Kategorie: Cloud Dienste

Veröffentlicht am

Verarbeiten – Speichern – Unterricht – Lehrergeräte

Lesezeit: 3 Minuten
“Die für die Verarbeitung zugelassenen Daten ergeben sich aus der Anlage 3.”1§2 Satz 3 VO-DV I

Welche personenbezogenen Daten Lehrkräfte in NRW mit Genehmigung der Schulleitung auf ihren privaten Endgeräten verarbeiten dürfen, ist durch Anlage 3 der VO-DV I recht genau eingegrenzt.

Datensatz bei Genehmigung der Verarbeitung personenbezogener Schülerinnen- und Schülerdaten auf privaten ADV-Anlagen der die Schülerinnen und Schüler unterrichtenden Lehrerinnen und Lehrer”2Satz 1 Anlage 3 VO-DV I

Anders als bei den personenbezogenen Daten, welche in der Verwaltung verarbeitet werden dürfen, sind die hier zugelassenen Daten eng begrenzt. Es wird von einem Datensatz gesprochen, der verarbeitet werden darf. Im Kommentar zum Schulgesetz von 2015 wird davon gesprochen, dass durch die Regelung in der VO-DV I ein Export  in die privaten Endgeräte der Lehrkräfte ermöglicht wird.

“… besonderen Regelung, damit bestimmte Daten in einem begrenzten Umfang für dienstliche Zwecke aus der Schule exportiert und in privaten ADV-Anlagen der Lehrkräfte verarbeitet werden dürfen.”3 SchulG NRW-Kommentar, März 2015, Katernberg

Nicht mehr zeitgemäß

An der Stelle wird deutlich, dass die Vorgaben des Schulgesetzes NRW und der anhängigen Verordnungen in diesem Bereich längst nicht mehr zeitgemäß sind. Warum?

Die Vorgaben in der VO-DV I sollen sicherstellen, dass die personenbezogenen Daten von Schülern und Eltern ausreichend geschützt sind und dass Lehrkräfte deshalb nicht alle nach dem Schulgesetz NRW für eine Verarbeitung zugelassenen personenbezogenen Daten auf ihren privaten Endgeräten verarbeiten und dadurch einem zusätzlichen Risiko aussetzen. Beim Begriff Verarbeiten hat der Gesetzgeber hierbei jedoch wohl vor allem an eine Speicherung auf den Geräten gedacht. Darauf deuten auch die Löschfristen hin, welche für personenbezogene Daten aus der Schule auf privaten Endgeräten deutlich eingeschränkt sind. Sie dürfen dort nur maximal ein Jahr gespeichert werden, gerechnet ab dem Ende des Kalenderjahres, nachdem eine Lehrkraft einen Schüler zuletzt unterrichtet hat. Die Schule hingegen bewahrt die Daten von Schülern 5 Jahre und länger auf.

Verarbeitung ist der Sammelbegriff für sämtliche Vorgänge, die mit oder ohne automatisierte Verfahren mit personenbezogenen Daten erfolgen4Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;“ Art. 4 Nr. 2 . Wie der Beitrag Verarbeitung, Bearbeitung, Speicherung, Bildschirmanzeige und Logineo NRW hoffentlich zeigen konnte, macht die Verwendung dieses Begriffes schon Probleme, wenn es um die Nutzung des Date-Safe von Logineo NRW mit personenbezogenen Daten geht, welche nicht in Anlage 3 aufgeführt sind. Sie dürften dem Wortlaut der VO-DV I nach zur Zeit auch von privaten Endgeräten aus nicht im Daten-Safe verarbeitet werden, da bereits die Bildschirmanzeige ein Verarbeitung im Sinne von Art. 4 Nr. 2 DS-GVO darstellt.

Das Schulgesetz NRW und die VO-DV I tragen der Tatsache, dass heute zunehmend online gearbeitet wird, noch keine Rechnung. Anders als vor wenigen Jahren können Dokumente mittlerweile online bearbeitet werden. Sie müssen dazu nicht länger auf dem Endgerät gespeichert werden, wie das z.B. bei lo-net oder anderen einfachen Plattformen der Fall war. Dort musste eine Datei zunächst auf den Rechner heruntergeladen werden, um sie anzusehen und zu bearbeiten, bevor sie dann wieder in der bearbeiteten Version hochgeladen wurde. Moderne Plattformen erlauben sowohl die Anzeige wie auch die Verarbeitung online. Wenn dieses im Browser erfolgt, findet nur eine temporäre Speicherung im Arbeitsspeicher statt. Diese stellt jedoch keine dauerhafte Speicherung im Sinne der DS-GVO dar.5Siehe dazu ebenfalls Eßer in Eßer/Kramer/ v. Lewinski Art. 4 Nr. 2 DS-GVO Rn. 43 Herbst in Kühling/Buchner, Art. 4 Nr. 2 DS-GVO Rn. 24

Dem muss die Schulgesetzgebung Rechnung tragen. Sie muss deutlich unterscheiden zwischen personenbezogenen Daten aus der Schule, welche mit Genehmigung durch die Schulleitung auf privaten Endgeräten verarbeitet werden dürfen, einschließlich einer Speicherung auf dem Gerät, und solchen, welche verarbeitet werden dürfen, jedoch unter Ausschluss einer Speicherung.

Was ist zu tun?

Der bisher in Anlage 3 aufgeführte Datensatz wird unverändert beibehalten für eine uneingeschränkte Verarbeitung einschließlich einer Speicherung auf dem Gerät. Zusätzlich aufgenommen werden sollten in die VO-DV I jedoch weitere Daten bzw. Kategorien von Daten, für welche eine eingeschränkte Verarbeitung, welche eine Speicherung auf dem Endgerät ausdrücklich ausschließt, über den Browser zulässig ist.6Neben dem Zugriff über einen Browser könnten auch Software und Apps zuässig sein, welche keine Daten lokal ablegen können. Dazu gehören würden Daten, für welche schon jetzt eine Bearbeitung im Daten-Safe von Logineo NRW vorgesehen ist. Mit aufgenommen werden müssten unbedingt auch sämtliche personenbezogenen Daten, welche zur Nutzung von Lern Management Systemen (LMS), Lernplattformen und Classroom Management Systemen (CMS) erforderlich sind.7Welche personenbezogenen Daten dort verarbeitet werden dürfen, ist dann Bestandteil anderer Regelungen. Dieses ist dringend erforderlich, um der Tatsache Rechnung zu tragen, dass im Unterricht zunehmend Online-Plattformen genutzt werden. Dort erfolgt sämtliches Lernen und Arbeiten online über den Browser und es ist erforderlich, dass Lehrkräfte die Möglichkeit erhalten, in der Plattform von Schülern erarbeitete Materialien einzusehen, um Feedback zu geben und Bewertungen vorzunehmen, oder um durchgeführte Abfragen auszuwerten. So wie traditionell Lehrkräfte die Hefte von Schülern mit nach Hause nehmen, macht es die Arbeit mit Online-Plattformen erforderlich, die von Schülern bearbeiteten Materialien auch zu Hause in der Plattform durchsehen zu können. Das alles ist, momentan von privaten Endgeräten aus rein rechtlich nicht möglich, da diese Daten nicht zu dem in Anlage 3 detaillierten Datensatz gehören.

Mit Dienstgeräten würde sich die beschriebene Erfordernis einer zeitgemäßen Anpassung der schulischen Gesetzgebung nicht ergeben. Da es gegenwärtig illusorisch ist, mit einer zeitnahen Ausstattung aller Lehrkräfte mit Dienstgeräten zu rechnen, sich nun aber immer mehr Schulen und Lehrkräfte auf den Weg machen, digitale Medien in den Unterricht zu integrieren, was vor allem in weiterführenden Schulen den Einsatz von Online-Plattformen einschließt, braucht es die beschriebene Anpassung der datenschutzrechtlichen Vorgaben im Schulgesetz und anhängigen Verordnungen zur Datenverarbeitung. Auch die Verarbeitung von personenbezogenen Daten, welche nicht auf privaten Endgeräten gespeichert werden dürfen, macht diese Änderung deshalb erforderlich.

 

Veröffentlicht am

Smart Speaker im Klassenraum aufstellen – geht das?

Lesezeit: < 1 Minute

Eine Schule möchte gerne Smart Speaker im Klassenraum aufstellen, um eine einfache Kommunikation zwischen den Räumen für die Lehrkräfte zu ermöglich und smarte Erinnerungen und Timer zu setzen. Die Namen von Schülern sollen nicht genannt werden bei solchen Nachrichten und Erinnerungen. Man denkt an Amazon Echo, den kleinsten Smart Speaker. Das Gerät ist einfach zu bedienen, billig, spart eine aufwändige Verkabelung im Gebäude und kann mehr als eine Gegensprechanlage. Aber geht das auch? Was ist mit dem Datenschutz? Das Thema ist komplex und ich habe mich ausführlich damit auseinander gesetzt. Die Ergebnisse finden sich im Beitrag ALEXA, GOOGLE ASSISTANT, SIRI UND CO. – SMART SPEAKER IM KLASSENRAUM

Veröffentlicht am

Daten zwischen kooperierenden Schulen per E-Mail übertragen – geht das?

Lesezeit: 4 Minuten

Folgende Frage erreichte mich: “Unsere Koop-Schule will von unseren Schülern, die rüber kommen, den Schild-Datensatz. Darf man das per Schild-Export und E-Mail übertragen und wenn ja, dann wie?”

Bevor es um die eigentliche Frage geht, kurz zur Rechtmäßigkeit der Datenübermittlung zwischen kooperierenden Schulen.

Dürfen Schulen einander personenbezogene Daten von Schülern übermitteln, wenn sie miteinander kooperieren?

In NRW setzen das Schulgesetz (SchulG NRW) und die VO-DV I enge Grenzen, bezüglich der Übermittlung von personenbezogenen Daten von Schülern. Das betrifft die möglichen Empfänger wie auch die Verfahren. §120 Abs. 5 Satz 1 SchulG NRW lässt eine Übermittlung unter folgenden Bedingungen zu:

Die in Absatz 1 Satz 1 genannten Daten dürfen einer Schule, […] nur übermittelt werden, soweit sie von diesen Stellen zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben benötigt werden.

Es muss also eine durch eine Rechtsvorschrift übertragene Aufgabe vorliegen, zu deren Erfüllung die personenbezogenen Daten von Schülern erforderlich sind, damit Daten übermittelt werden dürfen. Ein Kommentar zum SchulG NRW päzisiert dieses.

“Nur wenn die konkrete Form der Kooperation eine Übermittlung von personenbezogenen Daten erforderlich macht, beispielsweise weil gemeinsame Unterrichtsveranstaltungen im Sinne des § 4 Abs. 3 Satz 2 SchulG stattfinden, ist ein solcher Transfer nach Maßgabe des § 120 Abs. 5 Satz 1 SchulG zulässig. Insoweit findet dann die Regelung des § 6 Abs. 1 Satz 2 VO-DV I Anwendung.”1Katernberg in SchulG NRW – Kommentar, März 2008

In § 6 Abs. 1 Satz 2 VO-DV I2Satz 2 = Hervorhebung heißt es:

1) Bei einem Schulwechsel übermittelt die abgebende Schule der aufnehmenden Schule personenbezogene Daten aus dem Schülerstammblatt und dem sonstigen Datenbestand, soweit die Daten für die weitere Schulausbildung der Schülerin oder des Schülers erforderlich sind. Entsprechendes gilt bei der Kooperation von Schulen. Die Unterlagen selbst verbleiben bei der abgebenden Schule.

Die rechtliche Grundlage für die Übermittlung von personenbezogenen Daten der Schüler, welche an der Kooperationsschule unterrichtet werden, ist damit gegeben. Klar ist dabei jedoch auch, dass nur die Daten übermittelt werden dürfen, welche für die Erteilung des Unterrichts an der anderen Schule von dieser benötigt werden.3Alle anderen Daten dürfen nur auf der Grundlage einer Einwilligung der Betroffenen übermittelt werden. Beispiel: die andere Schule möchte wissen, ob unter den Schülern, die am Unterricht teilnehmen werden, Vegetarier sind, da man die eigene Mensa informieren möchte. (Es besteht hier keine Erforderlichkeit, die sich aus der Erfüllung einer Rechtsvorschrift ergibt.) In SchiLD NRW werden dazu nur die erforderlichen personenbezogenen Daten exportiert.

Übermittlungsverfahren

Eine Übermittlung von personenbezogenen Daten muss entsprechend dem Stand der Technik gesichert erfolgen. Die VO-DV I macht hier in §5 Absatz 2 entsprechende Vorgaben:

“Die Datenübermittlung kann schriftlich, mündlich, automatisiert oder auf Datenträgern erfolgen. Datenträger, die versandt werden, dürfen personenbezogene Daten nur enthalten, soweit diese für die Empfängerin oder den Empfänger bestimmt sind. Eine automatisierte Datenübermittlung kann auch über eine gemeinsam genutzte informationstechnische Basis-Infrastruktur erfolgen, sofern die technischen und organisatorischen Sicherheitsanforderungen des § 10 des Datenschutzgesetzes NordrheinWestfalen erfüllt werden. Eine Datenübermittlung auf Datenträgern bedarf einer Verschlüsselung nach dem aktuellen Stand der Technik. Automatisierte Verfahren, die die Übermittlung personenbezogener Daten durch Abruf ermöglichen, sind unzulässig.”

Der letzte Satz hat es in sich, denn einige Verfahren werden hier grundsätzlich ausgeschlossen. Gemeint sind dabei solche Verfahren,

“die die Übermittlung personenbezogener Daten durch Abruf einer anderen Stelle ermöglichen, bei denen also eine Übermittlung stattfindet, ohne dass die speichernde bzw. übermittelnde Stelle davon Kenntnis hat und verantwortlich entscheidet, ob eine Übermittlung erfolgen darf.”4Katernberg in SchulG NRW – Kommenfar, März 2015

Dieses wäre beispielsweise der Fall, wenn ein Freigabeordner in einer Cloud eingerichtet würde und dem Empfänger würden der Link und das Passwort dazu mitgeteilt. Die übermittelnde Stelle hätte keinerlei Kontrolle darüber, ob die Daten abgerufen werden und wer sie abruft.5Die Informationen zum Zugang könnten in falsche Hände geraten, zufällig gefunden werden, durch einen Fehler offenbar werden und ähnlich.

Darf der SchiLD NRW Export per E-Mail an die Kooperationsschule übertragen werden?

Unter den bei den meisten Schulen in NRW akutell gegeben Bedingungen ist von einer Übertragung per E-Mail dringend abzuraten. Es gibt jedoch Ausnahmen. Nutzen beide Schulen in einer Kommune oder Stadt den gleichen kommunalen/städtischen E-Mail Dienst und sind in der Lage, ihre E-Mails zu verschlüsseln, spricht nichts gegen eine Übermittlung per E-Mail. Sobald Logineo NRW zur Verfügung steht und von beiden Schulen genutzt wird, kann auch dessen E-Mail Funktionalität genutzt werden. Aber auch hier empfiehlt es sich, die E-Mails mit den sensiblen Schülerdaten zu verschlüsseln.

Es gibt Schulen, die Anbieter wie T-Online, Web.de oder GMX nutzen. Eine Übermittlung per E-Mail über diese oder vergleichbare E-Mail Anbieter, so wie man sie im Privatbereich nutzt, ist nicht zu empfehlen, auch nicht wenn die E-Mails verschlüsselt sind. In der Regel liegen E-Mails zumindest einige Tage auf dem E-Mail Server des Absenders, oft auch des Empfängers. Wird einer dieser Server gehackt und die Daten entwendet, ist nie sicher, was mit den Daten passiert. Selbst eine Verschlüsselung, die heute als sicher gilt, könnte in einigen Jahren zu knacken sein6siehe Quantum Computing, Künstliche Intelligenz und zu Problemen für die Betroffenen führen.

Siehe auch “E-Mail Kommunikation sicher nutzen

Lösungen

Auch wenn eine Übermittlung per E-Mail in den meisten Fällen aus Gründen der Sicherheit nicht möglich ist, lassen sich die Daten aus dem SchiLD Export in digitaler Form übermitteln.

Der einfachste Weg wird die Speicherung auf einem verschlüsselten USB Stick sein, der dann persönlich durch eine Lehrkraft an der kooperierenden Schule abgegeben wird. Wenn zwei Schulen kooperieren, werden sie in räumlicher Nähe zueinander liegen und dieser Weg sollte ohne Probleme möglich sein.7Denkbar wäre auch noch der postalische Versand eines verschlüsselten Datenträgers. Vermutlich ist das jedoch aufwändiger als eine persönliche Übergabe, da bei der postalischen Übermittlung das Passwort zum Entschlüsseln getrennt auf einem anderen Wege übermittelt werden müsste.

Nutzen beide Schulen eine sichere Cloud Lösung, über welche sie Daten austauschen können, ist auch dieses eine Möglichkeit.8Google Drive und Microsoft OneDrive wie auch Dropbox und ähnliche Anbieter gehören nicht zu diesen Lösungen, auch wenn sich die Daten dort verschlüsselt ablegen lassen. Die Gründe dafür liegen daran, dass es sich um nicht europäische Anbieter handelt, bei denen ein tatsächliche Einhaltung der DS-GVO nicht zu einhundert Prozent überprüfbar gewährleistet ist. Eine Nutzung für personenbezogene Daten im Rahmen der schulischen Verwaltung ist damit aktuell (November 2018) nicht zulässig.. Logineo NRW könnte in NRW eine solche Cloud Lösung sein. Nutzen beide Schulen eine Plattform wie kommunal/städtisch betriebenes Moodle, wäre auch dieses eine Möglichkeit. Hierbei muss das Verfahren so gestaltet werden, dass kein Konflikt mit der Vorgabe des letzten Satzes von VO-DV I §5 entsteht.9siehe oben

Ein gemeinsames Verzeichnis, auf welches nur die Sekretariate beider Schulen zugriff haben, wäre eine Möglichkeit.

Veröffentlicht am

Office 365 und der Vertrag zur Auftragsverarbeitung

Lesezeit: 6 Minuten

Wollen Schulen einen Online Dienst nutzen und es werden dabei personenbezogene Daten aus der Schule verwendet, ist nach Art. 28 DS-GVO ein Vertrag erforderlich, welcher Rechte und Pflichten beider Seiten regelt. Vielfach bestehen diese Verträge aus Dokumenten, die ausgedruckt von beiden Seiten in Kopie unterschrieben werden, um rechtliche Gültigkeit zu erlangen. Bei Microsoft sucht man eine derartige Möglichkeit zum Abschluss eines Vertrags zur Auftragsverarbeitung oder auch Auftragsverarbeitungsvertrag (AVV) vergeblich. Heißt das nun, man kann mit Microsoft nicht den erforderlichen Vertrag abschließen, um Office 365 im Unterricht oder für die Teamarbeit der Lehrkräfte zu nutzen?

In Art. 28 heißt es unter Abs. 3

“Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor …”

Schaut man sich diesen Absatz genauer an, sieht man, dass rechtliche Grundlage für die Verarbeitung von personenbezogenen Daten des Auftraggebers durch den Auftragnehmer nicht zwingend ein Vertrag sein muss, wie man ihn beispielsweise mit seinem Website Hoster abschließt und wie oben beschrieben. Das Wort ODER lässt auch andere Optionen als gleichwertig zu einem Vertrag zu. Möglich ist demnach auch ein anderes Rechtsinstrument nach Unionsrecht oder dem Recht der Mitgliedstaaten. Alle drei Optionen erfüllen die Vorgabe nach Art. 28.

Microsoft bietet anstelle eines Vertrages, wie er im deutschen Rechtsraum üblich ist, die sogenannten OST oder Online Service Terms, zu Deutsch Online Service-Nutzungsbedingungen, wozu auch das Data Processing Addendum (DPA) gehört. Alle Volumenlizenzverträge von Microsoft umfassen diese Online Services-Nutzungsbedingungen. Die Volumenlizenzverträge werden abgeschlossen, wenn eine Schule sich für ein Office 365 Paket anmeldet. Das geschieht in einem Dialog ähnlich dem folgenden.

Beispiel Dialog bei der Erstellung eines Office 365 Testabonnement Vertrags.

Wenn das entsprechende Häkchen gesetzt ist, hat der Nutzer den Vertrag abgeschlossen und damit auch die OST einschließlich des DPA angenommen.

Das Data Processing Addendum ist ein den OST anhängiges Dokument und berücksichtigt neben der DS-GVO auch verschiedene Datenschutzstandards/ -vorgaben aus den USA wie auch anderen Ländern. Die Standardvertragsklauseln1Microsoft hat lange Zeit die Standardvertragsklauseln (auch EU Model Clauses genannt) als Grundlage für die Übertragung von Daten für seine Onlinedienste für Unternehmen verwendet. Die EU-Standardvertragsklauseln sind von der Europäischen Kommission bereitgestellte Standardbedingungen, die für die richtlinienkonforme Übertragung von Daten außerhalb des Europäischen Wirtschaftsraums verwendet werden können. Microsoft hat die Standardvertragsklauseln mithilfe des den Online Services-Nutzungsbedingungen anhängigen DPA in alle Volumenlizenzverträge integriert. Die Artikel-29-Datenschutzgruppe hat dabei festgestellt, dass die Umsetzung der Standardvertragsklauseln durch Microsoft richtlinienkonform ist. Quelle: DSGVO – häufig gestellte Fragen sind ein Bestandteil dieses Dokuments, bilden den Anhang 2 und umfassen sechs Seiten. Es findet sich zum Download wie die OST unter Ressourcen zur Lizenzierung.

Die EU-Standardvertragsklauseln gehören zu den oben erwähnten anderen Rechtsinstrumenten nach dem Unionsrecht. Auch in Art. 28 sind die Standardvertragsklauseln aufgeführt und unter Abs. 6 heißt es

“Unbeschadet eines individuellen Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter kann der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 des vorliegenden Artikels ganz oder teilweise auf den in den Absätzen 7 und 8 des vorliegenden Artikels genannten Standardvertragsklauseln beruhen, …”

Die EU-Standardvertragsklauseln umfassen die in Abs. 3 und 4 aufgeführten Vorgaben, die vertraglich zwischen Auftraggeber und Auftragnehmer festzuschreiben sind. Als Standardvertragsklauseln können hierbei solche verwendet werden,

“die entweder unmittelbar von der Kommission erlassen oder aber nach dem Kohärenzverfahren von einer Aufsichtsbehörde angenommen und dann von der Kommission erlassen wurden.”2Erwägungsgrund 81

Bei den von Microsoft im DPA genutzten Standardvertragsklauseln handelt es sich um solche, die von der der Europäischen Kommission bereitgestellt wurden. Da dieser Vertrag nicht nur im Bildungsbereich, sondern auch im Businessbereich zum Einsatz kommt, kann Microsoft sich hier keine Fehler erlauben. Zu allen in Art. 28 geforderten Angaben werden umfassende Aussagen gemacht. Doch wie sieht es mit der Form aus?

Die DS-GVO ist bezüglich der Formvorgaben zum Abschluss eines Vertrages oder anderen Rechtsinstrumentes wesentlich offener als das Bundesdatenschutzgesetz oder das alte Bundesdatenschutzgesetz. In Art. 28 heißt es zur Form in Abs. 9

“Der Vertrag oder das andere Rechtsinstrument im Sinne der Absätze 3 und 4 ist schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann.”

Es besteht also eine Schrifterfordernis und elektronisches Format ist möglich. Die Fachautoren sind sich einig darin, dass es sich beim elektronischen Format um ein dauerhaftes Format handeln muss, welches auch nicht nachträglich verändert werden kann.3“Als Form für den Abschluss einer Vereinbarung zur Auftragsverarbeitung gibt Art. 28 Abs. 9 DSGVO die Schriftform oder ein elektronisches Format vor. Dies entspricht der in § 126 b BGB genannten Textform. Entscheidend ist hierbei, dass das ausgewählte Format sicherstellen muss, dass nachträgliche Änderungen technisch ausgeschlossen werden. Somit lässt sich eine Vereinbarung zur Auftragsverarbeitung z.B. über eine schreibgeschützte PDF-Datei, nicht aber über einfache E-Mails schließen.” Quelle Die OST und das anhängige DPA entsprechen dieser Formvorgabe. Man lädt sie in der Regel als schreibgeschützte docx Datei herunter.

Eine Unterschrift ist nach der DS-GVO nicht länger erforderlich, um einen rechtswirksamen Vertrag abzuschließen.

“Die Auftragserteilung kann gemäß Art. 28 Abs. 9 DS-GVO in Zukunft auch in einem elektronischen Format erfolgen. Das strenge Schriftformerfordernis (handschriftliche Unterschrift) gilt damit nicht mehr. Ausreichend für das elektronische Format ist jedes elektronische Dokument, das dauerhaft wiedergegeben werden kann (vergleichbar mit der Textform in [§ 126b BGB]).”4sagt der Landesbeauftragte für Datenschutz und Informationsfreiheit RLP in einem Beitrag zur Auftragsverarbeitung.

Die Bestätigung von Seiten des Auftraggebers, hier der Schule, erfolgt bei den OST als Bestandteil der Abschlusses eines Volumenlizenzvertrags durch Setzen eines Häkchens. Im DPA gibt es eine eingescannte Unterschrift unter den Standardvertragsklauseln. Verschiedene Fachjuristen kommen zu dem Schluss, dass es nicht einmal dieser eingescannten Unterschrift bedarf. Die Erklärung sollte, da es sich bei der DS-GVO um eine europäische Rechtsnorm handelt, anders als im nationalen Recht unterschriftlos gültig sein.5“Mithin herrscht Einigkeit darüber, dass der europäische Gesetzgeber dem elektronischen Format nicht das Verständnis der deutschen Norm aus dem BGB zugrunde gelegt hat. Vielmehr scheint sich die Ansicht durchzusetzen, dass die Textform nach § 126b BGB den Anforderungen an das elektronische Format i.S.d. Art. 28 Abs. 9 DSGVO genügt. Bei der Textform handelt es sich um eine unterschriftlose Erklärung, die auf einem dauerhaften Datenträger (eine Download-Möglichkeit kann ausreichen) abgegeben wird und gegen nachträgliche Änderungen geschützt ist.” Elektronischer Vertragsschluss der Auftragsverarbeitung (Art. 28 DSGVO) von Datenschutzkanzlei Es sind allerdings nicht alle Fachleute dieser Meinung. Einigkeit herrscht jedoch zumindest darin, dass es keiner “qualifizierten elektronischen Signatur” bedarf6Auch aktuelle Aussagen der Europäischen Kommission von September 2018 untermauern die Ansicht, dass eine elektroniche Signatur nicht erforderlich ist: “Eine elektronische Signatur ist für die Rechtswirksamkeit von Verträgen gerade nicht erforderlich. Signaturen sind eines von mehreren Mitteln, um den Vertragsschluss beweisen zu können. Dies bedeutet, dass Autragsverarbeitungsverträge auch „einfach“ elektronisch, zB per PDF Dokument oder über eine Webseite, abgeschlossen werden können.” Carlo Piltz in Europäische Kommission zum Formerfordernis für Auftragsverarbeitungsverträge nach der DSGVO.

In der aktuellen Situation sollte das von Microsoft angebotene Format den Vorgaben zum Abschluss eines Vertrags oder anderen Rechtsinstrumentes zur Auftragsverarbeitung nach Art. 28 DS-GVO genügen. Diesen Spielraum lassen die Vorgaben zu. Die OST und das anhängige DPA werden online angeboten, die Standardvertragsklauseln als zentrales Element dieser Vereinbarung sind unterzeichnet, und zeigen damit den Willen Microsofts, einen Vertrag mit dem Kunden einzugehen. Der nimmt das Angebot durch Setzen eines Häkchens an und speichert die OST sowie das DPA ab oder druckt beides aus.7“Weitergehend kann es bei einer online erfolgenden invitatio ad offerendum ausreichend sein, dass der bestellende Kunde eine Checkbox betätigt und so ein rechtswirksames Angebot auf einen bereitgestellten Vertrag abgeben kann, das der Vertragspartner sodann mit dem Hauptvertrag annimmt, wenn der Vertrag speicher- und druckbar ist.”Koreng/Lachenmann DatenschutzR-FormHdB | 1. Vergleich Auftragsverarbeitung nach dem BDSG und der DS-GVO Rn. 1. – 7. – beck-online

Fazit

Durch Annahme der OST mit dem anhängigen DPA als Bestandteil eines Volumenlizenvertrags zu Office 365 ist aktuell den Vorgaben der DS-GVO nach Art. 28 zum Abschluss eine Vertrages zur Auftragsverarbeitung zwischen Schule als Auftraggeber und Microsoft als Auftragnehmer Genüge getan. Rein vertraglich sind hier auch die erforderlichen Vorgaben bezüglich des Exports von Daten in Drittstaaten abgedeckt, da Microsoft auch das EU-US Privacy Shield Übereinkommen unterzeichnet und sich damit entsprechend zertifiziert hat.

Schulen, die einen Volumenlizenvertrag mit Microsoft abschließen, sollten dabei auf zwei Dinge achten, um im Sinne von Art. 28 den Abschluss eines Vertrags bzw. anderen Rechtsinstrumentes zur Regelung der Auftragsdatenverarbeitung dokumentieren zu können:

  • Die Seite, wo die Vertragsbedingungen zum Volumenlizenzvertrag angenommen werden, sollten mit gesetzen Häkchen ausgedruckt werden.
  • Über den Link zu den OST und DPA sollten die aktuellen Online Service-Nutzungsbedingungen des Monats sowie das Online Services Data Protection Addendum (DPA) heruntergeladen und abgespeichert werden.

Wo Fragen bleiben

Ein gänzlich anderes Thema und wesentlich bedeutsamer als der Vertrag ist die Frage, ob Microsoft tatsächlich den vertraglich zugesicherten Angaben gerecht wird bzw. werden kann. Die Aufsichtsbehörden sind sich hier trotz aller Zusicherungen durch und Zertifizierungen von Microsoft nicht sicher. Für sie bleiben Fragen ungeklärt. Aus diesem Grund sprechen sie bisher keine Empfehlung aus. Ein Verbot gibt es jedoch auch nicht von offizieller Stelle, zumindest in NRW. Hierzu an anderer Stelle mehr.

Wer ist verantwortlich?

Auch wenn Microsoft den Formalien eines AVV entspricht und Schulen so rechtswirksam ihrer Pflicht nach Art. 28 nachkommen können, so kann es für Schulen rein rechtlich zum Problem werden, wenn der Vertrag durch den Schulträger abgeschlossen wurde. Das könnte an einigen Stellen der Fall sein. Eine rechtswirksame Vereinbarung im Sinne von Art. 28 Abs. 3 muss immer zwischen dem Verantwortlichen als Auftraggeber und dem Dienstleister als Verarbeiter bzw. als Auftragnehmer abgeschlossen werden. Verantwortlicher ist bei Schulen immer die Schulleitung. Eine nachträgliche Änderung wird vermutlich nahezu unmöglich sein, vor allem, wenn der Schulträger den Vertrag für mehrere Schulen abgeschlossen hat. Schulträger haben oft Volumenlizenzverträge für die kommunalen Verwaltungen abgeschlossen und werden entsprechend EDU Volumenlizenzverträge an die bestehende Instanz anhängen. Auch das wird eine Änderung erschweren bis unmöglich machen.8Ich kenne bisher leider zu wenige aktuelle Beispiel, wie Schulträger dieses regeln, um dieses sicher beurteilen zu können. Gänzlich anders sollte die Sache aussehen, wenn der Schulträger einen Rahmenvertrag mit Microsoft abgeschlossen hat. Tritt eine Schule diesem bei, tut sie dieses in eigener Verantwortung und kann ganz regulär die OST mit dem anhängigen DPA mit Microsoft abschließen.

Für den Fall, dass der Schulträger die Lizenenzen beschafft, ist es durchaus möglich, dass die Schule einen Vertrag zur Auftragsverarbeitung mit dem Schulträger selbst abschließt, der wiederum seinerseits die OST mit dem anhängigen DPA mit Microsoft vereinbart. Microsoft taucht dann im Vertrag zur Auftragsverarbeitung zwischen Schule und Schulträger als Unterverarbeiter auf. Stellt der Schulträger Lizenzen für mehrere Schulen zur Verfügung, sollte für jeder Schule ein eigener Tenant angelegt werden, um die Instanzen auch rechtlich sauber von einander zutrennen.

Es spricht aus rechtlicher Sicht durchaus etwas dafür, dass der Schulträger den Vertrag mit Microsoft abschließt, da er so ein Stück weit mit in die Verantwortung genommen wird.

Links:

Stand 06/2020

Veröffentlicht am

Auftragsverarbeitung und die Form des Vertragsschlusses

Lesezeit: 4 Minuten

Viele Schulen sind erst durch die Datenschutz Grundverordnung darauf aufmerksam geworden, dass sie in Bezug auf die Dokumentation zum Datenschutz etwas tun müssen. Es reicht dabei allerdings nicht aus, lediglich ein Verzeichnis von Verarbeitungstätigkeiten anzulegen, sondern es müssen auch Verträge zur Auftragsverarbeitung (AV Verträge) abgeschlossen werden, wenn die Verarbeitung personenbezogener Daten außerhalb der schuleigenen IT Systeme erfolgt. Damit ergeben sich jedoch gleich neue noch komplexere Probleme – wo und wie schließt man die Verträge zur Auftragsverarbeitung ab?

Schulträger/ kommunales Rechenzentrum/ regionale Dienstleister

Relativ unproblematisch ist der Abschluss von Verträgen zur Auftragsbearbeitung, wenn die Dienste eines kommunalen Rechenzentrums genutzt werden, da diese in der Regel von sich aus entsprechende Verträge anbieten. Ähnliches gilt für Dienstleister im deutschsprachigen Raum, die Softwareprodukte für Online Klassenbücher, digitale Schwarze Bretter, Classroom Management Systeme, Lernplattformen und ähnlich anbieten. Schwieriger wird es schon, wenn ein solcher Vertrag mit dem Schulträger abgeschlossen werden muss, wobei das kommunale Rechenzentrum oder ein anderer Dienstleister nur Unterauftragnehmer ist. Das liegt daran, dass Schulträger sich häufig nicht als Auftragnehmer begreifen, wenn es um schulische Datenverarbeitung geht.

Hoster für Schulhomepage

Auftragsbearbeitung liegt auch vor, wenn für den Betrieb der Schulhomepage ein Hoster genutzt wird. Bei den meisten Schulhomepages dürfte dieses der Fall sein. Teilweise machen die Anbieter ihre Kunden von sich aus auf die Möglichkeit, einen entsprechenden Vertrag abzuschließen, aufmerksam. In der Regel liegt dieser als vom Hoster vorunterzeichneter Vertrag in Form einer PDF Datei vor. Die Schule druckt diese Datei aus, füllt den Kopfteil aus, unterzeichnet, scannt das Dokument ein und sendet es per E-Mail an den Hoster zurück. Der bestätigt den Eingang.

Genau genommen war der Vertrag zur Auftragsverarbeitung schon in dem Moment gültig, wo die Schule ihn für sich ausgefüllt und unterzeichnet hat. Von Seiten des Hosters lag bereits mit dem zum Download bereitgestellten, unterzeichneten Vertrag eine Willenserklärung vor.1Was damit gemeint ist, wird unten erklärt.. Man sollte den Vertrag totzde zurücksenden, denn erst dadurch erlangt der Hoster Kenntnis von der Zeichnung des Vertrags.

Große internationale Dienstleister

Schwieriger kann es werden, wenn es um Verträge mit internationalen Dienstleistern in der Branche geht. Nicht alle bieten einen downloadbaren vorunterzeichneten Vertrag an wie die Firma Apple für den Apple School Manager (ASM) oder Microsoft für Office 365. Apple bietet für die Nutzung des ASM einen vorunterzeichneten Vertrag im PDF Format an2Der Vertrag, das “Apple School Manager Agreement” ist im ersten Teil in englischer Sprache gefasst. Im zweiten Teil sind deutschsprachige Teile, die unterzeichnet werden müssen, um Gültigkeit zu erlangen.. Bei Microsoft ist der vorunterzeichnete Vertrag im Docx Format gehalten3Es geht hier um dem OST Vertrag. Man wählt die Sprache, lädt ihn herunter, druckt ihn aus und unterzeichnet auf der vorletzten Seite. Soll der Vertrag digitalisiert verwahrt werden, empfiehlt es sich, das PDF Format zu wählen.4Für die Office 365 mit der MS Cloud Deutschland wird der AV Vertrag mit der Telekom abgeschlossen, die Datentreuhänder ist für Microsoft..

Was ist, wenn der Dienstleister keinen Vertrag in der oben beschrieben Form anbietet, sondern lediglich eine Möglichkeit, eine Webseite durchzulesen und den Vertrag mit dem Bestätigen einer Checkbox abzuschließen?

Bei Google heißt es an der Stelle, wo es bisher einen Vertrag zum Download gab,

Stattdessen steht ab diesem Zeitpunkt ein Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO zur Verfügung, den Sie elektronisch abschließen können (vgl. Sie bitte Art. 28 Abs. 9 DSGVO zur Möglichkeit, Auftragsverarbeitungsverträge auch in ‘elektronischer Form’ abzufassen).5https://static.googleusercontent.com/media/www.google.de/de/de/analytics/terms/de.pdf

Einen AV Vertrag elektronisch abschließen – geht das?

Das Thema ist nicht ganz einfach. Zwar sagt Art. 28 Abs. 9 DS-GVO, dass die Abfassung des Vertrags auch “in einem elektronischen Format erfolgen kann“, doch wie dieses elektronische Format genau auszusehen hat, darüber herrscht keine absolute Einigkeit unter den Experten.

Dass es der Papierform für einen Vertrag nicht mehr bedarf und man stattdessen mit digitalen Dokumenten in Word- oder  PDF-Format arbeiten kann, daran besteht wenig Zweifel. Das entscheidende Kriterium ist hier, dass das gewählte Format sicherstellt, dass nachträgliche Änderungen technisch unmöglich ist. In der Fachliteratur findet man dazu folgende Ausführung.

Vielmehr ist es nach Art. 28 Abs. 9 DS-GVO ausreichend, dass der Auftragsverarbeitungsvertrag durch zwei gegenseitige Willenserklärungen i. S. v. §§ 145 ff. BGB geschlossen und zumindest elektronisch „abgefasst“ wird. Entscheidend ist, dass der Vertragsschluss in irgendeiner Form dokumentiert wird. Einer Verkörperung, z. B. als Ausdruck, bedarf es zwar nicht, jedoch muss das gewählte Format sicherstellen, dass nachträgliche Änderungen technisch unmöglich sind und ersichtlich bleibt, dass zwei kongruente Willenserklärungen vorlagen. 6Koreng/Lachenmann DatenschutzR-FormHdB, 1. Vergleich Auftragsverarbeitung nach dem BDSG und der DS-GVO Rn. 1. – 7., beck-online

Der Punkt ist nun, wie man die beiderseitige Willenerklärung dokumentiert. Einige Experten sind der Ansicht, es bedürfe dazu einer elektronischen Signatur. Allerdings geben andere europäische Rechtsnormen keinen Hinweis darauf, dass dieses erforderlich ist7Kühling/Buchner/Hartung, DS-GVO, Art. 28 Rn. 94 ff.. Nach Koreng/Lachmann sollte es möglich sein, dass

bei einem Onlinevertragsschluss der Vertrag über die Auftragsverarbeitung digital bereitgestellt werden kann.

Dann wiederum sollte es ausreichen, wenn der Kunde mit dem Bestätigen einer Checkbox ein

ein rechtswirksames Angebot auf einen bereitgestellten Vertrag abgeben kann, das der Vertragspartner sodann mit dem Hauptvertrag annimmt, wenn der Vertrag speicher- und druckbar ist.

Letzteres ist von Bedeutung, um den Vertragsabschluss auch auf Seiten der Schule zu dokumentieren. Es empfiehlt sich, die eigene Willensbekundung zum Abschluss des AV Vertrags, wenn sie nur durch Bestätigen einer Checkbox möglich ist, ebenfalls zu dokumentieren. In der Regel sollte die Annahme des Vertrags zur Auftragsverarbeitung in der Online Vertragsverwaltung an irgendeiner Stelle angezeigt werden. Diese Seite sollte man dann ausdrucken. Der Anbieter hat seine Willensbekundung bereits mit der Bereitstellung des Vertrags auf seinem Portal getätigt. Im folgende Beispiel sieht man, wie so etwas aussehen könnte.

Wenn es kein PDF gibt

Bietet der Dienstleister, so wie Google bei Google Analytics oder der G-Suite for Education keinen AV Vertrag als PDF zum Download an, empfehle ich folgendes Vorgehen, um den Abschluss eines AV Vertrages zu dokumentieren.

  • Wenn bei Anbieter im Kontobereich/Vertragsverwaltungsbereich des Nutzungsvertrages die erfolgte Zeichnung des AV Vertrags angezeigt wird, wie im folgenden Beispiel bei G-Suite for Education, dann sollte man diese Seite als PDF sichern oder ausdrucken.8Die Namen sind hier aus Gründen des Datenschutz herausgelöscht.
  • Den eigentlichen Vertrag und zugehörige Bestandteile (bei Google beispielsweise die Standardvertragsklauseln) sollte man ebenfalls als PDF abspeichern.

Auf diese Art und Weise kann man erstens die Willensbekundung der Schule dokumentieren, den Vertrag einzugehen, und zweitens der Erfordernis nachkommen, den Vertrag in einem Format zu sichern, welches eine nachträgliche Änderung technisch unmöglich macht9Natürlich kann man auch ein PDF verändern, doch es geht hier weniger darum, dass die Schule den AV Vertrag ändern könnte, sondern der Auftragnehmer, etwa Google..

Fazit

Noch herrscht einige Unsicherheit, selbst unter Experten, wie genau der Abschluss eines Vertrags zur Auftragsverarbeitung in elektronischer Form aussehen sollte. Weder Experten noch Anbieter sind hier einer Meinung, wie bei letzteren die unterschiedlichen Formen, AV Verträge bereitzustellen zeigen. Grundsätzlich empfiehlt es sich, mit einem Vertrag in Form eines vorunterzeichneten PDF zu arbeiten, wenn dieses möglich ist. Bei Anbietern, die diesen Weg nicht anbieten, sollte man den Vertragsabschluss möglichst gut dokumentieren und den Vertrag selbst in einem sicheren Format speichern oder auch ausdrucken.

Es ist zu erwarten, dass die Zukunft Rechtssicherheit bringen wird, was genau unter einem elektronischen Format nach Art. 28 Abs. 9 DS-GVO zu verstehen ist. Entsprechende Nachsteuerungen durch den Gesetzgeber oder Urteile von Gerichten werden dafür sorgen. Bis dahin sollte man einen der oben beschriebenen Wege nutzen.

Weitere Informationen

Veröffentlicht am

EU-US Privacy Shield auf der Kippe und für Schulen wird nichts besser

Lesezeit: 2 Minuten

Der EU-US Privacy Shield, der Nachfolger des Safe Harbour Agreements, bietet US amerikanischen Anbietern wie Microsoft, Google, Apple und Amazon die Möglichkeit, europäischen Nutzern Garantien für die Sicherheit von personenbezogenen Daten anzubieten, welche auf US Servern verarbeitet werden. Bei großen weltweit agierenden Anbietern ist es normal, dass man ein über die Welt verstreutes Netzwerk (CDN) an Servern hat. Wichtige Server stehen dort, wo die Firmen ihre Zentralen haben, in den USA.

Die Übermittlung von Daten in Länder außerhalb der EU ist aus datenschutzrechtlicher Sicht ein komplexes Thema, denn es geht um Schutzniveaus und Garantien, dass die personenbezogenen Daten europäischer Bürger in diesen Drittstaaten sicher sind und auf einem der EU vergleichbaren Datenschutzniveau verarbeitet werden. Es geht um Sicherheit vor Missbrauch der Daten und unberechtigten Zugriffen. Dank des EU-US Privacy Shields ist es aktuell recht einfach, die Dienste der genannten Anbieter in Anspruch zu nehmen, wenn man den Anbietern selbst vertraut. In der Regel sind große Anbieter zusätzlich von unabhängigen Instanzen zertifiziert und man unterzeichnet darüber hinaus noch Standardvertragsklauseln.

Für Schulen ist der unterrichtliche Einsatz von Angeboten, welche die Nutzung US amerikanischer Server mit einschließen, Angeboten wie Office 365 mit der Cloud von Microsoft, G-Suite for Education von Google und iCloud von Apple auch trotz EU-US Privacy Shield nicht ohne Probleme. Bis auf Ausnahmen1z.B. LDI Hessen für Office 365 mit  der (Deutschland) Cloud und LDI RLP für G-Suite for Education (ohne personenbezogenen Daten). sprechen die Aufsichtsbehörden der Bundesländer keine Empfehlungen für Schulen aus, dass sie eines der genannten Produkte ohne Bedenken mit Nutzerkonten mit Klarnamen und weiteren personenbezogenen Daten der Schüler im Unterricht nutzen können. Für sie gibt es, trotz EU-US Privacy Shield und zusätzlichen Selbstverpflichtungen zu viele ungeklärte Fragen.

Am 11. Juni 2018 hat man in Brüssel festgestellt, dass das EU-US Privacy Shield keinen ausreichenden Schutz für die personenbezogenen Daten von EU Bürgern garantiert. Nun soll die europäische Kommission das Abkommen auf Eis legen, sollten die USA nicht bis zum 1. September Garantien bieten, welche den Vorgaben der DS-GVO entsprechen. Darüber hinaus steht wohl auch noch eine Entscheidung des europäischen Gerichtshofs (EuGH) zu den Standardvertragsklauseln an. Experten sind sich aktuell unsicher, wie das alles enden wird.

Fakt ist jedoch: sollten das EU-US Privacy Shield und/oder die Standardvertragsklauseln kippen und es gibt keine neuen vertraglichen Regelungen zwischen den USA und der EU, dann wird es für Schulen noch schwieriger, eventuell sogar unmöglich, manche Produkte der großen Anbieter zu nutzen. Und nicht nur das. Selbst nicht US Anbieter unterhalten oft in den USA Datenzentren und Niederlassungen, da dort einer ihrer größten Märkte ist. Andere Anbieter nutzen die Serverdienste von Amazon (AWS) und Google, da sie selbst keine eigenen Server haben.2Die Problematik geht eigentlich sogar noch weiter, denn auch die großen Betriebssystem, von Linux einmal abgesehen, kommen ohne Datenfluss zu und von US Servern nicht aus, wenn es um Updates geht, um anonymisierte Nutzungsdaten, die Zugriffe von Apps usw.

Fazit: Was ohnehin schon problematisch ist, wir womöglich noch problematischer werden.

Alles könnte einfacher:  Es gäbe einfache Auswege. Schulen könnten problemlos Angebote wie Collabora Office, Nextcloud und ähnlich nutzen, um vergleichbare Funktionalitäten für den Einsatz im Unterricht zu erhalten. In vielen Kommunen sieht man jedoch eine Dominanz von Microsoft Produkten, denn diese sind in den kommunalen Verwaltungen im Einsatz, werden von den kommunalen Dienstleistern unterstützt und von Wirtschaftsbetrieben vor Ort an den Schulen favorisiert. Vielleicht ist es an der Zeit, den Schalter umzulegen und auf andere Lösungen zu setzen. Die Vergangenheit zeigt, dass es für Schulen aus datenschutzrechtlicher Sicht problematisch ist, auf die großen Anbieter zu setzen.

Die Zukunft des EU-US Privacy Shields und der Standardvertragsklauseln sind zur Zeit ungewiss. Es bleibt abzuwarten, was passiert.

Veröffentlicht am

BookCreator geht DS-GVO konform

Lesezeit: 2 Minuten

BookCreator ist eine Plattform zur einfachen Erstellung digitaler multimedialer Bücher und vor allem in der iPad Version verbreitet an Schulen. Seit letztem Jahr bietet BookCreator außerdem eine Webplattform für die plattformunabhängige Nutzung mit dem Chrome Browser an, welche die Funktionalitäten der App nahezu gleichwertig abbildet und dazu noch Echtzeit-Kollaboration zulässt. Wer BookCreator nur lokal auf einem iPad nutzt, braucht sich um die Datenschutz Grundverordnung kaum Gedanken machen, solange die Speicherung von Projekten nicht in der iCloud erfolgt1Die iCloud Synchronisation muss zusätzlich deaktiviert werden..

Anders sieht das aus, wenn man die Webplattform nutzt. An diese kann auch das App angebunden werden für den Export von Büchern. Bei der Nutzung der Online Version landen in der Regel personenbezogene Daten von Schülerinnen und Schülern wie auch Lehrkräften in der Cloud. Das ist datenschutzrechtlich nur zulässig, wenn dieses im Auftrag der Schule erfolgt und dafür ist der Abschluss eines Vertrags zur Auftragsverarbeitung (AV Vertrag) zwischen Schule und BookCreator erforderlich. Die Schule ist dabei Auftraggeber (Controller) und BookCreator Auftragnehmer (Processor) und damit weisungsgebunden gegenüber der Schule.

BookCreator nutzt als Online Speicher die Google Cloud in den USA. Google arbeitet hier als Auftragnehmer von BookCreator. Der Vertrag regelt unter anderem, wie in Verträgen dieser Art üblich, dass Google dabei kein Recht hat, die Daten einzusehen. Der AV Vertrag zwischen Schule und BookCreator sollte auch für Nutzer aus Europa kein Problem darstellen, da Google sich dem EU-US Privacy Shield Abkommen verpflichtet hat und zusätzliche EU Modell Vertrags Klauseln unterzeichnet hat.2Weitere Informationen unter <a href=”https://bookcreator.com/gdpr/”>GDPR Compliance</a> BookCreator ist in Großbritannien zu Hause und damit (noch) EU.

Den AV Vertrag kann man laden unter Book Creator Data Processing Addendum.PDF Der gesamte Vertrag ist in englischer Sprache gehalten und bereits unterzeichnet. Schulen müssen ihn nur noch gegenzeichnen und an BookCreator3Der Vertrag wird an folgende E-Mail Adresse geschickt: gdpr@bookcreator.com schicken, damit er gültig ist.

Wird das Angebot nicht vollkommen anonymisiert genutzt, was viele kreative Einschränkungen mit sich bringt, müssen von Schülern und Lehrkräften darüber hinaus Einwilligungen vorliegen für die Nutzung ihrer personenbezogenen Daten auf der BookCreator Plattform.

Für die Nutzung der Online Version über den Chrome Browser müssen Schüler über einen Google Account (in der Regel ein G-Suite for Education Account) oder ein Office 365 Konto verfügen. Auch für die schulische Nutzung dieser beiden Angebote ist übrigens ein AV Vertrag erforderlich.

Die datenschutzfreundlichste Möglichkeit, die online Version von BookCreator mit Schülern zu nutzen besteht darin, anstelle des Chrome Browsers den auf Chrome basierenden Brave Browser4Brave gibt es für alle Betriebssysteme, auch für iOS. zu nutzen, und für den Login der Schüler QR Code Login für diese zu erstellen.

BookCreator hat seinen Sitz in Großbritannien. Das wird Auswirkungen auf die datenschutzrechtlichen Voraussetzungen für die Nutzung der online Version haben. Bis zum Ende des Übergangszeitraum am 31. Dezember 2020 gilt in GB noch die DS-GVO. Danach gilt britisches Datenschutzrecht. Dieses soll deutliche Abweichungen von der DS-GVO haben. Ohne einen sogenannten Angemessenheitsbeschluss der EU können dann dort personenbezogene Daten von EU Bürgern nicht länger ohne zusätzliche Absicherungen DS-GVO konform verarbeitet werden. Für Schulen in der EU wird eine Nutzung der online Version von BookCreator mit personenbezogenen Daten von Schülern ab Januar 2021 damit nicht länger möglich sein. Bereits angelegte Schülerkonten müssen bis dahin gelöscht werden und Projekte, die personenbezogene Daten enthalten, sind zu exportieren und ebenfalls zu löschen. Sollten die Anbieter von BookCreator bis dahin ein DS-GVO konforme Lösung in Form von Servern anbieten, auf welchen die Daten von EU Nutzern verarbeitet und gespeichert werden können, müsste ein entsprechender Wechsel vollzogen werden.

Letzte Bearbeitung 2020-02-22

Veröffentlicht am

Apple iWork kann Kollaboration – Datenschutz?

Lesezeit: 2 Minuten

Kollaboration, die in Echtzeit abläuft, setzt immer einen Abgleich zwischen den verschiedenen Nutzern voraus, die an einem Produkt arbeiten. Dafür gibt es eine zentrale Instanz, die für den Abgleich und die Versionsverwaltung sorgt. Diese liegt in der Regel in einer Cloud. Sie sorgt dafür, dass jeder, der an einem gemeinsamen Produkt arbeitet, den gleichen Arbeitsstand hat.

Am 27.03.2018 hat Apple nun für sein iWork (Pages, Numbers, and Keynote) neue Funktionen vorgestellt. Dazu gehört auch eine Echtzeitkollaboration über die Apps. Diese läuft über Apples iCloud, ist jedoch auch über den Anbieter Box möglich.  Letzteres ist ein Dienst, der an US Schulen häufig genutzt wird, vermutlich da der kostenlose Speicherplatz in iCloud für Schulen bisher sehr begrenzt war, der Anbieter günstiger ist und außer Apple auch Office 365 und G-Suite unterstützt.

Die neue Kollaborationsfunktion, ist definitiv sehr nützlich und für zeitgemäßes Lernen gewinnbringend. Was aber ist mit dem Datenschutz? Die Zusammenarbeit in Pages, Numbers und Keynote setzt Apple IDs und iCloud voraus. Damit ergibt sich jedoch ein Problem. Bisher ist die Nutzung von iCloud mit personenbezogenen Daten, auch wenn Apple sogar eine Datenverarbeitung im Auftrag anbietet und die Einhaltung aller möglicher Standards anführt, in Deutschland nicht datenschutzkonform möglich (siehe FAQ RLP).

Hier könnte unter Umständen Box.com ins Spiel kommen, denn dieser Anbieter bietet anders als Apple zwei Serverstandorte in Deutschland (Frankfurt, Magdeburg) an, und ist sogar vom TÜV Rheinland zertifiziert. Entscheidend wird für Schulen neben der Einhaltung datenschutzrechtlicher Vorgaben (z.B. Treuhandmodell?) jedoch auch der Preis sein.

Was bedeutet das nun für die schulische Praxis?

Da die neue Kollaborationsfunktion von iWork nur mit iCloud (oder Box) genutzt werden kann, muss für eine datenschutzkonforme Nutzung eine der beiden folgenden Bedingungen erfüllt sein:

  • die Schule arbeitet ohne personenbezogene Daten (z.B. mit pseudonymisierten Apple IDs) und regelt über die Benutzerordnung, dass auch bei der Arbeit mit iWork keinerlei personenbezogene Daten von den Schülern genutzt werden, oder
  • die Schule arbeitet mit  personenbezogenen Daten (z.B. Klarnamen für die Apple IDs) und die Nutzer haben ihre Einwilligung dazu gegeben und es besteht mit Apple (oder eventuell Box) ein Vertrag zur Datenverarbeitung im Auftrag.

Bevor beurteilt werden kann, ob Box.com für die Nutzung der Kollaborationsfunktion von  iWork genutzt werden kann, muss zunächst geklärt werden, ob dieses tatsächlich datenschhutzkonform möglich ist.

Stolz präsentiert von WordPress