Aufsichtsbehörde – datenschutz-schule.info

Juni 15, 2026Juni 15, 2026

Protokolle von Lehrerkonferenzen per KI erstellen

Lesezeit: 11 Minuten

Lehrerkonferenzen¹ zählen zu den schulischen Mitwirkungsgremien und müssen als solche gem. § 63 SchulG NRW Niederschriften über ihre Sitzungen anfertigen.

“Über jede Sitzung ist eine Niederschrift zu fertigen, die mindestens den Wortlaut der Beschlüsse und die Stimmenmehrheit enthält, mit der sie gefasst sind.“

KI-Plattformen können schon seit einiger Zeit Audioaufnahmen transkribieren und den dabei entstehenden Text verarbeiten. Warum sollte man dann das ungeliebte Protokollieren von langen Lehrerkonferenzen nicht einfach an eine KI auszulagern?

Die Idee erscheint auf den ersten Blick naheliegend. Gleichzeitig wirft sie eine Reihe rechtlicher Fragen auf. Dazu gehören insbesondere die Zulässigkeit von Audioaufnahmen schulischer Konferenzen, die Verarbeitung personenbezogener Daten durch KI-Systeme, die Vertraulichkeit von Beratungen sowie die Frage, welche technischen Lösungen überhaupt eingesetzt werden dürfen.

Anfragen in dieser Art erreichten den Verfasser des Beitrags bereits mehrfach. Entsprechend überrascht es nicht, dass diese Idee auch schon über das im November 2025 eingerichtete Portal Bürokratieabbau für Schulen herangetragen wurde. Unter den von den Fachabteilungen gesichteten Vorschlägen schaffte es einer, Transkription von Konferenzen (Wisper OpenAI), in die finale Auswahl von 300 Vorschlägen. Der Vorschlag lautet:

“Zur Transkription z. B. von Konferenzen sollte eine datenschutzkonforme KI-Lösung zur automatischen Protokollerstellung bereitgestellt werden (z. B. vergleichbar zu Wisper/OpenAI).”

Die Antwort auf der Portalseite lautet:

“Die Möglichkeiten zur Unterstützung von Schulen bei der Erstellung von Protokollen werden aktuell geprüft. Dies umfasst auch den Einsatz von KI. Dabei werden nicht nur rein technische Aspekte, sondern auch der Datenschutz und der Schutzbedarf einbezogen. Nicht jedes verfügbare System wird für jede Art von Konferenz geeignet sein. Vor einem Abschluss der Prüfung können keine Empfehlungen zu konkreten Produkten gemacht werden.
Eine flächendeckende Umsetzung durch die Schulträger in absehbarer Zeit ist angesichts der vielfältigen digitalen Herausforderungen, denen sich die Kommunen stellen müssen, unrealistisch.”

Der Vorschlag ging über Lehrerkonferenzen hinaus. Das Ministerium sagt eine Prüfung des Vorschlags zu, gibt aber gleichzeitig zu bedenken, dass neben den technischen auch rechtliche Aspekte zu berücksichtigen sind und die Art des genutzten Systems von der Art der Konferenzen abhängig sein wird. Diesbezüglich möchte man prüfen, um dann konkrete Vorschläge zu geegneten KI-Plattformen machen zu können. Man geht davon aus, dass von Seiten der Schulträger nicht zu erwarten ist, dass diese flächendeckend entsprechende Anwendungen bereitstellen werden.

Warum nicht einfach AIS.chat nutzen?

Diese Aussage wurde vor dem Hintergrund abgegeben, dass in diesem Zeitraum auch die Landeslösung AIS.chat (ehemals telli) ausgerollt wurde, bzw. dass die Ausrollung bevorstand. AIS.chat kommt für die Transkription und Verarbeitung von Audioaufnahmen von Konferenz aus verschiedenen Gründen nicht in Frage. Die KI-Landes-Lösung ist eine pädagogische Plattform, in welcher die Verarbeitung von personenbezogenen Daten zumindest aktuell nicht zulässig ist. Außerdem verfügt die Plattform bisher über keine Funktion zur Transkription von Audio.

Datenschutzrechtliche Einordnung

Um eine Einordnung vorzunehmen, ist zunächst zu klären, um welche Kategorien von Personen und personenbezogenen Daten es bei den wichtigsten schulischen Konferenzen überhaupt geht. Die Bedeutung dieser Unterscheidung liegt darin, dass sich je nach Konferenzart sowohl der Kreis der Betroffenen als auch die Sensibilität der verarbeiteten Daten erheblich unterscheiden können.

Um welche Kategorien von Personen geht es eigentlich bei diesem Thema?

Die Kategorien von Personen, welche von der Transkription einer Konferenz betroffen sein können, hängt maßgeblich von der Art der Konferenz ab.

Bei Lehrerkonferenzen geht es in der Regel um die Lehrkräfte selbst, Lehramtsanwärter, Lehrkräfte in Ausbildung, die Schulleitung und je nach Schule um weitere schulische Mitarbeiter wie Schulsozialpädagogen. Mitunter nehmen auch Praktikantinnen und Praktikanten an Lehrerkonferenzen teil. Alle genannten Personen treten als Teilnehmer mit möglichen Redebeiträgen auf und können auch selbst Gegenstand von Beiträgen sein.

Bei Klassenkonferenzen sind Lehrkräfte und Schüler betroffen und je nach Situation Mitglieder der Schulleitung. Außerdem gehören zu den Mitgliedern einer Klassenkonferenz der oder die Vorsitzende der Klassenpflegschaft sowie in Abhängigkeit von der Schulstufe die Klassensprecherin oder der Klassensprecher sowie deren Stellvertretungen.

Bei Teilkonferenzen Ordnungsmaßnahmen geht es um Lehrkräfte, Schüler, Eltern, Mitglieder der Schulleitung und gegebenenfalls auch Schulsozialpädagogen.

Welche Kategorien von Daten wären betroffen von einer Transkription?

In einer Lehrerkonferenz sind – sofern es um personenbezogene Daten geht – in der Regel vor allem organisatorische Daten betroffen, um Aufgaben von Lehrkräften oder um Berichte über Tätigkeiten. Es können dabei aber auch Gesundheitsdaten betroffen sein, etwa wenn dem Kollegium mitgeteilt wird, dass eine Lehrkraft für längere Zeit krankheitsbedingt ausfällt. In Lehrerkonferenzen wird oft auch zu Geburtstagen und Jubiläen gratuliert oder zur Geburt von Kindern. Es werden außerdem Wahlen durchgeführt. Daneben werden Themen, welche die Schule betreffen, diskutiert, wobei auch sehr persönliche Meinungen geäußert werden können.

Bei Klassenkonferenzen geht es um Noten, Versetzungen, Rückstufungen, Beschlüsse über den Förderstatus, soziales Verhalten, Regelverstöße, die körperliche und psychische Gesundheit, die Familiensituation und mehr.

Während bei Lehrerkonferenzen gelegentlich auch die sogenannten besondere Kategorien von Daten gem. Art. 9 DS-GVO Gegenstand sein können, ist diese Kategorie von Daten in Klassenkonferenzen sehr häufig vertreten. Bei Teilkonferenzen Ordnungsmaßnahmen sind sie die Regel.

Gibt es eine Rechtsgrundlage für die Aufnahme von Redebeiträgen in Konferenzen?

Die überwiegende Mehrzahl der Verarbeitungen von personenbezogenen Daten zur Erfüllung des Bildungs- und Erziehungsauftrags stützt sich in der Schule auf die sogenannten Generalklauseln § 120 Abs. 1 Satz 1 und § 121 Abs. 1 Satz 1 des Schulgesetzes NRW. Hierauf könnte man grundsätzlich auch die Aufzeichnung von Redebeiträgen in Konferenzen stützen, wenn der Gesetzgeber mit § 120 Abs. 6 und § 121 Abs. 1 Satz 3 SchulG NRW für Bild- und Tonaufzeichnungen nicht spezielle Regelungen geschaffen hätte.

“Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen bedürfen der Einwilligung der betroffenen Personen. Die Einwilligung muss freiwillig erteilt werden. Den betroffenen Personen dürfen keine Nachteile entstehen, wenn sie eine Einwilligung nicht erteilen.”

“Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen bedürfen der Einwilligung der betroffenen Personen.“

Bild- und Tonaufnahmen werden dabei ausdrücklich von der freiwilligen Einwilligung der betroffenen Personen abhängig gemacht. Gerade bei verbindlichen schulischen Konferenzen stellt sich damit die Frage, ob eine solche Freiwilligkeit in jedem Fall tatsächlich gegeben ist.

Zwar enthält das Schulgesetz NRW mit § 120 Abs. 5 Satz 2 bzw. § 121 Abs. 1 Satz 2 eine spezielle Regelung zur Verarbeitung von Bild- und Tondaten im Rahmen von Videokonferenzsystemen, doch diese Vorschrift dient der Durchführung digitaler Besprechungen und der Übertragung von Bild- und Tonsignalen. Eine Rechtsgrundlage für die dauerhafte Aufzeichnung von Redebeiträgen oder deren anschließende Transkription lässt sich daraus nicht ableiten.

Die Einwilligung als Alternative?

Tonaufzeichnungen von verpflichtenden schulischen Veranstaltungen wie Konferenzen setzen nach § 120 Abs. 6 bzw. § 121 Abs. 1 Satz 3 SchulG NRW eine Einwilligung der betroffenen Personen voraus, die freiwillig erteilt werden muss.

Bei verpflichtenden schulischen Veranstaltungen wird die Freiwilligkeit einer Einwilligung allerdings häufig kritisch gesehen. Aufsichtsbehörden weisen regelmäßig darauf hin, dass in Situationen mit Abhängigkeitsverhältnissen oder faktischem Gruppendruck Zweifel an einer tatsächlich freien Entscheidung bestehen können.

Gleichwohl erscheint es nicht ausgeschlossen, dass alle Teilnehmenden einer Konferenz freiwillig in eine Aufzeichnung einwilligen möchten, etwa weil sie sich hiervon eine erhebliche Arbeitserleichterung bei der Erstellung von Protokollen versprechen. Denkbar wäre beispielsweise eine anonyme Vorab-Abfrage, bei der keine Rückschlüsse auf einzelne Personen möglich sind, die eine Einwilligung nicht erteilen möchten.

Selbst wenn sich auf diesem Weg eine einheitliche Zustimmung aller Beteiligten ergeben sollte, bliebe im Einzelfall zu prüfen, ob die Voraussetzungen einer freiwilligen Einwilligung tatsächlich erfüllt sind.

Voraussetzung wäre darüber hinaus, dass alle Betroffenen vorab umfassend informiert werden. Hierzu gehört insbesondere die Information, dass sämtliche durch das Mikrofon erfassten Äußerungen aufgezeichnet werden können und dass diese Daten anschließend durch eine konkret benannte KI-Plattform transkribiert und weiterverarbeitet werden.

Datenminimierung und Zweckbindung

Gemäß § 63 Abs. 4 Satz 4 SchulG NRW gilt für Protokolle von Konferenzen:

“Über jede Sitzung ist eine Niederschrift zu fertigen, die mindestens den Wortlaut der Beschlüsse und die Stimmenmehrheit enthält, mit der sie gefasst sind.“

Mit dieser Vorgabe beschreibt das Schulgesetz den Kerninhalt einer Niederschrift. Weitere Inhalte sind damit nicht grundsätzlich ausgeschlossen, etwa die Wiedergabe einzelner Wortmeldungen, um den Weg zu einer Entscheidung nachvollziehbar zu dokumentieren.

Eine vollständige Audioaufzeichnung einer Konferenz geht jedoch deutlich über das hinaus, was typischerweise Gegenstand einer Niederschrift ist. Sie erfasst sämtliche Wortbeiträge, spontane Äußerungen, Nebensätze, Meinungen und Zwischenrufe. Je nach Empfindlichkeit des Mikrofons können darüber hinaus auch Gespräche zwischen einzelnen Teilnehmern aufgezeichnet werden, die nicht an die Konferenz gerichtet sind und keinen Bezug zu den Beratungsgegenständen haben.

Damit werden regelmäßig deutlich mehr personenbezogene Daten verarbeitet, als für die Erstellung einer Niederschrift erforderlich sind. Dies wirft insbesondere Fragen im Hinblick auf die Grundsätze der Datenminimierung und Zweckbindung gemäß Art. 5 Abs. 1 lit. b und c DS-GVO auf.

Besondere Kategorien personenbezogener Daten

Je nach Art der Konferenz können dort auch Informationen Gegenstand der Beratung sein, die zu den besonderen Kategorien personenbezogener Daten gemäß Art. 9 DS-GVO zählen. Hierzu gehören insbesondere Gesundheitsdaten, aber auch andere Daten, deren Verarbeitung nach der DS-GVO einem besonderen Schutz unterliegt.

Gerade in Klassenkonferenzen oder Teilkonferenzen für Ordnungsmaßnahmen kann es erforderlich sein, sehr sensible Informationen zu besprechen, um eine sachgerechte Entscheidung treffen zu können. Dazu können beispielsweise Angaben zum körperlichen oder psychischen Gesundheitszustand, zu sonderpädagogischen Unterstützungsbedarfen oder zu familiären Belastungssituationen gehören.

Während solche Informationen regelmäßig nur insoweit in einer Niederschrift erscheinen, wie dies für die Dokumentation eines Beschlusses erforderlich ist, würde eine Audioaufzeichnung mit anschließender Transkription sämtliche diesbezüglichen Äußerungen erfassen und verarbeiten. Dies erhöht den Umfang der Verarbeitung erheblich und betrifft zugleich Daten, für die die DS-GVO einen besonderen Schutz vorsieht.

Wenn es um Kinder und Jugendliche geht

Bei Konferenzen, in denen Schülerinnen und Schüler Gegenstand der Beratungen sind, kommt ein weiterer Aspekt hinzu. Die DS-GVO misst personenbezogenen Daten von Kindern und Jugendlichen einen besonderen Schutz bei.²

Gerade in Klassenkonferenzen und Teilkonferenzen für Ordnungsmaßnahmen werden häufig sehr persönliche Informationen über Schülerinnen und Schüler besprochen, die für die Entscheidungsfindung erforderlich sein können, aber regelmäßig nicht vollständig in einer Niederschrift dokumentiert werden. Eine Audioaufzeichnung mit anschließender Transkription würde hingegen sämtliche diesbezüglichen Äußerungen erfassen und verarbeiten.

Eine Frage der Technologie?

KI-Transkriptionen lassen sich auf verschiedenen Wegen erstellen. Der wohl praktikabelste Weg wäre eine Aufzeichnung der Konferenz durch ein spezialisiertes zentral positioniertes Raum-Mikrofon, welches in der Lage ist, die Beiträge aller Teilnehmer sauber zu erfassen. Anschließend würde die Aufzeichnung beispielsweise in Form einer MP3 Datei an die KI zur Audiotranskription übergeben.

Es kommen nun zwei Optionen bezüglich der Auswahl einer geeigneten KI-Anwendung in Frage, eine Online-Lösung oder eine lokale Lösung.

Online-Lösungen

Eine speziell für Schulen angebotene Transkriptionslösung finde sich im Tool-Bereich von fobizz. Der Anbieter betont, dass sein Angebot DS-GVO konform nutzbar ist, auch das Tool zur automatischen Spracherkennung (Automatic Speech Recognition, ASR). Gleichzeitig untersagt die Nutzungsordnung der Plattform die Verwendung personenbezogener Daten, setzt Sicherheitsfilter ein und weist Nutzer an verschiedenen Stellen auf diesen Umstand hin. Beim Transkriptions-Tool heißt es:

Teile niemals sensible oder persönliche Informationen mit einer KI-Anwendung
Verwende keine Inhalte mit persönlichen Daten deiner Schüler*innen

Bereits aus diesem Grund kommt das Transkriptions-Tool von fobizz für die Erstellung von Konferenzprotokollen nicht in Betracht, da es in diesen regelmäßig um die personenbezogene Daten von Lehrkräften, Schülerinnen und Schülern, Eltern oder weiteren Beteiligten geht. Eine Nutzung entgegen den Vorgaben des Anbieters wäre daher ausgeschlossen.

Anders stellt sich die Situation bei allgemeinen KI-Plattformen dar, die die Verarbeitung personenbezogener Daten nicht grundsätzlich ausschließen und entsprechende Funktionen zur Transkription von Audiodateien bereitstellen. Viele dieser Anbieter stammen jedoch aus den USA oder unterliegen als US-Unternehmen amerikanischem Recht. Selbst wenn die Verarbeitung in Rechenzentren innerhalb der EU erfolgt, ergeben sich daraus zusätzliche datenschutzrechtliche Fragestellungen, etwa hinsichtlich möglicher Zugriffe auf Daten durch Behörden außerhalb der Europäischen Union. Der Einsatz solcher Dienste ist daher aus datenschutzrechtlicher Sicht besonders sorgfältig zu prüfen.

Aber es gibt auch andere Lösungen, etwa Anbieter direkt aus der EU wie das französische Mistral oder in der EU betriebene Open Source KI-Anwendungen. Das von OpenAI, dem US-Konzern hinter ChatGPT, entwickelte Whisper AI ist das bekannteste Beispiel für eine Open Source Lösung zur Transkription von Audio Dateien. Das Modell kann von unterschiedlichen Anbietern betrieben und entsprechend auch von einem Anbieter innerhalb der Europäischen Union bereitgestellt werden. Eine datenschutzkonforme Nutzung einer solchen Lösung wäre grundsätzlich denkbar, wenn der jeweilige Anbieter beziehungsweise Betreiber auch die weiteren Anforderungen der DS-GVO erfüllt. Hierzu gehören insbesondere ein Vertrag zur Auftragsverarbeitung, geeignete technische und organisatorische Maßnahmen sowie die vertragliche Zusicherung, dass die verarbeiteten Inhalte nicht zum Training von KI-Modellen verwendet werden.

Lokale Lösungen

Aus datenschutzrechtlicher Sicht besonders interessant sind lokale Lösungen, bei denen die Verarbeitung vollständig auf schulischen Endgeräten oder Servern erfolgt. Mit Whisper AI und vergleichbaren Modellen³, die sich auf leistungsfähigen Notebooks und Rechnern betreiben lassen, kann die Verarbeitung von Audiodateien vollständig innerhalb der technischen Infrastruktur der Schule beziehungsweise des Schulträgers erfolgen.

Eine Übermittlung der Audiodateien oder der daraus erzeugten Transkripte an externe KI-Anbieter wäre in diesem Fall nicht erforderlich. Dadurch lassen sich zahlreiche datenschutzrechtliche Risiken vermeiden, die mit cloudbasierten Lösungen verbunden sind.

KI-Transkription

Erfolgt die Erstellung eines Protokolls auf dem beschriebenen Weg, hängt dessen Qualität im Wesentlichen von zwei Faktoren ab. Der erste Faktor ist die Qualität der Audioaufzeichnung und die Fähigkeit des eingesetzten KI-Modells, die gesprochenen Inhalte korrekt zu transkribieren.

Anders als ein menschlicher Protokollführer kann ein KI-Modell nicht nachfragen, wenn es einen Redebeitrag akustisch nicht eindeutig versteht. Stattdessen versucht es, unklare oder nur teilweise erkannte Wörter anhand des sprachlichen Kontextes zu rekonstruieren. Liefert eine Aufnahme aufgrund von geringer Lautstärke, undeutlicher Aussprache, hoher Sprechgeschwindigkeit oder Hintergrundgeräuschen kein eindeutiges Signal, kann dies dazu führen, dass Wörter oder ganze Aussagen fehlerhaft transkribiert werden. Je sensibler die Inhalte, desto problematischer werden Transkriptionsfehler. Ein „versetzt“ statt „nicht versetzt“ oder „empfohlen“ statt „nicht empfohlen“ oder ein falscher Name, falscher Förderbedarf oder falsche Abstimmungsergebnisse wären rechtlich problematisch und folgenbehaftet.

Der zweite Faktor ist die Umsetzung der wortgetreuen Transkription in ein Protokoll. Dabei müssen Diskussionsverläufe zusammengefasst, wichtige Beiträge gegebenenfalls auszugsweise wiedergegeben, Anträge korrekt erfasst und Abstimmungsergebnisse dokumentiert werden. Diese Überführung einer Transkription in ein Protokoll muss inhaltlich zutreffend erfolgen. Auch moderne KI-Systeme können dabei Fehler machen, etwa indem sie Aussagen verkürzt wiedergeben, Zusammenhänge missverstehen, Schwerpunkte falsch setzen oder wichtige Einschränkungen übersehen.

Ein weiterer Faktor sollte nicht übersehen werden. KI-Anwendungen können zwar Audio transkribieren, doch nicht alle verfügen über die Fähigkeit zur Sprechertrennung (Speaker Diarization⁴). Verfügt eine Anwendung über diese Fähigkeit, kann sie Gesprächsverläufe häufig einzelnen Sprechern zuordnen und damit rekonstruieren, wer wann gesprochen hat. Sie weiß deshalb jedoch noch nicht, welche konkrete Person sich hinter einem Sprecher verbirgt. Redebeiträge, Anträge, Änderungsanträge, vorgebrachte Bedenken und ähnlich können daher nicht ohne Weiteres zuverlässig einer bestimmten Person zugeordnet werden.

Whisper selbst beherrscht keine Speaker Diarization. Die Funktion kann jedoch durch zusätzliche Module ergänzt werden. Um einzelne Sprecher tatsächlich identifizieren zu können, wären darüber hinaus weitere Informationen erforderlich, die dem System von außen bereitgestellt werden müssten.⁵

Zu berücksichtigen ist ferner, dass die Identifizierung einzelner Sprecher zur Verbesserung der Protokollqualität regelmäßig zusätzliche personenbezogene Daten erfordert und damit den Umfang der Verarbeitung sowie die Anforderungen an eine datenschutzkonforme Verarbeitung erweitert. Werden Sprecher anhand ihrer Stimme identifiziert, kann dies zudem eine Verarbeitung biometrischer Daten darstellen.

Einordnung mit Blick auf die KI-Verordnung

Der Schwerpunkt dieses Beitrags lag bislang auf der datenschutzrechtlichen Bewertung der Erstellung von Konferenzprotokollen auf Grundlage von KI-Transkriptionen. Da hierbei ein KI-System zur Verarbeitung von Daten eingesetzt wird, ist ergänzend auch eine Einordnung nach den Vorgaben der KI-Verordnung (KI-VO) erforderlich.

Schulen werden bei der Nutzung einer KI-Anwendung zur Anfertigung von Protokollen aus Transkriptionen von Audiodaten regelmäßig als Betreiber im Sinne der KI-Verordnung anzusehen sein, unabhängig davon, ob es sich um ein durch einen Dienstleister bereitgestelltes System oder um eine lokal betriebene Lösung handelt. Damit treffen sie die für Betreiber vorgesehenen Pflichten der KI-Verordnung. Dazu gehört insbesondere der Aufbau einer ausreichenden KI-Kompetenz hinsichtlich der beabsichtigten Nutzung des Systems. Nutzer müssen verstehen, wie das eingesetzte KI-System funktioniert, welche Grenzen es hat und welche Fehler auftreten können.

Der Einsatz von KI-Systemen muss zudem transparent erfolgen. Die Beteiligten sollten daher darüber informiert werden, dass ihre Redebeiträge nicht nur aufgezeichnet, sondern anschließend auch mittels eines KI-Systems transkribiert und für die Erstellung eines Protokolls verarbeitet werden. Diese Transparenzanforderungen überschneiden sich, soweit sie die Teilnehmer einer Konferenz betreffen, weitgehend mit den Informationspflichten aus Art. 13 DS-GVO gegenüber den von der Verarbeitung betroffenen Personen.

Von besonderer Bedeutung ist darüber hinaus die menschliche Aufsicht über das KI-System. Die Ergebnisse eines KI-Systems dürfen aus den zuvor beschriebenen Gründen nicht ungeprüft übernommen werden. Die Erstellung eines Konferenzprotokolls aus einer KI-gestützten Audiotranskription erfordert daher weiterhin eine sorgfältige menschliche Kontrolle, insbesondere wenn Beschlüsse, Abstimmungsergebnisse oder personenbezogene Aussagen betroffen sind. Verantwortliche müssen in der Lage sein, diese Kontrolle tatsächlich auszuüben und gegebenenfalls nachzuweisen.

Ob für innerhalb der Schule verbreitete Konferenzprotokolle darüber hinaus Kennzeichnungspflichten nach Art. 50 Abs. 4 KI-VO bestehen, erscheint dagegen zweifelhaft und dürfte von den Umständen des Einzelfalls abhängen.

Fazit

Wie die vorangegangenen Betrachtungen hoffentlich zeigen konnten, ist die Frage nach der Zulässigkeit der Erstellung von Konferenzprotokollen mittels KI deutlich komplexer, als es auf den ersten Blick erscheinen mag.

Die datenschutzrechtlichen Herausforderungen beginnen dabei nicht erst bei der Auswahl einer geeigneten KI-Plattform. Bereits die Anfertigung einer Audioaufzeichnung von Konferenzen wirft erhebliche rechtliche Fragen auf. Aktuell besteht im Schulrecht NRW keine ausdrückliche Rechtsgrundlage, die Schulen die Aufzeichnung von Konferenzen zum Zweck der Erstellung von Protokollen erlauben würde. Ein Rückgriff auf Einwilligungen der Konferenzteilnehmer erscheint angesichts der verpflichtenden Teilnahme an Konferenzen zumindest problematisch, da die erforderliche Freiwilligkeit regelmäßig in Frage stehen dürfte.

Hinzu kommt, dass Konferenzen häufig personenbezogene Daten und je nach Konferenzart auch besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DS-GVO zum Gegenstand haben. Eine vollständige Audioaufzeichnung und deren Transkription erfassen regelmäßig deutlich mehr Informationen, als später in einem Protokoll dokumentiert werden müssen.

Auch aus technischer Sicht sind KI-gestützte Transkriptionen nicht fehlerfrei. Die Qualität hängt von der Audioaufnahme, dem eingesetzten Modell sowie gegebenenfalls von zusätzlichen Verfahren zur Sprecheridentifikation ab. Fehler bei der Transkription, der Zuordnung von Redebeiträgen oder der anschließenden Erstellung eines Protokolls können insbesondere bei sensiblen Inhalten erhebliche Folgen haben.

Sollte der Gesetzgeber künftig die rechtlichen Voraussetzungen für eine KI-gestützte Protokollerstellung schaffen, wären darüber hinaus hohe Anforderungen an die eingesetzten Systeme zu stellen. Hierzu gehören insbesondere die Zulässigkeit der Verarbeitung personenbezogener Daten, geeignete vertragliche und technische Schutzmaßnahmen, ein Ausschluss der Nutzung zu Trainingszwecken sowie eine datenschutzkonforme Verarbeitung innerhalb des europäischen Rechtsrahmens.

Unabhängig von der technischen Lösung bleibt festzuhalten, dass eine menschliche Kontrolle der Transkripte und der daraus erstellten Protokolle unverzichtbar ist.

Weiterlesen

Mit einem vergleichbaren Thema hat sich übrigens die Aufsichtsbehörde Baden Württemberg befasst. In der Schrift “Datenschutz-Leitfaden für KI-Transkription von Gemeinderatssitzungen in Baden-Württemberg” schaut man wie in diesem Beitrag auf die verschiedenen datenschutzrechtlichen Aspekte. Man kommt dort zu dem Schluss, dass die Sprecherunterscheidung („Diarization“) keine Verarbeitung biometrischer Daten im Sinne von Art. 9 DS-GVO darstellt, solange dieses ausschließlich temporär innerhalb der Sitzung erfolgt, ohne dauerhafte Profilbildung und ohne Zuordnung zu konkreten Personen.

Zum Einsatz von KI-Transkriptionssystemen bei Gemeinderatssitzungen kommt der Leitfaden zu dem Schluss:

“Der Einsatz von KI-Transkriptionssystemen zur Fertigung der Niederschrift in Gemeinderatssitzungen ist unter klaren rechtlichen und technischen Rahmenbedingungen zulässig:

unter strikter Beachtung der Rollen der Beteiligten und

bei konsequenter technischer Absicherung.

Die zentrale Voraussetzung ist eine normative Verankerung im Ortsrecht sowie eine risikoadäquate Umsetzung.”

Viele der in der Schrift dargestellten datenschutzrechtlichen Überlegungen lassen sich auch auf schulische Konferenzen übertragen. Zugleich zeigt der Leitfaden, dass für die Zulässigkeit KI-gestützter Protokollierung eine ausdrückliche rechtliche Grundlage von zentraler Bedeutung ist. Gerade an einer solchen Grundlage fehlt es nach der in diesem Beitrag vorgenommenen Betrachtung derzeit im Schulrecht NRW.

Stand 06/2026

Dezember 12, 2022Februar 16, 2023

Microsoft 365 – Stand Februar 2023

Lesezeit: 5 Minuten

Hinweis: Bitte beachten Sie auch die geänderten FAQ zu MS365 des MSB NRW. Weitere Infos dazu unter Änderungen in den FAQ Datenschutz beim MSB NRW

Die Nutzung von Microsoft 365 ist schon seit Jahren eine Hängepartie für Schulen. Permanent scheint das Ende nahe. Die Position der LDI NRW zur schulischen Nutzung von Microsoft 365 ist durch verschiedene Veröffentlichungen und Äußerungen bekannt. Die letzte Aussage in schriftlicher Form stammt von Oktober 2022 aus der Schrift Digitaler Unterricht in Schulen – Der Grundstein ist gelegt.

Im November veröffentlichte dann die Datenschutzkonferenz (DSK) ihre Bewertung, die anders als 2020 einstimmig von allen Aufsichtsbehörden so beschlossen wurde. Ergebnis der Bewertung war, dass Schulen Microsoft 365 nicht datenschutzkonform nutzen können, da die Schulleitungen als Verantwortliche nach Einschätzung der DSK aufgrund fehlender Informationen durch Microsoft nicht in der Lage sind, ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nachzukommen. Man sieht darüber hinaus auch Mängel bezüglich des Vertrags zur Auftragsverarbeitung, den Schulen mit Microsoft abschließen.¹

Was bedeutet diese Entwicklung nun für die Schulen in NRW?

Im Beitrag Warum die Datenschutzkonferenz MS365 in Schulen nicht für nutzbar hält im News Bereich dieser Website wird beschrieben, welche Möglichkeiten der Aufsichtsbehörde NRW zur Verfügung stehen, wenn sie Schulen gegenüber Konsequenzen aus der Bewertung der DSK folgen lassen will. Doch müssen Schulen jetzt damit rechnen, dass die Aufsichtsbehörde nachforscht, ob man Microsoft 365 nutzt und dass in Folge eine Nutzung möglicherweise untersagt wird, falls man nicht von sich aus auf eine andere Lösung wechselt?

Aktuell deutet nichts darauf hin, dass die Aufsichtsbehörde des Landes NRW von ihrer bisherigen Linie abweichen wird. Sie hat im letzten Jahresbericht wie auch in der oben erwähnten Schrift – ohne Namen zu nennen – öffentlich kundgetan, dass sie eine datenschutzkonforme Nutzung von Microsoft 365 und vergleichbaren Plattformen nicht für möglich hält, jedoch nicht den Weg der Verbote gehen, sondern mit Überzeugung arbeiten möchte. So weit wie etwa der LfDI Thüringen, der dieses auch medienwirksam in die breite Öffentlichkeit trägt und dort ankündigt, wie man nun weiter verfahren möchte, ist die LDI NRW bisher nicht gegangen. Äußerungen aus ihrem Haus lassen dergleichen auch nicht erwarten.

Die LDI NRW hat aktuell demnach nicht vor, Microsoft 365 aus allen Schulen des Bundeslandes zu verbannen. Sie wird jedoch auf jeden Fall Beschwerden von Betroffenen nachgehen und an diesen Schulen Verfahren in Gang setzen. Dazu verpflichtet sie die DS-GVO. Welche Aspekte dann letztlich im Fokus des aufsichtsbehördlichen Verfahrens stehen, kann von Fall zu Fall unterschiedlich sein. Es ist aber damit zu rechnen, dass die Aufsichtsbehörde betroffene Schule auch bezüglich der Erfüllung ihrer Rechenschaftspflichten gem. Art. 5 Abs. 2 DS-GVO um Auskunft bitten wird. Die Schule muss dann je nach Fall nachweisen, wie sie die Vorgaben der DS-GVO wie auch des Schulgesetzes durch geeignete technische und organisatorische Maßnahmen einhält und auch ihren Rechenschaftspflichten nachkommt. Ist die Schule dann nicht in der Lage, eine DS-GVO konforme Nutzung der Plattform nachzuweisen, bzw. ihren Rechenschaftspflichten nachzukommen, hätte die Schule nur zwei Optionen. Sie ließe sich überzeugen, die Nutzung von Microsoft 365 aufzugeben, oder riskierte eine Untersagung.

Wie sollten Schulen sich verhalten?

Was tun, wird man sich an vielen Schulen und auch bei vielen Schulträgern nun fragen? Macht es für Schulträger Sinn, bestehende Lizenzen zu verlängern? Ist es für Schulen sinnvoll, die Nutzung von Microsoft 365 fortzusetzen und gegebenenfalls sogar noch auszuweiten?

Die schulische Nutzung von Microsoft 365 ist aus Sicht der DSK problematisch und die LDI NRW teilt diese Haltung. Allerdings ist die Bewertung der DSK nicht unumstritten² und Microsoft arbeitet weiter daran, den Anforderungen der Aufsichtsbehörden bezüglich der Transparenz und Gestaltung der datenschutzrechtlichen Verträge zu entsprechen. Ergänzend dazu stellt Microsoft zum Jahresende die EU Data-Boundary bereit, welche es Verantwortlichen ermöglicht, nahezu alle Daten in der EU zu verarbeiten.³ Microsoft hat auf die neuen Standardvertragsklauseln (Standard Contractual Clauses, SCC) umgestellt und das Data Processing Addendum⁴ von September 2022 ist automatisch für alle Kunden gültig.⁵ Entlastung werden darüber hinaus, wenn auch vielleicht nur vorübergehend, die Executive Order des US Präsidenten und der geplante Angemessenheitsbeschluss durch die EU Kommission bringen. Man kann aktuell davon ausgehen, dass die LDI NRW sich nicht ohne einen konkreten Anlass bezüglich einer schulischen Nutzung von Microsoft 365 melden wird.

Solange man nicht davon ausgeht, dass die Aufsichtsbehörden nicht anders können, als bei Microsoft 365 jeden Missstand und sei er auch noch so gering, zu suchen, zu bemängeln und daraus eine Nichtnutzbarkeit für Schulen abzuleiten, sollte sich die Lage tendenziell weiter entspannen. Microsoft bessert beständig nach. Die Zeit arbeitet letztlich für Schulen, welche die Plattform nutzen.

Schulen, die weiterhin auf Microsoft 365 setzen wollen, werden die Dinge in den meisten Fällen einfach auf sich zukommen lassen und abwarten wie die Lage sich entwickelt. Sie sollten allerdings nicht bloß darauf vertrauen, dass die Lage sich früher oder später zu ihren Gunsten entwickelt dürfte, sondern sich proaktiv kritisch mit ihrer Nutzung der Plattform auseinandersetzen. Dazu gehört eine Erfassung aller Verarbeitungen, welche die Schule in der Plattform durchführt. Wer nutzt die Plattform zu welchen Zwecken und verwendet dabei welche Daten?⁶ Zu prüfen wäre hier auch, ob die Plattform eventuell für die Verarbeitung von personenbezogenen Daten genutzt wird, die dort aus Sicherheitsgründen nicht verarbeitet werden sollten. Das wären beispielsweise Zeugnisse, Gutachten, Beurteilungen, Notenlisten, Protokolle von Klassenkonferenzen, Unterlagen zu AO-SF Verfahren und ähnlich. Kontrolliert werden sollte auch, ob die Schule alle technischen und organisatorischen Maßnahmen getroffen hat, mit denen sich mögliche hohe Risiken für Betroffene bei der unterrichtlichen Nutzung von Microsoft 365 ausreichend mindern lassen, um eine Nutzung vertreten zu können.

Als Hilfe für die Überprüfung und anschließende Anpassung bietet sich eine Datenschutz Folgenabschätzung an. eine Vorlage dafür haben im Februar 2023 zwei Fachjuristen unter Creative Commons Lizenz veröffentlicht.⁷ Welche Maßnahmen dafür in Frage kommen, wurde bereits von verschiedenen Stellen online dokumentiert. Auch die oben genannte Vorlage führt einige Maßnahmen auf. Einige der für die dort beschriebenen Maßnahmen erforderlichen administrativen Konfigurationen stehen nicht in allen Versionen von MS365 zur Verfügung. Vor allem in der kostenlosen A1 Version sind die Steuerungsoptionen von Datenflüssen und Sicherheitsmaßnahmen wie auch Sicherheitsfunktionen nur eingeschränkt oder gar nicht verfügbar.

Zu möglichen technischen Maßnahmen gehören beispielsweise:

Telemetrieerfassung in installierten Anwendungen auf die niedrigste Stufe “Weder noch” setzen,
Zugriff auf Anwendungen von Drittanbietern im App Store in Teams deaktivieren,
zusätzliche optionale Connected Experiences in Micorosft 365 deaktivieren,
die meisten Funktionen in Teams Analytics & Reports deaktivieren und Pseudonymisierungsoption einschalten,
Viva Advanced Insights nicht aktivieren,
in Teams für alle Meetings und Chats Ende-zu-Ende Verschlüsselung aktivieren, sobald von Microsoft zur Verfügung gestellt,
Nutzung von Bring-your-own key, idealerweise mit einem eigenen Key-Server,
…

Zu möglichen organisatorische Maßnahmen gehören beispielsweise:

Nutzung von pseudonymisierten Zugangsdaten, etwa mit Buchstaben von Vor- und Nachnamen,
Anweisung für Lehrkräfte, keine Datei- und Ordnernamen mit Namen von Personen erstellen,
keine Nutzung für die Verarbeitung von personenbezogenen Daten aus der schulinternen Verwaltung (keine Notenlisten, Gutachten, …) oder für pädagogische Dokumentation,
Vollständige Erfüllung der Informationspflichten gem. Art. 13 DS-GVO,
Transparenz und Information, wie man als Schule mögliche Risiken für Betroffene bei der Nutzung minimiert,
regelmäßige Schulung und Sensibilisierung aller Nutzer für eine sichere und verantwortungsvolle Arbeit mit der Plattform,
…

Auch wenn Schulen aktuell nicht damit rechnen müssen, anlasslos von der Aufsichtsbehörde kontaktiert zu werden, so besteht jedoch immer das Risiko, dass die Aufsichtsbehörde durch eine Beschwerde zum Handeln gezwungen wird. Das heißt, Schulen sollten tunlichst alles Handeln im Zusammenhang mit der Nutzung von Microsoft 365 vermeiden, das Betroffene zu einer Beschwerde veranlassen könnte. Stattdessen sollten sie Bedenken ernst nehmen und den Betoffenen entgegenkommen, um gemeinsam eine verträgliche Lösung zu finden.

Oktober 7, 2022Oktober 17, 2022

LDI NRW Schrift zu Unterricht und Datenschutz – Oktober 2022

Lesezeit: 10 Minuten

Die Schrift Digitaler Unterricht in Schulen – Der Grundstein ist gelegt der LDI NRW ist ein wichtiges Dokument für Schulen, da es nicht nur den aktuellen Rechtsrahmen für die Verarbeitung von personenbezogenen Daten von Schülern und Lehrkräften im Unterricht und die rechtlichen Zuständigkeiten der verschiedenen beteiligten Stellen beschreibt, sondern auch, weil es eine Kommentierung einschließt. Angesprochen wird auch die Nutzung von Online-Plattformen wie Microsoft 365.

Datenverarbeitung durch den Schulträger

Im ersten Teil der Schrift werden die verschiedenen Zuständigkeiten der mit dem System Schule und der dort stattfindenden Datenverarbeitung befassten Stellen beschrieben, beginnend mit der Schulleitung und den schulischen Datenschutzbeauftragten, fortgeführt mit der Zuständigkeit des Schulträgers und des Schulministeriums und abschließend mit der eigenen Rolle, die der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW (LDI NRW) hierzu kommt. Von besonderem Interesse ist in diesem Abschnitt die Stelle, in welcher es um den Schulträger geht. Dieser ist, im Gegensatz zur Schulleitung, die für innere Angelegenheiten zuständig ist, und damit Verantwortlicher für die Verarbeitung von personenbezogenen Daten in der Schule selbst, für die äußeren Angelegenheiten zuständig. Bezüglich des Schulträgers und seiner Zuständigkeit für die Verarbeitung von personenbezogenen Daten im Zusammenhang mit Schule, stellt die Aufsichtsbehörde fest:

“Soweit die Schulträger im Zusammenhang mit diesen äußeren Schulangelegenheiten personenbezogene Daten verarbeiten, sind sie als datenschutzrechtlich Verantwortliche anzusehen.”

“… diesen äußeren Schulangelegtenheiten” bezieht sich hier auf § 79 Abs. 1 SchulG NRW.

“„Die Schulträger sind verpflichtet, die für einen ordnungsgemäßen Unterricht erforderlichen Schulanlagen, Gebäude, Einrichtungen und Lehrmittel bereitzustellen und zu unterhalten sowie das für die Schulverwaltung notwendige Personal und eine am allgemeinen Stand der Technik und Informationstechnologie orientierte Sachausstattung zur Verfügung zu stellen.“

Das heißt, der Schulträger darf personenbezogene Daten im Zusammenhang mit diesen äußeren Angelegenheiten verarbeiten und gilt dann als Verantwortlicher. In den meisten Fällen tritt der Schulträger eher als Auftragsverarbeiter auf, etwa wenn er administrative Aufgaben für die Schule in einer schulischen Plattform übernimmt oder bei Support- und Wartungsaufgaben durch kommunale Mitarbeiter, bei denen diese mit Plattformen oder Hardware zu tun haben, mit welchen personenbezogene Daten der Schule verarbeitet werden oder auch durch die Bereitstellung einer Person, die in kommunalen Diensten steht, für das Schulsekretariat.

Ein Fall, in welchem der Schulträger selbst Verantwortlicher sein kann, wäre beispielsweise der Verleih von Dienstgeräten an Lehrkräfte im Rahmen der Ausstattungsinitiative des Bundes und des Landes. In der Richtlinie über die Förderung von dienstlichen Endgeräten für Lehrkräfte an Schulen in Nordrhein-Westfalen wird beispielsweise geschrieben, dass der Schulträger die Geräte entsprechend verwalten muss.

Die Einwilligung im Zusammenhang mit Unterricht

Im zweiten großen Abschnitt geht es um die rechtlichen Rahmenbedingungen der Datenverarbeitung durch die Schule als verantwortlicher Stelle. Hier sind neben den Rechtsgrundlagen aus der DS-GVO und dem DSG NRW vor allem die spezialgesetzlichen Regelungen des Schulgesetzes NRW und die anhängigen Verordnungen zur Datenverarbeitung relevant. Die Schrift geht an dieser Stelle auch auf die Problematik der Einwilligung im Zusammenhang mit dem Unterricht ein und kommt zu dem Schluss:

“Für Schulen kann die Einwilligung im Zusammenhang mit dem Unterrichtsgeschehen regelmäßig keine Rechtsgrundlage für die Datenverarbeitung bieten. Wesentlich für eine wirksame Einwilligung ist, dass sie freiwillig erteilt wird. Diese Freiwilligkeit ist in aller Regel bei Datenverarbeitungen, die
den digitalen Unterricht ermöglichen sollen, nicht gegeben, weil die Schüler*innen
am Unterricht teilnehmen müssen und keine freie Wahl haben.”

Diese drei Sätze sagen mehr, als auf den ersten Blick offensichtlich. Es wird damit nicht gesagt, dass die Verarbeitung von personenbezogenen Daten im Zusammenhang mit dem Unterrichtsgeschehen nicht auch auf der Rechtsgrundlage eine Einwilligung erfolgen kann. Die Einwilligung ist jedoch je nach Zusammenhang problematisch, da sie nur dann rechtswirksam ist, wenn sie freiwillig erteilt wird und das ist sehr häufig (“in aller Regel”) nicht der Fall, da Schüler verpflichtet sind, am Unterricht teilzunehmen. Wenn im Unterricht beispielsweise eine Plattform genutzt werden soll, über welche Schülerinnen und Schüler zusammenarbeiten, ihre Aufgaben erhalten und Lernprodukte erstellen und abgeben, und zur Nutzung dieser Plattform eine Einwilligung erforderlich ist, dann kann davon ausgegangen werden, dass eine Freiwilligkeit hier nicht mehr gegeben ist. Eine Freiwilligkeit würde gleichwertige Alternativen voraussetzen. Diese im Fall einer solchen Plattform zu schaffen, ist so gut wie unmöglich. Das gleiche wäre der Fall, wenn die Klasse an einem Online-Tool , dessen Nutzung eine Einwilligung voraussetzt, gemeinsam ein Wissensnetzwerk erstellen soll. Alle Schüler sollen einen Beitrag erstellen und mit anderen Beiträgen vernetzen. Die Lehrkraft will anschließend die Beiträge bewerten. Von Freiwilligkeit kann hier zumindest im Sinne von Datenschutzrecht nicht mehr ausgegangen werden. Entsprechend heißt es in der Schrift etwas weiter im Text:

“Werden Daten von Schüler*innen im Zusammenhang mit digitalem Unterricht erhoben, ist es den Schüler*innen oder deren Eltern in aller Regel nicht möglich, sich frei und ohne Nachteile für die Schüler*innen gegen die Verarbeitung ihrer Daten zu entscheiden, weil sie ansonsten von der Nutzung der konkreten Anwendung und damit zumindest teilweise vom Unterricht ausgeschlossen wären.” Auch hier wird noch einmal ausgedrückt, dass eine freie Entscheidung in sehr vielen Fällen (“in aller Regel”) nicht möglich sein wird.

Anders gestaltet sich das jedoch, wenn die Nutzung einer Plattform oder die Aufnahme und Verwendung von Medien eine Option ist, um im Unterricht an einem Projekt zu arbeiten. Dann haben Schülerinnen und Schüler die Möglichkeit zu wählen und sind nicht gezwungen, eine Plattform zu nutzen oder beispielsweise Tonaufnahmen von sich selbst anzufertigen. Das bedeutet letztlich, man muss im Zusammenhang mit Unterricht sehr genau überlegen, ob eine Einwilligung möglich ist. Die Landesplattform Logineo NRW LMS setzt mit Stand von Oktober 2022 eine Einwilligung zwingend voraus. Das bedeutet, es ist schwierig, Unterricht auf dieser Plattform abzubilden und Schulen stoßen dann an ihre Grenzen, wenn einzelne Mitglieder in der Lerngruppe hier Ihre Einwilligung verweigern oder widerrufen.

Was für die Einwilligung für Schülerinnen und Schüler gilt, das gilt selbstredend auch für Lehrkräfte in gleicher Weise. Abschließend fasst die Schrift zum Thema Einwilligung kurz zusammen, unter welchen Voraussetzungen die Einwilligung als Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten in der Schule genutzt werden kann.

“Eine Einwilligung kann nur dann eine Rechtsgrundlage für die Datenverarbeitung sein, wenn sich die Betroffenen frei von sozialem Druck oder Zwang für oder gegen die Verarbeitung ihrer personenbezogenen Daten entscheiden können.” Bei der Verarbeitung von personenbezogenen Daten etwa zur Öffentlichkeitsarbeit oder in anderen Zusammenhängen außerhalb des Unterrichts kann die Einwilligung durchaus ein Rechtsgrundlage bieten.

Datenverarbeitung zur Aufgabenerfüllung

Der Teil der Schrift, welcher sich mit den Rechtsgrundlagen zur Datenverarbeitung durch die Schule auseinandersetzt, welche sich aus der DS-GVO und dem nationalen Recht ergeben, endet mit einem Hinweis darauf, dass ich die Datenverarbeitung für den Einsatz digitaler Unterrichtsanwendungen an der Erfordernis zur Aufgabenerfüllung der Schule orientieren muss.

“Schulen müssen immer betrachten, welche Aufgabe sie zu erfüllen haben und welche Datenverarbeitungen dafür erforderlich sind. Schwierigkeiten bereiten in der Regel Anwendungen, die neben den für schulische Zwecke erforderlichen Datenverarbeitungen von den Anbietern voreingestellte Datenverarbeitungen vorsehen, die nicht den schulischen Zwecken dienen. Lassen sich diese Voreinstellungen nicht durch die Schule abstellen, sind diese Anwendungen für den digitalen Unterricht nicht geeignet.”

Nicht zur Aufgabenerfüllung erforderliche Datenverarbeitungen in einer unterrichtlich genutzten Plattform sind vielfach problematisch und können, wenn sie sich nicht innerhalb der Plattform deaktivieren lassen, dazu führen, dass eine solche Plattform im Unterricht nicht genutzt werden kann. Zu den nicht für schulische Zwecke erforderlichen Datenverarbeitungen könnten beispielsweise Telemetriedaten zählen, welche personenbezogene oder -beziehbare Daten beinhalten. In einer Plattform wie der Offline Version von Microsoft Office lassen sich diese beispielsweise durch einen Administrator komplett deaktivieren, wie auch weitere Datenflüsse zu Servern von Microsoft. In der Open Source Videokonferenz Plattform BigBlueButton gibt es mittlerweile eine Funktion zur Überwachung der Aktivität von Teilnehmern an einer Videokonferenz. Die Nutzung davon ist nicht für die Aufgabenerfüllung der Schule erforderlich. Sie kann deaktiviert werden, wodurch die Plattform weiterhin für die Anwendung im Unterricht geeignet ist.

Auftragsverarbeitung und Drittstaatentransfer

Diese beiden Anforderungen werden recht kurz und knapp unter den weiteren Anforderungen behandelt, welche von Schulen bei der Verarbeitung von personenbezogenen Daten beachtet werden müssen. Bei Auftragsverarbeitern muss die Schule sicherstellen, dass personenbezogenen Daten nur auf ihre Weisung und zu ihren Zwecken verarbeitet werden und die Vertraulichkeit im Zusammenhang mit der Verarbeitung sichergestellt ist. Dieses ist bisher gerade im Zusammenhang mit der Nutzung von Microsoft 365 nach Einschätzung der Aufsichtsbehörden ein Problem gewesen, da Microsoft sich in den Vertragsbedingungen das Recht einräumte, personenbezogene oder -beziehbare Daten auch zu eigenen Zwecken (interne Abrechnungszwecke) zu verarbeiten. Das Thema Drittstaatentransfer wird nur kurz umrissen und es wird auf weitere Schriften der Aufsichtsbehörde verwiesen. Nach Einschätzung der Aufsichtsbehörde liegt ein Drittstaatentransfer nicht nur dann vor, wenn der Auftragsverarbeiter oder Produkthersteller personenbezogene Daten in Drittländer übermittelt, etwa zu Wartungs- oder Support-Zwecken, sondern auch “wenn der Dienstleister oder dessen Auftragnehmer aus dem Drittland heraus auf in der EU gehaltene Daten zugreift.” Bei großen US-amerikanischen Anbietern ist dieses über viele Jahre gängige Praxis gewesen. Einige Anbieter sind mittlerweile dabei, dieses zu ändern.¹

Datenschutzbeauftragte und Personalvertretung

Einen kurzen Hinweis gibt es bezüglich der Verarbeitung der personenbezogenen Daten von Lehrkräften, wenn dabei Rückschlüsse auf das Verhalten und die Leistung der Lehrkräfte möglich ist. In einem solchen Fall sind die behördlichen Datenschutzbeauftragten wie auch die Personalvertretung mit einzubeziehen, um den Rechten der Lehrkräfte Rechnung zu tragen.

Lehrer- und Schülergeräte

Hier greift die Schrift die Regelungen zu Dienstgeräten und Ausnahmen für die Nutzung von privaten Endgeräten für die Verarbeitung von personenbezogenen Daten aus der Schule auf, welche auf die Anregungen der Aufsichtsbehörde selbst zurückgehen und diese weitestgehend umsetzen. Bezüglich der Nutzung von digitalen Endgeräten durch Schülerinnen und Schüler für Unterrichtszwecke kommt man bei der Aufsichtsbehörde zum Schluss, dass verpflichtende Regelungen zur Nutzung digitaler Endgeräte nur möglich sind, wenn Schülerinnen und Schüler mit diesen ausgestattet werden und keine privaten Geräte zum Einsatz kommen.

Ein Punkt, der etwas ausführlicher behandelt wird, ist die Möglichkeit zur Überwachung der Bildschirme von Schüler Geräten. Nach Einschätzung der Aufsichtsbehörde ist solches durchaus zulässig, auch die Aufnahme des Bildschirm Inhaltes in Form eines Screenrecording, wenn dieses “zur Wahrnehmung ihres Bildungs- und Erziehungsauftrags erforderlich ist,” und “beispielsweise zum Nachweis einer unzulässigen Nutzung des Geräts im Unterricht” dient. Betroffene müssen über das Bestehen dieser Möglichkeiten vorab informiert werden. [Etwas problematisch an dieser Stelle ist, dass diese Funktionen Mobile Device Management Systemen (MDM) zugeschrieben werden, was sachlich so nicht korrekt ist, da diese Systeme zur Verwaltung von Endgeräten derartige Funktionen nicht beinhalten. Bei iOS lassen sich derartige Funktionen nur über Apple Classroom nutzen. Intune das MDM von Microsoft benötigt für eine solche Funktion die Integration eines zusätzlichen Dienstes wie TeamViewer.]²

Digitale Systeme für den Unterricht

Dieser dritte große Teil der Schrift ist besonders interessant, weil hier auch Neuerungen im Datenschutzrecht beschrieben werden. Zunächst einmal wird darauf hingewiesen, dass Betroffenen immer klar sein muss, ob die Nutzung einer Plattform für sie verpflichtend oder freiwillig ist. Wie zuvor an verschiedenen Stellen beschrieben dürfen Schulen zur Verarbeitung von personenbezogenen Daten nur Produkte einsetzen, die sich datenschutzkonform, auch in Bezug auf die Sicherheit der Verarbeitung, nutzen lassen. Hier ist die Schule nun in der Pflicht, dieses zu prüfen. Schulen, die diesen recht hohen Aufwand nicht erbringen können, werden auf die Angebote des Landes verwiesen.

Rechtliche Änderungen gibt es bei der Nutzung von Videokonferenz Plattformen. Seit Inkrafttreten des Telekommunikationsgesetzes (TKG) und Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) Ende 2021 gelten “gegen Entgelt erbrachte Videokonferenzsysteme grundsätzlich als Tele- kommunikationsdienste.” Dadurch verändern sich rechtliche Verantwortlichkeiten. War die Schule bisher auch für die Verarbeitung von Metadaten wie der IP Adressen, Browserdaten, die übertragenen Datenmengen und Betriebssysteminformationen von Teilnehmern verantwortliche Stelle, so geht hier jetzt die Verantwortung auf den Anbieter der Videokonferenz Plattform über. Geschäftsmäßig erbrachte Videokonferenz Dienste unterliegen hier dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Inhalte von Videokonferenzen, Daten für Nutzerkonten oder die Einladung von Teilnehmern via E-Mail, in einer Videokonferenz mitlaufende Chats und gemeinsam bearbeitete Online Whiteboards, die Speicherung von Chats oder sonstige Verarbeitung, datenschutzfreundliche Voreinstellungen und ähnlich unterliegen wie bisher der Verantwortung der Schule. Zuständig ist hier in Bezug auf die Datenschutzkontrolle auch weiterhin die LDI NRW.

Im Folgenden beschreibt die Schrift dann den rechtlichen Rahmen für die Nutzung von Videokonferenz Plattformen, wie er sich auf dem SchulG NRW ergibt. Dabei geht es auch um die Unzulässigkeit der Teilnahme von Dritten, etwa Familienangehörigen, am Unterrichtsgeschehen per Videokonferenz, und der Aufzeichnung von Unterricht auf diesem Wege ohne eine vorliegende Einwilligung der Betroffenen. Kurz beschrieben werden auch die Bedingungen für die Verpflichtung von Schülern, die Kamera während einer Videokonferenz einzuschalten, das Streamen von Unterricht und der Einsatz sogenannter Telepräsenzroboter. Letzteren widmet die Schrift fast zwei ganze Seiten, um den Einsatz dieser Systeme rechtlich einzuordnen und Schulen Handlungsempfehlungen zu geben. Bevor es dann um datenschutzfreundliche Voreinstellungen für Videokonferenz Plattformen geht, werden noch Elternsprechtage per Videokonferenz in einem Exkurs behandelt. Da es aus dem Schulgesetz NRW keine Rechtsgrundlage für die Verarbeitung der dafür erforderlichen personenbezogenen Daten gibt, braucht es hier von Seiten der Eltern eine Einwilligung. Bei dieser sieht die Aufsichtsbehörde keine Bedenken, da sie nicht im Zusammenhang mit dem Unterrichtsgeschehen steht und Eltern immer auch die Alternative haben, zu telefonieren und oder persönlich in die Schule zu kommen.

Der letzte Abschnitt des dritten Teils der Schrift behandelt Messenger. Auch diese fallen wie gegen Entgelt erbrachte Videokonferenz Dienste unter Telekommunikationsdienste und entsprechend fallen hier die Metadaten unter die Verantwortlichkeit der Anbieter und die Inhalte sowie die zur Herstellung einer Verbindung erforderlichen Daten in die Zuständigkeit der Schule. “Messengerdienste, die im Zusammenhang mit der Herstellung der Kommunikation Daten verarbeiten, die für die Erbringung der Telekommunikationsleistung nicht erforderlich sind, sind für den Einsatz in Schulen nicht geeignet.” ist eine klare Ansage, durch welche etwa Messenger Dienste wie WhatsApp, welche die Adressbuchdaten der Teilnehmer mit den Servern des Anbieters abgleichen und dabei Daten unbeteiligter Dritter ohne deren Einwilligung übermitteln, für eine schulische Nutzung ausscheiden, “da die Schule ansonsten die Verarbeitung von personenbezogenen Daten veranlasst, die über das für ihre Aufgabenwahrnehmung erforderliche Maß im Sinne von §§ 120 Abs. 5, 121 Abs. 1 Satz 1 SchulG hinausgeht.”³

Die Schrift schließt mit einem Ausblick und Erwartungen für die Zukunft. Besonders interessant ist dabei der Teil, in welchem es um die aktuell von vielen Schulen genutzten Plattformen großer US-amerikanischer Anbieter geht. Auch wenn im Text keine Produktnamen genannt werden, ist klar, dass es vor allem um Microsoft 365 geht. Was gesagt wird, gilt jedoch auch für Google Workspace for Education und vergleichbare Produkte.

“In der pandemiebedingten Ausnahmesituation eingesetzte Lösungen, die nicht datenschutzkonform waren, sind nun von den Verantwortlichen anzupassen oder auszutauschen, wenn sie dauerhaft zum Einsatz kommen. Hier sind die Verantwortlichen gefordert, sobald wie möglich ein den aktuellen Umständen angemessenes Schutzniveau zu gewährleisten. Die LDI NRW setzt hierbei schwerpunktmäßig auf Überzeugungsarbeit bei den Verantwortlichen, nicht auf Untersagungen und Verbote. Selbstverständlich behalten wir uns vor, in Einzelfällen auch prüfend und kontrollierend tätig zu werden.”

Die Aufsichtsbehörde erwartet von den Schulen, dass sie die während der Notsituation in der Pandemie kurzfristig beschafften Lösungen wie Microsoft 365 und Teams entweder so anpassen, dass die Verarbeitung von personenbezogenen Daten mit einem angemessene Schutzniveau erfolgt oder, wenn ihnen dieses nicht möglich ist die Nutzung dieser Plattformen einstellen. Dabei räumt sie den Verantwortlichen in Schule ein wenig Spielraum ein. Einmal wird eine zeitliche Vorgabe gemacht, “sobald wie möglich” und dann wird die Angemessenheit des Schutzniveaus an den “aktuellen Umständen” orientiert. Letzteres heißt aber auch, wenn man davon ausgeht, dass die Umstände sich mittlerweile weitestgehend normalisiert haben, dass dann auch beim Schutzniveau keine Abstriche mehr gemacht werden sollten. Anders als einige andere Aufsichtsbehörden setzt die LDI NRW weniger auf Druck durch Untersagungen und Verbote als auf “Überzeugungsarbeit bei den Verantwortlichen.” Wie diese genau aussehen wird, bleibt dabei offen. Es ist zu erwarten, dass die Aufsichtsbehörde sich in Kürze zu Microsoft 365 und der Nutzung für den Unterricht äußern wird. Das dürfte frühestens im November erfolgen, wenn die Arbeitsgruppe der Datenschutzkonferenz erneut darüber abstimmen wird, ob die Plattform bezüglich des von Microsoft bereitgestellten Vertragswerks datenschutzkonform genutzt werden kann. Auch wenn die Aufsichtsbehörde Veränderungen durch Überzeugungsarbeit erreichen möchte, so behält sie sich Prüfungen und Kontrollen vor. Diese sollen jedoch auf Einzelfälle beschränkt bleiben. Darin unterscheidet sie sich nicht von den anderen Aufsichtsbehörden, die ebenfalls angekündigt haben, bei Beschwerden tätig werden.

Mit Blick auf die Zukunft schaut die Schrift auf Projekte, welche an datenschutzrechtlichen Zertifizierungen für Plattformanbieter im Bildungsbereich arbeiten. Derartige Zertifizierung sollten Verantwortlichen zukünftig eine Entlastung bescheren, da sie dann nicht selbst vor der Herausforderung stehen, Plattformen beurteilen zu müssen.

Fazit

Mit der Schrift Digitaler Unterricht in Schulen – Der Grundstein ist gelegt hat die Aufsichtsbehörde eine für Schulen hilfreiche Zusammenstellung der datenschutzrechtlichen Grundlagen für die Arbeit mit digitalen Plattformen im Unterricht und darüber hinaus geschaffen. Sie greift dabei die entscheidenden Passagen aus den zugrunde liegenden Rechtstexten auf und erläutert diese näher. Lesern sollte klar sein, dass es sich dabei um die Lesart der Aufsichtsbehörde handelt. Andere Lesarten können durchaus möglich sein. orientiert man sich an dir der Aufsichtsbehörde, ist man jedoch in der Regel auf der sicheren Seite. Mit dem zweiten Teil des Titels “Der Grundstein ist gelegt” macht die Aufsichtsbehörde klar, dass mit den neu geschaffenen datenschutzrechtlichen Regelungen im Schulgesetz und den anhängigen Verordnungen nun ein Fundament umgelegt ist, auf welchem man zukünftig aufbauen kann. Vor den Beteiligten liegt also noch einige Arbeit. Das schließt auch den Gesetzgeber mit ein, denn es ist, wie Beispiele aus anderen Bundesländern zeigen, durchaus möglich, die Erfordernis für Einwilligungen durch zusätzliche Rechtsgrundlagen weiter zu reduzieren. Ein Beispiel hierfür wäre die pädagogische Nutzung von Bild und Tonaufnahmen für den Unterricht.

Stand 10/2022

April 27, 2021August 18, 2021

Verarbeitung von Gesundheitsdaten durch Schulen – Coronaselbsttests

Lesezeit: 3 Minuten

Einen Tag, nachdem dieser Beitrag online ging, erschien eine aktualisierte Fassung der Schrift der LDI NRW. Der Beitrag ist entsprechend angepasst.

Die Corona Pandemie stellt Schulen auch in Bezug auf Datenschutz vor manche Herausforderung. Welche Informationen darf eine Schule über die Anzahl von Infektionen an der Schule und in einzelnen Klassen weitergeben? Ist es zulässig, die Namen von Infizierten Personen in der Klasse selbst bekannt zu machen? Zu einigen Unsicherheiten trug das Ministerium für Schule und Bildung nicht unwesentlich durch seine Vorgaben bei. Dabei ging es vor allem um die Selbsttestungen bis zu den Osterferien, für die es nach Informationen des Ministeriums möglich sein sollte, auf eine Einwilligung zu verzichten. Stattdessen setzte man auf eine Widerrufslösung in Kombination mit einer Einwilligung durch eine einwilligende Handlung durch Teilnahme am Selbsttest.¹

Mittlerweile hat sich die Sachlage geändert. Mit der Wiederaufnahme des Unterrichtsbetriebs nach den Osterferien trat die geänderte Coronabetreuungsverordnung (CoronaBetrVO) in Kraft und aus den freiwilligen Selbsttests wurden verpflichtende Selbsttests.

Nachdem wohl vor allem vor den Osterferien sehr viele Anfragen bei der Aufsichtsbehörde des Landes NRW eingegangen waren, veröffentlichte diese zum 20.04.2020 die Schrift Coronaselbsttests – Verarbeitung von Gesundheitsdaten durch Schulen.pdf, in welcher sie sich mit den datenschutzrechtlichen Grundsätzen, Voraussetzungen und Grenzen der Verarbeitung von personenbezogenen Daten durch Schulen im Rahmen der Selbsttestungen auseinandersetzt. Am 28.04.2021 erschien die aktualisierte Fassung Coronaselbsttests – Verarbeitung von Gesundheitsdaten durch Schulen.pdf

Darin geht die Aufsichtsbehörde auch auf das Verfahren vor den Osterferien ein und es wird deutlich, dass sie die rechtliche Einschätzung des Ministerium für Schule und Bildung nicht uneingeschränkt teilt. Personen, die schon zuvor an der Rechtmäßigkeit des vom Land gewählten Verfahrens zweifelten, werden sich dadurch bestätigt sehen.

Die Aufsichtsbehörde befasst sich dann mit der aktuell geltenden Situation und bewertet die rechtlichen Vorgaben aus der überarbeiteten CoronaBetrVO in Bezug auf ihre Verhältnismäßigkeit. Nach einer Bewertung der Geeignetheit, Erforderlichkeit und Angemessenheit der getroffenen Regelungen, kommt sie zu dem Schluss, dass die Verhältnismäßigkeit gewahrt ist. Im letzten Teil der Schrift betrachtet die Aufsichtsbehörde die Verantwortlichkeit für die Gewährleistung des Datenschutzes an der Schule, erläutert die Verpflichtung der Schule und der beteiligten Personen, die Vertraulichkeit der Testergebnisse zu wahren, bevor es dann um die Dokumentation der Testergebnisse geht und die Übermittlung derselben an Dritte.

Gerade bei der Übermittlung der personenbezogenen Daten von Personen mit positivem Selbsttest sah man in der Aufsichtsbehörde noch einen deutlichen Klärungsbedarf und wollte nun vom Ministerium für Schule und Bildung wissen “ob, unter welchen Voraussetzungen und gegebenenfalls auf welcher Rechtsgrundlage eine Übermittlung der Testergebnisse unter dem Gesichtspunkt des Gesundheitsschutzes und der Pandemiebekämpfung an andere Personen
und/oder Stellen vorgesehen ist und zulässig sein soll.”

Das Land kam dieser Aufforderung nach mit der Präzisierung einiger Vorschriften in der CoronaBetrVO.

Schulen sollten beim Umgang mit positiven Ergebnissen von Selbsttests folgende Regel beachten:

Das Ergebnis des eine konkrete Schülerin oder einen konkreten Schüler betreffenden Selbsttests darf unmittelbar nur dieser oder diesem bzw. den jeweiligen Erziehungsberechtigten bekanntgegeben werden.
Dieses muss so erfolgen, dass Dritte dabei nichts mitbekommen.
Bei der Herausnahme der betroffenen Person aus dem Unterricht sollte nicht direkt offensichtlich werden, dass diese einen positiven Selbsttest hatte.
Bei einer positiven Selbsttestung informiert die Schule das zuständige Gesundheitsamt.
Eine Übermittlung der positiven Testergebnisse von Selbsttests an andere Personen oder Stellen über das Gesundheitsamt hinaus, ist nicht zulässig.
Die Ergebnisse der durchgeführten Selbsttests oder vorgelegten Testnachweise werden von der Schule erfasst, dokumentiert und nach 14 Tagen vernichtet.
Diese Daten dürfen nur den Personen zugänglich gemacht werden, die sie zur Erfüllung ihrer Aufgaben benötigen.
Bei einem positiven Selbsttest werden die direkten Sitznachbar*innen bzw. engen Kontaktpersonen (sog. „social bubble“) bis zum Vorliegen eines PCR-Testergebnisses des Verdachtsfalls aufgefordert, nicht nur strikt die Infektions- und Hygienemaßnahmen einzuhalten, sondern auch nicht notwendige Kontakte in der Schule zu vermeiden.
Die Schule darf die betroffenen Personen aus dem Umfeld des Verdachtsfalls nicht selbst über den Verdachtsfall informieren.

Letzteres müsste dann wohl das Gesundheitsamt übernehmen.

März 26, 2021März 26, 2021

Neue Veröffentlichung der LDI NRW – zum Thema Verarbeitung von Gesundheitsdaten durch Schulen

Lesezeit: < 1 Minute

Mit Datum vom 22.03. 2021 hat die LDI NRW eine neue Schrift veröffentlicht, um Klarheit beim Thema Verarbeitung von Gesundheitsdaten in der Schule zu schaffen, hier bezogen auf das Thema Nichtteilnahme am Präsenzunterricht zum Schutz vorerkrankter Angehöriger – Verarbeitung von Gesundheitsdaten durch Schulen.pdf

Im PDF wird gut erklärt, welche Gesundheitsdaten eine Schule in welcher Art und Weise im Zusammenhang mit der Nichtteilnahme von Schülern am Präsenzunterricht zum Schutz vorerkrankter Angehöriger überhaupt erheben darf. Wann darf sie ein ärztliches Attest einfordern und wann ein amtsärztliches Gutachten? Es geht darüber hinaus auch um die oft gestellte Frage, ob die Schule zum Zwecke der Einholung eines amtsärztlichen Gutachtens Daten an das Gesundheitsamt weiterleiten darf. Die Antwort lautet: die Schule benötigt hierfür immer eine Einwilligung der Betroffenen, da es keine Rechtsgrundlage dafür gibt, wie in der Schrift ausführlich erläutert wird.

Die Schrift knüpft an an die im November 2020 erschienene Schrift Maskenpflicht und Masernschutz – Verarbeitung von Gesundheitsdaten durch
Schulen.pdf, welche Schulleitungen rechtliche Hilfestellungen gibt, wenn es um die Verarbeitung von personenbezogenen Daten in den im Titel genannten Zusammenhängen geht. Die Schrift erklärt am Beispiel von verschiedenen Fallkonstellationen, wo die datenschutzrechtlichen Grenzen und Möglichkeiten für das Handeln der Schulleitungen liegen.

Februar 25, 2019

Datenschutzverstöße und mögliche rechtliche Folgen für eine Schule

Lesezeit: < 1 Minute

Es wird immer wieder gefragt, welche rechtlichen Folgen es haben kann, wenn es in der Schule zu einem Datenschutzverstoß kommt oder Vorgaben der DS-GVO bezüglich der Schulhomepage nicht eingehalten wurden. Der Beitrag Mögliche rechtliche Folgen eines Datenschutzverstoß für Schulen schaut deshalb auf die rechtlichen Möglichkeiten, welche für die Aufsichtsbehörde und die Betroffenen bestehen. Wie man dabei sieht, wird die Aufsichtsbehörde kein Bußgeld gegen eine Schule in öffentlicher Trägerschaft verhängen. Das bedeutet aber nicht, dass in der Schule tätige Personen nicht mit rechtlichen Konsequenzen rechnen müssen, vor allem wenn sie vorsätzlich gehandelt haben. Aber auch Unwissenheit schützt vor Strafe nicht und so können auch aus Nichtwissen oder Nachlässigkeit begangene Verstöße gegen das Datenschutzrecht durchaus rechtliche Konsequenzen nach sich ziehen, wenn den Betroffenen ein Schaden hierdurch entstanden ist, und dieser kann auch immaterieller Natur sein.

Oktober 6, 2018August 15, 2020

Office 365 und der Vertrag zur Auftragsverarbeitung

Lesezeit: 6 Minuten

Wollen Schulen einen Online Dienst nutzen und es werden dabei personenbezogene Daten aus der Schule verwendet, ist nach Art. 28 DS-GVO ein Vertrag erforderlich, welcher Rechte und Pflichten beider Seiten regelt. Vielfach bestehen diese Verträge aus Dokumenten, die ausgedruckt von beiden Seiten in Kopie unterschrieben werden, um rechtliche Gültigkeit zu erlangen. Bei Microsoft sucht man eine derartige Möglichkeit zum Abschluss eines Vertrags zur Auftragsverarbeitung oder auch Auftragsverarbeitungsvertrag (AVV) vergeblich. Heißt das nun, man kann mit Microsoft nicht den erforderlichen Vertrag abschließen, um Office 365 im Unterricht oder für die Teamarbeit der Lehrkräfte zu nutzen?

In Art. 28 heißt es unter Abs. 3

“Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor …”

Schaut man sich diesen Absatz genauer an, sieht man, dass rechtliche Grundlage für die Verarbeitung von personenbezogenen Daten des Auftraggebers durch den Auftragnehmer nicht zwingend ein Vertrag sein muss, wie man ihn beispielsweise mit seinem Website Hoster abschließt und wie oben beschrieben. Das Wort ODER lässt auch andere Optionen als gleichwertig zu einem Vertrag zu. Möglich ist demnach auch ein anderes Rechtsinstrument nach Unionsrecht oder dem Recht der Mitgliedstaaten. Alle drei Optionen erfüllen die Vorgabe nach Art. 28.

Microsoft bietet anstelle eines Vertrages, wie er im deutschen Rechtsraum üblich ist, die sogenannten OST oder Online Service Terms, zu Deutsch Online Service-Nutzungsbedingungen, wozu auch das Data Processing Addendum (DPA) gehört. Alle Volumenlizenzverträge von Microsoft umfassen diese Online Services-Nutzungsbedingungen. Die Volumenlizenzverträge werden abgeschlossen, wenn eine Schule sich für ein Office 365 Paket anmeldet. Das geschieht in einem Dialog ähnlich dem folgenden.

Beispiel Dialog bei der Erstellung eines Office 365 Testabonnement Vertrags.

Wenn das entsprechende Häkchen gesetzt ist, hat der Nutzer den Vertrag abgeschlossen und damit auch die OST einschließlich des DPA angenommen.

Das Data Processing Addendum ist ein den OST anhängiges Dokument und berücksichtigt neben der DS-GVO auch verschiedene Datenschutzstandards/ -vorgaben aus den USA wie auch anderen Ländern. Die Standardvertragsklauseln¹ sind ein Bestandteil dieses Dokuments, bilden den Anhang 2 und umfassen sechs Seiten. Es findet sich zum Download wie die OST unter Ressourcen zur Lizenzierung.

Die EU-Standardvertragsklauseln gehören zu den oben erwähnten anderen Rechtsinstrumenten nach dem Unionsrecht. Auch in Art. 28 sind die Standardvertragsklauseln aufgeführt und unter Abs. 6 heißt es

“Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7 und 8 des vorliegenden Artikels genannten Standardvertragsklauseln beruhen, …”

Die EU-Standardvertragsklauseln umfassen die in Abs. 3 und 4 aufgeführten Vorgaben, die vertraglich zwischen Auftraggeber und Auftragnehmer festzuschreiben sind. Als Standardvertragsklauseln können hierbei solche verwendet werden,

“die entweder unmittelbar von der Kommission erlassen oder aber nach dem Kohärenzverfahren von einer Aufsichtsbehörde angenommen und dann von der Kommission erlassen wurden.”²

Bei den von Microsoft im DPA genutzten Standardvertragsklauseln handelt es sich um solche, die von der der Europäischen Kommission bereitgestellt wurden. Da dieser Vertrag nicht nur im Bildungsbereich, sondern auch im Businessbereich zum Einsatz kommt, kann Microsoft sich hier keine Fehler erlauben. Zu allen in Art. 28 geforderten Angaben werden umfassende Aussagen gemacht. Doch wie sieht es mit der Form aus?

Die DS-GVO ist bezüglich der Formvorgaben zum Abschluss eines Vertrages oder anderen Rechtsinstrumentes wesentlich offener als das Bundesdatenschutzgesetz oder das alte Bundesdatenschutzgesetz. In Art. 28 heißt es zur Form in Abs. 9

“Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.”

Es besteht also eine Schrifterfordernis und elektronisches Format ist möglich. Die Fachautoren sind sich einig darin, dass es sich beim elektronischen Format um ein dauerhaftes Format handeln muss, welches auch nicht nachträglich verändert werden kann.³ Die OST und das anhängige DPA entsprechen dieser Formvorgabe. Man lädt sie in der Regel als schreibgeschützte docx Datei herunter.

Eine Unterschrift ist nach der DS-GVO nicht länger erforderlich, um einen rechtswirksamen Vertrag abzuschließen.

“Die Auftragserteilung kann gemäß Art. 28 Abs. 9 DS-GVO in Zukunft auch in einem elektronischen Format erfolgen. Das strenge Schriftformerfordernis (handschriftliche Unterschrift) gilt damit nicht mehr. Ausreichend für das elektronische Format ist jedes elektronische Dokument, das dauerhaft wiedergegeben werden kann (vergleichbar mit der Textform in [§ 126b BGB]).”⁴

Die Bestätigung von Seiten des Auftraggebers, hier der Schule, erfolgt bei den OST als Bestandteil der Abschlusses eines Volumenlizenzvertrags durch Setzen eines Häkchens. Im DPA gibt es eine eingescannte Unterschrift unter den Standardvertragsklauseln. Verschiedene Fachjuristen kommen zu dem Schluss, dass es nicht einmal dieser eingescannten Unterschrift bedarf. Die Erklärung sollte, da es sich bei der DS-GVO um eine europäische Rechtsnorm handelt, anders als im nationalen Recht unterschriftlos gültig sein.⁵ Es sind allerdings nicht alle Fachleute dieser Meinung. Einigkeit herrscht jedoch zumindest darin, dass es keiner “qualifizierten elektronischen Signatur” bedarf⁶.

In der aktuellen Situation sollte das von Microsoft angebotene Format den Vorgaben zum Abschluss eines Vertrags oder anderen Rechtsinstrumentes zur Auftragsverarbeitung nach Art. 28 DS-GVO genügen. Diesen Spielraum lassen die Vorgaben zu. Die OST und das anhängige DPA werden online angeboten, die Standardvertragsklauseln als zentrales Element dieser Vereinbarung sind unterzeichnet, und zeigen damit den Willen Microsofts, einen Vertrag mit dem Kunden einzugehen. Der nimmt das Angebot durch Setzen eines Häkchens an und speichert die OST sowie das DPA ab oder druckt beides aus.⁷

Fazit

Durch Annahme der OST mit dem anhängigen DPA als Bestandteil eines Volumenlizenvertrags zu Office 365 ist aktuell den Vorgaben der DS-GVO nach Art. 28 zum Abschluss eine Vertrages zur Auftragsverarbeitung zwischen Schule als Auftraggeber und Microsoft als Auftragnehmer Genüge getan. Rein vertraglich sind hier auch die erforderlichen Vorgaben bezüglich des Exports von Daten in Drittstaaten abgedeckt, da Microsoft auch das EU-US Privacy Shield Übereinkommen unterzeichnet und sich damit entsprechend zertifiziert hat.

Schulen, die einen Volumenlizenvertrag mit Microsoft abschließen, sollten dabei auf zwei Dinge achten, um im Sinne von Art. 28 den Abschluss eines Vertrags bzw. anderen Rechtsinstrumentes zur Regelung der Auftragsdatenverarbeitung dokumentieren zu können:

Die Seite, wo die Vertragsbedingungen zum Volumenlizenzvertrag angenommen werden, sollten mit gesetzen Häkchen ausgedruckt werden.
Über den Link zu den OST und DPA sollten die aktuellen Online Service-Nutzungsbedingungen des Monats sowie das Online Services Data Protection Addendum (DPA) heruntergeladen und abgespeichert werden.

Wo Fragen bleiben

Ein gänzlich anderes Thema und wesentlich bedeutsamer als der Vertrag ist die Frage, ob Microsoft tatsächlich den vertraglich zugesicherten Angaben gerecht wird bzw. werden kann. Die Aufsichtsbehörden sind sich hier trotz aller Zusicherungen durch und Zertifizierungen von Microsoft nicht sicher. Für sie bleiben Fragen ungeklärt. Aus diesem Grund sprechen sie bisher keine Empfehlung aus. Ein Verbot gibt es jedoch auch nicht von offizieller Stelle, zumindest in NRW. Hierzu an anderer Stelle mehr.

Wer ist verantwortlich?

Auch wenn Microsoft den Formalien eines AVV entspricht und Schulen so rechtswirksam ihrer Pflicht nach Art. 28 nachkommen können, so kann es für Schulen rein rechtlich zum Problem werden, wenn der Vertrag durch den Schulträger abgeschlossen wurde. Das könnte an einigen Stellen der Fall sein. Eine rechtswirksame Vereinbarung im Sinne von Art. 28 Abs. 3 muss immer zwischen dem Verantwortlichen als Auftraggeber und dem Dienstleister als Verarbeiter bzw. als Auftragnehmer abgeschlossen werden. Verantwortlicher ist bei Schulen immer die Schulleitung. Eine nachträgliche Änderung wird vermutlich nahezu unmöglich sein, vor allem, wenn der Schulträger den Vertrag für mehrere Schulen abgeschlossen hat. Schulträger haben oft Volumenlizenzverträge für die kommunalen Verwaltungen abgeschlossen und werden entsprechend EDU Volumenlizenzverträge an die bestehende Instanz anhängen. Auch das wird eine Änderung erschweren bis unmöglich machen.⁸ Gänzlich anders sollte die Sache aussehen, wenn der Schulträger einen Rahmenvertrag mit Microsoft abgeschlossen hat. Tritt eine Schule diesem bei, tut sie dieses in eigener Verantwortung und kann ganz regulär die OST mit dem anhängigen DPA mit Microsoft abschließen.

Für den Fall, dass der Schulträger die Lizenenzen beschafft, ist es durchaus möglich, dass die Schule einen Vertrag zur Auftragsverarbeitung mit dem Schulträger selbst abschließt, der wiederum seinerseits die OST mit dem anhängigen DPA mit Microsoft vereinbart. Microsoft taucht dann im Vertrag zur Auftragsverarbeitung zwischen Schule und Schulträger als Unterverarbeiter auf. Stellt der Schulträger Lizenzen für mehrere Schulen zur Verfügung, sollte für jeder Schule ein eigener Tenant angelegt werden, um die Instanzen auch rechtlich sauber von einander zutrennen.

Es spricht aus rechtlicher Sicht durchaus etwas dafür, dass der Schulträger den Vertrag mit Microsoft abschließt, da er so ein Stück weit mit in die Verantwortung genommen wird.

Links:

Stand 06/2020

Mai 21, 2018Mai 31, 2022

Müssen Schulen einen Datenschutzbeauftragten an die Aufsichtsbehörden melden?

Lesezeit: 2 Minuten

Pflicht zur Meldung des Datenschutzbeauftragten an die Aufsichtsbehörden

Nach Art 37 Abs 7 der DS-GVO veröffentlicht der Verantwortliche oder Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragten ¹ ² und

“teilt diese Daten der Aufsichtsbehörde mit.”

Diese Vorgabe gilt auch für öffentliche Stellen wie Schulen. Für die Aufsichtsbehörde ist diese Meldung von Bedeutung, da der Datenschutzbeauftragte nur so in der Lage ist seiner Tätigkeit als Anlaufstelle für die Aufsichtsbehörde effektiv nachgehen zu können (vgl. Artikel 39 Absatz 1 Buchstabe e) DS-GVO).

Praktische Umsetzung bei Schulen – offene Fragen

Bisher ist leider nicht klar, ob jede einzelne Schule diese Meldung separat für sich machen muss. Schulen in NRW brauchen keine eigenen Datenschutzbeauftragten, denn es gibt die behördlich bestellten schulischen Datenschutzbeauftragten. In jedem Kreis bzw. jeder kreisfreien Stadt wurde dafür eine zuständige Person benannt. Teilweise sind es auch zwei Personen, die sich diese Zuständigkeit teilen. Alle diese Personen sind dem MSB bekannt (siehe Übersicht Behördliche Datenschutzbeauftragte) wie auch den fünf Bezirksregierungen.

In NRW gibt es 5.436 öffentliche Schulen³. Würde jede einzelne eine Meldung machen, wären es entsprechend viele Meldungen. Da jeder behördliche Datenschutzbeauftragte für mehrere Schulen zuständig ist, würde jede dieser Personen x-fach gemeldet.

Von daher macht es eher Sinn, wenn das MSB jetzt am Start einmal die Aufsichtsbehörde, die LDI NRW, informiert. Das wäre eine Meldung. Spätere Änderungen werden dann entweder die Kreise bzw. kreisfreien Städte oder die Bezirksregierungen mitteilen. Dass jede Schule dieses für sich übernimmt, führt zu einer unnötigen Flut an Meldungen und Arbeit. Übernehmen die Kreise und kreisfreien Städte diese Aufgabe, geht es um 52 behördliche Datenschutzbeauftragte plus eventuell deren Vertreter.

Mitteilungen an die LDI NRW werden ab dem 25. Mai 2018 möglich sein. Nach einer Information der LDI NRW soll es dazu dann eine Möglichkeit zur Online-Meldung über die Homepage der Aufsichtsbehörde geben.

Wird der Datenschutzbeauftragte nicht gemeldet, so stellt dieses bereits einen Verstoß gegen die Vorgaben der Datenschutzgesetzgebung dar.

Abwarten empfohlen

Es soll für den Start eine Übergangsfrist geben. Dieses ist auf der Homepage der LDI NRW bekanntgegeben.

WICHTIGER HINWEIS: Wir beabsichtigen, unterlassene Meldungen der Kontaktdaten der/des Datenschutzbeauftragten während einer Übergangszeit bis zum 31.12.2018 nicht als Datenschutzverstöße zu verfolgen oder zu ahnden.

Das MSB hat sich bisher nicht zu der Frage geäußert, wie die Meldung praktisch umgesetzt werden soll, ob es eine erste Meldung durch das MSB gibt oder die Bezirksregierungen. Da bis zum 31.12.2018 eine Übergangsfrist besteht, empfehle ich Schulen in NRW (bis zur Klärung dieser Frage) zunächst einige Wochen abzuwarten. Es wird hier sicher noch eine Mitteilung von Seiten des Ministeriums oder der Bezirksregierungen geben. Natürlich steht es jeder Schule frei, ihren Datenschutzbeauftragten direkt nach dem 25.05.2018 zu melden. Es ist kein Schaden.