FAQ – Einsatz von digitalen Plattformen ab März 2022

Lesezeit: 7 Minuten

Mit dem 16. Schulrechtsänderungsgesetz von Februar 2022 haben sich bezüglich des Einsatzes von digitalen Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen zur Erfüllung des Bildungs- und Erziehungsauftrags an Schulen in NRW grundlegend verändert. Im Beitrag 16. Schulrechtsänderungsgesetz und Datenschutz werden diese Möglichkeiten ausführlich erläutert. Einige Fragen werden nach der Lektüre dieses Beitrags offen bleiben. In dieser FAQ sollen häufige Fragen deshalb beantwortet werden. Viele Fragen der praktischen Umsetzung werden sich vermutlich erst mit der Zeit klären. An einigen Stellen werden möglicherweise ergänzende Erlasse oder sogar Entscheidungen von Verwaltungsgerichten für Klärung sorgen müssen.

Ist bei jeder Einführung einer digitalen Plattform im Sinne von § 8 Satz 2 eine Beteiligung gemäß LPVG erforderlich?

Im LPVG NRW heißt es in § 72 Satz 3 Nr. 2 “(3) Der Personalrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, mitzubestimmen in Rationalisierungs-, Technologie- und Organisationsangelegenheiten bei
1. …
2. Einführung, Anwendung und Erweiterung technischer Einrichtungen, es sei denn, dass deren Eignung zur Überwachung des Verhaltens oder der Leistung der Beschäftigten ausgeschlossen ist,

Es hängt demnach von der jeweiligen Plattform ab, ob diese mitbestimmungspflichtig durch den Personalrat ist. Sind deren Funktionen nicht geeignet Verhalten oder Leistung von Lehrkräften zu überwachen, unterliegt die Plattform nicht der Mitbestimmung gem. LPVG. Die Logineo NRW Plattformen sind mitbestimmt, da sie viele solche Möglichkeiten bieten. Man wird davon ausgehen können, dass vor allem große Plattformen wie eine NextCloud oder IServ mitbestimmungspflichtig sind, vor allem wenn sie auch für Abbildung schulinterner Organisationsabläufe genutzt werden. Hingegen sollten Plattformen wie Antolin oder Anton, die unter Lehr und Lernsysteme gem. § 8 Satz 2 SchulG NRW fallen sollten, keine Möglichkeiten bieten, Aufschluss über das Nutzerverhalten von Lehrkräften zu gewinnen. Gleiches sollte auch für ein TaskCards gelten. Die Frage ist hier jedoch immer auch, wie weit man “Eignung zur Überwachung des Verhaltens oder der Leistung” fasst. Reicht es, wenn die Schulleitung die Anzahl der durch eine Lehrkraft erstellten Taskcards einsehen kann?

Man kann als Faustregel für die Abschätzung, ob eine Mitbestimmungspflicht vorliegt oder nicht, nehmen: je komplexer eine Plattform ist, desto wahrscheinlicher ist es, dass sie mitbestimmungspflichtig ist. Gleiches gilt auch, wenn sie für die Abbildung schulinterner Verwaltungs- und Organisationsprozesse durch Lehrkräfte genutzt wird. Einfachere Plattformen, in denen vor allem die Schülerinnen und Schüler im Mittelpunkt stehen, sollten tendenziell seltener der Mitbestimmungspflicht unterliegen.

Siehe auch Datenschutz & Mitbestimmung.

Können auch Microsoft 365 und Teams auf der neuen Rechtsgrundlage eingeführt werden?

Diese Frage dürfte viele Schulen bewegen.  Mit Stand von November 2022 wird die DS-GVO Konformität von Microsoft 365 von den Aufsichtsbehörden angezweifelt. Die kurze Antwort ist deshalb: solange eine Schule nicht in der Lage ist nachzuweisen, dass die Verarbeitung von personenbezogenen Daten bei der Nutzung von Microsoft 365 durch Schüler und Lehrkräfte DS-GVO konform möglich ist, ist auch eine Nutzung auf der Grundlage von § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW nicht möglich. Die Verarbeitung von personenbezogenen Daten setzt deshalb weiterhin eine Einwilligung der Betroffenen voraus.1Hinweis: Die Nutzung von Einwilligungen im Zusammenhang mit Unterricht wird von Aufsichtsbehörden äußerst kritisch gesehen. Die LDI NRW geht davon aus, dass die unterrichtliche Nutzung einer Plattform auf der Grundlage einer Einwilligung in der Regel nicht möglich ist. Das bedeutet, es kann durchaus Ausnahmen geben, doch überwiegend kann man davon ausgehen, dass eine Einwilligung als Rechtsgrundlage für die Nutzung ausscheidet.

Das Thema Microsoft 365 ist in Bewegung. Sogar die Kultusminister Konferenz engagiert sich jetzt mit Unterstützung einer Arbeitsgruppe der Datenschutzkonferenz. Bis Ende 2022 wird Microsoft alle Telemetriedaten ausschließlich in der EU Verarbeiten. Aber noch gibt es den CLOUD-Act, der kritisch gesehen wird, und Microsoft räumt sich in den Datenschutzbestimmungen das Recht ein, einige personenbezogene oder -beziehbare Daten für eigene Zwecke zu verarbeiten. Das wird von Aufsichtsbehörden als nicht DS-GVO konform eingestuft. Das heißt Abwarten – noch ist nichts verloren.

Die Aussagen zu Microsoft 365 lassen sich auch auf Google Workspace for Education übertragen. In den Niederlanden ist eine datenschutzkonforme Nutzung an Schulen mit Billigung der dortigen obersten Aufsichtsbehörde bereits möglich. Hier müssen Aufsichtsbehörden von Schulen erst noch davon überzeugt werden.

Was gilt für MNSPro Cloud?

MNSpro Cloud  von der Firma AIXConcept besteht aus zwei Teilen, MNSpro und Microsoft 365. Für beide werden getrennte Verträge zur Auftragsverarbeitung abgeschlossen. Während man das von AIXConcept erstellte und betriebene MNSpro auf der Rechtsgrundlage der neuen Regelungen einführen können sollte, gilt für die angedockten Microsoft 365 Tenant, was zuvor schon für Microsoft 365 gesagt wurde.

Was ist bei IServ zu beachten?

IServ ist ein deutscher Anbieter und die Plattform lässt sich DS-GVO konform nutzen, egal ob es sich um die klassische on premise Lösung mit Server im Schulkeller oder beim Schulträger handelt oder um die vom Anbieter gehostete “Cloud” Version. Die Plattform bringt damit alle Voraussetzungen für eine verpflichtende Nutzung mit. Zu regeln ist die Nutzung des Profils, denn hier können schulische Nutzer persönliche Informationen einstellen, die über für den Unterricht erforderliche Daten hinausgehen. Die einfachste Lösung für Schulen ist die komplette Deaktivierung des Profils. Möchte eine Schule die Nutzung des Profils zulassen, sollte eine Nutzungsvereinbarung erstellt werden, welche das Füllen des Profils davon abhängig macht, ob Nutzer zuvor eine Einwilligung in die Verarbeitung der dort eingetragenen Daten erteilt haben. Die im Download Bereich zur Verfügung gestellte Einwilligung mit Informationen zur Datenverarbeitung gem. Art. 13 DS-GVO für IServ kann eine verpflichtende Nutzung umgearbeitet werden.

Wie sieht es mit itslearning aus?

Die aus Norwegen kommenden Plattform, sollte bezüglich der eigentlichen Kernplattform im Sinne der neuen Regelungen des SchulG NRW nutzbar sein. In Bremen ist itslearning sogar mitbestimmt (siehe Dienstvereinbarung zu der Lernplattform „itslearning“). Ein Problem stellt jedoch das integrierte Microsoft Office dar. Dieses Office speichert zwar die erstellten Word, Excel und PowerPoint Dokumente auf den itslearning Servern, braucht jedoch zur Bearbeitung in der Plattform die Online-Office Dienste von Microsoft, und deren DS-GVO Konformität wird angezweifelt. In Baden Württemberg, erhalten Schulen itslearning über das Schulministerium, aus den genannten Gründen allerdings ohne Freischaltung der (Microsoft) Office Komponente, wie im 21. Tätigkeitsbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden Württemberg nachzulesen ist. Integriert man stattdessen ein im Auftrag betriebenes Collabora Office oder Only Office, sollte eine Nutzung von itslearning komplett nach den neuen Regelungen möglich sein.

Kann Moodle auf der neuen Rechtsgrundlage verpflichtend genutzt werden?

Anders als zur Zeit bei Logineo NRW LMS, dem Landes Moodle, steht einer Nutzung von Moodle außerhalb der Landeslösung nichts entgegen. Da Logineo NRW LMS mitbestimmt ist, sollte eine Mitbestimmung gem. LPVG NRW leicht zu erreichen sein. Das ist vor allem dann der Fall, wenn die Konfiguration sich an der der Landeslösung orientiert und keine zusätzlichen Plugins genutzt werden, welche ihrerseits durch ihre Funktionen mitbestimmungspflichtig sind.

Wie geht man mit den freiwillig eingebrachten Nutzerdaten um?

Hier gibt es nur eine sinnvolle Lösung. Per Nutzungsordnung muss die Nutzung für Inhalte, die in keinem Zusammenhang mit dem Unterricht bzw. bei Lehrkräften mit der Erfüllung der Aufgaben und der Durchführung von Unterricht stehen, untersagt werden. Diese Nutzungsordnung müssen Nutzer dann zur Kenntnis nehmen. Die Kenntnisnahme kann in verschiedener Form erfolgen. Bei Schülerinnen und Schülern wie auch Lehrkräften kann das eine Belehrung sein mit Hinweis, wo die Nutzungsordnung in schriftlicher Form nachzulesen ist. Es muss keine Online-Nutzungsordnung sein, die vor Freischaltung des Nutzerkontos per Setzen eines Häkchens zu quittieren ist.

Alternativ wäre vorstellbar, dass eine Plattform so eingestellt wird, dass Nutzer die Möglichkeit haben, in die Verarbeitung von personenbezogenen Daten, die über Unterricht bzw. bei Lehrkräften die Erfüllung der Aufgaben und die Durchführung von Unterricht hinausgehen, innerhalb der Plattform in den Nutzereinstellungen einzuwilligen. Zusätzliche Funktionen, etwa zum Anlegen eines Nutzerprofils erscheinen nach er Einwilligung. Der Widerruf der Einwilligung und das Löschen der dort hinterlegten Daten sollten dort dann ebenfalls möglich sein.

Ist auch eine verpflichtende Nutzung von personenbezogenen Daten in einer digitalen Plattform möglich, die vor März 2022 an der Schule eingeführt wurde?

Wie aus den Erläuterungen im  Gesetzesentwurf zum 16. Schulrechtsänderungsgesetz hervorgeht, lassen sich die neuen Regelungen auch auf bereits eingeführte Plattformen anwenden: “Dies schließt alle Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen im Sinne des § 8 Absatz 2 ein, die die Schule zur Erfüllung ihres Bildungs- und Erziehungsauftrags nutzt.” Auch die Formulierungen in § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW nehmen hier keine Eingrenzung auf Plattformen vor, die ausdrücklich auf der Grundlage § 8 Abs. 2 SchulG NRW einführt wurden. Bereits an Schulen genutzte Plattformen können, sofern sie die Vorgaben des SchulG NRW und der DS-GVO erfüllen, ebenfalls auf der Grundlage von § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW in Verbindung mit § 8 Abs. 2 genutzt werden.

Auch eine verpflichtende Nutzung ist möglich. Diese setzt einen Beschluss der Schulkonferenz gemäß § 65 Abs. 2 Nr. 6 voraus. Im Gesetzesentwurf weist das MSB darauf hin, dass die der Schulkonferenz dort eingeräumte Entscheidungsbefugnis nicht für bereits vor Inkrafttreten des 16. Schulrechtsänderungsgesetzes existierende und genutzte Systeme und Plattformen gilt. Das bedeutet, Schulen können nicht nachträglich über bereits genutzte Plattformen und Systeme entscheiden, sondern müssen einen Umweg gehen. Dafür bitten sie den Schulträger, der Schulkonferenz gegenüber zu erklären, dass er der Schule die jeweilige Plattform bzw. das jeweilige System bereitstellen möchte und zur Nutzung vorschlägt. Daraufhin entscheidet die Schulkonferenz über diesen Vorschlag zur Nutzung.

Eine Grundschule, die bereits LeseLudi, Antolin, ZahlenZorro oder ähnlich im Sinne des § 8 Absatz 2 nutzt, könnte die Nutzung dann umstellen und auf das Einholen einer Einwilligung zukünftig verzichten. Informationen gem. Art. 13 DS-GVO über die Datenverarbeitung bei der Nutzung sind jedoch weiterhin erforderlich.

Was, wenn für eine Plattform bereits Einwilligungen eingeholt/ erteilt wurden?

Verfügt eine Schule über eine Plattform, die sie bereits vor dem 16. Schulrechtsänderungsgesetz zur Erfüllung des Bildungs- und Erziehungsauftrags einsetzte, so dürften für die Verarbeitung von personenbezogenen Daten Einwilligungen von Schülern und Lehrkräften vorliegen. Die Schule kann Einwilligungen nicht von ihrer Seite aus aufheben. Sie haben also weiterhin Gültigkeit. Widerrufen Betroffene ihre Einwilligung, müssen der Zugang und die mit der Nutzung angefallenen personenbezogenen Daten der betroffenen Person gelöscht werden, da diese auf der Rechtsgrundlage Einwilligung verarbeitet wurden. Es könnte im Anschluss jedoch direkt ein neues Nutzerkonto erstellt werden, wenn die Schule die Plattform jetzt auf der Grundlage der neuen Regelungen nutzt. Die betroffene Person wäre dann sogar zu dessen Nutzung verpflichtet, wenn die dafür erforderlichen Voraussetzungen wie die Ausstattung mit einem Endgerät stimmen.

Können Schüler und Lehrkräfte zur Nutzung der Online Tools von kits.blog verpflichtet werden?

Leider ist das nicht möglich. Auch wenn die Tools des Niedersächsischen Landesinstituts für schulische Qualitätsentwicklung (NLQ) sehr datenschutzfreundlich sind, erfüllen sie die Vorgaben des SchulG NRW nicht, da mit dem NLQ kein Vertrag zur Auftragsverarbeitung abgeschlossen werden kann. Gleiches gilt auch für vergleichbare Plattformen, etwa von ZUM oder von eBildungslabor und ähnlich.

Wir haben keine 1:1 Ausstattung. Ist eine verpflichtende Nutzung damit unmöglich?

Nein, sie kann durchaus möglich sein. Es muss nur jedem Nutzer ein schulisches Endgerät zur Verfügung stehen. Das können auch die Tablets aus dem Tablet Koffer sein, den die Lerngruppe sich für ein Unterrichtsprojekt ausleiht. Viele Schulen haben noch PC Räume. Auch dort ist eine verpflichtende Nutzung durchaus umsetzbar. Weder in den neuen Regelungen des SchulG NRW, noch in den Erläuterungen zum Gesetzesentwurf gibt es Hinweise, dass die verpflichtende Nutzung ein persönliches digitales Endgerät voraussetzt.


Sollte es von Seiten der Leser Fragen geben, so schreiben Sie diese gerne in die Kommentare.

Braucht es für externe Mitarbeiter eine andere Einwilligung?

Lesezeit: 2 Minuten

Eine Schule möchte ein Jahrbuch herausgeben und darin auch Fotos der Sekretärinnen, der Hausmeister und von Mitarbeitern eines kommunalen IT Dienstleisters, der die Schul IT betreut, veröffentlichen. Die folgende Frage kam dabei auf:

“Die zuständige Kollegin des Jahrbuch-Teams fragte daher nun nach einer Datenschutzerklärung speziell für die Mitarbeiter des Schulträgers. Gibt es hier eine Datenschutzerklärung vom Kreis, die wir zu diesem Zweck verwenden können?”

Das Jahrbuch wird von der Schule erstellt. Sie ist also die datenverarbeitende Stelle und damit Verantwortlicher. Eine Einwilligung in die Verarbeitung von personenbezogenen Daten wird immer gegenüber dem Verantwortlichen abgegeben. Von daher nutzen alle Personen, welche in das Jahrbuch aufgenommen werden eine Einwilligung der Schule. Der Schulträger, welcher Dienstherr der Mitarbeiter im Schulsekretariat ist, hat aus datenschutzrechtlicher Sicht mit dieser geplanten Verarbeitung nichts zu tun. Die Informationen bezüglich der geplanten Datenverarbeitung können deshalb auch nicht von ihm kommen, sondern müssen von der Schule vorgelegt werden.

Für ein Jahrbuch werden Fotos der Personen in der Schule benötigt. Wenn beispielsweise von den Schülern bereits Fotos vorliegen, etwa für die Nutzung in der Schulverwaltung, kann man diese Fotos durchaus nutzen, sollte dafür jedoch eine Einwilligung, die für den Zweck der Veröffentlichung in einem Jahrbuch ausgelegt ist, einholen. Falls bereits eine Einwilligung für einen sehr ähnlichen Verarbeitungszweck vorliegt, etwa die Erstellung einer Festschrift, dann braucht es keine gesonderte Einwilligung mehr. Allerdings müssen die Betroffenen über eine Zweckänderung informiert werden.1siehe auch Art. 13 Abs. 3 DS-GVOBeabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.”
Sehr weit ausgelegt, bräuchte man hiernach nicht einmal eine ausdrückliche Einwilligung einholen, auch wenn der Verarbeitungszweck deutlich vom ursprünglichen abweicht, wie am Anfang des Abschnitts beschrieben. Hier muss die Schule letztlich selbst entscheiden, wie man verfährt. Eine Information ist auf jeden Fall erforderlich, und diese sollte vorweg erfolgen.
Dieses würde ihnen dann auch die Möglichkeit eröffnen, der geplanten Zweckänderung zu widersprechen.

In der Regel werden die für die Erstellung des Jahrbuchs benötigten personenbezogene Daten gelöscht, sobald der Verarbeitungszweck erreicht, der Druck des Buches abgeschlossen ist. Davon ausgenommen sind Daten, welche der Schule bereits vorlagen, etwa Name und Klassenzugehörigkeit. Diese Daten werden aus dem Programm gelöscht, mit welchem das Jahrbuch erstellt wurde, nicht jedoch aus der Schulverwaltung. Dort gelten weiterhin die schulrechtlichen Aufbewahrungs- und Löschfristen. Gleiches würde auch für Fotografien gelten, welche die Schule bereits auf der Grundlage einer anderen Einwilligung verarbeitet.

Ein Beispiel für eine anlassbezogene Einwilligung für die Erstellung eines Jahrbuchs:

Datenübermittlung an den Schulträger zur Feststellung des Bedürfnisses?

Lesezeit: 2 Minuten

Ein Schulträger bittet eine Grundschule um die Übermittlung einer Liste mit den Namen der Schüler, den von der Schule ausgesprochenen Empfehlungen (für eine weiterführende Schule) und der tatsächlichen Schulwahl.

Darf bzw. muss die Schule dem Schulträger diese personenbezogenen Daten übermitteln?

Grundsätzlich gilt nach §120 Abs. 5 Satz 1 – SchulG NRW

„(5) Die in Absatz 1 Satz 1 genannten Daten dürfen einer Schule, der Schulaufsichtsbehörde, dem Schulträger, der unteren Gesundheitsbehörde, dem Jugendamt, dem Landesjugendamt, den Ämtern für Ausbildungsförderung, dem Landesamt für Ausbildungsförderung sowie den Ausbildungsbetrieben der Schülerinnen und Schüler an Berufskollegs nur übermittelt werden, soweit sie von diesen Stellen zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben benötigt werden.“

Da der Schulträger für äußere Schulangelegenheiten zuständig ist, ist bei der gestellten Anfrage zweifelhaft, auf welcher Rechtsgrundlage diese erfolgen soll.1„Außerhalb des Auftragsverhältnisses fragt sich, zur Wahrnehmung welcher konkreten Aufgaben des Schulträgers es ggf. überhaupt einer personenbezogenen Übermittlung durch Schulen und Schulaufsichtsbehörden bedarf. Dem Schulträger obliegt nach Maßgabe der §§ 78 ff. SchulG die Wahrnehmung der äußeren Schulangelegenheiten.“ – Wingen SchulG NRW-Kommentar, März 2015, Katernberg, zu §120 Abs. 5 Satz 1

Es ist zu vermuten, dass die Anfrage des Schulträger im Zusammenhang mit der Feststellung des Bedürfnisses nach §78 Abs. 5 – SchulG NRW erfolgt ist.

“(5) Die Entwicklung des Schüleraufkommens und der Wille der Eltern sind bei der Feststellung des Bedürfnisses zu berücksichtigen.”

Entsprechend Abs. 2.1 Abschnitt c Satz 4 des Runderlasses  zur Einrichtung und Auflösung von weiterführenden allgemeinbildenden Schulen und Berufskollegs kann der Schulträger zur Feststellung des Bedürfnisses eine Befragung vornehmen.

“Ein geheimes Verfahren im strengen Sinne ist nicht zwingend erforderlich; es muss aber gewährleistet sein, dass Namen und Votum der einzelnen Erziehungsberechtigten vertraulich behandelt und dienstlich geheim gehalten werden.“

Der Schulträger darf also im Rahmen seiner Aufgabenerfüllung nach §78 SchulG NRW Namen der Eltern und Votum als Ausdruck des Elternwillens in Erfahrung bringen. Allerdings setzt diese eine durch den Schulträger selbst durchgeführte Erhebung bzw. Befragung voraus und es geht um die Erziehungsberechtigten, nicht die Kinder. Es gibt in §78 keine Stelle, aus welcher sich ableiten lässt, dass der Schulträger einen rechtlichen Anspruch auf die tatsächliche Schulwahl einzelner Kinder und die von der Schule abgegebene Empfehlung hat.

Der Schulträger benötigt die von ihm angefragten personenbezogenen Daten eindeutig nicht, um seiner Aufgabenerfüllung nach §78 SchulG NRW nachzukommen. Hier würde auch eine anonymisierte Statistik der Schule ausreichen. Alleine dass die vom Schulträger angefragten personenbezogenen Daten der Schüler diesem dienlich oder nützlich sind, reicht als Rechtsgrundlage nicht für eine Übermittlung durch die Schule aus.2„… ist der Datentransfer zur Aufgabenerfüllung der Empfängerin oder des Empfängers nicht erforderlich, sondern lediglich dienlich oder nützlich, dürfen die Daten nur auf der Grundlage wirksamer Einwilligungen der Betroffenen (vgl. unter Erl. 2.2 und 2.3 zu § 120 SchulG) transferiert werden.” – Wingen SchulG NRW-Kommentar, März 2015, Katernberg, zu §120 Abs. 5 Satz 1

Wäre die Schule Willens, die angefragten Daten an den Schulträger zu übermitteln, so wäre dieses in diesem Falle nur auf der Grundlage einer Einwilligung der Betroffenen möglich.

Bleibt der Schulträger trotz allem der Meinung, dass die Schule ihm gegenüber verpflichtet ist, die gewünschten personenbezogenen Daten zu übermitteln, so muss er in der Lage sein, eine rechtliche Begründung zu liefern.3„Wenn der Schulträger die Übermittlung von personenbezogenen Daten der Schülerinnen, Schüler und /oder Eltern von der Schule beansprucht, ist es im Übrigen grundsätzlich an ihm, der Schule gegenüber darzulegen und zu begründen, warum er im konkreten Fall bestimmte Daten mit Personenbezug zu seiner Aufgabenerfüllung benötigt.“ – Wingen SchulG NRW-Kommentar, März 2015, Katernberg, zu §120 Abs. 5 Satz 1

Dass der Schulträger dazu in der Lage sein wird, ist aufgrund der Rechtslage nicht vorstellbar.

Die Antwort kurz gefasst:

Der Schulträger hat keinen aus dem Schulgesetz NRW ableitbaren rechtlichen Anspruch auf die Übermittlung der von ihm angefragten personenbezogenen Daten von Schülerinnen und Schülern der Schule.

Brauchen Schulen Datenschutzerklärungen zu den Verarbeitungsprozessen in der Schule?

Lesezeit: 6 Minuten

Frage

Vor einiger Zeit kam die Frage auf, ob Schulen neben der Datenschutzerklärung der Homepage zusätzlich auch eine Datenschutzerklärung bezüglich der Verarbeitung von personenbezogenen Daten in der Schule benötigen, die dann ebenfalls auf der Schulhomepage veröffentlich wird.

Rechtliche Grundlagen

Art. 12 DS-GVO Abs. 1 fordert ein, dass Betroffene informiert werden und diese Informationen leicht zugänglich sind.

“Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; […] Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch.”

Entsprechend gibt der zugehörige Erwägungsgrund 58 folgende Erläuterung:

“Der Grundsatz der Transparenz setzt voraus, dass eine für die Öffentlichkeit oder die betroffene Person bestimmte Information präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst ist und gegebenenfalls zusätzlich visuelle Elemente verwendet werden. Diese Information könnte in elektronischer Form bereitgestellt werden, beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist.”

Das Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen (IFG NRW) führt aus:

§ 12
Veröffentlichungspflichten
Geschäftsverteilungspläne, Organigramme und Aktenpläne sind nach Maßgabe dieses Gesetzes allgemein zugänglich zu machen. Die öffentlichen Stellen sollen Verzeichnisse führen, aus denen sich die vorhandenen Informationssammlungen und -zwecke erkennen lassen. Soweit möglich hat die Veröffentlichung in elektronischer Form zu erfolgen. § 4 Abs. 2 Satz 1 dieses Gesetzes bleibt unberührt.

Wie sind diese Vorgaben zu verstehen?

Von rechtlicher Seite gibt es Vorgaben, sowohl von der DS-GVO wie auch vom IFG. Beide lassen jedoch Spielraum für die Umsetzung. Zu beachten ist dabei ein Unterschied zwischen DS-GVO und IFG. Während es bei der DS-GVO ausschließlich um die Rechte der Betroffenen geht, betrifft das IFG die Öffentlichkeit und deren Recht auf Informationen.

Schulen unterliegen entsprechend der DS-GVO dem Gebot der Transparenz wie jede andere datenverarbeitende öffentliche Stellen. Nach Art. 13 sind Betroffene zum Zeitpunkt der Erhebung von personenbezogenen Daten bezüglich der beabsichtigten Verarbeitung und ihrer Rechte zu informieren. Werden die personenbezogenen Daten nicht beim Betroffenen selbst erhoben, sind diese nach Art. 14 entsprechend nachträglich zu informieren.

Das IFG fordert von öffentlichen Stellen, Informationen zu verarbeiteten Daten und den Verarbeitungszwecken möglichst in elektronischer Form zu veröffentlichen. Es geht hier um eine Veröffentlichungspflicht. Die Veröffentlichung auf einer Internetseite wäre eine elektronische Form. Zum Vergleich: auf Bundesebene gibt es für Behörden gemäß dem IFG des Bundes eine Veröffentlichungspflicht im Internet.1 Der Bund gibt unter Anwendungshinweise zum Informationsfreiheitsgesetz zur Veröffentlichung folgende Informationen:
Welche Veröffentlichungspflichten bestehen im Internet?
Die Behörden des Bundes sollen geeignete Informationen möglichst umfassend im Rahmen aktiver Informationspolitik nach und nach in das Internet einstellen (§ 11 Abs. 3). Das IFG geht jedoch nicht über die bestehenden Verpflichtungen aus dem Kabinettbeschluss zur langfristigen Sicherung der im Rahmen der eGovernment-Initiative BundOnline 2005 getätigten Investitionen vom 9. März 2005 hinaus.
Insbesondere Organisations- und Aktenpläne ohne Angabe personenbezogener Daten sollen beim Internetauftritt jeder Behörde berücksichtigt werden. Solche Organisations- und Aktenpläne sollen es dem Bürger erleichtern, sich einen Überblick der vorhandenen Informationen zu verschaffen. Wie detailliert solche Pläne eingestellt werden, entscheidet jede Behörde selbst.

Zwischen den Vorgaben der DS-GVO und des IFG gibt es Unterschiede im Umfang der Informationen. Während sich das IFG auf eine Information über vorhandene Informationssammlungen und -zwecke beschränkt, geht es bei der DS-GVO um sehr viel genauere Informationen (z.B. Betroffene, Rechtsgrundlage, Zwecke der Verarbeitung, Kategorien von Daten und Empfängern, Dauer der Speicherung, Rechte der Betroffenen).

In Art. 12 ist vorgegeben, dass der Verantwortliche, hier die Schulleitung, “geeignete Maßnahmen” trifft, die Betroffenen zu informieren, und dass die Informationen in “leicht zugänglicher Form” bzw. “leicht zugänglich” zu übermitteln sind. Für die Form gibt es keine exakt definierten Vorgaben. Die Bereitstellung in elektronischer Form auf einer Website wird im Erwägungsgrund als eine Möglichkeit angegeben. Das IFG  wird etwas deutlicher und fordert die elektronische Form, sofern möglich.

Entsprechend dem IFG würde es praktisch ausreichen, auf die VO-DV I und II zu verlinken, da das IFG selbst keinerlei Vorgaben macht, wie einfach oder verständlich diese Angaben sein müssen. Auch der Begriff Verzeichnis ist nicht exakt definiert. Eine Formulierung auf der Schulhomepage könnte so lauten, wie die obere Tabellenzelle. Wenn man etwas ausführlicher sein möchte, fügt man die Inhalte der restlichen Zellen an.

Information über Informationssammlungen und -zwecke gemäß §12 Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen  (IFG NRW)

Die Schule verarbeitet die personenbezogenen Daten von Schülern, Erziehungsberechtigten und Lehrkräften in dem Umfang und für die Zwecke, wie sie durch das SchulG NRW, VO-DV I (Schüler, Erziehungsberechtigte) und VO-DV II (Lehrkräfte) vorgegeben sind.

Informationssammlung Schüler/ Erziehungsberechtigte
Schülerstammblatt

  1. die Personaldaten der in § 1 Abs. 1 Nr. 1 – 3 genannten Personen (Individualdaten) gemäß Abschnitt A Nr. I der Anlage 1,
  2. die Information zur schulischen Laufbahn der Schülerin oder des Schülers (Organisations- bzw. Schullaufbahndaten) gemäß Abschnitt A Nr. II der Anlage 1,
  3. die Angaben über den individuellen Leistungsstand der Schülerin oder des Schülers (Leistungsdaten) gemäß Abschnitt B der Anlage 1,
  4. die für die einzelnen Schulformen oder Schulstufen benötigten zusätzlichen Informationen (schulform- oder schulstufenspezifische Zusatzdaten) gemäß Abschnitt C der Anlage 1.

sonstiger Datenbestand

Zwecke
  • Schülerverwaltung
  • Leistungsdatenverwaltung
  • Zeugniserstellung
  • Unterrichtsplanung
  • Schulstatistik
  • Diagnostik/ Erstellung von Förderempfehlungen/ individuellen Förderplänen
  • Schulpflichtüberwachung
  • Kontaktaufnahme mit den Erziehungsberechtigten
  • Evaluation und Qualitätsentwicklung
  • Öffentlichkeitsarbeit
  • Erstellung von Fördergutachten (AO-SF Verfahren)
  • Schülerspezialverkehr (an Förderschulen)
  • Praktikumsverwaltung
  • Erziehungs- und Ordnungsmaßnahmen
  • Dokumentation im Klassenbuch
  • Dokumentation von Konferenzen
Informationssammlung Lehrkräfte
 Datenbestand in der Schule

  • Person
  • Werdegang
  • Vorbereitungsdienst,   Staatsprüfung
  • Qualifikationen
  • Laufbahn
  • Beschäftigung
  • Unterricht
  • Geschäftsablauf

Akten der Schulleitung

  • Persönliche Angaben
  • Ausbildung, sonstige Tätigkeiten, besondere Fähigkeiten
  • Tätigkeiten an der Schule
  • Weitere Angaben
Zwecke
  1. Planung und Ermittlung des Unterrichtsbedarfs, Durchführung des Unterrichts
  1. Planung und Einrichtung von Bildungsgängen, Klassen und Gruppen; Ermittlung und Deckung besonderer Bedarfe und Förderungsbedarfe; Unterrichtsorganisation; Unterrichtsverteilung
  2. Aufstellen von Aufsichts-, Prüfungs-, Stunden- und Vertretungsplänen, Sprechstundenlisten sowie Übersichten der an der Schule Beschäftigten
  1. Erledigung der laufenden schulischen Angelegenheiten
  1. Berichte in arbeits-, dienst- und personalrechtlichen Angelegenheiten und Angelegenheiten der Lehrerversorgung
  2. Berichte zur Vorbereitung von Dienstleistungszeugnissen, Beratung zur dienstlichen Beurteilung, Berichte in disziplinarrechtlichen Angelegenheiten
  3. Beantwortung von Anfragen und Erhebungen der Schulaufsichtsbehörden sowie anderer Behörden aus dem Geschäftsbereich des für die Schule zuständigen Ministeriums
  4. Durchführung von Maßnahmen der Qualitätsentwicklung und Qualitätssicherung gemäß § 3 Abs. 4 SchulG
  1. Statistische Daten
  2. Lehrerausbildung (Ausbildungslehrerinnen und -lehrer, Lehramtsanwärterinnen und Lehramtsanwärter und Lehrkräfte in Ausbildung)
  3. Lehrerfortbildung
  4. Erfüllung der Schulleitungsaufgaben

Entsprechend der DS-GVO müssen Betroffene (Schüler und Erziehungsberechtigte sowie Lehrkräfte) bei der Erhebung von Daten oder, sofern die Daten nicht bei ihnen direkt erhoben wurden, nachträglich informiert werden. Die unmittelbare Information kann mittels eines entsprechenden Informationsschreibens2“Informationen Schule (NRW) – datenschutz-schule.info.” https://datenschutz-schule.info/service-downloads/informationen-schule-nrw/. gegeben werden, welches den Betroffenen ausgehändigt wird, so dass sie jederzeit über die von der Schule verarbeiteten Daten und ihre Rechte im Bilde sind. Erforderlich ist diese Art von Information bei Schülern und ihren Erziehungsberechtigten erstmals bei der Anmeldung an der Schule, bei Lehrkräften, wenn sie den Dienst an einer neuen Schule aufnehmen, welche dazu personenbezogene Daten von ihnen selbst oder einer anderen Stelle (Stammschule/ abgebende Schule/ Schulamt/ Bezirksregierung) erhält.

Die DS-GVO unterscheidet beim Transparenzgebot im Erwägungsgrund 58 zwischen betroffener Person und Öffentlichkeit. Nur wenn es um Informationen zur Herstellung von Transparenz geht, welche für die Öffentlichkeit bestimmt sind, wird die Veröffentlichung auf einer Website als Möglichkeit vorgeschlagen. Für die Information der Betroffenen selbst wird dieses nicht vorgeschlagen. Da die Formulierung von Art. 12 Abs. 1 Satz 1 sehr offen ist, bleibt dem Verantwortlichen Gestaltungsspielraum.

“Insgesamt belässt Abs. 1 S. 1 dem Verantwortlichen bei der Wahl der Darstellungsweise einen beträchtlichen Gestaltungsspielraum.”3Bäcker in Kühling/Buchner Art. 12 Abs. 1 Rn. 12

Es lässt sich aus keiner Stelle in der DS-GVO eine eindeutige Vorgabe ableiten, dass zur Herstellung von Transparenz eine Veröffentlichung von Informationen entsprechend Art. 13 und 14 auf der Schulhomepage erforderlich ist. Genausowenig ist ersichtlich, dass eine Schule die Öffentlichkeit informieren muss.

Abgesehen davon spricht jedoch auch nichts dagegen, die Informationen zur Verarbeitung von personenbezogenen Daten von Betroffenen zusätzlich leicht auffindbar auf der Schulhomepage zu hinterlegen als Informationen über die Datenverarbeitung an der Schule nach DS-GVO Art. 12. Dort könnte man dann die Informationen aus den Informationsschreiben direkt in die Webseite einstellen und eventuell auch noch die Schreiben als PDFs zum Download anzubieten.

Wie das MSB das Thema sieht

Das Ministerium für Schule und Bildung (MSB) hat sich auf den Seiten der Medienberatung zum Thema Informationspflicht nach Art. 13 DS-GVO geäußert4“Homepage der Schulen – Bildungsportal NRW.” https://www.schulministerium.nrw.de/docs/Recht/Datenschutz/Umsetzung-EU-Datenschutzgrundverordnung/Regelungsbereiche/Homepage-der-Schulen/index.html.. Das MSB schlägt vor, der Informationspflicht über die Schulhomepage nachzukommen, um den Verwaltungsaufwand für die Schule in Grenzen zu halten. Es sollte dann ausreichend sein, “mittels Link auf die ausführlichen Vorgaben der VO DV I und II” zu verweisen. Da die DS-GVO Information aber auch eine Information zum Zeitpunkt der Datenerhebung verlangt, sollen Schulen den Erziehungsberechtigten bzw. volljährigen Schülern bei Anmeldung an der Schule einen “einen Papierausdruck der VO DV I” aushändigen.

Auch wenn dieser Vorschlag gut gemeint ist, so widerspricht er einem der wichtigen Grundsätze der DS-GVO, wie dem Zitat zu Beginn des Textes zu entnehmen. Der Erwägungsgrund wird noch deutlicher. Die Information soll in “präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst” sein. Dem entspricht die VO-DV I wohl kaum.

Aus den Ausführungen des MSB lässt sich, was für die Fragestellung hier noch bedeutsamer ist, keinerlei Verpflichtung zur Veröffentlichung dieser Informationen auf der Schulhomepage ableiten.

Fazit

  • Schulen müssen entsprechend der Vorgaben der DS-GVO Besucher ihrer Schulhomepage (Betroffene) über die Verarbeitung von personenbezogenen Daten auf der Website selbst in Form einer Datenschutzerklärung informieren.
  • Schulen sollen als öffentliche Stellen gemäß der Vorgaben des IFG NRW in elektronischer Form Verzeichnisse führen, welche die Öffentlichkeit über Informationssammlungen und -zwecke informiert. Das erfolgt am zweckmäßigsten vermutlich über die Schulhomepage.5Mir ist bisher keine Schule bekannt, welche derartige Informationen nach dem IFG auf ihrer Schulhomepage eingestellt hat. Auch, dass es wegen des Fehlens solcher Informationen Probleme gegeben hat, ist mir nicht bekannt.
  • Schulen können ergänzend zu einer direkten Information der Betroffenen vor oder nach der Datenerhebung zusätzlich über die Verarbeitung personenbezogener Daten entsprechend Art. 13 und 14 auf ihrer Homepage informieren, wenn die Schulleitung darin eine geeignete Maßnahme sieht, der Informationspflicht nachzukommen.

Zu den Informationen, die nach dem IFG NRW auf einer Schulhomepage veröffentlicht werden sollen, gehören neben Informationen über die Schulleitung auch solche über die Lehrkräfte, deren Funktion in der Schule und Angaben zur dienstlichen Erreichbarkeit. Siehe dazu den Beitrag: Welche personenbezogenen Daten von Lehrkräften dürfen OHNE Einwilligung auf die Schulhomepage?

Vorabkontrolle der Genehmigungen für Lehrer in NRW durch schulische DSB entfällt

Lesezeit: 2 Minuten

Als das Ministerium für Schule und Bildung Anfang des Jahres den neuen Genehmigungsvordruck zu Nutzung privater Endgeräte zur Verarbeitung personenbezogener Daten aus der Schule per Erlass einführte, war dort noch eine Vorabkontrolle durch die behördlich bestellten schulischen Datenschutzbeauftragten (DSB) verbindlich vorgesehen. Diese sollten jeden Genehmigungsantrag von Lehrkräften prüfen, bevor die Schulleitung dann die Genehmigung erteilte. Mit Beginn der Umsetzung der Datenschutz Grundverordnung (DS-GVO), nur wenige Monate nach Einführung der Genehmigung ist die Vorgabe zur Kontrolle durch die schulischen nicht länger erforderlich. Dieses hängt mit einer Veränderung der Aufgabenbeschreibung von Datenschutzbeauftragten zusammen, die sich mit der DS-GVO gegenüber dem alten Bundesdatenschutz Gesetz ergeben hat.

In einem Schreiben des MSB, Ref. 212 von Mai 2018 heißt es entsprechend,

“Die bisherige Pflicht gem. §§ 8, 10 DSG, ein Verfahrensverzeichnis zur Führung und Einsichtnahme bei den behördlichen Datenschutz- beauftragten zu erstellen und ihnen das Verzeichnis zur Vorabkontrolle vorzulegen, entfällt.
[…] Zwar sind die Datenschutzbeauftragten zur Vorabkontrolle des Verzeichnisses nicht mehr konkret gesetzlich verpflichtet. Gleichwohl wird den Schulleitungen dringend empfohlen, sie weiterhin um Prüfung neuer Dokumentationen zu bitten. Dies unterfällt dem Beratungsrecht der Schulleitungen bzw. der korrespondierenden Pflicht der Datenschutzbeauftragten.

Entsprechendes gilt für die Genehmigung zur Nutzung von privaten ADV-Geräten der Lehrkräfte:

Der Genehmigungsvordruck, der mit der Dienstanweisung (BASS 10-41 Nr. 4) zur Verfügung gestellt worden ist, sieht die Dokumentation der Vorabkontrolle nach bislang geltender Rechtslage vor. Hierzu wird ebenfalls empfohlen, die Datenschutzbeauftragten weiterhin im Wege der Beratung einzubeziehen und dies vom Verantwortlichen (Schulleitung oder ZfsL-Leitung) entsprechend dort im Vordruck zu vermerken.

Die bzw. der Datenschutzbeauftragte ist nicht mehr zur schriftlichen Prüfungsbestätigung verpflichtet.”

Auch eine Vorabkontrolle der Verfahrensverzeichnisse  jetzt Verzeichnisse von Verarbeitungstätigkeiten ist nicht länger verbindlich vorgeschrieben, wird jedoch empfohlen, wie den Ausführungen des MSB zu entnehmen ist.

Schulleitungen entscheiden also selbst, ob sie ihren zuständigen DSB beratend hinzuziehen möchten, bevor sie ihren Lehrkräften eine Genehmigung erteilen. Eine Verpflichtung dazu besteht nicht.

Einwilligung und Zweckänderung

Lesezeit: 2 Minuten

Frage: ich fotografiere einen Schüler (anlassbezogen gibt es eine Genehmigung1Aus Sicht des Datenschutz wird immer von EINWILLIGUNG gesprochen!). Darf ich das Foto online an CEWE Fotodienst schicken zum Ausdrucken?

In der Einwilligung ist, so lässt die Frage vermuten, nicht aufgeführt, dass das Foto der betroffenen Person über einen externen Dienstleister ausgedruckt und diesem dazu das Foto übermittelt werden soll. Daher rührt wohl die Unsicherheit, ob das Foto auf der Grundlage der bestehenden Einwilligung übermittelt werden darf.

Die Antwort ist recht einfach.

Eine wirksame Einwilligung setzt voraus, dass sie bestimmt ist. Wenn eine Einwilligung sich nicht auf bestimmte Datenverarbeitungszwecke beschränkt, ist sie unwirksam. Das bedeutet nicht, dass sie sich auf einen einzigen Zweck beschränken muss. Die betroffenen Personen, Eltern oder Schüler, können ihre Einwilligung für einen oder mehrere bestimmte Zwecke geben (Art. 6 Abs. 1).

Das heißt, die Einwilligung muss die Zweckbestimmung festlegen. Sie muss eindeutig sein und legitim. Von daher ist es wichtig, dass die Zweckbestimmung so präzise wie möglich angegeben ist.

Der Verantwortliche, die Schule, muss sicherstellen, dass die personenbezogenen Daten nicht für Zwecke verarbeitet werden, mit denen die betroffene Person bei der Erhebung nicht rechnen musste.

Mit den Anforderungen an eine wirksame Einwilligung ist somit schnell zu verstehen, was dieses für eine Zweckänderung bedeutet. Eine Zweckänderung ergibt sich auch durch einen neuen Zweck. Kommt nachträglich ein neuer Verarbeitungszweck hinzu, wie vermutlich in diesem Fall mit der Übermittlung an einen Fotodienstleister, bedarf es dazu einer entsprechenden Einwilligung der betroffenen Person. 2Zwar gibt es nach (Art. 6 Abs. 4) auch die Möglichkeit, abzuwägen, ob der neue Verarbeitungszweck eine zweckkompatible Verarbeitung bedeutet. Kommt man nach den Kriterien von Abs. 4  zu dem Schluss, dass mit der Weiterverarbeitung der Daten zu einem anderen als dem ursprünglich verfolgten Zweck eine zweckkompatible Weiterverarbeitung vorliegt, braucht es keine neue Einwilligung. (Kühling/Buchner Art. 6 RN 181). Es mag Fälle geben, wo diese Abwägung einfach ist. Wer keinen Fehler machen möchte, sichert sich durch eine zusätzliche Einwilligung ab.

Im angefragten Fall bedeutet dieses: Schließen die in der Einwilligung aufgeführten Verarbeitungszwecke nicht die Übermittlung und Verarbeitung der Fotos an einen externen Dienstleister mit ein, sollte hierfür aus datenschutzrechtlciher Sicht eine zusätzliche Einwilligung eingeholt werden.

Tipp: Von daher erspart man sich Arbeit, wenn man beim Einholen der Einwilligung alle beabsichtigten Verarbeitungszwecke von vorneherein mitbedenkt. Damit ist jedoch nicht gemeint, dass man versucht, direkt pauschal jeden möglichen Verarbeitungszweck abzudecken, denn dieses würde dem Grundsatz der Bestimmtheit widersprechen.