DSGVO – datenschutz-schule.info

Mai 7, 2025

KI-Plattformen – DS-GVO und KI Verordnung

Lesezeit: 14 Minuten

Seit nunmehr zwei Jahren stellen KI-Plattformen unsere Welt auf den Kopf. Nicht nur in der Wirtschaft und Behörden treiben die auf großen Sprachmodelle (Large Language Model (LLM)) basierenden Plattformen umwälzende Veränderungen an, auch in der Schule bestimmen sie den Diskurs, egal ob es um das Lernen mit und über KI geht, eine veränderte Prüfungskultur, Intelligente Tutorielle Systeme, Learning Analytics, Diagnoseverfahren, die automatisierte Auswertung von Leistungsüberprüfungen und -nachweisen, Laufbahnprognosen, das Verfassen von Gutachten und die Erstellung von Förderempfehlungen. Das Potential von KI-Plattformen erscheint gerade in Schulen unbegrenzt. Welche Nutzungsmöglichkeiten sich im schulischen Alltag jedoch tatsächlich ergeben, hängt maßgeblich von zwei Faktoren ab: den rechtlichen Vorgaben sowie der Verfügbarkeit geeigneter Plattformen. Rechtliche Vorgaben und die sich daraus ergebenden Grenzen der Nutzung, im Datenschutz oft als Schranken bezeichnet, bestimmte bisher soweit es eine schulische Nutzung betrifft, das Datenschutzrecht und hier dann die DS-GVO und die aus ihr abgeleiteten spezialrechtlichen Regelungen der Schulgesetze- und Verordnungen der Bundesländer.

Die DS-GVO trat 2016 in Kraft und wird seit 2018 umgesetzt. Als sie in einem mehrjährigen Prozess erarbeitet wurde, konnte niemand damit rechnen, dass es gerade einmal vier Jahre nach Beginn der Umsetzung des Regelwerkes Plattformen geben könnte, die in der Lage sind zu tun, was die sogenannten KI-Plattformen heute leisten. Es gab durchaus eine Vorstellung von Computerprogrammen, in denen komplexe Algorithmen personenbezogene Daten auswerten und daraus resultierende Entscheidungen treffen. Um EU-Bürger vor Profiling und Entscheidungen zu schützen, die ausschließlich auf automatisierten Entscheidungen beruhen, entstand Art. 22 der DS-GVO. Europäischen Gesetzgebern wurde angesichts der rasanten Entwicklung und Verbreitung von KI-Plattformen seit November 2022 und den damit verbundenen Herausforderungen schnell klar, dass die DS-GVO diese nicht ausreichend abdecken kann. Die DS-GVO regelt den Schutz personenbezogener Daten, adressiert damit jedoch längst nicht alle Risiken, die mit dem Einsatz von KI verbunden sind. Mit der KI-Verordnung der EU (AI Act) versucht man nun, die neuen technologischen, ethischen und sicherheitsrelevanten Herausforderungen zu regulieren. Anders als die DS-GVO reguliert die KI-Verordnung in Abhängigkeit vom Risiko, welches von einer KI Anwendung ausgeht, und reguliert auch, wenn keine personenbezogenen Daten verarbeitet werden. Die KI-Verordnung ist so als Ergänzung zur DS-GVO zu sehen, welche durch einen neuen, spezifischen Rechtsrahmen einen sicheren und ethischen Einsatz von KI in der EU gewährleisten soll. Auch Schule ist von der KI-Verordnung betroffen, wenngleich ihre unmittelbaren Auswirkungen deutlich geringer sind als die, welche aus der DS-GVO resultieren. Inhaltlich knüpft die KI-Verordnung ein Stück weit an die in Art. 22 DS-GVO gesetzten Grenzen an, erweitert diese jedoch und erlegt Schulen neue Pflichten auf, die über den reinen Schutz der personenbezogenen Daten hinausreichen.

KI-Plattformen im Unterricht

Unabhängig von der KI-Verordnung gelten für die schulische Nutzung von KI-Plattformen, sofern personenbezogene Daten davon betroffen sind, weiterhin die bisherigen Regeln. Da diese im vorherigen Beitrag ausführlich beschrieben wurden, sind sie hier nur auf die wichtigsten Punkte reduziert wiedergegeben.

Die wichtigsten Grundregeln, welche mit Blick auf Datenschutz zu beachten sind, wenn KI-Plattformen mit Schülerinnen und Schülern im Unterricht genutzt werden, sind:

Eine direkte, unvermittelte Interaktion von Schülerinnen und Schülern mit den KI-Plattformen von US Anbietern wie OpenAI (ChatGPT), Anthropic (Claude), Meta (KI in Messengern wie WhatsApp und FB Messenger), Google (Gemini) usw. Oder oder auch von chinesischen Anbietern wie Hangzhou DeepSeek Artificial Intelligence Basic Technology Research Co., Ltd. (DeepSeek) ist mit unkalkulierbaren hohen Risiken verbunden und von daher mit Blick auf Datenschutz für Schulen auf keinen Fall zu empfehlen. Hintergrund: Die Anbieter haben nicht nur auf die Inhalte der Interaktion zwischen Schülerinnen und Schülern und der KI Zugriff, sondern auch auf alle mit der Interaktion verbundenen Metadaten wie Endgeräte-Kennungen, Standort, Spuren von anderen genutzten Plattformen usw.. Sie können alle diese Daten für eigene Zwecke wie zum Training ihrer Plattformen oder andere wirtschaftliche Interessen verwenden.
Wenn Schülerinnen und Schüler mit KI-Plattformen arbeiten, egal wie sie darauf zugreifen, dürfen die im Hintergrund laufenden LLM die in Prompts eingegeben Daten niemals für Trainingszwecke verwenden.
Schülerinnen und Schüler dürfen bei der Interaktion mit KI-Plattformen, egal wie sie darauf zugreifen, niemals persönliche Informationen von sich selbst oder anderen ihnen bekannten Personen als Bestandteil von Prompts eingeben.
- Bei multimodalen KI-Plattformen, das meint Plattformen, die in der Lage sind, Fotos, Videos und Audiodateien als Bestandteil von Prompts zu verarbeiten, muss darauf geachtet werden, dass diese Medien keine personenbezogenen oder -beziehbaren Daten enthalten, welche es ermöglichen die Daten auf eine identifizierbare Person zurückzuführen. Personenbezogene oder -beziehbare Daten können in Medien sowohl als Inhalt wie die Abbildung der Person oder ihre Stimme enthalten sein, als auch in Metadaten wie Standortdaten, Geräte-Kennungen usw..
Lehrkräfte sollten eine Möglichkeit haben, die Interaktion ihrer Schülerinnen und Schüler nachträglich stichprobenartig kontrollieren zu können, um eine riskante Nutzung sowie Missbrauch zu verhindern.
Schulen sollten in ihrer Nutzungsordnung für digitale Endgeräte, Apps und Online Plattformen auch die Nutzung von KI-Plattformen ausdrücklich berücksichtigen und entsprechende Nutzungsregeln darin festlegen.
Schülerinnen und Schüler sollten über die Funktionsweise von KI-Plattformen und mögliche Risiken für ihr Recht auf informationelle Selbstbestimmung aufgeklärt werden, bevor sie mit derartigen Plattformen im Unterricht arbeiten.

Es sollte klar geworden sein, dass eine unterrichtliche Nutzung von ChatGPT, Gemini, Claude, DeepSeek u. Ä. direkt über die Websites oder Apps der Anbieter durch Schülerinnen und Schülern für Schulen zu Konflikten mit den datenschutzrechtlichen Vorgaben führt, welchen sie unterliegen, und von daher nicht vertretbar ist.

Mittlerweile sind ausreichend viele alternative Möglichkeiten entstanden, die es erlauben, mit den genannten US-amerikanischen und chinesischen KI-Plattformen datenschutzfreundlich(er) zu interagieren. Darüber hinaus wächst die Zahl von Angeboten aus dem EU Raum wie auch direkt aus Deutschland, welche eigene, zumeist auf Open Source LLM aufsetzende KI-Plattformen bereitstellen.

Zu den Anbietern, welche alternative Zugriffsmöglichkeiten auf US-amerikanische KI-Plattformen anbieten, gehören aktuell bekanntere Namen wie fobizz, schulKI und FelloFish (Fiete.ai). Sie “entschärfen” die mit einer direkten Nutzung der US-amerikanischen KI-Plattformen verbundenen Risiken, indem sie über die von diesen Anbietern bereitgestellten API (Programmschnittstellen zu den LLM) als Vermittler auf personalisierte Zugänge für Schülerinnen und Schüler verzichten, die Nutzer anonymisieren und so eine mögliche Identifizierung anhand von Zugangs- und/oder Metadaten verhindern. Ergänzend stellen einige Anbieter in ihren Plattformen zusätzliche datenschutzfreundliche LLM zur Auswahl bereit. Dabei kann es sich um Open Source Modelle handeln oder Eigenentwicklungen von im DS-GVO Raum ansässigen Drittanbietern.

Verschiedene Bundesländer haben bei den genannten bekannteren Anbietern Landeslizenzen erworben, während andere Bundesländer eigene Lösungen in Auftrag gegeben haben. Aktuell entsteht im Auftrag der KMK eine weitere KI-Plattform, die unter Federführung des FWU entwickelt wird und dann durch die Bundesländer als Landesplattform den Schulen zur Verfügung gestellt werden kann.

Zu beachten ist, dass die oben aufgeführten Grundregeln aktuell auch bei der vermittelten Nutzung von US-amerikanischen und chinesischen KI-Plattformen gilt wie auch bei den von den Ländern bereitgestellten Plattformen, sofern diese keine abweichenden Vorgaben machen.

KI-Plattformen als Werkzeuge für Lehrkräfte

KI-Plattform sind nicht nur in der Lage, Texte zu verarbeiten, um Anweisungen zu folgen, sondern sie können Texte sowohl inhaltlich wie auch sprachlich analysieren. Das eröffnet nicht nur für Schülerinnen und Schüler neue Möglichkeiten. Während diese sich Feedback geben lassen können, um bessere Texte zu schreiben, können Lehrkräfte KI-Plattformen didaktische Kriterien bezüglich Sprache, Inhalt, Struktur, erwarteten Kompetenzen und ähnlich vorgeben mit dem Ziel, Schülertexte entsprechend auswerten zu lassen.

Einige Anbieter von KI-Plattformen wie auch beispielsweise Cornelsen mit der KI-Toolbox cornelsen.ai haben bereits spezialisierte Module in ihre Angebote integriert oder sich sogar darauf spezialisiert, Textprodukte einer größeren Anzahl von Schülerinnen und Schülern nacheinander schnell und effizient über ein von der Lehrkraft angelegtes Bewertungsraster auswerten zu lassen. In diesem Zusammenhang lassen sich auch schnell und einfach Vorschläge für eine Bepunktung und sogar eine Bewertung erstellen. Gleiches ist möglich, wenn die KI-Plattform Fotos als Bestandteil von Prompts entgegen nimmt. So lassen sich sogar handschriftliche Textprodukte über die Plattform analysieren und bewerten.

Mit Blick auf Datenschutz ergeben sich aus diesen Möglichkeiten neue Herausforderungen. Ist es überhaupt zulässig, Schülertexte mittels KI-Plattformen auswerten zu lassen?

Möchte man auf einer der oben genannten datenschutzfreundlichen Plattformen Schülertexte unterstützend auswerten lassen, dürften dabei keine persönlichen Inhalte in die Prompts einfließen, keine Namen und auch keine biographischen Daten. Es versteht sich von selbst, dass so Lebensläufe wie auch sehr persönliche Texte nicht über KI-Plattformen ausgewertet werden können. Digitale Texte sehen vom Schriftbild alle gleich aus. Doch wie verhält es sich mit handschriftlichen Texten? Diese stellen zumindest aktuell immer noch den Großteil der von Schülerinnen und Schülern erstellten Texte dar. Man sollte davon ausgehen können, dass die Handschrift von Schülern kein Merkmal darstellt, über welches Betreiber der großen KI-Plattformen diese einer identifizierbaren Person zuordnen können, wenn sie solches entgegen ihrer Datenschutzrichtlinien für API Nutzer doch tun sollten. Zwei Gründe sprechen dafür. Zum Einen finden sich kaum handschriftliche Muster von jungen Menschen im Internet oder auf Social Media, die einen Abgleich und eine Zuordnung ermöglichen würden und zum Anderen müssten KI-Plattformen darauf trainiert sein, individuelle Handschriften als solche zu erkennen.

Bei nicht handschriftlichen, digital verfassten Texten kann man sicher davon ausgehen, dass es keine datenschutzrechtlichen Bedenken gibt, diese in einer KI-Plattform auswerten zu lassen, solange diese Texte frei von identifizierenden Merkmale, wie Namen oder persönlichen Inhalte bleiben. Geht es um handschriftliche Texte, werden diese Einschätzungen vermutlich nicht von jedem geteilt werden.

Eine Auswertung von Schülertexten sollte damit unter den genannten Bedingungen zumindest für nicht handschriftliche, digital verfasste Texte in den Grenzen der DS-GVO möglich sein. Gemäß Art. 22 DS-GVO haben Betroffene, hier Schülerinnen und Schüler, “das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung […] beruhenden Entscheidung unterworfen zu werden, die” ihnen “gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.” Im Fall einer Auswertung von Schülerarbeiten mittels einer KI-Plattform meint dies eine Leistungsbewertung, welche von der Lehrkraft unkontrolliert übernommen wird. Es ist somit beispielsweise nicht zulässig, dass eine Lehrkraft die von ihren Schülerinnen und Schülern erstellten Leistungsnachweise über eine KI-Plattformen anhand von zuvor eingegebenen Aufgabenstellungen sowie dem Erwartungshorizont und einem Bewertungsraster automatisiert auswerten lässt und anschließend die von der Plattform ermittelten Noten in ihr Notenprogramm übernimmt und am Ende des Halbjahres aus den so ermittelten Noten eine Endnote festlegt. Art. 22 DS-GVO lässt Ausnahmen zu, wenn es entsprechende Rechtsvorschriften gibt und dort auch festgelegt ist, wie die Rechte und Belange der betroffenen Personen geschützt werden. Entsprechende spezialgesetzliche Regelungen aus dem Schulrecht sind dem Verfasser des Beitrags aus den verschiedenen Bundesländern bisher nicht bekannt. Offizielle Vorstöße in Richtung der Korrektur von Klassenarbeiten mittels KI-Plattformen müssen diese Grenzen berücksichtigen, wie der Schulversuchs „proof – Prozessorganisation und Feedback“ in Bayern verdeutlicht. Im Rahmen dieses Projektes dürfen 16 Schulen den Einsatz von KI bei der Korrektur von Arbeiten erproben, um Lehrkräfte von Routineaufgaben zu entlasten, jedoch ausdrücklich beschränkt auf die Vorkorrektur zur Beurteilung der sprachlichen und inhaltlichen Richtigkeit von Arbeiten.¹

In der Praxis bedeutet das, eine Vorauswertung von Schülertexten mittels einer geeigneten KI-Plattform ist unter Beachtung der oben genannten Hinweise durchaus möglich, solange die Lehrkraft die Resultate nicht ungeprüft übernimmt und die abschließende Notenfindung selbst vornimmt. Wenn Lehrkräfte KI-Plattformen zur Unterstützung bei der Bewertung von Schülertexten einsetzen, sollten sie sich immer auch der Tendenz bei menschlichen Entscheidenden bewusst sein, “die Ergebnisse des Computers ohne Kritik oder weitere Kontrolle zu übernehmen (sogenannter „Automation Bias“),” vor welcher der Landesbeauftragte für Datenschutz Baden Württemberg in seinem 40. Tätigkeitsbericht warnt.

Auswirkungen der KI-VO

Nicht nur die DS-GVO setzt mit Art. 22 dem Einsatz von KI-Plattformen bei der Auswertung von Schülerarbeiten Grenzen, auch die KI-Verordnung hat an dieser Stelle rechtliche Relevanz, allerdings aus einem völlig anderen Blickwinkel.

Exkurs: Während die DS-GVO auf das Recht der Betroffenen auf informationelle Selbstbestimmung und das Verbot automatisierter Einzelfallentscheidungen ohne menschliche Kontrolle fokussiert, nimmt die KI-Verordnung der EU (AI Act/ KI-VO) mögliche Risiken, die für Betroffene aus einer Verarbeitung ihrer Daten mittels KI-Plattformen entstehen können, in den Blick. Sie stuft dafür KI-Plattformen, in der Verordnung als KI-Systeme bezeichnet, nach ihrem Einsatzzweck in Risikokategorien ein, die von minimalem Risiko über geringes und hohes Risiko bis zu unannehmbarem Risiko reichen. Mit Ausnahme von KI-Systemen, welche durch unannehmbare Risiken grundsätzlich verboten sind, gilt – je höher das potentielle Risiko, welches mit dem Einsatz eines KI-Systems verbunden ist, desto umfangreicher sind die daraus resultierenden Auflagen – für die Anbieter der Systeme sowie auch die Betreiber, hier die Schulen.

Speziell mit Blick auf Bildung beschreibt die KI-VO in Anhang III², Nr. 3 KI-VO vier Kategorien von KI-Systemen, die als hochriskant gemäß Art. 6 Abs. 2 KI-VO einzustufen sind. Das sind KI-Systeme, die (a) dazu dienen einen Zugang zur Schule oder eine Einteilung in Lerngruppen zuzuweisen, die (b) Lernergebnisse bewerten und solche die darauf aufbauend Lernprozesse steuern, die (c) über die Bildungslaufbahn entscheiden und die (d) Prüfungen auf unzulässige Handlungen überwachen. Das hohe Risiko entsteht aus diesen KI-Systemen, “da sie den Bildungs- und Berufsweg einer Person bestimmen und daher die Fähigkeit dieser Person, ihren Lebensunterhalt zu sichern, beeinflussen können.”³

Für die Einstufung als Hochrisiko-KI-System ist nicht entscheidend, was ein Nutzer damit vorhat, sondern wozu das System objektiv in der Lage ist und für welchen Einsatzzweck es bestimmt ist.

Bisher müssen Schulen beim geplanten Einsatz von KI-Systemen zur Auswertung von Schülerarbeiten lediglich die Vorgaben der DS-GVO, wie oben beschrieben, berücksichtigen. Mit dem schrittweisen Beginn der Umsetzung der KI-VO kommen nun deren Vorgaben noch hinzu. Für die Klassifizierung von KI-Systemen ist der Stichtag hier der 02.08.2026. Bis dahin gelten für Schulen weiterhin ausschließlich die Vorgaben der DS-GVO sowie gegebenenfalls landesspezifische Regelungen wie beispielsweise in Baden-Württemberg; die KI-Verordnung betrifft bis dahin nur einzelne Pflichten wie die Schulung der Mitarbeitenden zur KI-Kompetenz, nicht jedoch die konkrete Nutzung von KI-Plattformen im Unterricht. Ab dem Stichtag ist klar, KI-Plattformen, welche laut KI-VO in der allgemeinen oder beruflichen Bildung “zur Bewertung von Lernergebnissen eingesetzt werden sollen”, werden als „hochriskant“ klassifiziert. Eine Einstufung als Hochrisiko-KI-System entfällt gemäß Art. 6 Abs. 3 lit. d) KI-Verordnung nur dann, wenn das KI-System objektiv ausschließlich vorbereitende Aufgaben wie die Fehleranalyse in Schülertexten übernimmt, ohne selbst die Bewertung maßgeblich zu beeinflussen, und die Endbewertung eigenständig durch eine Lehrkraft erfolgt.

Sollte der Gesetzgeber eines Bundeslandes eine Rechtsgrundlage für die Nutzung von KI-Plattformen zur eigenständigen Bewertung von Lernergebnissen schaffen, so würde dies für Schulen, welche eine geeignete, spezialisierte Plattform entsprechend einsetzen wollen, ab August 2026 eine Anzahl von Pflichten mit sich bringen, vergleichbar denen, welche Schulen durch die DS-GVO auferlegt werden, je nach KI-System jedoch möglicherweise deutlich umfangreicher. Schulen werden geeignete KI-Plattformen zur Bewertung von Lernergebnissen u.a. daran erkennen können, dass sie als Hochrisiko-KI-Plattformen ein CE-Kennzeichen, eine EU-Konformitätserklärung sowie einen Eintrag in der zentralen EU-KI-Datenbank mit Informationen zu Einsatzzweck, Risikobewertung usw. nachweisen können. Derzeit ist ein solcher Schritt von Seiten der Schul- und Kultusministerien jedoch höchst unwahrscheinlich. Das wird auch so bleiben, solange KI-Modelle eine erhebliche Fehleranfälligkeit aufweisen, Anbieter nicht die notwendige Transparenz gewährleisten und der Einsatz solcher Systeme — angesichts der daraus resultierenden Risiken für Fairness, Transparenz und Nachvollziehbarkeit — einen nicht vertretbaren Eingriff in die Grundrechte der Schülerinnen und Schüler darstellen würde.

Zudem ist in diesem Zusammenhang zu beachten, dass eine Einwilligung der Schülerinnen und Schüler nach Art. 6 Abs. 1 lit. a DS-GVO in den Einsatz hochriskanter KI-Systeme regelmäßig keine tragfähige Rechtsgrundlage darstellen kann. Voraussetzung für eine wirksame Einwilligung ist ihre Freiwilligkeit, Informiertheit und die Möglichkeit, sie jederzeit ohne Nachteile zu verweigern oder zu widerrufen. Im schulischen Kontext ist eine echte Freiwilligkeit jedoch kaum anzunehmen, da Schülerinnen und Schüler sich in einem strukturellen Abhängigkeitsverhältnis zur Schule befinden. Aus diesem Grund bedarf der Einsatz hochriskanter KI-Systeme im Bereich der Leistungsbewertung einer spezialgesetzlichen Rechtsgrundlage, die die Interessen der betroffenen Personen angemessen schützt.

Möchte eine Schule ein KI-Modell mit allgemeinem Verwendungszweck im Sinne von Art. 3 Nr. 63 KI-VO für eine spezialisierte Anwendung, wie die Bewertung von Lernergebnissen, einsetzen, verkompliziert sich die Sache deutlich. Bereits durch die mit der Spezialisierung einhergehende Änderung des Einsatzzwecks könnte die Schule rechtlich selbst als Anbieter eines KI-Systems gelten, was umfassende zusätzliche Auflagen wie Risikomanagement, technische Dokumentationspflichten, Konformitätsbewertungen, CE-Kennzeichnung und die Eintragung in die EU-KI-Datenbank nach sich zieht.

Exkurs: ChatGPT, Claude, Gemini und DeepSeek gelten im Sinne der KI-VO als KI-Modelle mit allgemeinem Verwendungszweck, wohingegen die Angebote von Anbietern wie fobizz, FelloFish und vergleichbar nicht unter diese Kategorie fallen, da es sich bei ihnen um domänenspezifische KI-Systeme handelt, die für konkrete pädagogische Zwecke (z. B. Korrekturassistenz, Feedbackgenerierung) optimiert und nicht für eine „breite Palette unterschiedlicher Aufgaben“ ausgelegt sind.

Die KI-VO unterscheidet zwischen KI-Modell und KI-System. Ein KI-System basiert auf einem oder mehreren KI-Modellen, die in der Regel über eine Programmierschnittstelle (API) integriert oder direkt eingebettet werden. Das System wird dabei für einen konkreten oder allgemeinen Anwendungszweck gestaltet und über eine Benutzeroberfläche bereitgestellt. Greift ein Nutzer über seinen Browser auf ein Angebot wie ChatGPT zu, interagiert er mit dem KI-System von OpenAI, das auf dem KI-Modell GPT-4 basiert. Die von Anbietern wie SchulKI, fobizz und ähnlichen Plattformen angebotenen KI-Systeme integrieren verschiedene KI-Modelle, aus denen Nutzer je nach Anwendungszweck bzw. Tool auswählen können.

Viele Bildungs-KI-Anbieter werden voraussichtlich ihre KI-Bewertungsfunktionen weiterhin so ausgestalten, dass sie nur vorbereitende Aufgaben unterstützen, um einer Einstufung als Hochrisiko-KI und den daraus resultierenden Pflichten als Anbieter zu entgehen.

Als hochriskant kategorisiert die KI-VO in Anhang III, Nr. 3 nicht nur KI-Systeme zur “Bewertung von Lernergebnissen“, sondern auch solche, welche “diese Ergebnisse zur Steuerung des Lernprozesses natürlicher Personen” verwenden. Darunter fallen je nach technischer Ausgestaltung auch Adaptive Lernsysteme und Intelligente Tutorielle Systeme – ob ein System jedoch tatsächlich als Hochrisiko-KI gilt, hängt davon ab, ob es im Sinne der Verordnung „intelligent“ agiert (z. B. durch den Einsatz komplexer KI-Modelle mit diagnosefähiger Lernsteuerung) oder lediglich einfache Algorithmen nutzt.

Ein Blick nach Baden Württemberg

Was würde das in der Praxis heißen? Zunächst ein kurzer Blick nach Baden-Württemberg. Dort gibt es mit § 115b im Schulgesetz⁴ seit 2024 eine Regelung, welche Schulen das “Anwenden automatisierter, anpassungsfähiger Verfahren […] zum Zweck der technischen Unterstützung und Förderung des individuellen Lernweges” erlaubt. Ergänzt und präzisiert wird diese Regelung mit der Digitalunterrichtsverordnung⁵ (DUVO). Automatisierte, anpassungsfähige Verfahren werden dort beschrieben als Computersysteme, die automatisch passende Lernangebote für Schülerinnen und Schüler auswählen, sich interaktiv an das Können und den Lernfortschritt der Lernenden anpassen, gezielt beim individuellen Üben helfen und Rückmeldungen geben. Zu den Informationspflichten gemäß Art. 13 und 14 DS-GVO werden Schulen auch Pflichten in Orientierung an der KI-VO auferlegt. Dazu gehören die Transparenzpflicht, welche Schulen durch Information über die Nutzung und Funktion des System erfüllen müssen, wie das Recht der Betroffenen zur Einsichtnahme, die Zweckbindung, mit welcher der Einsatzzweck eingeschränkt wird, das Verbot der Nutzung von Schülerdaten für Trainingszwecke und der Schutz der personenbezogenen Daten der Nutzer, wozu auch das Verbot gehört, in der Plattform personenbezogenen Daten besonderer Kategorien (Art. 9 DS-GVO zu verarbeiten. Eine Einsichtnahme der Lehrkräfte in die Lernfortschritte ist möglich, setzt jedoch eine Vorabinformation der Schülerinnen und Schüler über den Zeitpunkt voraus. Lehrkräfte dürfen im System erbrachte Leistungen “bei der Notenbildung oder anderen wesentlichen schulischen Entscheidungen” nur dann berücksichtigen, wenn sie diese “fachlich und pädagogisch” geprüft haben. Das bedeutet, um es noch einmal auf den Punkt zu bringen: will eine Lehrkraft in Baden-Württemberg die Leistungen ihrer Schülerinnen und Schüler in einem KI-gestützten System wie einem Adaptiven Lernsystem oder Intelligenten Tutoriellen System, dessen Nutzung in den Regelungsbereich der DUVO fällt, bewerten, setzt dieses voraus, dass vor der Einsichtnahme eine Information über den beabsichtigten Zeitpunkt erfolgt und die erbrachten Leistungen von der Lehrkraft fachlich und pädagogisch geprüft werden.

Ein Blick nach NRW

In NRW lassen sich Adaptive Lernsysteme und Intelligente Tutorielle Systeme unter Lehr- und Lernsysteme gem. § 120 Abs. 5 Satz 1 fassen⁶. Schulen können demnach entsprechende Systeme zur Erfüllung des Bildungs- und Erziehungsauftrags einsetzen und die dafür erforderlichen personenbezogenen Daten verarbeiten. Anders als in Baden-Württemberg findet sich im Schulgesetz NRW bisher keine bereichsspezifische Regelung zur Nutzung von KI-Plattformen oder Systemen, welche mit KI-Unterstützung arbeiten. Bestehende datenschutzrechtliche Grundsätze aus dem Schulgesetz und der DS-GVO sind hier anzuwenden, wie bei anderen Plattformen auch. Darüber hinaus müssen Schulen sich vorerst an der sperrigen KI-VO orientieren. Möchte eine Schule ein vom Schulträger bereitgestelltes Adaptives Lernsystem oder ein Intelligentes Tutorielles System nutzen, welches lediglich durch einfache Algorithmen gesteuert wird, geben alleine das Schulgesetz und die DS-GVO den Rechtsrahmen vor, innerhalb dessen eine Nutzung möglich ist. Mit dem Anbieter ist ein Vertrag zur Auftragsverarbeitung abzuschließen, Betroffene müssen vorab über die Datenverarbeitung informiert werden und die Nutzung ist nur im Rahmen des Erforderlichen möglich. Ist im Hintergrund ein KI-System aktiv, kommt auch die KI-VO ins Spiel. Die Schule müsste zunächst prüfen, ob das System als Hochrisiko-KI gemäß Anhang III der KI-VO einzustufen ist. Das wäre beispielsweise dann der Fall, wenn das System zunächst über einen Kompetenz-Check einen Lernstand ermittelt, diesen bewertet bzw. zu einer Diagnose verarbeitet und daraus abgeleitet die weiteren Lernprozesse automatisch steuert, d.h. sich anpasst und Lernvorgaben ohne direkte menschliche Entscheidung verändert. Durch die Einstufung als Hochrisiko-KI ist die Schule verpflichtet, die Lernenden vorab entsprechend zu informieren. Lehrkräfte müssen jederzeit in der Lage sein, die Entscheidungen des KI-Systems zur Steuerung der Lernprozesse nachzuvollziehen und diese bei Bedarf anzupassen.

KI-Plattformen ohne hohes Risiko

Viele für den schulischen Einsatzzweck konzipierte Plattformen, deren Funktionen KI-Systeme integrieren, fallen nicht unter Hochrisiko-KI-Systeme, da sie Anwendungsbereiche adressieren, die nur mit minimalem oder geringem Risiko verbunden sind. Dazu gehören etwa Hilfestellungen beim Verfassen von Texten, automatisiertes Feedback auf Entwürfe, interaktive Chats mit historischen oder fiktiven Persönlichkeiten, Erstellung von Podcasts aus Texten, Erschließung von Texten durch Fragen an ein PDF, das Erstellen von Grafiken und Bildern usw. Solche Anwendungen unterstützen den Lernprozess oder die kreative Arbeit, greifen jedoch nicht maßgeblich in die Leistungsbewertung oder die Bildungslaufbahn der Schülerinnen und Schüler ein. Sie unterliegen daher nach der KI-VO weniger strengen Anforderungen und können unter Einhaltung allgemeiner Datenschutzvorgaben deutlich einfacher eingesetzt werden.

Anwendungen, die nur ein geringes Risiko im Sinne der KI-Verordnung darstellen, unterliegen keinem Konformitätsbewertungsverfahren, keiner CE-Kennzeichnung und auch keinen umfassenden Risikomanagementpflichten. Die oben genannten typischen Funktionen der schulischen KI-Plattformen — wie Textassistenz, Feedbacksysteme, Chats mit historischen Persönlichkeiten, Bild- oder Podcast-Erstellung sowie interaktive PDF-Auswertungen — dürften in der Mehrzahl unter diese Kategorie der Anwendungen mit geringem Risiko fallen. Für Schulen als Betreiber solcher Systeme bedeutet dies in erster Linie, dass die Transparenzpflichten nach Artikel 52 der KI-VO zu beachten sind und Nutzerinnen und Nutzer — hier Schülerinnen und Schüler sowie Lehrkräfte — klar und verständlich darüber informiert werden müssen, dass sie mit einem KI-System interagieren. Voraussetzung bleibt, wie bereits an anderer Stelle erwähnt, stets, dass die eingesetzten Plattformen datenschutzkonform betrieben werden, insbesondere keine sensiblen personenbezogenen Daten im Sinne von Artikel 9 DS-GVO unzulässig verarbeitet oder übermittelt werden.

Ausblick

Die KI-VO wird Schulen spätestens ab August 2026 vor zusätzliche Herausforderungen stellen, da dann vor allem die unter die Hochrisiko-KI-Systeme fallenden Plattformen nur noch rechtmäßig eingesetzt werden können, wenn die von der KI-VO festgelegten Anforderungen dabei eingehalten werden. Darüber hinaus verpflichtet die KI-Verordnung Schulen als Betreiber von KI-Systemen dazu, sicherzustellen, dass sowohl Lernende als auch Lehrkräfte über eine ausreichende Kompetenz im Umgang mit KI-Systemen verfügen („AI Literacy“). Diese Pflicht besteht bereits seit Februar 2025. Lehrkräfte müssen in der Lage sein, die Funktionsweise, Risiken und Grenzen der eingesetzten Systeme zu verstehen, um ihrer Rolle als menschliche Kontrollinstanz („Human Oversight“) gerecht werden zu können. Die KI-VO schreibt keine bestimmte Maßnahme zur Kompetenzentwicklung vor, sondern fordert lediglich das Ergebnis: den kompetenten und verantwortungsbewussten Umgang mit KI im schulischen Alltag. Die Vermittlung von KI-Kompetenz wird damit ein weiterer zentraler Aspekt der Schulentwicklung.

Bis August 2026 bleibt Schulen noch Zeit zu experimentieren, solange sie dabei die Grenzen von Art. 22 DS-GVO beachten. Je nach Bundesland können sie sich dabei sogar auf schon vorhandene Rechtsgrundlagen aus der Schulgesetzgebung stützen. Um die Schulen bei der Bewältigung dieser neuen Herausforderungen zu unterstützen, haben die Bundesländer in der Bildungsministerkonferenz am 10. Oktober 2024 vereinbart, Schulen und Schulträgern Orientierungshilfen für den rechtskonformen Einsatz von KI-Anwendungen bereitzustellen.⁷

Wer sich selbst KI-kundig machen möchte, hat mit der Lektüre dieses Beitrags einen ersten Schritt dazu getan. Weitere hilfreiche Informationen finden sich u.a. unter:

KI-Kompetenzen für Lehrende und Lernende | (Susanne Alles, Joscha Falck, Manuel Flick und Regina Schulz, 03/2025)
KI in der Schule (KI-Campus; Online Lernmaterialien für Lehrkräfte)
KI – Unterrichten Digital (Hauke Pölert, Sammlung von Beiträgen zu KI und Schule)
KI im Unterricht: Beispiele & Material zu Künstlicher Intelligenz in der Schule – [ Deutscher Bildungsserver ]
Schulen und Lehrkräfte mit einer fobizz Lizenz für Fortbildungen finden auch dort umfangreiche Informationen zum Selbststudium

Datenschutzvorfall – und nun?

Lesezeit: 11 Minuten

Worum geht es?

Ein Datenschutzvorfall kann eine sehr ernste Sache mit weitreichenden Folgen sein. Wie zahlreiche Beispiele zeigen, kann es jede Schule betreffen.

Zu den Beispielen, die es in die Medien geschafft haben gehören aus dem Jahr 2023 der Cyberangriff auf die SIT, einen kommunalen Dienstleister in Südwestfalen, durch den viele Schulen zumindest vorübergehend nicht auf ihre Daten zugreifen konnten, wie auch der Datenverlust auf Schüler iPads von Abiturienten in Koblenz, ein Cyberangriff auf HeinekingMedia, den Anbieter eines digitalen Schwarzen Brettes, der Verlust von Chatinhalten und Nutzerdaten in einem schulischen Messenger an einer Bad Reichenhaller Schule durch einen Cyberangriff oder ein Ransomware Angriff auf Schulverwaltungsserver in Karlsruhe. Ende 2022 standen beispielsweise die Zugangsdaten zu Office von Nürnberger Schülern im Darknet. 2024 kam es bei dem Schulmitteilungs App ‚Stay Informed‘ zu einer Datenschutzverletzung, welche die personenbezogenen Daten von Personen an mehreren tausend Schulen betraf. Die Liste ließe sich nach lange fortführen und die Zahl der Vorfälle, die keine Schlagzeilen gemacht haben, ist noch deutlich größer.

Datenschutzverletzung

In Veröffentlichungen ist anstatt von einem Datenschutzvorfall meist von einer Datenschutzverletzung die Rede, da dieser Begriff sich in ähnlicher Form so auch in Art. 4 Nr. 12 DS-GVO findet.

“4. „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;”

Von einer Datenschutzverletzung redet man also, wenn personenbezogenen Daten aus der Zuständigkeit des Verantwortlichen:

verloren gehen,
Unbefugten zur Kenntnis kommen,
unbefugt gelöscht oder verändert werden.

Beeinträchtigt sind dabei die Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität. Dabei ist unerheblich, welche Ursache die Datenschutzverletzung hat, ob sie absichtlich oder zufällig verursacht wurde, ob durch die Schule und ihre Angehörigen, einen Dienstleister oder Fremde, ob durch Softwarefehler, Hardwareversagen oder Naturkatastrophen.

In der schulischen Praxis geht es, wie die anfangs genannten Beispiele zeigen, um Fälle, in denen z.B.:

ein Datenverarbeitungsgerät, auf welchen personenbezogene Daten gespeichert sind oder über welchen der Zugriff auf personenbezogene Daten möglich ist, verlustig geht oder gestohlen wird. Das kann ein (Dienst)Laptop sein, ein Tablet oder auch eine Festplatte, ein USB Speichermedium, ein Server oder anderer Rechner.
Dritte über einen Hackerangriff Zugriff auf personenbezogene Daten der Schule erhalten und diese
- entwenden,
- veröffentlichen,
- durch Verschlüsselung dem Zugriff der Schule entziehen.
Personenbezogene Daten aus der Schule unbefugten Dritten gegenüber offengelegt wurden, etwa indem
- sie per E-Mail irrtümlich an einen falschen Empfänger übermittelt wurden,
- offen zugänglich waren und durch Schüler kopiert oder abfotografiert wurden.
eine Schule den Zugriff auf personenbezogene Daten verliert, etwa weil
- ein für das digitale Klassenbuch genutzter Dienstleister gehackt wurde,
- das Archiv der Schule mit Zeugnissen und Klassenbüchern einer Naturkatastrophe zum Opfer fiel,
- der Schrank, in welchem die Schülerakten aufbewahrt werden, bei einem Feuer vernichtet wurde.

Da ein Datenschutzvorfall jede Schule treffen kann, selbst wenn sie nur mit einem Minimum an digitalen Tools in Verwaltung und Unterricht arbeitet, ist es entscheidend, dass sowohl Schulleitungen als Verantwortliche wie auch Lehrkräfte als Datenverarbeitende in der Lage sind, einen solchen Vorfall zu erkennen und richtig zu reagieren, um den Schaden möglichst einzugrenzen und den datenschutzrechtlichen Vorgaben zu genügen, die in einem solchen Fall greifen.

10 Punkte

Die folgenden 10 Punkte stellen dar, was es bei einer Datenschutzverletzung zu beachten bzw. zu erledigen gibt. Ihre Reihenfolge kann je nach Fallkonstellation abweichen und gegebenenfalls sind nicht alle Punkte relevant.

Feststellen, dass es (möglicherweise) eine Datenschutzverletzung gibt,
Meldung der (möglichen) Datenschutzverletzung an die Schulleitung (Verantwortlicher),
Ermitteln, welche Daten und Personen (möglicherweise) betroffen sind,
Schulleitung informiert behördlich bestellte(n) schulische(n) Datenschutzbeauftragte(n),
Risikoabschätzung,
wenn möglich Maßnahmen zur Schadensbegrenzung,
gegebenenfalls Meldung an die Aufsichtsbehörde,
gegebenenfalls Benachrichtigung der Betroffenen,
Dokumentation,
technische und organisatorische Maßnahmen, um vergleichbare Datenschutzverletzungen für die Zukunft auszuschließen.

Datenschutzverletzung – ja/ nein?

Eine Datenschutzverletzung liegt vor, wenn …

sicher ist oder eine Wahrscheinlichkeit besteht, dass Daten gegenüber Unbefugten offengelegt wurden bzw. dass eine Möglichkeit besteht, dass Unbefugte Zugriff auf Daten der Schule haben, hatten oder gehabt haben könnten,
Daten durch Löschung, Vernichtung, Verschlüsselung, Verlust des Zugangs zu den Daten oder ähnlich nicht mehr verfügbar sind,
Daten verändert wurden und die Veränderung nicht erklär- oder nachvollziehbar ist, so dass von einer unbefugten Veränderung der Daten ausgegangen werden muss,

Meldung an Schulleitung

Kommt eine Lehrkraft oder sonstige an der Schule beschäftigte Person zu dem Schluss, dass (möglicherweise) eine Datenschutzverletzung vorliegt, informiert sie die Schulleitung entsprechend den in der Schule abgesprochenen Regeln möglichst unmittelbar. Dabei sollte sie möglichst präzise Angaben machen können zur möglichen Datenschutzverletzung.

Ermittlung betroffener Personen und Daten

Die Schulleitung analysiert nun genauer:

welche Arten von Daten betroffenen sind und in welchem Umfang,
welche Personen/ Personengruppen/ Klassen/ Kurse,
in welcher Art und Weise eine Datenschutzverletzung besteht,
wann es zur Datenschutzverletzung kam bzw. wann sie entdeckt wurde,
wie lange die Datenschutzverletzung besteht bzw. bestand,

um festzustellen, ob eine Datenschutzverletzung vorliegt oder nicht.

Datenschutzbeauftragten hinzuziehen

Es empfiehlt sich immer, die oder den behördlich bestellte(n) schulische(n) Datenschutzbeauftragte(n) zu informieren und beratend hinzuzuziehen. Das kann auch direkt dann erfolgen, wenn die Schulleitung die Meldung einer Lehrkraft, sonstigen an der Schule beschäftigten Person oder von anderer Seite bekommt.

Risikoanalyse

Steht fest, dass eine Datenschutzverletzung vorliegt, muss eine Risikoanalyse vorgenommen werden, um zu entscheiden, welche Schritte als Nächstes erforderlich sind. Die zuvor zusammengetragenen Informationen zu den Kategorien von betroffenen Personen und Kategorien von Daten sowie die Art und Weise und Dauer der Schutzverletzung müssen dazu in Relation gesetzt werden, um die Eintrittswahrscheinlichkeit eines Schadens ermitteln zu können, wie auch die Schwere eines möglichen Schadens.

Wie schwer ist der mögliche Schaden für die betroffenen Personen?
Wie wahrscheinlich ist es, dass aus der Datenschutzverletzung ein Schaden für die betroffenen Personen entsteht?
Gesamtbewertung und Ergebnis der Risikobeurteilung

(1) Schwere des möglichen Schadens

Hier geht es um die Nachteile, welche Betroffene bezüglich ihrer Rechte und Freiheiten infolge der Datenschutzverletzung möglicherweise erfahren. Während in einigen Fällen die Nachteile unmittelbar offenkundig werden, muss in vielen Fällen abgeschätzt werden, welche Nachteile entstehen könnten, wenn sich die Datenschutzverletzung auswirkt. Beispiele für Schäden sind etwa:¹

Identitätsdiebstahl
Betrug
finanzielle Verluste
Gefährdung des Berufsgeheimnisses
Verlust der Kontrolle ihrer personenbezogener Daten Einschränkung von Rechten
Diskriminierung
Aufhebung der Pseudonymisierung
Rufschädigung
erhebliche wirtschaftliche Nachteile
erhebliche gesellschaftliche
Nachteile Gefahr für Leib und Leben
…

(2) Wahrscheinlichkeit, dass ein Schaden eintritt

Der mögliche Schaden ist nur ein Faktor. Ob dieser Schaden tatsächlich eintritt bzw. wie wahrscheinlich es ist, dass er eintritt, wirkt sich wesentlich auf die Risikobewertung aus. Bestand an einer von der Schule genutzten Plattform über längere Zeit eine Sicherheitslücke, über welche Unbefugte persönliche Daten hätten entwenden können, es sind diese Daten jedoch an keiner Stelle aufgetaucht und es ist auch kein Missbrauch dieser Daten bekannt, ist die Wahrscheinlichkeit eines Schadenseintritts eher gering. Wurden Daten bei einem Ransomware Angriff durch die Hacker entwendet, ist die Eintrittswahrscheinlichkeit eines Schadens meist hoch, da die Erpresser in vielen Fällen Daten veröffentlichen.

Gesamtbewertung

Zur Gesamtbewertung wird mit Hilfe der Bewertungsmatrix die Schwere des möglichen Schadens in Relation zu Eintrittswahrscheinlichkeit gesetzt. Man sieht dann mit einem Blick anhand der Farben, ob ein Risiko oder gar ein hohes Risiko vorliegt. Entsprechend dem Ergebnis ergeben sich die nachfolgenden Schritte.

Wie die folgende Matrix zeigt, muss eine Datenschutzverletzung, selbst wenn Betroffenen potentiell ein großer Schaden entstehen kann, nicht automatisch auch zu einem hohen Risiko führen, wenn die Eintrittswahrscheinlichkeit für einen Schaden lediglich geringfügig ist. Das wäre beispielsweise der Fall, gestohlene Daten zwar sensible Inhalte haben, der Datenträger, auf dem sie liegen, wie auch die Datenbank, in welcher sie gespeichert sind, sehr gut verschlüsselt sind.

Bewertungsmatrix

Mit der Matrix lässt sich feststellen, ob nur ein geringes Risiko vorliegt, ein Risiko oder ein hohes Risiko. Es gibt verschiedene Varianten dieser Matrix. Einige haben eine feinere Abstufung, etwa mit 5 Stufen.

Meldung an die Aufsichtsbehörde

Gemäß Art. 33 DS-GVO ist eine Meldung an die zuständige Aufsichtsbehörde erforderlich, nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden der Datenschutzverletzung, sofern sie voraussichtlich zu einem Risiko für die Betroffenen führt. In NRW kann dafür ein Formular der Aufsichtsbehörde genutzt werden. Auch in anderen Bundesländern bieten Aufsichtsbehörden vergleichbare Funktionen in ihren Internetauftritten an.

Kommt die Gesamtbewertung aus der Risikoanalyse zu dem Schluss, dass insgesamt nur ein geringes Risiko vorliegt, ist eine Meldung nicht erforderlich.

Information der Betroffenen

Liegt ein voraussichtlich hohes Risiko für die Rechte und Freiheiten der betroffenen Personen vor, kommt gem. Art. 34 DS-GVO zur Meldung an die Aufsichtsbehörde auch noch die Information der Betroffenen selbst hinzu. Wie dieses erfolgt, hängt vom Einzelfall ab. Geht es um eine Datenschutzverletzung, die alle oder nahezu alle Mitglieder der Schulgemeinschaft betrifft, kann die Meldung u.U. über die Schulehomepage in Kombination mit E-Mail oder einer schulischen Mitteilungs-App erfolgen.

Maßnahmen zur Schadensbegrenzung

Nach Möglichkeit wird versucht, den möglichen Schaden, welcher für Betroffene entstehen könnte, zu begrenzen. Welche Maßnahmen wann umgesetzt werden, hängt auch hier vom Einzelfall ab. Wurden beispielsweise die Zugangsdaten zu einer schulischen Plattform gestohlen, wird man in der Plattform die Passwörter zurücksetzen und die Betroffenen informieren, dass sie sich beim nächsten Anmelden neue Passwörter vergeben müssen. Haben Hacker Zugriff auf einen schulischen Server erhalten, wird man diesen vom Netz trennen und herunterfahren. Sind schulische Daten verloren gegangen, wird man sie so weit wie möglich aus anderen Quellen rekonstruieren. Welche Maßnahmen hier in Frage kommen, ist auf der Seite Hilfe ein Cyberangriff der LDI NRW dargestellt.

Dokumentation

Egal wie sich der Fall einer Datenschutzverletzung entwickelt, einer Dokumentation bedarf es in jedem Fall, also auch wenn es keine Meldung an die Aufsichtsbehörde gibt. Verantwortliche können dann ihr Vorgehen nachweisen, sollte es erforderlich sein. Das kann geschehen, wenn sich nachträglich herausstellt, dass die Risikoanalyse zu einem falschen Ergebnis gekommen ist und doch eine Meldung an die Aufsichtsbehörde oder eine Information der Betroffenen erforderlich gewesen wäre. Genauso kann es sein, dass eine betroffene Person eine andere Auffassung vertritt als die Schule und die Aufsichtsbehörde einschaltet. Um sich die Dokumentation zu erleichtern, kann man auch das Web Formular der LDI NRW zur Meldung einer Datenschutzverletzung nutzen. Dieses führt einen durch die erforderlichen Schritte der Dokumentation. Man speichert es sich dann als PDF. Was die Dokumentation enthalten sollte, stellt die LDI NRW auch auf der Seite Hilfe ein Cyberangriff übersichtlich dar.

72 Stunden

Die Frist von 72 Stunden ist in der DS-GVO eher als Orientierung gedacht. Entsprechend heißt es in Art 33 Abs. 1 Satz 1:

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, …

Schulen sollten diese Vorgabe nach Möglichkeit einhalten, auch weil die Aufsichtsbehörde u.U. wichtige Hilfestellungen geben kann, und je nach Datenschutzverletzung kann Zeit ein kritischer Faktor sein. Wichtig ist, dass die Uhr erst tickt, nachdem der Verantwortliche, also die Schulleitung davon erfahren hat.

Maßnahmen im Nachgang

Ist der Fall einer Datenschutzverletzung abgeschlossen, sollte dieser auf jeden Fall aufgearbeitet werden. Welche Maßnahmen sinnvoll sind, hängt vom Einzelfall ab. Ereignete sich der Vorfall bei einem Dienstleister, kann die Schule nicht viel machen, außer eventuell den Dienstleister wechseln, sollte das Vertrauen unwiderruflich beschädigt sein. Bei Datenschutzverletzungen, in welche die Schule oder ihre Mitarbeiter unmittelbar involviert waren, sollte das bestehende Datenschutzkonzept überprüft und gegebenenfalls angepasst werden, um vergleichbare Datenschutzverletzungen für die Zukunft möglichst auszuschließen. Eine Dienstanweisung² ist, sofern noch nicht vorhanden, eine weitere Möglichkeit für die Zukunft besser aufgestellt zu sein. Ergänzend sollte gegebenenfalls eine Schulung des Kollegiums erfolgen. Je nach Fall kann es sein, dass zusätzliche technische und organisatorische Maßnahmen eingerichtet und bestehende verbessert werden müssen.

Beispiele

Da jede Risikoanalyse letztlich eine Einzelfallbewertung ist, können hier nur beispielhafte Aussagen gemacht werden, die aber hoffentlich eine Idee geben, worauf es ankommt. Verschiedene Personen können je nach Fall durchaus auch zu voneinander abweichenden Gesamtbwertungen kommen.

Ein Eltern E-Mail mit allgemeinen Informationen wurde versehentlich mit offenem Verteiler versandt. Alle Eltern konnten so die privaten E-Mail Adressen aller anderen Eltern sehen.
- Es ist hier zu einer Verletzung der Vertraulichkeit von personenbezogenen Daten gekommen.
- Mögliche Nachteile für Betroffene könnten sein: unerwünschte Kontaktaufnahme; Werbe-E-Mails, falls die Adressen entsprechend genutzt werden; Spoofing – ein Empfänger täuscht E-Mails mit der Adresse von anderen Eltern vor, um falsche Informationen zu verbreiten, aufzuwiegeln, …
- Eintrittswahrscheinlichkeit: die Wahrscheinlichkeit des Missbrauchs durch Eltern dürfte eher gering sein; dass die Verteilerliste an Personen außerhalb der Schulgemeinschaft gelangt, sollte eher gering sein
- Gesamtbewertung: Es liegt insgesamt ein geringes Risiko vor. Die Schule dokumentiert den Fall und macht keine Meldung an die Aufsichtsbehörde.
- Maßnahmen: Die Schule weist die Betroffenen jedoch auf die Datenschutzverletzung hin und entschuldigt sich dafür. Außerdem macht sie alle Eltern darauf aufmerksam, dass sie die E-Mail Adressen nicht zur Kontaktaufnahme nutzen dürfen oder weitergeben dürfen und sie löschen sollten. Die Schulleitung erstellt eine Dienstanweisung zum Versenden von E-Mails und führt eine Schulung aller Mitarbeiter durch.
Das Dienst-iPad einer sonderpädagogischen Lehrkraft wurde gestohlen. Auf dem Gerät waren Entwürfe für mehrere sonderpädagogische Gutachten und Unterlagen für AO-SF Verfahren, wie auch Entwürfe für individuelle Förderpläne und Textzeugnisse gespeichert.
- Es geht in diesem Fall um besondere Kategorien von personenbezogenen Daten gem. Art. 9 Abs. 1 DS-GVO und den möglichen Verlust der Verfügbarkeit wie auch der Vertraulichkeit.
- Mögliche Nachteile für Betroffene könnten sein: Sollten Unbefugte Zugriff auf die Unterlagen bekommen, drohen den Betroffenen möglicherweise Rufschädigung, ein Verlust über die Kontrolle der eigenen Daten, Diskrimierung sowie erhebliche wirtschaftliche und gesellschaftliche Nachteile.
- Eintrittswahrscheinlichkeit: Da das Gerät zugangsgeschützt ist mit sechsstelligem Code und Fingerabdruck und die Daten auf dem Gerät verschlüsselt sind, ist die Wahrscheinlichkeit, dass Unbefugte an die Daten gelangen sehr gering. Außerdem kann die Schule das Gerät aus der Ferne löschen, sobald es online geht.
- Gesamtbewertung: Da es, unabhängig von der Anzahl der betroffenen Personen, um besondere Kategorien von Daten geht, ist die Schwere des möglichen Schadens groß. Die Eintrittswahrscheinlichkeit dürfte bei 2 oder 3 liegen. Die Schule meldet den Vorfall an die Aufsichtsbehörde und informiert die Eltern der Betroffenen und die Betroffenen selbst.
- Maßnahmen: Die Schule setzt das Gerät über das Mobile Device Management (MDM) zurück, so dass alle Daten am Gerät gelöscht werden. Verlorene Inhalte werden, sofern nicht an anderer Stelle gesichert neu erstellt.

Thema Auftragsverarbeiter

Eine Datenschutzverletzung muss nicht in der Schule oder bei einer an der schulischen Datenverarbeitung beteiligten Person wie einer Lehrkraft stattfinden, sondern kann sich auch bei einem Dienstleister ereignen. In einem solchen Fall, etwa beim Anbieter eines digitalen Klassenbuches, eines Schulmessengers, eines pädagogischen Servers, einer Lehr- und Lernplattform oder einer Arbeits- und Kommunikationsplattform, ist der Auftragsverarbeiter verpflichtet, den Verantwortlichen unmittelbar zu informieren. Verträge zur Auftragsverarbeitung enthalten hierzu entsprechende Klauseln. Ein Beispiel dafür ist die folgende Passage:

“6. Mitteilungspflichten des Auftragnehmers bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten
Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DS-GVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder 34 DS-GVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung gem. Ziff. 4 dieses Vertrages durchführen.“³

Sammelmeldung durch einen Auftragsverarbeiter

Arbeitet ein Auftragsverarbeiter wie etwa ein kommunales Rechenzentrum oder ein großer Plattformanbieter für viele Schulen, dann können von einer Datenschutzverletzung bei diesem Dienstleister u.U. auch alle den Dienstleister nutzenden Schulen betroffen sein. In diesem Fall ist es möglich, dass dieser Dienstleister eine gesammelte Meldung bei der zuständigen Aufsichtsbehörde macht. Dieses setzt aber die Einhaltung einiger Formalien voraus. Dazu gehören u.a. die vorherige Information des Verantwortlichen und eine schriftliche Weisung durch denselben an den Auftragsverarbeiter. Weitere Details zum Verfahren finden sich auf der Meldeseite der LDI NRW unter der FAQ “Dieselbe Datenpanne betrifft mehrere Verantwortliche Stellen – Kann eine Sammelmeldung für alle Verantwortlichen erfolgen?”⁴

Die Aufsichtsbehörde meldet sich

Es kann vorkommen, dass Betroffene bei der Aufsichtsbehörde eine Datenschutzverletzung anzeigen. In einem solchen Fall meldet sich die Aufsichtsbehörde. Dies war beispielsweise der Fall als es bei einem von Schulen genutzten Dienstleister eine Datenschutzverletzung in Form einer Sicherheitslücke gab, von welcher einige Schulen nichts mitbekommen hatten. Das Schreiben der Aufsichtsbehörde begann wie folgt:

“Unter Bezugnahme auf Art. 58 Abs. 1 lit. a DS-GVO i. V. m. § 27 Abs. 2 DSG NRW fordere ich Sie auf, zu dem dargestellten Sachverhalt Stellung zu nehmen. Ich empfehle Ihnen, die bzw. den Datenschutzbeauftragte(n) Ihrer Behörde zu beteiligen. Die Stellungnahme soll gleichzeitig dazu dienen, dass Sie die Angelegenheit aus Ihrer Sicht erläutern können und mindestens folgende Punkte umfassen:

- Sind Ihnen die besagten Sicherheitslücken bekannt geworden und wenn ja, wann?
- Wann wurde die Aktualisierung des Produkts XYZ, die die Sicherheitslücken behebt, für Ihre XYZ-Instanz vorgenommen?
- Ist es nach Ihrer Einschätzung aufgrund der Sicherheitslücken zu einer Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DS-GVO gekommen?
- Wenn ja, wie schätzen Sie das Risiko für die Rechte und Freiheiten natürlicher Personen ein, das von der Verletzung ausgeht?

Ich weise Sie darauf hin, dass Sie mir gemäß Art. 33 DS-GVO Verletzungen des Schutzes personenbezogener Daten unverzüglich und möglichst innerhalb von 72 Stunden, nachdem Ihnen die Verletzung bekannt wurde, melden müssen, sofern …“

Datenschutzverstoß

Eine Datenschutzverletzung kann auch einen Datenschutzverstoß, also einen Verstoß gegen die Vorgaben der DS-GVO, darstellen bzw. aus einem Datenschutzverstoß herrühren. Aber nicht jeder Datenschutzverstoß ist eine Datenschutzverletzung. Wenn eine Schule nicht über eine Datenverarbeitung gemäß Art. 13 DS-GVO infomiert, ist das ein Datenschutzverstoß, jedoch keine Datenschutzverletzung. Legt die Schule personenbezogene Daten wie beispielsweise Notenlisten für die Zeugniserstellung ungeschützt in einem Verzeichnis auf dem Server ab, auf dem auch die Schulwebsite liegt, ist dieses sowohl ein Datenschutzverstoß als auch eine Datenschutzverletzung.

Dienstanweisung

Es empfiehlt sich für Schulen, den Umgang mit Datenschutzvorfällen bzw. Datenschutzverletzungen über eine Dienstanweisung zu regeln. Das erleichtert allen Beteiligten die Handhabung, wenn es tatsächlich einmal einen Fall geben sollte. Aus der Dienstanweisung sollte hervorgehen, wann von einer Datenschutzverletzung ausgegangen werden muss, welche Maßnahmen eventuell direkt ergriffen werden können, wie die Schulleitung zu informieren ist und wann, und welche Schritte die Schulleitung unternimmt.

Download Vorlage: Dienstanweisung zum Umgang mit Datenschutzverletzungen.docx

Weiterlesen

Sehr umfangreich stellt eine Broschüre des Bayerischen Landesbeauftragten für den Datenschutz von 2019 das Thema dar: Meldepflicht und Benachrichtigungspflicht des Verantwortlichen; Erläuterungen zu Art. 33 und 34 Datenschutz-Grundverordnung; Orientierungshilfe (PDF)
Verantwortliche in NRW sollten sich an der Seite der LDI NRW orientieren: Meldepflicht für Verantwortliche – Verletzungen des Schutzes personenbezogener Daten, wo sich auch das Web Formular findet.
Deutlich ausführlicher noch ist die Seite Hilfe ein Cyberangriff der LDI NRW.
Die Hinweise, welche Datenschutzverletzungen zu melden sind, jedoch nicht speziell auf Schulen gemünzt von Datenschutz-Notizen, geben Hinweise für die Risikoanalyse und Gesamtbewertung.
Wie mit einem Datenschutzvorfall beim Auftragsverarbeiter umzugehen ist, aus Sicht der Aufsichtsbehörde Hamburg.
Umgang mit Datenschutzverletzungen – Praxisratgeber; Stiftung Datenschutz

04/2024

März 28, 2022März 22, 2023

FAQ – Einsatz von digitalen Plattformen ab März 2022

Lesezeit: 7 Minuten

Mit dem 16. Schulrechtsänderungsgesetz von Februar 2022 haben sich bezüglich des Einsatzes von digitalen Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen zur Erfüllung des Bildungs- und Erziehungsauftrags an Schulen in NRW grundlegend verändert. Im Beitrag 16. Schulrechtsänderungsgesetz und Datenschutz werden diese Möglichkeiten ausführlich erläutert. Einige Fragen werden nach der Lektüre dieses Beitrags offen bleiben. In dieser FAQ sollen häufige Fragen deshalb beantwortet werden. Viele Fragen der praktischen Umsetzung werden sich vermutlich erst mit der Zeit klären. An einigen Stellen werden möglicherweise ergänzende Erlasse oder sogar Entscheidungen von Verwaltungsgerichten für Klärung sorgen müssen.

Ist bei jeder Einführung einer digitalen Plattform im Sinne von § 8 Satz 2 eine Beteiligung gemäß LPVG erforderlich?

Im LPVG NRW heißt es in § 72 Satz 3 Nr. 2 “(3) Der Personalrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, mitzubestimmen in Rationalisierungs-, Technologie- und Organisationsangelegenheiten bei
1. …
2. Einführung, Anwendung und Erweiterung technischer Einrichtungen, es sei denn, dass deren Eignung zur Überwachung des Verhaltens oder der Leistung der Beschäftigten ausgeschlossen ist,”

Es hängt demnach von der jeweiligen Plattform ab, ob diese mitbestimmungspflichtig durch den Personalrat ist. Sind deren Funktionen nicht geeignet Verhalten oder Leistung von Lehrkräften zu überwachen, unterliegt die Plattform nicht der Mitbestimmung gem. LPVG. Die Logineo NRW Plattformen sind mitbestimmt, da sie viele solche Möglichkeiten bieten. Man wird davon ausgehen können, dass vor allem große Plattformen wie eine NextCloud oder IServ mitbestimmungspflichtig sind, vor allem wenn sie auch für Abbildung schulinterner Organisationsabläufe genutzt werden. Hingegen sollten Plattformen wie Antolin oder Anton, die unter Lehr und Lernsysteme gem. § 8 Satz 2 SchulG NRW fallen sollten, keine Möglichkeiten bieten, Aufschluss über das Nutzerverhalten von Lehrkräften zu gewinnen. Gleiches sollte auch für ein TaskCards gelten. Die Frage ist hier jedoch immer auch, wie weit man “Eignung zur Überwachung des Verhaltens oder der Leistung” fasst. Reicht es, wenn die Schulleitung die Anzahl der durch eine Lehrkraft erstellten Taskcards einsehen kann?

Man kann als Faustregel für die Abschätzung, ob eine Mitbestimmungspflicht vorliegt oder nicht, nehmen: je komplexer eine Plattform ist, desto wahrscheinlicher ist es, dass sie mitbestimmungspflichtig ist. Gleiches gilt auch, wenn sie für die Abbildung schulinterner Verwaltungs- und Organisationsprozesse durch Lehrkräfte genutzt wird. Einfachere Plattformen, in denen vor allem die Schülerinnen und Schüler im Mittelpunkt stehen, sollten tendenziell seltener der Mitbestimmungspflicht unterliegen.

Siehe auch Datenschutz & Mitbestimmung.

Können auch Microsoft 365 und Teams auf der neuen Rechtsgrundlage eingeführt werden?

Diese Frage dürfte viele Schulen bewegen. Mit Stand von November 2022 wird die DS-GVO Konformität von Microsoft 365 von den Aufsichtsbehörden angezweifelt. Die kurze Antwort ist deshalb: solange eine Schule nicht in der Lage ist nachzuweisen, dass die Verarbeitung von personenbezogenen Daten bei der Nutzung von Microsoft 365 durch Schüler und Lehrkräfte DS-GVO konform möglich ist, ist auch eine Nutzung auf der Grundlage von § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW nicht möglich. Die Verarbeitung von personenbezogenen Daten setzt deshalb weiterhin eine Einwilligung der Betroffenen voraus.¹

Das Thema Microsoft 365 ist in Bewegung. Sogar die Kultusminister Konferenz engagiert sich jetzt mit Unterstützung einer Arbeitsgruppe der Datenschutzkonferenz. Bis Ende 2022 wird Microsoft alle Telemetriedaten ausschließlich in der EU Verarbeiten. Aber noch gibt es den CLOUD-Act, der kritisch gesehen wird, und Microsoft räumt sich in den Datenschutzbestimmungen das Recht ein, einige personenbezogene oder -beziehbare Daten für eigene Zwecke zu verarbeiten. Das wird von Aufsichtsbehörden als nicht DS-GVO konform eingestuft. Das heißt Abwarten – noch ist nichts verloren.

Die Aussagen zu Microsoft 365 lassen sich auch auf Google Workspace for Education übertragen. In den Niederlanden ist eine datenschutzkonforme Nutzung an Schulen mit Billigung der dortigen obersten Aufsichtsbehörde bereits möglich. Hier müssen Aufsichtsbehörden von Schulen erst noch davon überzeugt werden.

Was gilt für MNSPro Cloud?

MNSpro Cloud von der Firma AIXConcept besteht aus zwei Teilen, MNSpro und Microsoft 365. Für beide werden getrennte Verträge zur Auftragsverarbeitung abgeschlossen. Während man das von AIXConcept erstellte und betriebene MNSpro auf der Rechtsgrundlage der neuen Regelungen einführen können sollte, gilt für die angedockten Microsoft 365 Tenant, was zuvor schon für Microsoft 365 gesagt wurde.

Was ist bei IServ zu beachten?

IServ ist ein deutscher Anbieter und die Plattform lässt sich DS-GVO konform nutzen, egal ob es sich um die klassische on premise Lösung mit Server im Schulkeller oder beim Schulträger handelt oder um die vom Anbieter gehostete “Cloud” Version. Die Plattform bringt damit alle Voraussetzungen für eine verpflichtende Nutzung mit. Zu regeln ist die Nutzung des Profils, denn hier können schulische Nutzer persönliche Informationen einstellen, die über für den Unterricht erforderliche Daten hinausgehen. Die einfachste Lösung für Schulen ist die komplette Deaktivierung des Profils. Möchte eine Schule die Nutzung des Profils zulassen, sollte eine Nutzungsvereinbarung erstellt werden, welche das Füllen des Profils davon abhängig macht, ob Nutzer zuvor eine Einwilligung in die Verarbeitung der dort eingetragenen Daten erteilt haben. Die im Download Bereich zur Verfügung gestellte Einwilligung mit Informationen zur Datenverarbeitung gem. Art. 13 DS-GVO für IServ kann eine verpflichtende Nutzung umgearbeitet werden.

Wie sieht es mit itslearning aus?

Die aus Norwegen kommenden Plattform, sollte bezüglich der eigentlichen Kernplattform im Sinne der neuen Regelungen des SchulG NRW nutzbar sein. In Bremen ist itslearning sogar mitbestimmt (siehe Dienstvereinbarung zu der Lernplattform „itslearning“). Ein Problem stellt jedoch das integrierte Microsoft Office dar. Dieses Office speichert zwar die erstellten Word, Excel und PowerPoint Dokumente auf den itslearning Servern, braucht jedoch zur Bearbeitung in der Plattform die Online-Office Dienste von Microsoft, und deren DS-GVO Konformität wird angezweifelt. In Baden Württemberg, erhalten Schulen itslearning über das Schulministerium, aus den genannten Gründen allerdings ohne Freischaltung der (Microsoft) Office Komponente, wie im 21. Tätigkeitsbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden Württemberg nachzulesen ist. Integriert man stattdessen ein im Auftrag betriebenes Collabora Office oder Only Office, sollte eine Nutzung von itslearning komplett nach den neuen Regelungen möglich sein.

Kann Moodle auf der neuen Rechtsgrundlage verpflichtend genutzt werden?

Anders als zur Zeit bei Logineo NRW LMS, dem Landes Moodle, steht einer Nutzung von Moodle außerhalb der Landeslösung nichts entgegen. Da Logineo NRW LMS mitbestimmt ist, sollte eine Mitbestimmung gem. LPVG NRW leicht zu erreichen sein. Das ist vor allem dann der Fall, wenn die Konfiguration sich an der der Landeslösung orientiert und keine zusätzlichen Plugins genutzt werden, welche ihrerseits durch ihre Funktionen mitbestimmungspflichtig sind.

Wie geht man mit den freiwillig eingebrachten Nutzerdaten um?

Hier gibt es nur eine sinnvolle Lösung. Per Nutzungsordnung muss die Nutzung für Inhalte, die in keinem Zusammenhang mit dem Unterricht bzw. bei Lehrkräften mit der Erfüllung der Aufgaben und der Durchführung von Unterricht stehen, untersagt werden. Diese Nutzungsordnung müssen Nutzer dann zur Kenntnis nehmen. Die Kenntnisnahme kann in verschiedener Form erfolgen. Bei Schülerinnen und Schülern wie auch Lehrkräften kann das eine Belehrung sein mit Hinweis, wo die Nutzungsordnung in schriftlicher Form nachzulesen ist. Es muss keine Online-Nutzungsordnung sein, die vor Freischaltung des Nutzerkontos per Setzen eines Häkchens zu quittieren ist.

Alternativ wäre vorstellbar, dass eine Plattform so eingestellt wird, dass Nutzer die Möglichkeit haben, in die Verarbeitung von personenbezogenen Daten, die über Unterricht bzw. bei Lehrkräften die Erfüllung der Aufgaben und die Durchführung von Unterricht hinausgehen, innerhalb der Plattform in den Nutzereinstellungen einzuwilligen. Zusätzliche Funktionen, etwa zum Anlegen eines Nutzerprofils erscheinen nach er Einwilligung. Der Widerruf der Einwilligung und das Löschen der dort hinterlegten Daten sollten dort dann ebenfalls möglich sein.

Ist auch eine verpflichtende Nutzung von personenbezogenen Daten in einer digitalen Plattform möglich, die vor März 2022 an der Schule eingeführt wurde?

Wie aus den Erläuterungen im Gesetzesentwurf zum 16. Schulrechtsänderungsgesetz hervorgeht, lassen sich die neuen Regelungen auch auf bereits eingeführte Plattformen anwenden: “Dies schließt alle Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen im Sinne des § 8 Absatz 2 ein, die die Schule zur Erfüllung ihres Bildungs- und Erziehungsauftrags nutzt.” Auch die Formulierungen in § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW nehmen hier keine Eingrenzung auf Plattformen vor, die ausdrücklich auf der Grundlage § 8 Abs. 2 SchulG NRW einführt wurden. Bereits an Schulen genutzte Plattformen können, sofern sie die Vorgaben des SchulG NRW und der DS-GVO erfüllen, ebenfalls auf der Grundlage von § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW in Verbindung mit § 8 Abs. 2 genutzt werden.

Auch eine verpflichtende Nutzung ist möglich. Diese setzt einen Beschluss der Schulkonferenz gemäß § 65 Abs. 2 Nr. 6 voraus. Im Gesetzesentwurf weist das MSB darauf hin, dass die der Schulkonferenz dort eingeräumte Entscheidungsbefugnis nicht für bereits vor Inkrafttreten des 16. Schulrechtsänderungsgesetzes existierende und genutzte Systeme und Plattformen gilt. Das bedeutet, Schulen können nicht nachträglich über bereits genutzte Plattformen und Systeme entscheiden, sondern müssen einen Umweg gehen. Dafür bitten sie den Schulträger, der Schulkonferenz gegenüber zu erklären, dass er der Schule die jeweilige Plattform bzw. das jeweilige System bereitstellen möchte und zur Nutzung vorschlägt. Daraufhin entscheidet die Schulkonferenz über diesen Vorschlag zur Nutzung.

Eine Grundschule, die bereits LeseLudi, Antolin, ZahlenZorro oder ähnlich im Sinne des § 8 Absatz 2 nutzt, könnte die Nutzung dann umstellen und auf das Einholen einer Einwilligung zukünftig verzichten. Informationen gem. Art. 13 DS-GVO über die Datenverarbeitung bei der Nutzung sind jedoch weiterhin erforderlich.

Was, wenn für eine Plattform bereits Einwilligungen eingeholt/ erteilt wurden?

Verfügt eine Schule über eine Plattform, die sie bereits vor dem 16. Schulrechtsänderungsgesetz zur Erfüllung des Bildungs- und Erziehungsauftrags einsetzte, so dürften für die Verarbeitung von personenbezogenen Daten Einwilligungen von Schülern und Lehrkräften vorliegen. Die Schule kann Einwilligungen nicht von ihrer Seite aus aufheben. Sie haben also weiterhin Gültigkeit. Widerrufen Betroffene ihre Einwilligung, müssen der Zugang und die mit der Nutzung angefallenen personenbezogenen Daten der betroffenen Person gelöscht werden, da diese auf der Rechtsgrundlage Einwilligung verarbeitet wurden. Es könnte im Anschluss jedoch direkt ein neues Nutzerkonto erstellt werden, wenn die Schule die Plattform jetzt auf der Grundlage der neuen Regelungen nutzt. Die betroffene Person wäre dann sogar zu dessen Nutzung verpflichtet, wenn die dafür erforderlichen Voraussetzungen wie die Ausstattung mit einem Endgerät stimmen.

Können Schüler und Lehrkräfte zur Nutzung der Online Tools von kits.blog verpflichtet werden?

Leider ist das nicht möglich. Auch wenn die Tools des Niedersächsischen Landesinstituts für schulische Qualitätsentwicklung (NLQ) sehr datenschutzfreundlich sind, erfüllen sie die Vorgaben des SchulG NRW nicht, da mit dem NLQ kein Vertrag zur Auftragsverarbeitung abgeschlossen werden kann. Gleiches gilt auch für vergleichbare Plattformen, etwa von ZUM oder von eBildungslabor und ähnlich.

Wir haben keine 1:1 Ausstattung. Ist eine verpflichtende Nutzung damit unmöglich?

Nein, sie kann durchaus möglich sein. Es muss nur jedem Nutzer ein schulisches Endgerät zur Verfügung stehen. Das können auch die Tablets aus dem Tablet Koffer sein, den die Lerngruppe sich für ein Unterrichtsprojekt ausleiht. Viele Schulen haben noch PC Räume. Auch dort ist eine verpflichtende Nutzung durchaus umsetzbar. Weder in den neuen Regelungen des SchulG NRW, noch in den Erläuterungen zum Gesetzesentwurf gibt es Hinweise, dass die verpflichtende Nutzung ein persönliches digitales Endgerät voraussetzt.

Sollte es von Seiten der Leser Fragen geben, so schreiben Sie diese gerne in die Kommentare.

Januar 26, 2022Februar 11, 2022

Gemeinsame und schuleigene Datenschutzbeauftrage – VO-DV II

Lesezeit: 5 Minuten

Mit Datum vom 13. Dezember 2021 wurden die VO-DV I und VO-DV II durch die Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten geändert. Deutliche Veränderungen ergeben sich durch die Änderungen auch für die Bestellung von Datenschutzbeauftragten für die Schulen in öffentlicher Trägerschaft. Regelungen wurden auch für die ZfSL geschaffen.

In §1 Abs. 6 der alten Fassung der VO-DV II war die Regelung zur Bestellung von Datenschutzbeauftragten nur sehr knapp gefasst.

“(6) Die in Absatz 1 genannten Behörden oder Einrichtungen bestellen behördliche Datenschutzbeauftragte gemäß § 32a DSG NRW. Mehrere Stellen können gemeinsam einen behördlichen Datenschutzbeauftragten bestellen, wenn dadurch die Erfüllung seiner Aufgaben nicht beeinträchtigt wird. Für Schulen in kommunaler und staatlicher Trägerschaft bestellt das Schulamt eine Person, die die Aufgaben gemäß § 32a DSG NRW wahrnimmt.”

Die neue Fassung fällt deutlich umfangreicher aus, da Zuständigkeiten für die Bestellung neu zugewiesen werden, um personalvertretungsrechtliche Belange zu berücksichtigen, und auch die Möglichkeiten zur Bestellung erweitert werden.

“(6) (1)Die in Absatz 1 genannten Behörden oder Einrichtungen benennen behördliche Datenschutzbeauftragte gemäß Artikel 37 der Datenschutz-Grundverordnung. (2) Mehrere Stellen können gemeinsam eine Person benennen, wenn dadurch die Erfüllung ihrer Aufgaben nicht beeinträchtigt wird. (3) Abweichend von Satz 1 wählen für Schulen in kommunaler und staatlicher Trägerschaft die Schulämter Personen aus, die in ihrem Bezirk die Aufgaben gemäß Artikel 39 der Datenschutz-Grundverordnung wahrnehmen sollen. (4) Zur Wahrung personalvertretungsrechtlicher Interessen werden diese Personen nach Artikel 37 Absatz 3 der Datenschutz-Grundverordnung von den Bezirksregierungen benannt und an das jeweilige Schulamt anteilig zur Wahrnehmung der Funktion abgeordnet. (5) Schulen können stattdessen eine schuleigene Datenschutzbeauftragte oder einen schuleigenen Datenschutzbeauftragten benennen. (6) Sofern für Zentren für schulpraktische Lehrerausbildung nach Artikel 37 Absatz 3 der Datenschutz-Grundverordnung gemeinsame Datenschutzbeauftragte benannt werden sollen, erfolgt ihre Benennung zur Wahrung personalvertretungsrechtlicher Interessen durch die Bezirksregierungen.”

Eigene Datenschutzbeauftragte

Die bisherigen Regelungen zur Bestellung von Datenschutzbeauftragten sah nur die Möglichkeit vor, diese Personen für mehrere Stellen gemeinsam zu benennen. Entsprechend wurden für jeden Kreis und jede kreisfreie Stadt bis zu zwei Personen zu behördlichen Datenschutzbeauftragten bestellt. Diese sind dem Schulamt zugeordnet und für alle Schulen in öffentlicher Trägerschaft des jeweiligen Kreises bzw. der jeweiligen kreisfreien Stadt zuständig. Diese Möglichkeit besteht mit Satz (3) auch weiterhin unverändert fort.

Satz (5) der Verordnung Schulen lässt Schulen nun jedoch die Wahl. Sie können wie bisher die Dienste der bereits bestellen behördlich Datenschutzbeauftragten in Anspruch nehmen, oder nun selbst eine Person für ihre Schule benennen, welche diese Funktion übernehmen soll. Den Erläuterungen des MSB im Entwurf einer Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten ist zu entnehmen, dass diese Änderung auf eine Anregung der LDI NRW zurückgeht und diese Möglichkeit vor allem “bei großen oder besonders technisierten Schulen zweckmäßig sein könnte.”

Damit besteht ab sofort für jede Schule in öffentlicher Trägerschaft die Möglichkeit, einen bzw. eine schuleigene/n Datenschutzbeauftragte/n zu benennen. § 1 Abs. 5 schränkt diese Option dabei in keiner Weise ein, weder auf Schulformen noch die Größe von Schulen.

Benennung

Während die behördlich bestellten schulischen Datenschutzbeauftragten nach der neuen Regelung von den Schulämtern ausgewählt und vorgeschlagen und dann von den Bezirksregierungen unter Beteiligung der Personalvertretung benannt werden, können dem Wortlauf von Satz (5) nach Schulen die Person eigenständig benennen.¹ Entsprechend wird es dort auch keine Teilabordnungen durch die Bezirksregierungen an die Schulämter geben.

Es wird aber zumindest erforderlich sein, diese Benennungen an die Schulämter zu melden, damit diese ihrerseits die behördlich bestellten schulischen Datenschutzbeauftragten in Kenntnis setzen können. Ob auch eine Meldung an die Bezirksregierungen notwendig wird, bleibt abzuwarten.

Thema Zuständigkeiten

Hat eine Schule einen schuleigenen Datenschutzbeauftragten benannt, nimmt diese Person für die Schule alle Aufgaben gemäß Art. 39 DS-GVO wahr. Die Zuständigkeit der behördlich bestellten dem Schulamt zugeordneten schulischen Datenschutzbeauftragten endet damit für diese Schule. ²

Meldung bei der Aufsichtsbehörde

Mit der Benennung eines schuleigenen Datenschutzbeauftragten geht auch die Verpflichtung einher, diese Person gem. Art. 37 Abs. 7 DS-GVO bei der LDI NRW zu melden. Die Meldung erfolgt im Meldeportal der Aufsichtsbehörde nach vorheriger Registrierung auf der Seite.

Veröffentlichung der Kontaktdaten

Gem. Art. 37 Abs. 7 DS-GVO muss die Schule auch die Kontaktdaten der zum Datenschutzbeauftragten bestellten Person veröffentlichen. Das betrifft einige Stellen, von der Schulhomepage bis zu Datenschutzinformationen für Schülern, Eltern und Lehrkräfte gem. Art. 13 und Art. 14 DS-GVO.

Entlastung – Freistellung

Für die behördlich bestellten dem Schulamt zugeordneten schulischen Datenschutzbeauftragten hat das Land Stundenkontingente zur Verfügung gestellt, die es ermöglichen, diese Personen von ihren Schulen mit einer Stundenzahl abzuordnen.

Es ist zu erwarten, dass Schulen, die eine Person für die Funktion des schuleigenen Datenschutzbeauftragten benennen, diese Person aus eigenen Mitteln entlasten müssen. Größere Systeme haben hier vermutlich die Möglichkeit, die Aufgaben des/ der schuleigenen Datenschutzbeauftragten an eine Funktionsstelle zu koppeln.

Welche Personen kommen in Frage?

Wer die Funktion als schuleigenen Datenschutzbeauftragte/r übernehmen möchte, sollte die Bereitschaft mitbringen, sich fachlich zu qualifizieren und sollte ausreichend Einblicke in die Datenverarbeitungsabläufe einer Schule erhalten und sich damit vertraut machen.

Die Person sollte gem. Art. 38 Abs. 6 nicht durch andere schulische Funktionen und Aufgabenbereiche in eine Konfliktsituation mit der Funktion als Datenschutzbeauftragte/r kommen. Damit scheiden Personen, welche selbst große Mengen von personenbezogenen Daten in der schulinternen Verwaltung verarbeiten oder Zugriff darauf haben für die Funktion aus. Das wären beispielsweise Lehrkräfte, welche auch Administratoren für schulische Plattformen wie LMS oder Arbeits- und Kommunikationsplattformen sind. Auch bei Mitgliedern der erweiterten Schulleitung könnten solche Interessenkonflikte bestehen. Die Schulleitung als Verantwortlicher kann definitiv nicht gleichzeitig schuleigene/r Datenschutzbeauftragte/r sein.

Weisungsfrei

Die behördlich bestellten schulischen Datenschutzbeauftragten haben überwiegend nicht mit ihren eigenen Schulen zu tun. An den meisten Schulen in ihrer Zuständigkeit sind sie deshalb externe Personen. Schulische Datenschutzbeauftragte im Sinne von Satz (5) sind an ihrer Schule gem. Art. 38 Abs. 3 weisungsfrei bezüglich der Ausübung ihrer Funktion. Das bedeutet auch, sie müssen gegebenenfalls Dinge sagen, etwa wenn sie Betroffene beraten, die den Interessen der Schule zuwider laufen. Daran dürfen sie nicht gehindert werden. Es dürfen ihnen aus ihrem Handeln in der Funktion als schulischer Datenschutzbeauftragter auch keine Nachteile entstehen.

Verantwortung

Selbstredend bleibt die Schulleitung weiterhin Verantwortlicher im Sinne der DS-GVO und des Schulgesetzes NRW. Diese Verantwortung kann eine Schulleitung nicht delegieren. Die Aufgaben eines Datenschutzbeauftragten sind in Art. 39 DS-GVO klar definiert. Darüber hinaus steht es natürlich jeder Schule frei, den schuleigenen Datenschutzbeauftragten bzw. die schuleigene Datenschutzbeauftragte mit der Erstellung und Pflege der Dokumentation (Verfahrensverzeichnis, Einwilligungen, Informationen gem. Art. 12 DS-GVO, …) zu betrauen.

Schulung

Gem. Art. 39 Abs. 2 ist der Verantwortliche verantwortlich, dem Datenschutzbeauftragten “die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen […] sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung” zu stellen. Während bei den behördlich bestellten schulischen Datenschutzbeauftragten die Schulämter die Ausstattung etwa in Form von Dienstgeräten, Büros und Fachliteratur bereitstellen und die Bezirksregierung³ für die Kostenfür Ausbildung und Schulung aufkommen, ist zu erwarten, dass Schulen im Falle der Benennung eines schuleigenen Datenschutzbeauftragten für diese Kosten selbst aufkommen müssen.

Wo und wie die schulischen Datenschutzbeauftragten sich selbst aus- bzw. fortbilden können, ist offen. Die behördlich bestellten schulischen Datenschutzbeauftragten können die Dienste der Fortbildungsakademie Mont Cenis hier in Anspruch nehmen. Dort finden regelmäßig Schulungen statt, die einen Einstieg in die Thematik bieten, jedoch eher auf kommunale Behörden abzielen. Darüber hinaus bieten unzählige Dienstleister Ausbildungen an, die aber sämtlich kostenpflichtig sind. Fakt ist, es kann keine Schule erwarten, dass ihre benannten schuleigenen Datenschutzbeauftragten diese Kosten aus eigener Tasche zahlen, wie dieses bei Lehrkräften so oft der Fall ist.

Geänderte Zuständigkeiten für die Benennung der behördlich bestellen schulischen Datenschutzbeauftragten

Wie oben schon kurz beschrieben, haben sich die Zuständigkeiten bei der Benennung der behördlich bestellen schulischen Datenschutzbeauftragten verändert. Wurden sie bisher von den Schulämtern ausgewählt und benannt, so wurde jetzt mit Satz (4) die Zuständigkeit für die Benennung der schulischen Datenschutzbeauftragten auf die Bezirksregierungen übertragen.

Geänderte Zuständigkeiten für die Benennung der gemeinsamen Datenschutzbeauftragten für ZfsL

Zentren für schulpraktische Lehrerausbildung konnten schon immer im Rahmen der bisherigen Regelungen von §1 Abs. 6 VO-DV I eigene oder gemeinsame Datenschutzbeauftragte benennen. Hier ist jetzt mit Satz (6) eine Zuweisung von Zuständigkeiten für den Fall, dass mehrere ZfsL gemeinsame Datenschutzbeauftragte benennen wollen, erfolgt. Die eigentliche Benennung erfolgt nun durch die Bezirksregierungen, um dadurch eine Beteiligung der Personalvertretungen zu ermöglichen.

Stand 01/2022

Juni 28, 2021Juni 30, 2021

Schulisches WLAN mit Einwilligung nutzen

Lesezeit: < 1 Minute

Viele Schulen stellen Schülern und Lehrkräften personalisierte WLAN Zugänge bereit, die sie über private Endgeräte oder schulische Leihgeräte im Rahmen des Unterrichts so wie zur Vor- und Nachbereitung desselben nutzen können. Dabei werden auch personenbezogene Daten verarbeitet. Nicht für alle davon lässt sich aus dem Schulgesetz NRW in Verbindung mit dem DSG NRW eine Rechtsgrundlage ableiten. Das macht eine Einwilligung der Betroffenen erforderlich.

Einwilligung – EU-DSGVO konform – WLAN.docx

In der Regel braucht es auch eine Nutzungsvereinbarung für ein schulisches WLAN. Die Vorlage berücksichtigt die Nutzung eines Zugangs auf das Internet, Online-Plattformen und damit verbundene Dienste über das schulische WLAN¹:

Weitere Informationen zum Thema schulisches WLAN

Informationen der Medienberatung NRW zum Thema schulisches WLAN finden sich in einer Broschüre mit dem Titel WLAN AN SCHULEN – Eine Orientierungshilfe für Schulträger, Schulleitungen und Entscheidungsgremien.pdf²

Sehr hilfreich ist auch die Broschüre SCHULISCHES WLAN – HAFTUNGSRECHTLICHE FRAGEN FÜR DEN BETRIEB EINES SCHULISCHEN WLAN der Gesellschaft für Informationssicherheit mbH

März 3, 2021Juni 8, 2021

Eltern zu einer Besprechung per Videokonferenz einladen

Lesezeit: 2 Minuten

In Zeiten von Corona möchten viele Schulen gerne Elterngespräche in Form von Videokonferenzen anbieten. Es geht dabei sowohl um Elterngespräche in Format 1 zu 1 wie auch Informationsabende, bei denen Eltern über die Arbeit der Schule informiert werden sollen. Auch hierbei ist das Thema Datenschutz zu beachten. Eltern müssen über die zur Teilnahme an einer Videokonferenz erforderliche Datenverarbeitung gemäß Art. 13 DS-GVO informiert werden und dann eine Einwilligung erteilen. Das ist auch der Fall, wenn sie zur Teilnahme an einer Videokonferenz ein bestehendes schulisches Konto ihres Kindes nutzen, da die Einwilligung in die Verarbeitung von personenbezogenen Daten bei der Nutzung dieses Kontos das Kind betraf, nicht aber die Eltern selbst.

Da es sich bei den Teilnehmern um Erwachsene handelt und die Videokonferenzen nur einzelne oder gelegentliche Veranstaltungen sind, kann die Einwilligung durch die Eltern hier auch durch sogenanntes konkludentes Handeln¹ gegeben werden. Die Eltern willigen in die Datenverarbeitung ein, indem sie an der Videokonferenz teilnehmen. Schalten sie dazu beispielsweise die Kamera ein, willigen sie in die Verarbeitung des Bildsignals ein.

Praktische Umsetzung

Die Schule übermittelt den Eltern eine Einladung, in welcher die Informationen zur Datenverarbeitung gegeben werden wie auch die Einwilligungserklärung, letztere jedoch ohne Unterschriftenfeld. Wichtig wie immer bei der Einwilligung ist das Angebot einer Alternative für Eltern, die nicht an einer Videokonferenz teilnehmen möchten.

Beispiel Elterngespräch

Einwilligung – EU-DSGVO konform – WebEx – Eltern.docx

Beispiel Informationen über die Schule

Einwilligung – EU-DSGVO konform – MS Teams – Eltern.docx

Beispiel Elterngespräch

Die Vorlage geht davon aus, dass die Eltern den Zugang des Kindes zu Logineo NRW Messenger für die Videokonferenz mit den Lehrkräften der Schule nutzen.

Einwilligung – EU-DSGVO konform – Logineo NRW Jitsi – Eltern.docx

Hinweis

Bitte achten Sie darauf, dass für Videokonferenzen, in welchen es um vertrauliche oder sensible Inhalte gehen soll, sichere und vertrauenswürdige Anbieter genutzt werden. Ein Vertrag zur Auftragsverarbeitung zwischen Schule und Anbieter sollte vorliegen.

03/2021

September 27, 2020September 27, 2020

Bußgeld gegen Grundschule in Belgien

Lesezeit: 2 Minuten

Schon im Juni 2020 wurde von einem belgischen Gericht ein Bußgeld von 2.000 € gegen eine Grundschule verhängt, da diese Schülerinnen und Schüler über eine von der Schule genutzt digitale Plattform zu ihrem Wohlbefinden befragt hatte, ohne zuvor die Eltern zu informieren und eine Einwilligung einzuholen. Auf der Seite DSGVO-Portal wird der Fall wie folgt beschrieben:

“Die Grundschule hatte über ein Tool eines Smartschooling-Systems eine Umfrage zum Wohlbefinden der Schüler durchgeführt. Mehrere Eltern von Minderjährigen hatten daraufhin eine Beschwerde bei der Datenschutzbehörde über dieses Vorgehen eingereicht.

Zum Einen versäumte es die Schule die Einwilligung der Eltern in Stellvertretung der Schüler unter 13 Jahren für die Datenerhebung einzuholen und diese über die Umfrage und deren Datenverarbeitung aufzuklären. Auch wurde gegen das Datenminimierungsprinzip verstoßen, da die Daten, welche auch Auskünfte über die Gesundheit und die häusliche Situation der Kinder enthielten, nicht anonymisiert erhoben wurden.”

Der Fall war bei der belgischen Aufsichtsbehörde als Beschwerde eingegangen und wurde dann vor der Kammer für Streitsachen der Datenschutzbehörde verhandelt. Im Rechtsstreit ging es dann unter anderem um folgende datenschutzrechtliche Aspekte.

Einwilligung nach Art. 8 DS-GVO

Art. 8 DSGVO ist nach Ansicht des Gerichts anzuwenden, da da es sich bei dem von der Grundschule verwendeten SmartSchool Tool um einen sogenannten Dienst der Informationsgesellschaft handelt. Bei solchen sind Kinder vor Vollendung des 13. Lebensjahres nicht einwilligungsfähig. ¹ Im Fall der Grundschule waren die Kinder jünger. Eine Einwilligung der Eltern nach Art. 6 Abs. 1 lit. a DS-GVO ist somit erforderlich, war jedoch nicht von der Grundschule nicht eingeholt worden.

Rechtsgrundlage der Befragung

Die Schule war nach eigenen Angaben davon ausgegangen, dass sie die Befragung durchführen konnte, um rechtliche Verpflichtungen gemäß Art. 6 Abs. 1 lit. c. DS-GVO zu erfüllen, denen sie unterliegt. Dieser Ansicht schloss sich das Gericht nicht an und sah stattdessen nur die Einwilligung nach Art. 6 Abs. 1 lit. a. DS-GVO als mögliche Rechtsgrundlage.

Verletzung des Grundsatzes der Transparenz

Nach Ansicht des Gerichts wurde bei der Befragung der Schüler zu ihrem Wohlbefinden auch der Grundsatz der erforderlichen Transparenz von Seiten des Verantwortlichen gemäß Art. 5 Abs. 1 lit. a DSGVO, Art. 12 DSGVO und Art. 13 DSGVO verletzt.

Datenschutz Folgenabschätzung

Der Beschwerdeführer hatte außerdem gefordert, dass die verantwortliche Stelle eine Datenschutz Folgenabschätzung hätte durchführen müssen. Dieser Ansicht schloss sich das Gericht nicht an.

Urteil des Gerichts

Ergebnis des Verfahrens war, dass Schule die Verarbeitung in Übereinstimmung mit Art. 5 Abs. 1 lit. a, Art. 12 Abs. 1. und Art. 13 Abs. 1 lit. c und d und Art. 13 Abs. 2 lit. b DS-GVO bringen muss und darüber hinaus eine Verwaltungsstrafe von EUR 2.000,- zu bezahlen hat.

Ob die Verwaltungsstrafe in Belgien von der Schule, der Schulleitung oder der Person, welche die Befragung durchführte oder veranlasste, zu zahlen war, ist den Unterlagen nicht zu entnehmen. Als Beklagter war keine Person genannt worden.

Die Beschwerde, die zu dem Bußgeld führte, wurde bereits im Juli 2019 bei der Aufsichtsbehörde eingereicht. Bis zum Urteilsspruch brauchte es so knapp ein Jahr.

Was kann man als Schule mitnehmen aus dem Fall?

Bezüglich der Verarbeitung von personenbezogenen Daten in der Schule sollte immer klar sein, auf welcher Rechtsgrundlage diese erfolgt. Das Schulgesetz legitimiert nur bestimmte Verarbeitungszwecke und dafür erforderliche personenbezogene Daten. Bei der Nutzung von Online Diensten sollte geprüft werden, ob es sich dabie um Dienste der Informationsgesellschaft handelt, bei denen hier in Deutschland eine rechtswirksame Einwilligung erst ab Vollendung des 16. Lebensjahres möglich ist[siehe dazu auch Auswirkungen der DS-GVO auf die Einwilligungsfähigkeit von Schülern.

Quellen:

Mai 27, 2020Mai 27, 2020

Video von der Abschlussfeier streamen

Lesezeit: < 1 Minute

Verschiedene Schulen planen, die feierliche Überreichung der Abschlusszeugnisse live zu streamen, so dass die Familienmitglieder der Abschlussschülerinnen und -schüler unmittelbar dabei sein können, wenn auch nur aus der Ferne. Ohne eine Einwilligung geht das nicht und die Einwilligung muss freiwillig sein. Die Hürden dafür sind bei einer Entlassfeier hoch, da jeder teilnehmen möchte bzw. muss. Während es bei den Schülern je nach Veranstaltungsort durchaus möglich sein dürfte, die Aufnahme so einzustellen, dass es einen Bereich dicht am Geschehen gibt, etwa am Rand der Bühne, der nicht erfasst wird, gibt es eine solche Möglichkeit bei den Lehrkräften nicht. Hier bleiben nur zwei Optionen. Entweder es ist möglich, dass eine Lehrkraft, welche nicht aufgenommen werden will, vertreten wird, durch eine Lehrkraft, die dazu bereit ist, oder der Teil, in welchem die betroffene Lehrkraft ihre Zeugnisse übergibt, kann nicht aufgenommen und gestreamt werden.

Alternativ zum Streaming sind die Personen, welche damit nicht einverstanden sind, vielleicht bereit an Aufnahmen teilzunehmen, die anschließend auf einem Medium gespeichert an die Abschlussschüler übergeben werden.

Schulen sollten bei diesem heiklen Thema mit Bedacht vorgehen und niemanden unter Druck setzen, auch nicht indirekt. Mit Bedacht sollte auch die Plattform zum Streaming ausgewählt werden. Auch eine Videokonferenz Plattform wie BigBlueButton kommt dafür eventuell in Frage, wenn bei den Gästen Ton und Bild deaktiviert bleiben.

Mai 9, 2020Januar 20, 2021

Microsoft Teams – Einwilligung

Lesezeit: < 1 Minute

Auf Nachfrage gibt es jetzt auch eine Vorlage für Informationen zur Datenverarbeitung gem. Art. 13 DS-GVO und eine Einwilligung in die Datenverarbeitung zur Nutzung von Microsoft Teams. Die Vorlage ist ausgerichtet auf Schulen, die kein Office 365/ Microsoft 365 nutzen, und berücksichtigt deshalb auch die Erstellung eines Nutzerkontos. Für Schulen, die bereits Office 365/ Microsoft 365 nutzen, kann die Vorlage auch auf die Nutzung der Kommunikationstools, Sprachnachricht, Audi- Videokonferenz und Chat reduziert werden.

Schulen, die Teams mit ihren Schülern ohne ein eigenes Nutzerkonto nutzen möchten, brauchen eine andere Einwilligung, da hierbei deutlich weniger personenbezogene und -beziehbare Daten verarbeitet werden.

Einwilligung – EU-DSGVO konform – MS Teams – Schüler – ohne – Konto.docx

Bitte denken Sie daran, auch eine Nutzungsvereinbarung zu Teams zu erstellen, denn nur wenn Regeln vereinbart werden, kann man erwarten, dass Nutzer sich daran halten. Eine Vorlage speziell für Teams findet sich bei der Stadt Nürnberg. Die Nutzungsvereinbarung ist ein essentieller Bestandteil der organisatorischen Maßnahmen zum Schutz und zur Sicherheit der personenbezogenen Daten der Nutzer und ergänzt die technischen Maßnahmen. Zu diesen gehören neben einem Rechte- und Rollenkonzept auch sichere Voreinstellungen in MS Teams.

Bitte beachten Sie, dass durch das EU-GH Urteil vom 16.07.2020, der EU-US Privacy Shield für ungültig erklärt wurde. Transfers von personenbezogenen Daten in die USA, wie sie auch bei einer Nutzung von MS Teams möglich sind, können damit nicht mehr auf der Grundlage des EU-US Privacy Shield erfolgen.¹ Die Informationen zur Datenverarbeitung, die zur Einwilligung gehören, berücksichtigen dieses in der aktualisierten Version. Bitte lesen Sie sich die Informationen in den Vorlagen genau durch.
Ob die Aufsichtsbehörden dieses Vorgehen so als einen gangbaren Weg akzeptieren, bleibt vorerst abzuwarten.

Stand 09/2020

Mai 6, 2020Mai 8, 2020

Einwilligung – Vorlagen für BigBlueButton

Lesezeit: < 1 Minute

Wenn eine Schule eine Videokonferenz Plattform betreibt oder mit einem Vertrag zur Auftragsverarbeitung durch einen Dienstleister betreiben lässt, fallen bei der Nutzung personenbezogenen Daten der Videokonferenzteilnehmer an. Dieses ist nur mit einer Information über die Datenverarbeitung nach Art. 12 DS-GVO möglich und einer Einwilligung, die gegenüber der Schulleitung abgegeben wird.

Diese Vorlage ist für Schüler gedacht, die ohne ein eigenes Nutzerkonto an Videokonferenzen der Schule teilnehmen.

Diese Vorlage ist für Lehrkräfte gedacht, die gegebenenfalls auch ein Nutzerkonto erhalten, um Videokonferenzen leiten zu können.

Beide Vorlagen lassen sich leicht auch auf andere Plattformen anpassen. Dabei muss nur darauf geachtet werden, dass bei den Informationen zur Datenverarbeitung alle funktionsbedingten Datenverarbeitungen mit berücksichtigt werden. Beispiel: die Plattform erlaubt Umfragen und diese werden genutzt.

Sollen Videokonferenzen mit Eltern durchgeführt werden, empfiehlt es sich, aus der Vorlage für Schüler eine entsprechende Version zu erstellen.

Bitte achten Sie auch darauf, die Nutzung Ihrer Videokonferenz Plattform durch mit den Teilnehmern und Gastgebern vereinbarte Nutzungsregeln abzusichern.

Wichtig! Die Vorlagen gehen davon aus,

dass die von der Schule genutzte BigBlueButton Instanz so konfiguriert betrieben wird, dass nur die personenbezogenen Daten verarbeitet werden, die zum Betrieb tatsächlich erforderlich sind, und
die Nutzung per Voreinstellungen auf größtmögliche Sicherheit ausgelegt ist.¹

KI-Plattformen im Unterricht

KI-Plattformen als Werkzeuge für Lehrkräfte

Auswirkungen der KI-VO

Ein Blick nach Baden Württemberg

Ein Blick nach NRW

KI-Plattformen ohne hohes Risiko

Ausblick

Worum geht es?

Datenschutzverletzung

10 Punkte

Datenschutzverletzung – ja/ nein?

Meldung an Schulleitung

Ermittlung betroffener Personen und Daten

Datenschutzbeauftragten hinzuziehen

Risikoanalyse

(1) Schwere des möglichen Schadens

(2) Wahrscheinlichkeit, dass ein Schaden eintritt

Gesamtbewertung

Meldung an die Aufsichtsbehörde

Information der Betroffenen

Maßnahmen zur Schadensbegrenzung

Dokumentation

72 Stunden

Maßnahmen im Nachgang

Beispiele

Thema Auftragsverarbeiter

Sammelmeldung durch einen Auftragsverarbeiter

Die Aufsichtsbehörde meldet sich

Datenschutzverstoß

Dienstanweisung

Weiterlesen

Eigene Datenschutzbeauftragte

Benennung

Thema Zuständigkeiten

Meldung bei der Aufsichtsbehörde

Veröffentlichung der Kontaktdaten

Entlastung – Freistellung

Welche Personen kommen in Frage?

Weisungsfrei

Verantwortung

Schulung

Geänderte Zuständigkeiten für die Benennung der behördlich bestellen schulischen Datenschutzbeauftragten

Geänderte Zuständigkeiten für die Benennung der gemeinsamen Datenschutzbeauftragten für ZfsL

Weitere Informationen zum Thema schulisches WLAN

Praktische Umsetzung

Beispiel Elterngespräch

Beispiel Informationen über die Schule

Beispiel Elterngespräch

Hinweis

Einwilligung nach Art. 8 DS-GVO

Rechtsgrundlage der Befragung

Verletzung des Grundsatzes der Transparenz

Datenschutz Folgenabschätzung

Urteil des Gerichts

Was kann man als Schule mitnehmen aus dem Fall?

Quellen:

Weitere Informationen zu BigBlueButton und Videokonferenzen in Schule