Datenschutzvorfall – und nun?

Lesezeit: 11 Minuten

Worum geht es?

Ein Datenschutzvorfall kann eine sehr ernste Sache mit weitreichenden Folgen sein. Wie zahlreiche Beispiele zeigen, kann es jede Schule betreffen.

Zu den Beispielen, die es in die Medien geschafft haben gehören aus dem Jahr 2023 der Cyberangriff auf die SIT, einen kommunalen Dienstleister in Südwestfalen, durch den viele Schulen zumindest vorübergehend nicht auf ihre Daten zugreifen konnten, wie auch der Datenverlust auf Schüler iPads von Abiturienten in Koblenz, ein Cyberangriff auf HeinekingMedia, den Anbieter eines digitalen Schwarzen Brettes, der Verlust von Chatinhalten und Nutzerdaten in einem schulischen Messenger an einer Bad Reichenhaller Schule durch einen Cyberangriff oder ein Ransomware Angriff auf Schulverwaltungsserver in Karlsruhe. Ende 2022 standen beispielsweise die Zugangsdaten zu Office von Nürnberger Schülern im Darknet. 2024 kam es bei dem Schulmitteilungs App ‚Stay Informed‘ zu einer Datenschutzverletzung, welche die personenbezogenen Daten von Personen an mehreren tausend Schulen betraf. Die Liste ließe sich nach lange fortführen und die Zahl der Vorfälle, die keine Schlagzeilen gemacht haben, ist noch deutlich größer.

Datenschutzverletzung

In Veröffentlichungen ist anstatt von einem Datenschutzvorfall meist von einer Datenschutzverletzung die Rede, da dieser Begriff sich in ähnlicher Form so auch in Art. 4 Nr. 12 DS-GVO findet.

4. „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;”

Von einer Datenschutzverletzung redet man also, wenn personenbezogenen Daten aus der Zuständigkeit des Verantwortlichen:

  • verloren gehen,
  • Unbefugten zur Kenntnis kommen,
  • unbefugt gelöscht oder verändert werden.

Beeinträchtigt sind dabei die Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität. Dabei ist unerheblich, welche Ursache die Datenschutzverletzung hat, ob sie absichtlich oder zufällig verursacht wurde, ob durch die Schule und ihre Angehörigen, einen Dienstleister oder Fremde, ob durch Softwarefehler, Hardwareversagen oder Naturkatastrophen.

In der schulischen Praxis geht es, wie die anfangs genannten Beispiele zeigen, um Fälle, in denen z.B.:

  • ein Datenverarbeitungsgerät, auf welchen personenbezogene Daten gespeichert sind oder über welchen der Zugriff auf personenbezogene Daten möglich ist, verlustig geht oder gestohlen wird. Das kann ein (Dienst)Laptop sein, ein Tablet oder auch eine Festplatte, ein USB Speichermedium, ein Server oder anderer Rechner.
  • Dritte über einen Hackerangriff Zugriff auf personenbezogene Daten der Schule erhalten und diese
    • entwenden,
    • veröffentlichen,
    • durch Verschlüsselung dem Zugriff der Schule entziehen.
  • Personenbezogene Daten aus der Schule unbefugten Dritten gegenüber offengelegt wurden, etwa indem
    • sie per E-Mail irrtümlich an einen falschen Empfänger übermittelt wurden,
    • offen zugänglich waren und durch Schüler kopiert oder abfotografiert wurden.
  • eine Schule den Zugriff auf personenbezogene Daten verliert, etwa weil
    • ein für das digitale Klassenbuch genutzter Dienstleister gehackt wurde,
    • das Archiv der Schule mit Zeugnissen und Klassenbüchern einer Naturkatastrophe zum Opfer fiel,
    • der Schrank, in welchem die Schülerakten aufbewahrt werden, bei einem Feuer vernichtet wurde.

Da ein Datenschutzvorfall jede Schule treffen kann, selbst wenn sie nur mit einem Minimum an digitalen Tools in Verwaltung und Unterricht arbeitet, ist es entscheidend, dass sowohl Schulleitungen als Verantwortliche wie auch Lehrkräfte als Datenverarbeitende in der Lage sind, einen solchen Vorfall zu erkennen und richtig zu reagieren, um den Schaden möglichst einzugrenzen und den datenschutzrechtlichen Vorgaben zu genügen, die in einem solchen Fall greifen.

10 Punkte

Die folgenden 10 Punkte stellen dar, was es bei einer Datenschutzverletzung zu beachten bzw. zu erledigen gibt. Ihre Reihenfolge kann je nach Fallkonstellation abweichen und gegebenenfalls sind nicht alle Punkte relevant.

  1. Feststellen, dass es (möglicherweise) eine Datenschutzverletzung gibt,
  2. Meldung der (möglichen) Datenschutzverletzung an die Schulleitung (Verantwortlicher),
  3. Ermitteln, welche Daten und Personen (möglicherweise) betroffen sind,
  4. Schulleitung informiert behördlich bestellte(n) schulische(n) Datenschutzbeauftragte(n), 
  5. Risikoabschätzung,
  6. wenn möglich Maßnahmen zur Schadensbegrenzung,
  7. gegebenenfalls Meldung an die Aufsichtsbehörde,
  8. gegebenenfalls Benachrichtigung der Betroffenen,   
  9. Dokumentation,
  10. technische und organisatorische Maßnahmen, um vergleichbare Datenschutzverletzungen für die Zukunft auszuschließen.

Datenschutzverletzung – ja/ nein?

Eine Datenschutzverletzung liegt vor, wenn …

  • sicher ist oder eine Wahrscheinlichkeit besteht, dass Daten gegenüber Unbefugten offengelegt wurden bzw. dass eine Möglichkeit besteht, dass Unbefugte Zugriff auf Daten der Schule haben, hatten oder gehabt haben könnten,
  • Daten durch Löschung, Vernichtung, Verschlüsselung, Verlust des Zugangs zu den Daten oder ähnlich nicht mehr verfügbar sind,
  • Daten verändert wurden und die Veränderung nicht erklär- oder nachvollziehbar ist, so dass von einer unbefugten Veränderung der Daten ausgegangen werden muss,

Meldung an Schulleitung

Kommt eine Lehrkraft oder sonstige an der Schule beschäftigte Person zu dem Schluss, dass (möglicherweise) eine Datenschutzverletzung vorliegt, informiert sie die Schulleitung entsprechend den in der Schule abgesprochenen Regeln möglichst unmittelbar. Dabei sollte sie möglichst präzise Angaben machen können zur möglichen Datenschutzverletzung.

Ermittlung betroffener Personen und Daten

Die Schulleitung analysiert nun genauer:

  • welche Arten von Daten betroffenen sind und in welchem Umfang,
  • welche Personen/ Personengruppen/ Klassen/ Kurse,
  • in welcher Art und Weise eine Datenschutzverletzung besteht,
  • wann es zur Datenschutzverletzung kam bzw. wann sie entdeckt wurde,
  • wie lange die Datenschutzverletzung besteht bzw. bestand,

um festzustellen, ob eine Datenschutzverletzung vorliegt oder nicht.

Datenschutzbeauftragten hinzuziehen

Es empfiehlt sich immer, die oder den behördlich bestellte(n) schulische(n) Datenschutzbeauftragte(n) zu informieren und beratend hinzuzuziehen. Das kann auch direkt dann erfolgen, wenn die Schulleitung die Meldung einer Lehrkraft, sonstigen an der Schule beschäftigten Person oder von anderer Seite bekommt.

Risikoanalyse

Steht fest, dass eine Datenschutzverletzung vorliegt, muss eine Risikoanalyse vorgenommen werden, um zu entscheiden, welche Schritte als Nächstes erforderlich sind. Die zuvor zusammengetragenen Informationen zu den Kategorien von betroffenen Personen und Kategorien von Daten sowie die Art und Weise und Dauer der Schutzverletzung müssen dazu in Relation gesetzt werden, um die Eintrittswahrscheinlichkeit eines Schadens ermitteln zu können, wie auch die Schwere eines möglichen Schadens.

  1. Wie schwer ist der mögliche Schaden für die betroffenen Personen?
  2. Wie wahrscheinlich ist es, dass aus der Datenschutzverletzung ein Schaden für die betroffenen Personen entsteht?
  3. Gesamtbewertung und Ergebnis der Risikobeurteilung

(1) Schwere des möglichen Schadens

Hier geht es um die Nachteile, welche Betroffene bezüglich ihrer Rechte und Freiheiten infolge der Datenschutzverletzung möglicherweise erfahren. Während in einigen Fällen die Nachteile unmittelbar offenkundig werden, muss in vielen Fällen abgeschätzt werden, welche Nachteile entstehen könnten, wenn sich die Datenschutzverletzung auswirkt. Beispiele für Schäden sind etwa:1Quelle ist hier das Formular zur Meldung von Datenschutzverletzungen der LDI NRW.

  • Identitätsdiebstahl
  • Betrug
  • finanzielle Verluste
  • Gefährdung des Berufsgeheimnisses
  • Verlust der Kontrolle ihrer personenbezogener Daten Einschränkung von Rechten
  • Diskriminierung
  • Aufhebung der Pseudonymisierung
  • Rufschädigung
  • erhebliche wirtschaftliche Nachteile
  • erhebliche gesellschaftliche
  • Nachteile Gefahr für Leib und Leben

(2) Wahrscheinlichkeit, dass ein Schaden eintritt

Der mögliche Schaden ist nur ein Faktor. Ob dieser Schaden tatsächlich eintritt bzw. wie wahrscheinlich es ist, dass er eintritt, wirkt sich wesentlich auf die Risikobewertung aus. Bestand an einer von der Schule genutzten Plattform über längere Zeit eine Sicherheitslücke, über welche Unbefugte persönliche Daten hätten entwenden können, es sind diese Daten jedoch an keiner Stelle aufgetaucht und es ist auch kein Missbrauch dieser Daten bekannt, ist die Wahrscheinlichkeit eines Schadenseintritts eher gering. Wurden Daten bei einem Ransomware Angriff durch die Hacker entwendet, ist die Eintrittswahrscheinlichkeit eines Schadens meist hoch, da die Erpresser in vielen Fällen Daten veröffentlichen.

Gesamtbewertung

Zur Gesamtbewertung wird mit Hilfe der Bewertungsmatrix die Schwere des möglichen Schadens in Relation zu Eintrittswahrscheinlichkeit gesetzt. Man sieht dann mit einem Blick anhand der Farben, ob ein Risiko oder gar ein hohes Risiko vorliegt. Entsprechend dem Ergebnis ergeben sich die nachfolgenden Schritte.

Wie die folgende Matrix zeigt, muss eine Datenschutzverletzung, selbst wenn Betroffenen potentiell ein großer Schaden entstehen kann, nicht automatisch auch zu einem hohen Risiko führen, wenn die Eintrittswahrscheinlichkeit für einen Schaden lediglich geringfügig ist. Das wäre beispielsweise der Fall,  gestohlene Daten zwar sensible Inhalte haben, der Datenträger, auf dem sie liegen, wie auch die Datenbank, in welcher sie gespeichert sind, sehr gut verschlüsselt sind.

Bewertungsmatrix

Mit der Matrix lässt sich feststellen, ob nur ein geringes Risiko vorliegt, ein Risiko oder ein hohes Risiko. Es gibt verschiedene Varianten dieser Matrix. Einige haben eine feinere Abstufung, etwa mit 5 Stufen.

Meldung an die Aufsichtsbehörde

Gemäß Art. 33 DS-GVO ist eine Meldung an die zuständige Aufsichtsbehörde erforderlich, nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden der Datenschutzverletzung,  sofern sie voraussichtlich zu einem Risiko für die Betroffenen führt. In NRW kann dafür ein Formular der Aufsichtsbehörde genutzt werden. Auch in anderen Bundesländern bieten Aufsichtsbehörden vergleichbare Funktionen in ihren Internetauftritten an.

Kommt die Gesamtbewertung aus der Risikoanalyse zu dem Schluss, dass insgesamt nur ein geringes Risiko vorliegt, ist eine Meldung nicht erforderlich.

Information der Betroffenen

Liegt ein voraussichtlich hohes Risiko für die Rechte und Freiheiten der betroffenen Personen vor, kommt gem. Art. 34 DS-GVO zur Meldung an die Aufsichtsbehörde auch noch die Information der Betroffenen selbst hinzu. Wie dieses erfolgt, hängt vom Einzelfall ab. Geht es um eine Datenschutzverletzung, die alle oder nahezu alle Mitglieder der Schulgemeinschaft betrifft, kann die Meldung u.U. über die Schulehomepage in Kombination mit E-Mail oder einer schulischen Mitteilungs-App erfolgen.

Maßnahmen zur Schadensbegrenzung

Nach Möglichkeit wird versucht, den möglichen Schaden, welcher für Betroffene entstehen könnte, zu begrenzen. Welche Maßnahmen wann umgesetzt werden, hängt auch hier vom Einzelfall ab. Wurden beispielsweise die Zugangsdaten zu einer schulischen Plattform gestohlen, wird man in der Plattform die Passwörter zurücksetzen und die Betroffenen informieren, dass sie sich beim nächsten Anmelden neue Passwörter vergeben müssen. Haben Hacker Zugriff auf einen schulischen Server erhalten, wird man diesen vom Netz trennen und herunterfahren. Sind schulische Daten verloren gegangen, wird man sie so weit wie möglich aus anderen Quellen rekonstruieren. Welche Maßnahmen hier in Frage kommen, ist auf der Seite Hilfe ein Cyberangriff der LDI NRW dargestellt.

Dokumentation

Egal wie sich der Fall einer Datenschutzverletzung entwickelt, einer Dokumentation bedarf es in jedem Fall, also auch wenn es keine Meldung an die Aufsichtsbehörde gibt. Verantwortliche können dann ihr Vorgehen nachweisen, sollte es erforderlich sein. Das kann geschehen, wenn sich nachträglich herausstellt, dass die Risikoanalyse zu einem falschen Ergebnis gekommen ist und doch eine Meldung an die Aufsichtsbehörde oder eine Information der Betroffenen erforderlich gewesen wäre. Genauso kann es sein, dass eine betroffene Person eine andere Auffassung vertritt als die Schule und die Aufsichtsbehörde einschaltet. Um sich die Dokumentation zu erleichtern, kann man auch das Web Formular der LDI NRW zur Meldung einer Datenschutzverletzung nutzen. Dieses führt einen durch die erforderlichen Schritte der Dokumentation. Man speichert es sich dann als PDF. Was die Dokumentation enthalten sollte, stellt die LDI NRW auch auf der Seite Hilfe ein Cyberangriff übersichtlich dar.

72 Stunden

Die Frist von 72 Stunden ist in der DS-GVO eher als Orientierung gedacht. Entsprechend heißt es in Art 33 Abs. 1 Satz 1:

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, …

Schulen sollten diese Vorgabe nach Möglichkeit einhalten, auch weil die Aufsichtsbehörde u.U. wichtige Hilfestellungen geben kann, und je nach Datenschutzverletzung kann Zeit ein kritischer Faktor sein. Wichtig ist, dass die Uhr erst tickt, nachdem der Verantwortliche, also die Schulleitung davon erfahren hat.

Maßnahmen im Nachgang

Ist der Fall einer Datenschutzverletzung abgeschlossen, sollte dieser auf jeden Fall aufgearbeitet werden. Welche Maßnahmen sinnvoll sind, hängt vom Einzelfall ab. Ereignete sich der Vorfall bei einem Dienstleister, kann die Schule nicht viel machen, außer eventuell den Dienstleister wechseln, sollte das Vertrauen unwiderruflich beschädigt sein. Bei Datenschutzverletzungen, in welche die Schule oder ihre Mitarbeiter unmittelbar involviert waren, sollte das bestehende Datenschutzkonzept überprüft und gegebenenfalls angepasst werden, um vergleichbare Datenschutzverletzungen für die Zukunft möglichst auszuschließen. Eine Dienstanweisung2Mehr Informationen zur Dienstanweisung finden sich weiter unten im Beitrag. ist, sofern noch nicht vorhanden, eine weitere Möglichkeit für die Zukunft besser aufgestellt zu sein. Ergänzend sollte gegebenenfalls eine Schulung des Kollegiums erfolgen. Je nach Fall kann es sein, dass zusätzliche technische und organisatorische Maßnahmen  eingerichtet und bestehende verbessert werden müssen.

Beispiele

Da jede Risikoanalyse letztlich eine Einzelfallbewertung ist, können hier nur beispielhafte Aussagen gemacht werden, die aber hoffentlich eine Idee geben, worauf es ankommt. Verschiedene Personen können je nach Fall durchaus auch zu voneinander abweichenden Gesamtbwertungen kommen.

  • Ein Eltern E-Mail mit allgemeinen Informationen wurde versehentlich mit offenem Verteiler versandt. Alle Eltern konnten so die privaten E-Mail Adressen aller anderen Eltern sehen.
    • Es ist hier zu einer Verletzung der Vertraulichkeit von personenbezogenen Daten gekommen.
    • Mögliche Nachteile für Betroffene könnten sein: unerwünschte Kontaktaufnahme; Werbe-E-Mails, falls die Adressen entsprechend genutzt werden; Spoofing – ein Empfänger täuscht E-Mails mit der Adresse von anderen Eltern vor, um falsche Informationen zu verbreiten, aufzuwiegeln, …
    • Eintrittswahrscheinlichkeit: die Wahrscheinlichkeit des Missbrauchs durch Eltern dürfte eher gering sein; dass die Verteilerliste an Personen außerhalb der Schulgemeinschaft gelangt, sollte eher gering sein
    • Gesamtbewertung: Es liegt insgesamt ein geringes Risiko vor. Die Schule dokumentiert den Fall und macht keine Meldung an die Aufsichtsbehörde.
    • Maßnahmen: Die Schule weist die Betroffenen jedoch auf die Datenschutzverletzung hin und entschuldigt sich dafür. Außerdem macht sie alle Eltern darauf aufmerksam, dass sie die E-Mail Adressen nicht zur Kontaktaufnahme nutzen dürfen oder weitergeben dürfen und sie löschen sollten. Die Schulleitung erstellt eine Dienstanweisung zum Versenden von E-Mails und führt eine Schulung aller Mitarbeiter durch.
  • Das Dienst-iPad einer sonderpädagogischen Lehrkraft wurde gestohlen. Auf dem Gerät waren Entwürfe für mehrere sonderpädagogische Gutachten und Unterlagen für AO-SF Verfahren, wie auch Entwürfe für individuelle Förderpläne und Textzeugnisse gespeichert.
    • Es geht in diesem Fall um besondere Kategorien von personenbezogenen Daten gem. Art. 9 Abs. 1 DS-GVO und den möglichen Verlust der Verfügbarkeit wie auch der Vertraulichkeit.
    • Mögliche Nachteile für Betroffene könnten sein: Sollten Unbefugte Zugriff auf die Unterlagen bekommen, drohen den Betroffenen möglicherweise Rufschädigung, ein Verlust über die Kontrolle der eigenen Daten, Diskrimierung sowie erhebliche wirtschaftliche und gesellschaftliche Nachteile.
    • Eintrittswahrscheinlichkeit: Da das Gerät zugangsgeschützt ist mit sechsstelligem Code und Fingerabdruck und die Daten auf dem Gerät verschlüsselt sind, ist die Wahrscheinlichkeit, dass Unbefugte an die Daten gelangen sehr gering. Außerdem kann die Schule das Gerät aus der Ferne löschen, sobald es online geht.
    • Gesamtbewertung: Da es, unabhängig von der Anzahl der betroffenen Personen, um besondere Kategorien von Daten geht, ist die Schwere des möglichen Schadens groß. Die Eintrittswahrscheinlichkeit dürfte bei 2 oder 3 liegen. Die Schule meldet den Vorfall an die Aufsichtsbehörde und informiert die Eltern der Betroffenen und die Betroffenen selbst.
    • Maßnahmen: Die Schule setzt das Gerät über das Mobile Device Management (MDM) zurück, so dass alle Daten am Gerät gelöscht werden. Verlorene Inhalte werden, sofern nicht an anderer Stelle gesichert neu erstellt.

Thema Auftragsverarbeiter

Eine Datenschutzverletzung muss nicht in der Schule oder bei einer an der schulischen Datenverarbeitung beteiligten Person wie einer Lehrkraft stattfinden, sondern kann sich auch bei einem Dienstleister ereignen. In einem solchen Fall, etwa beim Anbieter eines digitalen Klassenbuches, eines Schulmessengers, eines pädagogischen Servers, einer Lehr- und Lernplattform oder einer Arbeits- und Kommunikationsplattform, ist der Auftragsverarbeiter verpflichtet, den Verantwortlichen unmittelbar zu informieren. Verträge zur Auftragsverarbeitung enthalten hierzu entsprechende Klauseln. Ein Beispiel dafür ist die folgende Passage:

6. Mitteilungspflichten des Auftragnehmers bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten
Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DS-GVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder 34 DS-GVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung gem. Ziff. 4 dieses Vertrages durchführen.
3Stammt aus einem Vertragsmuster für öffentliche Stellen, welches die Aufsichtsbehörde Sachsens einmal zur Verfügung gestellt hat.

Sammelmeldung durch einen Auftragsverarbeiter

Arbeitet ein Auftragsverarbeiter wie etwa ein kommunales Rechenzentrum oder ein großer Plattformanbieter für viele Schulen, dann können von einer Datenschutzverletzung bei diesem Dienstleister u.U. auch alle den Dienstleister nutzenden Schulen betroffen sein. In diesem Fall ist es möglich, dass dieser Dienstleister eine gesammelte Meldung bei der zuständigen Aufsichtsbehörde macht. Dieses setzt aber die Einhaltung einiger Formalien voraus. Dazu gehören u.a. die vorherige Information des Verantwortlichen und eine schriftliche Weisung durch denselben an den Auftragsverarbeiter. Weitere Details zum Verfahren finden sich auf der Meldeseite der LDI NRW unter der FAQ “Dieselbe Datenpanne betrifft mehrere Verantwortliche Stellen – Kann eine Sammelmeldung für alle Verantwortlichen erfolgen?”4“Im Falle einer Verletzung des Schutzes personenbezogener Daten bei einem Dienstleister oder Auftragsverarbeiter, die mehrere Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO betrifft, obliegen die Melde-, Benachrichtigungs- und Dokumentationspflichten nach Art. 33, 34 DS-GVO den Verantwortlichen. Es ist jedoch möglich, dass eine Sammelmeldung durch eine zentrale Stelle erfolgt, solange gesichert ist, dass die verantwortlichen Stellen ihren Sitz in NRW haben bzw. der Aufsicht der LDI unterliegen, gemäß Art. 33 Abs. 2 DS-GVO über den Vorfall informiert wurden (sofern eine Auftragsverarbeitung vorliegt), die zentrale Stelle dazu berechtigt haben, für sie die Meldung an die zuständigen Aufsichtsbehörden abzugeben (bspw. in der Form einer Sammelmeldung), bei der Risikobeurteilung beteiligt wurden und bei der Auswahl und Umsetzung von Maßnahmen zur Abhilfe, Abmilderung und Vermeidung eines erneuten Auftretens der Datenpanne sowie der ggf. zu erfolgenden Benachrichtigung der betroffenen Personen einbezogen wurden – insbesondere bezüglich Maßnahmen, die im Einflussbereich der Verantwortlichen liegen. In einer solchen Sammelmeldung müssen die nach Art. 33 Abs. 3 DS-GVO geforderten Informationen differenziert für die einzelnen Verantwortlichen als Anlage beigefügt werden.”

Die Aufsichtsbehörde meldet sich

Es kann vorkommen, dass Betroffene bei der Aufsichtsbehörde eine Datenschutzverletzung anzeigen. In einem solchen Fall meldet sich die Aufsichtsbehörde. Dies war beispielsweise der Fall als es bei einem von Schulen genutzten Dienstleister eine Datenschutzverletzung in Form einer Sicherheitslücke gab, von welcher einige Schulen nichts mitbekommen hatten. Das Schreiben der Aufsichtsbehörde begann wie folgt:

Unter Bezugnahme auf Art. 58 Abs. 1 lit. a DS-GVO i. V. m. § 27 Abs. 2 DSG NRW fordere ich Sie auf, zu dem dargestellten Sachverhalt Stellung zu nehmen. Ich empfehle Ihnen, die bzw. den Datenschutzbeauftragte(n) Ihrer Behörde zu beteiligen. Die Stellungnahme soll gleichzeitig dazu dienen, dass Sie die Angelegenheit aus Ihrer Sicht erläutern können und mindestens folgende Punkte umfassen:

    • Sind Ihnen die besagten Sicherheitslücken bekannt geworden und wenn ja, wann?
    • Wann wurde die Aktualisierung des Produkts XYZ, die die Sicherheitslücken behebt, für Ihre XYZ-Instanz vorgenommen?
    • Ist es nach Ihrer Einschätzung aufgrund der Sicherheitslücken zu einer Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DS-GVO gekommen?
    • Wenn ja, wie schätzen Sie das Risiko für die Rechte und Freiheiten natürlicher Personen ein, das von der Verletzung ausgeht?

Ich weise Sie darauf hin, dass Sie mir gemäß Art. 33 DS-GVO Verletzungen des Schutzes personenbezogener Daten unverzüglich und möglichst innerhalb von 72 Stunden, nachdem Ihnen die Verletzung bekannt wurde, melden müssen, sofern …

Datenschutzverstoß

Eine Datenschutzverletzung kann auch einen Datenschutzverstoß, also einen Verstoß gegen die Vorgaben der DS-GVO, darstellen bzw. aus einem Datenschutzverstoß herrühren. Aber nicht jeder Datenschutzverstoß ist eine Datenschutzverletzung. Wenn eine Schule nicht über eine Datenverarbeitung gemäß Art. 13 DS-GVO infomiert, ist das ein Datenschutzverstoß, jedoch keine Datenschutzverletzung. Legt die Schule personenbezogene Daten wie beispielsweise Notenlisten für die Zeugniserstellung ungeschützt in einem Verzeichnis auf dem Server ab, auf dem auch die Schulwebsite liegt, ist dieses sowohl ein Datenschutzverstoß als auch eine Datenschutzverletzung.

Dienstanweisung

Es empfiehlt sich für Schulen, den Umgang mit Datenschutzvorfällen bzw. Datenschutzverletzungen über eine Dienstanweisung zu regeln. Das erleichtert allen Beteiligten die Handhabung, wenn es tatsächlich einmal einen Fall geben sollte. Aus der Dienstanweisung sollte hervorgehen, wann von einer Datenschutzverletzung ausgegangen werden muss, welche Maßnahmen eventuell direkt ergriffen werden können, wie die Schulleitung zu informieren ist und wann, und welche Schritte die Schulleitung unternimmt.

Download Vorlage: Dienstanweisung zum Umgang mit Datenschutzverletzungen.docx

Weiterlesen

04/2024

FAQ – Einsatz von digitalen Plattformen ab März 2022

Lesezeit: 7 Minuten

Mit dem 16. Schulrechtsänderungsgesetz von Februar 2022 haben sich bezüglich des Einsatzes von digitalen Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen zur Erfüllung des Bildungs- und Erziehungsauftrags an Schulen in NRW grundlegend verändert. Im Beitrag 16. Schulrechtsänderungsgesetz und Datenschutz werden diese Möglichkeiten ausführlich erläutert. Einige Fragen werden nach der Lektüre dieses Beitrags offen bleiben. In dieser FAQ sollen häufige Fragen deshalb beantwortet werden. Viele Fragen der praktischen Umsetzung werden sich vermutlich erst mit der Zeit klären. An einigen Stellen werden möglicherweise ergänzende Erlasse oder sogar Entscheidungen von Verwaltungsgerichten für Klärung sorgen müssen.

Ist bei jeder Einführung einer digitalen Plattform im Sinne von § 8 Satz 2 eine Beteiligung gemäß LPVG erforderlich?

Im LPVG NRW heißt es in § 72 Satz 3 Nr. 2 “(3) Der Personalrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, mitzubestimmen in Rationalisierungs-, Technologie- und Organisationsangelegenheiten bei
1. …
2. Einführung, Anwendung und Erweiterung technischer Einrichtungen, es sei denn, dass deren Eignung zur Überwachung des Verhaltens oder der Leistung der Beschäftigten ausgeschlossen ist,

Es hängt demnach von der jeweiligen Plattform ab, ob diese mitbestimmungspflichtig durch den Personalrat ist. Sind deren Funktionen nicht geeignet Verhalten oder Leistung von Lehrkräften zu überwachen, unterliegt die Plattform nicht der Mitbestimmung gem. LPVG. Die Logineo NRW Plattformen sind mitbestimmt, da sie viele solche Möglichkeiten bieten. Man wird davon ausgehen können, dass vor allem große Plattformen wie eine NextCloud oder IServ mitbestimmungspflichtig sind, vor allem wenn sie auch für Abbildung schulinterner Organisationsabläufe genutzt werden. Hingegen sollten Plattformen wie Antolin oder Anton, die unter Lehr und Lernsysteme gem. § 8 Satz 2 SchulG NRW fallen sollten, keine Möglichkeiten bieten, Aufschluss über das Nutzerverhalten von Lehrkräften zu gewinnen. Gleiches sollte auch für ein TaskCards gelten. Die Frage ist hier jedoch immer auch, wie weit man “Eignung zur Überwachung des Verhaltens oder der Leistung” fasst. Reicht es, wenn die Schulleitung die Anzahl der durch eine Lehrkraft erstellten Taskcards einsehen kann?

Man kann als Faustregel für die Abschätzung, ob eine Mitbestimmungspflicht vorliegt oder nicht, nehmen: je komplexer eine Plattform ist, desto wahrscheinlicher ist es, dass sie mitbestimmungspflichtig ist. Gleiches gilt auch, wenn sie für die Abbildung schulinterner Verwaltungs- und Organisationsprozesse durch Lehrkräfte genutzt wird. Einfachere Plattformen, in denen vor allem die Schülerinnen und Schüler im Mittelpunkt stehen, sollten tendenziell seltener der Mitbestimmungspflicht unterliegen.

Siehe auch Datenschutz & Mitbestimmung.

Können auch Microsoft 365 und Teams auf der neuen Rechtsgrundlage eingeführt werden?

Diese Frage dürfte viele Schulen bewegen.  Mit Stand von November 2022 wird die DS-GVO Konformität von Microsoft 365 von den Aufsichtsbehörden angezweifelt. Die kurze Antwort ist deshalb: solange eine Schule nicht in der Lage ist nachzuweisen, dass die Verarbeitung von personenbezogenen Daten bei der Nutzung von Microsoft 365 durch Schüler und Lehrkräfte DS-GVO konform möglich ist, ist auch eine Nutzung auf der Grundlage von § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW nicht möglich. Die Verarbeitung von personenbezogenen Daten setzt deshalb weiterhin eine Einwilligung der Betroffenen voraus.1Hinweis: Die Nutzung von Einwilligungen im Zusammenhang mit Unterricht wird von Aufsichtsbehörden äußerst kritisch gesehen. Die LDI NRW geht davon aus, dass die unterrichtliche Nutzung einer Plattform auf der Grundlage einer Einwilligung in der Regel nicht möglich ist. Das bedeutet, es kann durchaus Ausnahmen geben, doch überwiegend kann man davon ausgehen, dass eine Einwilligung als Rechtsgrundlage für die Nutzung ausscheidet.

Das Thema Microsoft 365 ist in Bewegung. Sogar die Kultusminister Konferenz engagiert sich jetzt mit Unterstützung einer Arbeitsgruppe der Datenschutzkonferenz. Bis Ende 2022 wird Microsoft alle Telemetriedaten ausschließlich in der EU Verarbeiten. Aber noch gibt es den CLOUD-Act, der kritisch gesehen wird, und Microsoft räumt sich in den Datenschutzbestimmungen das Recht ein, einige personenbezogene oder -beziehbare Daten für eigene Zwecke zu verarbeiten. Das wird von Aufsichtsbehörden als nicht DS-GVO konform eingestuft. Das heißt Abwarten – noch ist nichts verloren.

Die Aussagen zu Microsoft 365 lassen sich auch auf Google Workspace for Education übertragen. In den Niederlanden ist eine datenschutzkonforme Nutzung an Schulen mit Billigung der dortigen obersten Aufsichtsbehörde bereits möglich. Hier müssen Aufsichtsbehörden von Schulen erst noch davon überzeugt werden.

Was gilt für MNSPro Cloud?

MNSpro Cloud  von der Firma AIXConcept besteht aus zwei Teilen, MNSpro und Microsoft 365. Für beide werden getrennte Verträge zur Auftragsverarbeitung abgeschlossen. Während man das von AIXConcept erstellte und betriebene MNSpro auf der Rechtsgrundlage der neuen Regelungen einführen können sollte, gilt für die angedockten Microsoft 365 Tenant, was zuvor schon für Microsoft 365 gesagt wurde.

Was ist bei IServ zu beachten?

IServ ist ein deutscher Anbieter und die Plattform lässt sich DS-GVO konform nutzen, egal ob es sich um die klassische on premise Lösung mit Server im Schulkeller oder beim Schulträger handelt oder um die vom Anbieter gehostete “Cloud” Version. Die Plattform bringt damit alle Voraussetzungen für eine verpflichtende Nutzung mit. Zu regeln ist die Nutzung des Profils, denn hier können schulische Nutzer persönliche Informationen einstellen, die über für den Unterricht erforderliche Daten hinausgehen. Die einfachste Lösung für Schulen ist die komplette Deaktivierung des Profils. Möchte eine Schule die Nutzung des Profils zulassen, sollte eine Nutzungsvereinbarung erstellt werden, welche das Füllen des Profils davon abhängig macht, ob Nutzer zuvor eine Einwilligung in die Verarbeitung der dort eingetragenen Daten erteilt haben. Die im Download Bereich zur Verfügung gestellte Einwilligung mit Informationen zur Datenverarbeitung gem. Art. 13 DS-GVO für IServ kann eine verpflichtende Nutzung umgearbeitet werden.

Wie sieht es mit itslearning aus?

Die aus Norwegen kommenden Plattform, sollte bezüglich der eigentlichen Kernplattform im Sinne der neuen Regelungen des SchulG NRW nutzbar sein. In Bremen ist itslearning sogar mitbestimmt (siehe Dienstvereinbarung zu der Lernplattform „itslearning“). Ein Problem stellt jedoch das integrierte Microsoft Office dar. Dieses Office speichert zwar die erstellten Word, Excel und PowerPoint Dokumente auf den itslearning Servern, braucht jedoch zur Bearbeitung in der Plattform die Online-Office Dienste von Microsoft, und deren DS-GVO Konformität wird angezweifelt. In Baden Württemberg, erhalten Schulen itslearning über das Schulministerium, aus den genannten Gründen allerdings ohne Freischaltung der (Microsoft) Office Komponente, wie im 21. Tätigkeitsbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden Württemberg nachzulesen ist. Integriert man stattdessen ein im Auftrag betriebenes Collabora Office oder Only Office, sollte eine Nutzung von itslearning komplett nach den neuen Regelungen möglich sein.

Kann Moodle auf der neuen Rechtsgrundlage verpflichtend genutzt werden?

Anders als zur Zeit bei Logineo NRW LMS, dem Landes Moodle, steht einer Nutzung von Moodle außerhalb der Landeslösung nichts entgegen. Da Logineo NRW LMS mitbestimmt ist, sollte eine Mitbestimmung gem. LPVG NRW leicht zu erreichen sein. Das ist vor allem dann der Fall, wenn die Konfiguration sich an der der Landeslösung orientiert und keine zusätzlichen Plugins genutzt werden, welche ihrerseits durch ihre Funktionen mitbestimmungspflichtig sind.

Wie geht man mit den freiwillig eingebrachten Nutzerdaten um?

Hier gibt es nur eine sinnvolle Lösung. Per Nutzungsordnung muss die Nutzung für Inhalte, die in keinem Zusammenhang mit dem Unterricht bzw. bei Lehrkräften mit der Erfüllung der Aufgaben und der Durchführung von Unterricht stehen, untersagt werden. Diese Nutzungsordnung müssen Nutzer dann zur Kenntnis nehmen. Die Kenntnisnahme kann in verschiedener Form erfolgen. Bei Schülerinnen und Schülern wie auch Lehrkräften kann das eine Belehrung sein mit Hinweis, wo die Nutzungsordnung in schriftlicher Form nachzulesen ist. Es muss keine Online-Nutzungsordnung sein, die vor Freischaltung des Nutzerkontos per Setzen eines Häkchens zu quittieren ist.

Alternativ wäre vorstellbar, dass eine Plattform so eingestellt wird, dass Nutzer die Möglichkeit haben, in die Verarbeitung von personenbezogenen Daten, die über Unterricht bzw. bei Lehrkräften die Erfüllung der Aufgaben und die Durchführung von Unterricht hinausgehen, innerhalb der Plattform in den Nutzereinstellungen einzuwilligen. Zusätzliche Funktionen, etwa zum Anlegen eines Nutzerprofils erscheinen nach er Einwilligung. Der Widerruf der Einwilligung und das Löschen der dort hinterlegten Daten sollten dort dann ebenfalls möglich sein.

Ist auch eine verpflichtende Nutzung von personenbezogenen Daten in einer digitalen Plattform möglich, die vor März 2022 an der Schule eingeführt wurde?

Wie aus den Erläuterungen im  Gesetzesentwurf zum 16. Schulrechtsänderungsgesetz hervorgeht, lassen sich die neuen Regelungen auch auf bereits eingeführte Plattformen anwenden: “Dies schließt alle Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen im Sinne des § 8 Absatz 2 ein, die die Schule zur Erfüllung ihres Bildungs- und Erziehungsauftrags nutzt.” Auch die Formulierungen in § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW nehmen hier keine Eingrenzung auf Plattformen vor, die ausdrücklich auf der Grundlage § 8 Abs. 2 SchulG NRW einführt wurden. Bereits an Schulen genutzte Plattformen können, sofern sie die Vorgaben des SchulG NRW und der DS-GVO erfüllen, ebenfalls auf der Grundlage von § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW in Verbindung mit § 8 Abs. 2 genutzt werden.

Auch eine verpflichtende Nutzung ist möglich. Diese setzt einen Beschluss der Schulkonferenz gemäß § 65 Abs. 2 Nr. 6 voraus. Im Gesetzesentwurf weist das MSB darauf hin, dass die der Schulkonferenz dort eingeräumte Entscheidungsbefugnis nicht für bereits vor Inkrafttreten des 16. Schulrechtsänderungsgesetzes existierende und genutzte Systeme und Plattformen gilt. Das bedeutet, Schulen können nicht nachträglich über bereits genutzte Plattformen und Systeme entscheiden, sondern müssen einen Umweg gehen. Dafür bitten sie den Schulträger, der Schulkonferenz gegenüber zu erklären, dass er der Schule die jeweilige Plattform bzw. das jeweilige System bereitstellen möchte und zur Nutzung vorschlägt. Daraufhin entscheidet die Schulkonferenz über diesen Vorschlag zur Nutzung.

Eine Grundschule, die bereits LeseLudi, Antolin, ZahlenZorro oder ähnlich im Sinne des § 8 Absatz 2 nutzt, könnte die Nutzung dann umstellen und auf das Einholen einer Einwilligung zukünftig verzichten. Informationen gem. Art. 13 DS-GVO über die Datenverarbeitung bei der Nutzung sind jedoch weiterhin erforderlich.

Was, wenn für eine Plattform bereits Einwilligungen eingeholt/ erteilt wurden?

Verfügt eine Schule über eine Plattform, die sie bereits vor dem 16. Schulrechtsänderungsgesetz zur Erfüllung des Bildungs- und Erziehungsauftrags einsetzte, so dürften für die Verarbeitung von personenbezogenen Daten Einwilligungen von Schülern und Lehrkräften vorliegen. Die Schule kann Einwilligungen nicht von ihrer Seite aus aufheben. Sie haben also weiterhin Gültigkeit. Widerrufen Betroffene ihre Einwilligung, müssen der Zugang und die mit der Nutzung angefallenen personenbezogenen Daten der betroffenen Person gelöscht werden, da diese auf der Rechtsgrundlage Einwilligung verarbeitet wurden. Es könnte im Anschluss jedoch direkt ein neues Nutzerkonto erstellt werden, wenn die Schule die Plattform jetzt auf der Grundlage der neuen Regelungen nutzt. Die betroffene Person wäre dann sogar zu dessen Nutzung verpflichtet, wenn die dafür erforderlichen Voraussetzungen wie die Ausstattung mit einem Endgerät stimmen.

Können Schüler und Lehrkräfte zur Nutzung der Online Tools von kits.blog verpflichtet werden?

Leider ist das nicht möglich. Auch wenn die Tools des Niedersächsischen Landesinstituts für schulische Qualitätsentwicklung (NLQ) sehr datenschutzfreundlich sind, erfüllen sie die Vorgaben des SchulG NRW nicht, da mit dem NLQ kein Vertrag zur Auftragsverarbeitung abgeschlossen werden kann. Gleiches gilt auch für vergleichbare Plattformen, etwa von ZUM oder von eBildungslabor und ähnlich.

Wir haben keine 1:1 Ausstattung. Ist eine verpflichtende Nutzung damit unmöglich?

Nein, sie kann durchaus möglich sein. Es muss nur jedem Nutzer ein schulisches Endgerät zur Verfügung stehen. Das können auch die Tablets aus dem Tablet Koffer sein, den die Lerngruppe sich für ein Unterrichtsprojekt ausleiht. Viele Schulen haben noch PC Räume. Auch dort ist eine verpflichtende Nutzung durchaus umsetzbar. Weder in den neuen Regelungen des SchulG NRW, noch in den Erläuterungen zum Gesetzesentwurf gibt es Hinweise, dass die verpflichtende Nutzung ein persönliches digitales Endgerät voraussetzt.


Sollte es von Seiten der Leser Fragen geben, so schreiben Sie diese gerne in die Kommentare.

Gemeinsame und schuleigene Datenschutzbeauftrage – VO-DV II

Lesezeit: 5 Minuten

Mit Datum vom 13. Dezember 2021 wurden die VO-DV I und VO-DV II durch die Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten geändert. Deutliche Veränderungen ergeben sich durch die Änderungen auch für die Bestellung von Datenschutzbeauftragten für die Schulen in öffentlicher Trägerschaft. Regelungen wurden auch für die ZfSL geschaffen.

In §1 Abs. 6 der alten Fassung der VO-DV II war die Regelung zur Bestellung von Datenschutzbeauftragten nur sehr knapp gefasst.

(6) Die in Absatz 1 genannten Behörden oder Einrichtungen bestellen behördliche Datenschutzbeauftragte gemäß § 32a DSG NRW. Mehrere Stellen können gemeinsam einen behördlichen Datenschutzbeauftragten bestellen, wenn dadurch die Erfüllung seiner Aufgaben nicht beeinträchtigt wird. Für Schulen in kommunaler und staatlicher Trägerschaft bestellt das Schulamt eine Person, die die Aufgaben gemäß § 32a DSG NRW wahrnimmt.

Die neue Fassung fällt deutlich umfangreicher aus, da Zuständigkeiten für die Bestellung neu zugewiesen werden, um personalvertretungsrechtliche Belange zu berücksichtigen, und auch die Möglichkeiten zur Bestellung erweitert werden.

“(6) (1)Die in Absatz 1 genannten Behörden oder Einrichtungen benennen behördliche Datenschutzbeauftragte gemäß Artikel 37 der Datenschutz-Grundverordnung. (2) Mehrere Stellen können gemeinsam eine Person benennen, wenn dadurch die Erfüllung ihrer Aufgaben nicht beeinträchtigt wird. (3) Abweichend von Satz 1 wählen für Schulen in kommunaler und staatlicher Trägerschaft die Schulämter Personen aus, die in ihrem Bezirk die Aufgaben gemäß Artikel 39 der Datenschutz-Grundverordnung wahrnehmen sollen. (4) Zur Wahrung personalvertretungsrechtlicher Interessen werden diese Personen nach Artikel 37 Absatz 3 der Datenschutz-Grundverordnung von den Bezirksregierungen benannt und an das jeweilige Schulamt anteilig zur Wahrnehmung der Funktion abgeordnet. (5) Schulen können stattdessen eine schuleigene Datenschutzbeauftragte oder einen schuleigenen Datenschutzbeauftragten benennen. (6) Sofern für Zentren für schulpraktische Lehrerausbildung nach Artikel 37 Absatz 3 der Datenschutz-Grundverordnung gemeinsame Datenschutzbeauftragte benannt werden sollen, erfolgt ihre Benennung zur Wahrung personalvertretungsrechtlicher Interessen durch die Bezirksregierungen.”

Eigene Datenschutzbeauftragte

Die bisherigen Regelungen zur Bestellung von Datenschutzbeauftragten sah nur die Möglichkeit vor, diese Personen für mehrere Stellen gemeinsam zu benennen. Entsprechend wurden für jeden Kreis und jede kreisfreie Stadt bis zu zwei Personen zu behördlichen Datenschutzbeauftragten bestellt. Diese sind dem Schulamt zugeordnet und für alle Schulen in öffentlicher Trägerschaft des jeweiligen Kreises bzw. der jeweiligen kreisfreien Stadt zuständig. Diese Möglichkeit besteht mit Satz (3) auch weiterhin unverändert fort.

Satz (5) der Verordnung Schulen lässt Schulen nun jedoch die Wahl. Sie können wie bisher die Dienste der bereits bestellen behördlich Datenschutzbeauftragten in Anspruch nehmen, oder nun selbst eine Person für ihre Schule benennen, welche diese Funktion übernehmen soll. Den Erläuterungen des MSB im Entwurf einer Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten ist zu entnehmen, dass diese Änderung auf eine Anregung der LDI NRW zurückgeht und diese Möglichkeit vor allem “bei großen oder besonders technisierten Schulen zweckmäßig sein könnte.

Damit besteht ab sofort für jede Schule in öffentlicher Trägerschaft die Möglichkeit, einen bzw. eine schuleigene/n Datenschutzbeauftragte/n zu benennen. § 1 Abs. 5 schränkt diese Option dabei in keiner Weise ein, weder auf Schulformen noch die Größe von Schulen.

Benennung

Während die behördlich bestellten schulischen Datenschutzbeauftragten nach der neuen Regelung von den Schulämtern ausgewählt und vorgeschlagen und dann von den Bezirksregierungen unter Beteiligung der Personalvertretung benannt werden, können dem Wortlauf von Satz (5) nach Schulen die Person eigenständig benennen.1Die Formulierung in Satz (4) “diese Personen” bezieht sich grammatikalisch auf die in Satz (3) beschriebenen von den Schulämtern ausgewählten Personen. Demnach können die in Satz (5) beschriebenen Personen nicht unter die Regelung von Satz (4) fallen. Entsprechend wird es dort auch keine Teilabordnungen durch die Bezirksregierungen an die Schulämter geben.

Es wird aber zumindest erforderlich sein, diese Benennungen an die Schulämter zu melden, damit diese ihrerseits die behördlich bestellten schulischen Datenschutzbeauftragten in Kenntnis setzen können. Ob auch eine Meldung an die Bezirksregierungen notwendig wird, bleibt abzuwarten.

Thema Zuständigkeiten

Hat eine Schule einen schuleigenen Datenschutzbeauftragten benannt, nimmt diese Person für die Schule alle Aufgaben gemäß  Art. 39 DS-GVO wahr. Die Zuständigkeit der behördlich bestellten dem Schulamt zugeordneten schulischen Datenschutzbeauftragten endet damit für diese Schule. 2Ergänzend ist anzumerken, dass gerade dieser Punkt bei einen behördlich bestellten Datenschutzbeauftragten (bDSB) sehr umstritten ist. Nach ihrer Ansicht geht mit der Benennung eines schulischen Datenschutzbeauftragten nicht ein Wechsel der Zuständigkeiten einher. Sie gehen davon aus, dass dieses sonst eine Abberufung von der konkreten Schule gegen den Willen des bDSB darstellt, für die sie jedoch keine Rechtsgrundlage sehen. – Sollte ein von einer Schule benannter schulischer Datenschutzbeauftragter sich gegen die Einmischung eines bDSB in seinen Tätigkeitsbereich an seiner Schule verwehren und der bDSB sieht sich hier in der Ausübung seiner Tätigkeit behindert, muss im Zweifelsfall ein Verwaltungsgericht für Klärung sorgen.

Meldung bei der Aufsichtsbehörde

Mit der Benennung eines schuleigenen Datenschutzbeauftragten geht auch die Verpflichtung einher, diese Person gem. Art. 37 Abs. 7 DS-GVO bei der LDI NRW zu melden. Die Meldung erfolgt im Meldeportal der Aufsichtsbehörde nach vorheriger Registrierung auf der Seite.

Veröffentlichung der Kontaktdaten

Gem. Art. 37 Abs. 7 DS-GVO muss die Schule auch die Kontaktdaten der zum Datenschutzbeauftragten bestellten Person veröffentlichen. Das betrifft einige Stellen, von der Schulhomepage bis zu Datenschutzinformationen für Schülern, Eltern und Lehrkräfte gem. Art. 13 und Art. 14 DS-GVO.

Entlastung – Freistellung

Für die behördlich bestellten dem Schulamt zugeordneten schulischen Datenschutzbeauftragten hat das Land Stundenkontingente zur Verfügung gestellt, die es ermöglichen, diese Personen von ihren Schulen mit einer Stundenzahl abzuordnen.

Es ist zu erwarten, dass Schulen, die eine Person für die Funktion des schuleigenen Datenschutzbeauftragten benennen, diese Person aus eigenen Mitteln entlasten müssen. Größere Systeme haben hier vermutlich die Möglichkeit, die Aufgaben des/ der schuleigenen Datenschutzbeauftragten an eine Funktionsstelle zu koppeln.

Welche Personen kommen in Frage?

Wer die Funktion als schuleigenen Datenschutzbeauftragte/r übernehmen möchte, sollte die Bereitschaft mitbringen, sich fachlich zu qualifizieren und sollte ausreichend Einblicke in die Datenverarbeitungsabläufe einer Schule erhalten und sich damit vertraut machen.

Die Person sollte gem. Art. 38 Abs. 6 nicht durch andere schulische Funktionen und Aufgabenbereiche in eine Konfliktsituation mit der Funktion als Datenschutzbeauftragte/r kommen. Damit scheiden Personen, welche selbst große Mengen von personenbezogenen Daten in der schulinternen Verwaltung verarbeiten oder Zugriff darauf haben für die Funktion aus. Das wären beispielsweise Lehrkräfte, welche auch Administratoren für schulische Plattformen wie LMS oder Arbeits- und Kommunikationsplattformen sind. Auch bei Mitgliedern der erweiterten Schulleitung könnten solche Interessenkonflikte bestehen. Die Schulleitung als Verantwortlicher kann definitiv nicht gleichzeitig schuleigene/r Datenschutzbeauftragte/r sein.

Weisungsfrei

Die behördlich bestellten schulischen Datenschutzbeauftragten haben überwiegend nicht mit ihren eigenen Schulen zu tun. An den meisten Schulen in ihrer Zuständigkeit sind sie deshalb externe Personen. Schulische Datenschutzbeauftragte im Sinne von Satz (5) sind an ihrer Schule gem. Art. 38 Abs. 3 weisungsfrei bezüglich der Ausübung ihrer Funktion. Das bedeutet auch, sie müssen gegebenenfalls Dinge sagen, etwa wenn sie Betroffene beraten, die den Interessen der Schule zuwider laufen. Daran dürfen sie nicht gehindert werden. Es dürfen ihnen aus ihrem Handeln in der Funktion als schulischer Datenschutzbeauftragter auch keine Nachteile entstehen.

Verantwortung

Selbstredend bleibt die Schulleitung weiterhin Verantwortlicher im Sinne der DS-GVO und des Schulgesetzes NRW. Diese Verantwortung kann eine Schulleitung nicht delegieren. Die Aufgaben eines Datenschutzbeauftragten sind in Art. 39 DS-GVO klar definiert. Darüber hinaus steht es natürlich jeder Schule frei, den schuleigenen Datenschutzbeauftragten bzw. die schuleigene Datenschutzbeauftragte mit der Erstellung und Pflege der Dokumentation (Verfahrensverzeichnis, Einwilligungen, Informationen gem. Art. 12 DS-GVO, …) zu betrauen.

Schulung

Gem. Art. 39 Abs. 2 ist der Verantwortliche verantwortlich, dem Datenschutzbeauftragten “die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen […] sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung” zu stellen. Während bei den behördlich bestellten schulischen Datenschutzbeauftragten die Schulämter die Ausstattung etwa in Form von Dienstgeräten, Büros und Fachliteratur bereitstellen und die Bezirksregierung3zumindest auf die BR Arnsberg zutreffend für die Kostenfür Ausbildung und Schulung aufkommen, ist zu erwarten, dass Schulen im Falle der Benennung eines schuleigenen Datenschutzbeauftragten für diese Kosten selbst aufkommen müssen.

Wo und wie die schulischen Datenschutzbeauftragten sich selbst aus- bzw. fortbilden können, ist offen. Die behördlich bestellten schulischen Datenschutzbeauftragten können die Dienste der Fortbildungsakademie Mont Cenis hier in Anspruch nehmen. Dort finden regelmäßig Schulungen statt, die einen Einstieg in die Thematik bieten, jedoch eher auf kommunale Behörden abzielen. Darüber hinaus bieten unzählige Dienstleister Ausbildungen an, die aber sämtlich kostenpflichtig sind. Fakt ist, es kann keine Schule erwarten, dass ihre benannten schuleigenen Datenschutzbeauftragten diese Kosten aus eigener Tasche zahlen, wie dieses bei Lehrkräften so oft der Fall ist.

Geänderte Zuständigkeiten für die Benennung der behördlich bestellen schulischen Datenschutzbeauftragten

Wie oben schon kurz beschrieben, haben sich die Zuständigkeiten bei der Benennung der behördlich bestellen schulischen Datenschutzbeauftragten verändert. Wurden sie bisher von den Schulämtern ausgewählt und benannt, so wurde jetzt mit Satz (4) die Zuständigkeit für die Benennung der schulischen Datenschutzbeauftragten auf die Bezirksregierungen übertragen.

Geänderte Zuständigkeiten für die Benennung der gemeinsamen Datenschutzbeauftragten für ZfsL

Zentren für schulpraktische Lehrerausbildung konnten schon immer im Rahmen der bisherigen Regelungen von §1 Abs. 6 VO-DV I eigene oder gemeinsame Datenschutzbeauftragte benennen. Hier ist jetzt mit Satz (6) eine Zuweisung von Zuständigkeiten für den Fall, dass mehrere ZfsL gemeinsame Datenschutzbeauftragte benennen wollen, erfolgt. Die eigentliche Benennung erfolgt nun durch die Bezirksregierungen, um dadurch eine Beteiligung der Personalvertretungen zu ermöglichen.

Stand 01/2022

Schulisches WLAN mit Einwilligung nutzen

Lesezeit: < 1 Minute

Viele Schulen stellen Schülern und Lehrkräften personalisierte WLAN Zugänge bereit, die sie über private Endgeräte oder schulische Leihgeräte im Rahmen des Unterrichts so wie zur Vor- und Nachbereitung desselben nutzen können. Dabei werden auch personenbezogene Daten verarbeitet. Nicht für alle davon lässt sich aus dem Schulgesetz NRW in Verbindung mit dem DSG NRW eine Rechtsgrundlage ableiten. Das macht eine Einwilligung der Betroffenen erforderlich.

In der Regel braucht es auch eine Nutzungsvereinbarung für ein schulisches WLAN. Die Vorlage berücksichtigt die Nutzung eines Zugangs auf das Internet, Online-Plattformen und damit verbundene Dienste über das schulische WLAN1Anders als die Einwilligungsvorlage berücksichtigt diese Vorlage nicht den Zugriff auf Ressourcen im schulinternen Netzwerk!:

Weitere Informationen zum Thema schulisches WLAN

Informationen der Medienberatung NRW zum Thema schulisches WLAN finden sich in einer Broschüre mit dem Titel WLAN AN SCHULEN – Eine Orientierungshilfe für Schulträger, Schulleitungen und Entscheidungsgremien.pdf2In dieser Broschüre finden sich übrigens auch interessante Aussagen zur logischen Trennung von Netzwerken (virtuelle Netzwerke) – siehe Kapitel “NETZWERKKONFIGURATIONEN UND BENUTZERVERWALTUNG”

Sehr hilfreich ist auch die Broschüre SCHULISCHES WLAN – HAFTUNGSRECHTLICHE FRAGEN FÜR DEN BETRIEB EINES SCHULISCHEN WLAN der Gesellschaft für Informationssicherheit mbH

Eltern zu einer Besprechung per Videokonferenz einladen

Lesezeit: 2 Minuten

In Zeiten von Corona möchten viele Schulen gerne Elterngespräche in Form von Videokonferenzen anbieten. Es geht dabei sowohl um Elterngespräche in Format 1 zu 1 wie auch Informationsabende, bei denen Eltern über die Arbeit der Schule informiert werden sollen. Auch hierbei ist das Thema Datenschutz zu beachten. Eltern müssen über die zur Teilnahme an einer Videokonferenz erforderliche Datenverarbeitung gemäß Art. 13 DS-GVO informiert werden und dann eine Einwilligung erteilen. Das ist auch der Fall, wenn sie zur Teilnahme an einer Videokonferenz ein bestehendes schulisches Konto ihres Kindes nutzen, da die Einwilligung in die Verarbeitung von personenbezogenen Daten bei der Nutzung dieses Kontos das Kind betraf, nicht aber die Eltern selbst.

Da es sich bei den Teilnehmern um Erwachsene handelt und die Videokonferenzen nur einzelne oder gelegentliche Veranstaltungen sind, kann die Einwilligung durch die Eltern hier auch durch sogenanntes konkludentes Handeln1“Im Zivilrecht spricht man von einer konkludenten Willenserklärung, wenn sie ohne ausdrückliche Erklärung durch schlüssiges Verhalten abgegeben wird. D.h. die Willenserklärung wird aus den Handlungen des Erklärenden abgeleitet.” Quelle Wiktionary gegeben werden. Die Eltern willigen in die Datenverarbeitung ein, indem sie an der Videokonferenz teilnehmen. Schalten sie dazu beispielsweise die Kamera ein, willigen sie in die Verarbeitung des Bildsignals ein.

Praktische Umsetzung

Die Schule übermittelt den Eltern eine Einladung, in welcher die Informationen zur Datenverarbeitung gegeben werden wie auch die Einwilligungserklärung, letztere jedoch ohne Unterschriftenfeld. Wichtig wie immer bei der Einwilligung ist das Angebot einer Alternative für Eltern, die nicht an einer Videokonferenz teilnehmen möchten.

Beispiel Elterngespräch
Beispiel Informationen über die Schule
Beispiel Elterngespräch

Die Vorlage geht davon aus, dass die Eltern den Zugang des Kindes zu Logineo NRW Messenger für die Videokonferenz mit den Lehrkräften der Schule nutzen.

Hinweis

Bitte achten Sie darauf, dass für Videokonferenzen, in welchen es um vertrauliche oder sensible Inhalte gehen soll, sichere und vertrauenswürdige Anbieter genutzt werden. Ein Vertrag zur Auftragsverarbeitung zwischen Schule und Anbieter sollte vorliegen.

03/2021

Bußgeld gegen Grundschule in Belgien

Lesezeit: 2 Minuten

Schon im Juni 2020 wurde von einem belgischen Gericht ein Bußgeld von 2.000 € gegen eine Grundschule verhängt, da diese Schülerinnen und Schüler über eine von der Schule genutzt digitale Plattform zu ihrem Wohlbefinden befragt hatte, ohne zuvor die Eltern zu informieren und eine Einwilligung einzuholen. Auf der Seite DSGVO-Portal wird der Fall wie folgt beschrieben:

“Die Grundschule hatte über ein Tool eines Smartschooling-Systems eine Umfrage zum Wohlbefinden der Schüler durchgeführt. Mehrere Eltern von Minderjährigen hatten daraufhin eine Beschwerde bei der Datenschutzbehörde über dieses Vorgehen eingereicht.

Zum Einen versäumte es die Schule die Einwilligung der Eltern in Stellvertretung der Schüler unter 13 Jahren für die Datenerhebung einzuholen und diese über die Umfrage und deren Datenverarbeitung aufzuklären. Auch wurde gegen das Datenminimierungsprinzip verstoßen, da die Daten, welche auch Auskünfte über die Gesundheit und die häusliche Situation der Kinder enthielten, nicht anonymisiert erhoben wurden.”

Der Fall war bei der belgischen Aufsichtsbehörde als Beschwerde eingegangen und wurde dann vor der Kammer für Streitsachen der Datenschutzbehörde verhandelt. Im Rechtsstreit ging es dann unter anderem um folgende datenschutzrechtliche Aspekte.

Einwilligung nach Art. 8 DS-GVO

Art. 8 DSGVO ist nach Ansicht des Gerichts anzuwenden, da da es sich bei dem von der Grundschule verwendeten SmartSchool Tool um einen sogenannten Dienst der Informationsgesellschaft handelt. Bei solchen sind Kinder vor Vollendung des 13. Lebensjahres nicht einwilligungsfähig. 1Diese Altersgrenze gilt auch in Österreich, während in Deutschland eine Altersgrenze von Vollendung des 16. Lebensjahres gilt. Siehe dazu auch Auswirkungen der DS-GVO auf die Einwilligungsfähigkeit von Schülern Im Fall der Grundschule waren die Kinder jünger. Eine Einwilligung der Eltern nach Art. 6 Abs. 1 lit. a DS-GVO ist somit erforderlich, war jedoch nicht von der Grundschule nicht eingeholt worden.

Rechtsgrundlage der Befragung

Die Schule war nach eigenen Angaben davon ausgegangen, dass sie die Befragung durchführen konnte, um rechtliche Verpflichtungen gemäß Art. 6 Abs. 1 lit. c. DS-GVO zu erfüllen, denen sie unterliegt. Dieser Ansicht schloss sich das Gericht nicht an und sah stattdessen nur die Einwilligung nach Art. 6 Abs. 1 lit. a. DS-GVO als mögliche Rechtsgrundlage.

Verletzung des Grundsatzes der Transparenz

Nach Ansicht  des Gerichts wurde bei der Befragung der Schüler zu ihrem Wohlbefinden auch der Grundsatz der erforderlichen Transparenz von Seiten des Verantwortlichen gemäß Art. 5 Abs. 1 lit. a DSGVOArt. 12 DSGVO und Art. 13 DSGVO verletzt.

Datenschutz Folgenabschätzung

Der Beschwerdeführer hatte außerdem gefordert, dass die verantwortliche Stelle eine Datenschutz Folgenabschätzung hätte durchführen müssen. Dieser Ansicht schloss sich das Gericht nicht an.

Urteil des Gerichts

Ergebnis des Verfahrens war, dass Schule die Verarbeitung in Übereinstimmung mit Art. 5 Abs. 1 lit. a,  Art. 12 Abs. 1. und Art. 13 Abs. 1 lit. c und d und Art. 13 Abs. 2 lit. b  DS-GVO bringen muss und darüber hinaus eine Verwaltungsstrafe von EUR 2.000,- zu bezahlen hat.

Ob die Verwaltungsstrafe in Belgien von der Schule, der Schulleitung oder der Person, welche die Befragung durchführte oder veranlasste, zu zahlen war, ist den Unterlagen nicht zu entnehmen. Als Beklagter war keine Person genannt worden.

Die Beschwerde, die zu dem Bußgeld führte, wurde bereits im Juli 2019 bei der Aufsichtsbehörde eingereicht. Bis zum Urteilsspruch brauchte es so knapp ein Jahr.

Was kann man als Schule mitnehmen aus dem Fall?

Bezüglich der Verarbeitung von personenbezogenen Daten in der Schule sollte immer klar sein, auf welcher Rechtsgrundlage diese erfolgt. Das Schulgesetz legitimiert nur bestimmte Verarbeitungszwecke und dafür erforderliche personenbezogene Daten. Bei der Nutzung von Online Diensten sollte geprüft werden, ob es sich dabie um Dienste der Informationsgesellschaft handelt, bei denen hier in Deutschland eine rechtswirksame Einwilligung erst ab Vollendung des 16. Lebensjahres möglich ist[siehe dazu auch Auswirkungen der DS-GVO auf die Einwilligungsfähigkeit von Schülern.

Quellen:

Video von der Abschlussfeier streamen

Lesezeit: < 1 Minute

Verschiedene Schulen planen, die feierliche Überreichung der Abschlusszeugnisse live zu streamen, so dass die Familienmitglieder der Abschlussschülerinnen und -schüler unmittelbar dabei sein können, wenn auch nur aus der Ferne. Ohne eine Einwilligung geht das nicht und die Einwilligung muss freiwillig sein. Die Hürden dafür sind bei einer Entlassfeier hoch, da jeder teilnehmen möchte bzw. muss. Während es bei den Schülern je nach Veranstaltungsort durchaus möglich sein dürfte, die Aufnahme so einzustellen, dass es einen Bereich dicht am Geschehen gibt, etwa am Rand der Bühne, der nicht erfasst wird, gibt es eine solche Möglichkeit bei den Lehrkräften nicht. Hier bleiben nur zwei Optionen. Entweder es ist möglich, dass eine Lehrkraft, welche nicht aufgenommen werden will, vertreten wird, durch eine Lehrkraft, die dazu bereit ist, oder der Teil, in welchem die betroffene Lehrkraft ihre Zeugnisse übergibt, kann nicht aufgenommen und gestreamt werden.

Alternativ zum Streaming sind die Personen, welche damit nicht einverstanden sind, vielleicht bereit an Aufnahmen teilzunehmen, die anschließend auf einem Medium gespeichert an die Abschlussschüler übergeben werden.

Schulen sollten bei diesem heiklen Thema mit Bedacht vorgehen und niemanden unter Druck setzen, auch nicht indirekt. Mit Bedacht sollte auch die Plattform zum Streaming ausgewählt werden. Auch eine Videokonferenz Plattform wie BigBlueButton kommt dafür eventuell in Frage, wenn bei den Gästen Ton und Bild deaktiviert bleiben.

Microsoft Teams – Einwilligung

Lesezeit: < 1 Minute

Auf Nachfrage gibt es jetzt auch eine Vorlage für Informationen zur Datenverarbeitung gem. Art. 13 DS-GVO und eine Einwilligung in die Datenverarbeitung zur Nutzung von Microsoft Teams. Die Vorlage ist ausgerichtet auf Schulen, die kein Office 365/ Microsoft 365 nutzen, und berücksichtigt deshalb auch die Erstellung eines Nutzerkontos. Für Schulen, die bereits Office 365/ Microsoft 365 nutzen, kann die Vorlage auch auf die Nutzung der Kommunikationstools, Sprachnachricht, Audi- Videokonferenz und Chat reduziert werden.

Schulen, die Teams mit ihren Schülern ohne ein eigenes Nutzerkonto nutzen möchten, brauchen eine andere Einwilligung, da hierbei deutlich weniger personenbezogene und -beziehbare Daten verarbeitet werden.

 

Bitte denken Sie daran, auch eine Nutzungsvereinbarung zu Teams zu erstellen, denn nur wenn Regeln vereinbart werden, kann man erwarten, dass Nutzer sich daran halten. Eine Vorlage speziell für Teams findet sich bei der Stadt Nürnberg. Die Nutzungsvereinbarung ist ein essentieller Bestandteil der organisatorischen Maßnahmen zum Schutz und zur Sicherheit der personenbezogenen Daten der Nutzer und ergänzt die technischen Maßnahmen. Zu diesen gehören neben einem Rechte- und Rollenkonzept auch sichere Voreinstellungen in MS Teams.

Bitte beachten Sie, dass durch das EU-GH Urteil vom 16.07.2020, der EU-US Privacy Shield für ungültig erklärt wurde. Transfers von personenbezogenen Daten in die USA, wie sie auch bei einer Nutzung von MS Teams möglich sind, können damit nicht mehr auf der Grundlage des EU-US Privacy Shield erfolgen.1Microsoft stützt diese Transfers jetzt auf die Standard Vertragsklauseln. Ob die Aufsichtsbehörden das als datenschutzkonform einschätzen, wird man sehen. Die Informationen zur Datenverarbeitung, die zur Einwilligung gehören, berücksichtigen dieses in der aktualisierten Version. Bitte lesen Sie sich die Informationen in den Vorlagen genau durch.
Ob die Aufsichtsbehörden dieses Vorgehen so als einen gangbaren Weg akzeptieren, bleibt vorerst abzuwarten.

Stand 09/2020

Einwilligung – Vorlagen für BigBlueButton

Lesezeit: < 1 Minute

Wenn eine Schule eine Videokonferenz Plattform betreibt oder mit einem Vertrag zur Auftragsverarbeitung durch einen Dienstleister betreiben lässt, fallen bei der Nutzung personenbezogenen Daten der Videokonferenzteilnehmer an. Dieses ist nur mit einer Information über die Datenverarbeitung nach Art. 12 DS-GVO möglich und einer Einwilligung, die gegenüber der Schulleitung abgegeben wird.

Diese Vorlage ist für Schüler gedacht, die ohne ein eigenes Nutzerkonto an Videokonferenzen der Schule teilnehmen.

Diese Vorlage ist für Lehrkräfte gedacht, die gegebenenfalls auch ein Nutzerkonto erhalten, um Videokonferenzen leiten zu können.

Beide Vorlagen lassen sich leicht auch auf andere Plattformen anpassen. Dabei muss nur darauf geachtet werden, dass bei den Informationen zur Datenverarbeitung alle funktionsbedingten Datenverarbeitungen mit berücksichtigt werden. Beispiel: die Plattform erlaubt Umfragen und diese werden genutzt.

Sollen Videokonferenzen mit Eltern durchgeführt werden, empfiehlt es sich, aus der Vorlage für Schüler eine entsprechende Version zu erstellen.

Bitte achten Sie auch darauf, die Nutzung Ihrer Videokonferenz Plattform durch mit den Teilnehmern und Gastgebern vereinbarte Nutzungsregeln abzusichern.

Wichtig! Die Vorlagen gehen davon aus,

  • dass die von der Schule genutzte BigBlueButton Instanz so konfiguriert betrieben wird, dass nur die personenbezogenen Daten verarbeitet werden, die zum Betrieb tatsächlich erforderlich sind, und
  • die Nutzung per Voreinstellungen auf größtmögliche Sicherheit ausgelegt ist.1Einige Hinweise dazu gibt es unter BigBlueButton – Datenschutz Check

Weitere Informationen zu BigBlueButton und Videokonferenzen in Schule

Einwilligung ohne Papier in Zeiten von Corona

Lesezeit: < 1 Minute

In Zeiten des Corona Virus sind die Schulen geschlossen und trotzdem muss der Unterrichtsbetrieb irgendwie weiterlaufen. Auch die Kommunikation mit Schülern und Erziehungsberechtigten muss möglichst reibungslos und unaufwändig weiterhin möglich sein. Schulen setzen von daher vermehrt auf Online-Plattformen und Apps. Da diese in der Vergangenheit jedoch entweder noch nicht genutzt wurden oder nur von einem Teil der Schülerinnen, Schüler, Lehrkräfte und eventuell auch Eltern, ist es oftmals erforderlich, eine Einwilligung der Betroffenen einzuholen. Wollte man dieses in Papierform erledigen, wäre solches mit sehr viel Aufwand verbunden. Außerdem müsste damit gerechnet werden, dass die Rücklaufquote nicht 100 % ist und je nach Situation sogar extrem gering ausfallen könnte, etwa weil Person das Haus nicht verlassen können.

Was viele nicht bekannt ist, Einwilligungen können durch aus auch elektronisch von den Betroffenen eingeholt werden. Auf welcher  Rechtsgrundlage dieses für Schulen in Nordrhein-Westfalen möglich ist wie man elektronische Einwilligungen umsetzen kann, wird in dem Beitrag Einwilligung einholen ohne Papier ausführlich erklärt.