Mit dem 16. Schulrechtsänderungsgesetz von Februar 2022 haben sich bezüglich des Einsatzes von digitalen Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen zur Erfüllung des Bildungs- und Erziehungsauftrags an Schulen in NRW grundlegend verändert. Im Beitrag 16. Schulrechtsänderungsgesetz und Datenschutz werden diese Möglichkeiten ausführlich erläutert. Einige Fragen werden nach der Lektüre dieses Beitrags offen bleiben. In dieser FAQ sollen häufige Fragen deshalb beantwortet werden. Viele Fragen der praktischen Umsetzung werden sich vermutlich erst mit der Zeit klären. An einigen Stellen werden möglicherweise ergänzende Erlasse oder sogar Entscheidungen von Verwaltungsgerichten für Klärung sorgen müssen.
Ist bei jeder Einführung einer digitalen Plattform im Sinne von § 8 Satz 2 eine Beteiligung gemäß LPVG erforderlich?
Im LPVG NRW heißt es in § 72 Satz 3 Nr. 2 “(3) Der Personalrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, mitzubestimmen in Rationalisierungs-, Technologie- und Organisationsangelegenheiten bei
1. …
2. Einführung, Anwendung und Erweiterung technischer Einrichtungen, es sei denn, dass deren Eignung zur Überwachung des Verhaltens oder der Leistung der Beschäftigten ausgeschlossen ist,”
Es hängt demnach von der jeweiligen Plattform ab, ob diese mitbestimmungspflichtig durch den Personalrat ist. Sind deren Funktionen nicht geeignet Verhalten oder Leistung von Lehrkräften zu überwachen, unterliegt die Plattform nicht der Mitbestimmung gem. LPVG. Die Logineo NRW Plattformen sind mitbestimmt, da sie viele solche Möglichkeiten bieten. Man wird davon ausgehen können, dass vor allem große Plattformen wie eine NextCloud oder IServ mitbestimmungspflichtig sind, vor allem wenn sie auch für Abbildung schulinterner Organisationsabläufe genutzt werden. Hingegen sollten Plattformen wie Antolin oder Anton, die unter Lehr und Lernsysteme gem. § 8 Satz 2 SchulG NRW fallen sollten, keine Möglichkeiten bieten, Aufschluss über das Nutzerverhalten von Lehrkräften zu gewinnen. Gleiches sollte auch für ein TaskCards gelten. Die Frage ist hier jedoch immer auch, wie weit man “Eignung zur Überwachung des Verhaltens oder der Leistung” fasst. Reicht es, wenn die Schulleitung die Anzahl der durch eine Lehrkraft erstellten Taskcards einsehen kann?
Man kann als Faustregel für die Abschätzung, ob eine Mitbestimmungspflicht vorliegt oder nicht, nehmen: je komplexer eine Plattform ist, desto wahrscheinlicher ist es, dass sie mitbestimmungspflichtig ist. Gleiches gilt auch, wenn sie für die Abbildung schulinterner Verwaltungs- und Organisationsprozesse durch Lehrkräfte genutzt wird. Einfachere Plattformen, in denen vor allem die Schülerinnen und Schüler im Mittelpunkt stehen, sollten tendenziell seltener der Mitbestimmungspflicht unterliegen.
Siehe auch Datenschutz & Mitbestimmung.
Können auch Microsoft 365 und Teams auf der neuen Rechtsgrundlage eingeführt werden?
Diese Frage dürfte viele Schulen bewegen. Mit Stand von November 2022 wird die DS-GVO Konformität von Microsoft 365 von den Aufsichtsbehörden angezweifelt. Die kurze Antwort ist deshalb: solange eine Schule nicht in der Lage ist nachzuweisen, dass die Verarbeitung von personenbezogenen Daten bei der Nutzung von Microsoft 365 durch Schüler und Lehrkräfte DS-GVO konform möglich ist, ist auch eine Nutzung auf der Grundlage von § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW nicht möglich. Die Verarbeitung von personenbezogenen Daten setzt deshalb weiterhin eine Einwilligung der Betroffenen voraus.1Hinweis: Die Nutzung von Einwilligungen im Zusammenhang mit Unterricht wird von Aufsichtsbehörden äußerst kritisch gesehen. Die LDI NRW geht davon aus, dass die unterrichtliche Nutzung einer Plattform auf der Grundlage einer Einwilligung in der Regel nicht möglich ist. Das bedeutet, es kann durchaus Ausnahmen geben, doch überwiegend kann man davon ausgehen, dass eine Einwilligung als Rechtsgrundlage für die Nutzung ausscheidet.
Das Thema Microsoft 365 ist in Bewegung. Sogar die Kultusminister Konferenz engagiert sich jetzt mit Unterstützung einer Arbeitsgruppe der Datenschutzkonferenz. Bis Ende 2022 wird Microsoft alle Telemetriedaten ausschließlich in der EU Verarbeiten. Aber noch gibt es den CLOUD-Act, der kritisch gesehen wird, und Microsoft räumt sich in den Datenschutzbestimmungen das Recht ein, einige personenbezogene oder -beziehbare Daten für eigene Zwecke zu verarbeiten. Das wird von Aufsichtsbehörden als nicht DS-GVO konform eingestuft. Das heißt Abwarten – noch ist nichts verloren.
Die Aussagen zu Microsoft 365 lassen sich auch auf Google Workspace for Education übertragen. In den Niederlanden ist eine datenschutzkonforme Nutzung an Schulen mit Billigung der dortigen obersten Aufsichtsbehörde bereits möglich. Hier müssen Aufsichtsbehörden von Schulen erst noch davon überzeugt werden.
Was gilt für MNSPro Cloud?
MNSpro Cloud von der Firma AIXConcept besteht aus zwei Teilen, MNSpro und Microsoft 365. Für beide werden getrennte Verträge zur Auftragsverarbeitung abgeschlossen. Während man das von AIXConcept erstellte und betriebene MNSpro auf der Rechtsgrundlage der neuen Regelungen einführen können sollte, gilt für die angedockten Microsoft 365 Tenant, was zuvor schon für Microsoft 365 gesagt wurde.
Was ist bei IServ zu beachten?
IServ ist ein deutscher Anbieter und die Plattform lässt sich DS-GVO konform nutzen, egal ob es sich um die klassische on premise Lösung mit Server im Schulkeller oder beim Schulträger handelt oder um die vom Anbieter gehostete “Cloud” Version. Die Plattform bringt damit alle Voraussetzungen für eine verpflichtende Nutzung mit. Zu regeln ist die Nutzung des Profils, denn hier können schulische Nutzer persönliche Informationen einstellen, die über für den Unterricht erforderliche Daten hinausgehen. Die einfachste Lösung für Schulen ist die komplette Deaktivierung des Profils. Möchte eine Schule die Nutzung des Profils zulassen, sollte eine Nutzungsvereinbarung erstellt werden, welche das Füllen des Profils davon abhängig macht, ob Nutzer zuvor eine Einwilligung in die Verarbeitung der dort eingetragenen Daten erteilt haben. Die im Download Bereich zur Verfügung gestellte Einwilligung mit Informationen zur Datenverarbeitung gem. Art. 13 DS-GVO für IServ kann eine verpflichtende Nutzung umgearbeitet werden.
Wie sieht es mit itslearning aus?
Die aus Norwegen kommenden Plattform, sollte bezüglich der eigentlichen Kernplattform im Sinne der neuen Regelungen des SchulG NRW nutzbar sein. In Bremen ist itslearning sogar mitbestimmt (siehe Dienstvereinbarung zu der Lernplattform „itslearning“). Ein Problem stellt jedoch das integrierte Microsoft Office dar. Dieses Office speichert zwar die erstellten Word, Excel und PowerPoint Dokumente auf den itslearning Servern, braucht jedoch zur Bearbeitung in der Plattform die Online-Office Dienste von Microsoft, und deren DS-GVO Konformität wird angezweifelt. In Baden Württemberg, erhalten Schulen itslearning über das Schulministerium, aus den genannten Gründen allerdings ohne Freischaltung der (Microsoft) Office Komponente, wie im 21. Tätigkeitsbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden Württemberg nachzulesen ist. Integriert man stattdessen ein im Auftrag betriebenes Collabora Office oder Only Office, sollte eine Nutzung von itslearning komplett nach den neuen Regelungen möglich sein.
Kann Moodle auf der neuen Rechtsgrundlage verpflichtend genutzt werden?
Anders als zur Zeit bei Logineo NRW LMS, dem Landes Moodle, steht einer Nutzung von Moodle außerhalb der Landeslösung nichts entgegen. Da Logineo NRW LMS mitbestimmt ist, sollte eine Mitbestimmung gem. LPVG NRW leicht zu erreichen sein. Das ist vor allem dann der Fall, wenn die Konfiguration sich an der der Landeslösung orientiert und keine zusätzlichen Plugins genutzt werden, welche ihrerseits durch ihre Funktionen mitbestimmungspflichtig sind.
Wie geht man mit den freiwillig eingebrachten Nutzerdaten um?
Hier gibt es nur eine sinnvolle Lösung. Per Nutzungsordnung muss die Nutzung für Inhalte, die in keinem Zusammenhang mit dem Unterricht bzw. bei Lehrkräften mit der Erfüllung der Aufgaben und der Durchführung von Unterricht stehen, untersagt werden. Diese Nutzungsordnung müssen Nutzer dann zur Kenntnis nehmen. Die Kenntnisnahme kann in verschiedener Form erfolgen. Bei Schülerinnen und Schülern wie auch Lehrkräften kann das eine Belehrung sein mit Hinweis, wo die Nutzungsordnung in schriftlicher Form nachzulesen ist. Es muss keine Online-Nutzungsordnung sein, die vor Freischaltung des Nutzerkontos per Setzen eines Häkchens zu quittieren ist.
Alternativ wäre vorstellbar, dass eine Plattform so eingestellt wird, dass Nutzer die Möglichkeit haben, in die Verarbeitung von personenbezogenen Daten, die über Unterricht bzw. bei Lehrkräften die Erfüllung der Aufgaben und die Durchführung von Unterricht hinausgehen, innerhalb der Plattform in den Nutzereinstellungen einzuwilligen. Zusätzliche Funktionen, etwa zum Anlegen eines Nutzerprofils erscheinen nach er Einwilligung. Der Widerruf der Einwilligung und das Löschen der dort hinterlegten Daten sollten dort dann ebenfalls möglich sein.
Ist auch eine verpflichtende Nutzung von personenbezogenen Daten in einer digitalen Plattform möglich, die vor März 2022 an der Schule eingeführt wurde?
Wie aus den Erläuterungen im Gesetzesentwurf zum 16. Schulrechtsänderungsgesetz hervorgeht, lassen sich die neuen Regelungen auch auf bereits eingeführte Plattformen anwenden: “Dies schließt alle Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen im Sinne des § 8 Absatz 2 ein, die die Schule zur Erfüllung ihres Bildungs- und Erziehungsauftrags nutzt.” Auch die Formulierungen in § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW nehmen hier keine Eingrenzung auf Plattformen vor, die ausdrücklich auf der Grundlage § 8 Abs. 2 SchulG NRW einführt wurden. Bereits an Schulen genutzte Plattformen können, sofern sie die Vorgaben des SchulG NRW und der DS-GVO erfüllen, ebenfalls auf der Grundlage von § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW in Verbindung mit § 8 Abs. 2 genutzt werden.
Auch eine verpflichtende Nutzung ist möglich. Diese setzt einen Beschluss der Schulkonferenz gemäß § 65 Abs. 2 Nr. 6 voraus. Im Gesetzesentwurf weist das MSB darauf hin, dass die der Schulkonferenz dort eingeräumte Entscheidungsbefugnis nicht für bereits vor Inkrafttreten des 16. Schulrechtsänderungsgesetzes existierende und genutzte Systeme und Plattformen gilt. Das bedeutet, Schulen können nicht nachträglich über bereits genutzte Plattformen und Systeme entscheiden, sondern müssen einen Umweg gehen. Dafür bitten sie den Schulträger, der Schulkonferenz gegenüber zu erklären, dass er der Schule die jeweilige Plattform bzw. das jeweilige System bereitstellen möchte und zur Nutzung vorschlägt. Daraufhin entscheidet die Schulkonferenz über diesen Vorschlag zur Nutzung.
Eine Grundschule, die bereits LeseLudi, Antolin, ZahlenZorro oder ähnlich im Sinne des § 8 Absatz 2 nutzt, könnte die Nutzung dann umstellen und auf das Einholen einer Einwilligung zukünftig verzichten. Informationen gem. Art. 13 DS-GVO über die Datenverarbeitung bei der Nutzung sind jedoch weiterhin erforderlich.
Was, wenn für eine Plattform bereits Einwilligungen eingeholt/ erteilt wurden?
Verfügt eine Schule über eine Plattform, die sie bereits vor dem 16. Schulrechtsänderungsgesetz zur Erfüllung des Bildungs- und Erziehungsauftrags einsetzte, so dürften für die Verarbeitung von personenbezogenen Daten Einwilligungen von Schülern und Lehrkräften vorliegen. Die Schule kann Einwilligungen nicht von ihrer Seite aus aufheben. Sie haben also weiterhin Gültigkeit. Widerrufen Betroffene ihre Einwilligung, müssen der Zugang und die mit der Nutzung angefallenen personenbezogenen Daten der betroffenen Person gelöscht werden, da diese auf der Rechtsgrundlage Einwilligung verarbeitet wurden. Es könnte im Anschluss jedoch direkt ein neues Nutzerkonto erstellt werden, wenn die Schule die Plattform jetzt auf der Grundlage der neuen Regelungen nutzt. Die betroffene Person wäre dann sogar zu dessen Nutzung verpflichtet, wenn die dafür erforderlichen Voraussetzungen wie die Ausstattung mit einem Endgerät stimmen.
Können Schüler und Lehrkräfte zur Nutzung der Online Tools von kits.blog verpflichtet werden?
Leider ist das nicht möglich. Auch wenn die Tools des Niedersächsischen Landesinstituts für schulische Qualitätsentwicklung (NLQ) sehr datenschutzfreundlich sind, erfüllen sie die Vorgaben des SchulG NRW nicht, da mit dem NLQ kein Vertrag zur Auftragsverarbeitung abgeschlossen werden kann. Gleiches gilt auch für vergleichbare Plattformen, etwa von ZUM oder von eBildungslabor und ähnlich.
Wir haben keine 1:1 Ausstattung. Ist eine verpflichtende Nutzung damit unmöglich?
Nein, sie kann durchaus möglich sein. Es muss nur jedem Nutzer ein schulisches Endgerät zur Verfügung stehen. Das können auch die Tablets aus dem Tablet Koffer sein, den die Lerngruppe sich für ein Unterrichtsprojekt ausleiht. Viele Schulen haben noch PC Räume. Auch dort ist eine verpflichtende Nutzung durchaus umsetzbar. Weder in den neuen Regelungen des SchulG NRW, noch in den Erläuterungen zum Gesetzesentwurf gibt es Hinweise, dass die verpflichtende Nutzung ein persönliches digitales Endgerät voraussetzt.
Sollte es von Seiten der Leser Fragen geben, so schreiben Sie diese gerne in die Kommentare.