FAQ – Einsatz von digitalen Plattformen ab März 2022

Lesezeit: 6 Minuten

Mit dem 16. Schulrechtsänderungsgesetz von Februar 2022 haben sich bezüglich des Einsatzes von digitalen Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen zur Erfüllung des Bildungs- und Erziehungsauftrags an Schulen in NRW grundlegend verändert. Im Beitrag 16. Schulrechtsänderungsgesetz und Datenschutz werden diese Möglichkeiten ausführlich erläutert. Einige Fragen werden nach der Lektüre dieses Beitrags offen bleiben. In dieser FAQ sollen häufige Fragen deshalb beantwortet werden. Viele Fragen der praktischen Umsetzung werden sich vermutlich erst mit der Zeit klären. An einigen Stellen werden möglicherweise ergänzende Erlasse oder sogar Entscheidungen von Verwaltungsgerichten für Klärung sorgen müssen.

Ist bei jeder Einführung einer digitalen Plattform im Sinne von § 8 Satz 2 eine Beteiligung gemäß LPVG erforderlich?

Im LPVG NRW heißt es in § 72 Satz 3 Nr. 2 “(3) Der Personalrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, mitzubestimmen in Rationalisierungs-, Technologie- und Organisationsangelegenheiten bei
1. …
2. Einführung, Anwendung und Erweiterung technischer Einrichtungen, es sei denn, dass deren Eignung zur Überwachung des Verhaltens oder der Leistung der Beschäftigten ausgeschlossen ist,

Es hängt demnach von der jeweiligen Plattform ab, ob diese mitbestimmungspflichtig durch den Personalrat ist. Sind deren Funktionen nicht geeignet Verhalten oder Leistung von Lehrkräften zu überwachen, unterliegt die Plattform nicht der Mitbestimmung gem. LPVG. Die Logineo NRW Plattformen sind mitbestimmt, da sie viele solche Möglichkeiten bieten. Man wird davon ausgehen können, dass vor allem große Plattformen wie eine NextCloud oder IServ mitbestimmungspflichtig sind, vor allem wenn sie auch für Abbildung schulinterner Organisationsabläufe genutzt werden. Hingegen sollten Plattformen wie Antolin oder Anton, die unter Lehr und Lernsysteme gem. § 8 Satz 2 SchulG NRW fallen sollten, keine Möglichkeiten bieten, Aufschluss über das Nutzerverhalten von Lehrkräften zu gewinnen. Gleiches sollte auch für ein TaskCards gelten. Die Frage ist hier jedoch immer auch, wie weit man “Eignung zur Überwachung des Verhaltens oder der Leistung” fasst. Reicht es, wenn die Schulleitung die Anzahl der durch eine Lehrkraft erstellten Taskcards einsehen kann?

Man kann als Faustregel für die Abschätzung, ob eine Mitbestimmungspflicht vorliegt oder nicht, nehmen: je komplexer eine Plattform ist, desto wahrscheinlicher ist es, dass sie mitbestimmungspflichtig ist. Gleiches gilt auch, wenn sie für die Abbildung schulinterner Verwaltungs- und Organisationsprozesse durch Lehrkräfte genutzt wird. Einfachere Plattformen, in denen vor allem die Schülerinnen und Schüler im Mittelpunkt stehen, sollten tendenziell seltener der Mitbestimmungspflicht unterliegen.

Siehe auch Datenschutz & Mitbestimmung.

Können auch Microsoft 365 und Teams auf der neuen Rechtsgrundlage eingeführt werden?

Diese Frage dürfte viele Schulen bewegen.  Zum aktuellen Stand im März 2022 wird die DS-GVO Konformität von Microsoft 365 von den Aufsichtsbehörden angezweifelt. Die kurze Antwort ist deshalb: solange eine Schule nicht in der Lage ist nachzuweisen, dass die Verarbeitung von personenbezogenen Daten bei der Nutzung von Microsoft 365 durch Schüler und Lehrkräfte DS-GVO konform möglich ist, ist auch eine Nutzung auf der Grundlage von § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW nicht möglich. Die Verarbeitung von personenbezogenen Daten setzt deshalb weiterhin eine Einwilligung der Betroffenen voraus.

Das Thema Microsoft 365 ist in Bewegung. Sogar die Kultusminister Konferenz engagiert sich jetzt mit Unterstützung einer Arbeitsgruppe der Datenschutzkonferenz. Bis Ende 2022 wird Microsoft alle Telemetriedaten ausschließlich in der EU Verarbeiten. Aber noch gibt es den CLOUD-Act, der kritisch gesehen wird, und Microsoft räumt sich in den Datenschutzbestimmungen das Recht ein, einige personenbezogene oder -beziehbare Daten für eigene Zwecke zu verarbeiten. Das wird von Aufsichtsbehörden als nicht DS-GVO konform eingestuft. Das heißt Abwarten – noch ist nichts verloren.

Die Aussagen zu Microsoft 365 lassen sich auch auf Google Workspace for Education übertragen. In den Niederlanden ist eine datenschutzkonforme Nutzung an Schulen mit Billigung der dortigen obersten Aufsichtsbehörde bereits möglich. Hier müssen Aufsichtsbehörden von Schulen erst noch davon überzeugt werden.

Was gilt für MNSPro Cloud?

MNSpro Cloud  von der Firma AIXConcept besteht aus zwei Teilen, MNSpro und Microsoft 365. Für beide werden getrennte Verträge zur Auftragsverarbeitung abgeschlossen. Während man das von AIXConcept erstellte und betriebene MNSpro auf der Rechtsgrundlage der neuen Regelungen einführen können sollte, gilt für die angedockten Microsoft 365 Tenant, was zuvor schon für Microsoft 365 gesagt wurde.

Wie sieht es mit itslearning aus?

Die aus Norwegen kommenden Plattform, sollte bezüglich der eigentlichen Kernplattform im Sinne der neuen Regelungen des SchulG NRW nutzbar sein. In Bremen ist itslearning sogar mitbestimmt (siehe Dienstvereinbarung zu der Lernplattform „itslearning“). Ein Problem stellt jedoch das integrierte Microsoft Office dar. Dieses Office speichert zwar die erstellten Word, Excel und PowerPoint Dokumente auf den itslearning Servern, braucht jedoch zur Bearbeitung in der Plattform die Online-Office Dienste von Microsoft, und deren DS-GVO Konformität wird angezweifelt. In Baden Württemberg, erhalten Schulen itslearning über das Schulministerium, aus den genannten Gründen allerdings ohne Freischaltung der (Microsoft) Office Komponente, wie im 21. Tätigkeitsbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden Württemberg nachzulesen ist. Integriert man stattdessen ein im Auftrag betriebenes Collabora Office oder Only Office, sollte eine Nutzung von itslearning komplett nach den neuen Regelungen möglich sein.

Kann Moodle auf der neuen Rechtsgrundlage verpflichtend genutzt werden?

Anders als zur Zeit bei Logineo NRW LSM, dem Landes Moodle, steht einer Nutzung von Moodle außerhalb der Landeslösung nichts entgegen. Da Logineo NRW LSM mitbestimmt ist, sollte eine Mitbestimmung gem. LPVG NRW leicht zu erreichen sein. Das ist vor allem dann der Fall, wenn die Konfiguration sich an der der Landeslösung orientiert und keine zusätzlichen Plugins genutzt werden, welche ihrerseits durch ihre Funktionen mitbestimmungspflichtig sind.

Wie geht man mit den freiwillig eingebrachten Nutzerdaten um?

Hier gibt es nur eine sinnvolle Lösung. Per Nutzungsordnung muss die Nutzung für Inhalte, die in keinem Zusammenhang mit dem Unterricht bzw. bei Lehrkräften mit der Erfüllung der Aufgaben und der Durchführung von Unterricht stehen, untersagt werden. Diese Nutzungsordnung müssen Nutzer dann zur Kenntnis nehmen. Die Kenntnisnahme kann in verschiedener Form erfolgen. Bei Schülerinnen und Schülern wie auch Lehrkräften kann das eine Belehrung sein mit Hinweis, wo die Nutzungsordnung in schriftlicher Form nachzulesen ist. Es muss keine Online-Nutzungsordnung sein, die vor Freischaltung des Nutzerkontos per Setzen eines Häkchens zu quittieren ist.

Alternativ wäre vorstellbar, dass eine Plattform so eingestellt wird, dass Nutzer die Möglichkeit haben, in die Verarbeitung von personenbezogenen Daten, die über Unterricht bzw. bei Lehrkräften die Erfüllung der Aufgaben und die Durchführung von Unterricht hinausgehen, innerhalb der Plattform in den Nutzereinstellungen einzuwilligen. Zusätzliche Funktionen, etwa zum Anlegen eines Nutzerprofils erscheinen nach er Einwilligung. Der Widerruf der Einwilligung und das Löschen der dort hinterlegten Daten sollten dort dann ebenfalls möglich sein.

Ist auch eine verpflichtende Nutzung von personenbezogenen Daten in einer digitalen Plattform möglich, die vor März 2022 an der Schule eingeführt wurde?

Wie aus den Erläuterungen im  Gesetzesentwurf zum 16. Schulrechtsänderungsgesetz hervorgeht, lassen sich die neuen Regelungen auch auf bereits eingeführte Plattformen anwenden: “Dies schließt alle Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen im Sinne des § 8 Absatz 2 ein, die die Schule zur Erfüllung ihres Bildungs- und Erziehungsauftrags nutzt.” Auch die Formulierungen in § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW nehmen hier keine Eingrenzung auf Plattformen vor, die ausdrücklich auf der Grundlage § 8 Abs. 2 SchulG NRW einführt wurden. Bereits an Schulen genutzte Plattformen können, sofern sie die Vorgaben des SchulG NRW und der DS-GVO erfüllen, ebenfalls auf der Grundlage von § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW in Verbindung mit § 8 Abs. 2 genutzt werden. Auch eine verpflichtende Nutzung ist möglich. Eine Grundschule, die bereits LeseLudi, Antolin, ZahlenZorro oder ähnlich im Sinne des § 8 Absatz 2 nutzt, könnte die Nutzung dann umstellen und auf das Einholen einer Einwilligung zukünftig verzichten. Informationen gem. Art. 13 DS-GVO über die Datenverarbeitung bei der Nutzung sind jedoch weiterhin erforderlich.

Was, wenn für eine Plattform bereits Einwilligungen eingeholt/ erteilt wurden?

Verfügt eine Schule über eine Plattform, die sie bereits vor dem 16. Schulrechtsänderungsgesetz zur Erfüllung des Bildungs- und Erziehungsauftrags einsetzte, so dürften für die Verarbeitung von personenbezogenen Daten Einwilligungen von Schülern und Lehrkräften vorliegen. Die Schule kann Einwilligungen nicht von ihrer Seite aus aufheben. Sie haben also weiterhin Gültigkeit. Widerrufen Betroffene ihre Einwilligung, müssen der Zugang und die mit der Nutzung angefallenen personenbezogenen Daten der betroffenen Person gelöscht werden, da diese auf der Rechtsgrundlage Einwilligung verarbeitet wurden. Es könnte im Anschluss jedoch direkt ein neues Nutzerkonto erstellt werden, wenn die Schule die Plattform jetzt auf der Grundlage der neuen Regelungen nutzt. Die betroffene Person wäre dann sogar zu dessen Nutzung verpflichtet, wenn die dafür erforderlichen Voraussetzungen wie die Ausstattung mit einem Endgerät stimmen.

Können Schüler und Lehrkräfte zur Nutzung der Online Tools von kits.blog verpflichtet werden?

Leider ist das nicht möglich. Auch wenn die Tools des Niedersächsischen Landesinstituts für schulische Qualitätsentwicklung (NLQ) sehr datenschutzfreundlich sind, erfüllen sie die Vorgaben des SchulG NRW nicht, da mit dem NLQ kein Vertrag zur Auftragsverarbeitung abgeschlossen werden kann. Gleiches gilt auch für vergleichbare Plattformen, etwa von ZUM oder von eBildungslabor und ähnlich.

Wir haben keine 1:1 Ausstattung. Ist eine verpflichtende Nutzung damit unmöglich?

Nein, sie kann durchaus möglich sein. Es muss nur jedem Nutzer ein schulisches Endgerät zur Verfügung stehen. Das können auch die Tablets aus dem Tablet Koffer sein, den die Lerngruppe sich für ein Unterrichtsprojekt ausleiht. Viele Schulen haben noch PC Räume. Auch dort ist eine verpflichtende Nutzung durchaus umsetzbar. Weder in den neuen Regelungen des SchulG NRW, noch in den Erläuterungen zum Gesetzesentwurf gibt es Hinweise, dass die verpflichtende Nutzung ein persönliches digitales Endgerät voraussetzt.


Sollte es von Seiten der Leser Fragen geben, so schreiben Sie diese gerne in die Kommentare.

Gemeinsame und schuleigene Datenschutzbeauftrage – VO-DV II

Lesezeit: 5 Minuten

Mit Datum vom 13. Dezember 2021 wurden die VO-DV I und VO-DV II durch die Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten geändert. Deutliche Veränderungen ergeben sich durch die Änderungen auch für die Bestellung von Datenschutzbeauftragten für die Schulen in öffentlicher Trägerschaft. Regelungen wurden auch für die ZfSL geschaffen.

In §1 Abs. 6 der alten Fassung der VO-DV II war die Regelung zur Bestellung von Datenschutzbeauftragten nur sehr knapp gefasst.

(6) Die in Absatz 1 genannten Behörden oder Einrichtungen bestellen behördliche Datenschutzbeauftragte gemäß § 32a DSG NRW. Mehrere Stellen können gemeinsam einen behördlichen Datenschutzbeauftragten bestellen, wenn dadurch die Erfüllung seiner Aufgaben nicht beeinträchtigt wird. Für Schulen in kommunaler und staatlicher Trägerschaft bestellt das Schulamt eine Person, die die Aufgaben gemäß § 32a DSG NRW wahrnimmt.

Die neue Fassung fällt deutlich umfangreicher aus, da Zuständigkeiten für die Bestellung neu zugewiesen werden, um personalvertretungsrechtliche Belange zu berücksichtigen, und auch die Möglichkeiten zur Bestellung erweitert werden.

“(6) (1)Die in Absatz 1 genannten Behörden oder Einrichtungen benennen behördliche Datenschutzbeauftragte gemäß Artikel 37 der Datenschutz-Grundverordnung. (2) Mehrere Stellen können gemeinsam eine Person benennen, wenn dadurch die Erfüllung ihrer Aufgaben nicht beeinträchtigt wird. (3) Abweichend von Satz 1 wählen für Schulen in kommunaler und staatlicher Trägerschaft die Schulämter Personen aus, die in ihrem Bezirk die Aufgaben gemäß Artikel 39 der Datenschutz-Grundverordnung wahrnehmen sollen. (4) Zur Wahrung personalvertretungsrechtlicher Interessen werden diese Personen nach Artikel 37 Absatz 3 der Datenschutz-Grundverordnung von den Bezirksregierungen benannt und an das jeweilige Schulamt anteilig zur Wahrnehmung der Funktion abgeordnet. (5) Schulen können stattdessen eine schuleigene Datenschutzbeauftragte oder einen schuleigenen Datenschutzbeauftragten benennen. (6) Sofern für Zentren für schulpraktische Lehrerausbildung nach Artikel 37 Absatz 3 der Datenschutz-Grundverordnung gemeinsame Datenschutzbeauftragte benannt werden sollen, erfolgt ihre Benennung zur Wahrung personalvertretungsrechtlicher Interessen durch die Bezirksregierungen.”

Eigene Datenschutzbeauftragte

Die bisherigen Regelungen zur Bestellung von Datenschutzbeauftragten sah nur die Möglichkeit vor, diese Personen für mehrere Stellen gemeinsam zu benennen. Entsprechend wurden für jeden Kreis und jede kreisfreie Stadt bis zu zwei Personen zu behördlichen Datenschutzbeauftragten bestellt. Diese sind dem Schulamt zugeordnet und für alle Schulen in öffentlicher Trägerschaft des jeweiligen Kreises bzw. der jeweiligen kreisfreien Stadt zuständig. Diese Möglichkeit besteht mit Satz (3) auch weiterhin unverändert fort.

Satz (5) der Verordnung Schulen lässt Schulen nun jedoch die Wahl. Sie können wie bisher die Dienste der bereits bestellen behördlich Datenschutzbeauftragten in Anspruch nehmen, oder nun selbst eine Person für ihre Schule benennen, welche diese Funktion übernehmen soll. Den Erläuterungen des MSB im Entwurf einer Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten ist zu entnehmen, dass diese Änderung auf eine Anregung der LDI NRW zurückgeht und diese Möglichkeit vor allem “bei großen oder besonders technisierten Schulen zweckmäßig sein könnte.

Damit besteht ab sofort für jede Schule in öffentlicher Trägerschaft die Möglichkeit, einen bzw. eine schuleigene/n Datenschutzbeauftragte/n zu benennen. § 1 Abs. 5 schränkt diese Option dabei in keiner Weise ein, weder auf Schulformen noch die Größe von Schulen.

Benennung

Während die behördlich bestellten schulischen Datenschutzbeauftragten nach der neuen Regelung von den Schulämtern ausgewählt und vorgeschlagen und dann von den Bezirksregierungen unter Beteiligung der Personalvertretung benannt werden, können dem Wortlauf von Satz (5) nach Schulen die Person eigenständig benennen.1Die Formulierung in Satz (4) “diese Personen” bezieht sich grammatikalisch auf die in Satz (3) beschriebenen von den Schulämtern ausgewählten Personen. Demnach können die in Satz (5) beschriebenen Personen nicht unter die Regelung von Satz (4) fallen. Entsprechend wird es dort auch keine Teilabordnungen durch die Bezirksregierungen an die Schulämter geben.

Es wird aber zumindest erforderlich sein, diese Benennungen an die Schulämter zu melden, damit diese ihrerseits die behördlich bestellten schulischen Datenschutzbeauftragten in Kenntnis setzen können. Ob auch eine Meldung an die Bezirksregierungen notwendig wird, bleibt abzuwarten.

Thema Zuständigkeiten

Hat eine Schule einen schuleigenen Datenschutzbeauftragten benannt, nimmt diese Person für die Schule alle Aufgaben gemäß  Art. 39 DS-GVO wahr. Die Zuständigkeit der behördlich bestellten dem Schulamt zugeordneten schulischen Datenschutzbeauftragten endet damit für diese Schule. 2Ergänzend ist anzumerken, dass gerade dieser Punkt bei einen behördlich bestellten Datenschutzbeauftragten (bDSB) sehr umstritten ist. Nach ihrer Ansicht geht mit der Benennung eines schulischen Datenschutzbeauftragten nicht ein Wechsel der Zuständigkeiten einher. Sie gehen davon aus, dass dieses sonst eine Abberufung von der konkreten Schule gegen den Willen des bDSB darstellt, für die sie jedoch keine Rechtsgrundlage sehen. – Sollte ein von einer Schule benannter schulischer Datenschutzbeauftragter sich gegen die Einmischung eines bDSB in seinen Tätigkeitsbereich an seiner Schule verwehren und der bDSB sieht sich hier in der Ausübung seiner Tätigkeit behindert, muss im Zweifelsfall ein Verwaltungsgericht für Klärung sorgen.

Meldung bei der Aufsichtsbehörde

Mit der Benennung eines schuleigenen Datenschutzbeauftragten geht auch die Verpflichtung einher, diese Person gem. Art. 37 Abs. 7 DS-GVO bei der LDI NRW zu melden. Die Meldung erfolgt im Meldeportal der Aufsichtsbehörde nach vorheriger Registrierung auf der Seite.

Veröffentlichung der Kontaktdaten

Gem. Art. 37 Abs. 7 DS-GVO muss die Schule auch die Kontaktdaten der zum Datenschutzbeauftragten bestellten Person veröffentlichen. Das betrifft einige Stellen, von der Schulhomepage bis zu Datenschutzinformationen für Schülern, Eltern und Lehrkräfte gem. Art. 13 und Art. 14 DS-GVO.

Entlastung – Freistellung

Für die behördlich bestellten dem Schulamt zugeordneten schulischen Datenschutzbeauftragten hat das Land Stundenkontingente zur Verfügung gestellt, die es ermöglichen, diese Personen von ihren Schulen mit einer Stundenzahl abzuordnen.

Es ist zu erwarten, dass Schulen, die eine Person für die Funktion des schuleigenen Datenschutzbeauftragten benennen, diese Person aus eigenen Mitteln entlasten müssen. Größere Systeme haben hier vermutlich die Möglichkeit, die Aufgaben des/ der schuleigenen Datenschutzbeauftragten an eine Funktionsstelle zu koppeln.

Welche Personen kommen in Frage?

Wer die Funktion als schuleigenen Datenschutzbeauftragte/r übernehmen möchte, sollte die Bereitschaft mitbringen, sich fachlich zu qualifizieren und sollte ausreichend Einblicke in die Datenverarbeitungsabläufe einer Schule erhalten und sich damit vertraut machen.

Die Person sollte gem. Art. 38 Abs. 6 nicht durch andere schulische Funktionen und Aufgabenbereiche in eine Konfliktsituation mit der Funktion als Datenschutzbeauftragte/r kommen. Damit scheiden Personen, welche selbst große Mengen von personenbezogenen Daten in der schulinternen Verwaltung verarbeiten oder Zugriff darauf haben für die Funktion aus. Das wären beispielsweise Lehrkräfte, welche auch Administratoren für schulische Plattformen wie LMS oder Arbeits- und Kommunikationsplattformen sind. Auch bei Mitgliedern der erweiterten Schulleitung könnten solche Interessenkonflikte bestehen. Die Schulleitung als Verantwortlicher kann definitiv nicht gleichzeitig schuleigene/r Datenschutzbeauftragte/r sein.

Weisungsfrei

Die behördlich bestellten schulischen Datenschutzbeauftragten haben überwiegend nicht mit ihren eigenen Schulen zu tun. An den meisten Schulen in ihrer Zuständigkeit sind sie deshalb externe Personen. Schulische Datenschutzbeauftragte im Sinne von Satz (5) sind an ihrer Schule gem. Art. 38 Abs. 3 weisungsfrei bezüglich der Ausübung ihrer Funktion. Das bedeutet auch, sie müssen gegebenenfalls Dinge sagen, etwa wenn sie Betroffene beraten, die den Interessen der Schule zuwider laufen. Daran dürfen sie nicht gehindert werden. Es dürfen ihnen aus ihrem Handeln in der Funktion als schulischer Datenschutzbeauftragter auch keine Nachteile entstehen.

Verantwortung

Selbstredend bleibt die Schulleitung weiterhin Verantwortlicher im Sinne der DS-GVO und des Schulgesetzes NRW. Diese Verantwortung kann eine Schulleitung nicht delegieren. Die Aufgaben eines Datenschutzbeauftragten sind in Art. 39 DS-GVO klar definiert. Darüber hinaus steht es natürlich jeder Schule frei, den schuleigenen Datenschutzbeauftragten bzw. die schuleigene Datenschutzbeauftragte mit der Erstellung und Pflege der Dokumentation (Verfahrensverzeichnis, Einwilligungen, Informationen gem. Art. 12 DS-GVO, …) zu betrauen.

Schulung

Gem. Art. 39 Abs. 2 ist der Verantwortliche verantwortlich, dem Datenschutzbeauftragten “die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen […] sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung” zu stellen. Während bei den behördlich bestellten schulischen Datenschutzbeauftragten die Schulämter die Ausstattung etwa in Form von Dienstgeräten, Büros und Fachliteratur bereitstellen und die Bezirksregierung3zumindest auf die BR Arnsberg zutreffend für die Kostenfür Ausbildung und Schulung aufkommen, ist zu erwarten, dass Schulen im Falle der Benennung eines schuleigenen Datenschutzbeauftragten für diese Kosten selbst aufkommen müssen.

Wo und wie die schulischen Datenschutzbeauftragten sich selbst aus- bzw. fortbilden können, ist offen. Die behördlich bestellten schulischen Datenschutzbeauftragten können die Dienste der Fortbildungsakademie Mont Cenis hier in Anspruch nehmen. Dort finden regelmäßig Schulungen statt, die einen Einstieg in die Thematik bieten, jedoch eher auf kommunale Behörden abzielen. Darüber hinaus bieten unzählige Dienstleister Ausbildungen an, die aber sämtlich kostenpflichtig sind. Fakt ist, es kann keine Schule erwarten, dass ihre benannten schuleigenen Datenschutzbeauftragten diese Kosten aus eigener Tasche zahlen, wie dieses bei Lehrkräften so oft der Fall ist.

Geänderte Zuständigkeiten für die Benennung der behördlich bestellen schulischen Datenschutzbeauftragten

Wie oben schon kurz beschrieben, haben sich die Zuständigkeiten bei der Benennung der behördlich bestellen schulischen Datenschutzbeauftragten verändert. Wurden sie bisher von den Schulämtern ausgewählt und benannt, so wurde jetzt mit Satz (4) die Zuständigkeit für die Benennung der schulischen Datenschutzbeauftragten auf die Bezirksregierungen übertragen.

Geänderte Zuständigkeiten für die Benennung der gemeinsamen Datenschutzbeauftragten für ZfsL

Zentren für schulpraktische Lehrerausbildung konnten schon immer im Rahmen der bisherigen Regelungen von §1 Abs. 6 VO-DV I eigene oder gemeinsame Datenschutzbeauftragte benennen. Hier ist jetzt mit Satz (6) eine Zuweisung von Zuständigkeiten für den Fall, dass mehrere ZfsL gemeinsame Datenschutzbeauftragte benennen wollen, erfolgt. Die eigentliche Benennung erfolgt nun durch die Bezirksregierungen, um dadurch eine Beteiligung der Personalvertretungen zu ermöglichen.

Stand 01/2022

Schulisches WLAN mit Einwilligung nutzen

Lesezeit: < 1 Minute

Viele Schulen stellen Schülern und Lehrkräften personalisierte WLAN Zugänge bereit, die sie über private Endgeräte oder schulische Leihgeräte im Rahmen des Unterrichts so wie zur Vor- und Nachbereitung desselben nutzen können. Dabei werden auch personenbezogene Daten verarbeitet. Nicht für alle davon lässt sich aus dem Schulgesetz NRW in Verbindung mit dem DSG NRW eine Rechtsgrundlage ableiten. Das macht eine Einwilligung der Betroffenen erforderlich.

In der Regel braucht es auch eine Nutzungsvereinbarung für ein schulisches WLAN. Die Vorlage berücksichtigt die Nutzung eines Zugangs auf das Internet, Online-Plattformen und damit verbundene Dienste über das schulische WLAN1Anders als die Einwilligungsvorlage berücksichtigt diese Vorlage nicht den Zugriff auf Ressourcen im schulinternen Netzwerk!:

Weitere Informationen zum Thema schulisches WLAN

Informationen der Medienberatung NRW zum Thema schulisches WLAN finden sich in einer Broschüre mit dem Titel WLAN AN SCHULEN – Eine Orientierungshilfe für Schulträger, Schulleitungen und Entscheidungsgremien.pdf2In dieser Broschüre finden sich übrigens auch interessante Aussagen zur logischen Trennung von Netzwerken (virtuelle Netzwerke) – siehe Kapitel “NETZWERKKONFIGURATIONEN UND BENUTZERVERWALTUNG”

Sehr hilfreich ist auch die Broschüre SCHULISCHES WLAN – HAFTUNGSRECHTLICHE FRAGEN FÜR DEN BETRIEB EINES SCHULISCHEN WLAN der Gesellschaft für Informationssicherheit mbH

Eltern zu einer Besprechung per Videokonferenz einladen

Lesezeit: 2 Minuten

In Zeiten von Corona möchten viele Schulen gerne Elterngespräche in Form von Videokonferenzen anbieten. Es geht dabei sowohl um Elterngespräche in Format 1 zu 1 wie auch Informationsabende, bei denen Eltern über die Arbeit der Schule informiert werden sollen. Auch hierbei ist das Thema Datenschutz zu beachten. Eltern müssen über die zur Teilnahme an einer Videokonferenz erforderliche Datenverarbeitung gemäß Art. 13 DS-GVO informiert werden und dann eine Einwilligung erteilen. Das ist auch der Fall, wenn sie zur Teilnahme an einer Videokonferenz ein bestehendes schulisches Konto ihres Kindes nutzen, da die Einwilligung in die Verarbeitung von personenbezogenen Daten bei der Nutzung dieses Kontos das Kind betraf, nicht aber die Eltern selbst.

Da es sich bei den Teilnehmern um Erwachsene handelt und die Videokonferenzen nur einzelne oder gelegentliche Veranstaltungen sind, kann die Einwilligung durch die Eltern hier auch durch sogenanntes konkludentes Handeln1“Im Zivilrecht spricht man von einer konkludenten Willenserklärung, wenn sie ohne ausdrückliche Erklärung durch schlüssiges Verhalten abgegeben wird. D.h. die Willenserklärung wird aus den Handlungen des Erklärenden abgeleitet.” Quelle Wiktionary gegeben werden. Die Eltern willigen in die Datenverarbeitung ein, indem sie an der Videokonferenz teilnehmen. Schalten sie dazu beispielsweise die Kamera ein, willigen sie in die Verarbeitung des Bildsignals ein.

Praktische Umsetzung

Die Schule übermittelt den Eltern eine Einladung, in welcher die Informationen zur Datenverarbeitung gegeben werden wie auch die Einwilligungserklärung, letztere jedoch ohne Unterschriftenfeld. Wichtig wie immer bei der Einwilligung ist das Angebot einer Alternative für Eltern, die nicht an einer Videokonferenz teilnehmen möchten.

Beispiel Elterngespräch
Beispiel Informationen über die Schule
Beispiel Elterngespräch

Die Vorlage geht davon aus, dass die Eltern den Zugang des Kindes zu Logineo NRW Messenger für die Videokonferenz mit den Lehrkräften der Schule nutzen.

Hinweis

Bitte achten Sie darauf, dass für Videokonferenzen, in welchen es um vertrauliche oder sensible Inhalte gehen soll, sichere und vertrauenswürdige Anbieter genutzt werden. Ein Vertrag zur Auftragsverarbeitung zwischen Schule und Anbieter sollte vorliegen.

03/2021

Bußgeld gegen Grundschule in Belgien

Lesezeit: 2 Minuten

Schon im Juni 2020 wurde von einem belgischen Gericht ein Bußgeld von 2.000 € gegen eine Grundschule verhängt, da diese Schülerinnen und Schüler über eine von der Schule genutzt digitale Plattform zu ihrem Wohlbefinden befragt hatte, ohne zuvor die Eltern zu informieren und eine Einwilligung einzuholen. Auf der Seite DSGVO-Portal wird der Fall wie folgt beschrieben:

“Die Grundschule hatte über ein Tool eines Smartschooling-Systems eine Umfrage zum Wohlbefinden der Schüler durchgeführt. Mehrere Eltern von Minderjährigen hatten daraufhin eine Beschwerde bei der Datenschutzbehörde über dieses Vorgehen eingereicht.

Zum Einen versäumte es die Schule die Einwilligung der Eltern in Stellvertretung der Schüler unter 13 Jahren für die Datenerhebung einzuholen und diese über die Umfrage und deren Datenverarbeitung aufzuklären. Auch wurde gegen das Datenminimierungsprinzip verstoßen, da die Daten, welche auch Auskünfte über die Gesundheit und die häusliche Situation der Kinder enthielten, nicht anonymisiert erhoben wurden.”

Der Fall war bei der belgischen Aufsichtsbehörde als Beschwerde eingegangen und wurde dann vor der Kammer für Streitsachen der Datenschutzbehörde verhandelt. Im Rechtsstreit ging es dann unter anderem um folgende datenschutzrechtliche Aspekte.

Einwilligung nach Art. 8 DS-GVO

Art. 8 DSGVO ist nach Ansicht des Gerichts anzuwenden, da da es sich bei dem von der Grundschule verwendeten SmartSchool Tool um einen sogenannten Dienst der Informationsgesellschaft handelt. Bei solchen sind Kinder vor Vollendung des 13. Lebensjahres nicht einwilligungsfähig. 1Diese Altersgrenze gilt auch in Österreich, während in Deutschland eine Altersgrenze von Vollendung des 16. Lebensjahres gilt. Siehe dazu auch Auswirkungen der DS-GVO auf die Einwilligungsfähigkeit von Schülern Im Fall der Grundschule waren die Kinder jünger. Eine Einwilligung der Eltern nach Art. 6 Abs. 1 lit. a DS-GVO ist somit erforderlich, war jedoch nicht von der Grundschule nicht eingeholt worden.

Rechtsgrundlage der Befragung

Die Schule war nach eigenen Angaben davon ausgegangen, dass sie die Befragung durchführen konnte, um rechtliche Verpflichtungen gemäß Art. 6 Abs. 1 lit. c. DS-GVO zu erfüllen, denen sie unterliegt. Dieser Ansicht schloss sich das Gericht nicht an und sah stattdessen nur die Einwilligung nach Art. 6 Abs. 1 lit. a. DS-GVO als mögliche Rechtsgrundlage.

Verletzung des Grundsatzes der Transparenz

Nach Ansicht  des Gerichts wurde bei der Befragung der Schüler zu ihrem Wohlbefinden auch der Grundsatz der erforderlichen Transparenz von Seiten des Verantwortlichen gemäß Art. 5 Abs. 1 lit. a DSGVOArt. 12 DSGVO und Art. 13 DSGVO verletzt.

Datenschutz Folgenabschätzung

Der Beschwerdeführer hatte außerdem gefordert, dass die verantwortliche Stelle eine Datenschutz Folgenabschätzung hätte durchführen müssen. Dieser Ansicht schloss sich das Gericht nicht an.

Urteil des Gerichts

Ergebnis des Verfahrens war, dass Schule die Verarbeitung in Übereinstimmung mit Art. 5 Abs. 1 lit. a,  Art. 12 Abs. 1. und Art. 13 Abs. 1 lit. c und d und Art. 13 Abs. 2 lit. b  DS-GVO bringen muss und darüber hinaus eine Verwaltungsstrafe von EUR 2.000,- zu bezahlen hat.

Ob die Verwaltungsstrafe in Belgien von der Schule, der Schulleitung oder der Person, welche die Befragung durchführte oder veranlasste, zu zahlen war, ist den Unterlagen nicht zu entnehmen. Als Beklagter war keine Person genannt worden.

Die Beschwerde, die zu dem Bußgeld führte, wurde bereits im Juli 2019 bei der Aufsichtsbehörde eingereicht. Bis zum Urteilsspruch brauchte es so knapp ein Jahr.

Was kann man als Schule mitnehmen aus dem Fall?

Bezüglich der Verarbeitung von personenbezogenen Daten in der Schule sollte immer klar sein, auf welcher Rechtsgrundlage diese erfolgt. Das Schulgesetz legitimiert nur bestimmte Verarbeitungszwecke und dafür erforderliche personenbezogene Daten. Bei der Nutzung von Online Diensten sollte geprüft werden, ob es sich dabie um Dienste der Informationsgesellschaft handelt, bei denen hier in Deutschland eine rechtswirksame Einwilligung erst ab Vollendung des 16. Lebensjahres möglich ist[siehe dazu auch Auswirkungen der DS-GVO auf die Einwilligungsfähigkeit von Schülern.

Quellen:

Video von der Abschlussfeier streamen

Lesezeit: < 1 Minute

Verschiedene Schulen planen, die feierliche Überreichung der Abschlusszeugnisse live zu streamen, so dass die Familienmitglieder der Abschlussschülerinnen und -schüler unmittelbar dabei sein können, wenn auch nur aus der Ferne. Ohne eine Einwilligung geht das nicht und die Einwilligung muss freiwillig sein. Die Hürden dafür sind bei einer Entlassfeier hoch, da jeder teilnehmen möchte bzw. muss. Während es bei den Schülern je nach Veranstaltungsort durchaus möglich sein dürfte, die Aufnahme so einzustellen, dass es einen Bereich dicht am Geschehen gibt, etwa am Rand der Bühne, der nicht erfasst wird, gibt es eine solche Möglichkeit bei den Lehrkräften nicht. Hier bleiben nur zwei Optionen. Entweder es ist möglich, dass eine Lehrkraft, welche nicht aufgenommen werden will, vertreten wird, durch eine Lehrkraft, die dazu bereit ist, oder der Teil, in welchem die betroffene Lehrkraft ihre Zeugnisse übergibt, kann nicht aufgenommen und gestreamt werden.

Alternativ zum Streaming sind die Personen, welche damit nicht einverstanden sind, vielleicht bereit an Aufnahmen teilzunehmen, die anschließend auf einem Medium gespeichert an die Abschlussschüler übergeben werden.

Schulen sollten bei diesem heiklen Thema mit Bedacht vorgehen und niemanden unter Druck setzen, auch nicht indirekt. Mit Bedacht sollte auch die Plattform zum Streaming ausgewählt werden. Auch eine Videokonferenz Plattform wie BigBlueButton kommt dafür eventuell in Frage, wenn bei den Gästen Ton und Bild deaktiviert bleiben.

Microsoft Teams – Einwilligung

Lesezeit: < 1 Minute

Auf Nachfrage gibt es jetzt auch eine Vorlage für Informationen zur Datenverarbeitung gem. Art. 13 DS-GVO und eine Einwilligung in die Datenverarbeitung zur Nutzung von Microsoft Teams. Die Vorlage ist ausgerichtet auf Schulen, die kein Office 365/ Microsoft 365 nutzen, und berücksichtigt deshalb auch die Erstellung eines Nutzerkontos. Für Schulen, die bereits Office 365/ Microsoft 365 nutzen, kann die Vorlage auch auf die Nutzung der Kommunikationstools, Sprachnachricht, Audi- Videokonferenz und Chat reduziert werden.

Schulen, die Teams mit ihren Schülern ohne ein eigenes Nutzerkonto nutzen möchten, brauchen eine andere Einwilligung, da hierbei deutlich weniger personenbezogene und -beziehbare Daten verarbeitet werden.

 

Bitte denken Sie daran, auch eine Nutzungsvereinbarung zu Teams zu erstellen, denn nur wenn Regeln vereinbart werden, kann man erwarten, dass Nutzer sich daran halten. Eine Vorlage speziell für Teams findet sich bei der Stadt Nürnberg. Die Nutzungsvereinbarung ist ein essentieller Bestandteil der organisatorischen Maßnahmen zum Schutz und zur Sicherheit der personenbezogenen Daten der Nutzer und ergänzt die technischen Maßnahmen. Zu diesen gehören neben einem Rechte- und Rollenkonzept auch sichere Voreinstellungen in MS Teams.

Bitte beachten Sie, dass durch das EU-GH Urteil vom 16.07.2020, der EU-US Privacy Shield für ungültig erklärt wurde. Transfers von personenbezogenen Daten in die USA, wie sie auch bei einer Nutzung von MS Teams möglich sind, können damit nicht mehr auf der Grundlage des EU-US Privacy Shield erfolgen.1Microsoft stützt diese Transfers jetzt auf die Standard Vertragsklauseln. Ob die Aufsichtsbehörden das als datenschutzkonform einschätzen, wird man sehen. Die Informationen zur Datenverarbeitung, die zur Einwilligung gehören, berücksichtigen dieses in der aktualisierten Version. Bitte lesen Sie sich die Informationen in den Vorlagen genau durch.
Ob die Aufsichtsbehörden dieses Vorgehen so als einen gangbaren Weg akzeptieren, bleibt vorerst abzuwarten.

Stand 09/2020

Einwilligung – Vorlagen für BigBlueButton

Lesezeit: < 1 Minute

Wenn eine Schule eine Videokonferenz Plattform betreibt oder mit einem Vertrag zur Auftragsverarbeitung durch einen Dienstleister betreiben lässt, fallen bei der Nutzung personenbezogenen Daten der Videokonferenzteilnehmer an. Dieses ist nur mit einer Information über die Datenverarbeitung nach Art. 12 DS-GVO möglich und einer Einwilligung, die gegenüber der Schulleitung abgegeben wird.

Diese Vorlage ist für Schüler gedacht, die ohne ein eigenes Nutzerkonto an Videokonferenzen der Schule teilnehmen.

Diese Vorlage ist für Lehrkräfte gedacht, die gegebenenfalls auch ein Nutzerkonto erhalten, um Videokonferenzen leiten zu können.

Beide Vorlagen lassen sich leicht auch auf andere Plattformen anpassen. Dabei muss nur darauf geachtet werden, dass bei den Informationen zur Datenverarbeitung alle funktionsbedingten Datenverarbeitungen mit berücksichtigt werden. Beispiel: die Plattform erlaubt Umfragen und diese werden genutzt.

Sollen Videokonferenzen mit Eltern durchgeführt werden, empfiehlt es sich, aus der Vorlage für Schüler eine entsprechende Version zu erstellen.

Bitte achten Sie auch darauf, die Nutzung Ihrer Videokonferenz Plattform durch mit den Teilnehmern und Gastgebern vereinbarte Nutzungsregeln abzusichern.

Wichtig! Die Vorlagen gehen davon aus,

  • dass die von der Schule genutzte BigBlueButton Instanz so konfiguriert betrieben wird, dass nur die personenbezogenen Daten verarbeitet werden, die zum Betrieb tatsächlich erforderlich sind, und
  • die Nutzung per Voreinstellungen auf größtmögliche Sicherheit ausgelegt ist.1Einige Hinweise dazu gibt es unter BigBlueButton – Datenschutz Check

Weitere Informationen zu BigBlueButton und Videokonferenzen in Schule

Einwilligung ohne Papier in Zeiten von Corona

Lesezeit: < 1 Minute

In Zeiten des Corona Virus sind die Schulen geschlossen und trotzdem muss der Unterrichtsbetrieb irgendwie weiterlaufen. Auch die Kommunikation mit Schülern und Erziehungsberechtigten muss möglichst reibungslos und unaufwändig weiterhin möglich sein. Schulen setzen von daher vermehrt auf Online-Plattformen und Apps. Da diese in der Vergangenheit jedoch entweder noch nicht genutzt wurden oder nur von einem Teil der Schülerinnen, Schüler, Lehrkräfte und eventuell auch Eltern, ist es oftmals erforderlich, eine Einwilligung der Betroffenen einzuholen. Wollte man dieses in Papierform erledigen, wäre solches mit sehr viel Aufwand verbunden. Außerdem müsste damit gerechnet werden, dass die Rücklaufquote nicht 100 % ist und je nach Situation sogar extrem gering ausfallen könnte, etwa weil Person das Haus nicht verlassen können.

Was viele nicht bekannt ist, Einwilligungen können durch aus auch elektronisch von den Betroffenen eingeholt werden. Auf welcher  Rechtsgrundlage dieses für Schulen in Nordrhein-Westfalen möglich ist wie man elektronische Einwilligungen umsetzen kann, wird in dem Beitrag Einwilligung einholen ohne Papier ausführlich erklärt.

Einwilligung einholen ohne Papier

Lesezeit: 7 Minuten
Mit der Änderung der VO-DV I wird es 2021 auch eine Anpassung zum Einholen der Einwilligung geben. Die elektronische Einwilligung als Ausnahme, wird dann auch dort Vergangenheit sein. An den Aussagen dieses Beitrags ändert das nichts, da die bisherige Einschränkung in der VO-DV I seit Beginn der Umsetzung der DS-GVO bereits keine praktische Auswirkung mehr hat.

Ausgangslage

Bisher haben Schulen Einwilligungen in die Verarbeitung von personenbezogenen Daten, für die es keine Rechtsgrundlage aus dem SchulG NRW gibt, überwiegend in Papierform eingeholt. Das liegt zum einen daran, dass die elektronische Einwilligung bisher eher als Ausnahme gesehen und deshalb vermieden wurde, und zum anderen an den fehlenden Möglichkeiten dazu. Aber es geht auch anders, denn weder die DS-GVO noch das Schulrecht in NRW untersagen sie. Bisher ging es bei der Möglichkeit der elektronischen Einwilligung vor allem um die Einwilligung bei Online Plattformen. Entsprechend betrachten Rechtstexte das Thema der elektronischen Einwilligung vor allem mit Bezug auf diesen Anwendungsfall.

Elektronische Einwilligung im Schulrecht NRW

In der §3 Abs. 2  VO-DV I heißt es zur elektronischen Einwilligung (in die Verarbeitung von personenbezogenen Daten):

“(2) Nicht in den Anlagen aufgeführte Daten dürfen nur erhoben werden, wenn die oder der Betroffene eingewilligt hat. Die Einwilligung ist schriftlich gegenüber der Schulleitung zu erklären. Sofern dies wegen besonderer Umstände angemessen ist, kann die Einwilligung ausnahmsweise in elektronischer Form erfolgen. Dabei sind die Grundsätze des § 13 Absatz 2 des Telemediengesetzes vom 26. Februar 2007 (BGBl. I S. 179), das zuletzt durch Artikel 1 des Gesetzes vom 21. Juli 2016 (BGBl. I S. 1766) geändert worden ist, zu erfüllen.”

Die Vorgabe zur Erfüllung der Grundsätze des § 13 Absatz 2 des Telemediengesetzes hat damit zu tun, dass sich diese Aussage vor allem auf Online-Plattformen bezieht. Hintergrund bei der Ausgestaltung der Passage der VO-DV I war, dass man eine Möglichkeit schaffen wollte, wie Nutzer online ohne den Zwischenschritt Papier in die Datenverarbeitung durch die Online Plattform Logineo NRW einwilligen können. 1In der Begründung zum vorangegangenen Entwurf zur Änderung der VO-DV I 2016 (Stand: 18.10.2016) heißt es:
“Die Abgabe der erforderlichen Einwilligung zur Datenverarbeitung soll ausnahmsweise auch elektronisch ermöglicht werden. Dabei sind die Standards des Telemediengesetzes einzuhalten. Die elektronische Einwilligung ist z.B. aus verwaltungsökomischen Gründen erforderlich zur gemeinsamen Nutzung einer IT- Basisstruktur. Der Prozess entspricht der üblichen Vorgehensweise bei der Zustimmung z.B. zu AGBs für die Nutzung von Diensten und Anwendungen im Netz: Bei Erstanmeldung an LOGINEO NRW werden die Nutzungsbedingungen angezeigt. Eine Zustimmung muss durch aktives Anklicken erfolgen, wobei dann Datum und Uhrzeit im Profil des Nutzers I der Nutzerin protokolliert werden. Zusätzlich können Nutzerinnen und Nutzer uneingeschränkt über die Internetseiten von LOGINEO NRW vorab auf die Nutzungsbedingungen zugreifen. Nach Anmeldung sind sie zudem ständig über einen Link im Nutzerprofil aufrufbar. Ein Widerruf der Einwilligung ist
jederzeit möglich und führt zur Deaktivierung des Accounts.”
Dabei orientierte man sich an einer Stellungnahme der LDI NRW2Der Hintergrund zu dieser Regelung ist eine Stellungnahme der LDI NRW zu den geplanten Änderungen der VO-DV I vom 26. Juni 2016. Dort heißt es entsprechend:
§3 Datenerhebung, Berichtigung, Auskunft, Einsicht in Akten
Die Möglichkeit, eine elektronische Einwilligung nach § 13 Abs. 2 TMG zu erteilen, ist nur dann eine gangbare Alternative zur grundsätzlich schriftlich zu erteilenden Einwilligungserklärung, wenn der Anwendungsbereich des TMG eröffnet ist. Dies ist gemäß § 1 Abs. 1 TMG der Fall, wenn es sich um Telemedien, also alle elektronischen Informations- und Kommunikationsdienste handelt. In allen anderen Fällen bleibt es bei dem grundsätzlichen Schriftformerfordernis (vgl. § 4 Abs. 1 S. 3 DSG NRW). Da die Schule unter den o.g. Anforderungen kein Anbieter von Telemedien ist, ist eine elektronische Einwilligung in direkter Anwendung des § 13 Abs. 2 TMG nicht möglich.

Im Einzelfall kann vom Schriftformerfordernis abgewichen und eine Einwilligung auf elektronischem Wege eingeholt werden, wenn gemäß § 4 Abs. 1 S. 3 DSG NRW wegen besonderer Umstände eine andere Form angemessen ist. Wenn dies von der Schulleiterin oder dem Schulleiter konkret festgestellt worden ist, sollte sich die Ausgestaltung einer elektronischen Einwilligung an den inhaltlichen Vorgaben des § 13 Abs. 2, 3 TMG orientieren.”
.

Die VO-DV I geht von der Schriftform als Normalfall aus, räumt Schulen jedoch die Möglichkeit ein, bei Vorliegen besonderer Umstände Einwilligungen ausnahmsweise auch elektronisch einzuholen. In den Überlegungen, die zur oben zitierten Formulierung der Ausnahme in der VO-DV I führten, war “Die elektronische Einwilligung ist z.B. aus verwaltungsökomischen Gründen erforderlich zur gemeinsamen Nutzung einer IT- Basisstruktur.”3Begründung zum vorangegangenen Entwurf zur Änderung der VO-DV I 2016 (Stand: 18.10.2016) Man wollte mit der Regelung eine Möglichkeit schaffen, den Einwilligungsvorgang für Schulen mit geringerem Aufwand zu organisieren. Die Entscheidung, ob besondere Umstände vorliegen, trifft die Schulleitung.4“Im Einzelfall kann vom Schriftformerfordernis abgewichen und eine Einwilligung auf elektronischem Wege eingeholt werden, wenn gemäß § 4 Abs. 1 S. 3 DSG NRW wegen besonderer Umstände eine andere Form angemessen ist. Wenn dies von der Schulleiterin oder dem Schulleiter konkret festgestellt worden ist, sollte sich die Ausgestaltung einer elektronischen Einwilligung an den inhaltlichen Vorgaben des § 13 Abs. 2, 3 TMG orientieren.” – aus der Stellungnahme der LDI NRW zu den geplanten Änderungen der VO-DV I vom 26. Juni 2016.

Vor dem Hintergrund, dass die aktuell noch gültigen Vorgaben zur Einwilligung in der VO-DV I bereits 2016 erarbeitet wurden, zwei Jahre vor Beginn der Umsetzung der DS-GVO, ist es sinnvoll, zu betrachten, wie die DS-GVO das Thema Einwilligung und die Formerfordernis regelt.

Elektronische Einwilligung in der DS-GVO

Die DS-GVO regelt das Thema Einwilligung in Artikel 7. Eine Formerfordernis für die Einwilligung sucht man dort vergeblich. In Erwägungsgrund 32 wird jedoch eine Aussage hierzu gemacht.

“Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung.”

Entsprechend kommentiert auch die Fachliteratur.

“Die DSGVO verlangt keine bestimmte materielle Verstetigung oder Übermittlung der Willensbekundungen. Es gilt der Grundsatz der Formfreiheit. Eine Erklärung kann schriftlich, mündlich und auch elektronisch an den Adressaten gerichtet werden (EG 32 S. 1). Im Sinne der DSGV erfolgt „elektronisch“ auch eine durch einfache E-Mail oder über ein Onlineformular übermittelte Einwilligung. § 126 a BGB und § 3 a Abs. 2 S. 1 VwVfG sind nicht anwendbar.”5Klement in Simitis DS-GVO Art. 7 Rn. 39

Datenschutzgesetz NRW (neue Fassung)

Entsprechend der DS-GVO, welche die dem Datenschutzgesetz NRW übergeordnete Rechtsnorm ist, hat sich der Gesetzgeber auch hier nicht auf eine bestimmte Form der Einwilligung festgelegt. Im neuen DSG NRW heißt es deshalb unter Begriffsbestimmungen § 36 Nr. 19 “19. „Einwilligung“ jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist,”

Fazit

Die elektronische Einwilligung ist möglich für Schulen in NRW, schon seit fast drei Jahren. Allerdings ist sie auf Ausnahmen beschränkt, noch. Das Schulgesetz NRW ist seit Mitte 2019 in Überarbeitung und auch die anhängigen Verordnungen zur Datenverarbeitung VO-DV I und II werden Veränderungen erfahren. Bis zur Verabschiedung der Neufassungen von Schulgesetz und VO-DV I und II wird es vermutlich noch eine Weile dauern und solange gelten die bestehenden Regelungen fort.

Sie geben Schulen jedoch auch jetzt schon einen Handlungsspielraum. Gerade in Zeiten von Schulschließungen, in welchen die Möglichkeiten, Einwilligungen in Papierform einzuholen sehr beschränkt, aufwändig und zeitraubend sind, kann eine Schule ohne Probleme von den Möglichkeiten von §3 Abs. 2  VO-DV I Gebrauch machen. Schulschließungen sind ganz sicher besondere Umstände. Es ist lediglich erforderlich, dass wie in der Stellungnahme der  LDI NRW zu den geplanten Änderungen der VO-DV I vom 26. Juni 2016 beschrieben, die Schulleitung die besonderen Umstände konkret feststellt und dokumentiert. Dann ist es möglich, Einwilligungen in elektronischer Form einzuholen bei den Erziehungsberechtigten und älteren Schülerinnen und Schülern.

Praktische Umsetzung

Bezüglich der elektronischen Einwilligung gibt es verschiedene Möglichkeiten. Für den Fall, dass es beispielsweise um die Einwilligung zur Nutzung einer App oder einer Onlineplattform geht, welche der Schule selbst keine Möglichkeit gibt, darüber die Einwilligung der Erziehungsberechtigten beziehungsweise Schüler einzuholen wie bei Logineo NRW, dann bleibt immer der Weg über E-Mail, ein von der Schule genutztes App zur Kommunikation oder einen sicheren Messenger. Wichtig ist, dass die Schule die Einwilligung der Betroffenen dokumentieren kann. Dazu muss die elektronische Einwilligung in irgendeiner Form, idealerweise als PDF, gespeichert werden. Bei der Übermittlung sollte auf Sicherheit geachtet werden und es sollten nur die personenbezogenen Daten in der Einwilligung erfasst werden, welche dafür zwingend erforderlich sind (Datenminimierung).

E-Mail – direkt

Eine Möglichkeit, die Einwilligung einzuholen, ist direkt über E-Mail. Dazu werden wie in der Papierversion die Informationen zur Datenverarbeitung entsprechend Art. 13 DS-GVO In das E-Mail gepackt, wie auch der eigentliche Einwilligungstext mit einem Anschreiben der Schulleitung. Anstelle der Unterschrift reicht dann, wenn die Betroffenen ihre Einwilligung beispielsweise durch Schreiben des Wortes JA geben.

Die Rück Antwort der Betroffenen mit der Einwilligung sollte als PDF gedruckt und mit einem eindeutigen Dateinamen gesichert werden, um die Einwilligung nachweisen zu können.

Ein Beispiel, wie man das E-Mail mit der Einwilligung gestalten könnte:

E-Mail – PDF

Eine andere Möglichkeit besteht darin, die für Papier entworfene Einwilligung in ein PDF Formular umzuwandeln. Dieses kann man relativ leicht mit LibreOffice tun. Diese kostenlose Office Suite bietet die Möglichkeit, Eingabefelder für Text und Auswahlfelder (Checkboxen) anzulegen und das gesamte Text Dokument anschließend als PDF Dokument abzuspeichern.Dieses wird dann von den Betroffenen an einem Computer, Tablet oder Smartphone ausgefüllt und an die Schule zurück geschickt.

Das von den Betroffenen rückübermittelte PDF sollte mit einem eindeutigen Dateinamen gesichert werden, um die Einwilligung rechtssicher nachweisen zu können.

Ein Beispiel, wie eine als PDF gestaltete Einwilligung aussehen könnte6In diesem Formular müsste die Schule auf der ersten Seite den Namen der Schulleitung ergänzen und auf der zweiten Seite die Kontaktdaten der Schulleitung und des Datenschutzbeauftragten.:

E-Mail – Microsoft Word Dokument

Aus Sicherheitsgründen wird von einer Nutzung dieses Formats abgeraten. Dabei geht es weniger darum, dass die Schule eventuell Betroffene gefährdet, sondern umgekehrt dass das Verwaltungsnetz der Schule durch zurückgeschickte und eventuell infizierte Word Dateien gefährdet wird

Schul App

Schulen, die eine Schul App nutzen, die eine Kommunikation mit den Betroffenen ermöglicht, wie etwa Schulmanger Online, Elternnachricht, Sdui, Schul-Info-App, schul.cloud Pro, Elternportal, SchoolFox Plus, ISY-Schule, Die SchulApp u. Ä. können diese Plattformen zur Übermittlung eines PDF nutzen.

Messenger

Ein PDF könnte auch mit einem sicheren Messenger übermittelt werden, etwa Wire oder Threema7Die Schule sollte mit diesen Anbietern einen Vertrag zur Auftragsverarbeitung abgeschlossen haben.

Hinweis – direktes Einholen Einwilligung online

Logineo NRW erlaubt es, die Einwilligung der Betroffenen direkt bei der Anmeldung an der Plattform einzuholen. Wichtig ist hierbei, dass es sich um eine Einwilligung gegenüber der Schule bzw. Schulleitung handelt, die über den Weg der Plattform eingeholt wird. Auch an anderen Plattformen können Nutzereinwilligungen geholt werden. Diese stellen in der Mehrzahl der Fälle jedoch eine Einwilligung gegenüber dem Plattformbetreiber dar. Das ist nicht gleichzusetzen mit einer Einwilligung gegenüber der Schule. Man sollte hier als Schule genau hinsehen, ob dieses Verfahren den rechtlichen Vorgaben zur Erteilung einer Einwilligung gegenüber der Schule tatsächlich Genüge tut. Genauso müsste mit der Einwilligung gegenüber der Schule auch über die Datenverarbeitung durch die Schule bei Nutzung der Plattform informiert werden. Diese Informationen sind nicht gleichzusetzen mit der Datenschutzerklärung des Anbieters, auch wenn es inhaltliche Überschneidungen gibt.

Andere Bundesländer

Sofern das Schulrecht anderer Bundesländer eine elektronische Einwilligung nicht ausdrücklich ausschließt, können Schulleitungen das Einholen elektronische Einwilligungen probemlos auf Artikel 7 DS-GVO und Erwägungsgrund 32 abstellen. Mit großer Wahrscheinlichkeit finden sich ähnlich wie in Nordrhein-Westfalen auch im jeweiligen Landes Datenschutzgesetz keine Vorgaben zur Form Erfordernis der Einwilligung.

Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse, hat sich im April 2020 zum Thema geäußert, wonach die Einholung einer Einwilligung nicht in Schriftform erfolgen muss.

“Ebenso muss bei der Einwilligung nach Artikel 7 DS-GVO nicht zwingend der Weg über das „Papier“ gewählt werden. Bei der Einwilligung ist nach Artikel 7 Absatz 2 DSGVO keine Schriftform erforderlich.”

„Einwilligung einholen ohne Papier“ weiterlesen