Schulisches WLAN mit Einwilligung nutzen

Lesezeit: < 1 Minute

Viele Schulen stellen Schülern und Lehrkräften personalisierte WLAN Zugänge bereit, die sie über private Endgeräte oder schulische Leihgeräte im Rahmen des Unterrichts so wie zur Vor- und Nachbereitung desselben nutzen können. Dabei werden auch personenbezogene Daten verarbeitet. Nicht für alle davon lässt sich aus dem Schulgesetz NRW in Verbindung mit dem DSG NRW eine Rechtsgrundlage ableiten. Das macht eine Einwilligung der Betroffenen erforderlich.

In der Regel braucht es auch eine Nutzungsvereinbarung für ein schulisches WLAN. Die Vorlage berücksichtigt die Nutzung eines Zugangs auf das Internet, Online-Plattformen und damit verbundene Dienste über das schulische WLAN1Anders als die Einwilligungsvorlage berücksichtigt diese Vorlage nicht den Zugriff auf Ressourcen im schulinternen Netzwerk!:

Weitere Informationen zum Thema schulisches WLAN

Informationen der Medienberatung NRW zum Thema schulisches WLAN finden sich in einer Broschüre mit dem Titel WLAN AN SCHULEN – Eine Orientierungshilfe für Schulträger, Schulleitungen und Entscheidungsgremien.pdf2In dieser Broschüre finden sich übrigens auch interessante Aussagen zur logischen Trennung von Netzwerken (virtuelle Netzwerke) – siehe Kapitel “NETZWERKKONFIGURATIONEN UND BENUTZERVERWALTUNG”

Sehr hilfreich ist auch die Broschüre SCHULISCHES WLAN – HAFTUNGSRECHTLICHE FRAGEN FÜR DEN BETRIEB EINES SCHULISCHEN WLAN der Gesellschaft für Informationssicherheit mbH

Video von der Abschlussfeier streamen

Lesezeit: < 1 Minute

Verschiedene Schulen planen, die feierliche Überreichung der Abschlusszeugnisse live zu streamen, so dass die Familienmitglieder der Abschlussschülerinnen und -schüler unmittelbar dabei sein können, wenn auch nur aus der Ferne. Ohne eine Einwilligung geht das nicht und die Einwilligung muss freiwillig sein. Die Hürden dafür sind bei einer Entlassfeier hoch, da jeder teilnehmen möchte bzw. muss. Während es bei den Schülern je nach Veranstaltungsort durchaus möglich sein dürfte, die Aufnahme so einzustellen, dass es einen Bereich dicht am Geschehen gibt, etwa am Rand der Bühne, der nicht erfasst wird, gibt es eine solche Möglichkeit bei den Lehrkräften nicht. Hier bleiben nur zwei Optionen. Entweder es ist möglich, dass eine Lehrkraft, welche nicht aufgenommen werden will, vertreten wird, durch eine Lehrkraft, die dazu bereit ist, oder der Teil, in welchem die betroffene Lehrkraft ihre Zeugnisse übergibt, kann nicht aufgenommen und gestreamt werden.

Alternativ zum Streaming sind die Personen, welche damit nicht einverstanden sind, vielleicht bereit an Aufnahmen teilzunehmen, die anschließend auf einem Medium gespeichert an die Abschlussschüler übergeben werden.

Schulen sollten bei diesem heiklen Thema mit Bedacht vorgehen und niemanden unter Druck setzen, auch nicht indirekt. Mit Bedacht sollte auch die Plattform zum Streaming ausgewählt werden. Auch eine Videokonferenz Plattform wie BigBlueButton kommt dafür eventuell in Frage, wenn bei den Gästen Ton und Bild deaktiviert bleiben.

Microsoft Teams – Einwilligung

Lesezeit: < 1 Minute

Auf Nachfrage gibt es jetzt auch eine Vorlage für Informationen zur Datenverarbeitung gem. Art. 13 DS-GVO und eine Einwilligung in die Datenverarbeitung zur Nutzung von Microsoft Teams. Die Vorlage ist ausgerichtet auf Schulen, die kein Office 365/ Microsoft 365 nutzen, und berücksichtigt deshalb auch die Erstellung eines Nutzerkontos. Für Schulen, die bereits Office 365/ Microsoft 365 nutzen, kann die Vorlage auch auf die Nutzung der Kommunikationstools, Sprachnachricht, Audi- Videokonferenz und Chat reduziert werden.

Schulen, die Teams mit ihren Schülern ohne ein eigenes Nutzerkonto nutzen möchten, brauchen eine andere Einwilligung, da hierbei deutlich weniger personenbezogene und -beziehbare Daten verarbeitet werden.

 

Bitte denken Sie daran, auch eine Nutzungsvereinbarung zu Teams zu erstellen, denn nur wenn Regeln vereinbart werden, kann man erwarten, dass Nutzer sich daran halten. Eine Vorlage speziell für Teams findet sich bei der Stadt Nürnberg. Die Nutzungsvereinbarung ist ein essentieller Bestandteil der organisatorischen Maßnahmen zum Schutz und zur Sicherheit der personenbezogenen Daten der Nutzer und ergänzt die technischen Maßnahmen. Zu diesen gehören neben einem Rechte- und Rollenkonzept auch sichere Voreinstellungen in MS Teams.

Bitte beachten Sie, dass durch das EU-GH Urteil vom 16.07.2020, der EU-US Privacy Shield für ungültig erklärt wurde. Transfers von personenbezogenen Daten in die USA, wie sie auch bei einer Nutzung von MS Teams möglich sind, können damit nicht mehr auf der Grundlage des EU-US Privacy Shield erfolgen.1Microsoft stützt diese Transfers jetzt auf die Standard Vertragsklauseln. Ob die Aufsichtsbehörden das als datenschutzkonform einschätzen, wird man sehen. Die Informationen zur Datenverarbeitung, die zur Einwilligung gehören, berücksichtigen dieses in der aktualisierten Version. Bitte lesen Sie sich die Informationen in den Vorlagen genau durch.
Ob die Aufsichtsbehörden dieses Vorgehen so als einen gangbaren Weg akzeptieren, bleibt vorerst abzuwarten.

Stand 09/2020

Einwilligung – Vorlagen für BigBlueButton

Lesezeit: < 1 Minute

Wenn eine Schule eine Videokonferenz Plattform betreibt oder mit einem Vertrag zur Auftragsverarbeitung durch einen Dienstleister betreiben lässt, fallen bei der Nutzung personenbezogenen Daten der Videokonferenzteilnehmer an. Dieses ist nur mit einer Information über die Datenverarbeitung nach Art. 12 DS-GVO möglich und einer Einwilligung, die gegenüber der Schulleitung abgegeben wird.

Diese Vorlage ist für Schüler gedacht, die ohne ein eigenes Nutzerkonto an Videokonferenzen der Schule teilnehmen.

Diese Vorlage ist für Lehrkräfte gedacht, die gegebenenfalls auch ein Nutzerkonto erhalten, um Videokonferenzen leiten zu können.

Beide Vorlagen lassen sich leicht auch auf andere Plattformen anpassen. Dabei muss nur darauf geachtet werden, dass bei den Informationen zur Datenverarbeitung alle funktionsbedingten Datenverarbeitungen mit berücksichtigt werden. Beispiel: die Plattform erlaubt Umfragen und diese werden genutzt.

Sollen Videokonferenzen mit Eltern durchgeführt werden, empfiehlt es sich, aus der Vorlage für Schüler eine entsprechende Version zu erstellen.

Bitte achten Sie auch darauf, die Nutzung Ihrer Videokonferenz Plattform durch mit den Teilnehmern und Gastgebern vereinbarte Nutzungsregeln abzusichern.

Wichtig! Die Vorlagen gehen davon aus,

  • dass die von der Schule genutzte BigBlueButton Instanz so konfiguriert betrieben wird, dass nur die personenbezogenen Daten verarbeitet werden, die zum Betrieb tatsächlich erforderlich sind, und
  • die Nutzung per Voreinstellungen auf größtmögliche Sicherheit ausgelegt ist.1Einige Hinweise dazu gibt es unter BigBlueButton – Datenschutz Check

Weitere Informationen zu BigBlueButton und Videokonferenzen in Schule

Notfallinformationen für eine Klassenfahrt abfragen

Lesezeit: < 1 Minute

Vor allem wenn es auf eine längere Klassenfahrt geht, ist es sinnvoll, Notfallinformationen bei den Erziehungsberechtigten abzufragen.1Diese Abfrage geht davon aus, dass entsprechende Informationen nicht bei der Anmeldung an der Schule eingeholt worden sind oder man einfach nur auf Nummer sicher gehen möchte, dass die Informationen aktuell sind. Das erlaubt es den begleitenden Lehrkräften im Falle eines Falles, den Anweisungen der Erziehungsberechtigten entsprechend zu handeln. Abgefragt werden so sinnvollerweise eventuell bestehende Erkrankungen und regelmäßige Medikamenteneinnahmen sowie Kontaktinformationen, welche es erlauben, die Erziehungsberechtigten für die Zeitdauer der Klassenfahrt rund um die Uhr zu erreichen. Die Vorlage ist dafür ausgelegt, die ausgefüllten Vordrucke in einen Umschlag gepackt mit auf die Klassenfahrt zu nehmen. Für den Fall, dass beabsichtigt ist, diese Information auf den Smartphones der begleitenden Lehrkräfte zu speichern, finden sich im Anhang zur Vorlage weitere Informationen und Textbausteine zur Anpassung.

NextCloud – Plattform – Datenschutz für Schulen mit Open Source

Lesezeit: 2 Minuten

NextCloud ist eine Open Source Plattform, die für Schulen gut geeignet ist, für Teamarbeit im Kollegium, zur Abbildung von schulischen Organisationsstrukturen und -abläufen und zur Durchführung von Unterricht. Die Plattform zeichnet sich durch Flexibilität aus, einfache Bedienung und sehr gute Sicherheitsmerkmale1300.000 Bedienstete der Bundesverwaltung nutzen die NextCloud statt Dropbox oder Google Drive.. Eine Dateiablage, ein ausgefeiltes Rechte- und Rollenmanagement für Nutzer und Ressourcen, Kollaborationswerkzeuge wie ein OnlineOffice, ein Messenger, ein Kalender, Verschlüsselung, 2-Faktor-Authentifizierung und weitere Module ermöglichen eine sichere Nutzung für Schüler und Lehrkräfte. Man kann die kostenlose Plattform als Schule selbst aufsetzen, durch den Schulträger oder einen von diesem beauftragten Dienstleister betreiben lassen oder man nimmt die Dienste eines anderen Anbieters in Anspruch. Neben diversen großen Webspace Anbietern gibt es auch Anbieter, die sich auf den Bereich Schule spezialisiert haben. Einer von diesen ist beispielsweise EduDocs aus Lübeck. Dort hat man die Möglichkeit, die schulische NextCloud so einzurichten, dass sie den datenschutzrechtlichen Vorgaben aus Nordrhein Westfalen entspricht.2Wer hier mehr Informationen haben möchte, kann mich gerne kontaktieren.  Da ich immer auf der Suche nach guten, datenschutzkonformen Lösungen bin, habe ich den Anbieter bei der Konzeption einer Lösung für Schulen in NRW, die sich ein wenig an Logineo NRW orientiert, in meiner Freizeit beraten. Disclaimer: Meine Beratung erfolgte rein idealistisch. Ich habe keinerlei finanzielle Vorteile von einer Nennung des Anbieters. Anders als bei großen internationalen Anbietern von Plattformen braucht eine Schule sich mit einer in Deutschland betriebenen NextCloud keine Sorgen machen wegen einer Verarbeitung von personenbezogenen Daten auf Servern außerhalb der EU und den damit einhergehenden datenschutzrechtlichen Problemen.

Die Nutzung einer schulischen NextCloud bedeutet auch immer, es werden personenbezogene Daten von Schülern und Lehrkräften verarbeitet. Dafür braucht es eine Einwilligung. In die Vorlage integriert sind eine Nutzungsvereinbarung und Informationen zur Datenverarbeitung in der NextCloud. Da sich die Nutzung für Schüler und Lehrkräfte deutlich unterscheidet, gibt es zwei Vorlagen.3Als Zugabe gibt es noch eine Vorlage für ein Nutzungskonzept Nutzungskonzept für NextCloud – EduDocs.docx Die Vorlage für Schüler ist zusätzlich in vereinfachter Sprache abgefasst, so dass auch Schüler und Personen mit geringeren Deutschkenntnissen die Informationen verstehen können.

Verpflichtung zur Vertraulichkeit und zum Datenschutz

Lesezeit: < 1 Minute

In vielen Schulen übernehmen Lehrkräfte Administrationsaufgaben, sei es im pädagogischen Netz oder in einer durch die Schule genutzten Plattform, egal ob es sich dabei um Office 365 handelt, im Apple School Manager und ein MDM, um Moodle, G Suite for Education, iServ oder eine Nextcloud wie EduDocs.1Die Beispiele sollen deutlich machen, dass es vor allem um Administrationstätigkeiten geht, bei denen personenbezogene Daten in größerem Umfang oder auch sensiblere Informationen verarbeitet werden oder bei denen die dort verarbeiteten Daten Aufschluss über Nutzerverhalten geben. Die Schulleitung muss hier selbst entscheiden, ob sie eine Verpflichtung für notwendig erachtet. Im Zweifelsfall kann eine Verpflichtung nicht schaden. Durch ihre Administrationsrechte erhalten diese Personen die Möglichkeit, auf viele personenbezogene Daten aus der Schule zuzugreifen bzw. diese einzusehen. Selbst wenn die Administrationsrechte nur auf einen Teilbereich beschränkt sind, wie etwa die Nutzerverwaltung, so besteht auch dann immer noch die Möglichkeit, auf möglicherweise sensible personenbezogene Daten Zugriff zu erhalten. Zu den technischen und organisatorischen Maßnahmen nach Art. 5 Abs. 1 lit. f sollte auch eine Verpflichtung zur Vertraulichkeit und zum Datenschutz gehören. Zwar sind Lehrkräfte als Bedienstete des Landes zur Verschwiegenheit verpflichtet, doch trotzdem empfiehlt sich diese Verpflichtung mit einer Belehrung im Vorfeld. Eine Schulleitung stellt so sicher, dass die mit Administrationsaufgaben betraute Person sich im Klaren ist über die mit dieser Rolle einhergehenden Pflichten. Sie kommt so auch ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO 2Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).nach. Zusätzlich stellt diese Verpflichtung eine Gewähr für andere Lehrkräfte an der Schule dar, dass das Kollegiumsmitglied, welches durch seine Administrationstätigkeit nun eine Zugriffsmöglichkeit auf ihre personenbezogenen Daten hat, diese Möglichkeit nicht missbrauchen darf. Der schulische Administrator sollte nach Unterzeichnung der Verpflichtung eine Kopie davon erhalten.

Hinweis: Administratoren des Schulträgers oder von durch diesen beauftragten IT-Dienstleistern werden durch ihre jeweiligen Arbeitgeber entsprechend verpflichtet.