Microsoft 365 – Stand Februar 2023

Lesezeit: 5 Minuten
Hinweis: Bitte beachten Sie auch die geänderten FAQ zu MS365 des MSB NRW. Weitere Infos dazu unter Änderungen in den FAQ Datenschutz beim MSB NRW

Die Nutzung von Microsoft 365 ist schon seit Jahren eine Hängepartie für Schulen. Permanent scheint das Ende nahe. Die Position der LDI NRW zur schulischen Nutzung von Microsoft 365 ist durch verschiedene Veröffentlichungen und Äußerungen bekannt. Die letzte Aussage in schriftlicher Form stammt von Oktober 2022 aus der Schrift  Digitaler Unterricht in Schulen – Der Grundstein ist gelegt.

Im November veröffentlichte dann die Datenschutzkonferenz (DSK) ihre Bewertung, die anders als 2020 einstimmig von allen Aufsichtsbehörden so beschlossen wurde. Ergebnis der Bewertung war, dass Schulen Microsoft 365 nicht datenschutzkonform nutzen können, da die Schulleitungen als Verantwortliche nach Einschätzung der DSK aufgrund fehlender Informationen durch Microsoft nicht in der Lage sind, ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nachzukommen. Man sieht darüber hinaus auch Mängel bezüglich des Vertrags zur Auftragsverarbeitung, den Schulen mit Microsoft abschließen.1Siehe dazu auch Warum die Datenschutzkonferenz MS365 in Schulen nicht für nutzbar hält

Was bedeutet diese Entwicklung nun für die Schulen in NRW?

Im Beitrag Warum die Datenschutzkonferenz MS365 in Schulen nicht für nutzbar hält im News Bereich dieser Website wird beschrieben, welche Möglichkeiten der Aufsichtsbehörde NRW zur Verfügung stehen, wenn sie Schulen gegenüber Konsequenzen aus der Bewertung der DSK folgen lassen will. Doch müssen Schulen jetzt damit rechnen, dass die Aufsichtsbehörde nachforscht, ob man Microsoft 365 nutzt und dass in Folge eine Nutzung möglicherweise untersagt wird, falls man nicht von sich aus auf eine andere Lösung wechselt?

Aktuell deutet nichts darauf hin, dass die Aufsichtsbehörde des Landes NRW von ihrer bisherigen Linie abweichen wird. Sie hat im letzten Jahresbericht wie auch in der oben erwähnten Schrift – ohne Namen zu nennen – öffentlich kundgetan, dass sie eine datenschutzkonforme Nutzung von Microsoft 365 und vergleichbaren Plattformen nicht für möglich hält, jedoch nicht den Weg der Verbote gehen, sondern mit Überzeugung arbeiten möchte. So weit wie etwa der LfDI Thüringen, der dieses auch medienwirksam in die breite Öffentlichkeit trägt und dort ankündigt, wie man nun weiter verfahren möchte, ist die LDI NRW bisher nicht gegangen. Äußerungen aus ihrem Haus lassen dergleichen auch nicht erwarten.

Die LDI NRW hat aktuell demnach nicht vor, Microsoft 365 aus allen Schulen des Bundeslandes zu verbannen. Sie wird jedoch auf jeden Fall Beschwerden von Betroffenen nachgehen und an diesen Schulen Verfahren in Gang setzen. Dazu verpflichtet sie die DS-GVO. Welche Aspekte dann letztlich im Fokus des aufsichtsbehördlichen Verfahrens stehen, kann von Fall zu Fall unterschiedlich sein. Es ist aber damit zu rechnen, dass die Aufsichtsbehörde betroffene Schule auch bezüglich der Erfüllung ihrer Rechenschaftspflichten gem. Art. 5 Abs. 2 DS-GVO um Auskunft bitten wird. Die Schule muss dann je nach Fall nachweisen, wie sie die Vorgaben der DS-GVO wie auch des Schulgesetzes durch geeignete technische und organisatorische Maßnahmen einhält und auch ihren Rechenschaftspflichten nachkommt. Ist die Schule dann nicht in der Lage, eine DS-GVO konforme Nutzung der Plattform nachzuweisen, bzw. ihren Rechenschaftspflichten nachzukommen, hätte die Schule nur zwei Optionen. Sie ließe sich überzeugen, die Nutzung von Microsoft 365 aufzugeben, oder riskierte eine Untersagung.

Wie sollten Schulen sich verhalten?

Was tun, wird man sich an vielen Schulen und auch bei vielen Schulträgern nun fragen? Macht es für Schulträger Sinn, bestehende Lizenzen zu verlängern? Ist es für Schulen sinnvoll, die Nutzung von Microsoft 365 fortzusetzen und gegebenenfalls sogar noch auszuweiten?

Die schulische Nutzung von Microsoft 365 ist aus Sicht der DSK problematisch und die LDI NRW teilt diese Haltung. Allerdings ist die Bewertung der DSK nicht unumstritten2Siehe z.B. Microsoft 365: Microsoft bewegt sich, die Datenschützer mauern unverhältnismäßig auf Heise. und Microsoft arbeitet weiter daran, den Anforderungen der Aufsichtsbehörden bezüglich der Transparenz und Gestaltung der datenschutzrechtlichen Verträge zu entsprechen. Ergänzend dazu stellt Microsoft zum Jahresende die EU Data-Boundary bereit, welche es Verantwortlichen ermöglicht, nahezu alle Daten in der EU zu verarbeiten.3Ob Schulen oder ihre Schulträger hier tätig werden müssen, um die Datenverarbeitung in ihren Tenants auf die EU Data-Boundary umzustellen, ist bei Microsoft angefragt Microsoft hat auf die neuen Standardvertragsklauseln (Standard Contractual Clauses, SCC) umgestellt und das Data Processing Addendum4siehe hierzu den Beitrag Neues Data Processing Addendum von Microsoft von September 2022 ist automatisch für alle Kunden gültig.5Im DPA heißt es hierzu: “Microsoft geht die in diesem DPA beschriebenen Verpflichtungen gegenüber allen Kunden mit Volumenlizenzverträgen ein. Diese Verpflichtungen sind für Microsoft in Bezug auf den Kunden bindend, unabhängig (1) von den Produktbestimmungen, die ansonsten für ein bestimmtes Produktabonnement oder eine Lizenz gelten, und (2) von anderen Verträgen, die auf die Produktbestimmungen verweisen.” Quelle unter https://wwlpdocumentsearch.blob.core.windows.net/prodv2/MicrosoftProductandServicesDPA(WW)(German)(Sept2022)(CR).docx Entlastung werden darüber hinaus, wenn auch vielleicht nur vorübergehend, die Executive Order des US Präsidenten und der geplante Angemessenheitsbeschluss durch die EU Kommission bringen. Man kann aktuell davon ausgehen, dass die LDI NRW sich nicht ohne einen konkreten Anlass bezüglich einer schulischen Nutzung von Microsoft 365 melden wird.

Solange man nicht davon ausgeht, dass die Aufsichtsbehörden nicht anders können, als bei Microsoft 365 jeden Missstand und sei er auch noch so gering, zu suchen, zu bemängeln und daraus eine Nichtnutzbarkeit für Schulen abzuleiten, sollte sich die Lage tendenziell weiter entspannen. Microsoft bessert beständig nach. Die Zeit arbeitet letztlich für Schulen, welche die Plattform nutzen.

Schulen, die weiterhin auf Microsoft 365 setzen wollen, werden die Dinge in den meisten Fällen einfach auf sich zukommen lassen und abwarten wie die Lage sich entwickelt. Sie sollten allerdings nicht bloß darauf vertrauen, dass die Lage sich früher oder später zu ihren Gunsten entwickelt dürfte, sondern sich proaktiv kritisch mit ihrer Nutzung der Plattform auseinandersetzen. Dazu gehört eine Erfassung aller Verarbeitungen, welche die Schule in der Plattform durchführt. Wer nutzt die Plattform zu welchen Zwecken und verwendet dabei welche Daten?6Dieses würde man zweckmäßig in einem Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DS-GVO festhalten, sofern noch nicht geschehen. Zu prüfen wäre hier auch, ob die Plattform eventuell für die Verarbeitung von personenbezogenen Daten genutzt wird, die dort aus Sicherheitsgründen nicht verarbeitet werden sollten. Das wären beispielsweise Zeugnisse, Gutachten, Beurteilungen, Notenlisten, Protokolle von Klassenkonferenzen, Unterlagen zu AO-SF Verfahren und ähnlich. Kontrolliert werden sollte auch, ob die Schule alle technischen und organisatorischen Maßnahmen getroffen hat, mit denen sich mögliche hohe Risiken für Betroffene bei der unterrichtlichen Nutzung von Microsoft 365 ausreichend mindern lassen, um eine Nutzung vertreten zu können.

Als Hilfe für die Überprüfung und anschließende Anpassung bietet sich eine Datenschutz Folgenabschätzung an. eine Vorlage dafür haben im Februar 2023 zwei Fachjuristen unter Creative Commons Lizenz veröffentlicht.7Weitere Informationen dazu unter Kostenlose Vorlage für eine Datenschutz Folgenabschätzung für Microsoft 365 für Schulen Welche Maßnahmen dafür in Frage kommen, wurde bereits von verschiedenen Stellen online dokumentiert. Auch die oben genannte Vorlage führt einige Maßnahmen auf. Einige der für die dort beschriebenen Maßnahmen erforderlichen administrativen Konfigurationen stehen nicht in allen Versionen von MS365 zur Verfügung. Vor allem in der kostenlosen A1 Version sind die Steuerungsoptionen von Datenflüssen und Sicherheitsmaßnahmen wie auch Sicherheitsfunktionen nur eingeschränkt oder gar nicht verfügbar.

Zu möglichen technischen Maßnahmen gehören beispielsweise:

  • Telemetrieerfassung in installierten Anwendungen auf die niedrigste Stufe “Weder noch” setzen,
  • Zugriff auf Anwendungen von Drittanbietern im App Store in Teams deaktivieren,
  • zusätzliche optionale Connected Experiences in Micorosft 365 deaktivieren,
  • die meisten Funktionen in Teams Analytics & Reports deaktivieren und Pseudonymisierungsoption einschalten,
  • Viva Advanced Insights nicht aktivieren,
  • in Teams für alle Meetings und Chats Ende-zu-Ende Verschlüsselung aktivieren, sobald von Microsoft zur Verfügung gestellt,
  • Nutzung von Bring-your-own key, idealerweise mit einem eigenen Key-Server,

Zu möglichen organisatorische Maßnahmen gehören beispielsweise:

  • Nutzung von pseudonymisierten Zugangsdaten, etwa mit Buchstaben von Vor- und Nachnamen,
  • Anweisung für Lehrkräfte, keine Datei- und Ordnernamen mit Namen von Personen erstellen,
  • keine Nutzung für die Verarbeitung von personenbezogenen Daten aus der schulinternen Verwaltung (keine Notenlisten, Gutachten, …) oder für pädagogische Dokumentation,
  • Vollständige Erfüllung der Informationspflichten gem. Art. 13 DS-GVO,
  • Transparenz und Information, wie man als Schule mögliche Risiken für Betroffene bei der Nutzung minimiert,
  • regelmäßige Schulung und Sensibilisierung aller Nutzer für eine sichere und verantwortungsvolle Arbeit mit der Plattform,

Auch wenn Schulen aktuell nicht damit rechnen müssen, anlasslos von der Aufsichtsbehörde kontaktiert zu werden, so besteht jedoch immer das Risiko, dass die Aufsichtsbehörde durch eine Beschwerde zum Handeln gezwungen wird. Das heißt, Schulen sollten tunlichst alles Handeln im Zusammenhang mit der Nutzung von Microsoft 365 vermeiden, das Betroffene zu einer Beschwerde veranlassen könnte. Stattdessen sollten sie Bedenken ernst nehmen und den Betoffenen entgegenkommen, um gemeinsam eine verträgliche Lösung zu finden.

LDI NRW Schrift zu Unterricht und Datenschutz – Oktober 2022

Lesezeit: 10 Minuten

Die Schrift Digitaler Unterricht in Schulen – Der Grundstein ist gelegt der LDI NRW ist ein wichtiges Dokument für Schulen, da es nicht nur den aktuellen Rechtsrahmen für die Verarbeitung von personenbezogenen Daten von Schülern und Lehrkräften im Unterricht und die rechtlichen Zuständigkeiten der verschiedenen beteiligten Stellen beschreibt, sondern auch, weil es eine Kommentierung einschließt. Angesprochen wird auch die Nutzung von Online-Plattformen wie Microsoft 365.

Datenverarbeitung durch den Schulträger

Im ersten Teil der Schrift werden die verschiedenen Zuständigkeiten der mit dem System Schule und der dort stattfindenden Datenverarbeitung befassten Stellen beschrieben, beginnend mit der Schulleitung und den schulischen Datenschutzbeauftragten, fortgeführt mit der Zuständigkeit des Schulträgers und des Schulministeriums und abschließend mit der eigenen Rolle, die der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW (LDI NRW) hierzu kommt. Von besonderem Interesse ist in diesem Abschnitt die Stelle, in welcher es um den Schulträger geht. Dieser ist, im Gegensatz zur Schulleitung, die für innere Angelegenheiten zuständig ist, und damit Verantwortlicher für die Verarbeitung von personenbezogenen Daten in der Schule selbst, für die äußeren Angelegenheiten zuständig. Bezüglich des Schulträgers und seiner Zuständigkeit für die Verarbeitung von personenbezogenen Daten im Zusammenhang mit Schule, stellt die Aufsichtsbehörde fest:

“Soweit die Schulträger im Zusammenhang mit diesen äußeren Schulangelegenheiten personenbezogene Daten verarbeiten, sind sie als datenschutzrechtlich Verantwortliche anzusehen.

… diesen äußeren Schulangelegtenheiten” bezieht sich hier auf § 79 Abs. 1 SchulG NRW.

„Die Schulträger sind verpflichtet, die für einen ordnungsgemäßen Unterricht erforderlichen Schulanlagen, Gebäude, Einrichtungen und Lehrmittel bereitzustellen und zu unterhalten sowie das für die Schulverwaltung notwendige Personal und eine am allgemeinen Stand der Technik und Informationstechnologie orientierte Sachausstattung zur Verfügung zu stellen.“ 

Das heißt, der Schulträger darf personenbezogene Daten im Zusammenhang mit diesen äußeren Angelegenheiten verarbeiten und gilt dann als Verantwortlicher. In den meisten Fällen tritt der Schulträger eher als Auftragsverarbeiter auf, etwa wenn er administrative Aufgaben für die Schule in einer schulischen Plattform übernimmt oder bei Support- und Wartungsaufgaben durch kommunale Mitarbeiter, bei denen diese mit Plattformen oder Hardware zu tun haben, mit welchen personenbezogene Daten der Schule verarbeitet werden oder auch durch die Bereitstellung einer Person, die in kommunalen Diensten steht, für das Schulsekretariat.

Ein Fall, in welchem der Schulträger selbst Verantwortlicher sein kann, wäre beispielsweise der Verleih von Dienstgeräten an Lehrkräfte im Rahmen der Ausstattungsinitiative des Bundes und des Landes. In der Richtlinie über die Förderung von dienstlichen Endgeräten für Lehrkräfte an Schulen in Nordrhein-Westfalen wird beispielsweise geschrieben, dass der Schulträger die Geräte entsprechend verwalten muss.

Die Einwilligung im Zusammenhang mit Unterricht

Im zweiten großen Abschnitt geht es um die rechtlichen Rahmenbedingungen der Datenverarbeitung durch die Schule als verantwortlicher Stelle. Hier sind neben den Rechtsgrundlagen aus der DS-GVO und dem DSG NRW vor allem die spezialgesetzlichen Regelungen des Schulgesetzes NRW und die anhängigen Verordnungen zur Datenverarbeitung relevant. Die Schrift geht an dieser Stelle auch auf die Problematik der Einwilligung im Zusammenhang mit dem Unterricht ein und kommt zu dem Schluss:

Für Schulen kann die Einwilligung im Zusammenhang mit dem Unterrichtsgeschehen regelmäßig keine Rechtsgrundlage für die Datenverarbeitung bieten. Wesentlich für eine wirksame Einwilligung ist, dass sie freiwillig erteilt wird. Diese Freiwilligkeit ist in aller Regel bei Datenverarbeitungen, die
den digitalen Unterricht ermöglichen sollen, nicht gegeben, weil die Schüler*innen
am Unterricht teilnehmen müssen und keine freie Wahl haben.” 

Diese drei Sätze sagen mehr, als auf den ersten Blick offensichtlich. Es wird damit nicht gesagt, dass die Verarbeitung von personenbezogenen Daten im Zusammenhang mit dem Unterrichtsgeschehen nicht auch auf der Rechtsgrundlage eine Einwilligung erfolgen kann. Die Einwilligung ist jedoch je nach Zusammenhang problematisch, da sie nur dann rechtswirksam ist, wenn sie freiwillig erteilt wird und das ist sehr häufig (“in aller Regel”) nicht der Fall, da Schüler verpflichtet sind, am Unterricht teilzunehmen. Wenn im Unterricht beispielsweise eine Plattform genutzt werden soll, über welche Schülerinnen und Schüler zusammenarbeiten, ihre Aufgaben erhalten und Lernprodukte erstellen und abgeben, und zur Nutzung dieser Plattform eine Einwilligung erforderlich ist, dann kann davon ausgegangen werden, dass eine Freiwilligkeit hier nicht mehr gegeben ist. Eine Freiwilligkeit würde gleichwertige Alternativen voraussetzen. Diese im Fall einer solchen Plattform zu schaffen, ist so gut wie unmöglich. Das gleiche wäre der Fall, wenn die Klasse an einem Online-Tool , dessen Nutzung eine Einwilligung voraussetzt, gemeinsam ein Wissensnetzwerk erstellen soll. Alle Schüler sollen einen Beitrag erstellen und mit anderen Beiträgen vernetzen. Die Lehrkraft will anschließend die Beiträge bewerten. Von Freiwilligkeit kann hier zumindest im Sinne von Datenschutzrecht nicht mehr ausgegangen werden. Entsprechend heißt es in der Schrift etwas weiter im Text:

Werden Daten von Schüler*innen im Zusammenhang mit digitalem Unterricht erhoben, ist es den Schüler*innen oder deren Eltern in aller Regel nicht möglich, sich frei und ohne Nachteile für die Schüler*innen gegen die Verarbeitung ihrer Daten zu entscheiden, weil sie ansonsten von der Nutzung der konkreten Anwendung und damit zumindest teilweise vom Unterricht ausgeschlossen wären.” Auch hier wird noch einmal ausgedrückt, dass eine freie Entscheidung in sehr vielen Fällen (“in aller Regel”) nicht möglich sein wird.

Anders gestaltet sich das jedoch, wenn die Nutzung einer Plattform oder die Aufnahme und Verwendung von Medien eine Option ist, um im Unterricht an einem Projekt zu arbeiten. Dann haben Schülerinnen und Schüler die Möglichkeit zu wählen und sind nicht gezwungen, eine Plattform zu nutzen oder beispielsweise Tonaufnahmen von sich selbst anzufertigen. Das bedeutet letztlich, man muss im Zusammenhang mit Unterricht sehr genau überlegen, ob eine Einwilligung möglich ist. Die Landesplattform Logineo NRW LMS setzt mit Stand von Oktober 2022 eine Einwilligung zwingend voraus. Das bedeutet, es ist schwierig, Unterricht auf dieser Plattform abzubilden und Schulen stoßen dann an ihre Grenzen, wenn einzelne Mitglieder in der Lerngruppe hier Ihre Einwilligung verweigern oder widerrufen.

Was für die Einwilligung für Schülerinnen und Schüler gilt, das gilt selbstredend auch für Lehrkräfte in gleicher Weise. Abschließend fasst die Schrift zum Thema Einwilligung kurz zusammen, unter welchen Voraussetzungen die Einwilligung als Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten in der Schule genutzt werden kann.

Eine Einwilligung kann nur dann eine Rechtsgrundlage für die Datenverarbeitung sein, wenn sich die Betroffenen frei von sozialem Druck oder Zwang für oder gegen die Verarbeitung ihrer personenbezogenen Daten entscheiden können.” Bei der Verarbeitung von personenbezogenen Daten etwa zur Öffentlichkeitsarbeit oder in anderen Zusammenhängen außerhalb des Unterrichts kann die Einwilligung durchaus ein Rechtsgrundlage bieten.

Datenverarbeitung zur Aufgabenerfüllung

Der Teil der Schrift, welcher sich mit den Rechtsgrundlagen zur Datenverarbeitung durch die Schule auseinandersetzt, welche sich aus der DS-GVO und dem nationalen Recht ergeben, endet mit einem Hinweis darauf, dass ich die Datenverarbeitung für den Einsatz digitaler Unterrichtsanwendungen an der Erfordernis zur Aufgabenerfüllung der Schule orientieren muss.

Schulen müssen immer betrachten, welche Aufgabe sie zu erfüllen haben und welche Datenverarbeitungen dafür erforderlich sind. Schwierigkeiten bereiten in der Regel Anwendungen, die neben den für schulische Zwecke erforderlichen Datenverarbeitungen von den Anbietern voreingestellte Datenverarbeitungen vorsehen, die nicht den schulischen Zwecken dienen. Lassen sich diese Voreinstellungen nicht durch die Schule abstellen, sind diese Anwendungen für den digitalen Unterricht nicht geeignet.

Nicht zur Aufgabenerfüllung erforderliche Datenverarbeitungen in einer unterrichtlich genutzten Plattform sind vielfach problematisch und können, wenn sie sich nicht innerhalb der Plattform deaktivieren lassen, dazu führen, dass eine solche Plattform im Unterricht nicht genutzt werden kann. Zu den nicht für schulische Zwecke erforderlichen Datenverarbeitungen könnten beispielsweise Telemetriedaten zählen, welche personenbezogene oder -beziehbare Daten beinhalten. In einer Plattform wie der Offline Version von Microsoft Office lassen sich diese beispielsweise durch einen Administrator komplett deaktivieren, wie auch weitere Datenflüsse zu Servern von Microsoft. In der Open Source Videokonferenz Plattform BigBlueButton gibt es mittlerweile eine Funktion zur Überwachung der Aktivität von Teilnehmern an einer Videokonferenz. Die Nutzung davon ist nicht für die Aufgabenerfüllung der Schule erforderlich. Sie kann deaktiviert werden, wodurch die Plattform weiterhin für die Anwendung im Unterricht geeignet ist.

Auftragsverarbeitung und Drittstaatentransfer

Diese beiden Anforderungen werden recht kurz und knapp unter den weiteren Anforderungen behandelt, welche von Schulen bei der Verarbeitung von personenbezogenen Daten beachtet werden müssen. Bei Auftragsverarbeitern muss die Schule sicherstellen, dass personenbezogenen Daten nur auf ihre Weisung und zu ihren Zwecken verarbeitet werden und die Vertraulichkeit im Zusammenhang mit der Verarbeitung sichergestellt ist. Dieses ist bisher gerade im Zusammenhang mit der Nutzung von Microsoft 365 nach Einschätzung der Aufsichtsbehörden ein Problem gewesen, da Microsoft sich in den Vertragsbedingungen das Recht einräumte, personenbezogene oder -beziehbare Daten auch zu eigenen Zwecken (interne Abrechnungszwecke) zu verarbeiten. Das Thema Drittstaatentransfer wird nur kurz umrissen und es wird auf weitere Schriften der Aufsichtsbehörde verwiesen. Nach Einschätzung der Aufsichtsbehörde liegt ein Drittstaatentransfer nicht nur dann vor, wenn der Auftragsverarbeiter oder Produkthersteller personenbezogene Daten in Drittländer übermittelt, etwa zu Wartungs- oder Support-Zwecken, sondern auch “wenn der Dienstleister oder dessen Auftragnehmer aus dem Drittland heraus auf in der EU gehaltene Daten zugreift.” Bei großen US-amerikanischen Anbietern ist dieses über viele Jahre gängige Praxis gewesen. Einige Anbieter sind mittlerweile dabei, dieses zu ändern.1In der Fachwelt gab es in diesem Zusammenhang unterschiedliche Ansichten, wie die Möglichkeit einzuschätzen ist, dass ein US-Anbieter auf die Daten in der EU zugreifen könnte. Liegt dadurch bereits ein Drittstaatentransfer vor oder nicht?

Datenschutzbeauftragte und Personalvertretung

Einen kurzen Hinweis gibt es bezüglich der Verarbeitung der personenbezogenen Daten von Lehrkräften, wenn dabei Rückschlüsse auf das Verhalten und die Leistung der Lehrkräfte möglich ist. In einem solchen Fall sind die behördlichen Datenschutzbeauftragten wie auch die Personalvertretung mit einzubeziehen, um den Rechten der Lehrkräfte Rechnung zu tragen.

Lehrer- und Schülergeräte

Hier greift die Schrift die Regelungen zu Dienstgeräten und Ausnahmen für die Nutzung von privaten Endgeräten für die Verarbeitung von personenbezogenen Daten aus der Schule auf, welche auf die Anregungen der Aufsichtsbehörde selbst zurückgehen und diese weitestgehend umsetzen. Bezüglich der Nutzung von digitalen Endgeräten durch Schülerinnen und Schüler für Unterrichtszwecke kommt man bei der Aufsichtsbehörde zum Schluss, dass verpflichtende Regelungen zur Nutzung digitaler Endgeräte nur möglich sind, wenn Schülerinnen und Schüler mit diesen ausgestattet werden und keine privaten Geräte zum Einsatz kommen.

Ein Punkt, der etwas ausführlicher behandelt wird, ist die Möglichkeit zur Überwachung der Bildschirme von Schüler Geräten. Nach Einschätzung der Aufsichtsbehörde ist solches durchaus zulässig, auch die Aufnahme des Bildschirm Inhaltes in Form eines Screenrecording, wenn dieses “zur Wahrnehmung ihres Bildungs- und Erziehungsauftrags erforderlich ist,” und “beispielsweise zum Nachweis einer unzulässigen Nutzung des Geräts im Unterricht” dient. Betroffene müssen über das Bestehen dieser Möglichkeiten vorab informiert werden. [Etwas problematisch an dieser Stelle ist, dass diese Funktionen Mobile Device Management Systemen (MDM) zugeschrieben werden, was sachlich so nicht korrekt ist, da diese Systeme zur Verwaltung von Endgeräten derartige Funktionen nicht beinhalten. Bei iOS lassen sich derartige Funktionen nur über Apple Classroom nutzen. Intune das MDM von Microsoft benötigt für eine solche Funktion die Integration eines zusätzlichen Dienstes wie TeamViewer.]2Ich gehe davon aus, dass die Aufsichtsbehörde hier die Wortwahl noch anpassen wird.

Digitale Systeme für den Unterricht

Dieser dritte große Teil der Schrift ist besonders interessant, weil hier auch Neuerungen im Datenschutzrecht beschrieben werden. Zunächst einmal wird darauf hingewiesen, dass Betroffenen immer klar sein muss, ob die Nutzung einer Plattform für sie verpflichtend oder freiwillig ist. Wie zuvor an verschiedenen Stellen beschrieben dürfen Schulen zur Verarbeitung von personenbezogenen Daten nur Produkte einsetzen, die sich datenschutzkonform, auch in Bezug auf die Sicherheit der Verarbeitung, nutzen lassen. Hier ist die Schule nun in der Pflicht, dieses zu prüfen. Schulen, die diesen recht hohen Aufwand nicht erbringen können, werden auf die Angebote des Landes verwiesen.

Rechtliche Änderungen gibt es bei der Nutzung von Videokonferenz Plattformen. Seit Inkrafttreten des Telekommunikationsgesetzes (TKG) und Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) Ende 2021 gelten “gegen Entgelt erbrachte Videokonferenzsysteme grundsätzlich als Tele- kommunikationsdienste.” Dadurch verändern sich rechtliche Verantwortlichkeiten. War die Schule bisher auch für die Verarbeitung von Metadaten wie der IP Adressen, Browserdaten, die übertragenen Datenmengen und Betriebssysteminformationen von Teilnehmern verantwortliche Stelle, so geht hier jetzt die Verantwortung auf den Anbieter der Videokonferenz Plattform über. Geschäftsmäßig erbrachte Videokonferenz Dienste unterliegen hier dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Inhalte von Videokonferenzen, Daten für Nutzerkonten oder die Einladung von Teilnehmern via E-Mail, in einer Videokonferenz mitlaufende Chats und gemeinsam bearbeitete Online Whiteboards, die Speicherung von Chats oder sonstige Verarbeitung, datenschutzfreundliche Voreinstellungen und ähnlich unterliegen wie bisher der Verantwortung der Schule. Zuständig ist hier in Bezug auf die Datenschutzkontrolle auch weiterhin die LDI NRW.

Im Folgenden beschreibt die Schrift dann den rechtlichen Rahmen für die Nutzung von Videokonferenz Plattformen, wie er sich auf dem SchulG NRW ergibt. Dabei geht es auch um die Unzulässigkeit der Teilnahme von Dritten, etwa Familienangehörigen, am Unterrichtsgeschehen per Videokonferenz, und der Aufzeichnung von Unterricht auf diesem Wege ohne eine vorliegende Einwilligung der Betroffenen. Kurz beschrieben werden auch die Bedingungen für die Verpflichtung von Schülern, die Kamera während einer Videokonferenz einzuschalten, das Streamen von Unterricht und der Einsatz sogenannter Telepräsenzroboter. Letzteren widmet die Schrift fast zwei ganze Seiten, um den Einsatz dieser Systeme rechtlich einzuordnen und Schulen Handlungsempfehlungen zu geben. Bevor es dann um datenschutzfreundliche Voreinstellungen für Videokonferenz Plattformen geht, werden noch Elternsprechtage per Videokonferenz in einem Exkurs behandelt. Da es aus dem Schulgesetz NRW keine Rechtsgrundlage für die Verarbeitung der dafür erforderlichen personenbezogenen Daten gibt, braucht es hier von Seiten der Eltern eine Einwilligung. Bei dieser sieht die Aufsichtsbehörde keine Bedenken, da sie nicht im Zusammenhang mit dem Unterrichtsgeschehen steht und Eltern immer auch die Alternative haben, zu telefonieren und oder persönlich in die Schule zu kommen.

Der letzte Abschnitt des dritten Teils der Schrift behandelt Messenger. Auch diese fallen wie gegen Entgelt erbrachte Videokonferenz Dienste unter Telekommunikationsdienste und entsprechend fallen hier die Metadaten unter die Verantwortlichkeit der Anbieter und die Inhalte sowie die zur Herstellung einer Verbindung erforderlichen Daten in die Zuständigkeit der Schule. “Messengerdienste, die im Zusammenhang mit der Herstellung der Kommunikation Daten verarbeiten, die für die Erbringung der Telekommunikationsleistung nicht erforderlich sind, sind für den Einsatz in Schulen nicht geeignet.” ist eine klare Ansage, durch welche etwa Messenger Dienste wie WhatsApp, welche die Adressbuchdaten der Teilnehmer mit den Servern des Anbieters abgleichen und dabei Daten unbeteiligter Dritter ohne deren Einwilligung übermitteln, für eine schulische Nutzung ausscheiden, “da die Schule ansonsten die Verarbeitung von personenbezogenen Daten veranlasst, die über das für ihre Aufgabenwahrnehmung erforderliche Maß im Sinne von §§ 120 Abs. 5, 121 Abs. 1 Satz 1 SchulG hinausgeht.”3Es ist möglich, diesen Adressbuchabgleich zu unterbinden. Das setzt jedoch entsprechende Kenntnisse voraus, die nicht von jedem Nutzer erwartet werden können.

Die Schrift schließt mit einem Ausblick und Erwartungen für die Zukunft. Besonders interessant ist dabei der Teil, in welchem es um die aktuell von vielen Schulen genutzten Plattformen großer US-amerikanischer Anbieter geht. Auch wenn im Text keine Produktnamen genannt werden, ist klar, dass es vor allem um Microsoft 365 geht. Was gesagt wird, gilt jedoch auch für Google Workspace for Education und vergleichbare Produkte.

In der pandemiebedingten Ausnahmesituation eingesetzte Lösungen, die nicht datenschutzkonform waren, sind nun von den Verantwortlichen anzupassen oder auszutauschen, wenn sie dauerhaft zum Einsatz kommen. Hier sind die Verantwortlichen gefordert, sobald wie möglich ein den aktuellen Umständen angemessenes Schutzniveau zu gewährleisten. Die LDI NRW setzt hierbei schwerpunktmäßig auf Überzeugungsarbeit bei den Verantwortlichen, nicht auf Untersagungen und Verbote. Selbstverständlich behalten wir uns vor, in Einzelfällen auch prüfend und kontrollierend tätig zu werden.

Die Aufsichtsbehörde erwartet von den Schulen, dass sie die während der Notsituation in der Pandemie kurzfristig beschafften Lösungen wie Microsoft 365 und Teams entweder so anpassen, dass die Verarbeitung von personenbezogenen Daten mit einem angemessene Schutzniveau erfolgt oder, wenn ihnen dieses nicht möglich ist die Nutzung dieser Plattformen einstellen. Dabei räumt sie den Verantwortlichen in Schule ein wenig Spielraum ein. Einmal wird eine zeitliche Vorgabe gemacht, “sobald wie möglich” und dann wird die Angemessenheit des Schutzniveaus an den “aktuellen Umständen” orientiert. Letzteres heißt aber auch, wenn man davon ausgeht, dass die Umstände sich mittlerweile weitestgehend normalisiert haben, dass dann auch beim Schutzniveau keine Abstriche mehr gemacht werden sollten. Anders als einige andere Aufsichtsbehörden setzt die LDI NRW weniger auf Druck durch Untersagungen und Verbote als auf “Überzeugungsarbeit bei den Verantwortlichen.” Wie diese genau aussehen wird, bleibt dabei offen. Es ist zu erwarten, dass die Aufsichtsbehörde sich in Kürze zu Microsoft 365 und der Nutzung für den Unterricht äußern wird. Das dürfte frühestens im November erfolgen, wenn die Arbeitsgruppe der Datenschutzkonferenz erneut darüber abstimmen wird, ob die Plattform bezüglich des von Microsoft bereitgestellten Vertragswerks datenschutzkonform genutzt werden kann. Auch wenn die Aufsichtsbehörde Veränderungen durch Überzeugungsarbeit erreichen möchte, so behält sie sich Prüfungen und Kontrollen vor. Diese sollen jedoch auf Einzelfälle beschränkt bleiben. Darin unterscheidet sie sich nicht von den anderen Aufsichtsbehörden, die ebenfalls angekündigt haben, bei Beschwerden tätig werden.

Mit Blick auf die Zukunft schaut die Schrift auf Projekte, welche an datenschutzrechtlichen Zertifizierungen für Plattformanbieter im Bildungsbereich arbeiten. Derartige Zertifizierung sollten Verantwortlichen zukünftig eine Entlastung bescheren, da sie dann nicht selbst vor der Herausforderung stehen, Plattformen beurteilen zu müssen.

Fazit

Mit der Schrift Digitaler Unterricht in Schulen – Der Grundstein ist gelegt hat die Aufsichtsbehörde eine für Schulen hilfreiche Zusammenstellung der datenschutzrechtlichen Grundlagen für die Arbeit mit digitalen Plattformen im Unterricht und darüber hinaus geschaffen. Sie greift dabei die entscheidenden Passagen aus den zugrunde liegenden Rechtstexten auf und erläutert diese näher. Lesern sollte klar sein, dass es sich dabei um die Lesart der Aufsichtsbehörde handelt. Andere Lesarten können durchaus möglich sein. orientiert man sich an dir der Aufsichtsbehörde, ist man jedoch in der Regel auf der sicheren Seite. Mit dem zweiten Teil des Titels “Der Grundstein ist gelegt” macht die Aufsichtsbehörde klar, dass mit den neu geschaffenen datenschutzrechtlichen Regelungen im Schulgesetz und den anhängigen Verordnungen nun ein Fundament umgelegt ist, auf welchem man zukünftig aufbauen kann. Vor den Beteiligten liegt also noch einige Arbeit. Das schließt auch den Gesetzgeber mit ein, denn es ist, wie Beispiele aus anderen Bundesländern zeigen, durchaus möglich, die Erfordernis für Einwilligungen durch zusätzliche Rechtsgrundlagen weiter zu reduzieren. Ein Beispiel hierfür wäre die pädagogische Nutzung von Bild und Tonaufnahmen für den Unterricht.

Stand 10/2022

Verarbeitung von Gesundheitsdaten durch Schulen – Coronaselbsttests

Lesezeit: 3 Minuten
Einen Tag, nachdem dieser Beitrag online ging, erschien eine aktualisierte Fassung der Schrift der LDI NRW. Der Beitrag ist entsprechend angepasst.

Die Corona Pandemie stellt Schulen auch in Bezug auf Datenschutz vor manche Herausforderung. Welche Informationen darf eine Schule über die Anzahl von Infektionen an der Schule und in einzelnen Klassen weitergeben? Ist es zulässig, die Namen von Infizierten Personen in der Klasse selbst bekannt zu machen? Zu einigen Unsicherheiten trug das Ministerium für Schule und Bildung nicht unwesentlich durch seine Vorgaben bei. Dabei ging es vor allem um die Selbsttestungen bis zu den Osterferien, für die es nach Informationen des Ministeriums möglich sein sollte, auf eine Einwilligung zu verzichten. Stattdessen setzte man auf eine Widerrufslösung in Kombination mit einer Einwilligung durch eine einwilligende Handlung durch Teilnahme am Selbsttest.1“Auf Basis dieser Verfahrensvorgaben ist festzustellen, dass datenschutzrechtlich eine Einwilligung nach Art. 7 DS-GVO zur Erhebung der Gesundheitsdaten (= Testergebnis) in der Schule vorliegt. Diese datenschutzrechtliche Einwilligung muss nicht zwingend schriftlich erklärt werden, sondern mit der eigenen aktiven Teilnahme am Test, ohne Handlung einer anderen Person, bei gleichzeitigem Verzicht auf eine Widerspruchserklärung ist eine Einwilligung in die Erhebung des Testergebnisses erteilt. Über die Umstände der Testungen wurde auch informiert. Dem steht auch nicht der Erwägungsgrund 32 zur DS-GVO entgegen. Danach sollen Stillschweigen oder Untätigkeit der betroffenen Person keine Einwilligung darstellen. Ein solcher Fall ist hier jedoch nicht gegeben, denn mit dem vg. Verhalten ist in diesem Kontext das Einverständnis durch eindeutige bestätigende Handlung klar signalisiert.” Schreiben des MSB, Referat 212, vom 26.03.2021

Mittlerweile hat sich die Sachlage geändert. Mit der Wiederaufnahme des Unterrichtsbetriebs nach den Osterferien trat die geänderte Coronabetreuungsverordnung (CoronaBetrVO) in Kraft und aus den freiwilligen Selbsttests wurden verpflichtende Selbsttests.

Nachdem wohl vor allem vor den Osterferien sehr viele Anfragen bei der Aufsichtsbehörde des Landes NRW eingegangen waren, veröffentlichte diese zum 20.04.2020 die Schrift Coronaselbsttests – Verarbeitung von Gesundheitsdaten durch Schulen.pdf, in welcher sie sich mit den datenschutzrechtlichen Grundsätzen, Voraussetzungen und Grenzen der Verarbeitung von personenbezogenen Daten durch Schulen im Rahmen der Selbsttestungen auseinandersetzt. Am 28.04.2021 erschien die aktualisierte Fassung Coronaselbsttests – Verarbeitung von Gesundheitsdaten durch Schulen.pdf

Darin geht die Aufsichtsbehörde auch auf das Verfahren vor den Osterferien ein und es wird deutlich, dass sie die rechtliche Einschätzung des Ministerium für Schule und Bildung nicht uneingeschränkt teilt. Personen, die schon zuvor an der Rechtmäßigkeit des vom Land gewählten Verfahrens zweifelten, werden sich dadurch bestätigt sehen.

Die Aufsichtsbehörde befasst sich dann mit der aktuell geltenden Situation und bewertet die rechtlichen Vorgaben aus der überarbeiteten CoronaBetrVO in Bezug auf ihre Verhältnismäßigkeit. Nach einer Bewertung der Geeignetheit, Erforderlichkeit und Angemessenheit der getroffenen Regelungen, kommt sie zu dem Schluss, dass die Verhältnismäßigkeit gewahrt ist. Im letzten Teil der Schrift betrachtet die Aufsichtsbehörde die Verantwortlichkeit für die Gewährleistung des Datenschutzes an der Schule, erläutert die Verpflichtung der Schule und der beteiligten Personen, die Vertraulichkeit der Testergebnisse zu wahren, bevor es dann um die Dokumentation der Testergebnisse geht und die Übermittlung derselben an Dritte.

Gerade bei der Übermittlung der personenbezogenen Daten von Personen mit positivem Selbsttest sah man in der Aufsichtsbehörde noch einen deutlichen Klärungsbedarf und wollte nun vom Ministerium für Schule und Bildung wissen “ob, unter welchen Voraussetzungen und gegebenenfalls auf welcher Rechtsgrundlage eine Übermittlung der Testergebnisse unter dem Gesichtspunkt des Gesundheitsschutzes und der Pandemiebekämpfung an andere Personen
und/oder Stellen vorgesehen ist und zulässig sein soll.

Das Land kam dieser Aufforderung nach mit der Präzisierung einiger Vorschriften in der CoronaBetrVO.

Schulen sollten beim Umgang mit positiven Ergebnissen von Selbsttests folgende Regel beachten:

  • Das Ergebnis des eine konkrete Schülerin oder einen konkreten Schüler betreffenden Selbsttests darf unmittelbar nur dieser oder diesem bzw. den jeweiligen Erziehungsberechtigten bekanntgegeben werden.
  • Dieses muss so erfolgen, dass Dritte dabei nichts mitbekommen.
  • Bei der Herausnahme der betroffenen Person aus dem Unterricht sollte  nicht direkt offensichtlich werden, dass diese einen positiven Selbsttest hatte.
  • Bei einer positiven Selbsttestung informiert die Schule das zuständige Gesundheitsamt.
  • Eine Übermittlung der positiven Testergebnisse von Selbsttests an andere Personen oder Stellen über das Gesundheitsamt hinaus, ist nicht zulässig.
  • Die Ergebnisse der durchgeführten Selbsttests oder vorgelegten Testnachweise werden von der Schule erfasst, dokumentiert und nach 14 Tagen vernichtet.
  • Diese Daten dürfen nur den Personen zugänglich gemacht werden, die sie zur Erfüllung ihrer Aufgaben benötigen.
  • Bei einem positiven Selbsttest werden die direkten Sitznachbar*innen bzw. engen Kontaktpersonen (sog. „social bubble“) bis zum Vorliegen eines PCR-Testergebnisses des Verdachtsfalls aufgefordert, nicht nur strikt die Infektions- und Hygienemaßnahmen einzuhalten, sondern auch nicht notwendige Kontakte in der Schule zu vermeiden.
  • Die Schule darf die betroffenen Personen aus dem Umfeld des Verdachtsfalls nicht selbst über den Verdachtsfall informieren.

Letzteres müsste dann wohl das Gesundheitsamt übernehmen.

Neue Veröffentlichung der LDI NRW – zum Thema Verarbeitung von Gesundheitsdaten durch Schulen

Lesezeit: < 1 Minute

Mit Datum vom 22.03. 2021 hat die LDI NRW eine neue Schrift veröffentlicht, um Klarheit beim Thema Verarbeitung von Gesundheitsdaten in der Schule zu schaffen, hier bezogen auf das Thema Nichtteilnahme am Präsenzunterricht zum Schutz vorerkrankter Angehöriger – Verarbeitung von Gesundheitsdaten durch Schulen.pdf

Im PDF wird gut erklärt, welche Gesundheitsdaten eine Schule in welcher Art und Weise im Zusammenhang mit der Nichtteilnahme von Schülern am Präsenzunterricht zum Schutz vorerkrankter Angehöriger überhaupt erheben darf. Wann darf sie ein ärztliches Attest einfordern und wann ein amtsärztliches Gutachten? Es geht darüber hinaus auch um die oft gestellte Frage, ob die Schule zum Zwecke der Einholung eines amtsärztlichen Gutachtens Daten an das Gesundheitsamt weiterleiten darf. Die Antwort lautet: die Schule benötigt hierfür immer eine Einwilligung der Betroffenen, da es keine Rechtsgrundlage dafür gibt, wie in der Schrift ausführlich erläutert wird.

Die Schrift knüpft an an die im November 2020 erschienene Schrift Maskenpflicht und Masernschutz – Verarbeitung von Gesundheitsdaten durch
Schulen.pdf, welche Schulleitungen rechtliche Hilfestellungen gibt, wenn es um die Verarbeitung von personenbezogenen Daten in den im Titel genannten Zusammenhängen geht. Die Schrift erklärt am Beispiel von verschiedenen Fallkonstellationen, wo die datenschutzrechtlichen Grenzen und Möglichkeiten für das Handeln der Schulleitungen liegen.

Datenschutzverstöße und mögliche rechtliche Folgen für eine Schule

Lesezeit: < 1 Minute

Es wird immer wieder gefragt, welche rechtlichen Folgen es haben kann, wenn es in der Schule zu einem Datenschutzverstoß kommt oder Vorgaben der DS-GVO bezüglich der Schulhomepage nicht eingehalten wurden. Der Beitrag Mögliche rechtliche Folgen eines Datenschutzverstoß für Schulen schaut deshalb auf die rechtlichen Möglichkeiten, welche für die Aufsichtsbehörde und die Betroffenen bestehen. Wie man dabei sieht, wird die Aufsichtsbehörde kein Bußgeld gegen eine Schule in öffentlicher Trägerschaft verhängen. Das bedeutet aber nicht, dass in der Schule tätige Personen nicht mit rechtlichen Konsequenzen rechnen müssen, vor allem wenn sie vorsätzlich gehandelt haben. Aber auch Unwissenheit schützt vor Strafe nicht und so können auch aus Nichtwissen oder Nachlässigkeit begangene Verstöße gegen das Datenschutzrecht durchaus rechtliche Konsequenzen nach sich ziehen, wenn den Betroffenen ein Schaden hierdurch entstanden ist, und dieser kann auch immaterieller Natur sein.

Office 365 und der Vertrag zur Auftragsverarbeitung

Lesezeit: 6 Minuten

Wollen Schulen einen Online Dienst nutzen und es werden dabei personenbezogene Daten aus der Schule verwendet, ist nach Art. 28 DS-GVO ein Vertrag erforderlich, welcher Rechte und Pflichten beider Seiten regelt. Vielfach bestehen diese Verträge aus Dokumenten, die ausgedruckt von beiden Seiten in Kopie unterschrieben werden, um rechtliche Gültigkeit zu erlangen. Bei Microsoft sucht man eine derartige Möglichkeit zum Abschluss eines Vertrags zur Auftragsverarbeitung oder auch Auftragsverarbeitungsvertrag (AVV) vergeblich. Heißt das nun, man kann mit Microsoft nicht den erforderlichen Vertrag abschließen, um Office 365 im Unterricht oder für die Teamarbeit der Lehrkräfte zu nutzen?

In Art. 28 heißt es unter Abs. 3

“Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor …”

Schaut man sich diesen Absatz genauer an, sieht man, dass rechtliche Grundlage für die Verarbeitung von personenbezogenen Daten des Auftraggebers durch den Auftragnehmer nicht zwingend ein Vertrag sein muss, wie man ihn beispielsweise mit seinem Website Hoster abschließt und wie oben beschrieben. Das Wort ODER lässt auch andere Optionen als gleichwertig zu einem Vertrag zu. Möglich ist demnach auch ein anderes Rechtsinstrument nach Unionsrecht oder dem Recht der Mitgliedstaaten. Alle drei Optionen erfüllen die Vorgabe nach Art. 28.

Microsoft bietet anstelle eines Vertrages, wie er im deutschen Rechtsraum üblich ist, die sogenannten OST oder Online Service Terms, zu Deutsch Online Service-Nutzungsbedingungen, wozu auch das Data Processing Addendum (DPA) gehört. Alle Volumenlizenzverträge von Microsoft umfassen diese Online Services-Nutzungsbedingungen. Die Volumenlizenzverträge werden abgeschlossen, wenn eine Schule sich für ein Office 365 Paket anmeldet. Das geschieht in einem Dialog ähnlich dem folgenden.

Beispiel Dialog bei der Erstellung eines Office 365 Testabonnement Vertrags.

Wenn das entsprechende Häkchen gesetzt ist, hat der Nutzer den Vertrag abgeschlossen und damit auch die OST einschließlich des DPA angenommen.

Das Data Processing Addendum ist ein den OST anhängiges Dokument und berücksichtigt neben der DS-GVO auch verschiedene Datenschutzstandards/ -vorgaben aus den USA wie auch anderen Ländern. Die Standardvertragsklauseln1Microsoft hat lange Zeit die Standardvertragsklauseln (auch EU Model Clauses genannt) als Grundlage für die Übertragung von Daten für seine Onlinedienste für Unternehmen verwendet. Die EU-Standardvertragsklauseln sind von der Europäischen Kommission bereitgestellte Standardbedingungen, die für die richtlinienkonforme Übertragung von Daten außerhalb des Europäischen Wirtschaftsraums verwendet werden können. Microsoft hat die Standardvertragsklauseln mithilfe des den Online Services-Nutzungsbedingungen anhängigen DPA in alle Volumenlizenzverträge integriert. Die Artikel-29-Datenschutzgruppe hat dabei festgestellt, dass die Umsetzung der Standardvertragsklauseln durch Microsoft richtlinienkonform ist. Quelle: DSGVO – häufig gestellte Fragen sind ein Bestandteil dieses Dokuments, bilden den Anhang 2 und umfassen sechs Seiten. Es findet sich zum Download wie die OST unter Ressourcen zur Lizenzierung.

Die EU-Standardvertragsklauseln gehören zu den oben erwähnten anderen Rechtsinstrumenten nach dem Unionsrecht. Auch in Art. 28 sind die Standardvertragsklauseln aufgeführt und unter Abs. 6 heißt es

“Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7 und 8 des vorliegenden Artikels genannten Standardvertragsklauseln beruhen, …”

Die EU-Standardvertragsklauseln umfassen die in Abs. 3 und 4 aufgeführten Vorgaben, die vertraglich zwischen Auftraggeber und Auftragnehmer festzuschreiben sind. Als Standardvertragsklauseln können hierbei solche verwendet werden,

“die entweder unmittelbar von der Kommission erlassen oder aber nach dem Kohärenzverfahren von einer Aufsichtsbehörde angenommen und dann von der Kommission erlassen wurden.”2Erwägungsgrund 81

Bei den von Microsoft im DPA genutzten Standardvertragsklauseln handelt es sich um solche, die von der der Europäischen Kommission bereitgestellt wurden. Da dieser Vertrag nicht nur im Bildungsbereich, sondern auch im Businessbereich zum Einsatz kommt, kann Microsoft sich hier keine Fehler erlauben. Zu allen in Art. 28 geforderten Angaben werden umfassende Aussagen gemacht. Doch wie sieht es mit der Form aus?

Die DS-GVO ist bezüglich der Formvorgaben zum Abschluss eines Vertrages oder anderen Rechtsinstrumentes wesentlich offener als das Bundesdatenschutzgesetz oder das alte Bundesdatenschutzgesetz. In Art. 28 heißt es zur Form in Abs. 9

“Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.”

Es besteht also eine Schrifterfordernis und elektronisches Format ist möglich. Die Fachautoren sind sich einig darin, dass es sich beim elektronischen Format um ein dauerhaftes Format handeln muss, welches auch nicht nachträglich verändert werden kann.3“Als Form für den Abschluss einer Vereinbarung zur Auftragsverarbeitung gibt Art. 28 Abs. 9 DSGVO die Schriftform oder ein elektronisches Format vor. Dies entspricht der in § 126 b BGB genannten Textform. Entscheidend ist hierbei, dass das ausgewählte Format sicherstellen muss, dass nachträgliche Änderungen technisch ausgeschlossen werden. Somit lässt sich eine Vereinbarung zur Auftragsverarbeitung z.B. über eine schreibgeschützte PDF-Datei, nicht aber über einfache E-Mails schließen.” Quelle Die OST und das anhängige DPA entsprechen dieser Formvorgabe. Man lädt sie in der Regel als schreibgeschützte docx Datei herunter.

Eine Unterschrift ist nach der DS-GVO nicht länger erforderlich, um einen rechtswirksamen Vertrag abzuschließen.

“Die Auftragserteilung kann gemäß Art. 28 Abs. 9 DS-GVO in Zukunft auch in einem elektronischen Format erfolgen. Das strenge Schriftformerfordernis (handschriftliche Unterschrift) gilt damit nicht mehr. Ausreichend für das elektronische Format ist jedes elektronische Dokument, das dauerhaft wiedergegeben werden kann (vergleichbar mit der Textform in [§ 126b BGB]).”4sagt der Landesbeauftragte für Datenschutz und Informationsfreiheit RLP in einem Beitrag zur Auftragsverarbeitung.

Die Bestätigung von Seiten des Auftraggebers, hier der Schule, erfolgt bei den OST als Bestandteil der Abschlusses eines Volumenlizenzvertrags durch Setzen eines Häkchens. Im DPA gibt es eine eingescannte Unterschrift unter den Standardvertragsklauseln. Verschiedene Fachjuristen kommen zu dem Schluss, dass es nicht einmal dieser eingescannten Unterschrift bedarf. Die Erklärung sollte, da es sich bei der DS-GVO um eine europäische Rechtsnorm handelt, anders als im nationalen Recht unterschriftlos gültig sein.5“Mithin herrscht Einigkeit darüber, dass der europäische Gesetzgeber dem elektronischen Format nicht das Verständnis der deutschen Norm aus dem BGB zugrunde gelegt hat. Vielmehr scheint sich die Ansicht durchzusetzen, dass die Textform nach § 126b BGB den Anforderungen an das elektronische Format i.S.d. Art. 28 Abs. 9 DSGVO genügt. Bei der Textform handelt es sich um eine unterschriftlose Erklärung, die auf einem dauerhaften Datenträger (eine Download-Möglichkeit kann ausreichen) abgegeben wird und gegen nachträgliche Änderungen geschützt ist.” Elektronischer Vertragsschluss der Auftragsverarbeitung (Art. 28 DSGVO) von Datenschutzkanzlei Es sind allerdings nicht alle Fachleute dieser Meinung. Einigkeit herrscht jedoch zumindest darin, dass es keiner “qualifizierten elektronischen Signatur” bedarf6Auch aktuelle Aussagen der Europäischen Kommission von September 2018 untermauern die Ansicht, dass eine elektroniche Signatur nicht erforderlich ist: “Eine elektronische Signatur ist für die Rechtswirksamkeit von Verträgen gerade nicht erforderlich. Signaturen sind eines von mehreren Mitteln, um den Vertragsschluss beweisen zu können. Dies bedeutet, dass Autragsverarbeitungsverträge auch „einfach“ elektronisch, zB per PDF Dokument oder über eine Webseite, abgeschlossen werden können.” Carlo Piltz in Europäische Kommission zum Formerfordernis für Auftragsverarbeitungsverträge nach der DSGVO.

In der aktuellen Situation sollte das von Microsoft angebotene Format den Vorgaben zum Abschluss eines Vertrags oder anderen Rechtsinstrumentes zur Auftragsverarbeitung nach Art. 28 DS-GVO genügen. Diesen Spielraum lassen die Vorgaben zu. Die OST und das anhängige DPA werden online angeboten, die Standardvertragsklauseln als zentrales Element dieser Vereinbarung sind unterzeichnet, und zeigen damit den Willen Microsofts, einen Vertrag mit dem Kunden einzugehen. Der nimmt das Angebot durch Setzen eines Häkchens an und speichert die OST sowie das DPA ab oder druckt beides aus.7“Weitergehend kann es bei einer online erfolgenden invitatio ad offerendum ausreichend sein, dass der bestellende Kunde eine Checkbox betätigt und so ein rechtswirksames Angebot auf einen bereitgestellten Vertrag abgeben kann, das der Vertragspartner sodann mit dem Hauptvertrag annimmt, wenn der Vertrag speicher- und druckbar ist.”Koreng/Lachenmann DatenschutzR-FormHdB | 1. Vergleich Auftragsverarbeitung nach dem BDSG und der DS-GVO Rn. 1. – 7. – beck-online

Fazit

Durch Annahme der OST mit dem anhängigen DPA als Bestandteil eines Volumenlizenvertrags zu Office 365 ist aktuell den Vorgaben der DS-GVO nach Art. 28 zum Abschluss eine Vertrages zur Auftragsverarbeitung zwischen Schule als Auftraggeber und Microsoft als Auftragnehmer Genüge getan. Rein vertraglich sind hier auch die erforderlichen Vorgaben bezüglich des Exports von Daten in Drittstaaten abgedeckt, da Microsoft auch das EU-US Privacy Shield Übereinkommen unterzeichnet und sich damit entsprechend zertifiziert hat.

Schulen, die einen Volumenlizenvertrag mit Microsoft abschließen, sollten dabei auf zwei Dinge achten, um im Sinne von Art. 28 den Abschluss eines Vertrags bzw. anderen Rechtsinstrumentes zur Regelung der Auftragsdatenverarbeitung dokumentieren zu können:

  • Die Seite, wo die Vertragsbedingungen zum Volumenlizenzvertrag angenommen werden, sollten mit gesetzen Häkchen ausgedruckt werden.
  • Über den Link zu den OST und DPA sollten die aktuellen Online Service-Nutzungsbedingungen des Monats sowie das Online Services Data Protection Addendum (DPA) heruntergeladen und abgespeichert werden.

Wo Fragen bleiben

Ein gänzlich anderes Thema und wesentlich bedeutsamer als der Vertrag ist die Frage, ob Microsoft tatsächlich den vertraglich zugesicherten Angaben gerecht wird bzw. werden kann. Die Aufsichtsbehörden sind sich hier trotz aller Zusicherungen durch und Zertifizierungen von Microsoft nicht sicher. Für sie bleiben Fragen ungeklärt. Aus diesem Grund sprechen sie bisher keine Empfehlung aus. Ein Verbot gibt es jedoch auch nicht von offizieller Stelle, zumindest in NRW. Hierzu an anderer Stelle mehr.

Wer ist verantwortlich?

Auch wenn Microsoft den Formalien eines AVV entspricht und Schulen so rechtswirksam ihrer Pflicht nach Art. 28 nachkommen können, so kann es für Schulen rein rechtlich zum Problem werden, wenn der Vertrag durch den Schulträger abgeschlossen wurde. Das könnte an einigen Stellen der Fall sein. Eine rechtswirksame Vereinbarung im Sinne von Art. 28 Abs. 3 muss immer zwischen dem Verantwortlichen als Auftraggeber und dem Dienstleister als Verarbeiter bzw. als Auftragnehmer abgeschlossen werden. Verantwortlicher ist bei Schulen immer die Schulleitung. Eine nachträgliche Änderung wird vermutlich nahezu unmöglich sein, vor allem, wenn der Schulträger den Vertrag für mehrere Schulen abgeschlossen hat. Schulträger haben oft Volumenlizenzverträge für die kommunalen Verwaltungen abgeschlossen und werden entsprechend EDU Volumenlizenzverträge an die bestehende Instanz anhängen. Auch das wird eine Änderung erschweren bis unmöglich machen.8Ich kenne bisher leider zu wenige aktuelle Beispiel, wie Schulträger dieses regeln, um dieses sicher beurteilen zu können. Gänzlich anders sollte die Sache aussehen, wenn der Schulträger einen Rahmenvertrag mit Microsoft abgeschlossen hat. Tritt eine Schule diesem bei, tut sie dieses in eigener Verantwortung und kann ganz regulär die OST mit dem anhängigen DPA mit Microsoft abschließen.

Für den Fall, dass der Schulträger die Lizenenzen beschafft, ist es durchaus möglich, dass die Schule einen Vertrag zur Auftragsverarbeitung mit dem Schulträger selbst abschließt, der wiederum seinerseits die OST mit dem anhängigen DPA mit Microsoft vereinbart. Microsoft taucht dann im Vertrag zur Auftragsverarbeitung zwischen Schule und Schulträger als Unterverarbeiter auf. Stellt der Schulträger Lizenzen für mehrere Schulen zur Verfügung, sollte für jeder Schule ein eigener Tenant angelegt werden, um die Instanzen auch rechtlich sauber von einander zutrennen.

Es spricht aus rechtlicher Sicht durchaus etwas dafür, dass der Schulträger den Vertrag mit Microsoft abschließt, da er so ein Stück weit mit in die Verantwortung genommen wird.

Links:

Stand 06/2020

Müssen Schulen einen Datenschutzbeauftragten an die Aufsichtsbehörden melden?

Lesezeit: 2 Minuten

Pflicht zur Meldung des Datenschutzbeauftragten an die Aufsichtsbehörden

Nach Art 37 Abs 7 der DS-GVO veröffentlicht der Verantwortliche oder Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragten 1Siehe dazu auch den Beitrag Muss der Datenschutzbeauftragte auf die Schulhomepage? 2Siehe auch Datenschutzbeauftragte FAQ Grundlagen und Benennung – der LDI NRW < und

“teilt diese Daten der Aufsichtsbehörde mit.”

Diese Vorgabe gilt auch für öffentliche Stellen wie Schulen. Für die Aufsichtsbehörde ist diese Meldung von Bedeutung, da der Datenschutzbeauftragte nur so in der Lage ist seiner Tätigkeit als Anlaufstelle für die Aufsichtsbehörde effektiv nachgehen zu können (vgl. Artikel 39 Absatz 1 Buchstabe e) DS-GVO).

Praktische Umsetzung bei Schulen – offene Fragen

Bisher ist leider nicht klar, ob jede einzelne Schule diese Meldung separat für sich machen muss. Schulen in NRW brauchen keine eigenen Datenschutzbeauftragten, denn es gibt die behördlich bestellten schulischen Datenschutzbeauftragten. In jedem Kreis bzw. jeder kreisfreien Stadt wurde dafür eine zuständige Person benannt. Teilweise sind es auch zwei Personen, die sich diese Zuständigkeit teilen. Alle diese Personen sind dem MSB bekannt (siehe Übersicht Behördliche Datenschutzbeauftragte) wie auch den fünf Bezirksregierungen.

In NRW gibt es 5.436 öffentliche Schulen3siehe Schulen, Klassen, Schülerinnen, Schüler und Lehrkräfte an
allgemeinbildenden und beruflichen Schulen 2019 nach Schulformen – IT.NRW
. Würde jede einzelne eine Meldung machen, wären es entsprechend viele Meldungen. Da jeder behördliche Datenschutzbeauftragte für mehrere Schulen zuständig ist, würde jede dieser Personen x-fach gemeldet.

Von daher macht es eher Sinn, wenn das MSB jetzt am Start einmal die Aufsichtsbehörde, die LDI NRW, informiert. Das wäre eine Meldung. Spätere Änderungen werden dann entweder die Kreise bzw. kreisfreien Städte oder die Bezirksregierungen mitteilen. Dass jede Schule dieses für sich übernimmt, führt zu einer unnötigen Flut an Meldungen und Arbeit. Übernehmen die Kreise und kreisfreien Städte diese Aufgabe, geht es um 52 behördliche Datenschutzbeauftragte plus eventuell deren Vertreter.

Mitteilungen an die LDI NRW werden ab dem 25. Mai 2018 möglich sein. Nach einer Information der LDI NRW soll es dazu dann eine Möglichkeit zur Online-Meldung über die Homepage der Aufsichtsbehörde geben.

Wird der Datenschutzbeauftragte nicht gemeldet, so stellt dieses bereits einen Verstoß gegen die Vorgaben der Datenschutzgesetzgebung dar.

Abwarten empfohlen

Es soll für den Start eine Übergangsfrist geben. Dieses ist auf der Homepage der LDI NRW bekanntgegeben.

WICHTIGER HINWEIS: Wir beabsichtigen, unterlassene Meldungen der Kontaktdaten der/des Datenschutzbeauftragten während einer Übergangszeit bis zum 31.12.2018 nicht als Datenschutzverstöße zu verfolgen oder zu ahnden.

Das MSB hat sich bisher nicht zu der Frage geäußert, wie die Meldung praktisch umgesetzt werden soll, ob es eine erste Meldung durch das MSB gibt oder die Bezirksregierungen. Da bis zum 31.12.2018 eine Übergangsfrist besteht, empfehle ich Schulen in NRW (bis zur Klärung dieser Frage) zunächst einige Wochen abzuwarten. Es wird hier sicher noch eine Mitteilung von Seiten des Ministeriums oder der Bezirksregierungen geben. Natürlich steht es jeder Schule frei, ihren Datenschutzbeauftragten direkt nach dem 25.05.2018 zu melden. Es ist kein Schaden.