Notfallinformationen für eine Klassenfahrt abfragen

Lesezeit: 1 Minute

Vor allem wenn es auf eine längere Klassenfahrt geht, ist es sinnvoll, Notfallinformationen bei den Erziehungsberechtigten abzufragen.1Diese Abfrage geht davon aus, dass entsprechende Informationen nicht bei der Anmeldung an der Schule eingeholt worden sind oder man einfach nur auf Nummer sicher gehen möchte, dass die Informationen aktuell sind. Das erlaubt es den begleitenden Lehrkräften im Falle eines Falles, den Anweisungen der Erziehungsberechtigten entsprechend zu handeln. Abgefragt werden so sinnvollerweise eventuell bestehende Erkrankungen und regelmäßige Medikamenteneinnahmen sowie Kontaktinformationen, welche es erlauben, die Erziehungsberechtigten für die Zeitdauer der Klassenfahrt rund um die Uhr zu erreichen. Die Vorlage ist dafür ausgelegt, die ausgefüllten Vordrucke in einen Umschlag gepackt mit auf die Klassenfahrt zu nehmen. Für den Fall, dass beabsichtigt ist, diese Information auf den Smartphones der begleitenden Lehrkräfte zu speichern, finden sich im Anhang zur Vorlage weitere Informationen und Textbausteine zur Anpassung.

Braucht es für externe Mitarbeiter eine andere Einwilligung?

Lesezeit: 2 Minuten

Eine Schule möchte ein Jahrbuch herausgeben und darin auch Fotos der Sekretärinnen, der Hausmeister und von Mitarbeitern eines kommunalen IT Dienstleisters, der die Schul IT betreut, veröffentlichen. Die folgende Frage kam dabei auf:

„Die zuständige Kollegin des Jahrbuch-Teams fragte daher nun nach einer Datenschutzerklärung speziell für die Mitarbeiter des Schulträgers. Gibt es hier eine Datenschutzerklärung vom Kreis, die wir zu diesem Zweck verwenden können?“

Das Jahrbuch wird von der Schule erstellt. Sie ist also die datenverarbeitende Stelle und damit Verantwortlicher. Eine Einwilligung in die Verarbeitung von personenbezogenen Daten wird immer gegenüber dem Verantwortlichen abgegeben. Von daher nutzen alle Personen, welche in das Jahrbuch aufgenommen werden eine Einwilligung der Schule. Der Schulträger, welcher Dienstherr der Mitarbeiter im Schulsekretariat ist, hat aus datenschutzrechtlicher Sicht mit dieser geplanten Verarbeitung nichts zu tun. Die Informationen bezüglich der geplanten Datenverarbeitung können deshalb auch nicht von ihm kommen, sondern müssen von der Schule vorgelegt werden.

Für ein Jahrbuch werden Fotos der Personen in der Schule benötigt. Wenn beispielsweise von den Schülern bereits Fotos vorliegen, etwa für die Nutzung in der Schulverwaltung, kann man diese Fotos durchaus nutzen, sollte dafür jedoch eine Einwilligung, die für den Zweck der Veröffentlichung in einem Jahrbuch ausgelegt ist, einholen. Falls bereits eine Einwilligung für einen sehr ähnlichen Verarbeitungszweck vorliegt, etwa die Erstellung einer Festschrift, dann braucht es keine gesonderte Einwilligung mehr. Allerdings müssen die Betroffenen über eine Zweckänderung informiert werden.2siehe auch Art. 13 Abs. 3 DS-GVOBeabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.“
Sehr weit ausgelegt, bräuchte man hiernach nicht einmal eine ausdrückliche Einwilligung einholen, auch wenn der Verarbeitungszweck deutlich vom ursprünglichen abweicht, wie am Anfang des Abschnitts beschrieben. Hier muss die Schule letztlich selbst entscheiden, wie man verfährt. Eine Information ist auf jeden Fall erforderlich, und diese sollte vorweg erfolgen.
Dieses würde ihnen dann auch die Möglichkeit eröffnen, der geplanten Zweckänderung zu widersprechen.

In der Regel werden die für die Erstellung des Jahrbuchs benötigten personenbezogene Daten gelöscht, sobald der Verarbeitungszweck erreicht, der Druck des Buches abgeschlossen ist. Davon ausgenommen sind Daten, welche der Schule bereits vorlagen, etwa Name und Klassenzugehörigkeit. Diese Daten werden aus dem Programm gelöscht, mit welchem das Jahrbuch erstellt wurde, nicht jedoch aus der Schulverwaltung. Dort gelten weiterhin die schulrechtlichen Aufbewahrungs- und Löschfristen. Gleiches würde auch für Fotografien gelten, welche die Schule bereits auf der Grundlage einer anderen Einwilligung verarbeitet.

Ein Beispiel für eine anlassbezogene Einwilligung für die Erstellung eines Jahrbuchs:

NextCloud – Plattform – Datenschutz für Schulen mit Open Source

Lesezeit: 2 Minuten

NextCloud ist eine Open Source Plattform, die für Schulen gut geeignet ist, für Teamarbeit im Kollegium, zur Abbildung von schulischen Organisationsstrukturen und -abläufen und zur Durchführung von Unterricht. Die Plattform zeichnet sich durch Flexibilität aus, einfache Bedienung und sehr gute Sicherheitsmerkmale3300.000 Bedienstete der Bundesverwaltung nutzen die NextCloud statt Dropbox oder Google Drive.. Eine Dateiablage, ein ausgefeiltes Rechte- und Rollenmanagement für Nutzer und Ressourcen, Kollaborationswerkzeuge wie ein OnlineOffice, ein Messenger, ein Kalender, Verschlüsselung, 2-Faktor-Authentifizierung und weitere Module ermöglichen eine sichere Nutzung für Schüler und Lehrkräfte. Man kann die kostenlose Plattform als Schule selbst aufsetzen, durch den Schulträger oder einen von diesem beauftragten Dienstleister betreiben lassen oder man nimmt die Dienste eines anderen Anbieters in Anspruch. Neben diversen großen Webspace Anbietern gibt es auch Anbieter, die sich auf den Bereich Schule spezialisiert haben. Einer von diesen ist beispielsweise EduDocs aus Lübeck. Dort hat man die Möglichkeit, die schulische NextCloud so einzurichten, dass sie den datenschutzrechtlichen Vorgaben aus Westfalen entspricht.4Wer hier mehr Informationen haben möchte, kann mich gerne kontaktieren.  Da ich immer auf der Suche nach guten, datenschutzkonformen Lösungen bin, habe ich den Anbieter bei der Konzeption einer Lösung für Schulen in NRW, die sich ein wenig an Logineo NRW orientiert, in meiner Freizeit beraten. Disclaimer: Meine Beratung erfolgte rein idealistisch. Ich habe keinerlei finanzielle Vorteile von einer Nennung des Anbieters. Anders als bei großen internationalen Anbietern von Plattformen braucht eine Schule sich mit einer in Deutschland betriebenen NextCloud keine Sorgen machen wegen einer Verarbeitung von personenbezogenen Daten auf Servern außerhalb der EU und den damit einhergehenden datenschutzrechtlichen Problemen.

Die Nutzung einer schulischen NextCloud bedeutet auch immer, es werden personenbezogene Daten von Schülern und Lehrkräften verarbeitet. Dafür braucht es eine Einwilligung. In die Vorlage integriert sind eine Nutzungsvereinbarung und Informationen zur Datenverarbeitung in der NextCloud. Da sich die Nutzung für Schüler und Lehrkräfte deutlich unterscheidet, gibt es zwei Vorlagen.5Als Zugabe gibt es noch eine Vorlage für ein Nutzungskonzept Nutzungskonzept für NextCloud – EduDocs.docx Die Vorlage für Schüler ist zusätzlich in vereinfachter Sprache abgefasst, so dass auch Schüler und Personen mit geringeren Deutschkenntnissen die Informationen verstehen können.

Verpflichtung zur Vertraulichkeit und zum Datenschutz

Lesezeit: 1 Minute

In vielen Schulen übernehmen Lehrkräfte Administrationsaufgaben, sei es im pädagogischen Netz oder in einer durch die Schule genutzten Plattform, egal ob es sich dabei um Office 365 handelt, im Apple School Manager und ein MDM, um Moodle, G Suite for Education, iServ oder eine Nextcloud wie EduDocs.6Die Beispiele sollen deutlich machen, dass es vor allem um Administrationstätigkeiten geht, bei denen personenbezogene Daten in größerem Umfang oder auch sensiblere Informationen verarbeitet werden oder bei denen die dort verarbeiteten Daten Aufschluss über Nutzerverhalten geben. Die Schulleitung muss hier selbst entscheiden, ob sie eine Verpflichtung für notwendig erachtet. Im Zweifelsfall kann eine Verpflichtung nicht schaden. Durch ihre Administrationsrechte erhalten diese Personen die Möglichkeit, auf viele personenbezogene Daten aus der Schule zuzugreifen bzw. diese einzusehen. Selbst wenn die Administrationsrechte nur auf einen Teilbereich beschränkt sind, wie etwa die Nutzerverwaltung, so besteht auch dann immer noch die Möglichkeit, auf möglicherweise sensible personenbezogene Daten Zugriff zu erhalten. Zu den technischen und organisatorischen Maßnahmen nach Art. 5 Abs. 1 lit. f sollte auch eine Verpflichtung zur Vertraulichkeit und zum Datenschutz gehören. Zwar sind Lehrkräfte als Bedienstete des Landes zur Verschwiegenheit verpflichtet, doch trotzdem empfiehlt sich diese Verpflichtung mit einer Belehrung im Vorfeld. Eine Schulleitung stellt so sicher, dass die mit Administrationsaufgaben betraute Person sich im Klaren ist über die mit dieser Rolle einhergehenden Pflichten. Sie kommt so auch ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO 7Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).nach. Zusätzlich stellt diese Verpflichtung eine Gewähr für andere Lehrkräfte an der Schule dar, dass das Kollegiumsmitglied, welches durch seine Administrationstätigkeit nun eine Zugriffsmöglichkeit auf ihre personenbezogenen Daten hat, diese Möglichkeit nicht missbrauchen darf. Der schulische Administrator sollte nach Unterzeichnung der Verpflichtung eine Kopie davon erhalten.

Hinweis: Administratoren des Schulträgers oder von durch diesen beauftragten IT-Dienstleistern werden durch ihre jeweiligen Arbeitgeber entsprechend verpflichtet.

Datenübermittlung an den Schulträger zur Feststellung des Bedürfnisses?

Lesezeit: 2 Minuten

Ein Schulträger bittet eine Grundschule um die Übermittlung einer Liste mit den Namen der Schüler, den von der Schule ausgesprochenen Empfehlungen (für eine weiterführende Schule) und der tatsächlichen Schulwahl.

Darf bzw. muss die Schule dem Schulträger diese personenbezogenen Daten übermitteln?

Grundsätzlich gilt nach §120 Abs. 5 Satz 1 – SchulG NRW

„(5) Die in Absatz 1 Satz 1 genannten Daten dürfen einer Schule, der Schulaufsichtsbehörde, dem Schulträger, der unteren Gesundheitsbehörde, dem Jugendamt, dem Landesjugendamt, den Ämtern für Ausbildungsförderung, dem Landesamt für Ausbildungsförderung sowie den Ausbildungsbetrieben der Schülerinnen und Schüler an Berufskollegs nur übermittelt werden, soweit sie von diesen Stellen zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben benötigt werden.“

Da der Schulträger für äußere Schulangelegenheiten zuständig ist, ist bei der gestellten Anfrage zweifelhaft, auf welcher Rechtsgrundlage diese erfolgen soll.8„Außerhalb des Auftragsverhältnisses fragt sich, zur Wahrnehmung welcher konkreten Aufgaben des Schulträgers es ggf. überhaupt einer personenbezogenen Übermittlung durch Schulen und Schulaufsichtsbehörden bedarf. Dem Schulträger obliegt nach Maßgabe der §§ 78 ff. SchulG die Wahrnehmung der äußeren Schulangelegenheiten.“ – Wingen SchulG NRW-Kommentar, März 2015, Katernberg, zu §120 Abs. 5 Satz 1

Es ist zu vermuten, dass die Anfrage des Schulträger im Zusammenhang mit der Feststellung des Bedürfnisses nach §78 Abs. 5 – SchulG NRW erfolgt ist.

“(5) Die Entwicklung des Schüleraufkommens und der Wille der Eltern sind bei der Feststellung des Bedürfnisses zu berücksichtigen.”

Entsprechend Abs. 2.1 Abschnitt c Satz 4 des Runderlasses  zur Einrichtung und Auflösung von weiterführenden allgemeinbildenden Schulen und Berufskollegs kann der Schulträger zur Feststellung des Bedürfnisses eine Befragung vornehmen.

“Ein geheimes Verfahren im strengen Sinne ist nicht zwingend erforderlich; es muss aber gewährleistet sein, dass Namen und Votum der einzelnen Erziehungsberechtigten vertraulich behandelt und dienstlich geheim gehalten werden.“

Der Schulträger darf also im Rahmen seiner Aufgabenerfüllung nach §78 SchulG NRW Namen der Eltern und Votum als Ausdruck des Elternwillens in Erfahrung bringen. Allerdings setzt diese eine durch den Schulträger selbst durchgeführte Erhebung bzw. Befragung voraus und es geht um die Erziehungsberechtigten, nicht die Kinder. Es gibt in §78 keine Stelle, aus welcher sich ableiten lässt, dass der Schulträger einen rechtlichen Anspruch auf die tatsächliche Schulwahl einzelner Kinder und die von der Schule abgegebene Empfehlung hat.

Der Schulträger benötigt die von ihm angefragten personenbezogenen Daten eindeutig nicht, um seiner Aufgabenerfüllung nach §78 SchulG NRW nachzukommen. Hier würde auch eine anonymisierte Statistik der Schule ausreichen. Alleine dass die vom Schulträger angefragten personenbezogenen Daten der Schüler diesem dienlich oder nützlich sind, reicht als Rechtsgrundlage nicht für eine Übermittlung durch die Schule aus.9„… ist der Datentransfer zur Aufgabenerfüllung der Empfängerin oder des Empfängers nicht erforderlich, sondern lediglich dienlich oder nützlich, dürfen die Daten nur auf der Grundlage wirksamer Einwilligungen der Betroffenen (vgl. unter Erl. 2.2 und 2.3 zu § 120 SchulG) transferiert werden.” – Wingen SchulG NRW-Kommentar, März 2015, Katernberg, zu §120 Abs. 5 Satz 1

Wäre die Schule Willens, die angefragten Daten an den Schulträger zu übermitteln, so wäre dieses in diesem Falle nur auf der Grundlage einer Einwilligung der Betroffenen möglich.

Bleibt der Schulträger trotz allem der Meinung, dass die Schule ihm gegenüber verpflichtet ist, die gewünschten personenbezogenen Daten zu übermitteln, so muss er in der Lage sein, eine rechtliche Begründung zu liefern.10„Wenn der Schulträger die Übermittlung von personenbezogenen Daten der Schülerinnen, Schüler und /oder Eltern von der Schule beansprucht, ist es im Übrigen grundsätzlich an ihm, der Schule gegenüber darzulegen und zu begründen, warum er im konkreten Fall bestimmte Daten mit Personenbezug zu seiner Aufgabenerfüllung benötigt.“ – Wingen SchulG NRW-Kommentar, März 2015, Katernberg, zu §120 Abs. 5 Satz 1

Dass der Schulträger dazu in der Lage sein wird, ist aufgrund der Rechtslage nicht vorstellbar.

Die Antwort kurz gefasst:

Der Schulträger hat keinen aus dem Schulgesetz NRW ableitbaren rechtlichen Anspruch auf die Übermittlung der von ihm angefragten personenbezogenen Daten von Schülerinnen und Schülern der Schule.

Datenschutz & Mitbestimmung

Lesezeit: 4 Minuten

Auch wenn man es auf den ersten Blick nicht erwartet, Datenschutz und Mitbestimmung haben Schnittpunkte. Das Thema Mitbestimmung ist geregelt im Personalvertretungsgesetz für das Land Nordrhein-Westfalen (LPVG), welches vergleichbar ist dem Betriebsverfassungsgesetz (BetrVG) für Arbeitnehmer in Unternehmen11Da beide Regelungen viele Ähnlichkeiten aufweisen, kann man sich bezüglich des LPVG auch an entsprechenden Kommentierungen zum BetrVG orientieren. . Von Bedeutung für Schulen und das Thema digitale Plattformen ist dort der §72, denn dort sind mitbestimmungspflichtige Angelegenheiten geregelt.

(3) Der Personalrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, mitzubestimmen in Rationalisierungs-, Technologie– und Organisationsangelegenheiten bei

1. Einführung, Anwendung, wesentlicher Änderung oder wesentlicher Erweiterung von automatisierter Verarbeitung personenbezogener Daten der Beschäftigten außerhalb von Besoldungs-, Gehalts-, Lohn-, Versorgungs- und Beihilfeleistungen sowie Jubiläumszuwendungen,

2. Einführung, Anwendung und Erweiterung technischer Einrichtungen, es sei denn, dass deren Eignung zur Überwachung des Verhaltens oder der Leistung der Beschäftigten ausgeschlossen ist,

3. Einführung grundlegend neuer, wesentlicher Änderung und wesentlicher Ausweitung von Arbeitsmethoden,

4. Maßnahmen, die die Hebung der Arbeitsleistung oder Erleichterungen des Arbeitsablaufs zur Folge haben sowie Maßnahmen der Änderung der Arbeitsorganisation,

5. Einführung, wesentlicher Änderung oder wesentlicher Ausweitung betrieblicher Informations- und Kommunikationsnetze,

“(4) Der Personalrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, mitzubestimmen über

1. Beginn und Ende der täglichen Arbeitszeit und der Pausen sowie Verteilung der Arbeitszeit auf die einzelnen Wochentage, Einführung, Ausgestaltung und Aufhebung der gleitenden Arbeitszeit,”

In Bezug auf Datenschutz ist vor allem Nr. 2 von Interesse. Auch wenn im Gesetzestext hier das Wort Datenschutz selbst nicht einmal vorkommt, so geht es doch genau um diesen, da Überwachung datenschutzrechtliche Implikationen hat. Werden an einer Schule also technische Einrichtungen eingeführt oder erweitert, bei welchen eine Eignung zur Überwachung des Verhaltens oder der Leistung der Beschäftigten nicht ausgeschlossen ist, so ist diese Angelegenheit mitbestimmungspflichtig.12„Maßgeblich für die Eignung zur Überwachung ist, ob durch die technische Einrichtung anonym, d.h. ohne dass die Beschäftigten sich dem entziehen können, Daten erzeugt, erhoben oder ausgewertet werden können, die einen unmittelbaren Rückschluss auf ihr Verhalten oder ihre Leistung zulassen. Der seit dem 16.07.2011 geltende – also aktuelle – Gesetzeswortlaut des § 72 Abs. 3 Nr. 2 LPVG ist insofern eindeutig: Das Mitbestimmungsrecht wird bereits dadurch ausgelöst, dass die einzuführende technische Einrichtung zur Überwachung oder Leistungskontrolle in technischer Hinsicht geeignet ist.“, Leitfaden zur Mitbestimmung nach LPVG NRW bei der Umsetzung der Open.NRW Strategie Technische Einrichtungen meint auch digitale Plattformen, egal ob lokal betrieben oder in einer Cloud.13Einführung und Anwendung technischer Einrichtungen, § 87 Abs. 1 Nr. 6 BetrVG

Eine Vielzahl EDV-gestützter Anwendungen ist dazu geeignet, Mitarbeiterverhalten am Arbeitsplatz zu beobachten. Der weite Anwendungsbereich dieses Mitbestimmungsrechts führt zu einem Beteiligungsrecht des Betriebsrats bei einer Vielzahl von IT-Sicherheitsfragen.“ heißt es in einer Kommentierung zur durch Paul Voigt in IT-Sicherheitsrecht: Wann ist der Betriebsrat einzubeziehen?
 Nicht ausgeschlossen heißt, es ist ausreichend, dass die Möglichkeit besteht, selbst wenn eine Überwachung nicht geplant ist.14Ob eine Nutzung der Überwachungs- und Kontrollfunktionen auch beabsichtigt ist oder tatsächlich stattfindet, spielt keine Rolle. Im Ergebnis muss deshalb in aller Regel von einer Überwachungsmöglichkeit und damit der Einschlägigkeit des § 72 Abs. 3 Nr. 2, PVG NRW ausgegangen werden. Anders ist dies nur dann, wenn diese Möglichkeit definitiv -der Nachweis wäre aber in diesem Falle von der Dienststelle zu führen – ausgeschlossen ist“, Leitfaden zur Mitbestimmung nach LPVG NRW bei der Umsetzung der Open.NRW Strategie Die Einführung einer Plattform, welche von der Schulleitung dazu genutzt werden könnte, Rückschlüsse auf das Nutzerverhalten und die Leistungen von Lehrkräften zu ziehen, hat damit immer auch datenschutzrechtliche Implikationen. Es geht dabei um das Risiko, welches durch eine Zweckentfremdung von personenbezogenen Daten, hier Daten, die einen Aufschluss über das Nutzerverhalten geben, zu einem Schaden für die Betroffenen führen könnte.

Genau dieses Risiko greift die Orientierungshilfe Online-Lernplattformen der Datenschutzkonferenz auf, die sich mit den datenschutzrechtlichen Aspekten der Einführung und Nutzung solcher Plattformen beschäftigt. Die Orientierungshilfe geht davon aus, dass die Verarbeitung von personenbezogenen Daten in einer solchen Online-Lernplattform in aller Regel

„ein voraussichtlich hohes Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen (Schüler, Lehrer, Eltern) zur Folge“ haben wird.“

Sobald dieses der Fall ist, hat der “Verantwortliche vorab eine Datenschutz-Folgenabschätzung nach Art. 35 Datenschutz-Grundverordnung durchzuführen“. Zu einer solchen gehört, wie im Kurzpapier Nr. 5 Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO ausgeführt, die “Identifikation und Einbindung von Akteuren und betroffenen Personen.“

„Ggf. holt der Verantwortliche den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung ein (Art. 35 Abs. 9 DS-GVO). Dies umfasst beispielsweise die Einbindung von Gremien der Mitbestimmung, z. B. von Betriebsräten.“

Der Wortlaut der Empfehlung im Kurzpapier entspricht fast der Formulierung in Art. 35 Abs. 9 DS-GVO.

“Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.”

Unklar bleibt in dieser Formulierung mit gegebenenfalls, unter welchen Umständen der Standpunkt der Betroffenen oder ihrer Vertreter einzuholen ist. Jandt geht in Kühling, Buchner Art. 35 DS-GVO Rn. 57 davon aus, dass sich aus der Forderung nach Einholung des Standpunktes eine Informationspflicht der Betroffenen oder ihrer Vertreter logisch ergeben müsste. Wer mit Vertreter gemeint ist, wird nicht explizit genannt. Man kann aber davon ausgehen, dass hier Vertreter nach den Regeln der betrieblichen bzw. behördlichen Mitbestimmung gemeint sind “oder anderer Personengruppen wie Eltern- oder Schülervertreter”15Karg in Simitis, Hornung, Spieker, Art. 35 Rn 69 .

Was bedeutet das für die Praxis?

Wenn an einer Schule eine Plattform eingeführt oder eine bestehende in ihrer Funktion deutlich ausgeweitet werden soll und diese Plattform soll durch alle Lehrkräfte genutzt werden, dann ist die Mitbestimmung mit großer Wahrscheinlichkeit mit einzubeziehen. Der Grund dafür muss nicht einmal ein datenschutzrechtlicher Belang sein. Geht es beispielsweise darum, ab welcher Uhrzeit E-Mails an Arbeitstagen abgerufen oder der digitale Vertretungsplan eingesehen werden muss, so fällt dieses unter die Regelungen von §72 LPVG, da es zumindest die Arbeitszeiten betrifft. Eröffnet eine Plattform die Möglichkeit, das Verhalten der Nutzer in der Plattform zu überwachen, etwa durch Protokolldateien, die Logins und Logouts oder wann in der Plattform der Unterricht gestartet und beendet wurde zeigen, dann ist dieses auf jeden Fall mitbestimmungspflichtig. Die Mitbestimmungspflicht ist hier auch ein Datenschutzthema, da personenbezogene Daten von Lehrkräften anders genutzt werden (können) als es dem Verarbeitungszweck der Plattform entspricht, etwa Durchführung von Unterricht oder Führen eines digitalen Klassenbuches. Ob und welche Risiken eine Verarbeitung von personenbezogenen Daten etwa durch eine Online-Lernplattform oder ein digitales Klassenbuch für die betroffenen Lehrkräfte bedeuten kann und durch welche Maßnahmen diese Risiken reduziert werden können, ist Gegenstand der Datenschutz-Folgenabschätzung. Anders als durch §72 Abs. 3 LPVG ergibt sich aus Art. 35 Abs. 9 DS-GVO jedoch keine Verpflichtung, die Mitbestimmung im Rahmen der Datenschutz-Folgenabschätzung einzuholen.

Die Einbeziehung der Mitbestimmung sollte es ermöglichen, im Endergebnis zu einer für alle Betroffenen verträglichen Lösung zu kommen. Diese kann dann beispielsweise in einer Dienstvereinbarung festgehalten werden, in welcher Regeln bezüglich der Nutzung der Plattform und Maßnahmen zum Schutz der personenbezogenen Daten der Betroffenen, auch vor unrechtmäßiger Überwachung durch die Schulleitung, vereinbart sind. Welche Gremien der Mitbestimmung beteiligt werden, hängt vom jeweiligen Fall ab. Je umfangreicher der Regelungsbedarf, desto wahrscheinlicher ist es, dass man sich nicht nur auf die schulinternen Vertretungsgremien beschränken, sondern auch den örtlichen Personalrat mit einbeziehen sollte. Dort findet man in der Regel eine entsprechende Kompetenz, die Tragweite von möglichen Risiken zu beurteilen, die mit der Einführung einer Plattform für die Betroffenen einhergehen können.

Ist man zu einer verträglichen Regelung gekommen, haben Lehrkräfte jedoch weiterhin die Möglichkeit, ihre Einwilligung in die erforderliche Verarbeitung von personenbezogenen Daten zu verweigern, solange die Nutzung der Plattform nicht durch ein Gesetz oder eine andere rechtliche Grundlage verbindlich vorgeschrieben ist.16Beispiel Logineo NRW: Dort heißt es in der Dienstvereibarung:

Für die Bereitstellung von LOGINEO NRW für Teile oder das gesamte in der Schule tätige Personal ist ein Beschluss der Lehrerkonferenz erforderlich.
Für die Bereitstellung von LOGINEO NRW für Schülerinnen und Schüler sowie für Eltern, die Mitglieder von Mitwirkungsorganen sind, ist ein Beschluss der Schulkonferenz erforderlich.
Die Nutzung von LOGINEO NRW ist freiwillig und setzt eine Einwilligungserklärung der jeweiligen Nutzerin/des jeweiligen Nutzers bzw. deren/dessen gesetzlicher Vertretung voraus.“

Diese Beschreibung der Mitbestimmung aus Sicht des Datenschutz hatte vor allem die Lehrkräfte an den Schulen im Blick. Mitbestimmung gibt es natürlich auch für alle anderen Betroffenen in Schule. Schüler und Eltern sind, je nach Fall, über ihre Gremien, die SV und die Elternpflegschaft, ebenfalls zu beteiligen.

Stand 05/2019

Schule und Schulträger – Verantwortung beim Datenschutz

Lesezeit: 4 Minuten

Das Verhältnis von Schule und Schulträger ist nicht immer einfach. Oft ist man beim Schulträger der Meinung, wo das Geld ist, wird entschieden. Das betrifft die IT Ausstattung, von der Hardware bis zur Software. Schulträger entscheiden in vielen Bereichen und immer wieder über Schule anstatt mit Schule. Verwaltung und pädagogisches Netz werden mal eben mit Office 365 ausgestattet, die Kameras in iPads werden deaktiviert, die Nutzung bestimmter Internet-Dienste gesperrt, Dienstleister mit Support und Administration beauftragt und Schule hat das zu nehmen wie es ist. Kann ein Schulträger das mal eben alles so entscheiden?

Grundsätzlich sollten Entscheidungen, die eine Schule betreffen immer im Einvernehmen zwischen Schulträger und Schule getroffen werden.

Manchmal ist es für beide Seiten hilfreich, wenn man sich die rechtlichen Grundlagen vor Augen führt.

Schulträger als Sachaufwandsträger

Nach §79 SchulG NRW17§ 79 Bereitstellung und Unterhaltung der Schulanlage und Schulgebäude Die Schulträger sind verpflichtet, die für einen ordnungsgemäßen Unterricht erforderlichen Schulanlagen, Gebäude, Einrichtungen und Lehrmittel bereitzustellen und zu unterhalten sowie das für die Schulverwaltung notwendige Personal und eine am allgemeinen Stand der Technik und Informationstechnologie orientierte Sachausstattung zur Verfügung zu stellen. sind Schulträger als Aufwandsträger für die sächliche Ausstattung verantwortlich. Allerdings ist die  Schule gemäß §76 SchulG NRW vom Schulträger bei Entscheidungen zu beteiligen18Die Schule ist vom Schulträger in den für sie bedeutsamen Angelegenheiten rechtzeitig zu beteiligen. Hierzu gehören insbesondere […] 4. räumliche Unterbringung und Ausstattung der Schule sowie schulische Baumaßnahmen,.

Schule und innere Angelegenheiten

Anders als bei den äußeren Angelegenheiten ist die Schule in Bezug auf die inneren Angelegenheiten nach §3 SchulG NRW eigenverantwortlich19verwaltet und organisiert ihre inneren Angelegenheiten selbstständig. Unter die inneren Angelegenheiten fällt auch die Verarbeitung von personenbezogenen Daten. Entsprechend liegt die Verantwortung für die Einhaltung der datenschutzrechtlichen Vorgaben des Schulgesetzes nach §1 Abs. 3 VO-DV I bei der Schulleitung.

„(3) Für die Schule stellt die Schulleiterin oder der Schulleiter, […] durch technische oder organisatorische Maßnahmen sicher, dass der Schutz der verarbeiteten Daten gemäß § 10 DSG NRW gewährleistet ist und die Löschungsbestimmungen eingehalten werden.“

Das bedeutet, die Schule ist bei sämtlicher Verarbeitung von personenbezogenen Daten von Schülern, Lehrkräften und Erziehungsberechtigten, soweit sie innere Angelegenheiten betreffen, Verantwortlicher im Sinne von Art. 4 Nr. 7 DS-GVO.

Verhältnisse klarstellen

Wenn ein Schulträger, egal ob es das Schulamt ist, der kommunale oder städtische Datenschutzbeauftragte, die IT Abteilung im Rathaus oder ein vom Schulträger beauftragter IT Dienstleister, mit Vorgaben, Anordnungen, Konfigurationen schulischer Soft- und Hardware oder Verboten in Prozesse der Datenverarbeitung in Schule eingreift, dann ist dieses sicherlich in den meisten Fällen wohlwollend gemeint, überschreitet jedoch eindeutig die rechtlichen Zuständigkeiten dieser Stellen. Genau genommen können derartige Eingriffe in die datenschutzrechtlichen Angelegenheiten einer Schule sogar als Verstöße gegen geltendes Datenschutzrecht, vom Schulrecht über Landes- und Bundesdatenschutzgesetzgebung bis zur Europäischen Datenschutz Grundverordnung bewertet werden. Schulen sind in Bezug auf das Datenschutzrecht einzig ihren vorgesetzten Dienststellen, sofern diesbezüglich weisungsberechtigt, und der zuständigen Aufsichtsbehörde gegenüber weisungsgebunden.

Schulträgern und den Personen, Stellen und Dienstleistern, welche für sie tätig sind, ist dieser Sachverhalt oftmals nicht einmal klar.

Es gibt für Schulen hier einen einfachen Weg, um Abhilfe zu schaffen, ein Weg, mit dem eine Schule in den meisten Fällen auch einer datenschutzrechtlichen Pflicht nachkommt. Nach §2 Abs. 3 VO-DV I gilt:

„(3) Die Schulen […] sind berechtigt, unter Beachtung der Voraussetzung des § 11 DSG NRW die Datensicherheit gewährleistende und zuverlässige Institutionen mit der Verarbeitung ihrer Daten zu beauftragen. Die Datenverarbeitung im Auftrag ist nur zulässig nach Weisung der Schule […] und ausschließlich für deren Zwecke.“

In der Mehrheit aller Schulen ist der Schulträger mittels seiner eigenen IT Abteilung oder durch einen beauftragten IT Dienstleister mit Support und administrativen Aufgaben für die schulische IT beauftragt.

Immer wenn dabei auch ein Zugriff auf personenbezogene Daten aus der Schule erforderlich oder möglich ist, muss nach Art. 28 Nr. 3 DS-GVO ein Vertrag zur Auftragsverarbeitung geschlossen werden. In diesem sind die Zuständigkeiten zwischen dem Verantwortlichen, hier der Schule als Auftraggeber, und dem Auftragnehmer (Auftragsverarbeiter), eindeutig geregelt. Dazu gehört, dass der Auftragnehmer gegenüber dem Auftraggeber weisungsgebunden ist. Selbiges gilt auch, wenn schulische IT aus dem Schulgebäude ausgelagert betrieben wird. Das ist beispielsweise der Fall, wenn ein Schulverwaltungsprogramm wie SchiLD NRW zentral auf einem Server des Schulträgers oder beauftragten IT Dienstleisters betrieben wird.

Handlungsempfehlung

Letztlich geht es also nur darum, dem Schulträger deutlich zu machen, dass eine Schule bzw. eine Schulleitung ihrer datenschutzrechtlichen Verantwortung nur gerecht werden kann, wenn der Schulträger Eingriffe in die Schulische IT, sofern sie Datenverarbeitungsprozesse oder die technischen und organisatorischen Maßnahmen zum Schutz der verarbeiteten Daten betreffen, in Abstimmung mit der Schule vornimmt.20Das gilt natürlich auch in die umgekehrte Richtung, wie die Dienstanweisung für die automatisierte Verarbeitung von personenbezogenen Daten in der Schule unter 11.6 deutlich macht „Die Schulleiterin oder der Schulleiter hat im Einvernehmen mit dem Schulträger durch organisatorische Maßnahmen den Datenschutz sicherzustellen.

Schulträger verstehen dieses oft besser, wenn man den verantwortlichen Personen vor Augen führt, dass sich datenschutzrechtlich auch die kommunale bzw. städtische Verwaltung in einer vergleichbaren Situation befindet. Auch dort würde man keine Einmischung oder Bevormundung durch externe Stellen oder Personen zulassen (dürfen).

Mit einem zusätzlichen Hinweis auf die Vorgaben aus der Schulgesetzgebung und dem Abschluss der erforderlichen Verträge zur Auftragsverarbeitung sollte dann für alle Beteiligten klar sein, wie es mit der rechtlichen Stellung und den daraus resultierenden Verantwortlichkeiten im Verhältnis von Schule und Schulträger bestellt ist. Verantwortliche aus kommunaler bzw. städtischer Verwaltung verstehen die Sprache von Gesetzen und Verordnungen aus ihrem Berufsalltag sehr gut und bringen, wenn sie um die rechtlichen Verhältnisse wissen, auch mehr Verständnis für die Zuständigkeiten  für schulinterne Datenverarbeitungsprozesse auf.

Auf dieser Basis, sollte eine vertrauensvolle Zusammenarbeit von beiden Seiten aus gut möglich sein. Eine Schule kann auf dieser Grundlage dann auch besser argumentieren, wenn der Schulträger

  • eine Software, die seit Jahren essentiell für interne Abläufe ist, nicht mehr unterstützen möchte und keine Alternative bietet,
  • die Schulverwaltung von einem Server in der Schule auf einen Server im Rathaus umstellen will,
  • Verarbeitungsprozesse an einen Dienstleister auslagern will,
  • für alle sicheren, schuleigenen USB Sticks der Lehrkräfte ein einziges Passwort vorschreibt,
  • alle Schulen auf ein einheitliches Schulverwaltungsprogramm umstellen möchte,
  • im Internetzugang der Schule Ports gesperrt werden, die zur Nutzung eines Online-Angebotes, erforderlich sind,
  • die Kameras in iPads deaktiviert werden,
  • die Mitarbeiter des IT Dienstleisters mitten im Schulbetrieb für Wartungszwecke das schulische Netzwerk lahmlegen,
  • man für die sichere Aufbewahrung von Datenträgern und Festplatten zur Sicherung von Daten nach Jahren noch immer keinen (feuersicheren) Safe erhalten hat,

und dabei die entscheidet als hätte die Schule hier nichts zu sagen.

 

In Sachen Datenverarbeitung ist der Schulträger somit Auftragsverarbeiter und gegenüber der Schule weisungsgebunden. Das bedeutet:

  • Ohne entsprechende Verträge zur Auftragsverarbeitung geht gar nichts.

Datenschutzverstöße und mögliche rechtliche Folgen für eine Schule

Lesezeit: 1 Minute

Es wird immer wieder gefragt, welche rechtlichen Folgen es haben kann, wenn es in der Schule zu einem Datenschutzverstoß kommt oder Vorgaben der DS-GVO bezüglich der Schulhomepage nicht eingehalten wurden. Der Beitrag Mögliche rechtliche Folgen eines Datenschutzverstoß für Schulen schaut deshalb auf die rechtlichen Möglichkeiten, welche für die Aufsichtsbehörde und die Betroffenen bestehen. Wie man dabei sieht, wird die Aufsichtsbehörde kein Bußgeld gegen eine Schule in öffentlicher Trägerschaft verhängen. Das bedeutet aber nicht, dass in der Schule tätige Personen nicht mit rechtlichen Konsequenzen rechnen müssen, vor allem wenn sie vorsätzlich gehandelt haben. Aber auch Unwissenheit schützt vor Strafe nicht und so können auch aus Nichtwissen oder Nachlässigkeit begangene Verstöße gegen das Datenschutzrecht durchaus rechtliche Konsequenzen nach sich ziehen, wenn den Betroffenen ein Schaden hierdurch entstanden ist, und dieser kann auch immaterieller Natur sein.

Datenschutzrechtliche Untersuchung der Nutzung von Office 365 an Schulen in der Schweiz

Lesezeit: 2 Minuten

Anders als in Deutschland ist in der Schweiz bisher die Nutzung von Office 365 an Schulen aus datenschutzrechtlicher Sicht recht problemlos möglich gewesen. Entsprechend weit verbreitet ist der Einsatz dort. Noch im September 2018 hatte der Datenschutzbeauftragte des Kanton Zürich einen Leitfaden zur Nutzung von Office 365 an Bildungseinrichtungen herausgegeben.21Schulen, die Office 365 nutzen, sollten diesen Leitfaden kennen, da er wertvolle Hinweise für eine datenschutzrechtlich verantwortungsvolle Nutzung von Office 365 gibt. Beachten sollte man dabei allerdings, dass einige Aussagen sich nicht auf NRW bzw. Deutschland übertragen lassen, etwa die Nutzung von Office 365 in der Schulverwaltung. Einige Wochen später enteckte man in den Niederlanden, dass Office 365 wohl weitaus mehr Telemetriedaten für Support und Softwareentwicklung an US Server übermittelt, als in der von Microsoft zur Verfügung gestellten Dokumentation ausgewiesen. Diese Daten, auch wenn überwiegend technischer Natur, sind mit Benutzerkonten verknüpft bzw. verknüpfbar und stellen nach der DS-GVO personenbezogene Daten dar. Die niederländischen Datenschützer kamen zu dem Schluss, dass Mircosoft hier gegen die DS-GVO verstößt.22siehe Dutch government report says Microsoft Office telemetry collection breaks GDPR Die holländischen Datenschützer haben 8 Probleme definiert und mögliche Lösungen aufgezeigt.

Die acht datenschutzrechtlichen Problembereiche von Office 365 im Zusammenhang mit Telemetriedaten
Es geht um:
* Mangelnde Transparenz
* Fehlende Möglichkeit, die Sammlung und Übermittlung von Telemetriedaten temporär und dauerhaft zu beeinflussen
* Unrechtmäßige Sammlung und Speicherung von sensiblen personenbezogenen Daten
* Unzutreffende Beschreibung von Microsoft als Verarbeiter
* Unzureichende Kontrolle über Sub Auftragsverarbeiter
* Mangelnde Beschränkung der Verarbeitungszwecke – Übertrag von Daten aus dem EU Raum hinaus
* Unbegrenzte Speicherung der diagnostischen Daten

Das hat nun auch den Datenschutzbeauftragten des Kanton Zürich aufgegriffen. Die Befunde der Niederländer bedeuten für ihn jedoch nicht automatisch, dass die Übermittlung der Telemetriedaten durch Microsoft rechtswidrig ist, denn seine Fachstelle hatte mit Microsoft speziell für den Bildungsbereich Rahmenbedingungen für die Nutzung von Office 365 ausgehandelt. Da für ihn nicht klar ist, inwieweit die in den Niederlanden ermittelten Probleme auch für den Schulbereich in der Schweiz relevant sind, hat er Microsoft zu einer Stellungnahme aufgefordert. Es geht dabei nun darum, ob die Verarbeitung dieser Telemetriedaten durch Microsoft datenschutzrechtskonform ist oder nicht.

Microsoft selbst verweist auf die für Kunden verfügbare Dokumentation Diagnostic Data in Office Applications, zeigt sich jedoch kooperativ und will mit den Datenschützern an Lösungen arbeiten. Erste Anworten und Maßnahmen sind für das erste Quartal 2019 angekündigt.

Auswirkungen auf die Nutzung von Office 365 an Schulen in NRW

Auch in NRW dürften einige Schulen schon im November hellhörig geworden sein, als die Meldungen aus den Niederlanden kamen. Wer als Schule bei der Nutzung von Office 365 einige Grundregeln beachtet, sollte vorerst damit weiterarbeiten können.23Siehe dazu auch die Informationen des MSB NRW von Dezember 2018 zu Office 365, wo es u.a. heißt: „Grundsätzlich kann für die jetzige praktische Handhabung festgestellt werden:
Schulleitungen, die sich mangels einer offiziellen Einschätzung in NRW auf die Bewertung des DSB Hessen verlassen und die dortigen einschränkenden Bedingungen zur Nutzung von Office 365 einhalten, u.a. keine Nutzung der Cloud für Verwaltungszwecke, kann kein fahrlässiges oder vorwerfbares Handeln vorgehalten werden.“

  • Office 365 kann nicht im Bereich der Schulverwaltung eingesetzt werden, wenn es um die Verarbeitung von personenbezogenen Daten von Schülern, Lehrkräften und Eltern geht. Die Verarbeitung von allgemeinen, nicht personenbezogenen Daten bzw. Informationen (z.B. die Erstellung und Bereitstellung von Formularen) ist jedoch durchaus möglich.
  • Im Unterricht sollte Office 365 so datensparsam wie möglich genutzt werden. Bewertungen und Leistungsdaten gehören nicht in Office 365. 24Bei einer ausschließlichen Nutzung über schulische Geräte fallen die wenigsten personenbezogenen Daten an, wenn die Benutzerkonten datenschutzfreundlich erstellt werden.

Dass Microsoft hier jetzt patzen wird, ist eher unwahrscheinlich. Es steht zu viel auf dem Spiel. Man kann wohl damit rechnen, dass Microsoft nachbessern wird und zumindest im Bildungsbereich die bemängelten Funktionalitäten einschränkt und besser dokumentiert, den Verantwortlichen und Nutzern mehr Kontrolle über die Erhebung und Verarbeitung der Telemetriedaten gibt sowie die Speicherdauer und Verwertung eingrenzt.

Quelle für die Informationen aus der Schweiz ist der Beitrag mit dem etwas reißerischen Titel Verstossen Lehrer und Schüler mit Microsoft Office gegen das Gesetz? (12/2018)

Kann eine Schule Facebook und Instagram zur Öffentlichkeitsarbeit nutzen?

Lesezeit: 2 Minuten

Manche Schulen haben sie schon lange, andere Schulen überlegen gerade, ob sie sie einrichten, die Präsenz bei Facebook und bei Instagram. Schulen, die mit digitalen Medien unterwegs sind, sehen sich oft der Herausforderung gegenüber, auch in den sozialen Medien Präsenz zu zeigen. Auch wenn Facebook gerade bei jungen Menschen heute nicht mehr den Stellenwert besitzt, den die Plattform noch vor einigen Jahren hatte, so ist sie doch Teil nahezu jeder Social Media Strategie. Wesentlich angesagter bei Schülern ist hingegen Instagram. Deshalb wird auch hier immer wieder überlegt, ob eine Nutzung für eine Schule möglich ist. Mit der Datenschutz Grundverordnung haben sich die Rahmenbedingungen deutlich verändert, was die Pflichten für Verantwortliche hierbei angeht. Zwar wurde auch schon in den vergangenen Jahren immer wieder Kritik an Facebook laut, doch erst jetzt gibt es Gerichtsurteile, sogar auf europäischer Ebene, und Vorgaben der Datenschutzkonferenz. Diese Veränderungen können und sollten auch von Schulen berücksichtigt werden, wenn sie eine dieser Plattformen nutzen oder nutzen wollen. Im Beitrag Facebook und Instagram zur Außendarstellung wird die Problemstellung näher erläutert.