugelassen.

Der Fall ist interessant, weil er zeigt, dass ein Verstoß gegen Vorgaben der Datenschutzgesetzgebung durchaus auch dienstrechtliche Konsequenzen haben kann. Mit Beginn der Umsetzung der DS-GVO haben sich einige Dinge geändert.

Was kann man daraus mitnehmen für die Zukunft?

Verstöße gegen die Persönlichkeitsrechte von Schülerinnen und Schülern bzw. gesetzlichen Vorgaben aus dem Datenschutz und der entsprechenden Schulgesetzgebung können selbst wenn sie zu keinen Bußgeldern durch die Aufsichtsbehörden und auch keiner Schadesersatzforderung durch die Betroffenen führen, durchaus als Verstoß gegen das Dienstrecht geahndet werden, da sie immer auch mit einer Verletzung der einer Lehrkraft obliegenden Dienstpflichten einhergehen.

Quelle: Oberverwaltungsgericht NRW, 3d A 1203/16.O

Eltern klagen wegen Veröffentlichung eines Klassenfotos und unvollständiger Auskunft

Lesezeit: 2 Minuten

Wie der Bayrische Rundfunk berichtet, entschied das Verwaltungsgericht Augsburg am 12.07.2018 über einen Fall, in welchem Eltern eines 13 jährigen Schülers wegen der Veröffentlichung eines Klassenfotos in einem Jahresbericht klagen, auf welchem der Sohn abgebildet ist.

Das Verwaltungsgericht Augsburg entscheidet heute über eine ungewöhnliche Klage: Die Eltern eines 13 Jahre alten Schülers hatten verlangt, dass ein Klassenfoto, auf dem ihr Sohn zu sehen ist, nicht veröffentlicht werden darf. Im Jahresbericht der Schule wurde das Bild dann aber doch abgedruckt. Die Leitung der Geschwister-Scholl-Mittelschule in Aichach hat nach Angaben des Gerichts einen Fehler eingeräumt. Sie habe sich auch bei den Eltern entschuldigt.

Dem Bericht nach haben die Eltern in einer „Datenschutzerklärung“, gemeint sein wird wohl eine datenschutzrechtliche Einwilligung, der Anfertigung eines Klassenfotos mit dem Sohn zugestimmt, dabei jedoch keine Einwilligung zu einem „Abdruck in einer Lokalzeitung oder für die Verwendung im Internet“ oder im Jahresbericht gegeben. In letzterem wurde das Bild dann abgedruckt, rechtswidrig wie die Eltern meinen. Diesen Tatbestand soll das Gericht bestätigen. Eine Entschuldigung der Schule, die ihren Fehler einräumt, reicht den Eltern nicht aus.

Dem Bericht nach haben die Eltern wohl auch von ihrem Auskunftsrecht gegenüber der Schule nach Art. 15 DS-GVO Gebrauch gemacht. Da sie der Meinung sind, die Schülerakte nicht vollständig erhalten zu haben, klagen sie auch diesbezüglich.

Für mich stellt sich die Frage, was die Eltern mit ihrer Klage bewecken. Geht es nur ums Recht oder will man auf Schadensersatz klagen? Normalerweise ist so etwas zunächst ein Fall für die Aufsichtsbehörde.

Das Urteil ist noch nicht publiziert. Es sollte jedoch in Kürze unter VG Augsburg – Rechtsprechungsübersicht (dejure.org) nachzulesen sein.

Was der Fall auf jeden Fall zeigt: es ist wichtig, nicht nur Einwilligungen von Erziehungsberechtigten bezüglich der Anfertigung und Veröffentlichung von Fotografien einzuholen, sondern bei einer Nichteinwilligung auch entsprechend zu handeln.

Es wäre in diesem Fall sinnvoll gewesen, auch Klassenfotos ohne den betreffenden Schüler anzufertigen, um Material für das Jahrbuch zu haben. Dass Eltern ihre Einwilligung zur Veröffentlichung von Fotografien, vor allem wenn es um Klassenfotos oder Gruppenaufnahmen geht, verweigern, ist eher die Ausnahme als die Regel. Wenn es aber einen solchen Fall gibt, sollte eine Schule besondere Sorgfalt walten lassen, um hier keine Fehler zu begehen. Wie das Beispiel zeigt, können derartige Fehler Konsequenzen nach sich ziehen, und wenn es nur Gerichtstermine sind. Im schlimmsten Fall kann es zu Schadensersatzforderungen kommen, auch wenn es nur um immaterielle Schäden1Nach Art. 82 DS-GVO Abs. 1 hat ein Betroffener auch bei immateriellen Schäden „Anspruch auf Schadenersatz gegen den Verantwortlichen“, in diesem Fall die Schule. geht.

Quelle: Streit um Datenschutz in der Schule – Eltern klagen wegen Klassenfoto ihres Sohnes

Gut Ding will Weile haben – Logineo NRW (wohl) kommt doch noch

Lesezeit: < 1 Minute

Logineo NRW sollte die Plattform des Landes werden, mit welcher Schulen eine Cloud Lösung erhalten, welche datenschutzkonformes Arbeiten und Austauschen von Daten erlaubt und durch Single-Sign-On eine datensparsame Nutzung verbundener Plattformen ermöglicht. Schon in diesem Schuljahr sollte der Rollout beginnen. Daraus wurde dann leider nichts, technische Probleme, auch im Zusammenhang mit der Gewährleistung des Datenschutzes, wie man hörte. Wie das Ministerium heute in einer Pressemitteilung verkündete, hat man sich entschlossen, die technischen Probleme zu beheben und danach in eine Pilotierung zu gehen. Verläuft diese erfolgreich, kommt dann der Rollout in die Breite.

Das klingt schon mal ganz gut. Nach den Erfahrungen der vergangenen Jahre mit diversen angekündigten und abgesagten Starttermin, wird man an den Schulen erst mal abwarten. Die Landesregierung NRW hat hier eine Menge Vertrauen verspielt. Sicherlich wird es viele Schulen geben, die mittlerweile das Warten leid sind und andere Lösungen gefunden haben.

Wenn Logineo NRW tatsächlich kommt, wie geplant, kann Schulen dieses tatsächlich einige Vorteile bringen, wenn es um die Einhaltung datenschutzrechtlicher Vorgaben bei der alltäglichen Arbeit geht. An einem Problem ändert die Plattform jedoch nichts. Mit privaten Endgeräten dürfen Lehrkräfte auf Logineo NRW nur zugreifen, wenn sie für die Verarbeitung von personenbezogenen Daten ihrer Schüler eine Genehmigung ihrer Schulleitung haben. Viele Schulen in NRW kämpfen aktuell mit diesem Problem. Lehrkräfte beantragen die Genehmigung nicht, da sie kein Risiko eingehen wollen. Auch Schulleitungen erteilen häufig die Genehmigung grundsätzlich nicht in ihren Kollegien, da sie sich nicht imstande sehen, zu beurteilen, ob sie den Anträgen auf Genehmigung nach den dort gemachten Angaben stattgeben sollen oder nicht.

Datenschutz – die Beweislast liegt bei der Schule

Lesezeit: 2 Minuten

Ein aktueller Beitrag in der FAZ beleuchtet recht gut, was sich durch die Datenschutz Grundverordnung (DS-GVO) für Schulen verändert hat. Schulen mussten wie jede öffentliche Stelle, welche personenbezogene Daten verarbeitet, schon immer entsprechend der Datenschutzgesetzgebung dokumentieren, welche Daten verarbeitet werden, zu welchem Zweck, auf welcher rechtlichen Grundlage, wie lange sie aufbewahrt werden, was zur Sicherheit der Daten getan wird und so weiter. Auch wenn  Verfahrensverzeichnisse heute Verzeichnisse von Verarbeitungstätigkeiten heißen und auch Datenverarbeitung im Auftrag mit Auftragsverarbeitung einen neuen Namen erhalten hat, so sind diese Formen der Dokumentation Schulen nicht gänzlich fremd. Trotzdem war die Dokumentation bei vielen Schulen bisher eher lückenhaft. Das war weitestgehend unproblematisch, denn passieren konnte Schulen deswegen nichts. Und wenn sich tatsächlich ein Betroffener meldete und wegen einer Datenschutzverletzung beschwerte, lag die Beweislast bei dieser Person. Sie musste erst einmal nachweisen, dass es zu einem Verstoß gegen datenschutzrechtliche Vorgaben gekommen war. Mit der Umsetzung der DS-GVO hat sich das deutlich geändert.

Schul-IT-Experte Jürgens weist aber auf einen wichtigen Unterschied hin: Durch die DSGVO hat sich die Beweislast umgekehrt. Bislang musste einer Schule erst einmal nachgewiesen werden, dass sie unsauber mit Daten arbeitet. Durch die neuen Regeln müssen sie nun lückenlos aufzeigen können, wie sie geltendes Recht in der Praxis einhalten.

Bedeutet konkret: Alles muss niet- und nagelfest dokumentiert und gesichert sein. Wer hat Zugriff auf personenbezogene Daten? Wo sind sie gespeichert? Sind sie ausreichend geschützt? Koordiniert werden muss all das ab sofort von einem designierten Datenschutzbeauftragten, etwa einem computeraffinen Lehrer. Schließlich verlangt die DSGVO ein Verzeichnis der Verarbeitungstätigkeiten, in das sämtliche Vorgänge und Prozesse, bei denen in der Schule personenbezogene Daten verarbeitet werden, einzutragen sind.

Kommt es nun zu einer Beschwerde durch Betroffene, müssen Schulen, durch ihre Dokumentation nachweisen können, dass sie die datenschutzrechtlichen Vorgaben eingehalten haben. Ohne Dokumentation stehen sie, sollte es zu einem gerichtlichen Verfahren um Schadensersatz kommen, äußerst schlecht da. Die Chancen, dass sie im Verfahren unterliegen, sind ohne ausreichende datenschutzrechtliche Dokumentation groß, selbst wenn sie sonst alles richtig gemacht haben. Es reicht nicht aus, sich an alle datenschutzrechtlichen Vorgaben gehalten zu haben, wenn man es nicht belegen kann.

Diese Webseite möchte aus genau diesem Grund, Schulen und Datenschutzbeauftragte dabei unterstützen, eine korrekte und vollständige Dokumentation zu erstellen und zu pflegen, mit Einwilligungen, Datenschutzerklärungen, Informationsschreiben, Datenschutzordnungen, Verfahrensverzeichnissen, Anleitungen und mehr.

Quelle: Neue Datenschutzregeln: Hat die DSGVO Schulen ins Chaos gestürzt? FAZ; 26.06.2018

Auftragsverarbeitung und die Form des Vertragsschlusses

Lesezeit: 4 Minuten

Viele Schulen sind erst durch die Datenschutz Grundverordnung darauf aufmerksam geworden, dass sie in Bezug auf die Dokumentation zum Datenschutz etwas tun müssen. Es reicht dabei allerdings nicht aus, lediglich ein Verzeichnis von Verarbeitungstätigkeiten anzulegen, sondern es müssen auch Verträge zur Auftragsverarbeitung (AV Verträge) abgeschlossen werden, wenn die Verarbeitung personenbezogener Daten außerhalb der schuleigenen IT Systeme erfolgt. Damit ergeben sich jedoch gleich neue noch komplexere Probleme – wo und wie schließt man die Verträge zur Auftragsverarbeitung ab?

Schulträger/ kommunales Rechenzentrum/ regionale Dienstleister

Relativ unproblematisch ist der Abschluss von Verträgen zur Auftragsbearbeitung, wenn die Dienste eines kommunalen Rechenzentrums genutzt werden, da diese in der Regel von sich aus entsprechende Verträge anbieten. Ähnliches gilt für Dienstleister im deutschsprachigen Raum, die Softwareprodukte für Online Klassenbücher, digitale Schwarze Bretter, Classroom Management Systeme, Lernplattformen und ähnlich anbieten. Schwieriger wird es schon, wenn ein solcher Vertrag mit dem Schulträger abgeschlossen werden muss, wobei das kommunale Rechenzentrum oder ein anderer Dienstleister nur Unterauftragnehmer ist. Das liegt daran, dass Schulträger sich häufig nicht als Auftragnehmer begreifen, wenn es um schulische Datenverarbeitung geht.

Hoster für Schulhomepage

Auftragsbearbeitung liegt auch vor, wenn für den Betrieb der Schulhomepage ein Hoster genutzt wird. Bei den meisten Schulhomepages dürfte dieses der Fall sein. Teilweise machen die Anbieter ihre Kunden von sich aus auf die Möglichkeit, einen entsprechenden Vertrag abzuschließen, aufmerksam. In der Regel liegt dieser als vom Hoster vorunterzeichneter Vertrag in Form einer PDF Datei vor. Die Schule druckt diese Datei aus, füllt den Kopfteil aus, unterzeichnet, scannt das Dokument ein und sendet es per E-Mail an den Hoster zurück. Der bestätigt den Eingang.

Genau genommen war der Vertrag zur Auftragsverarbeitung schon in dem Moment gültig, wo die Schule ihn für sich ausgefüllt und unterzeichnet hat. Von Seiten des Hosters lag bereits mit dem zum Download bereitgestellten, unterzeichneten Vertrag eine Willenserklärung vor.1Was damit gemeint ist, wird unten erklärt.. Man sollte den Vertrag totzde zurücksenden, denn erst dadurch erlangt der Hoster Kenntnis von der Zeichnung des Vertrags.

Große internationale Dienstleister

Schwieriger kann es werden, wenn es um Verträge mit internationalen Dienstleistern in der Branche geht. Nicht alle bieten einen downloadbaren vorunterzeichneten Vertrag an wie die Firma Apple für den Apple School Manager (ASM) oder Microsoft für Office 365. Apple bietet für die Nutzung des ASM einen vorunterzeichneten Vertrag im PDF Format an2Der Vertrag, das „Apple School Manager Agreement“ ist im ersten Teil in englischer Sprache gefasst. Im zweiten Teil sind deutschsprachige Teile, die unterzeichnet werden müssen, um Gültigkeit zu erlangen.. Bei Microsoft ist der vorunterzeichnete Vertrag im Docx Format gehalten3Es geht hier um dem OST Vertrag. Man wählt die Sprache, lädt ihn herunter, druckt ihn aus und unterzeichnet auf der vorletzten Seite. Soll der Vertrag digitalisiert verwahrt werden, empfiehlt es sich, das PDF Format zu wählen.4Für die Office 365 mit der MS Cloud Deutschland wird der AV Vertrag mit der Telekom abgeschlossen, die Datentreuhänder ist für Microsoft..

Was ist, wenn der Dienstleister keinen Vertrag in der oben beschrieben Form anbietet, sondern lediglich eine Möglichkeit, eine Webseite durchzulesen und den Vertrag mit dem Bestätigen einer Checkbox abzuschließen?

Bei Google heißt es an der Stelle, wo es bisher einen Vertrag zum Download gab,

Stattdessen steht ab diesem Zeitpunkt ein Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO zur Verfügung, den Sie elektronisch abschließen können (vgl. Sie bitte Art. 28 Abs. 9 DSGVO zur Möglichkeit, Auftragsverarbeitungsverträge auch in ‘elektronischer Form’ abzufassen).5https://static.googleusercontent.com/media/www.google.de/de/de/analytics/terms/de.pdf

Einen AV Vertrag elektronisch abschließen – geht das?

Das Thema ist nicht ganz einfach. Zwar sagt Art. 28 Abs. 9 DS-GVO, dass die Abfassung des Vertrags auch „in einem elektronischen Format erfolgen kann„, doch wie dieses elektronische Format genau auszusehen hat, darüber herrscht keine absolute Einigkeit unter den Experten.

Dass es der Papierform für einen Vertrag nicht mehr bedarf und man stattdessen mit digitalen Dokumenten in Word- oder  PDF-Format arbeiten kann, daran besteht wenig Zweifel. Das entscheidende Kriterium ist hier, dass das gewählte Format sicherstellt, dass nachträgliche Änderungen technisch unmöglich ist. In der Fachliteratur findet man dazu folgende Ausführung.

Vielmehr ist es nach Art. 28 Abs. 9 DS-GVO ausreichend, dass der Auftragsverarbeitungsvertrag durch zwei gegenseitige Willenserklärungen i. S. v. §§ 145 ff. BGB geschlossen und zumindest elektronisch „abgefasst“ wird. Entscheidend ist, dass der Vertragsschluss in irgendeiner Form dokumentiert wird. Einer Verkörperung, z. B. als Ausdruck, bedarf es zwar nicht, jedoch muss das gewählte Format sicherstellen, dass nachträgliche Änderungen technisch unmöglich sind und ersichtlich bleibt, dass zwei kongruente Willenserklärungen vorlagen. 6Koreng/Lachenmann DatenschutzR-FormHdB, 1. Vergleich Auftragsverarbeitung nach dem BDSG und der DS-GVO Rn. 1. – 7., beck-online

Der Punkt ist nun, wie man die beiderseitige Willenerklärung dokumentiert. Einige Experten sind der Ansicht, es bedürfe dazu einer elektronischen Signatur. Allerdings geben andere europäische Rechtsnormen keinen Hinweis darauf, dass dieses erforderlich ist7Kühling/Buchner/Hartung, DS-GVO, Art. 28 Rn. 94 ff.. Nach Koreng/Lachmann sollte es möglich sein, dass

bei einem Onlinevertragsschluss der Vertrag über die Auftragsverarbeitung digital bereitgestellt werden kann.

Dann wiederum sollte es ausreichen, wenn der Kunde mit dem Bestätigen einer Checkbox ein

ein rechtswirksames Angebot auf einen bereitgestellten Vertrag abgeben kann, das der Vertragspartner sodann mit dem Hauptvertrag annimmt, wenn der Vertrag speicher- und druckbar ist.

Letzteres ist von Bedeutung, um den Vertragsabschluss auch auf Seiten der Schule zu dokumentieren. Es empfiehlt sich, die eigene Willensbekundung zum Abschluss des AV Vertrags, wenn sie nur durch Bestätigen einer Checkbox möglich ist, ebenfalls zu dokumentieren. In der Regel sollte die Annahme des Vertrags zur Auftragsverarbeitung in der Online Vertragsverwaltung an irgendeiner Stelle angezeigt werden. Diese Seite sollte man dann ausdrucken. Der Anbieter hat seine Willensbekundung bereits mit der Bereitstellung des Vertrags auf seinem Portal getätigt. Im folgende Beispiel sieht man, wie so etwas aussehen könnte.

Wenn es kein PDF gibt

Bietet der Dienstleister, so wie Google bei Google Analytics oder der G-Suite for Education keinen AV Vertrag als PDF zum Download an, empfehle ich folgendes Vorgehen, um den Abschluss eines AV Vertrages zu dokumentieren.

  • Wenn bei Anbieter im Kontobereich/Vertragsverwaltungsbereich des Nutzungsvertrages die erfolgte Zeichnung des AV Vertrags angezeigt wird, wie im folgenden Beispiel bei G-Suite for Education, dann sollte man diese Seite als PDF sichern oder ausdrucken.8Die Namen sind hier aus Gründen des Datenschutz herausgelöscht.
  • Den eigentlichen Vertrag und zugehörige Bestandteile (bei Google beispielsweise die Standardvertragsklauseln) sollte man ebenfalls als PDF abspeichern.

Auf diese Art und Weise kann man erstens die Willensbekundung der Schule dokumentieren, den Vertrag einzugehen, und zweitens der Erfordernis nachkommen, den Vertrag in einem Format zu sichern, welches eine nachträgliche Änderung technisch unmöglich macht9Natürlich kann man auch ein PDF verändern, doch es geht hier weniger darum, dass die Schule den AV Vertrag ändern könnte, sondern der Auftragnehmer, etwa Google..

Fazit

Noch herrscht einige Unsicherheit, selbst unter Experten, wie genau der Abschluss eines Vertrags zur Auftragsverarbeitung in elektronischer Form aussehen sollte. Weder Experten noch Anbieter sind hier einer Meinung, wie bei letzteren die unterschiedlichen Formen, AV Verträge bereitzustellen zeigen. Grundsätzlich empfiehlt es sich, mit einem Vertrag in Form eines vorunterzeichneten PDF zu arbeiten, wenn dieses möglich ist. Bei Anbietern, die diesen Weg nicht anbieten, sollte man den Vertragsabschluss möglichst gut dokumentieren und den Vertrag selbst in einem sicheren Format speichern oder auch ausdrucken.

Es ist zu erwarten, dass die Zukunft Rechtssicherheit bringen wird, was genau unter einem elektronischen Format nach Art. 28 Abs. 9 DS-GVO zu verstehen ist. Entsprechende Nachsteuerungen durch den Gesetzgeber oder Urteile von Gerichten werden dafür sorgen. Bis dahin sollte man einen der oben beschriebenen Wege nutzen.

Weitere Informationen

Schule, Datenschutz und Kirchenrecht

Lesezeit: < 1 Minute

Schule ist nicht gleich Schule, wenn es um rechtliche Vorgaben geht. Das Schulgesetz unterscheidet zwischen Schulen in öffentlicher Trägerschaft und Ersatzschulen (§100 – §115). Zwar gelten für letztere überwiegend die gleichen rechtlichen Regelungen, doch das Schulgesetz lässt in Teilbereichen die Möglichkeit für eigene rechtliche Vorgaben zu, wie etwa beim Datenschutz. § 122 SchulG, Ergänzende Regelungen, führt dazu aus

(2) §§ 120 und 121 gelten für Ersatzschulen, soweit für diese gleichwertige datenschutzrechtliche Regelungen nicht bestehen.

Für Privatschulen in Trägerschaft der evangelischen Kirche gilt so beispielsweise das evangelische Kirchenrecht und in Bezug auf den Datenschutz das EKD-Datenschutzgesetz (DSG-EKD – 2018).

Auch in der Datenschutz Grundverordnung findet sich entsprechende Vorschriften. Art. 91 DSGVO, Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften, räumt die Möglichkeit zu selbständigen Regelungen für den Datenschutz für Kirchen ein.

Nach einer Meldung des Portals Datenschutzbeauftragter-info mit dem Titel Ev. Kirche: Datenschutzerklärung nach § 13 TMG weiterhin rechtskonform sieht der Beauftragte für Datenschutz der Evangelischen Kirche in Deutschland keinen Änderungsbedarf bei gegenwärtig rechtskonformen Datenschutzerklärungen gemäß §13 Telemediengesetz (TMG). Für Privatschulen, die unter evangelisches Kirchenrecht fallen, kann das bedeuten, dass eventuell kein Handlungsbedarf besteht zur Anpassung der Datenschutzerklärung. Das bedeutet jedoch laut Datenschutzbeauftragter-info nicht, dass die „Informationspflichten nach Art. 12ff. DS-GVO nicht vollumfänglich umzusetzen“ sind.

Einen Unterschied gibt es auch bei den Bestimmungen zu den Informationspflichten der verarbeitenden Stelle. Nach der Art. 13 und Art. 14 DS-GVO müssen die verarbeitenden Stellen ihrer Informationspflicht bei unmittelbarer Datenerhebung unaufgefordert nachkommen. Diese Verpflichtung kennt §17 DSG-EKD nicht. Dort heißt es:

( 1 ) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt die verantwortliche Stelle der betroffenen Person auf Verlangen in geeigneter und angemessener Weise Folgendes mit:

Informiert werden braucht hier bloß auf Verlangen hin. Es kann also nützlich sein, wenn ein entsprechendes Informationblatt wie Information über die Datenverarbeitung.docx in der Anmeldezeit im Sekretariat bereit liegt.

Schulen und Facebook Pages

Lesezeit: 2 Minuten

Viele Schulen haben eine Präsenz auf Facebook. Bei einigen ist es nicht mehr als eine Visitenkarte, doch andere Schulen laden regelmäßig Fotos auf ihre Facebook Seite und berichten über schulische Ereignisse. An einigen Schulen gibt es Einwilligungsformulare, in welchen eine Einwilligung für die Veröffentlichung von Fotos für die Schulhomepage und Facebook in einem eingeholt wird.

Facebook ist in vielen Bereichen definitiv ein wichtiger Kanal, um Öffentlichkeitsarbeit zu betreiben und Kontakt zu anderen herzustellen. Benötigen Schulen eine Facebook Präsenz? Darüber lässt sich sicherlich streiten.

Aus Sicht des Datenschutz spricht Einiges gegen eine schulische Facebook Präsenz und noch mehr gegen die Veröffentlichung von personenbezogenen Daten von Schülern und Lehrkräften auf diesem Medium.

Schulen können die Vorgaben des EuGH und der Datenschutzkonferenz nicht erfüllen

Egal wie man es dreht und wendet, für Schulen gilt dasselbe wie für alle anderen Betreiber von Facebook Seiten. Sie sind gemeinsam mit Facebook verantwortlich für die Verarbeitung von personenbezogenen Daten von Besuchern und müssen entsprechenden Pflichten nachkommen. Das ist jedoch nicht möglich, wenn Facebook von seiner Seite aus nicht an einer Lösung mitarbeitet. Als öffentliche Stelle kann eine Schule es sich wohl eher nicht leisten, unter diesen Bedingungen eine Facebook Präsenz zu unterhalten. Auch wenn öffentliche Schulen von Seiten der Aufsichtsbehörden nicht mit Bußgeldern bei Datenschutzverstößen zu rechnen haben, empfiehlt es sich Schulen eher, auf eine Facebook Präsenz zu verzichten.

Facebook bietet keine Verlässlichkeit in Bezug auf Datenschutz

Schulen sollten keine personenbezogenen Daten von Schülern, Lehrkräften und anderen am Schulleben beteiligten Personen bei Facebook einstellen, vor allem kein Bildmaterial. Selbst wenn Fotos von Personen aus der Schule ohne Namensnennung eingestellt werden, wird Facebook seine Gesichtserkennungsalgorithmen nutzen und Personen identifizieren, auch wenn es lediglich Fotos mit größeren Gruppen sind. Die Auflösungen von Kameras und auch Smartphones sind heute so gut, dass auf Fotos viele Details zu erkennen sind. Facebook hat in der Vergangenheit immer wieder gezeigt, dass es kein verlässlicher Partner in Sachen Datenschutz ist. Immer wieder ändern sich Geschäftsbedingungen und kommt es zu Fehlern. Persönlich halte ich es mittlerweile für fahrlässig, wenn eine Schule Fotos von Schülern bei Facebook einstellt, selbst wenn dieses mit Einwilligung der Eltern erfolgt. Die Folgen auf Dauer sind einfach nicht abschätzbar.

Weiter lesen: 

EU-US Privacy Shield auf der Kippe und für Schulen wird nichts besser

Lesezeit: 2 Minuten

Der EU-US Privacy Shield, der Nachfolger des Safe Harbour Agreements, bietet US amerikanischen Anbietern wie Microsoft, Google, Apple und Amazon die Möglichkeit, europäischen Nutzern Garantien für die Sicherheit von personenbezogenen Daten anzubieten, welche auf US Servern verarbeitet werden. Bei großen weltweit agierenden Anbietern ist es normal, dass man ein über die Welt verstreutes Netzwerk (CDN) an Servern hat. Wichtige Server stehen dort, wo die Firmen ihre Zentralen haben, in den USA.

Die Übermittlung von Daten in Länder außerhalb der EU ist aus datenschutzrechtlicher Sicht ein komplexes Thema, denn es geht um Schutzniveaus und Garantien, dass die personenbezogenen Daten europäischer Bürger in diesen Drittstaaten sicher sind und auf einem der EU vergleichbaren Datenschutzniveau verarbeitet werden. Es geht um Sicherheit vor Missbrauch der Daten und unberechtigten Zugriffen. Dank des EU-US Privacy Shields ist es aktuell recht einfach, die Dienste der genannten Anbieter in Anspruch zu nehmen, wenn man den Anbietern selbst vertraut. In der Regel sind große Anbieter zusätzlich von unabhängigen Instanzen zertifiziert und man unterzeichnet darüber hinaus noch Standardvertragsklauseln.

Für Schulen ist der unterrichtliche Einsatz von Angeboten, welche die Nutzung US amerikanischer Server mit einschließen, Angeboten wie Office 365 mit der Cloud von Microsoft, G-Suite for Education von Google und iCloud von Apple auch trotz EU-US Privacy Shield nicht ohne Probleme. Bis auf Ausnahmen1z.B. LDI Hessen für Office 365 mit  der (Deutschland) Cloud und LDI RLP für G-Suite for Education (ohne personenbezogenen Daten). sprechen die Aufsichtsbehörden der Bundesländer keine Empfehlungen für Schulen aus, dass sie eines der genannten Produkte ohne Bedenken mit Nutzerkonten mit Klarnamen und weiteren personenbezogenen Daten der Schüler im Unterricht nutzen können. Für sie gibt es, trotz EU-US Privacy Shield und zusätzlichen Selbstverpflichtungen zu viele ungeklärte Fragen.

Am 11. Juni 2018 hat man in Brüssel festgestellt, dass das EU-US Privacy Shield keinen ausreichenden Schutz für die personenbezogenen Daten von EU Bürgern garantiert. Nun soll die europäische Kommission das Abkommen auf Eis legen, sollten die USA nicht bis zum 1. September Garantien bieten, welche den Vorgaben der DS-GVO entsprechen. Darüber hinaus steht wohl auch noch eine Entscheidung des europäischen Gerichtshofs (EuGH) zu den Standardvertragsklauseln an. Experten sind sich aktuell unsicher, wie das alles enden wird.

Fakt ist jedoch: sollten das EU-US Privacy Shield und/oder die Standardvertragsklauseln kippen und es gibt keine neuen vertraglichen Regelungen zwischen den USA und der EU, dann wird es für Schulen noch schwieriger, eventuell sogar unmöglich, manche Produkte der großen Anbieter zu nutzen. Und nicht nur das. Selbst nicht US Anbieter unterhalten oft in den USA Datenzentren und Niederlassungen, da dort einer ihrer größten Märkte ist. Andere Anbieter nutzen die Serverdienste von Amazon (AWS) und Google, da sie selbst keine eigenen Server haben.2Die Problematik geht eigentlich sogar noch weiter, denn auch die großen Betriebssystem, von Linux einmal abgesehen, kommen ohne Datenfluss zu und von US Servern nicht aus, wenn es um Updates geht, um anonymisierte Nutzungsdaten, die Zugriffe von Apps usw.

Fazit: Was ohnehin schon problematisch ist, wir womöglich noch problematischer werden.

Alles könnte einfacher:  Es gäbe einfache Auswege. Schulen könnten problemlos Angebote wie Collabora Office, Nextcloud und ähnlich nutzen, um vergleichbare Funktionalitäten für den Einsatz im Unterricht zu erhalten. In vielen Kommunen sieht man jedoch eine Dominanz von Microsoft Produkten, denn diese sind in den kommunalen Verwaltungen im Einsatz, werden von den kommunalen Dienstleistern unterstützt und von Wirtschaftsbetrieben vor Ort an den Schulen favorisiert. Vielleicht ist es an der Zeit, den Schalter umzulegen und auf andere Lösungen zu setzen. Die Vergangenheit zeigt, dass es für Schulen aus datenschutzrechtlicher Sicht problematisch ist, auf die großen Anbieter zu setzen.

Die Zukunft des EU-US Privacy Shields und der Standardvertragsklauseln sind zur Zeit ungewiss. Es bleibt abzuwarten, was passiert.