Smart Speaker im Klassenraum aufstellen – geht das?

Lesezeit: 1 Minute

Eine Schule möchte gerne Smart Speaker im Klassenraum aufstellen, um eine einfache Kommunikation zwischen den Räumen für die Lehrkräfte zu ermöglich und smarte Erinnerungen und Timer zu setzen. Die Namen von Schülern sollen nicht genannt werden bei solchen Nachrichten und Erinnerungen. Man denkt an Amazon Echo, den kleinsten Smart Speaker. Das Gerät ist einfach zu bedienen, billig, spart eine aufwändige Verkabelung im Gebäude und kann mehr als eine Gegensprechanlage. Aber geht das auch? Was ist mit dem Datenschutz? Das Thema ist komplex und ich habe mich ausführlich damit auseinander gesetzt. Die Ergebnisse finden sich im Beitrag ALEXA, GOOGLE ASSISTANT, SIRI UND CO. – SMART SPEAKER IM KLASSENRAUM

Office 365, iCloud, G Suite for Education – wo sind die Probleme für Schulen?

Lesezeit: 7 Minuten

Cloud Anwendungen sind heute nicht nur in der Wirtschaft zu finden, sondern auch in Schule. Vor allem beim Thema Kollaboration, einer der vier zentralen Kompetenzen des 21. Jahrhunderts, geht ohne Cloud Anbindung kaum etwas. Außerdem erlauben Angebote wie Office 365, iCloud und G Suite for Education einen Zugriff rund um die Uhr von überall aus, ideal für mobiles Lernen. Und so schauen sich immer mehr Schulen nach entsprechenden Lösungen um. Schulträger favorisieren häufig Microsofts Office 365, da sie es selbst in der Verwaltung einsetzen. iPad Schulen kommen automatisch auf die iCloud, um iPads optimal einsetzen zu können. Die Kollaborations Features von Apple Apps benötigen die iCloud1oder alternativ Box.netAuch die Einrichtung von shared iPads, eine Funktion, die es erlaubt, mehrere Schüler ein einzelnes iPad mit separaten Accounts nutzen zu lassen, geht nicht ohne die iCloud. Die G Suite for Education besticht vor allem durch die kostenfreie, plattformübergreifende und einfache Nutzungbarkeit.

Rein formal betrachtet erfüllen alle drei Anbieter, Microsoft, Apple und Google die Vorgaben der Datenschutzgrundverordnung. Sie stellen Verträge zur Auftragsverarbeitung bzw. andere, gleichwertige Rechtsinstrumente zur Verfügung, die bei Microsoft2siehe hier auch den Beitrag Office 365 und der Vertrag zur Auftragsverarbeitung und Google durch Annahme der Nutzungsbedingungen zustandekommen und bei Apple aus einem PDF bestehen, welches heruntergeladen und unterschrieben wird. Alle drei Anbieter bieten die EU Standardvertragsklauseln an, haben das EU-US Privacy Shield unterschrieben, sind nach diversen ISO zertifiziert und bieten darüber hinaus noch weitere Zusicherungen an bezüglich Einhaltung der Vorgaben der DS-GVO. Microsoft und Google sind beide Player im Business Bereich, zählen große Firmen zu ihren Kunden und können sich hier schon aus Geschäftsgründen keine Blöße geben. Apple nutzt den Schutz personenbezogener Daten als Geschäftmodell und Wettbewerbsvorteil gegenüber der Konkurrenz, bietet aber die iCloud nicht zur Nutzung mit sensiblen Daten für Firmen an. Fragt man persönlich bei Microsoft, Apple und Google nach, wie es mit der Einhaltung der DS-GVO aussieht, versichern einem die Mitarbeiter immer wieder, dass man vollkommen kompliant sei und dieses doch entsprechend dokumentiert ist. Die Sorgen der anfragenden Schulen und Datenschutzbeauftragten kann man nicht nachvollziehen.

Das klingt eigentlich alles gut. Wo liegt also das Problem? Es gibt doch bereits viele Schulen, die eine der drei Plattformen nutzen, oft schon seit Jahren. Mit Microsoft gibt es sogar Rahmenverträge für den Bildungsbereich. Und auch in europäischen Nachbarländern bestehen längst nicht so viele Bedenken wie hierzulande.

Das Problem ist mehrschichtig. Zwei Bereiche stehen aktuell im Vordergrund, einer davon schon länger und der andere wiederholt.

Vertrauen ist gut – Kontrolle ist besser

Microsoft, Apple und Google sind gigantische Unternehmen und in verschiedensten Geschäftsfeldern aktiv. Server und Datenleitungen befinden sich nicht nur in Europa, sondern sind Bestandteil einer weltweiten IT Infrastruktur.  Entsprechend sind die Datenströme innerhalb dieser Unternehmen kaum nachzuvollziehen. Alle drei Unternehmen sind nicht nur Dienstleister, sondern verwerten die personenbezogenen Daten ihrer Nutzer auch für vielfältige eigene Zwecke, und diese reichen je nach Unternehmen und Geschäftsbereich von der Optimierung und Entwicklung von Produkten bis zur Erstellung von Profilen für Werbe- oder andere Zwecke.3Die Bildungsprodukte sind aufgrund gesetzlicher Vorgaben und auch durch Selbstverpflichtungserklärungen der Anbieter von der kommerziellen Auswertung der Nutzerdaten ausgenommen. Dazu kommt, dass es bei allen drei Anbietern in der Vergangenheit auch wiederholt zu Datenpannen gekommen ist. Personenbezogene Daten wurden anders als offiziell angegeben genutzt, ohne Kenntnis der Betroffenen erhoben oder es gab Sicherheitsvorfälle.

Entsprechend der Größe dieser Konzerne, ihrer vielschichtigen Geschäftsfelder und negativer Erfahrungen aus der Vergangenheit ist es schwierig, diesen Anbietern uneingeschränktes Vertrauen zu schenken. Dieses ist jedoch wichtig, da der Verantwortliche auch für das verantwortlich ist, was bei einem Auftragsverarbeiter mit den personenbezogenen Daten der Betroffenen geschieht. Das Bundesdatenschutzgesetz gibt dazu in §62 vor

„Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen.“

In Art. 28 DSGVO wird diese Verantwortung des Verantwortlichen noch weiter spezifiziert. Der Abschluss von Verträgen zur Auftragsverarbeitung oder von anderen Rechtsinstrumenten und darin durch die Auftragsverarbeiter abgegebene Garantien und Erklärungen sorgt dafür, dass der formale Rahmen stimmt. Der Verantwortliche ist damit jedoch nicht seiner Verantwortung enthoben, sicherzustellen, dass alles dieses auch eingehalten wird. Die zentrale Frage hierbei ist immer:

Werden die personenbezogenen Daten der Betroffenen tatsächlich nur den Weisungen des Verantwortlichen entsprechend verarbeitet?

Das heißt, werden diese Daten nicht doch in irgendeiner Form verwertet durch den Auftragnehmer? Erstellt beispielsweise Microsoft eventuell (anonymisierte4Anonymisierung kann ein Schutz sein. Niemand weiß jedoch, ob es nicht durch Zusammenführen mit anderen Daten möglich ist, die anonymisierten Daten wieder Personen zuzuweisen und damit zu personenbezogenen Daten zu machen. Das ist vor allem dann kritisch, wenn nicht bekannt ist, wer wann auf diese anonymisierten Nutzerprofile Zugriff erhält und zu welchem Zweck diese Daten dann genutzt werden.) Nutzerprofile aus den Nutzungsdaten der schulischen Nutzer von Office 365? Trackt Google Nutzer von G Suite for Education außerhalb von Google Classroom? Fließen irgendwo Daten ab? Haben möglicherweise andere Mitarbeiter oder Abteilungen des Anbieters Zugriff auf die personenbezogenen Daten, obwohl dafür im Rahmen der Vertragserfüllung keine Notwendigkeit besteht? Werden die personenbezogenen Daten vielleicht an weltweiten Standorten gespeichert, für welche es keine entsprechenden Garantien gibt?

Es besteht für Verantwortliche also durchaus ein Anlass, die vertraglichen Regelungen und Garantien zu hinterfragen. Gegenbenenfalls muss der Verantwortliche die Einhaltung seiner Weisungen und die technischen und organisatorischen Maßnahmen zur Wahrung des Schutzes und der Sicherheit der Daten, wie sie vertraglich festgelegt wurden, selbst überprüfen, um der eigenen Verantwortung nachzukommen. Das ist bei weltweit agierenden Konzernen letztlich unmöglich. Und Schulen bzw. deren Leitungen können so etwas ohnehin nicht leisten, da ihnen das Hintergrundwissen dazu fehlt. Also hofft man auf grünes Licht von Seiten der Schulministerien oder Aufsichtsbehörden. Doch leider gibt es von keiner Seite eine Empfehlung, denn auch dort steht man vor dem gleichen Dilemma. Man hat nur eingeschränkte Möglichkeiten, die Einhaltung der Vorgaben zu überprüfen.5Einige Kontrollmöglichkeiten bestehen beispielsweise erst dann, wenn man selbst ein Office 365 nutzt und dann Experten die Datenströme kontrollieren können. Doch selbst dann ist nur selten mit 100% Sicherheit zu sagen, dass alles sauber ist. Also gibt es auch von dort keine Empfehlungen, in einigen Bundesländern allerdings von Seiten der Schulministerien Verbote. Dort, wo es weder Empfehlungen noch Verbote gibt, bleiben Schulen auf sich selbst gestellt.6Die einzige Ausnahme bildet aktuell die sogenannte Microsoft Cloud Deutschland, eine technisch rechtliche Konstruktion, bei welcher die personenbezogenen Daten der Betroffenen in Treuhand der Telekom verarbeitet werden. Microsoft selbst hat dabei keinen Zugriff auf die Daten – zumindest offiziell nicht. Hier gibt es tatsächlich eine Empfehlung der hessischen Aufsichtsbehörde, an welche man sich auch in NRW angehängt hat. Für Endnutzer sind die Kosten höher und seit Umsetzung der DS-GVO besteht, zumindest formell, kein Anlass mehr für eine spezielle in Deutschland lokalisierte Cloud. Dieses Angebot wird auch aus diesem Grund Anfang 2019 eingestellt.

Cloud Act

Als wären die Unsicherheiten bezüglich einer Nutzung von Office 365, iCloud und G Suite for Education in Schule durch mangelndes Vertrauen und die Unmöglichkeit einer echten Kontrolle nicht schon groß genug, kommt nun mit dem Cloud Act das nächste Problem. Microsoft, Apple und Google sind US-amerikanische Anbieter und damit der Jurisdiktion ihres Heimatlandes unterworfen. Es war schon immer möglich und sogar DS-GVO konform, dass US Behörden im Rahmen von Rechtshilfeabkommen in Strafsachen (engl. Mutual Legal Assistance Treaty – MLAT) die Herausgabe von personenbezogenen Daten von den drei Anbietern verlangen konnten, auch wenn die betroffenen Server in Europa standen. Eine US Ermittlungsbehörde stellte dann eine Anfrage an die passende europäische Stelle und von dieser wurde die Übergabe der angefragten personenbezogenen Daten an die US Stelle veranlasst. Das trug der Tatsache Rechnung, dass Server, die in Europa stehen, auch europäischem Recht unterliegen, war aber umständlich und zeitaufwändig. Bislang konnten Microsoft, Apple und Google sich auf diesen Sachverhalt berufen, wenn amerikanische Ermittlungsbehörden sich mit ihren Anfragen direkt an die Unternehmen wendeten. Es kam aus diesem Grund zu Auseinandersetzungen, die bis vor US Gerichte gingen.

Mit dem Cloud Act hat dieses sich geändert. Der amerikanische Kongress hat mit diesem Gesetz eine rechtliche Grundlage geschaffen, die Microsoft, Apple und Google dazu verpflichtet, personenbezogene Daten von Servern außerhalb der USA, also auch in Europa, direkt an die US Ermittlungsbehörden zu übermitteln. Zwar gibt der Cloud Act den Cloud Anbietern durchaus die Möglichkeit, einer Anfrage durch eine US Ermittlungsbehörde zu widersprechen, wenn es um nicht US Bürger geht oder ein Konflikt mit der lokalen Gesetzgebung entsteht, doch inwieweit der Cloud Act mit den Vorgaben der DS-GVO vereinbar ist, bleibt vorerst unklar. Zusätzliche Brisanz erhält die mit dem Cloud Act geschaffene Rechtslage, da diese auch das Bestehen des EU-US Privacy Shields gefährdet.7Die EU hatte den USA hier ein Ultimatum gestellt, sich an die Vorgaben des Privacy Shield zu halten oder diese auszusetzen. Das Ultimatum ist verstrichen, eine Konsequenz ist bisher jedoch nicht erfolgt. Und als ob das nicht ausreicht, drohen dem Privacy Shield und den oben erwähnten Standardvertragsklauseln noch von einer weiteren Seite Gefahr. Es gibt hier eine Klage, in welcher die Sicherheit von personenbezogenen Daten vor dem Zugriff durch US Regierungsstellen bei einer Übertragung in die USA in Frage gestellt wird8siehe Schrems Litigation in  Privacy Shield on Shaky Ground: What’s Up With EU-U.S. Data Privacy Regulations.

Da bei einer Nutzung von Cloud Angeboten von Microsoft, Apple und Google, selbst wenn die Daten europäischer Nutzer überwiegend auf europäischen Servern verarbeitet werden, Datentransfers in die USA nicht auszuschließen sind, hängt alles von dem weiteren Bestehen des EU-US Privacy Shields und der Standardvertragsklauseln ab, denn sie gewährleisten – zumindest formell, dass eine Datenverarbeitung im Auftrag im Rahmen der Vorgaben der DS-GVO möglich ist.

Fazit

Noch bestehen der EU-US Privacy Shield und die Standardvertragsklauseln. Solange in einem Bundesland kein ausdrückliches Verbot ausgesprochen wurde, spricht für Schulen von daher gegenwärtig rein formell nichts gegen eine Nutzung von Office 365, iCloud und G Suite for Education, wenn man dabei an einige Grundsätze beachtet. Diese tragen der oben geschilderten Tatsache Rechnung, dass auch wenn formell alles im grünen Bereich ist, man faktisch nicht mit absoluter Sicherheit einen umfassenden Schutz von personenbezogenen Daten garantieren kann. Eine Nutzung von Office 365, iCloud und G Suite for Education ist in Schule möglich, wenn

  • eine Verarbeitung von personenbezogenen Daten aus der Schulverwaltung komplett ausgeschlossen ist,9Dieses schließt auch dienstliche E-Mails ein, wenn sie über einen Cloud Account laufen.
  • die Schulverwaltung die Cloud nur nutzt, um allgemeine Informationen weiterzugeben und Formulare bereitzustellen,
  • Lehrkräfte sie untereinander zur Teamarbeit, zur Erstellung von Unterrichtsmaterialien, Konzeptarbeit, Entwicklung von Fachlehrplänen und ähnlich nutzen,
  • Nutzerkonten pseudonymisiert erstellt werden10Eine Erstellung von Nutzerkennungen nach dem Schema tholler@xyzschule.de oder thom2018@xyzschule.de für Thomas Müller sollte vertretbar sein,
  • per Nutzervereinbarung geregelt wird, dass bei der pädagogischen Nutzung der Plattform personenbezogene Daten auf das absolute Minimum beschränkt werden (z.B. keine Lebensläufe mit Echtdaten),
  • und keine Leistungsdaten dort zu finden sind.

Schulen, die eine der drei genannten Cloud Lösungen einführen wollen, sollten das Mittel der Datenschutz-Folgenabschätzung (DFA) für sich nutzen, um sich Klarheit zu verschaffen, ob das, was man vorhat, Sinn macht und vertretbar ist.11Art. 35 Abs. 7 listet auf, welche Fragen bei einer DFA zu klären sind. So kann eine Schule außerdem nachweisen, dass sie sich systematisch mit dem Thema auseinandergesetzt hat, und kann ihre Entscheidung begründen.

Zusätzlich zu den oben genannten Vorgaben, die man beachten sollte, wenn man eine der drei Cloud Lösungen in einer Schule einsetzen möchte, gibt es die Möglichkeit, den Schutz personenbezogener Daten durch die Nutzung von  sogeannten Hybridlösungen weiter zu optimieren. Hybridlösungen sind Kombinationen aus Cloud und lokaler Speicherung. Mit Office 365 und der iCloud lässt sich so etwas gut realisieren. Im Fall der iCloud wird diese nur für das Anlegen von Managed Apple IDs zur Einrichtung von shared iPads genutzt. Die Synchronisation der iPads mit der iCloud wird auf ein Minimum von App Einstellungen und ähnlich eingeschränkt. Erarbeitete Dateien wie Dokumente oder z.B. BookCreator Bücher werden lokal auf einen Server im Haus, ein NAS12Network attached Storage, eine Netzwerkfestplatte. oder ein anderes Speichermedium abgelegt. Bei Office 365 würde man beispielsweise Dokumente mit personenbezogenen Daten, etwa einen Lebenslauf, lokal auf einem Server in der Schule abspeichern, der nicht in die Cloud synchronisiert wird.

Eine weitere Möglichkeit, den Schutz personenbezogener Daten von Schülern und Lehrern bei der Nutzung der genannten Cloud Dienste zu verbessern, sind sogenannte Single Sign-on (SSO) Lösungen. Dabei erfolgt die Anmeldung an der Cloud Plattform nicht mit individueller Nutzerkennung und Passwort, sondern über eine andere Plattform, die diesen Anmeldedienst bereitstellt. Office 365 und G Suite for Education ermöglichen Single Sign-on, Anbieter wie itslearning oder die HPI Schul Cloud unterstützen dieses Verfahren. Auch eine Landesplattform wie Logineo NRW könnte dafür eingerichtet werden.

Wie man mit Clouds datensparsam arbeiten kann, ist hier nur kurz skizziert. Weitere Informationen folgen später in einem weiteren Beitrag.

Weiter lesen:

TeacherTool zeigt, Datenschutz kann einfach sein

Lesezeit: 2 Minuten

Es tut gut, wenn man sieht, dass es Softwareentwickler gibt, die mitdenken. Privacy by Design und Privacy by Default13Siehe dazu Privacy by Design gehören nach Art. 25 DS-GVO zu Grundprinzipien des Datenschutzes. Wer ein Softwareprodukt oder einen Online Dienst entwickelt, sollte entsprechend direkt bei der Entwicklung Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen berücksichtigen. TeacherTool, ein iOS App für die Schülerverwaltung, macht genau dieses schon seit Jahren auf vorbildliche Art und Weise. Der Entwickler der Software kennt die Nöte seiner Kunden, die vor allem in NRW seit der neuen Genehmigung eher zugenommen haben, wenn es um die dienstlichen Vorgaben zur Nutzung von Privatgeräten von Lehrkräften zur Verarbeitung von personenbezogenen Daten aus der Schule geht. Das App, welches Lehrkräften die Verwaltung von Schülerdaten (Noten, Fehlzeiten, Bemerkungen, …) erleichtert und auch die Führung eines Kursbuchs zur Planung des Unterrichts beinhaltet, dürfte von Lehrkräften überwiegend auf Privatgeräte genutzt werden. Und das geht ohne Genehmigung nicht. Strenge technische und organisatorische Vorgaben sind einzuhalten, um das Gerät sicher zu machen. iOS Geräte sind an sich schon sehr sicher, wenn man die vom System angebotenen Sicherheitseinstellungen nutzt. Teachertool packt seine eigenen Sicherheitsfeatures noch oben drauf, um Lehrern die Einhaltung datenschutzrechtlicher Vorgaben zu erleichtern. Das App lässt sich mit einer Zugangssperre versehen, die Datenbanken mit Passwort sichern und der Versand von Kursbüchern per E-Mail, um sie am Rechner zu sichern, erfolgt immer verschlüsselt und passwortgesichert.

Als zusätzlichen Service bietet der Entwickler des Programms auf seiner Website umfängliche Informationen zur sicheren Arbeit mit personenbezogenen Daten von Schülern in TeacherTool. Neben zahlreichen Hilfen auf der Website selbst, stehen aktuell zwei Downloads zur Verfügung. „Informationen zu Datenschutzfragen“ geht auf die verschiedenen datenschutzrechtlichen Aspekte bei der Nutzung des Apps und der Desktopsoftware ein, erläutert, welche Daten überhaupt verarbeitet werden sowie relevante technische Aspekte bei der Nutzung und gibt Hinweise, wie man mit maximaler Sicherheit arbeitet. „TeacherTool und die DSGVO“ beschäftigt sich speziell mit den Vorgaben der Datenschutz Grundverordnung, gibt aber auch noch weitere hinausgehende Informationen zum Thema.

Gerade für Lehrkräfte in NRW, die mit iOS Geräten arbeiten, ist TeacherTool ideal. Wer sich bei der Verarbeitung von personenbezogene Daten von Schülern auf einem iOS Gerät auf den Einsatz von TeacherTool beschränkt, und dabei sowohl die Sicherheitseinstellungen des Systems wie auch von TeacherTool vollumfänglich einsetzt, der kann den Antrag zur Genehmigung ohne Bedenken unterschreiben. Genauso sollte eine Schulleitung hier ohne Bedenken eine Genehmigung erteilen, denn sicherer geht es nicht.14Ich würde hierzu gegenenfalls das Genehmigungsformular um einen Passus ergänzen, welcher die Genehmigung zur Verarbeitung von personenbezogenen Daten von Schülerinnen und Schülern auf dem iOS Gerät, für welches eine Genehmigung eingeholt werden soll, auf TeacherTool beschränkt. Je nach Situation kann das eine Lösung sein, auch wenn sie nicht ideal ist, da so andere Verarbeitungsmöglichkeiten ausgeschlossen werden. Die Sicherungsdateien sollten dann auf einen schulischen Verwaltungsrechner geschickt und dort gespeichert werden.15So braucht es keine zusätzliche Genehmigung für ein weiteres privates Endgerät. Ausdrucken kann man entweder vom iOS Gerät per WLAN zu Hause oder in der Schule aus der übermittelten Datei.

Als schulischer Datenschutzbeauftragter kann ich für TeacherTool eine uneingeschränkte Empfehlung abgeben.

Schulen, die ihren Lehrer iPads stellen und diese über ein MDM verwalten, können darüber auch Voreinstellungen zur Datenverarbeitung für die Nutzung des TeacherTool App konfigurieren. So kann Schule sicherstellen, dass auch auf dienstlichen iPad im App nur zulässige personenbezogene Daten von Schülern verarbeitet werden.

Auftragsverarbeitung und die Form des Vertragsschlusses

Lesezeit: 5 Minuten

Viele Schulen sind erst durch die Datenschutz Grundverordnung darauf aufmerksam geworden, dass sie in Bezug auf die Dokumentation zum Datenschutz etwas tun müssen. Es reicht dabei allerdings nicht aus, lediglich ein Verzeichnis von Verarbeitungstätigkeiten anzulegen, sondern es müssen auch Verträge zur Auftragsverarbeitung (AV Verträge) abgeschlossen werden, wenn die Verarbeitung personenbezogener Daten außerhalb der schuleigenen IT Systeme erfolgt. Damit ergeben sich jedoch gleich neue noch komplexere Probleme – wo und wie schließt man die Verträge zur Auftragsverarbeitung ab?

Schulträger/ kommunales Rechenzentrum/ regionale Dienstleister

Relativ unproblematisch ist der Abschluss von Verträgen zur Auftragsbearbeitung, wenn die Dienste eines kommunalen Rechenzentrums genutzt werden, da diese in der Regel von sich aus entsprechende Verträge anbieten. Ähnliches gilt für Dienstleister im deutschsprachigen Raum, die Softwareprodukte für Online Klassenbücher, digitale Schwarze Bretter, Classroom Management Systeme, Lernplattformen und ähnlich anbieten. Schwieriger wird es schon, wenn ein solcher Vertrag mit dem Schulträger abgeschlossen werden muss, wobei das kommunale Rechenzentrum oder ein anderer Dienstleister nur Unterauftragnehmer ist. Das liegt daran, dass Schulträger sich häufig nicht als Auftragnehmer begreifen, wenn es um schulische Datenverarbeitung geht.

Hoster für Schulhomepage

Auftragsbearbeitung liegt auch vor, wenn für den Betrieb der Schulhomepage ein Hoster genutzt wird. Bei den meisten Schulhomepages dürfte dieses der Fall sein. Teilweise machen die Anbieter ihre Kunden von sich aus auf die Möglichkeit, einen entsprechenden Vertrag abzuschließen, aufmerksam. In der Regel liegt dieser als vom Hoster vorunterzeichneter Vertrag in Form einer PDF Datei vor. Die Schule druckt diese Datei aus, füllt den Kopfteil aus, unterzeichnet, scannt das Dokument ein und sendet es per E-Mail an den Hoster zurück. Der bestätigt den Eingang.

Genau genommen war der Vertrag zur Auftragsverarbeitung schon in dem Moment gültig, wo die Schule ihn für sich ausgefüllt und unterzeichnet hat. Von Seiten des Hosters lag bereits mit dem zum Download bereitgestellten, unterzeichneten Vertrag eine Willenserklärung vor.16Was damit gemeint ist, wird unten erklärt.. Man sollte den Vertrag totzde zurücksenden, denn erst dadurch erlangt der Hoster Kenntnis von der Zeichnung des Vertrags.

Große internationale Dienstleister

Schwieriger kann es werden, wenn es um Verträge mit internationalen Dienstleistern in der Branche geht. Nicht alle bieten einen downloadbaren vorunterzeichneten Vertrag an wie die Firma Apple für den Apple School Manager (ASM) oder Microsoft für Office 365. Apple bietet für die Nutzung des ASM einen vorunterzeichneten Vertrag im PDF Format an17Der Vertrag, das „Apple School Manager Agreement“ ist im ersten Teil in englischer Sprache gefasst. Im zweiten Teil sind deutschsprachige Teile, die unterzeichnet werden müssen, um Gültigkeit zu erlangen.. Bei Microsoft ist der vorunterzeichnete Vertrag im Docx Format gehalten18Es geht hier um dem OST Vertrag. Man wählt die Sprache, lädt ihn herunter, druckt ihn aus und unterzeichnet auf der vorletzten Seite. Soll der Vertrag digitalisiert verwahrt werden, empfiehlt es sich, das PDF Format zu wählen.19Für die Office 365 mit der MS Cloud Deutschland wird der AV Vertrag mit der Telekom abgeschlossen, die Datentreuhänder ist für Microsoft..

Was ist, wenn der Dienstleister keinen Vertrag in der oben beschrieben Form anbietet, sondern lediglich eine Möglichkeit, eine Webseite durchzulesen und den Vertrag mit dem Bestätigen einer Checkbox abzuschließen?

Bei Google heißt es an der Stelle, wo es bisher einen Vertrag zum Download gab,

Stattdessen steht ab diesem Zeitpunkt ein Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO zur Verfügung, den Sie elektronisch abschließen können (vgl. Sie bitte Art. 28 Abs. 9 DSGVO zur Möglichkeit, Auftragsverarbeitungsverträge auch in ‘elektronischer Form’ abzufassen).20https://static.googleusercontent.com/media/www.google.de/de/de/analytics/terms/de.pdf

Einen AV Vertrag elektronisch abschließen – geht das?

Das Thema ist nicht ganz einfach. Zwar sagt Art. 28 Abs. 9 DS-GVO, dass die Abfassung des Vertrags auch „in einem elektronischen Format erfolgen kann„, doch wie dieses elektronische Format genau auszusehen hat, darüber herrscht keine absolute Einigkeit unter den Experten.

Dass es der Papierform für einen Vertrag nicht mehr bedarf und man stattdessen mit digitalen Dokumenten in Word- oder  PDF-Format arbeiten kann, daran besteht wenig Zweifel. Das entscheidende Kriterium ist hier, dass das gewählte Format sicherstellt, dass nachträgliche Änderungen technisch unmöglich ist. In der Fachliteratur findet man dazu folgende Ausführung.

Vielmehr ist es nach Art. 28 Abs. 9 DS-GVO ausreichend, dass der Auftragsverarbeitungsvertrag durch zwei gegenseitige Willenserklärungen i. S. v. §§ 145 ff. BGB geschlossen und zumindest elektronisch „abgefasst“ wird. Entscheidend ist, dass der Vertragsschluss in irgendeiner Form dokumentiert wird. Einer Verkörperung, z. B. als Ausdruck, bedarf es zwar nicht, jedoch muss das gewählte Format sicherstellen, dass nachträgliche Änderungen technisch unmöglich sind und ersichtlich bleibt, dass zwei kongruente Willenserklärungen vorlagen. 21Koreng/Lachenmann DatenschutzR-FormHdB, 1. Vergleich Auftragsverarbeitung nach dem BDSG und der DS-GVO Rn. 1. – 7., beck-online

Der Punkt ist nun, wie man die beiderseitige Willenerklärung dokumentiert. Einige Experten sind der Ansicht, es bedürfe dazu einer elektronischen Signatur. Allerdings geben andere europäische Rechtsnormen keinen Hinweis darauf, dass dieses erforderlich ist22Kühling/Buchner/Hartung, DS-GVO, Art. 28 Rn. 94 ff.. Nach Koreng/Lachmann sollte es möglich sein, dass

bei einem Onlinevertragsschluss der Vertrag über die Auftragsverarbeitung digital bereitgestellt werden kann.

Dann wiederum sollte es ausreichen, wenn der Kunde mit dem Bestätigen einer Checkbox ein

ein rechtswirksames Angebot auf einen bereitgestellten Vertrag abgeben kann, das der Vertragspartner sodann mit dem Hauptvertrag annimmt, wenn der Vertrag speicher- und druckbar ist.

Letzteres ist von Bedeutung, um den Vertragsabschluss auch auf Seiten der Schule zu dokumentieren. Es empfiehlt sich, die eigene Willensbekundung zum Abschluss des AV Vertrags, wenn sie nur durch Bestätigen einer Checkbox möglich ist, ebenfalls zu dokumentieren. In der Regel sollte die Annahme des Vertrags zur Auftragsverarbeitung in der Online Vertragsverwaltung an irgendeiner Stelle angezeigt werden. Diese Seite sollte man dann ausdrucken. Der Anbieter hat seine Willensbekundung bereits mit der Bereitstellung des Vertrags auf seinem Portal getätigt. Im folgende Beispiel sieht man, wie so etwas aussehen könnte.

Wenn es kein PDF gibt

Bietet der Dienstleister, so wie Google bei Google Analytics oder der G-Suite for Education keinen AV Vertrag als PDF zum Download an, empfehle ich folgendes Vorgehen, um den Abschluss eines AV Vertrages zu dokumentieren.

  • Wenn bei Anbieter im Kontobereich/Vertragsverwaltungsbereich des Nutzungsvertrages die erfolgte Zeichnung des AV Vertrags angezeigt wird, wie im folgenden Beispiel bei G-Suite for Education, dann sollte man diese Seite als PDF sichern oder ausdrucken.23Die Namen sind hier aus Gründen des Datenschutz herausgelöscht.
  • Den eigentlichen Vertrag und zugehörige Bestandteile (bei Google beispielsweise die Standardvertragsklauseln) sollte man ebenfalls als PDF abspeichern.

Auf diese Art und Weise kann man erstens die Willensbekundung der Schule dokumentieren, den Vertrag einzugehen, und zweitens der Erfordernis nachkommen, den Vertrag in einem Format zu sichern, welches eine nachträgliche Änderung technisch unmöglich macht24Natürlich kann man auch ein PDF verändern, doch es geht hier weniger darum, dass die Schule den AV Vertrag ändern könnte, sondern der Auftragnehmer, etwa Google..

Fazit

Noch herrscht einige Unsicherheit, selbst unter Experten, wie genau der Abschluss eines Vertrags zur Auftragsverarbeitung in elektronischer Form aussehen sollte. Weder Experten noch Anbieter sind hier einer Meinung, wie bei letzteren die unterschiedlichen Formen, AV Verträge bereitzustellen zeigen. Grundsätzlich empfiehlt es sich, mit einem Vertrag in Form eines vorunterzeichneten PDF zu arbeiten, wenn dieses möglich ist. Bei Anbietern, die diesen Weg nicht anbieten, sollte man den Vertragsabschluss möglichst gut dokumentieren und den Vertrag selbst in einem sicheren Format speichern oder auch ausdrucken.

Es ist zu erwarten, dass die Zukunft Rechtssicherheit bringen wird, was genau unter einem elektronischen Format nach Art. 28 Abs. 9 DS-GVO zu verstehen ist. Entsprechende Nachsteuerungen durch den Gesetzgeber oder Urteile von Gerichten werden dafür sorgen. Bis dahin sollte man einen der oben beschriebenen Wege nutzen.

Weitere Informationen

Apple verkauft sich mit mehr Datenschutz

Lesezeit: 1 Minute

Apple hat einen Bildungsevent in Chicago abgehalten, iOS wurde auf 11.3 aktualisiert und Mac OS auf 10.13.4. Datenschutz und das bevorstende Inkrafttreten der DS-GVO waren dabei ein Thema, das alle drei Ereignisse gemeinsam haben. Pünktlich zum Inkrafttreten sollen Datenschutz Features kommen, das Herunterladen der gespeicherten Daten wie das einfachere Deaktivieren eines Accounts beinhalten. In Mac OS wie iOS soll vom System darauf hingewiesen werden, wenn eine Apple Funktion Nutzerdaten erhebt. Gleichzeitig verpflichtet man sich Datensparsamkeit. Wo möglich will man die Verarbeitung von Daten on device durchführen und nicht in der Cloud.

Das klingt gut, ob es jedoch gerade in Schule ausreichend ist, die bestehenden Datenschutz Problematiken, welche mit der Nutzung von Apple Produkten im Unterricht verbunden sind, zu lösen, bleibt abzuwarten.

Apple iWork kann Kollaboration – Datenschutz?

Lesezeit: 2 Minuten

Kollaboration, die in Echtzeit abläuft, setzt immer einen Abgleich zwischen den verschiedenen Nutzern voraus, die an einem Produkt arbeiten. Dafür gibt es eine zentrale Instanz, die für den Abgleich und die Versionsverwaltung sorgt. Diese liegt in der Regel in einer Cloud. Sie sorgt dafür, dass jeder, der an einem gemeinsamen Produkt arbeitet, den gleichen Arbeitsstand hat.

Am 27.03.2018 hat Apple nun für sein iWork (Pages, Numbers, and Keynote) neue Funktionen vorgestellt. Dazu gehört auch eine Echtzeitkollaboration über die Apps. Diese läuft über Apples iCloud, ist jedoch auch über den Anbieter Box möglich.  Letzteres ist ein Dienst, der an US Schulen häufig genutzt wird, vermutlich da der kostenlose Speicherplatz in iCloud für Schulen bisher sehr begrenzt war, der Anbieter günstiger ist und außer Apple auch Office 365 und G-Suite unterstützt.

Die neue Kollaborationsfunktion, ist definitiv sehr nützlich und für zeitgemäßes Lernen gewinnbringend. Was aber ist mit dem Datenschutz? Die Zusammenarbeit in Pages, Numbers und Keynote setzt Apple IDs und iCloud voraus. Damit ergibt sich jedoch ein Problem. Bisher ist die Nutzung von iCloud mit personenbezogenen Daten, auch wenn Apple sogar eine Datenverarbeitung im Auftrag anbietet und die Einhaltung aller möglicher Standards anführt, in Deutschland nicht datenschutzkonform möglich (siehe FAQ RLP).

Hier könnte unter Umständen Box.com ins Spiel kommen, denn dieser Anbieter bietet anders als Apple zwei Serverstandorte in Deutschland (Frankfurt, Magdeburg) an, und ist sogar vom TÜV Rheinland zertifiziert. Entscheidend wird für Schulen neben der Einhaltung datenschutzrechtlicher Vorgaben (z.B. Treuhandmodell?) jedoch auch der Preis sein.

Was bedeutet das nun für die schulische Praxis?

Da die neue Kollaborationsfunktion von iWork nur mit iCloud (oder Box) genutzt werden kann, muss für eine datenschutzkonforme Nutzung eine der beiden folgenden Bedingungen erfüllt sein:

  • die Schule arbeitet ohne personenbezogene Daten (z.B. mit pseudonymisierten Apple IDs) und regelt über die Benutzerordnung, dass auch bei der Arbeit mit iWork keinerlei personenbezogene Daten von den Schülern genutzt werden, oder
  • die Schule arbeitet mit  personenbezogenen Daten (z.B. Klarnamen für die Apple IDs) und die Nutzer haben ihre Einwilligung dazu gegeben und es besteht mit Apple (oder eventuell Box) ein Vertrag zur Datenverarbeitung im Auftrag.

Bevor beurteilt werden kann, ob Box.com für die Nutzung der Kollaborationsfunktion von  iWork genutzt werden kann, muss zunächst geklärt werden, ob dieses tatsächlich datenschhutzkonform möglich ist.