Kategorie: Fragen & Antworten

Veröffentlicht am

Microsoft Copilot in MS365 Edu – Datenschutzfragen

Lesezeit: 7 Minuten

Aufsichtsbehörden sehen Microsoft 365 weiterhin kritisch und gehen davon aus, dass eine datenschutzgerechte Nutzung den Abschluss einer Zusatzvereinbarung in Anlehnung an die von sieben Aufsichtsbehörden erarbeitete Handreichung erfordert. An vielen Schulen wird Microsoft 365 seit Jahren genutzt und Schulen halten daran fest, auch wenn es im Bildungsbereich bisher noch keine Zusatzvereinbarung gibt. Copilot ist mittlerweile ein Bestandteil von Microsoft 365 und steht dort in Abhängigkeit von der Lizenz des Tenants mit unterschiedlichem Funktionsumfang zur Verfügung. An vielen Schulen fragt man sich, ob es möglich ist Copilot im Unterricht einzusetzen, um so Extrakosten für Lizenzen bei Anbietern wie fobizz, SchulKI, Paddy, FellowFish und ähnlich zu vermeiden?

Der Beitrag erklärt die Unterschiede zwischen Copilot-Versionen, ordnet rechtliche Vorgaben ein und zeigt anhand von Beispielen aus Deutschland und Nachbarländern, wie Behörden und andere Player reagieren. Am Ende wird aufgezeigt, wie der aktuelle Stand im Bildungsbereich einzuschätzen ist und welche Leitplanken Schulen derzeit beim Einsatz von Copilot berücksichtigen sollten.

Grundsätzliches

Es gibt diverse Copilot Funktionen von Microsoft und es gelten unterschiedliche Datenschutzbedingungen.

Copilot innerhalb von Microsoft 365 und Consumer Version

Zu unterscheiden ist innerhalb von Microsoft 365

  • Copilot Chathttps://m365.cloud.microsoft/chat/ – verfügbar für Schüler und Lehrkräfte
  • Copilot als Bestandteil von Word, Excel, PowerPoint, Outlook, Teams, OneNote – verfügbar als kostenpflichtiges Add-on, jedoch nur für Lehrkräfte in den entsprechenden A3 und A5 Lizenzen

Außerhalb von Microsoft 365 gibt es noch Copilot über Browser und Apps

  • Copilot Apps – mobile Apps für iOS und Android: „Microsoft Copilot“.

Microsoft beschreibt die Unterschiede in der Benennung der Copilot-Versionen wie folgt:

“Seit Januar 2025 haben die Erfahrungen für die Copilot Arbeit und den persönlichen Gebrauch nicht mehr den gleichen Namen:

  • Microsoft 365 Copilot Chat (im Web verankert) und Microsoft 365 Copilot (basiert auf Web- und Arbeitsdaten) sind für Arbeit und Bildung vorgesehen.
  • Microsoft Copilot ist für den persönlichen Gebrauch”

Altersfreigaben/ – beschränkungen

Microsoft hat im Mai 2025 offiziell bekanntgegeben, dass Copilot Chat in Microsoft 365 Education für Schülerinnen und Schüler ab 13 Jahren verfügbar ist.

Die Consumer-Version von Copilot für den privaten, nicht-schulischen Gebrauch ist dagegen erst ab 18 Jahren nutzbar und in einigen EU-Ländern bereits früher. Da Deutschland keine eigene Regelung zur Einwilligungsfähigkeit nach Art. 8 DS-GVO getroffen hat, gilt hier ein Mindestalter von 16 Jahren für die wirksame Einwilligung. Unterhalb dieser Grenze ist die Nutzung nur mit Einwilligung der Sorgeberechtigten rechtmäßig. Der Einsatz der Consumer-Version im schulischen Kontext ist datenschutzrechtlich ausgeschlossen.“

Webzugriff in Copilot

Microsoft  sagt:

Wenn Sie die Richtlinie Websuche in Copilot zulassen nicht konfigurieren, ist die Websuche für Benutzer sowohl in Microsoft 365 Copilot als auch im Chat standardmäßig verfügbar, es sei denn, Sie legen die Richtlinie Verwendung zusätzlicher optionaler verbundener Umgebungen in Office zulassen auf Deaktiviert fest. Das Deaktivieren optionaler verbundener Erfahrungen schränkt jedoch Microsoft 365 Copilot Chat, Microsoft 365 Copilot und mehrere Benutzeroberflächen in Microsoft 365 ein.

Das bedeutet: sobald CoPilot über die Web-Schnittstelle mit Bing kommuniziert, verlässt der Datenfluss diesen geschützten Raum. Microsoft selbst weist in seiner Dokumentation darauf hin, dass für Web-Suchanfragen andere Bedingungen gelten können und diese z.B. nicht von der EU Data Boundary abgedeckt sind. Da unklar ist, welche Daten Microsoft in diesem Zusammenhang verarbeitet, werden die Zusagen für den Edu-Bereich damit vermutlich unterlaufen. Schulen sollten, wenn Copilot für Schülerinnen und Schüler zur Verfügung gestellt wird, den Webzugriff mandantenweit deaktivieren.

Wie ist die Verbindung von Microsoft Copilot zu OpenAI ChatGPT?

Microsoft besitzt große Anteile von OpenAI und hat dadurch Zugriff auf die LLM von OpenAI, aber die OpenAI-Modelle laufen innerhalb von Microsofts Azure-Infrastruktur. Das bedeutet, es handelt sich um eigene Instanzen des KI-Systems. Nutzerdaten bzw. -eingaben werden nicht für Trainingszwecke genutzt. Es gibt zwischen den von Microsoft betriebenen OpenAI-Modellen und den von OpenAI selbst betriebenen ChatGPT Modellen keine technische Verbindung und auch keinen Austausch von Daten.

  • Copilot läuft über Azure OpenAI Service, abgesichert durch Microsofts Verträge und EU-Data-Boundary.
  • ChatGPT ist der direkte OpenAI-Dienst, ohne die Microsoft-Schutzschicht – deshalb für Schulen/Behörden datenschutzrechtlich nicht nutzbar (ohne zwischengeschaltete API durch Anbieter wie fobizz, SchulKI, Paddy, FellowFish, …).

Zugriff auf Daten

Copilot Chat arbeitet nur mit den Prompts, die der Nutzer direkt eingibt (z. B. Fragen, hochgeladene Dateien).

Das Copilot Add-on kann innerhalb der Microsoft 365 auf alle Dokumente zugreifen, die ein Nutzer erstellt hat oder auf die er Zugriff hat/ die für ihn freigegeben sind. Copilot Chat hat keinen Zugriff auf OneDrive/SharePoint/Graph-Daten. Nur das Add-on nutzt die Microsoft Graph-Integration. Copilot sieht nur das, was auch der Nutzer sehen darf (Berechtigungen werden nicht umgangen). 

Datenschutz

Für Copilot außerhalb von Microsoft 365 gelten die Datenschutzstandards für Privatnutzer. Diese sind mit den datenschutzrechtlichen Vorgaben für Schulen nicht vereinbar. Das bedeutet, Versionen außerhalb von Microsoft 365 können im Unterricht auf gar keinen Fall mit Schülerinnen und Schülern genutzt werden. Die Nutzung ist vergleichbar einer direkten Nutzung von ChatGPT, Gemini, Claude und DeepSeek.

CoPilot Chat ist zwar vergleichbar einer direkten Nutzung von KI-Plattformen wie den zuvor genannten, doch es gibt wichtige Unterschiede.

  • Copilot Chat in Microsoft 365 Edu unterliegt den gleichen Datenschutzstandards, wie sie für die anderen in der Plattform enthaltenen Dienste (Word, Excel, PowerPoint, Teams, OneNote, …) gilt, da CoPilot Chat ein Core-Service ist, ein eigenständiger Dienst und damit nicht zu den problematischen optionalen verbundenen Erfahrungen zählt.
  • Als Core-Service gilt für Copilot Chat der Enterprise-Datenschutz und es fällt unter die EU Data Boundary. Letzteres ist wichtig, da Microsoft  so zusichert, dass sämtliche Daten ausschließlich innerhalb der EU verarbeitet werden.

Innerhalb des Nutzerkontos können Nutzer ihren Copilot Aktivitätsverlauf löschen.1Die Einstellung findet sich unter:  https://myaccount.microsoft.com/settingsandprivacy/privacy Die Löschung betrifft Microsoft Copilot Chat und auch die Aktionen von über Add-on verfügbaren Copilot Funktionen in Word, Excel, … Mit Copilot erstellte und bearbeitete Inhalte werden nicht gelöscht.

Was man noch wissen sollte

Berlin

In Berlin stellte zum Schuljahr 2024/25 allen Lehrkräften Copilot zur Verfügung:

Als eines der ersten Bundesländer bietet Berlin seinen Lehrkräften jetzt ein datenschutzkonformes KI-Tool an. 💻📱Mit Copilot, dem KI-Assistenten von Microsoft, wird alles digitaler, einfacher und kreativer. Die Anwendung nutzt ausschließlich öffentliche Webdaten und schützt dabei die Privatsphäre. Es unterstützt Pädagoginnen und Pädagogen im Unterrichtsalltag bei einer Vielzahl von Aufgaben:

➡️ schnell im Netz recherchieren

➡️ Unterrichtsmaterialien mit Bildern erstellen

➡️ Routineaufgaben, wie Terminplanung und Dokumentenerstellung, automatisieren

„Mit Copilot ermöglichen wir an unseren Schulen Unterricht auf der Höhe der Zeit. Um alle Pädagoginnen und Pädagogen auf diesem Weg mitzunehmen, haben wir zum neuen Schuljahr eine Fortbildungsreihe zum Umgang mit KI an unseren Schulen gestartet.2Quelle: https://www.linkedin.com/posts/senbjf_copilot-ki-k%C3%BCnstlicheintelligenz-activity-7254427341001560065-7324/?originalSubdomain=de

Von der Berliner Aufsichtsbehörde wurde das kritisch gesehen, da sie nicht vorab beteiligt worden war.

Die Berliner Senatsverwaltung hatte Copilot Chat in Edge zur Verfügung gestellt und gibt dazu an:

    • …. dass “durch die Einführung von Microsoft Copilot in Edge im  Unternehmensdatenschutz keine weiteren personenbezogenen Daten verarbeitet werden als diejenigen durch die Einführung der MEG [mobilen Endgeräte], …”
    • “Von den Nutzenden dürfen keine personenbezogenen Daten in Microsoft Copilot eingegeben werden.
    • Die Kl darf auch nicht für Bewertungen oder die Kontrolle von Prüfungen eingesetzt werden.”
    • “Datenschutzfilter: Es kommen Filter zum Einsatz, die verhindern, dass sensible persönliche Informationen verarbeitet werden. Zum Beispiel ist es nicht möglich, persönliche Informationen anzugeben oder abzufragen.”3Quelle: https://fragdenstaat.de/anfrage/einfuehrung-von-microsoft-copilot-in-schulen/956810/anhang/319764-name-antwort_geschwaerzt.pdf

Niedersachsen

In Niedersachsen hatte man in enger Abstimmung mit der Aufsichtsbehörde eine Zusatzvereinbarung mit Microsoft getroffen, welche es öffentlichen Stellen (gemeint ist hier Verwaltungen) erlaubt Microsoft Teams zu nutzen. In diesem Kontext testet die Landesverwaltung seit März 2025 in mehreren Ressorts Copilot.4Quelle: https://www.it.niedersachsen.de/startseite/it_news/aktuelles/ki-assistent-fur-die-verwaltung-it-niedersachsen-testet-microsoft-365-copilot-chat-240173.html

Schweiz Kanton Zürich

Der Kanton Zürich hat darauf reagiert, dass Lehrkräften nun Copilot als Basisdienst zur Verfügung steht und nicht mehr zentral deaktivierbar ist. Nach einer internen datenschutzrechtlichen Prüfung entschied, dass Copilot von den Lehrpersonen genutzt werden darf. Die Schule trägt dabei jedoch die Verantwortung für die korrekte Nutzung von Copilot durch die Lehrpersonen. Schulen werden Hinweise gegeben, welche Regeln bei der Nutzung zu beachten sind, auch mit Blick auf Datenschutz.5Quelle: https://help.mba.zh.ch/images/Projekt_GenKI/Merkblatt_zu_Microsoft_Copilot.pdf

Niederlande

Die Niederlande sind bekannt für ihre Vorreiterrolle in Sachen Datenschutz. Sie konnten in der Vergangenheit erfolgreich durch Datenschutz-Folgenabschätzungen Mängel in großen Plattformen wie Microsoft 365 und Google Workspace for Education nachweisen und dann jedoch durch Verhandlungen mit den großen Anbietern Veränderungen erwirken, welche in Folge eine datenschutzfreundliche Nutzung der Plattformen durch Behörden und Schulen ermöglichte. Die zentralen Akteure im niederländischen Bildungssektor, SURF und SIVON, raten derzeit dringend von der Nutzung von Microsoft 365 CoPilot ab. Wie in vergangenen Fällen hatte SURF6Quelle: https://www.surf.nl/nieuws/advies-gebruik-microsoft-365-copilot-vooralsnog-niet-vanwege-privacyrisicos hier Privacy Company im Januar 2024 mit einer Datenschutz-Folgenabschätzung (DSFA/ DPIA)7Quelle: https://www.surf.nl/files/2024-12/20241218-dpia-microsoft-365-copilot.pdf beauftragt und dann im Dezember 2024 nach Veröffentlichung der Untersuchungsergebnisse dazu geraten, Microsoft 365 Copilot wegen Datenschutzrisiken vorerst nicht zu verwenden. In Bezug auf Datenschutz kritisierte man u.a. fehlende Transparenz und auch das Risiko falscher Daten.

Man sollte beachten, dass sich seit der DSFA in den Niederlanden Anfang 2024 eine Menge getan hat, was Microsoft Copilot angeht. Microsoft hat an vielen Stellen nachgebessert, technisch wie auch in Bezug auf die Dokumentation und vertragliche Anpassungen.8Siehe hierzu die von Raphael Koellner dokumentierten Updates: https://www.rakoellner.de/?s=copilot Ob die in der DSFA festgestellten Mängel weiterhin Bestand haben oder von Microsoft erfolgreich beseitigt wurden, dazu gibt es von Seiten von SURF bisher keine Informationen.

Wo stehen wir aktuell

Es ergibt sich aus dem, was öffentlich dokumentiert ist, kein einheitliches Bild.

  • Festzuhalten ist, dass die derzeit offiziell bekannten schulischen Einsatzbereiche von Copilot auf Lehrkräfte beschränkt sind und nur für Tätigkeiten gestattet sind, die keine personenbezogenen Daten enthalten. Eine Nutzung durch Schulministerien/ Bildungsverwaltungen oder Aufsichtsbehörden sanktionierte Nutzung durch Schülerinnen und Schüler ist nicht bekannt.
  • Werden KI-Anwendungen durch Bundesländer über Landeslizenzen bereitgestellt, dann geht es bisher immer um über API vermittelte Angebote wie fobizz, SchulKI, Paddy, FellowFish und Ähnliche, jedoch nicht um direkt genutzte Plattformen (auch wenn das bei einer EU KI wie Mixtral durchaus denkbar wäre mit Blick auf Datenschutz).
  • Microsoft selbst lässt eine Nutzung von Copilot in Microsoft 365 Education ab 13 Jahren zu verweist jedoch auf die rechtlichen Vorgaben im jeweiligen EU Land.
  • Wenn Schulen Copilot für ihre Schülerinnen und Schüler freigeben, sollte der Webzugriff von Copilot zentral deaktiviert werden, um mit der Nutzung innerhalb der Datenschutzbestimmungen/ -zusagen für den Bildungsbereich zu bleiben.
  • Die Nutzung von Copilot in Microsoft 365 ist immer auch im Kontext der insgesamt von den Aufsichtsbehörden als problematisch eingeschätzten Nutzung von Microsoft 365 zu sehen. Es bewegt sich hier in verschiedenen Bundesländern etwas, indem Zusatzvereinbarungen mit Microsoft abgeschlossen werden, die sich an der Handreichung der sieben Aufsichtsbehörden orientieren. In Hessen ist man von Seiten der Aufsichtsbehörde bemüht, hier auch zu einer entsprechenden Regelung für den Bildungsbereich zu kommen.
  • Man kann davon ausgehen, dass bei Zustandekommen einer Zusatzvereinbarung mit Microsoft für den Bildungsbereich in einem Bundesland, andere Bundesländer folgen werden. Copilot wäre dann ziemlich sicher mit der genannten Einschränkung auch für Schüler verfügbar.
  • Schulen, die aktuell Microsoft 365 nutzen, können davon ausgehen, dass sich die datenschutzrechtliche Lage für sie nicht ändert, wenn sie im Unterricht Copilot mit zentral deaktiviertem Webzugriff für Copilot einsetzen und sich an die Altersfreigabe halten.
  • Bezüglich dessen, was im Unterricht möglich ist, kann man mit Copilot alles machen, was ein LLM ohne den Webzugriff kann. Inhaltlich ist Copilot dabei jedoch immer nur auf dem Stand der letzten Trainingsdaten des aktuell bereitgestellten Modells. Es gelten die gleichen Regeln wie bei jeder KI-Plattform bezüglich der Verwendung von personenbezogenen oder -beziehbaren Daten in Prompts. Diese sollten vermieden werden, um mögliche Risiken auszuschließen. Es empfiehlt sich eine KI Nutzungsordnung zu erstellen und durch die schulischen Mitbestimmungsgremien verabschieden zu lassen sowie mögliche Risiken, welche aus der Nutzung einer KI-Plattform entstehen können, im Rahmen der Medienbildung zu thematisieren.

 Stand August 2025

Veröffentlicht am

FAQ – Einsatz von digitalen Plattformen ab März 2022

Lesezeit: 7 Minuten

Mit dem 16. Schulrechtsänderungsgesetz von Februar 2022 haben sich bezüglich des Einsatzes von digitalen Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen zur Erfüllung des Bildungs- und Erziehungsauftrags an Schulen in NRW grundlegend verändert. Im Beitrag 16. Schulrechtsänderungsgesetz und Datenschutz werden diese Möglichkeiten ausführlich erläutert. Einige Fragen werden nach der Lektüre dieses Beitrags offen bleiben. In dieser FAQ sollen häufige Fragen deshalb beantwortet werden. Viele Fragen der praktischen Umsetzung werden sich vermutlich erst mit der Zeit klären. An einigen Stellen werden möglicherweise ergänzende Erlasse oder sogar Entscheidungen von Verwaltungsgerichten für Klärung sorgen müssen.

Ist bei jeder Einführung einer digitalen Plattform im Sinne von § 8 Satz 2 eine Beteiligung gemäß LPVG erforderlich?

Im LPVG NRW heißt es in § 72 Satz 3 Nr. 2 “(3) Der Personalrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, mitzubestimmen in Rationalisierungs-, Technologie- und Organisationsangelegenheiten bei
1. …
2. Einführung, Anwendung und Erweiterung technischer Einrichtungen, es sei denn, dass deren Eignung zur Überwachung des Verhaltens oder der Leistung der Beschäftigten ausgeschlossen ist,

Es hängt demnach von der jeweiligen Plattform ab, ob diese mitbestimmungspflichtig durch den Personalrat ist. Sind deren Funktionen nicht geeignet Verhalten oder Leistung von Lehrkräften zu überwachen, unterliegt die Plattform nicht der Mitbestimmung gem. LPVG. Die Logineo NRW Plattformen sind mitbestimmt, da sie viele solche Möglichkeiten bieten. Man wird davon ausgehen können, dass vor allem große Plattformen wie eine NextCloud oder IServ mitbestimmungspflichtig sind, vor allem wenn sie auch für Abbildung schulinterner Organisationsabläufe genutzt werden. Hingegen sollten Plattformen wie Antolin oder Anton, die unter Lehr und Lernsysteme gem. § 8 Satz 2 SchulG NRW fallen sollten, keine Möglichkeiten bieten, Aufschluss über das Nutzerverhalten von Lehrkräften zu gewinnen. Gleiches sollte auch für ein TaskCards gelten. Die Frage ist hier jedoch immer auch, wie weit man “Eignung zur Überwachung des Verhaltens oder der Leistung” fasst. Reicht es, wenn die Schulleitung die Anzahl der durch eine Lehrkraft erstellten Taskcards einsehen kann?

Man kann als Faustregel für die Abschätzung, ob eine Mitbestimmungspflicht vorliegt oder nicht, nehmen: je komplexer eine Plattform ist, desto wahrscheinlicher ist es, dass sie mitbestimmungspflichtig ist. Gleiches gilt auch, wenn sie für die Abbildung schulinterner Verwaltungs- und Organisationsprozesse durch Lehrkräfte genutzt wird. Einfachere Plattformen, in denen vor allem die Schülerinnen und Schüler im Mittelpunkt stehen, sollten tendenziell seltener der Mitbestimmungspflicht unterliegen.

Siehe auch Datenschutz & Mitbestimmung.

Können auch Microsoft 365 und Teams auf der neuen Rechtsgrundlage eingeführt werden?

Diese Frage dürfte viele Schulen bewegen.  Mit Stand von November 2022 wird die DS-GVO Konformität von Microsoft 365 von den Aufsichtsbehörden angezweifelt. Die kurze Antwort ist deshalb: solange eine Schule nicht in der Lage ist nachzuweisen, dass die Verarbeitung von personenbezogenen Daten bei der Nutzung von Microsoft 365 durch Schüler und Lehrkräfte DS-GVO konform möglich ist, ist auch eine Nutzung auf der Grundlage von § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW nicht möglich. Die Verarbeitung von personenbezogenen Daten setzt deshalb weiterhin eine Einwilligung der Betroffenen voraus.1Hinweis: Die Nutzung von Einwilligungen im Zusammenhang mit Unterricht wird von Aufsichtsbehörden äußerst kritisch gesehen. Die LDI NRW geht davon aus, dass die unterrichtliche Nutzung einer Plattform auf der Grundlage einer Einwilligung in der Regel nicht möglich ist. Das bedeutet, es kann durchaus Ausnahmen geben, doch überwiegend kann man davon ausgehen, dass eine Einwilligung als Rechtsgrundlage für die Nutzung ausscheidet.

Das Thema Microsoft 365 ist in Bewegung. Sogar die Kultusminister Konferenz engagiert sich jetzt mit Unterstützung einer Arbeitsgruppe der Datenschutzkonferenz. Bis Ende 2022 wird Microsoft alle Telemetriedaten ausschließlich in der EU Verarbeiten. Aber noch gibt es den CLOUD-Act, der kritisch gesehen wird, und Microsoft räumt sich in den Datenschutzbestimmungen das Recht ein, einige personenbezogene oder -beziehbare Daten für eigene Zwecke zu verarbeiten. Das wird von Aufsichtsbehörden als nicht DS-GVO konform eingestuft. Das heißt Abwarten – noch ist nichts verloren.

Die Aussagen zu Microsoft 365 lassen sich auch auf Google Workspace for Education übertragen. In den Niederlanden ist eine datenschutzkonforme Nutzung an Schulen mit Billigung der dortigen obersten Aufsichtsbehörde bereits möglich. Hier müssen Aufsichtsbehörden von Schulen erst noch davon überzeugt werden.

Was gilt für MNSPro Cloud?

MNSpro Cloud  von der Firma AIXConcept besteht aus zwei Teilen, MNSpro und Microsoft 365. Für beide werden getrennte Verträge zur Auftragsverarbeitung abgeschlossen. Während man das von AIXConcept erstellte und betriebene MNSpro auf der Rechtsgrundlage der neuen Regelungen einführen können sollte, gilt für die angedockten Microsoft 365 Tenant, was zuvor schon für Microsoft 365 gesagt wurde.

Was ist bei IServ zu beachten?

IServ ist ein deutscher Anbieter und die Plattform lässt sich DS-GVO konform nutzen, egal ob es sich um die klassische on premise Lösung mit Server im Schulkeller oder beim Schulträger handelt oder um die vom Anbieter gehostete “Cloud” Version. Die Plattform bringt damit alle Voraussetzungen für eine verpflichtende Nutzung mit. Zu regeln ist die Nutzung des Profils, denn hier können schulische Nutzer persönliche Informationen einstellen, die über für den Unterricht erforderliche Daten hinausgehen. Die einfachste Lösung für Schulen ist die komplette Deaktivierung des Profils. Möchte eine Schule die Nutzung des Profils zulassen, sollte eine Nutzungsvereinbarung erstellt werden, welche das Füllen des Profils davon abhängig macht, ob Nutzer zuvor eine Einwilligung in die Verarbeitung der dort eingetragenen Daten erteilt haben. Die im Download Bereich zur Verfügung gestellte Einwilligung mit Informationen zur Datenverarbeitung gem. Art. 13 DS-GVO für IServ kann eine verpflichtende Nutzung umgearbeitet werden.

Wie sieht es mit itslearning aus?

Die aus Norwegen kommenden Plattform, sollte bezüglich der eigentlichen Kernplattform im Sinne der neuen Regelungen des SchulG NRW nutzbar sein. In Bremen ist itslearning sogar mitbestimmt (siehe Dienstvereinbarung zu der Lernplattform „itslearning“). Ein Problem stellt jedoch das integrierte Microsoft Office dar. Dieses Office speichert zwar die erstellten Word, Excel und PowerPoint Dokumente auf den itslearning Servern, braucht jedoch zur Bearbeitung in der Plattform die Online-Office Dienste von Microsoft, und deren DS-GVO Konformität wird angezweifelt. In Baden Württemberg, erhalten Schulen itslearning über das Schulministerium, aus den genannten Gründen allerdings ohne Freischaltung der (Microsoft) Office Komponente, wie im 21. Tätigkeitsbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden Württemberg nachzulesen ist. Integriert man stattdessen ein im Auftrag betriebenes Collabora Office oder Only Office, sollte eine Nutzung von itslearning komplett nach den neuen Regelungen möglich sein.

Kann Moodle auf der neuen Rechtsgrundlage verpflichtend genutzt werden?

Anders als zur Zeit bei Logineo NRW LMS, dem Landes Moodle, steht einer Nutzung von Moodle außerhalb der Landeslösung nichts entgegen. Da Logineo NRW LMS mitbestimmt ist, sollte eine Mitbestimmung gem. LPVG NRW leicht zu erreichen sein. Das ist vor allem dann der Fall, wenn die Konfiguration sich an der der Landeslösung orientiert und keine zusätzlichen Plugins genutzt werden, welche ihrerseits durch ihre Funktionen mitbestimmungspflichtig sind.

Wie geht man mit den freiwillig eingebrachten Nutzerdaten um?

Hier gibt es nur eine sinnvolle Lösung. Per Nutzungsordnung muss die Nutzung für Inhalte, die in keinem Zusammenhang mit dem Unterricht bzw. bei Lehrkräften mit der Erfüllung der Aufgaben und der Durchführung von Unterricht stehen, untersagt werden. Diese Nutzungsordnung müssen Nutzer dann zur Kenntnis nehmen. Die Kenntnisnahme kann in verschiedener Form erfolgen. Bei Schülerinnen und Schülern wie auch Lehrkräften kann das eine Belehrung sein mit Hinweis, wo die Nutzungsordnung in schriftlicher Form nachzulesen ist. Es muss keine Online-Nutzungsordnung sein, die vor Freischaltung des Nutzerkontos per Setzen eines Häkchens zu quittieren ist.

Alternativ wäre vorstellbar, dass eine Plattform so eingestellt wird, dass Nutzer die Möglichkeit haben, in die Verarbeitung von personenbezogenen Daten, die über Unterricht bzw. bei Lehrkräften die Erfüllung der Aufgaben und die Durchführung von Unterricht hinausgehen, innerhalb der Plattform in den Nutzereinstellungen einzuwilligen. Zusätzliche Funktionen, etwa zum Anlegen eines Nutzerprofils erscheinen nach er Einwilligung. Der Widerruf der Einwilligung und das Löschen der dort hinterlegten Daten sollten dort dann ebenfalls möglich sein.

Ist auch eine verpflichtende Nutzung von personenbezogenen Daten in einer digitalen Plattform möglich, die vor März 2022 an der Schule eingeführt wurde?

Wie aus den Erläuterungen im  Gesetzesentwurf zum 16. Schulrechtsänderungsgesetz hervorgeht, lassen sich die neuen Regelungen auch auf bereits eingeführte Plattformen anwenden: “Dies schließt alle Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen im Sinne des § 8 Absatz 2 ein, die die Schule zur Erfüllung ihres Bildungs- und Erziehungsauftrags nutzt.” Auch die Formulierungen in § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW nehmen hier keine Eingrenzung auf Plattformen vor, die ausdrücklich auf der Grundlage § 8 Abs. 2 SchulG NRW einführt wurden. Bereits an Schulen genutzte Plattformen können, sofern sie die Vorgaben des SchulG NRW und der DS-GVO erfüllen, ebenfalls auf der Grundlage von § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW in Verbindung mit § 8 Abs. 2 genutzt werden.

Auch eine verpflichtende Nutzung ist möglich. Diese setzt einen Beschluss der Schulkonferenz gemäß § 65 Abs. 2 Nr. 6 voraus. Im Gesetzesentwurf weist das MSB darauf hin, dass die der Schulkonferenz dort eingeräumte Entscheidungsbefugnis nicht für bereits vor Inkrafttreten des 16. Schulrechtsänderungsgesetzes existierende und genutzte Systeme und Plattformen gilt. Das bedeutet, Schulen können nicht nachträglich über bereits genutzte Plattformen und Systeme entscheiden, sondern müssen einen Umweg gehen. Dafür bitten sie den Schulträger, der Schulkonferenz gegenüber zu erklären, dass er der Schule die jeweilige Plattform bzw. das jeweilige System bereitstellen möchte und zur Nutzung vorschlägt. Daraufhin entscheidet die Schulkonferenz über diesen Vorschlag zur Nutzung.

Eine Grundschule, die bereits LeseLudi, Antolin, ZahlenZorro oder ähnlich im Sinne des § 8 Absatz 2 nutzt, könnte die Nutzung dann umstellen und auf das Einholen einer Einwilligung zukünftig verzichten. Informationen gem. Art. 13 DS-GVO über die Datenverarbeitung bei der Nutzung sind jedoch weiterhin erforderlich.

Was, wenn für eine Plattform bereits Einwilligungen eingeholt/ erteilt wurden?

Verfügt eine Schule über eine Plattform, die sie bereits vor dem 16. Schulrechtsänderungsgesetz zur Erfüllung des Bildungs- und Erziehungsauftrags einsetzte, so dürften für die Verarbeitung von personenbezogenen Daten Einwilligungen von Schülern und Lehrkräften vorliegen. Die Schule kann Einwilligungen nicht von ihrer Seite aus aufheben. Sie haben also weiterhin Gültigkeit. Widerrufen Betroffene ihre Einwilligung, müssen der Zugang und die mit der Nutzung angefallenen personenbezogenen Daten der betroffenen Person gelöscht werden, da diese auf der Rechtsgrundlage Einwilligung verarbeitet wurden. Es könnte im Anschluss jedoch direkt ein neues Nutzerkonto erstellt werden, wenn die Schule die Plattform jetzt auf der Grundlage der neuen Regelungen nutzt. Die betroffene Person wäre dann sogar zu dessen Nutzung verpflichtet, wenn die dafür erforderlichen Voraussetzungen wie die Ausstattung mit einem Endgerät stimmen.

Können Schüler und Lehrkräfte zur Nutzung der Online Tools von kits.blog verpflichtet werden?

Leider ist das nicht möglich. Auch wenn die Tools des Niedersächsischen Landesinstituts für schulische Qualitätsentwicklung (NLQ) sehr datenschutzfreundlich sind, erfüllen sie die Vorgaben des SchulG NRW nicht, da mit dem NLQ kein Vertrag zur Auftragsverarbeitung abgeschlossen werden kann. Gleiches gilt auch für vergleichbare Plattformen, etwa von ZUM oder von eBildungslabor und ähnlich.

Wir haben keine 1:1 Ausstattung. Ist eine verpflichtende Nutzung damit unmöglich?

Nein, sie kann durchaus möglich sein. Es muss nur jedem Nutzer ein schulisches Endgerät zur Verfügung stehen. Das können auch die Tablets aus dem Tablet Koffer sein, den die Lerngruppe sich für ein Unterrichtsprojekt ausleiht. Viele Schulen haben noch PC Räume. Auch dort ist eine verpflichtende Nutzung durchaus umsetzbar. Weder in den neuen Regelungen des SchulG NRW, noch in den Erläuterungen zum Gesetzesentwurf gibt es Hinweise, dass die verpflichtende Nutzung ein persönliches digitales Endgerät voraussetzt.

Sollte es von Seiten der Leser Fragen geben, so schreiben Sie diese gerne in die Kommentare.

Veröffentlicht am

Braucht es für externe Mitarbeiter eine andere Einwilligung?

Lesezeit: 2 Minuten

Eine Schule möchte ein Jahrbuch herausgeben und darin auch Fotos der Sekretärinnen, der Hausmeister und von Mitarbeitern eines kommunalen IT Dienstleisters, der die Schul IT betreut, veröffentlichen. Die folgende Frage kam dabei auf:

“Die zuständige Kollegin des Jahrbuch-Teams fragte daher nun nach einer Datenschutzerklärung speziell für die Mitarbeiter des Schulträgers. Gibt es hier eine Datenschutzerklärung vom Kreis, die wir zu diesem Zweck verwenden können?”

Das Jahrbuch wird von der Schule erstellt. Sie ist also die datenverarbeitende Stelle und damit Verantwortlicher. Eine Einwilligung in die Verarbeitung von personenbezogenen Daten wird immer gegenüber dem Verantwortlichen abgegeben. Von daher nutzen alle Personen, welche in das Jahrbuch aufgenommen werden eine Einwilligung der Schule. Der Schulträger, welcher Dienstherr der Mitarbeiter im Schulsekretariat ist, hat aus datenschutzrechtlicher Sicht mit dieser geplanten Verarbeitung nichts zu tun. Die Informationen bezüglich der geplanten Datenverarbeitung können deshalb auch nicht von ihm kommen, sondern müssen von der Schule vorgelegt werden.

Für ein Jahrbuch werden Fotos der Personen in der Schule benötigt. Wenn beispielsweise von den Schülern bereits Fotos vorliegen, etwa für die Nutzung in der Schulverwaltung, kann man diese Fotos durchaus nutzen, sollte dafür jedoch eine Einwilligung, die für den Zweck der Veröffentlichung in einem Jahrbuch ausgelegt ist, einholen. Falls bereits eine Einwilligung für einen sehr ähnlichen Verarbeitungszweck vorliegt, etwa die Erstellung einer Festschrift, dann braucht es keine gesonderte Einwilligung mehr. Allerdings müssen die Betroffenen über eine Zweckänderung informiert werden.1siehe auch Art. 13 Abs. 3 DS-GVOBeabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.”
Sehr weit ausgelegt, bräuchte man hiernach nicht einmal eine ausdrückliche Einwilligung einholen, auch wenn der Verarbeitungszweck deutlich vom ursprünglichen abweicht, wie am Anfang des Abschnitts beschrieben. Hier muss die Schule letztlich selbst entscheiden, wie man verfährt. Eine Information ist auf jeden Fall erforderlich, und diese sollte vorweg erfolgen. Dieses würde ihnen dann auch die Möglichkeit eröffnen, der geplanten Zweckänderung zu widersprechen.

In der Regel werden die für die Erstellung des Jahrbuchs benötigten personenbezogene Daten gelöscht, sobald der Verarbeitungszweck erreicht, der Druck des Buches abgeschlossen ist. Davon ausgenommen sind Daten, welche der Schule bereits vorlagen, etwa Name und Klassenzugehörigkeit. Diese Daten werden aus dem Programm gelöscht, mit welchem das Jahrbuch erstellt wurde, nicht jedoch aus der Schulverwaltung. Dort gelten weiterhin die schulrechtlichen Aufbewahrungs- und Löschfristen. Gleiches würde auch für Fotografien gelten, welche die Schule bereits auf der Grundlage einer anderen Einwilligung verarbeitet.

Ein Beispiel für eine anlassbezogene Einwilligung für die Erstellung eines Jahrbuchs:

Veröffentlicht am

Datenübermittlung an den Schulträger zur Feststellung des Bedürfnisses?

Lesezeit: 2 Minuten

Ein Schulträger bittet eine Grundschule um die Übermittlung einer Liste mit den Namen der Schüler, den von der Schule ausgesprochenen Empfehlungen (für eine weiterführende Schule) und der tatsächlichen Schulwahl.

Darf bzw. muss die Schule dem Schulträger diese personenbezogenen Daten übermitteln?

Grundsätzlich gilt nach §120 Abs. 5 Satz 1 – SchulG NRW

„(5) Die in Absatz 1 Satz 1 genannten Daten dürfen einer Schule, der Schulaufsichtsbehörde, dem Schulträger, der unteren Gesundheitsbehörde, dem Jugendamt, dem Landesjugendamt, den Ämtern für Ausbildungsförderung, dem Landesamt für Ausbildungsförderung sowie den Ausbildungsbetrieben der Schülerinnen und Schüler an Berufskollegs nur übermittelt werden, soweit sie von diesen Stellen zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben benötigt werden.“

Da der Schulträger für äußere Schulangelegenheiten zuständig ist, ist bei der gestellten Anfrage zweifelhaft, auf welcher Rechtsgrundlage diese erfolgen soll.1„Außerhalb des Auftragsverhältnisses fragt sich, zur Wahrnehmung welcher konkreten Aufgaben des Schulträgers es ggf. überhaupt einer personenbezogenen Übermittlung durch Schulen und Schulaufsichtsbehörden bedarf. Dem Schulträger obliegt nach Maßgabe der §§ 78 ff. SchulG die Wahrnehmung der äußeren Schulangelegenheiten.“ – Wingen SchulG NRW-Kommentar, März 2015, Katernberg, zu §120 Abs. 5 Satz 1

Es ist zu vermuten, dass die Anfrage des Schulträger im Zusammenhang mit der Feststellung des Bedürfnisses nach §78 Abs. 5 – SchulG NRW erfolgt ist.

“(5) Die Entwicklung des Schüleraufkommens und der Wille der Eltern sind bei der Feststellung des Bedürfnisses zu berücksichtigen.”

Entsprechend Abs. 2.1 Abschnitt c Satz 4 des Runderlasses  zur Einrichtung und Auflösung von weiterführenden allgemeinbildenden Schulen und Berufskollegs kann der Schulträger zur Feststellung des Bedürfnisses eine Befragung vornehmen.

“Ein geheimes Verfahren im strengen Sinne ist nicht zwingend erforderlich; es muss aber gewährleistet sein, dass Namen und Votum der einzelnen Erziehungsberechtigten vertraulich behandelt und dienstlich geheim gehalten werden.“

Der Schulträger darf also im Rahmen seiner Aufgabenerfüllung nach §78 SchulG NRW Namen der Eltern und Votum als Ausdruck des Elternwillens in Erfahrung bringen. Allerdings setzt diese eine durch den Schulträger selbst durchgeführte Erhebung bzw. Befragung voraus und es geht um die Erziehungsberechtigten, nicht die Kinder. Es gibt in §78 keine Stelle, aus welcher sich ableiten lässt, dass der Schulträger einen rechtlichen Anspruch auf die tatsächliche Schulwahl einzelner Kinder und die von der Schule abgegebene Empfehlung hat.

Der Schulträger benötigt die von ihm angefragten personenbezogenen Daten eindeutig nicht, um seiner Aufgabenerfüllung nach §78 SchulG NRW nachzukommen. Hier würde auch eine anonymisierte Statistik der Schule ausreichen. Alleine dass die vom Schulträger angefragten personenbezogenen Daten der Schüler diesem dienlich oder nützlich sind, reicht als Rechtsgrundlage nicht für eine Übermittlung durch die Schule aus.2„… ist der Datentransfer zur Aufgabenerfüllung der Empfängerin oder des Empfängers nicht erforderlich, sondern lediglich dienlich oder nützlich, dürfen die Daten nur auf der Grundlage wirksamer Einwilligungen der Betroffenen (vgl. unter Erl. 2.2 und 2.3 zu § 120 SchulG) transferiert werden.” – Wingen SchulG NRW-Kommentar, März 2015, Katernberg, zu §120 Abs. 5 Satz 1

Wäre die Schule Willens, die angefragten Daten an den Schulträger zu übermitteln, so wäre dieses in diesem Falle nur auf der Grundlage einer Einwilligung der Betroffenen möglich.

Bleibt der Schulträger trotz allem der Meinung, dass die Schule ihm gegenüber verpflichtet ist, die gewünschten personenbezogenen Daten zu übermitteln, so muss er in der Lage sein, eine rechtliche Begründung zu liefern.3„Wenn der Schulträger die Übermittlung von personenbezogenen Daten der Schülerinnen, Schüler und /oder Eltern von der Schule beansprucht, ist es im Übrigen grundsätzlich an ihm, der Schule gegenüber darzulegen und zu begründen, warum er im konkreten Fall bestimmte Daten mit Personenbezug zu seiner Aufgabenerfüllung benötigt.“ – Wingen SchulG NRW-Kommentar, März 2015, Katernberg, zu §120 Abs. 5 Satz 1

Dass der Schulträger dazu in der Lage sein wird, ist aufgrund der Rechtslage nicht vorstellbar.

Die Antwort kurz gefasst:

Der Schulträger hat keinen aus dem Schulgesetz NRW ableitbaren rechtlichen Anspruch auf die Übermittlung der von ihm angefragten personenbezogenen Daten von Schülerinnen und Schülern der Schule.

Veröffentlicht am

Brauchen Schulen Datenschutzerklärungen zu den Verarbeitungsprozessen in der Schule?

Lesezeit: 6 Minuten

Frage

Vor einiger Zeit kam die Frage auf, ob Schulen neben der Datenschutzerklärung der Homepage zusätzlich auch eine Datenschutzerklärung bezüglich der Verarbeitung von personenbezogenen Daten in der Schule benötigen, die dann ebenfalls auf der Schulhomepage veröffentlich wird.

Rechtliche Grundlagen

Art. 12 DS-GVO Abs. 1 fordert ein, dass Betroffene informiert werden und diese Informationen leicht zugänglich sind.

“Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; […] Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch.”

Entsprechend gibt der zugehörige Erwägungsgrund 58 folgende Erläuterung:

“Der Grundsatz der Transparenz setzt voraus, dass eine für die Öffentlichkeit oder die betroffene Person bestimmte Information präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst ist und gegebenenfalls zusätzlich visuelle Elemente verwendet werden. Diese Information könnte in elektronischer Form bereitgestellt werden, beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist.”

Das Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen (IFG NRW) führt aus:

§ 12
Veröffentlichungspflichten
Geschäftsverteilungspläne, Organigramme und Aktenpläne sind nach Maßgabe dieses Gesetzes allgemein zugänglich zu machen. Die öffentlichen Stellen sollen Verzeichnisse führen, aus denen sich die vorhandenen Informationssammlungen und -zwecke erkennen lassen. Soweit möglich hat die Veröffentlichung in elektronischer Form zu erfolgen. § 4 Abs. 2 Satz 1 dieses Gesetzes bleibt unberührt.

Wie sind diese Vorgaben zu verstehen?

Von rechtlicher Seite gibt es Vorgaben, sowohl von der DS-GVO wie auch vom IFG. Beide lassen jedoch Spielraum für die Umsetzung. Zu beachten ist dabei ein Unterschied zwischen DS-GVO und IFG. Während es bei der DS-GVO ausschließlich um die Rechte der Betroffenen geht, betrifft das IFG die Öffentlichkeit und deren Recht auf Informationen.

Schulen unterliegen entsprechend der DS-GVO dem Gebot der Transparenz wie jede andere datenverarbeitende öffentliche Stellen. Nach Art. 13 sind Betroffene zum Zeitpunkt der Erhebung von personenbezogenen Daten bezüglich der beabsichtigten Verarbeitung und ihrer Rechte zu informieren. Werden die personenbezogenen Daten nicht beim Betroffenen selbst erhoben, sind diese nach Art. 14 entsprechend nachträglich zu informieren.

Das IFG fordert von öffentlichen Stellen, Informationen zu verarbeiteten Daten und den Verarbeitungszwecken möglichst in elektronischer Form zu veröffentlichen. Es geht hier um eine Veröffentlichungspflicht. Die Veröffentlichung auf einer Internetseite wäre eine elektronische Form. Zum Vergleich: auf Bundesebene gibt es für Behörden gemäß dem IFG des Bundes eine Veröffentlichungspflicht im Internet.1 Der Bund gibt unter Anwendungshinweise zum Informationsfreiheitsgesetz zur Veröffentlichung folgende Informationen:
Welche Veröffentlichungspflichten bestehen im Internet?
Die Behörden des Bundes sollen geeignete Informationen möglichst umfassend im Rahmen aktiver Informationspolitik nach und nach in das Internet einstellen (§ 11 Abs. 3). Das IFG geht jedoch nicht über die bestehenden Verpflichtungen aus dem Kabinettbeschluss zur langfristigen Sicherung der im Rahmen der eGovernment-Initiative BundOnline 2005 getätigten Investitionen vom 9. März 2005 hinaus.
Insbesondere Organisations- und Aktenpläne ohne Angabe personenbezogener Daten sollen beim Internetauftritt jeder Behörde berücksichtigt werden. Solche Organisations- und Aktenpläne sollen es dem Bürger erleichtern, sich einen Überblick der vorhandenen Informationen zu verschaffen. Wie detailliert solche Pläne eingestellt werden, entscheidet jede Behörde selbst.

Zwischen den Vorgaben der DS-GVO und des IFG gibt es Unterschiede im Umfang der Informationen. Während sich das IFG auf eine Information über vorhandene Informationssammlungen und -zwecke beschränkt, geht es bei der DS-GVO um sehr viel genauere Informationen (z.B. Betroffene, Rechtsgrundlage, Zwecke der Verarbeitung, Kategorien von Daten und Empfängern, Dauer der Speicherung, Rechte der Betroffenen).

In Art. 12 ist vorgegeben, dass der Verantwortliche, hier die Schulleitung, “geeignete Maßnahmen” trifft, die Betroffenen zu informieren, und dass die Informationen in “leicht zugänglicher Form” bzw. “leicht zugänglich” zu übermitteln sind. Für die Form gibt es keine exakt definierten Vorgaben. Die Bereitstellung in elektronischer Form auf einer Website wird im Erwägungsgrund als eine Möglichkeit angegeben. Das IFG  wird etwas deutlicher und fordert die elektronische Form, sofern möglich.

Entsprechend dem IFG würde es praktisch ausreichen, auf die VO-DV I und II zu verlinken, da das IFG selbst keinerlei Vorgaben macht, wie einfach oder verständlich diese Angaben sein müssen. Auch der Begriff Verzeichnis ist nicht exakt definiert. Eine Formulierung auf der Schulhomepage könnte so lauten, wie die obere Tabellenzelle. Wenn man etwas ausführlicher sein möchte, fügt man die Inhalte der restlichen Zellen an.

Information über Informationssammlungen und -zwecke gemäß §12 Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen  (IFG NRW)

Die Schule verarbeitet die personenbezogenen Daten von Schülern, Erziehungsberechtigten und Lehrkräften in dem Umfang und für die Zwecke, wie sie durch das SchulG NRW, VO-DV I (Schüler, Erziehungsberechtigte) und VO-DV II (Lehrkräfte) vorgegeben sind.
Informationssammlung Schüler/ Erziehungsberechtigte
Schülerstammblatt

  1. die Personaldaten der in § 1 Abs. 1 Nr. 1 – 3 genannten Personen (Individualdaten) gemäß Abschnitt A Nr. I der Anlage 1,
  2. die Information zur schulischen Laufbahn der Schülerin oder des Schülers (Organisations- bzw. Schullaufbahndaten) gemäß Abschnitt A Nr. II der Anlage 1,
  3. die Angaben über den individuellen Leistungsstand der Schülerin oder des Schülers (Leistungsdaten) gemäß Abschnitt B der Anlage 1,
  4. die für die einzelnen Schulformen oder Schulstufen benötigten zusätzlichen Informationen (schulform- oder schulstufenspezifische Zusatzdaten) gemäß Abschnitt C der Anlage 1.

sonstiger Datenbestand
Zwecke
  • Schülerverwaltung
  • Leistungsdatenverwaltung
  • Zeugniserstellung
  • Unterrichtsplanung
  • Schulstatistik
  • Diagnostik/ Erstellung von Förderempfehlungen/ individuellen Förderplänen
  • Schulpflichtüberwachung
  • Kontaktaufnahme mit den Erziehungsberechtigten
  • Evaluation und Qualitätsentwicklung
  • Öffentlichkeitsarbeit
  • Erstellung von Fördergutachten (AO-SF Verfahren)
  • Schülerspezialverkehr (an Förderschulen)
  • Praktikumsverwaltung
  • Erziehungs- und Ordnungsmaßnahmen
  • Dokumentation im Klassenbuch
  • Dokumentation von Konferenzen
Informationssammlung Lehrkräfte
 Datenbestand in der Schule

  • Person
  • Werdegang
  • Vorbereitungsdienst,   Staatsprüfung
  • Qualifikationen
  • Laufbahn
  • Beschäftigung
  • Unterricht
  • Geschäftsablauf

Akten der Schulleitung

  • Persönliche Angaben
  • Ausbildung, sonstige Tätigkeiten, besondere Fähigkeiten
  • Tätigkeiten an der Schule
  • Weitere Angaben
Zwecke
  1. Planung und Ermittlung des Unterrichtsbedarfs, Durchführung des Unterrichts
  1. Planung und Einrichtung von Bildungsgängen, Klassen und Gruppen; Ermittlung und Deckung besonderer Bedarfe und Förderungsbedarfe; Unterrichtsorganisation; Unterrichtsverteilung
  2. Aufstellen von Aufsichts-, Prüfungs-, Stunden- und Vertretungsplänen, Sprechstundenlisten sowie Übersichten der an der Schule Beschäftigten
  1. Erledigung der laufenden schulischen Angelegenheiten
  1. Berichte in arbeits-, dienst- und personalrechtlichen Angelegenheiten und Angelegenheiten der Lehrerversorgung
  2. Berichte zur Vorbereitung von Dienstleistungszeugnissen, Beratung zur dienstlichen Beurteilung, Berichte in disziplinarrechtlichen Angelegenheiten
  3. Beantwortung von Anfragen und Erhebungen der Schulaufsichtsbehörden sowie anderer Behörden aus dem Geschäftsbereich des für die Schule zuständigen Ministeriums
  4. Durchführung von Maßnahmen der Qualitätsentwicklung und Qualitätssicherung gemäß § 3 Abs. 4 SchulG
  1. Statistische Daten
  2. Lehrerausbildung (Ausbildungslehrerinnen und -lehrer, Lehramtsanwärterinnen und Lehramtsanwärter und Lehrkräfte in Ausbildung)
  3. Lehrerfortbildung
  4. Erfüllung der Schulleitungsaufgaben

Entsprechend der DS-GVO müssen Betroffene (Schüler und Erziehungsberechtigte sowie Lehrkräfte) bei der Erhebung von Daten oder, sofern die Daten nicht bei ihnen direkt erhoben wurden, nachträglich informiert werden. Die unmittelbare Information kann mittels eines entsprechenden Informationsschreibens2“Informationen Schule (NRW) – datenschutz-schule.info.” https://datenschutz-schule.info/service-downloads/informationen-schule-nrw/. gegeben werden, welches den Betroffenen ausgehändigt wird, so dass sie jederzeit über die von der Schule verarbeiteten Daten und ihre Rechte im Bilde sind. Erforderlich ist diese Art von Information bei Schülern und ihren Erziehungsberechtigten erstmals bei der Anmeldung an der Schule, bei Lehrkräften, wenn sie den Dienst an einer neuen Schule aufnehmen, welche dazu personenbezogene Daten von ihnen selbst oder einer anderen Stelle (Stammschule/ abgebende Schule/ Schulamt/ Bezirksregierung) erhält.

Die DS-GVO unterscheidet beim Transparenzgebot im Erwägungsgrund 58 zwischen betroffener Person und Öffentlichkeit. Nur wenn es um Informationen zur Herstellung von Transparenz geht, welche für die Öffentlichkeit bestimmt sind, wird die Veröffentlichung auf einer Website als Möglichkeit vorgeschlagen. Für die Information der Betroffenen selbst wird dieses nicht vorgeschlagen. Da die Formulierung von Art. 12 Abs. 1 Satz 1 sehr offen ist, bleibt dem Verantwortlichen Gestaltungsspielraum.

“Insgesamt belässt Abs. 1 S. 1 dem Verantwortlichen bei der Wahl der Darstellungsweise einen beträchtlichen Gestaltungsspielraum.”3Bäcker in Kühling/Buchner Art. 12 Abs. 1 Rn. 12

Es lässt sich aus keiner Stelle in der DS-GVO eine eindeutige Vorgabe ableiten, dass zur Herstellung von Transparenz eine Veröffentlichung von Informationen entsprechend Art. 13 und 14 auf der Schulhomepage erforderlich ist. Genausowenig ist ersichtlich, dass eine Schule die Öffentlichkeit informieren muss.

Abgesehen davon spricht jedoch auch nichts dagegen, die Informationen zur Verarbeitung von personenbezogenen Daten von Betroffenen zusätzlich leicht auffindbar auf der Schulhomepage zu hinterlegen als Informationen über die Datenverarbeitung an der Schule nach DS-GVO Art. 12. Dort könnte man dann die Informationen aus den Informationsschreiben direkt in die Webseite einstellen und eventuell auch noch die Schreiben als PDFs zum Download anzubieten.

Wie das MSB das Thema sieht

Das Ministerium für Schule und Bildung (MSB) hat sich auf den Seiten der Medienberatung zum Thema Informationspflicht nach Art. 13 DS-GVO geäußert4“Homepage der Schulen – Bildungsportal NRW.” https://www.schulministerium.nrw.de/docs/Recht/Datenschutz/Umsetzung-EU-Datenschutzgrundverordnung/Regelungsbereiche/Homepage-der-Schulen/index.html.. Das MSB schlägt vor, der Informationspflicht über die Schulhomepage nachzukommen, um den Verwaltungsaufwand für die Schule in Grenzen zu halten. Es sollte dann ausreichend sein, “mittels Link auf die ausführlichen Vorgaben der VO DV I und II” zu verweisen. Da die DS-GVO Information aber auch eine Information zum Zeitpunkt der Datenerhebung verlangt, sollen Schulen den Erziehungsberechtigten bzw. volljährigen Schülern bei Anmeldung an der Schule einen “einen Papierausdruck der VO DV I” aushändigen.

Auch wenn dieser Vorschlag gut gemeint ist, so widerspricht er einem der wichtigen Grundsätze der DS-GVO, wie dem Zitat zu Beginn des Textes zu entnehmen. Der Erwägungsgrund wird noch deutlicher. Die Information soll in “präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst” sein. Dem entspricht die VO-DV I wohl kaum.

Aus den Ausführungen des MSB lässt sich, was für die Fragestellung hier noch bedeutsamer ist, keinerlei Verpflichtung zur Veröffentlichung dieser Informationen auf der Schulhomepage ableiten.

Fazit

  • Schulen müssen entsprechend der Vorgaben der DS-GVO Besucher ihrer Schulhomepage (Betroffene) über die Verarbeitung von personenbezogenen Daten auf der Website selbst in Form einer Datenschutzerklärung informieren.
  • Schulen sollen als öffentliche Stellen gemäß der Vorgaben des IFG NRW in elektronischer Form Verzeichnisse führen, welche die Öffentlichkeit über Informationssammlungen und -zwecke informiert. Das erfolgt am zweckmäßigsten vermutlich über die Schulhomepage.5Mir ist bisher keine Schule bekannt, welche derartige Informationen nach dem IFG auf ihrer Schulhomepage eingestellt hat. Auch, dass es wegen des Fehlens solcher Informationen Probleme gegeben hat, ist mir nicht bekannt.
  • Schulen können ergänzend zu einer direkten Information der Betroffenen vor oder nach der Datenerhebung zusätzlich über die Verarbeitung personenbezogener Daten entsprechend Art. 13 und 14 auf ihrer Homepage informieren, wenn die Schulleitung darin eine geeignete Maßnahme sieht, der Informationspflicht nachzukommen.

Zu den Informationen, die nach dem IFG NRW auf einer Schulhomepage veröffentlicht werden sollen, gehören neben Informationen über die Schulleitung auch solche über die Lehrkräfte, deren Funktion in der Schule und Angaben zur dienstlichen Erreichbarkeit. Siehe dazu den Beitrag: Welche personenbezogenen Daten von Lehrkräften dürfen OHNE Einwilligung auf die Schulhomepage?

Veröffentlicht am

Vorabkontrolle der Genehmigungen für Lehrer in NRW durch schulische DSB entfällt

Lesezeit: 2 Minuten

Als das Ministerium für Schule und Bildung Anfang des Jahres den neuen Genehmigungsvordruck zu Nutzung privater Endgeräte zur Verarbeitung personenbezogener Daten aus der Schule per Erlass einführte, war dort noch eine Vorabkontrolle durch die behördlich bestellten schulischen Datenschutzbeauftragten (DSB) verbindlich vorgesehen. Diese sollten jeden Genehmigungsantrag von Lehrkräften prüfen, bevor die Schulleitung dann die Genehmigung erteilte. Mit Beginn der Umsetzung der Datenschutz Grundverordnung (DS-GVO), nur wenige Monate nach Einführung der Genehmigung ist die Vorgabe zur Kontrolle durch die schulischen nicht länger erforderlich. Dieses hängt mit einer Veränderung der Aufgabenbeschreibung von Datenschutzbeauftragten zusammen, die sich mit der DS-GVO gegenüber dem alten Bundesdatenschutz Gesetz ergeben hat.

In einem Schreiben des MSB, Ref. 212 von Mai 2018 heißt es entsprechend,

“Die bisherige Pflicht gem. §§ 8, 10 DSG, ein Verfahrensverzeichnis zur Führung und Einsichtnahme bei den behördlichen Datenschutz- beauftragten zu erstellen und ihnen das Verzeichnis zur Vorabkontrolle vorzulegen, entfällt.
[…] Zwar sind die Datenschutzbeauftragten zur Vorabkontrolle des Verzeichnisses nicht mehr konkret gesetzlich verpflichtet. Gleichwohl wird den Schulleitungen dringend empfohlen, sie weiterhin um Prüfung neuer Dokumentationen zu bitten. Dies unterfällt dem Beratungsrecht der Schulleitungen bzw. der korrespondierenden Pflicht der Datenschutzbeauftragten.

Entsprechendes gilt für die Genehmigung zur Nutzung von privaten ADV-Geräten der Lehrkräfte:

Der Genehmigungsvordruck, der mit der Dienstanweisung (BASS 10-41 Nr. 4) zur Verfügung gestellt worden ist, sieht die Dokumentation der Vorabkontrolle nach bislang geltender Rechtslage vor. Hierzu wird ebenfalls empfohlen, die Datenschutzbeauftragten weiterhin im Wege der Beratung einzubeziehen und dies vom Verantwortlichen (Schulleitung oder ZfsL-Leitung) entsprechend dort im Vordruck zu vermerken.

Die bzw. der Datenschutzbeauftragte ist nicht mehr zur schriftlichen Prüfungsbestätigung verpflichtet.”

Auch eine Vorabkontrolle der Verfahrensverzeichnisse  jetzt Verzeichnisse von Verarbeitungstätigkeiten ist nicht länger verbindlich vorgeschrieben, wird jedoch empfohlen, wie den Ausführungen des MSB zu entnehmen ist.

Schulleitungen entscheiden also selbst, ob sie ihren zuständigen DSB beratend hinzuziehen möchten, bevor sie ihren Lehrkräften eine Genehmigung erteilen. Eine Verpflichtung dazu besteht nicht.

Veröffentlicht am

Einwilligung und Zweckänderung

Lesezeit: 2 Minuten

Frage: ich fotografiere einen Schüler (anlassbezogen gibt es eine Genehmigung1Aus Sicht des Datenschutz wird immer von EINWILLIGUNG gesprochen!). Darf ich das Foto online an CEWE Fotodienst schicken zum Ausdrucken?

In der Einwilligung ist, so lässt die Frage vermuten, nicht aufgeführt, dass das Foto der betroffenen Person über einen externen Dienstleister ausgedruckt und diesem dazu das Foto übermittelt werden soll. Daher rührt wohl die Unsicherheit, ob das Foto auf der Grundlage der bestehenden Einwilligung übermittelt werden darf.

Die Antwort ist recht einfach.

Eine wirksame Einwilligung setzt voraus, dass sie bestimmt ist. Wenn eine Einwilligung sich nicht auf bestimmte Datenverarbeitungszwecke beschränkt, ist sie unwirksam. Das bedeutet nicht, dass sie sich auf einen einzigen Zweck beschränken muss. Die betroffenen Personen, Eltern oder Schüler, können ihre Einwilligung für einen oder mehrere bestimmte Zwecke geben (Art. 6 Abs. 1).

Das heißt, die Einwilligung muss die Zweckbestimmung festlegen. Sie muss eindeutig sein und legitim. Von daher ist es wichtig, dass die Zweckbestimmung so präzise wie möglich angegeben ist.

Der Verantwortliche, die Schule, muss sicherstellen, dass die personenbezogenen Daten nicht für Zwecke verarbeitet werden, mit denen die betroffene Person bei der Erhebung nicht rechnen musste.

Mit den Anforderungen an eine wirksame Einwilligung ist somit schnell zu verstehen, was dieses für eine Zweckänderung bedeutet. Eine Zweckänderung ergibt sich auch durch einen neuen Zweck. Kommt nachträglich ein neuer Verarbeitungszweck hinzu, wie vermutlich in diesem Fall mit der Übermittlung an einen Fotodienstleister, bedarf es dazu einer entsprechenden Einwilligung der betroffenen Person. 2Zwar gibt es nach (Art. 6 Abs. 4) auch die Möglichkeit, abzuwägen, ob der neue Verarbeitungszweck eine zweckkompatible Verarbeitung bedeutet. Kommt man nach den Kriterien von Abs. 4  zu dem Schluss, dass mit der Weiterverarbeitung der Daten zu einem anderen als dem ursprünglich verfolgten Zweck eine zweckkompatible Weiterverarbeitung vorliegt, braucht es keine neue Einwilligung. (Kühling/Buchner Art. 6 RN 181). Es mag Fälle geben, wo diese Abwägung einfach ist. Wer keinen Fehler machen möchte, sichert sich durch eine zusätzliche Einwilligung ab.

Im angefragten Fall bedeutet dieses: Schließen die in der Einwilligung aufgeführten Verarbeitungszwecke nicht die Übermittlung und Verarbeitung der Fotos an einen externen Dienstleister mit ein, sollte hierfür aus datenschutzrechtlciher Sicht eine zusätzliche Einwilligung eingeholt werden.

Tipp: Von daher erspart man sich Arbeit, wenn man beim Einholen der Einwilligung alle beabsichtigten Verarbeitungszwecke von vorneherein mitbedenkt. Damit ist jedoch nicht gemeint, dass man versucht, direkt pauschal jeden möglichen Verarbeitungszweck abzudecken, denn dieses würde dem Grundsatz der Bestimmtheit widersprechen.

Mit Stolz präsentiert von WordPress