Schulisches WLAN mit Einwilligung nutzen

Lesezeit: < 1 Minute

Viele Schulen stellen Schülern und Lehrkräften personalisierte WLAN Zugänge bereit, die sie über private Endgeräte oder schulische Leihgeräte im Rahmen des Unterrichts so wie zur Vor- und Nachbereitung desselben nutzen können. Dabei werden auch personenbezogene Daten verarbeitet. Nicht für alle davon lässt sich aus dem Schulgesetz NRW in Verbindung mit dem DSG NRW eine Rechtsgrundlage ableiten. Das macht eine Einwilligung der Betroffenen erforderlich.

In der Regel braucht es auch eine Nutzungsvereinbarung für ein schulisches WLAN. Die Vorlage berücksichtigt die Nutzung eines Zugangs auf das Internet, Online-Plattformen und damit verbundene Dienste über das schulische WLAN1Anders als die Einwilligungsvorlage berücksichtigt diese Vorlage nicht den Zugriff auf Ressourcen im schulinternen Netzwerk!:

Weitere Informationen zum Thema schulisches WLAN

Informationen der Medienberatung NRW zum Thema schulisches WLAN finden sich in einer Broschüre mit dem Titel WLAN AN SCHULEN – Eine Orientierungshilfe für Schulträger, Schulleitungen und Entscheidungsgremien.pdf2In dieser Broschüre finden sich übrigens auch interessante Aussagen zur logischen Trennung von Netzwerken (virtuelle Netzwerke) – siehe Kapitel „NETZWERKKONFIGURATIONEN UND BENUTZERVERWALTUNG“

Sehr hilfreich ist auch die Broschüre SCHULISCHES WLAN – HAFTUNGSRECHTLICHE FRAGEN FÜR DEN BETRIEB EINES SCHULISCHEN WLAN der Gesellschaft für Informationssicherheit mbH

Eltern zu einer Besprechung per Videokonferenz einladen

Lesezeit: 2 Minuten

In Zeiten von Corona möchten viele Schulen gerne Elterngespräche in Form von Videokonferenzen anbieten. Es geht dabei sowohl um Elterngespräche in Format 1 zu 1 wie auch Informationsabende, bei denen Eltern über die Arbeit der Schule informiert werden sollen. Auch hierbei ist das Thema Datenschutz zu beachten. Eltern müssen über die zur Teilnahme an einer Videokonferenz erforderliche Datenverarbeitung gemäß Art. 13 DS-GVO informiert werden und dann eine Einwilligung erteilen. Das ist auch der Fall, wenn sie zur Teilnahme an einer Videokonferenz ein bestehendes schulisches Konto ihres Kindes nutzen, da die Einwilligung in die Verarbeitung von personenbezogenen Daten bei der Nutzung dieses Kontos das Kind betraf, nicht aber die Eltern selbst.

Da es sich bei den Teilnehmern um Erwachsene handelt und die Videokonferenzen nur einzelne oder gelegentliche Veranstaltungen sind, kann die Einwilligung durch die Eltern hier auch durch sogenanntes konkludentes Handeln1„Im Zivilrecht spricht man von einer konkludenten Willenserklärung, wenn sie ohne ausdrückliche Erklärung durch schlüssiges Verhalten abgegeben wird. D.h. die Willenserklärung wird aus den Handlungen des Erklärenden abgeleitet.“ Quelle Wiktionary gegeben werden. Die Eltern willigen in die Datenverarbeitung ein, indem sie an der Videokonferenz teilnehmen. Schalten sie dazu beispielsweise die Kamera ein, willigen sie in die Verarbeitung des Bildsignals ein.

Praktische Umsetzung

Die Schule übermittelt den Eltern eine Einladung, in welcher die Informationen zur Datenverarbeitung gegeben werden wie auch die Einwilligungserklärung, letztere jedoch ohne Unterschriftenfeld. Wichtig wie immer bei der Einwilligung ist das Angebot einer Alternative für Eltern, die nicht an einer Videokonferenz teilnehmen möchten.

Beispiel Elterngespräch
Beispiel Informationen über die Schule
Beispiel Elterngespräch

Die Vorlage geht davon aus, dass die Eltern den Zugang des Kindes zu Logineo NRW Messenger für die Videokonferenz mit den Lehrkräften der Schule nutzen.

Hinweis

Bitte achten Sie darauf, dass für Videokonferenzen, in welchen es um vertrauliche oder sensible Inhalte gehen soll, sichere und vertrauenswürdige Anbieter genutzt werden. Ein Vertrag zur Auftragsverarbeitung zwischen Schule und Anbieter sollte vorliegen.

03/2021

Notenkonferenzen per Videokonferenz?

Lesezeit: 7 Minuten

In einem Schreiben an die Bezirksregierungen vom 15.01.2021 zur Weiterleitung an die Schulen macht das MSB auch Aussagen zur Erteilung der Halbjahreszeugnisse im Schuljahr 2020/21 und Anmeldung an den weiterführenden Schulen für das Schuljahr 2021/22.1 Vergleichbare Informationen gibt es auch aus einer Veröffentlichung auf der Website des Schulministeriums vom 18.01.2021.

Dazu gehört auch das Thema Zeugniskonferenzen. Bei den Aussagen hierzu sticht ein Satz hervor.

1. Zeugniskonferenzen und vorbereitende Dienstgeschäfte in den Schulen werden nicht von den Einschränkungen des § 1 Absatz 11 Corona- BetrVO erfasst und sind daher – unter Beachtung der erforderlichen Hygienemaßnahmen – zulässig. Es wird empfohlen, alternative Formen der Durchführung von Konferenzen zu prüfen.

Das MSB empfiehlt, auch wenn es möglich ist, die Schule für Zeugniskonferenzen und vorbereitende Dienstgeschäfte zu betreten, alternative Formen der Durchführung von Konferenzen. Es liegt nahe, dass damit Audio- und Videokonferenzen gemeint sind. Bei den Empfängern entstanden genau an dieser Stelle viele Fragen bezüglich des Datenschutzes. Das Ministerium sah sich dadurch veranlasst, sich noch einmal konkreter zu den datenschutzrechtlichen Aspekten von Notenkonferenzen zu äußern.

1. Teilnahme von Lehrkräften:
Grundsätzlich ist für Video-/Tonaufnahmen eine Einwilligung erforderlich, da Videoaufnahmen in der VO DV II nicht ausdrücklich erlaubt/geregelt sind.
Hier ist aber eine ergänzende Hinzuziehung von § 3 DSG zulässig (§ 122 Absatz 1 Satz 3 SchulG), da es sich um einen „ungeregelten Fall“ handelt, in dem ein Rückgriff auf das allgemeine Datenschutzrecht möglich ist.

Damit ist auf Grund von § 3 DSG bei bestehendem dringendem dienstlichem Bedürfnis in Pandemiezeiten die Teilnahme an einer Videokonferenz mit dem Datenschutz vereinbar.

2. Notendiskussion im Videostream: Zeugnisnoten sind personenbezogene Schülerdaten, die zulässigerweise von Schulen nach § 120 Abs. 1 SchulG und der VO DV I verarbeitet werden dürfen. Danach sind diverse Verarbeitungsformen (mündlich/schriftlich, analog/digital) zulässig. Maßgeblich ist, dass durch informationstechnische und organisatorische Maßnahmen, z.B. Wahl eines insofern geeigneten Videotools, der Schutz der Daten sichergestellt ist.

Wie einer meiner Kollege auf Nachfrage beim MSB erfuhr, ging man beim Verfassen der Ergänzung zum Erlass vom Vorhandensein von Dienstgeräten bei den Lehrkräften aus. Das ist in sofern von Bedeutung, da die Schulleitung nicht über die privaten Endgeräte der Lehrkräfte verfügen kann.

Wie sind diese Aussagen nun zu verstehen?

Für Audio- und Videokonferenzen gibt es in der VO-DV II bisher keine spezifischen Regelungen, die solche auf der Grundlage des Schulgesetzes NRW zulassen oder ausdrücklich eine Einwilligung voraussetzen. Dieses hatte auch die LDI NRW im Mai 2020 in der Schrift Pandemie und Schule ähnlich beschrieben. In der Praxis orientiert man sich stattdessen an den Vorgaben zu Video-/Tonaufnahmen, für die eine Einwilligung erforderlich ist. Siehe hierzu auch den Beitrag Distanzunterricht – rechtliche Vorgaben und Möglichkeiten. Wie die LDI NRW, die in der besonderen Ausnahme von Schulschließungen durch Covid19 eine Möglichkeit sieht, die fehlenden Regelungen, die weder eine ausdrückliche Erlaubnis noch ein Verbot bedeuten, sieht man im MSB deshalb aktuell die Möglichkeit, Zeugniskonferenzen auf §122 Abs. 1 Satz 3 des Schulgesetzes zu stützen. Dieser lautet.

Ergänzend gelten die allgemeinen datenschutzrechtlichen Vorschriften.

Im Schulgesetz NRW, so wird mit diesem Satz noch einmal ausdrücklich bestimmt, finden die allgemeinen datenschutzrechtlichen Vorschriften aus dem DSG NRW und der DS-GVO Anwendung, soweit sich in §120 und §121 keine bereichsspezifischen Datenschutzregelungen finden. In Verbindung mit §3 DSG NRW ist es dann nach Aussagen des MSB, „bei bestehendem dringendem dienstlichem Bedürfnis in Pandemiezeiten die Teilnahme an einer Videokonferenz mit dem Datenschutz vereinbar.“

§ 3
Zulässigkeit der Verarbeitung personenbezogener Daten

(1) Soweit spezialgesetzliche Regelungen nicht vorgehen, ist die Verarbeitung personenbezogener Daten durch öffentliche Stellen zulässig, wenn sie für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe der verarbeitenden Stellen erforderlich ist oder wenn sie in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

Die Verarbeitung von personenbezogenen Daten zur Teilnahme an Videokonferenzen durch die Schule erfolgt dann auf der Rechtsgrundlage von §3 DSG NRW in Kombination mit §122 Abs. 1 Satz 3 SchulG NRW.

Für die Schule entfällt damit die Erfordernis, von Lehrkräften eine Einwilligung zur Teilnahme an einer Videokonferenz einzuholen.

Die Teilnahme wird damit für Lehrkräfte verpflichtend. Wichtig ist dabei jedoch, dass sämtliche der folgende Bedingungen erfüllt sind:

  1. es gibt keine bereichsspezifische Regelung im SchulG NRW zu Videokonferenzen2, die Schulen die Verarbeitung von personenbezogenen Daten zur Durchführung von Videokonferenzen ausdrücklich erlaubt oder verbietet.und
  2. es besteht ein dringendes dienstliches Bedürfnis – und
  3. es herrschen Pandemiezeiten – und
  4. es werden die allgemeinen datenschutzrechtlichen Vorschriften eingehalten – und
  5. die Lehrkräfte verfügen über ein Dienstgerät.

Ist eine der genannten Bedingungen nicht erfüllt, besteht – zumindest aktuell – keine Möglichkeit, Lehrkräfte zur Teilnahme an einer Videokonferenz zu verpflichten. Von besonderer Bedeutung ist dabei Nr. 4, da sich hinter dieser Bedingung eine ganze Reihe von zu erfüllenden Kriterien verbergen.

Videokonferenz – Teilnahme per …

Besteht die Möglichkeit, Lehrkräfte zu einer Teilnahme an Videokonferenzen, wie oben beschrieben zu verpflichten, so ist dieses nicht automatisch mit einer Verpflichtung zur Teilnahme mit Videobild gleichzusetzen, es sei denn es lässt sich eine Erfordernis dazu begründen. In der Regel sollte es ausreichen, wenn Lehrkräfte an einer Videokonferenz ohne Bild teilnehmen, da es weder angemessen ist, darüber die Anwesenheit oder Aktivitäten der Teilnehmer zu kontrollieren, noch dass ihr Bild für Redebeiträge erforderlich wäre. Auch Abstimmungen benötigen kein Bild, da dieses auch über Chat, digitales Handzeigen oder Abstimmungstools möglich und, vor allem bei größerer Teilnehmerzahl, praktikabler ist.3Eine Erfordernis für eine Teilnahme per Videobild könnte sich jedoch daraus ergeben, wenn eine Plattform keine Möglichkeit bietet, die Teilnahme auf authentifizierte Teilnehmer zu beschränken. Dann wäre das Videobild die einzige Möglichkeit, einigermaßen sicher zu kontrollieren, dass nur berechtigte Personen an der Videokonferenz teilnehmen.

Informationen über Datenverarbeitung

Auch wenn die Nutzung einer Videokonferenz unter den beschriebenen Bedingungen keiner Einwilligung bedarf, so gehört zur Erfüllung der  „allgemeinen datenschutzrechtlichen Vorschriften“ die Information der Betroffenen über die Verarbeitung von personenbezogenen Daten gemäß Art. 13 DS-GVO.4Welche Daten werden auf welcher Rechtsgrundlage zu welchen Zwecken verarbeitet? Für welche Dauer werden sie verarbeitet, erfolgt eine Übermittlung an Dritte bzw. wer sind gegebenenfalls die Empfänger, und welche Rechte haben die Betroffenen?

Keine Aufzeichnungen

Es sollte jedem klar sein, dass die vom MSB beschriebene Möglichkeit zur Verarbeitung von personenbezogenen Daten von Lehrkräften zur Durchführung  Videokonferenzen mit verpflichtender Teilnahme nicht die Aufzeichnung von Videokonferenzen einschließt. Diese fallen unter die Vorgaben von §121 Abs. 1 Satz 25“ Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen bedürfen der Einwilligung der betroffenen Personen.“ und sind einwilligungspflichtig. Darunter fallen auch Funktionen einiger Videokonferenzplattformen, die im Hintergrund Aufzeichnungen erstellen, um den Start einer Aufzeichnung durch den Gastgeber unmittelbar umsetzen zu können. Solche Funktionen müssen deaktiviert werden, wenn eine Teilnahme verpflichtend sein soll.

Sicherheit

Ein Aspekt, der auch mit Bezug auf Datenschutz Relevanz hat, ist das Thema Sicherheit, welches unter anderem in Nr. 2 der Erläuterung des MSB angesprochen wird. Das meint nicht nur eine eventuelle Verschlüsselung der Videokonferenz, die aktuell nur bei wenigen Plattformen möglich ist, sondern auch die Kontrolle des Zugangs. Man sollte bei Lehrkräften eigentlich sicher sein können, dass sie ihre Zugangsdaten zu einer Videokonferenz, in welcher es um Noten und Zeugnisse geht, nicht an Dritte weitergeben. Außerdem gibt es bei verschiedenen Plattformen Zugangskontrollen in Form von Warteräumen. Diese schützen jedoch nur begrenzt. Kann man die Teilnehmer nicht sehen, hat man keine hunderprozentige Gewähr, dass auch tatsächlich die berechtigte Person an der Videokonferenz teilnimmt. Dieses könnte man nur sicherstellen, wenn Teilnehmer sich vorher authentifizieren müssen. Das könnte über die Anbindung an eine andere von der Schule genutzte Plattform erfolgen. Einige Anbieter von Videokonferenzlösungen im Zusammenhang mit anderen Plattformen bieten diese Möglichkeit. Auch Moodle kann die Authentifizierung von Nutzern für die Teilnahme an Videokonferenzen übernehmen.

Welche Daten in welcher Plattform?

Vor allem bei der Nutzung der Plattformen von US Anbietern ist bisher immer klar gewesen, dass dabei bestimmte Arten von personenbezogenen Daten außen vor zu bleiben haben. Das ist in allen Bundesländern und sogar der Schweiz und Österreich so, wo der Einsatz von Office 365, G Suite for Education, Apple Classroom und ähnlich nicht grundsätzlich untersagt ist. Überall gilt, eine pädagogische Nutzung ist möglich, wenn dabei darauf geachtet wird, die Verwendung von personenbezogenen Daten auf ein Minimum zu reduzieren. Auch eine Nutzung zur Teamarbeit im Kollegium oder zur Bereitstellung von Dokumentvorlagen und Informationen aus der schulinternen Verwaltung ist möglich, solange dabei keine personenbezogenen Daten im Spiel sind. Nichts zu suchen haben in den Plattformen hingegen personenbezogene Daten im Zusammenhang mit pädagogischer Dokumentation und schulinterner Verwaltung. Bei Noten- und Zeugniskonferenzen geht es aber genau um diese personenbezogenen Daten.

Eine Verarbeitung von Zeugnisnoten über eine Videokonferenzplattform ist auf der Rechtsgrundlage des §120 Abs. 1 SchulG NRW und der VO-DV I möglich, wie im unter Nr. 2 in den Erläuterungen des MSB zum Erlass dargestellt. Es gilt dabei jedoch, wie ebenfalls dort dargestellt, „Maßgeblich ist, dass durch informationstechnische und organisatorische Maßnahmen, z.B. Wahl eines insofern geeigneten Videotools, der Schutz der Daten sichergestellt ist.

Eine Möglichkeit, Daten vor unberechtigtem Zugriff zu schützen, ist die Verschlüsselung. Derzeit unterstützen nur sehr wenige Plattformen eine echte Ende-zu-Ende Verschlüsselung von Videokonferenzen, da diese technisch sehr schwierig zu implementieren ist und mit dem Verlust von Funktionalität einhergeht.6Siehe dazu https://www.datenschutz-notizen.de/ende-zu-ende-verschluesselung-von-videokonferenzen-1825597/  von April 2020 Zoom gehört dazu und auch Jitsi.7Im Januar 2021 ist die Funktionalität der Ende-zu-Ende Verschlüsselung bei beiden Plattformen bereits nutzbar, jedoch noch in der Erprobung. MS Teams, Cisco Webex und Google Meet bieten zwar eine gewisse Verschlüsselung. Das Problem ist dabei jedoch, dass die Schlüssel dafür beim Anbieter liegen und dieser die Videokonferenzen damit problemlos entschlüsseln und dadurch Dritten zugänglich machen könnte oder dass die Videokonferenzen auf dem Server des Anbieters entschlüsselt werden, bevor sie verschlüsselt an die Teilnehmer gehen.

Damit wird auch dieser Sicherheitsaspekt zum Ausschlusskriterium für einige der gängigen Videokonferenz Plattformen.

Wie kann man sich hier behelfen?

Eine Möglichkeit, wie man Noten- und Zeugniskonferenzen auch ohne eine Ende-zu-Ende Verschlüsselung durchführen kann, besteht darin, dass man ohne die Namen der Schüler arbeitet. Alle Lehrkräfte haben Namenlisten mit einer eindeutigen Nummerierung/Kennung vorliegen. Es wird in der Videokonferenz dann nur über Nummern gesprochen, nicht über Namen. Für Dritte sind dann ohne einen unverhältnismäßig hohen Aufwand die Noten und Bemerkungen zu Noten und Zeugnisse, die im Laufe der Konferenz genannt werden, keiner identifizierbaren Person zuzuordnen.

Eine Frage der Plattform

Da durch die Möglichkeit, eine Verarbeitung von personenbezogenen Daten zur Durchführung von Videokonferenz auf der Grundlage von §3 DSG NRW nicht gleichzeitig alle anderen datenschutzrechtlichen Vorschriften außer Kraft gesetzt werden, kommt der Auswahl der Plattform durchaus eine Bedeutung zu.

(Vermutlich) nicht DS-GVO konform

Eine Plattform, bei der zweifelhaft ist, ob sie DS-GVO konform nutzbar ist, hält demnach die „allgemeinen datenschutzrechtlichen Vorschriften“ vermutlich nicht vollständig ein. Damit wäre eine der 4 Bedingungen nicht erfüllt und die Plattform könnte nicht genutzt werden, um Lehrkräfte zu einer Teilnahme an Videokonferenzen zu verpflichten. Die Zahl der Videokonferenz Plattformen, bei denen die DS-GVO Konformität angezweifelt wird, ist nicht klein.8Dazu gehören dürften dann auch Plattformen gehören, deren Nutzung vom MSB als „bedenklich“ eingestuft wird oder Plattformen, die auf der Liste der Berliner Aufsichtsbehörde schlecht davon gekommen sind. Es gibt Schulen und Schulträger, die Gutachten haben anfertigen lassen von Fachkanzleien, die den von ihnen genutzten Plattformen eine DS-GVO Konformität attestieren. Im Streitfall entscheiden hier letztlich die Gerichte, falls es an einer Schule soweit kommt.

Vertrag zur Auftragsverarbeitung

Um die allgemeinen datenschutzrechtlichen Vorschriften zu erfüllen, ist auch der Abschluss eines Vertrags zur Auftragsverarbeitung9Im nicht deutschsprachigen Raum meist als Data Processing Addendum oder Data Processing Agreement bezeichnet. gemäß Art. 28 DS-GVO mit dem Anbieter der Videokonferenz Plattform zwingend erforderlich. Eine Plattform, deren Anbieter diesen Vertrag nicht anbietet, scheidet für eine Durchführung von Noten- und Zeugniskonferenzen per Videokonferenz aus.

Einwilligung erforderlich

Einige Plattformen erfordern zur Aktivierung eines Nutzerkontos eine Einwilligung in die Verarbeitung von personenbezogenen Daten. Dazu gehören die drei Logineo NRW Plattformen und damit auch der Messenger, bei dem es seit kurzem das Modul Videokonferenz mit Jitsi gibt. Da eine Einwilligung immer nur freiwillig sein kann, um rechtswirksam zu sein, ist es damit nicht möglich, die Nutzung einer solchen Plattform verpflichtend vorzuschreiben. Solange bei Logineo NRW Messenger diese Erfordernis zur Einwilligung nicht technisch deaktiviert wird, ist eine verpflichtende Nutzung ausgeschlossen. Gleiches gilt für Plattformen mit vergleichbarem Vorgehen.10Hinweis: Die Kernaussage dieses Abschnitts bezieht sich nur auf die Einwilligung in die Verarbeitung von personenbezogenen Daten, nicht auf die Einwilligung oder Annahme einer Nutzungsvereinbarung.

Wo es möglich wäre

Auf den ersten Blick scheint es, dass eine verpflichtende Teilnahme an Videokonferenzen, wie oben beschrieben, mangels geeigneter Plattformen, welche die „allgemeinen datenschutzrechtlichen Vorschriften“ einhalten, gar nicht möglich ist. Aber es gibt Plattformen, mit denen sich die Vorgaben recht gut einhalten lassen. Dazu gehören BigBlueButton und Jitsi, wie sie von verschiedenen Unternehmen angeboten werden. Mehr zu den Plattformen im Datenschutz Check.11Dort sind beispielhaft auch einige Anbieter genannt. Je nach Anbieter können diese Videokonferenz Lösungen auch an andere Plattformen angedockt werden, die sich dann zur Authentifizierung nutzen lassen. Es gibt außerdem auch Plattformen und Apps, die Videokonferenzen als ein integriertes Modul anbieten. Solange zur Nutzung der Videokonferenz Lösungen, ob als Stand-alone Lösung oder als Bestandteil einer größeren Lösung keine Einwilligung in die Verarbeitung von personenbezogenen Daten erforderlich ist, und sie auch sonst den allgemeinen datenschutzrechtlichen Vorschriften entsprechen, ließen sich für eine Schule damit die zu Beginn beschriebenen Möglichkeiten umsetzen.

Bei einem vertrauenswürdigen Anbieter, der seine Videokonferenz Plattform mit Vertrag zur Auftragsverarbeitung in einem sicheren Serverzentrum betreibt und die Plattform sicher und datenschutzkonform konfiguriert hat, ist es vertretbar, wenn Videokonferenzen auch ohne eine echte Ende-zu-Ende Verschlüsselung durchgeführt werden. Bei Anbietern, die ihre Plattform auf der Basis von Jitsi betreiben und Ende-zu-Ende Verschlüsselung bereits implementiert haben, wäre es möglich, diese zu aktivieren.12Hinweis: Die Ende-zu-Ende Verschlüsselung wird aktuell nicht von allen Browsern unterstützt.

Fazit

Das MSB eröffnet Schulen für den Ausnahmefall der Pandemie die Möglichkeit, Videokonferenzen als Alternative zu Präsenztreffen zu nutzen, um bei bestehendem dringendem dienstlichem Bedürfnis zumindest mit Noten- und Zeugniskonferenzen durchzuführen. Dieses setzt jedoch voraus, dass dazu einige Bedingungen erfüllt werden. Neben der in Erlass und Erläuterungen unerwähnten aber vorausgesetzen Ausstattung der Lehrkräfte mit Dienstgeräten müssen auch die allgemeinen datenschutzrechtlichen Vorschriften eingehalten werden. Mit Blick auf die aktuell an Schulen genutzten Plattformen wird dann jedoch schnell deutlich, dass viele dieser Plattformen die erforderlichen Voraussetzungen nicht vollständig erfüllen werden. Schulen, die versuchen, eine verpflichtende Teilnahme mit diesen Plattformen mit Bezug auf den Erlass und die ergänzenden Erläuterungen des MSB bei ihren Lehrkräften durchzusetzen, laufen dabei Gefahr, gegen geltendes Recht zu verstoßen. Letzte Klärung wird in solchen Fällen dann, falls es soweit kommt, ein Verwaltungsgericht herbeiführen.

Für eine Übertragung auf andere Zusammenhänge, etwa gewöhnliche Lehrerkonferenzen, oder den Unterricht scheint diese vom MSB ausdrücklich unterstützte Ausnahmeregelung nicht geeignet. Siehe dazu auch Distanzunterricht – rechtliche Vorgaben und MöglichkeitenDistanzunterricht – rechtliche Vorgaben und Möglichkeiten und Teilnahme am Unterricht über Video – geht das?

 

Stand 01/2021

Bußgeld gegen Grundschule in Belgien

Lesezeit: 2 Minuten

Schon im Juni 2020 wurde von einem belgischen Gericht ein Bußgeld von 2.000 € gegen eine Grundschule verhängt, da diese Schülerinnen und Schüler über eine von der Schule genutzt digitale Plattform zu ihrem Wohlbefinden befragt hatte, ohne zuvor die Eltern zu informieren und eine Einwilligung einzuholen. Auf der Seite DSGVO-Portal wird der Fall wie folgt beschrieben:

„Die Grundschule hatte über ein Tool eines Smartschooling-Systems eine Umfrage zum Wohlbefinden der Schüler durchgeführt. Mehrere Eltern von Minderjährigen hatten daraufhin eine Beschwerde bei der Datenschutzbehörde über dieses Vorgehen eingereicht.

Zum Einen versäumte es die Schule die Einwilligung der Eltern in Stellvertretung der Schüler unter 13 Jahren für die Datenerhebung einzuholen und diese über die Umfrage und deren Datenverarbeitung aufzuklären. Auch wurde gegen das Datenminimierungsprinzip verstoßen, da die Daten, welche auch Auskünfte über die Gesundheit und die häusliche Situation der Kinder enthielten, nicht anonymisiert erhoben wurden.“

Der Fall war bei der belgischen Aufsichtsbehörde als Beschwerde eingegangen und wurde dann vor der Kammer für Streitsachen der Datenschutzbehörde verhandelt. Im Rechtsstreit ging es dann unter anderem um folgende datenschutzrechtliche Aspekte.

Einwilligung nach Art. 8 DS-GVO

Art. 8 DSGVO ist nach Ansicht des Gerichts anzuwenden, da da es sich bei dem von der Grundschule verwendeten SmartSchool Tool um einen sogenannten Dienst der Informationsgesellschaft handelt. Bei solchen sind Kinder vor Vollendung des 13. Lebensjahres nicht einwilligungsfähig. 1Diese Altersgrenze gilt auch in Österreich, während in Deutschland eine Altersgrenze von Vollendung des 16. Lebensjahres gilt. Siehe dazu auch Auswirkungen der DS-GVO auf die Einwilligungsfähigkeit von Schülern Im Fall der Grundschule waren die Kinder jünger. Eine Einwilligung der Eltern nach Art. 6 Abs. 1 lit. a DS-GVO ist somit erforderlich, war jedoch nicht von der Grundschule nicht eingeholt worden.

Rechtsgrundlage der Befragung

Die Schule war nach eigenen Angaben davon ausgegangen, dass sie die Befragung durchführen konnte, um rechtliche Verpflichtungen gemäß Art. 6 Abs. 1 lit. c. DS-GVO zu erfüllen, denen sie unterliegt. Dieser Ansicht schloss sich das Gericht nicht an und sah stattdessen nur die Einwilligung nach Art. 6 Abs. 1 lit. a. DS-GVO als mögliche Rechtsgrundlage.

Verletzung des Grundsatzes der Transparenz

Nach Ansicht  des Gerichts wurde bei der Befragung der Schüler zu ihrem Wohlbefinden auch der Grundsatz der erforderlichen Transparenz von Seiten des Verantwortlichen gemäß Art. 5 Abs. 1 lit. a DSGVOArt. 12 DSGVO und Art. 13 DSGVO verletzt.

Datenschutz Folgenabschätzung

Der Beschwerdeführer hatte außerdem gefordert, dass die verantwortliche Stelle eine Datenschutz Folgenabschätzung hätte durchführen müssen. Dieser Ansicht schloss sich das Gericht nicht an.

Urteil des Gerichts

Ergebnis des Verfahrens war, dass Schule die Verarbeitung in Übereinstimmung mit Art. 5 Abs. 1 lit. a,  Art. 12 Abs. 1. und Art. 13 Abs. 1 lit. c und d und Art. 13 Abs. 2 lit. b  DS-GVO bringen muss und darüber hinaus eine Verwaltungsstrafe von EUR 2.000,- zu bezahlen hat.

Ob die Verwaltungsstrafe in Belgien von der Schule, der Schulleitung oder der Person, welche die Befragung durchführte oder veranlasste, zu zahlen war, ist den Unterlagen nicht zu entnehmen. Als Beklagter war keine Person genannt worden.

Die Beschwerde, die zu dem Bußgeld führte, wurde bereits im Juli 2019 bei der Aufsichtsbehörde eingereicht. Bis zum Urteilsspruch brauchte es so knapp ein Jahr.

Was kann man als Schule mitnehmen aus dem Fall?

Bezüglich der Verarbeitung von personenbezogenen Daten in der Schule sollte immer klar sein, auf welcher Rechtsgrundlage diese erfolgt. Das Schulgesetz legitimiert nur bestimmte Verarbeitungszwecke und dafür erforderliche personenbezogene Daten. Bei der Nutzung von Online Diensten sollte geprüft werden, ob es sich dabie um Dienste der Informationsgesellschaft handelt, bei denen hier in Deutschland eine rechtswirksame Einwilligung erst ab Vollendung des 16. Lebensjahres möglich ist[siehe dazu auch Auswirkungen der DS-GVO auf die Einwilligungsfähigkeit von Schülern.

Quellen:

Video von der Abschlussfeier streamen

Lesezeit: < 1 Minute

Verschiedene Schulen planen, die feierliche Überreichung der Abschlusszeugnisse live zu streamen, so dass die Familienmitglieder der Abschlussschülerinnen und -schüler unmittelbar dabei sein können, wenn auch nur aus der Ferne. Ohne eine Einwilligung geht das nicht und die Einwilligung muss freiwillig sein. Die Hürden dafür sind bei einer Entlassfeier hoch, da jeder teilnehmen möchte bzw. muss. Während es bei den Schülern je nach Veranstaltungsort durchaus möglich sein dürfte, die Aufnahme so einzustellen, dass es einen Bereich dicht am Geschehen gibt, etwa am Rand der Bühne, der nicht erfasst wird, gibt es eine solche Möglichkeit bei den Lehrkräften nicht. Hier bleiben nur zwei Optionen. Entweder es ist möglich, dass eine Lehrkraft, welche nicht aufgenommen werden will, vertreten wird, durch eine Lehrkraft, die dazu bereit ist, oder der Teil, in welchem die betroffene Lehrkraft ihre Zeugnisse übergibt, kann nicht aufgenommen und gestreamt werden.

Alternativ zum Streaming sind die Personen, welche damit nicht einverstanden sind, vielleicht bereit an Aufnahmen teilzunehmen, die anschließend auf einem Medium gespeichert an die Abschlussschüler übergeben werden.

Schulen sollten bei diesem heiklen Thema mit Bedacht vorgehen und niemanden unter Druck setzen, auch nicht indirekt. Mit Bedacht sollte auch die Plattform zum Streaming ausgewählt werden. Auch eine Videokonferenz Plattform wie BigBlueButton kommt dafür eventuell in Frage, wenn bei den Gästen Ton und Bild deaktiviert bleiben.

Microsoft Teams – Einwilligung

Lesezeit: < 1 Minute

Auf Nachfrage gibt es jetzt auch eine Vorlage für Informationen zur Datenverarbeitung gem. Art. 13 DS-GVO und eine Einwilligung in die Datenverarbeitung zur Nutzung von Microsoft Teams. Die Vorlage ist ausgerichtet auf Schulen, die kein Office 365/ Microsoft 365 nutzen, und berücksichtigt deshalb auch die Erstellung eines Nutzerkontos. Für Schulen, die bereits Office 365/ Microsoft 365 nutzen, kann die Vorlage auch auf die Nutzung der Kommunikationstools, Sprachnachricht, Audi- Videokonferenz und Chat reduziert werden.

Schulen, die Teams mit ihren Schülern ohne ein eigenes Nutzerkonto nutzen möchten, brauchen eine andere Einwilligung, da hierbei deutlich weniger personenbezogene und -beziehbare Daten verarbeitet werden.

 

Bitte denken Sie daran, auch eine Nutzungsvereinbarung zu Teams zu erstellen, denn nur wenn Regeln vereinbart werden, kann man erwarten, dass Nutzer sich daran halten. Eine Vorlage speziell für Teams findet sich bei der Stadt Nürnberg. Die Nutzungsvereinbarung ist ein essentieller Bestandteil der organisatorischen Maßnahmen zum Schutz und zur Sicherheit der personenbezogenen Daten der Nutzer und ergänzt die technischen Maßnahmen. Zu diesen gehören neben einem Rechte- und Rollenkonzept auch sichere Voreinstellungen in MS Teams.

Bitte beachten Sie, dass durch das EU-GH Urteil vom 16.07.2020, der EU-US Privacy Shield für ungültig erklärt wurde. Transfers von personenbezogenen Daten in die USA, wie sie auch bei einer Nutzung von MS Teams möglich sind, können damit nicht mehr auf der Grundlage des EU-US Privacy Shield erfolgen.1Microsoft stützt diese Transfers jetzt auf die Standard Vertragsklauseln. Ob die Aufsichtsbehörden das als datenschutzkonform einschätzen, wird man sehen. Die Informationen zur Datenverarbeitung, die zur Einwilligung gehören, berücksichtigen dieses in der aktualisierten Version. Bitte lesen Sie sich die Informationen in den Vorlagen genau durch.
Ob die Aufsichtsbehörden dieses Vorgehen so als einen gangbaren Weg akzeptieren, bleibt vorerst abzuwarten.

Stand 09/2020

Einwilligung – Vorlagen für BigBlueButton

Lesezeit: < 1 Minute

Wenn eine Schule eine Videokonferenz Plattform betreibt oder mit einem Vertrag zur Auftragsverarbeitung durch einen Dienstleister betreiben lässt, fallen bei der Nutzung personenbezogenen Daten der Videokonferenzteilnehmer an. Dieses ist nur mit einer Information über die Datenverarbeitung nach Art. 12 DS-GVO möglich und einer Einwilligung, die gegenüber der Schulleitung abgegeben wird.

Diese Vorlage ist für Schüler gedacht, die ohne ein eigenes Nutzerkonto an Videokonferenzen der Schule teilnehmen.

Diese Vorlage ist für Lehrkräfte gedacht, die gegebenenfalls auch ein Nutzerkonto erhalten, um Videokonferenzen leiten zu können.

Beide Vorlagen lassen sich leicht auch auf andere Plattformen anpassen. Dabei muss nur darauf geachtet werden, dass bei den Informationen zur Datenverarbeitung alle funktionsbedingten Datenverarbeitungen mit berücksichtigt werden. Beispiel: die Plattform erlaubt Umfragen und diese werden genutzt.

Sollen Videokonferenzen mit Eltern durchgeführt werden, empfiehlt es sich, aus der Vorlage für Schüler eine entsprechende Version zu erstellen.

Bitte achten Sie auch darauf, die Nutzung Ihrer Videokonferenz Plattform durch mit den Teilnehmern und Gastgebern vereinbarte Nutzungsregeln abzusichern.

Wichtig! Die Vorlagen gehen davon aus,

  • dass die von der Schule genutzte BigBlueButton Instanz so konfiguriert betrieben wird, dass nur die personenbezogenen Daten verarbeitet werden, die zum Betrieb tatsächlich erforderlich sind, und
  • die Nutzung per Voreinstellungen auf größtmögliche Sicherheit ausgelegt ist.1Einige Hinweise dazu gibt es unter BigBlueButton – Datenschutz Check

Weitere Informationen zu BigBlueButton und Videokonferenzen in Schule

Einwilligung ohne Papier in Zeiten von Corona

Lesezeit: < 1 Minute

In Zeiten des Corona Virus sind die Schulen geschlossen und trotzdem muss der Unterrichtsbetrieb irgendwie weiterlaufen. Auch die Kommunikation mit Schülern und Erziehungsberechtigten muss möglichst reibungslos und unaufwändig weiterhin möglich sein. Schulen setzen von daher vermehrt auf Online-Plattformen und Apps. Da diese in der Vergangenheit jedoch entweder noch nicht genutzt wurden oder nur von einem Teil der Schülerinnen, Schüler, Lehrkräfte und eventuell auch Eltern, ist es oftmals erforderlich, eine Einwilligung der Betroffenen einzuholen. Wollte man dieses in Papierform erledigen, wäre solches mit sehr viel Aufwand verbunden. Außerdem müsste damit gerechnet werden, dass die Rücklaufquote nicht 100 % ist und je nach Situation sogar extrem gering ausfallen könnte, etwa weil Person das Haus nicht verlassen können.

Was viele nicht bekannt ist, Einwilligungen können durch aus auch elektronisch von den Betroffenen eingeholt werden. Auf welcher  Rechtsgrundlage dieses für Schulen in Nordrhein-Westfalen möglich ist wie man elektronische Einwilligungen umsetzen kann, wird in dem Beitrag Einwilligung einholen ohne Papier ausführlich erklärt.

Einwilligung einholen ohne Papier

Lesezeit: 7 Minuten
Mit der Änderung der VO-DV I wird es 2021 auch eine Anpassung zum Einholen der Einwilligung geben. Die elektronische Einwilligung als Ausnahme, wird dann auch dort Vergangenheit sein. An den Aussagen dieses Beitrags ändert das nichts, da die bisherige Einschränkung in der VO-DV I seit Beginn der Umsetzung der DS-GVO bereits keine praktische Auswirkung mehr hat.

Ausgangslage

Bisher haben Schulen Einwilligungen in die Verarbeitung von personenbezogenen Daten, für die es keine Rechtsgrundlage aus dem SchulG NRW gibt, überwiegend in Papierform eingeholt. Das liegt zum einen daran, dass die elektronische Einwilligung bisher eher als Ausnahme gesehen und deshalb vermieden wurde, und zum anderen an den fehlenden Möglichkeiten dazu. Aber es geht auch anders, denn weder die DS-GVO noch das Schulrecht in NRW untersagen sie. Bisher ging es bei der Möglichkeit der elektronischen Einwilligung vor allem um die Einwilligung bei Online Plattformen. Entsprechend betrachten Rechtstexte das Thema der elektronischen Einwilligung vor allem mit Bezug auf diesen Anwendungsfall.

Elektronische Einwilligung im Schulrecht NRW

In der §3 Abs. 2  VO-DV I heißt es zur elektronischen Einwilligung (in die Verarbeitung von personenbezogenen Daten):

“(2) Nicht in den Anlagen aufgeführte Daten dürfen nur erhoben werden, wenn die oder der Betroffene eingewilligt hat. Die Einwilligung ist schriftlich gegenüber der Schulleitung zu erklären. Sofern dies wegen besonderer Umstände angemessen ist, kann die Einwilligung ausnahmsweise in elektronischer Form erfolgen. Dabei sind die Grundsätze des § 13 Absatz 2 des Telemediengesetzes vom 26. Februar 2007 (BGBl. I S. 179), das zuletzt durch Artikel 1 des Gesetzes vom 21. Juli 2016 (BGBl. I S. 1766) geändert worden ist, zu erfüllen.”

Die Vorgabe zur Erfüllung der Grundsätze des § 13 Absatz 2 des Telemediengesetzes hat damit zu tun, dass sich diese Aussage vor allem auf Online-Plattformen bezieht. Hintergrund bei der Ausgestaltung der Passage der VO-DV I war, dass man eine Möglichkeit schaffen wollte, wie Nutzer online ohne den Zwischenschritt Papier in die Datenverarbeitung durch die Online Plattform Logineo NRW einwilligen können. 1In der Begründung zum vorangegangenen Entwurf zur Änderung der VO-DV I 2016 (Stand: 18.10.2016) heißt es:
“Die Abgabe der erforderlichen Einwilligung zur Datenverarbeitung soll ausnahmsweise auch elektronisch ermöglicht werden. Dabei sind die Standards des Telemediengesetzes einzuhalten. Die elektronische Einwilligung ist z.B. aus verwaltungsökomischen Gründen erforderlich zur gemeinsamen Nutzung einer IT- Basisstruktur. Der Prozess entspricht der üblichen Vorgehensweise bei der Zustimmung z.B. zu AGBs für die Nutzung von Diensten und Anwendungen im Netz: Bei Erstanmeldung an LOGINEO NRW werden die Nutzungsbedingungen angezeigt. Eine Zustimmung muss durch aktives Anklicken erfolgen, wobei dann Datum und Uhrzeit im Profil des Nutzers I der Nutzerin protokolliert werden. Zusätzlich können Nutzerinnen und Nutzer uneingeschränkt über die Internetseiten von LOGINEO NRW vorab auf die Nutzungsbedingungen zugreifen. Nach Anmeldung sind sie zudem ständig über einen Link im Nutzerprofil aufrufbar. Ein Widerruf der Einwilligung ist
jederzeit möglich und führt zur Deaktivierung des Accounts.”
Dabei orientierte man sich an einer Stellungnahme der LDI NRW2Der Hintergrund zu dieser Regelung ist eine Stellungnahme der LDI NRW zu den geplanten Änderungen der VO-DV I vom 26. Juni 2016. Dort heißt es entsprechend:
§3 Datenerhebung, Berichtigung, Auskunft, Einsicht in Akten
Die Möglichkeit, eine elektronische Einwilligung nach § 13 Abs. 2 TMG zu erteilen, ist nur dann eine gangbare Alternative zur grundsätzlich schriftlich zu erteilenden Einwilligungserklärung, wenn der Anwendungsbereich des TMG eröffnet ist. Dies ist gemäß § 1 Abs. 1 TMG der Fall, wenn es sich um Telemedien, also alle elektronischen Informations- und Kommunikationsdienste handelt. In allen anderen Fällen bleibt es bei dem grundsätzlichen Schriftformerfordernis (vgl. § 4 Abs. 1 S. 3 DSG NRW). Da die Schule unter den o.g. Anforderungen kein Anbieter von Telemedien ist, ist eine elektronische Einwilligung in direkter Anwendung des § 13 Abs. 2 TMG nicht möglich.

Im Einzelfall kann vom Schriftformerfordernis abgewichen und eine Einwilligung auf elektronischem Wege eingeholt werden, wenn gemäß § 4 Abs. 1 S. 3 DSG NRW wegen besonderer Umstände eine andere Form angemessen ist. Wenn dies von der Schulleiterin oder dem Schulleiter konkret festgestellt worden ist, sollte sich die Ausgestaltung einer elektronischen Einwilligung an den inhaltlichen Vorgaben des § 13 Abs. 2, 3 TMG orientieren.”
.

Die VO-DV I geht von der Schriftform als Normalfall aus, räumt Schulen jedoch die Möglichkeit ein, bei Vorliegen besonderer Umstände Einwilligungen ausnahmsweise auch elektronisch einzuholen. In den Überlegungen, die zur oben zitierten Formulierung der Ausnahme in der VO-DV I führten, war „Die elektronische Einwilligung ist z.B. aus verwaltungsökomischen Gründen erforderlich zur gemeinsamen Nutzung einer IT- Basisstruktur.“3Begründung zum vorangegangenen Entwurf zur Änderung der VO-DV I 2016 (Stand: 18.10.2016) Man wollte mit der Regelung eine Möglichkeit schaffen, den Einwilligungsvorgang für Schulen mit geringerem Aufwand zu organisieren. Die Entscheidung, ob besondere Umstände vorliegen, trifft die Schulleitung.4„Im Einzelfall kann vom Schriftformerfordernis abgewichen und eine Einwilligung auf elektronischem Wege eingeholt werden, wenn gemäß § 4 Abs. 1 S. 3 DSG NRW wegen besonderer Umstände eine andere Form angemessen ist. Wenn dies von der Schulleiterin oder dem Schulleiter konkret festgestellt worden ist, sollte sich die Ausgestaltung einer elektronischen Einwilligung an den inhaltlichen Vorgaben des § 13 Abs. 2, 3 TMG orientieren.“ – aus der Stellungnahme der LDI NRW zu den geplanten Änderungen der VO-DV I vom 26. Juni 2016.

Vor dem Hintergrund, dass die aktuell noch gültigen Vorgaben zur Einwilligung in der VO-DV I bereits 2016 erarbeitet wurden, zwei Jahre vor Beginn der Umsetzung der DS-GVO, ist es sinnvoll, zu betrachten, wie die DS-GVO das Thema Einwilligung und die Formerfordernis regelt.

Elektronische Einwilligung in der DS-GVO

Die DS-GVO regelt das Thema Einwilligung in Artikel 7. Eine Formerfordernis für die Einwilligung sucht man dort vergeblich. In Erwägungsgrund 32 wird jedoch eine Aussage hierzu gemacht.

„Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung.“

Entsprechend kommentiert auch die Fachliteratur.

“Die DSGVO verlangt keine bestimmte materielle Verstetigung oder Übermittlung der Willensbekundungen. Es gilt der Grundsatz der Formfreiheit. Eine Erklärung kann schriftlich, mündlich und auch elektronisch an den Adressaten gerichtet werden (EG 32 S. 1). Im Sinne der DSGV erfolgt „elektronisch“ auch eine durch einfache E-Mail oder über ein Onlineformular übermittelte Einwilligung. § 126 a BGB und § 3 a Abs. 2 S. 1 VwVfG sind nicht anwendbar.”5Klement in Simitis DS-GVO Art. 7 Rn. 39

Datenschutzgesetz NRW (neue Fassung)

Entsprechend der DS-GVO, welche die dem Datenschutzgesetz NRW übergeordnete Rechtsnorm ist, hat sich der Gesetzgeber auch hier nicht auf eine bestimmte Form der Einwilligung festgelegt. Im neuen DSG NRW heißt es deshalb unter Begriffsbestimmungen § 36 Nr. 19 “19. „Einwilligung“ jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist,”

Fazit

Die elektronische Einwilligung ist möglich für Schulen in NRW, schon seit fast drei Jahren. Allerdings ist sie auf Ausnahmen beschränkt, noch. Das Schulgesetz NRW ist seit Mitte 2019 in Überarbeitung und auch die anhängigen Verordnungen zur Datenverarbeitung VO-DV I und II werden Veränderungen erfahren. Bis zur Verabschiedung der Neufassungen von Schulgesetz und VO-DV I und II wird es vermutlich noch eine Weile dauern und solange gelten die bestehenden Regelungen fort.

Sie geben Schulen jedoch auch jetzt schon einen Handlungsspielraum. Gerade in Zeiten von Schulschließungen, in welchen die Möglichkeiten, Einwilligungen in Papierform einzuholen sehr beschränkt, aufwändig und zeitraubend sind, kann eine Schule ohne Probleme von den Möglichkeiten von §3 Abs. 2  VO-DV I Gebrauch machen. Schulschließungen sind ganz sicher besondere Umstände. Es ist lediglich erforderlich, dass wie in der Stellungnahme der  LDI NRW zu den geplanten Änderungen der VO-DV I vom 26. Juni 2016 beschrieben, die Schulleitung die besonderen Umstände konkret feststellt und dokumentiert. Dann ist es möglich, Einwilligungen in elektronischer Form einzuholen bei den Erziehungsberechtigten und älteren Schülerinnen und Schülern.

Praktische Umsetzung

Bezüglich der elektronischen Einwilligung gibt es verschiedene Möglichkeiten. Für den Fall, dass es beispielsweise um die Einwilligung zur Nutzung einer App oder einer Onlineplattform geht, welche der Schule selbst keine Möglichkeit gibt, darüber die Einwilligung der Erziehungsberechtigten beziehungsweise Schüler einzuholen wie bei Logineo NRW, dann bleibt immer der Weg über E-Mail, ein von der Schule genutztes App zur Kommunikation oder einen sicheren Messenger. Wichtig ist, dass die Schule die Einwilligung der Betroffenen dokumentieren kann. Dazu muss die elektronische Einwilligung in irgendeiner Form, idealerweise als PDF, gespeichert werden. Bei der Übermittlung sollte auf Sicherheit geachtet werden und es sollten nur die personenbezogenen Daten in der Einwilligung erfasst werden, welche dafür zwingend erforderlich sind (Datenminimierung).

E-Mail – direkt

Eine Möglichkeit, die Einwilligung einzuholen, ist direkt über E-Mail. Dazu werden wie in der Papierversion die Informationen zur Datenverarbeitung entsprechend Art. 13 DS-GVO In das E-Mail gepackt, wie auch der eigentliche Einwilligungstext mit einem Anschreiben der Schulleitung. Anstelle der Unterschrift reicht dann, wenn die Betroffenen ihre Einwilligung beispielsweise durch Schreiben des Wortes JA geben.

Die Rück Antwort der Betroffenen mit der Einwilligung sollte als PDF gedruckt und mit einem eindeutigen Dateinamen gesichert werden, um die Einwilligung nachweisen zu können.

Ein Beispiel, wie man das E-Mail mit der Einwilligung gestalten könnte:

E-Mail – PDF

Eine andere Möglichkeit besteht darin, die für Papier entworfene Einwilligung in ein PDF Formular umzuwandeln. Dieses kann man relativ leicht mit LibreOffice tun. Diese kostenlose Office Suite bietet die Möglichkeit, Eingabefelder für Text und Auswahlfelder (Checkboxen) anzulegen und das gesamte Text Dokument anschließend als PDF Dokument abzuspeichern.Dieses wird dann von den Betroffenen an einem Computer, Tablet oder Smartphone ausgefüllt und an die Schule zurück geschickt.

Das von den Betroffenen rückübermittelte PDF sollte mit einem eindeutigen Dateinamen gesichert werden, um die Einwilligung rechtssicher nachweisen zu können.

Ein Beispiel, wie eine als PDF gestaltete Einwilligung aussehen könnte6In diesem Formular müsste die Schule auf der ersten Seite den Namen der Schulleitung ergänzen und auf der zweiten Seite die Kontaktdaten der Schulleitung und des Datenschutzbeauftragten.:

E-Mail – Microsoft Word Dokument

Aus Sicherheitsgründen wird von einer Nutzung dieses Formats abgeraten. Dabei geht es weniger darum, dass die Schule eventuell Betroffene gefährdet, sondern umgekehrt dass das Verwaltungsnetz der Schule durch zurückgeschickte und eventuell infizierte Word Dateien gefährdet wird

Schul App

Schulen, die eine Schul App nutzen, die eine Kommunikation mit den Betroffenen ermöglicht, wie etwa Schulmanger Online, Elternnachricht, Sdui, Schul-Info-App, schul.cloud Pro, Elternportal, SchoolFox Plus, ISY-Schule, Die SchulApp u. Ä. können diese Plattformen zur Übermittlung eines PDF nutzen.

Messenger

Ein PDF könnte auch mit einem sicheren Messenger übermittelt werden, etwa Wire oder Threema7Die Schule sollte mit diesen Anbietern einen Vertrag zur Auftragsverarbeitung abgeschlossen haben.

Hinweis – direktes Einholen Einwilligung online

Logineo NRW erlaubt es, die Einwilligung der Betroffenen direkt bei der Anmeldung an der Plattform einzuholen. Wichtig ist hierbei, dass es sich um eine Einwilligung gegenüber der Schule bzw. Schulleitung handelt, die über den Weg der Plattform eingeholt wird. Auch an anderen Plattformen können Nutzereinwilligungen geholt werden. Diese stellen in der Mehrzahl der Fälle jedoch eine Einwilligung gegenüber dem Plattformbetreiber dar. Das ist nicht gleichzusetzen mit einer Einwilligung gegenüber der Schule. Man sollte hier als Schule genau hinsehen, ob dieses Verfahren den rechtlichen Vorgaben zur Erteilung einer Einwilligung gegenüber der Schule tatsächlich Genüge tut. Genauso müsste mit der Einwilligung gegenüber der Schule auch über die Datenverarbeitung durch die Schule bei Nutzung der Plattform informiert werden. Diese Informationen sind nicht gleichzusetzen mit der Datenschutzerklärung des Anbieters, auch wenn es inhaltliche Überschneidungen gibt.

Andere Bundesländer

Sofern das Schulrecht anderer Bundesländer eine elektronische Einwilligung nicht ausdrücklich ausschließt, können Schulleitungen das Einholen elektronische Einwilligungen probemlos auf Artikel 7 DS-GVO und Erwägungsgrund 32 abstellen. Mit großer Wahrscheinlichkeit finden sich ähnlich wie in Nordrhein-Westfalen auch im jeweiligen Landes Datenschutzgesetz keine Vorgaben zur Form Erfordernis der Einwilligung.

Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse, hat sich im April 2020 zum Thema geäußert, wonach die Einholung einer Einwilligung nicht in Schriftform erfolgen muss.

„Ebenso muss bei der Einwilligung nach Artikel 7 DS-GVO nicht zwingend der Weg über das „Papier“ gewählt werden. Bei der Einwilligung ist nach Artikel 7 Absatz 2 DSGVO keine Schriftform erforderlich.“

„Einwilligung einholen ohne Papier“ weiterlesen

Brexit und die Folgen für Schule aus Datenschutzsicht

Lesezeit: 2 Minuten

Großbritannien hat zum 01.02.2020 die EU verlassen. Bis zum 31.12.2020 gilt eine Übergangsfrist, während der die Vereinbarungen und Abkommen der EU weiterhin Bestand haben. Damit hat auch die DS-GVO noch bis Ende diesen Jahres Bestand auf der britischen Insel. Schulen können in dieser Zeit problemlos Apps1Apps meint hier solche, deren Nutzung eine Onlineanbindung an die Server des Anbieters erfordert. und Online-Plattformen britischer Anbieter mit Schülerinnen und Schülern nutzen, wenn deren Einsatz auch bisher den Anforderungen aus Schul- und Datenschutzrecht entsprach.

Sofern britische Anbieter ihre Verarbeitung personenbezogener Daten in diesem Zeitraum jedoch nicht für die Zeit nach Ende der Übergangsfrist umstellen, wird eine Nutzung für Schulen in der EU nicht länger möglich sein. Warum ist das so?

Nach dem Ende der Übergangsfrist gilt in Großbritannien nicht mehr die DS-GVO. Großbritannien gilt dann als ein sogenanntes unsicheres Drittland. Eine Übermittlung bzw. Verarbeitung von personenbezogenen Daten in einem Drittland ist nur möglich, wenn es

  • entweder ein Abkommen zwischen der EU und Großbritannien gibt oder
  • für Großbritannien ein Angemessenheitsbeschluss besteht oder
  • die EU Standardvertragsklauseln angewendet werden können oder
  • man eine Art EU UK Privacy Shield aushandelt, nach welchem Anbieter sich selbst zertifizieren können.

Die Möglichkeit, mit Erlaubnis der Aufsichtsbehörde einen Vertrag mit dem Anbieter abzuschließen, welche die Sicherheit und den Schutz der personenbezogenen Daten garantiert, besteht für Unternehmen und kommt für Schulen wohl eher nicht in Betracht.

Die britische Regierung hat bereits angekündigt, dass man von den Regelungen der DS-GVO abweichen und stattdessen eigenes Datenschutzrecht schaffen will. Das wird es deutlich erschweren, eine zeitnahe Lösung für eine Rechtsgrundlage auszuhandeln, auf welcher personenbezogene Daten aus der EU in Großbritannien verarbeitet werden können.

Das bedeutet

für britische Anbieter von Apps und Online-Plattformen im Bildungsbereich, dass sie andere Lösungen finden müssen, um Schulen in der EU auch nach dem Ende der Übergangsfrist eine datenschutzkonforme Nutzen zu ermöglichen. In der Praxis lässt sich dieses am leichtesten umsetzen, wenn die Verarbeitung und Speicherung der personenbezogenen Daten von Schülerinnen und Schülern aus der EU in ein EU-Land verlegt wird.2Möglich wäre auch die Nutzung eines Serverstandortes in einem Drittland, für welches ein Angemessenheitsbeschluss besteht, die EU Standardvertragsklauseln gelten oder es ein sonstiges Abkommen mit der EU gibt. Ein Serverstandort innerhalb der EU oder des EWR wird jedoch die einfachste und sicherste Lösung sein.

für Schulen hängt die Bedeutung des Endes der Übergangsfrist davon ab, ob der Anbieter eine Lösung gefunden hat, die es ihnen erlaubt, sein Produkt weiterhin datenschutzkonform zu nutzen oder nicht.

  • Schafft es der Anbieter nicht, Schulen nach Ende der Übergangsfrist eine datenschutzkonforme Lösung anzubieten, sind Schulen gezwungen, die Nutzung des Apps bzw. der Plattform mit dem Ende der Übergangsfrist einzustellen. Sämtliche Nutzerkonten sind bis dahin zu löschen. Erstellte digitale Medien sollten, sofern sie personenbezogene oder -beziehbare Daten enthalten, heruntergeladen oder in eine andere Plattform übertragen werden, bevor sie ebenfalls zu löschen sind.
  • Kann der Anbieter eine neue, datenschutzkonforme Lösung anbieten, sind gegebenenfalls bestehende Verträge zur Auftragsverarbeitung zu überprüfen und an die neuen Bedingungen anzupassen.

Nachtrag 28.02.2020

In einem im Februar veröffentlichten Strategiepapier der britischen Regierung „The Future Relationship with the EU – The UK’s Approach to Negotiations“ strebt man einen Angemessenheitsbeschluss an3Data Adequacy

59. The UK will have an independent policy on data protection at the end of the transition period and will remain committed to high data protection standards.
60. To maintain the continued free flow of personal data from the EU to the UK, the UK will seek ‘adequacy decisions’ from the EU under both the General Data Protection Regulation and the Law Enforcement Directive before the end of the transition period. These are separate from the wider future relationship and do not form part of trade agreements. This will allow the continued free flow of personal data from the EEA States to the UK, including for law enforcement purposes. The European Commission has recognised a number of third countries globally as providing adequate levels of data protection.
61. On a transitional basis, the UK has allowed for the continued free flow of personal data from the UK to the EU. The UK will conduct assessments of the EEA States and other countries under an independent international transfer regime.
62. The UK will also seek appropriate arrangements to allow continued cooperation between the UK Information Commissioner’s Office and EU Member State data protection authorities, and a clear, transparent framework to facilitate dialogue on data protection issues in the future.

abgerufen am 28.02.2020 unter https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/868874/The_Future_Relationship_with_the_EU.pdf
. Ob und wann es dazu kommt, ist aktuell nicht abzusehen.