Schulische Plattformen verbindlich einführen?

Lesezeit: 3 Minuten

Im Mai 2020 hat die LDI NRW die Schrift LDI NRW – Pandemie und Schule veröffentlicht und diese Schrift hat es in sich. Man muss sie sehr genau durchlesen und findet Erstaunliches.

Die LDI NRW hält es für vertretbar, E-Learning-Plattformen und Videokonferenz Plattformen verbindlich einzuführen.

Sie stützt diese Einschätzung auf die anstehenden Änderungen des Schulgesetz NRW.1Siehe dazu auch den Beitrag Obligatorische Einführung einer Plattform und dort den Abschnitt „Obligatorisch auch jetzt schon denkbar?“ Dort werden die rechtlichen Grundlagen geschaffen, um Plattformen wie itsLearning, Moodle, iServ, Logineo NRW und ähnlich für Schüler und Lehrkräfte verbindlich einzuführen.

In der Schrift heißt es auf Seite 9 und 10:

Im Vorgriff auf die ausdrücklich vorgesehene Gesetzesänderung ist es aus Sicht der LDI NRW hinnehmbar, die Verarbeitung der zum Einsatz von E-Learning-Plattformen erforderlichen Daten vorübergehend noch auf die genannten Generalklauseln zu stützen. Voraussetzung hierbei ist, dass die Verarbeitung dieser Daten entsprechend dem Gesetzeswortlaut im Verantwortungsbereich der Schule erfolgt, d.h. entweder durch sie selbst oder indem durch Regelungen in einem Auftragsverarbeitungsvertrag sichergestellt ist, dass sie „Herrin der Daten“ ist.

Das heißt, die LDI NRW hält es für vertretbar, auch jetzt schon, noch vor Veröffentlichung der Änderung des Schulgesetzes, eine Plattform2Der Begriff E-Learning-Plattform ist nicht fest definiert. Es könnte hier sicherlich auch eine Arbeitsplattform wie CollaboraOnline drunter gefasst werden. an einer Schule verpflichtend einzuführen, wenn man sich dabei auf die sehr weit gefassten Generalklauseln in § 120 Abs. 1 Satz 1 und §121 Abs. 1 Satz 1 SchulG NRW stützt.

Wichtig ist dabei jedoch, dass diese Möglichkeit an Bedingungen geknüpft ist. 

  1. Die Schule muss Herrin der Daten sein. Dazu muss sie die Daten entweder selbst verarbeiten oder sie lässt sie im Rahmen eines Vertrag zur Auftragsverarbeitung durch einen Dienstleister verarbeiten.
  2. Eine Datenverarbeitung darf nur im Rahmen des Erforderlichen erfolgen; eine Protokollierung von Systemzugriffen zur Wahrung der Sicherheit der Systeme ist aus datenschutzrechtlicher Sicht erforderlich und damit zulässig. Nicht erforderlich und damit unzulässig wäre hingegen ein Zugriff der Lehrkräfte auf die Protokolldaten zur Kontrolle des Arbeitsverhaltens ihrer Schülerinnen und Schüler oder der Schulleitung zur Kontrolle des Arbeitsverhaltens der Lehrkräfte.
  3. Die betroffenen Personen, Schüler und Lehrkräfte, müssten über die verpflichtende Nutzung vorab entsprechend Art. 12 DS-GVO informiert werden.
  4. Es muss gewährleistet sein, dass alle Betroffenen die digitalen Module nur im zulässigen Umfang nutzen können. Dieses wird durch technische und organisatorische Maßnahmen geregelt, etwa entsprechende Voreinstellungen in der Plattform und gegebenenfalls Nutzungs- bzw. Dienstvereinbarungen.
  5. Es muss gewährleistet sein, dass alle Betroffenen die digitalen Module auch tatsächlich nutzen können. Die LDI NRW vertritt hier die Ansicht, dass Lehrenden und Lernenden entsprechende dienstliche Geräte zur Verfügung gestellt werden müssten.3In der Praxis wird es aber darauf hinauslaufen, sicherzustellen, dass alle Betroffenen zu Hause zumindest über entsprechende private Endgeräte verfügen und einen ausreichenden Internetanschluss. Ist solches nicht sicherzustellen, muss die verbindliche Nutzung auf die Schule beschränkt bleiben.

Auch bezüglich Videokonferenzen sieht die LDI NRW (S. 12) eine Möglichkeit, eine solche Plattform zur Aufrechterhaltung des Unterrichts- oder Konferenzbetriebs verbindlich für Schüler und Lehrkräfte einzuführen. Allerdings knüpft sie daran über die oben aufgeführten weitere Bedingungen. Diese gelten sowohl für den Austausch via Videokonferenz Plattform zwischen Lehrkräften und Schülern wie auch zwischen Lehrkräften oder Lehrkräften und der Schulleitung:

  1. Die Schulleitung muss es während der Schulschließungen und der weitgehenden Kontaktverbote zur Aufrechterhaltung des Unterrichts- und Schulbetriebs für erforderlich erachten, derartige Videokonferenzen durchzuführen.
  2. Diese Möglichkeit zur verbindlichen Einführung einer Videokonferenz Plattform endet mit der Wiederaufnahme des normalen Schul- und Unterrichtsbetriebs, da sich damit eine solche Erforderlichkeit nicht mehr begründen lässt.
  3. Eine Aufzeichnung von Bild- und Tondaten ist nicht zulässig, da diese nicht zur Aufrechterhaltung des Unterrichts- und Schulbetriebs erforderlich ist. Dass keine Aufzeichnung erfolgt, ist durch geeignete technische und organisatorische Maßnahmen sicherzustellen. In BigBlueButton dürften so beispielsweise Räume von Vornherein nicht mit Aufnahmefunktion angelegt werden. Teilnehmer an Videokonferenzen müssten darauf verpflichtet werden, dass sie auch mit Mitteln von Betriebssystemen oder spezieller Software keine Aufzeichnungen anfertigen.
  4. Es muss sichergestellt sein, dass an einer Videokonferenz nur berechtigte Personen teilnehmen. Das heißt, Eltern, Geschwister und andere Familienmitglieder oder Freunde dürfen nicht teilnehmen, zuschauen oder zuhören. Entsprechendes ist in einer Verpflichtung der Teilnehmer zu berücksichtigen.

Für die Auswahl geeigneter Videokonferenzplattformen hat die LDI NRW sogenannte Leitplanken für die Auswahl von Videokonferenzsystemen während der Kontaktbeschränkungen aufgrund der Corona-Pandemie erstellt.

Schulen in NRW, die sich mit dem Gedanken tragen, eine E-Learning- oder Videokonferenz Plattform verbindlich einzuführen, sollten dabei sehr umsichtig vorgehen und sich vorab unbedingt mit ihrem behördlich bestellten schulischen Datenschutzbeauftragten beraten. Eine Übersicht über diese Datenschutzbeauftragten gibt es bei der Medienberatung NRW.

Auch wenn es sich bei der (vorübergehenden) verbindlichen Einführung einer Videokonferenz Plattform um eine Entscheidung der Schulleitung handelt, sollten die Mitbestimmungsgremien der Schule – SV, Elternpflegschaft, Lehrerrat und Schulkonferenz – in die Entscheidung mit einbezogen werden. Bei der Einführung einer E-Learning-Plattform ist die Einbeziehung der Mitbestimmungsgremien unverzichtbar.

Wer sich ausführlicher mit dem Thema der obligatorischen Einführung von Plattformen an Schulen, mit Beispielen aus Bayern und Bremen, beschäftigen möchte, sei auf den Beitrag Obligatorische Einführung einer Plattform verwiesen.

Stand 05/2020

Teilnahme am Unterricht über Video – geht das?

Lesezeit: 5 Minuten

Die Technik macht es möglich. Schüler können von zu Hause über Videokonferenz Plattformen am Unterricht ihrer Klasse teilnehmen. Gerade in Zeiten von Corona ist diese Möglichkeit von Interesse, vor allem dann, wenn Schüler entweder selbst zu einer Risikogruppe gehören oder Familienangehörige mit Vorerkrankungen haben und aus diesem Grund nicht in die Schule kommen können, um am Unterricht teilzunehmen. Es stellt sich deshalb die Frage, ob solches aus schul- und datenschutzrechtlicher Sicht möglich ist?

Die Rechtslage

Sobald es um die Aufzeichnung von Unterricht in Form von Audio oder Video geht oder die vorübergehende Aufzeichnung von Bild- und Tondaten des Unterrichts zur Übermittlung im Rahmen einer Videokonferenz, bewegt man sich in einem recht problematischen Bereich. E geht hier um einen Eingriff in die Grundrechte, der nicht durch das Schulgesetz gedeckt ist. Dabei ist es letztlich egal, ob es um Aufzeichnungen, Streaming, Mithören über Telefon oder Teilnahme über eine Videokonferenz Plattform geht. Da das Thema Videoübertragung von Unterricht im Schulgesetz aktuell nicht einmal vorgesehen ist, muss man sich an den Vorgaben zur Audio- und Videoaufzeichnung orientieren. Genau genommen findet auch bei einer Videokonferenz eine Aufzeichnung dieser Daten statt, da ohne diese rein technisch gesehen keine Übermittlung möglich wäre.

In der noch gültigen Fassung des Schulgesetzes sind Aufnahmen des Unterrichts gemäß §120 Abs. 3 Satz 2 nur für bestimmte Zwecke zulässig.

„Für Zwecke der Lehrerbildung sowie der Qualitätsentwicklung und Qualitätssicherung dürfen vom Ministerium genehmigte Bild- und Tonaufzeichnungen des Unterrichts erfolgen, wenn die Betroffenen rechtzeitig über die beabsichtigte Aufzeichnung und den Aufzeichnungszweck informiert worden sind und nicht widersprochen haben.“

In der Kommentierung zum Schulgesetz NRW1Wingen; SchulG NRW-Kommentar, März 2015. Katernberg, S. 40 heißt es dazu:

„Ton- und Bildaufzeichnungen des Unterrichts. Ton- und Bildaufzeichnungen tangieren die Persönlichkeitsrechte der betroffenen Personen in besonderer Weise. Dies gilt erst recht, wenn die Aufzeichnung im Unterricht erfolgt, weil die Teilnahme am Unterricht sowohl für die Lehrkraft als auch für die Schülerinnen und Schüler im Regelfall verpflichtend ist. Deshalb ist es besonders wichtig, die Voraussetzungen und Grenzen des § 120 Abs. 3 Satz 2 SchulG wie auch des § 121 Abs. 1 Satz 2 SchulG in der Schulpraxis sorgfältig zu beachten. Dies sind übrigens die einzigen Ausnahmefälle, in denen nach dem SchulG überhaupt Bild- und/oder Tonaufzeichnungen in der Schule zulässig sind. Das bedeutet im Umkehrschluss, dass in allen anderen Fällen derartige Aufzeichnungen regelmäßig ausscheiden, wenn nicht die betroffenen Personen zuvor wirksam in diese besondere Datenerhebung und -Verarbeitung eingewilligt haben.“

Die noch geltende Rechtslage schränkt die Möglichkeiten für Bild- und Tonaufzeichnungen auf der Grundlage des Schulgesetzes stark ein. Wie im letzten Satz des Kommentars aber auch deutlich wird, schließt das Schulgesetz auch aktuell Bild- und Tonaufnahmen nicht kategorisch aus. Im Entwurf der Neufassung des Schulgesetzes2Siehe https://www.landtag.nrw.de/portal/WWW/dokumentenarchiv/Dokument/MMV17-2308.pdf wird §120 Abs. 3 Satz 2 gestrichen und lautet als neuer Absatz 5:

„Bild- und Tonaufzeichnungen des Unterrichts bedürfen der Einwilligung der betroffenen Personen.“

Hintergrund der Änderung sind die häufigen Missverständnisse bei der Anwendung der bestehenden Regelung und die Absicht, die Rechte der Schülerinnen und Schüler zu stärken.3Siehe MMV17-2308 – Entwurf 15. Schulrechtsänderungsgesetz (15.“SchuIRÄndG) Text Begründung (Stand 10.07.2019), S. 11

Entsprechenden Änderungen finden sich auch für §121 Abs. 1. Satz 2 bezüglich der Rechte der Lehrkräfte. In der Begründung wird auch hier eine Verbesserung der Datenschutzrechte der Lehrkräfte angeführt.4„Mit der Neufassung des Absatzes 1 Satz 2 wird die Entscheidung über Bild- und
Tonaufnahmen des Unterrichts zur Verbesserung der Datenschutzrechte der Lehrkräfte auch von deren Einwilligung abhängig gemacht.“ MMV17-2308 – Entwurf 15. Schulrechtsänderungsgesetz (15.“SchuIRÄndG) Text Begründung (Stand 10.07.2019), S. 12

Damit ist klar, mit einer Einwilligung der Betroffenen, das meint Schüler wie Lehrkräfte, sind Bild- und Tonaufzeichnungen möglich. Dem Sinn und Zweck dieser Regelung nach lässt sich dieses auch auf eine Übertragung der Aufzeichnungen anwenden.

Möglichkeiten der Umsetzung

Eine Einwilligung setzt immer eine Freiwilligkeit voraus und eine Information über die Datenverarbeitung, so dass Betroffene die für sie möglicherweise entstehenden Risiken abwägen können, um eine Entscheidung zu treffen. Da Schüler, wie auch im Kommentar beschrieben, verpflichtet sind, am Unterricht teilzunehmen, kann eine Freiwilligkeit nur dann bestehen, wenn es gleichwertige Alternativen gibt. Das könnte das Angebot sein, am Unterricht einer Parallelgruppe teilzunehmen.

In normalen Zeiten, wenn es nur darum geht, den Unterricht einem Schüler im Krankenhaus zugänglich zu machen, wäre eine solche Alternative durchaus umsetzbar, in Zeiten von Corona mit festen Lerngruppen dürfte solches schwierig sein. Sollten Schüler hier die Einwilligung verweigern, kann dieses nur bedeuten, dass eine Teilnahme des Mitschülers über eine Videokonferenz Plattform nicht möglich ist oder eine Alternative gefunden werden muss, die Teilnahme des Mitschülers zu ermöglichen, ohne dabei die Rechte der anderen Schüler zu beeinträchtigen.

Eine solche Möglichkeit könnte darin bestehen, dass die Kamera des Laptops, Tablets oder Smartphones, über welche die Videokonferenz Plattform läuft, nur auf den Teil der Klasse gerichtet sein, wo die Tafel bzw. das Display und die Lehrkraft sich befinden. Um die Schüler, welche ihre Einwilligung verweigern, nicht über das Mikrofon des Laptops/ Tablets/ Smartphones zu erfassen, wäre es einmal möglich, das Mikrofon jeweils stummzuschalten, wenn der betroffene Schüler einen Wortbeitrag macht. Alternativ könnte die Lehrkraft ein kleines mit dem Endgerät gekoppeltes Ansteckmikrofon tragen, welches nur die eigene Stimme erfasst. Die betroffenen Schüler sollten weiter hinten im Raum sitzen. Besteht die technische Möglichkeit wie beschrieben nicht, muss auf eine Videokonferenz Schaltung verzichtet werden.

Bei den Lehrkräften gibt es die Möglichkeit einer Alternative nicht. Hier kann nur eine Einwilligung erteilt oder verweigert werden. Im Falle der Verweigerung müsste man sehen, ob man dem Mitschüler, der von zu Hause teilnehmen möchte, die Teilnahme am Unterricht einer Parallelgruppe ermöglichen kann. Geht auch dieses nicht, ist eine Teilnahme des Mitschülers über eine Videokonferenz Plattform nicht möglich.

Eine Einwilligung ist auch von dem von von seinem Zuhause aus teilnehmenden Schüler einzuholen. Außerdem sollte dieser Schüler eine Unterlassungserklärung unterzeichnen, mit welcher er sich verpflichtet, keine Aufzeichnungen von der Videokonferenz anzufertigen oder andere Personen im Haushalt oder online daran teilnehmen zu lassen.

Fazit

Es ist durchaus möglich, Schülern, die nicht persönlich am Unterricht ihrer Klasse teilnehmen können, eine Teilnahme über eine Videokonferenz Plattform zu ermöglichen. Voraussetzung dafür ist eine Einwilligung der betroffenen Personen. Sollten einzelne Schüler die Einwilligung verweigern besteht vielleicht die technische Möglichkeit, die Teilnahme eines Mitschülers über eine Videokonferenz Plattform zu ermöglichen, ohne die Rechte dieser Schüler zu beeinträchtigen. Ist dieses nicht möglich, muss auf das Vorhaben verzichtet werden. Gleiches gilt auch, wenn es anstatt der Teilnahme über eine Videokonferenz Plattform um eine Teilnahme über Audio geht, etwa über eine Mobiltelefon Verbindung.

Tipp

Bei der Auswahl der Videokonferenz Plattform sollte darauf geachtet werden, dass ein Anbieter gewählt wird, der einen Vertrag zur Auftragsverarbeitung anbietet. Das ist am ehesten der Fall bei Anbietern aus Deutschland oder der EU. Im Idealfall steht der Schule eine vom Schulträger oder einem beauftragten IT Dienstleister bereitgestellte Videokonferenz Plattform zur Verfügung. Siehe dazu auch Videokonferenz Plattformen in Schule nutzen.

Vorlagen für Einwilligungen

Folgende Vorlage geht davon aus, dass ein Schüler über ein an ein Speakerphone (Bluetooth Lautsprecher mit Mikrofon) gekoppeltes Smartphone der Lehrkraft am Unterricht der Klasse aktiv teilnimmt.

Diese Vorlage geht von einer Teilnahme per Videokonferenz Plattform aus. Es sollte dazu ein Anbieter gewählt werden, der alle schul- und datenschutzrechtlichen Anforderungen zweifelsfrei erfüllt und mit dem ein Vertrag zur Auftragsverarbeitung abgeschlossen werden kann.

Andere Bundesländer

Anders als in NRW hat sich der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) zum Thema Videokonferenzen in der Schule in Zeiten von Corona geäußert. In dem Beitrag „Videokonferenzsysteme in Schulen“ heißt es:

„Bei Schulschließungen zur Bewältigung der Corona-Krise können Videokonferenzen einen wesentlichen Beitrag zur Erfüllung des staatlichen Bildungs- und Erziehungsauftrags leisten. Der HBDI geht daher davon aus, dass für die Dauer der Krisenbewältigungsmaßnahmen die gegenwärtig erhältlichen Videokonferenzsysteme aufgrund einer vorläufigen positiven Beurteilung gemäß Art. 6 Abs. 1 Buchs. d) und e) DS-GVO als erlaubt gelten.“

Das ist in sofern sehr interessant, als dass der HBDI Schulen hier die Möglichkeit zugesteht, Videokonferenz Plattformen ohne eine Einwilligung der Betroffenen zu nutzen. Schulen erhalten so einmal die Möglichkeit, die zur Durchführung von Videokonferenzen erforderliche Datenverarbeitung auf Art. 6 Abs. 1 lit. d DS-GVO abzustellen. Das ist der Fall, wenn es darum geht, „lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen“ – in dem Fall die Gesundheit von Schülern und Lehrkräften mit Vorerkrankungen oder Familienangehörigen mit Vorerkrankungen. Diese erhalten dadurch ein Recht darauf, per Videokonferenz am Unterricht teilzunehmen. Außerdem können Schulen die erforderliche Verarbeitung von personenbezogenen Daten auf Art. 6 Abs. 1 lit. e DS-GVO abstellen, um mit der Durchführung von Videokonferenzen ihrem staatlichen Bildungs- und Erziehungsauftrag in der Wahrnehmung einer Aufgabe nachzukommen, „die im öffentlichen Interesse liegt“.

Auch wenn in diesem Fall keine Einwilligung der Betroffenen eingeholt werden muss, so ist doch die Erteilung von Informationen nach Art. 12 DS-GVO weiterhin erforderlich.

Hessische Schulen werden von dieser Aussage des HBDI jedoch nur Gebrauch machen können, wenn das Hessische Schulgesetz entweder eine Auslegung in diese Richtung zulässt oder das Schulministerium einen entsprechenden Erlass verabschiedet.

 

Notbetreuung in Corona Zeiten

Lesezeit: 2 Minuten

Die Corona Pandemie hat es erforderlich gemacht, dass Schulen für die Kinder von Personen, die in kritischen Berufen tätig sind, eine Notbetreuung anbieten. Eltern können für die Anmeldung ein vom Ministerium für Schule und Bildung vorgegebenes Formular1Neben dem Formular des MSB gibt es nach Aussagen des MSB auch Formulare von Schulträgern, die akzeptiert werden sollen: „Eine Reihe von Schulträgern hat ebenfalls Formulare bereitgestellt. Schulleitungen sollten alle Formulare, die ihnen vorgelegt werden, zunächst akzeptieren.“ Corona Virus Notbetreuung FAQ Stand 21.04.2020  ausfüllen, um der Schule gegenüber den Nachweis eines Anrechts auf Notbetreuung des Kindes zu erbringen. Schulen müssen die dafür erforderlichen Daten erheben und die Anzahl der Schüler an die Schulaufsichtsbehörden übermitteln.

Die Rechtsgrundlagen

Wie jede Datenerhebung und -verarbeitung ist es auch hier erforderlich, die Betroffenen entsprechend Art. 13 DS-GVO zu informieren und im Verzeichnis der Verarbeitungstätigkeiten eine Beschreibung der Verarbeitungstätigkeit anzulegen. Die rechtliche Grundlage für die Erhebung und Verarbeitung der Daten aus dem Formular liefert Abs. 1 Satz 1 § 120 Schulgesetz NRW.

Schulen und Schulaufsichtsbehörden dürfen personenbezogene Daten der Schülerinnen und Schüler, der in § 36 genannten Kinder sowie der Eltern verarbeiten, soweit dies zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben erforderlich ist.

Die erforderliche Übermittlung regelt Abs. 5 Satz 2 § 120 Schulgesetz NRW

Die Übermittlung an andere öffentliche Stellen ist zulässig, wenn sie zur Erfüllung einer gesetzlichen Auskunfts- oder Meldepflicht erforderlich ist, ein Gesetz sie erlaubt oder die oder der Betroffene im Einzelfall eingewilligt hat.

Die „durch eine Rechtsvorschrift übertragene Aufgabe“ ergibt sich aus der Corona-Betreuungsverordnung des Ministeriums für Arbeit, Gesundheit und Soziales vom 16.04.2020. Dort heißt es zunächst, dass „alle öffentlichen Schulen, Ersatzschulen und Ergänzungsschulen im Sinne des Schulgesetzes für das Land Nordrhein-Westfalen“ geschlossen sind. Es werden in §1 Abs. 2 CoronaBetrVO Ausnahmen definiert.

(2) Ausgenommen von Absatz 1 sind […] 2. die Betreuung von Schülerinnen und Schülern, in der Regel der Jahrgangsstufen 1 bis 6, mit besonderem Betreuungsbedarf im Sinne von § 3 Absatz 1 in einer Vor-Ort-Betreuung (Notbetreuung) in den Schulräumlichkeiten. Das Nähere regelt das Ministerium für Schule und Bildung durch Erlass (insbesondere mittels sog. SchulMails);

Darüber hinaus weist das Ministerium für Arbeit, Gesundheit und Soziales den Schulen in der Leitlinie zur Bestimmung des Personals kritischer Infrastrukturen mit Stand vom 15. März 2020 die Aufgabe zu, die Entscheidung zu treffen, ob ein Kind, „dessen Eltern zu dem Kreis der im Bereich kritischer Infrastrukturen beruflich Tätigen gehört,“ zur Betreuung an der Schule aufgenommen wird. Dazu ist das ausgefüllte Formular erforderlich.

II. Regelungen
1. Die Entscheidung, ein Kind zur Betreuung in der Schule oder Kindertageseinrichtung aufzunehmen, dessen Eltern zu dem Kreis der im Bereich kritischer Infrastrukturen beruflich Tätigen gehört, treffen die Leitungen der jeweiligen Schule bzw. Kindertageseinrichtungen. Es gelten die bestehenden rechtlichen Zuständigkeiten.
2. Grundlage der Entscheidung sind: (a) der Nachweis oder die Zusicherung, dass beide Elternteile (soweit nicht alleinerziehend) nicht in der Lage sind, die Betreuung zu übernehmen, weil sie in einer kritischen Infrastruktur tätig sind, und (b) das Vorliegen (oder die Zusicherung der Vorlage) einer schriftlichen Zusicherung der jeweiligen Arbeitgeber beider Elternteile (soweit vorhanden), dass deren Präsenz am Arbeitsplatz für das Funktionieren der jeweiligen kritischen Infrastruktur notwendig ist.2 Leitlinie zur Bestimmung des Personals kritischer Infrastrukturen, Stand: 15. März 2020

Die Rechtsgrundlage für die Übermittlung der Anzahl der zur Notbetreuung angemeldeten Schüler ergibt sich aus Schulmail Nr. 6 vom 17.03.2020.

„Bitte melden Sie der Schulaufsichtsbehörde noch am 18.03.2020, wie viele Schülerinnen und Schüler Sie am Mittwoch in die Notbetreuung aufgenommen haben.“

Vorlagen

Tipp

Stellen Sie die Informationen zur Datenverarbeitung bezüglich der Notbetreuung, angepasst an Ihre Schule, auf Ihrer Schulhomepage bereit, vielleicht kurzfristig über einen Link und einen Hinweis auf der Startseite und sonst verlinkt als PDF Download dort, wo die anderen Informationen zur Datenverarbeitung entsprechend Art. 13 DS-GVO bereitgestellt werden. Die Beschreibung der Verarbeitungstätigkeit Notbetreuung nehmen Sie in Ihr Verzeichnis der Verarbeitungstätigkeiten auf. Alternativ übertragen Sie die Informationen in das Referenzverzeichnis von Verarbeitungstätigkeiten der Medienberatung NRW, falls Sie dieses nutzen.

Einwilligung ohne Papier in Zeiten von Corona

Lesezeit: < 1 Minute

In Zeiten des Corona Virus sind die Schulen geschlossen und trotzdem muss der Unterrichtsbetrieb irgendwie weiterlaufen. Auch die Kommunikation mit Schülern und Erziehungsberechtigten muss möglichst reibungslos und unaufwändig weiterhin möglich sein. Schulen setzen von daher vermehrt auf Online-Plattformen und Apps. Da diese in der Vergangenheit jedoch entweder noch nicht genutzt wurden oder nur von einem Teil der Schülerinnen, Schüler, Lehrkräfte und eventuell auch Eltern, ist es oftmals erforderlich, eine Einwilligung der Betroffenen einzuholen. Wollte man dieses in Papierform erledigen, wäre solches mit sehr viel Aufwand verbunden. Außerdem müsste damit gerechnet werden, dass die Rücklaufquote nicht 100 % ist und je nach Situation sogar extrem gering ausfallen könnte, etwa weil Person das Haus nicht verlassen können.

Was viele nicht bekannt ist, Einwilligungen können durch aus auch elektronisch von den Betroffenen eingeholt werden. Auf welcher  Rechtsgrundlage dieses für Schulen in Nordrhein-Westfalen möglich ist wie man elektronische Einwilligungen umsetzen kann, wird in dem Beitrag Einwilligung einholen ohne Papier ausführlich erklärt.

Darf Schule die Adressen ehemaliger Schüler herausgeben?

Lesezeit: 2 Minuten

Vor allem weiterführende Schulen finden sich immer einmal wieder in der Situation, dass ehemalige Schüler anfragen, ob man ihnen Listen mit Namen und Kontaktdaten ehemaliger Mitschüler und Lehrkräfte aushändigen könne, damit man diese zu einem Klassen- oder Ehemaligentreffen einladen kann. Darf die Schule diese Informationen herausgeben und wenn ja unter welchen Bedingungen?

Das Schulgesetz NRW

Ein schneller Blick in §120 Abs. 5 Satz 3 SchulG NRW erbringt folgende Ergebnis:

„Die Übermittlung von Daten der Schülerinnen und Schüler und der Eltern an Personen oder Stellen außerhalb des öffentlichen Bereichs ist nur zulässig, wenn ein rechtlicher Anspruch auf die Bekanntgabe der Daten besteht und schutzwürdige Belange der oder des Betroffenen nicht beeinträchtigt werden oder wenn die oder der Betroffene im Einzelfall eingewilligt hat.“

Anfragende ehemalige Schülerinnen und Schüler oder auch Lehrkräfte handeln im beschriebenen Fall als Privatpersonen. Sie gelten damit als Personen außerhalb des öffentlichen Bereichs und fallen unter die Regelung aus Satz 3. Aus der Absicht, ein Ehemaligentreffen zu veranstalten, lässt sich kein rechtlicher Anspruch ableiten. Die Wahrscheinlichkeit, dass man an der Schule in der Vergangenheit Einwilligungen bei den ehemaligen Schülern wie Lehrkräften eingeholt hat, ihre Kontaktdaten zum Zweck der Organisation von Ehemaligentreffen an ehemalige Schüler herauszugeben, dürfte äußerst gering sein.

Für den Fall, dass keine entsprechende Einwilligung vorliegt, darf Schule die personenbezogenen Daten der ehemaligen Schüler und Lehrkräfte nicht herausgeben.

Alternativen

Gibt es trotzdem Möglichkeiten ehemalige Mitschüler und Lehrkräfte zur Organisation eines Ehemaligentreffens zu kontaktieren? Der Kommentar zum Schulgesetz NRW115. Erg.-Lfg., SchulG NRW-Kommentar, März 2015, Katernberg, S. 81f stellt das Adressmittlungsverfahren als eine Alternative vor, wie die Schule das Anliegen der ehemaligen Schüler unterstützen kann. Die Organisatoren des Ehemaligentreffens übergeben der Schule die Anschreiben mit Bitte um Mitteilung der Kontaktdaten an das Organisatorenteam, gedruckt oder als Vorlage für die Textverarbeitung, und die Schule versieht diese mit den Adressen der Ehemaligen. Anschließend gibt die Schule die fertigen Anschreiben in den Postversand. Die Ehemaligen entscheiden dann selbst, ob sie dem Organisatorenteam ihre Kontaktdaten übermitteln wollen oder nicht.

Alternativ stehen den Organisatoren auch noch weitere Möglichkeiten offen. Sie könnten die Schule bitten, das geplante Ehemaligentreffen auf die Schulhomepage zu setzen mit der Bitte um Anmeldung durch die Ehemaligen. Das Organisatorenteam könnte neben der Schulhomepage ihr Ehemaligentreffen auch über örtliche Zeitung oder Social Media bewerben.

Andere Bundesländer

Ein Blick über die Landesgrenzen hinaus zeigt, dass die Handhabe dieses Themas in nicht in allen Bundesländern gleich ist. In Rheinland-Pfalz findet sich in ÜSchO § 89 Abs. 8 eine Regelung, die eine Rechtsgrundlage für die Weitergabe von personenbezogenen Daten ehemaliger Schüler und auch Lehrkräften an Schüler zur Organisation von Ehemaligentreffen regelt.

(8) Die Schule kann ehemaligen Schülerinnen und Schülern die zur Organisation eines Treffens geeigneten personenbezogenen Daten von ehemaligen Schülerinnen, Schülern und Lehrkräften übermitteln.

 

 

Schule – Offener Ganztag – Schulsozialarbeit & Datenschutz

Lesezeit: 3 Minuten

Was ist bezüglich datenschutzrechtlicher Vorgaben zu beachten bei der Zusammenarbeit von Schule und offenem Ganztag (OGS)? Und wie sieht es aus, wenn es um die Schulsozialarbeit geht? Diese Fragen beschäftigen viele, denn die Rechtslage erschließt sich den Beteiligten aus den Gesetzen und Verordnungen nur ungenügend. Auch ich selbst hatte hier mangels besseren Wissens bisher eher konservativ beraten und für die Weitergabe von personenbezogenen Daten an den OGS sowie Schulsozialpädagogen, die nicht nach §58 auf Lehrerstellen sitzen und somit als Landesbedienstete gelten, das Einholen einer Einwilligung zur rechtlichen Absicherung empfohlen.

In §120 Schulgesetz NRW heißt es:

„Die gespeicherten personenbezogenen Daten dürfen in der Schule nur den Personen zugänglich gemacht werden, die sie für die Erfüllung ihrer Aufgaben benötigen.“

Doch wer ist mit den Personen gemeint? Es geht um Personen in der Schule, also definitiv nicht um Personen außerhalb der Schule. Und damit ist auch klar, dass dazu neben den Lehrkräften und Schulsozialpädagogen, die nach §58 als Landesbedienstete auf Lehrerstellen sitzen, auch die Mitarbeiter im Schulsekretariat gehören, Integrationshelfer, Hausmeister und auch Eltern wie Schüler, die in Mitwirkungsgremien tätig sind1entsprechend §§ 62 ff SchulG NRW oder Eltern, welche am Unterricht teilnehmen bzw. dort in Teilbereichen mitarbeiten.2entsprechend §44 Abs. 3 SchulG NRW

Kleine Anfrage im Landtag

Im Dezember 2019 wurde dann genau dieses Thema Gegenstand einer kleinen Anfrage mit dem Titel Datenschutzrechtliche Zusammenarbeit in der Schule, im Hinblick auf den offenen Ganztag (OGT) und die Schulsozialarbeit (Drucksache 17/8328) Vier Fragen wurden der Landesregierung NRW gestellt:

  1. Welche Personengruppen werden mit der Formulierung „in der Schule nur den Personen“ (§ 120 (1) SchulG) neben Lehrer*innen (§ 57 SchulG) und weiteren Landesbedienstete nach § 58 SchulG gesehen?
  2. Welche personenbezogenen Daten dürfen den Mitarbeitern des offenen Ganztags übermittelt werden bzw. mit diesen ausgetauscht werden?
  3. Ist das Zusammenstellen einer Liste von Schüler*innen und die Weitergabe der Liste an die Mitarbeiter*innen der Multiprofessionellen Teams erlaubt? Und falls ja, aufgrund welcher Rechtsgrundlage ist das erlaubt?
  4. Plant die Landesregierung dies in einer Neufassung der VO DV I klarzustellen?

Antwort der Landesregierung

Im Januar 2020 wurden dann die Antworten auf die Anfrage als Drucksache 17/8396 veröffentlicht. Dabei wurde deutlich, dass die Landesregierung die Gesetzestexte sehr viel weiter auslegt, als viele Datenschutzbeauftragte das bisher taten.

  1. Zu den Personen, denen zur Erfüllung ihrer Aufgaben nach § 120 Abs. 1 SchulG NRW personenbezogene Daten zugänglich gemacht werden dürfen, gehört neben den Lehrkräften und sonstigen im Landesdienst stehendem pädagogischen und sozialpädagogischen Personal nach § 58 SchulG auch im Ganztag eingesetztes Personal3Verwiesen wird bezüglich dieses Personals auf Nr. 7 des Rd.Erl. zum Ganztagsangebot – BASS 12-63 Nr. 2.pdf .
  2. Da nach Aussage der Landesregierung Ganztagsangebote auch von außerschulischen Trägen als schulische Veranstaltung gelten, ist es damit auch zulässig, den Mitarbeiterinnen und Mitarbeitern des offenen Ganztags diejenigen personenbezogenen Daten zugänglich zu machen, welche diese Personen zur Erfüllung der Angebote des Ganztags benötigen. Dazu gehört dann auch der Austausch zu den Förderbedarfen der Schülerinnen und Schüler.
  3. Auch externen Sozialarbeiter bzw. Sozialpädagogen, die anderes als Schulsozialpädagogen im Landesdienst nicht zu den Personen gemäß §58 SchulG NRW zählen, dürfen entsprechend der unter 1. beschrieben Auslegung von §120 Abs. 1 SchulG NRW durch die Landesregierung personenbezogene Daten aus der Schule zugänglich gemacht werden. Dieses ist allerdings nur dann zulässig, sofern sie als Mitglied eines Multiprofessionellen Teams4gemäß der Erlasse 21-13 Nr. 6 „Beschäftigung von Fachkräften für Schulsozialarbeit in Nordrhein-Westfalen“ sowie 21-13 Nr. 9 „Soziale Arbeit an Schulen zur Integration durch Bildung für neu zugewanderte Schüler*innen (Multiprofessionelle Teams)“ diese Daten zur Erfüllung ihrer Aufgaben benötigen. Das meint hier eine Liste mit den Namen der Schülerinnen und Schüler, die sie zu betreuen haben.
  4. Eine entsprechende Änderung des Schulgesetzes NRW oder der anhängigen Verordnungen ist nicht geplant.

Hinweis: Man sollte bezüglich Antwort 2 unbedingt berücksichtigen, dass es ausdrücklich um den Austausch zu den Förderbedarfen der Schülerinnen und Schüler geht, die Informationen, die zur Erfüllung der Angebote des Ganztags benötig werden. Personenbezogene Daten, welche nicht darunter fallen, können nur mit Einwilligung der Erziehungsberechtigten weitergegeben werden. So würde die Bankverbindung der Erziehungsberechtigten sicher nicht darunter fallen, falls es dem Träger etwa darum ginge, diese zu aktualisieren und er dafür bei der Schule anfragt. Gleiches dürfte auch für Kontaktdaten gelten, welche der Träger normalerweise von Schulträger erhalten sollte.

Fazit

Mit der Antwort der Landesregierung auf die kleine Anfrage besteht jetzt endlich Klarheit bezüglich der datenschutzrechtlichen Stellung von Mitarbeiterinnen und Mitarbeitern von Trägern, die im offenen Ganztag eingesetzt sind. Da der offene Ganztag als schulische Veranstaltung gilt, darf die Schule diesen Personen die personenbezogenen Daten derjenigen Kinder im OGS zugänglich machen, welche sie zur Erfüllung der Angebote des Ganztags benötigen. Darunter fallen dann beispielsweise auch Informationen zu den Förderbedarfen der im OGS betreuten Schülerinnen und Schüler. Für die Schulen, das meint vor allem Grundschulen, besteht von daher keine Erfordernis, eine Einwilligung der Erziehungsberechtigten einzuholen, um sich mit Mitarbeitern des OGS bezüglich der dort betreuten Kinder auszutauschen.

Externen Schulsozialarbeitern dürfen personenbezogene Daten (Namenslisten von zu betreuenden Schülerinnen und Schülern) zugänglich gemacht, wenn sie Mitglied eines Multiprofessionellen Teams an der Schule sind. In allen anderen Fällen gilt weiterhin, dass eine Weitergabe von personenbezogenen Daten von Schülern eine Einwilligung der Betroffenen voraussetzt.

Interessant sind in dem Zusammenhang vielleicht auch:

Kontaktliste Kollegium – was geht?

Lesezeit: < 1 Minute

In einem Tweet wundert sich am 09.11.2019 @grundschulmann

#Datenschutz #Schule #twitterlehrerzimmer

Zu Beginn des Schuljahres wird eine Lehrer-Kontaktliste an alle KuK verteilt, die neben Name und Geburtstag auch Privatadresse, Handynummer, Festnetz und (private) Email beinhaltet.

Sehe nur ich das kritisch?

Das Thema ist datenschutzrechtlich sehr ähnlich zu dem der Eltern-Telefonliste. Dort gilt, die Telefonnummer von Eltern darf anderen Eltern nur dann bekannt gegeben werden, wenn dazu eine Einwilligung der Eltern vorliegt.

Wenn die Schulleitung eine Liste des Kollegiums erstellt, die an jede Lehrkraft ausgegeben werden soll, dann kann sie dieses ohne Einwilligung der Lehrkräfte tun, solange sie sich dabei neben dem Namen auf personenbezogene Daten beschränkt, welche dienstliche Belange betreffen. Das wären etwa

  • Funktionen an der Schule wie z.B. Klassenleitung 8c, Medienbeauftragte, Oberstufenkoordinator, Vorsitzender des Lehrerrates oder
  • Daten zur dienstliche Erreichbarkeit wie dienstliches Telefon, dienstliches E-Mail usw.

Alle außer dem Namen im Tweet genannten Informationen zählen definitiv nicht zu diesen Daten.

Möchte die Schulleitung also eine Liste wie im Tweet beschrieben, erstellen und weitergeben ans Kollegium, braucht es eine Einwilligung und diese sollte eine Auswahl zulassen, welche Daten in die Liste aufgenommen werden dürfen und ggf. in welcher Form. Die folgende Vorlage für eine Einwilligung berücksichtigt diesen Aspekt und ist um eine alternative Form ergänzt, wie die Einwilligungen etwas unbürokratischer eingeholt werden könnten.

Verarbeitung, Bearbeitung, Speicherung, Bildschirmanzeige und Logineo NRW

Lesezeit: 4 Minuten

Manchmal können einzelne Worte entscheidend sein. Beim Datenschutz hängt von Formulierungen in rechtlichen Vorgaben deshalb eine Menge ab. Ein Beispiel dafür ist die VO-DV I, welche regelt, welche Daten eine Schule verarbeiten darf und, in diesem Zusammenhang besonders interessant, welche personenbezogenen Daten Lehrkräfte mit Genehmigung der Schulleitung auf privaten Endgeräten verarbeiten dürfen.1siehe hierzu Anlage 3 der VO-DV I Entscheidend ist hier das Wort verarbeiten. So heißt es in §2 Abs. 2 Satz 1 VO-DV I von Februar 2017:

„Die Verarbeitung personenbezogener Daten von Schülerinnen und Schülern in privaten ADV-Anlagen von Lehrerinnen und Lehrern für dienstliche Zwecke bedarf der schriftlichen, ein Verfahrensverzeichnis gemäß § 8 DSG NRW enthaltenden Genehmigung durch die Schulleiterin oder den Schulleiter.“

Eine entsprechende Formulierung findet sich auch in der Dienstanweisung für die automatisierte Verarbeitung von personenbezogenen Daten in der Schule, die im Februar 2018 zum ursprünglich geplanten Einführungstermin von Logineo NRW erschien:

„Die Verarbeitung personenbezogener Daten für dienstliche Zwecke auf privaten ADV-Anlagen von Lehrkräften ist nur mit schriftlicher Genehmigung der Schulleiterin oder des Schulleiters zulässig.“

Die Wahl des Wortes Verarbeitung macht je nach Perspektive durchaus Sinn. Als die Verordnung erlassen wurde, ging es darum, durch den Begriff Verarbeitung eine Eingrenzung vorzunehmen. Es sollte damit sichergestellt werden, dass die in der Anlage aufgeführten personenbezogenen Daten aus der Schule nur auf dem durch eine Genehmigung zugelassenen Gerät selbst gespeichert, angesehen, verändert, kopiert usw. werden dürfen, nicht jedoch in der Cloud oder auf anderen Geräten, sofern für diese keine Genehmigung vorliegt.

Verarbeitung findet sich als ein grundlegender Begriff in allen Datenschutzgesetzen und ist in der DS-GVO in Art. 4 Nr. 2 definiert.

Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;“

Diese Definition ist sehr weit und umfasst, je nach Auslegung, „jeden Vorgang, der irgendwie im Zusammenhang mit personenbezogenen Daten steht.“2Rossnagel, S. 300, Simitis, Hornung, Spieker, Art. 4 Nr. 2 Rn11 So fallen auch sämtliche technischen Vorgänge innerhalb eines Computers darunter, bei welchen personenbezogene Daten beteiligt sind, auch das Anzeigen am Bildschirm, und ohne dass ein Nutzer die angezeigten Daten in irgendeiner Form aktiv verändert.3„Auch wenn die Daten etwa im Cache eines Browsers nur kurzzeitig zwischengespeichert werden, stellt dies ebenso eine Verarbeitung dar wie die bloße Anzeige einer Datei auf einem Bildschirm oder die Weitergabe eines mobilen Speichermediums.“ Rossnagel, S. 300, Simitis, Hornung, Spieker, Art. 4 Nr. 2 Rn11

Entsprechend ist auch folgenden Aussage von Ende Januar 2019 aus Richtung Ministerium bezüglich der Zulässigkeit des Online-Zugriffs auf nicht in Anlage 3 aufgeführte personenbezogenen Daten stimmig4Die Quelle dieser Aussage ist mir bekannt, soll hier jedoch nicht genannt werden, um mögliche Probleme zu vermeiden.:

„Da die Verarbeitung von Gesundheits- und Verhaltensdaten im Rahmen der Erstellung von Fördergutachten nicht genehmigungsfähig ist- diese Daten werden in Anlage 3 VO-DV I nicht gelistet – können sie mit Personenbezug nicht auf Privatgeräten erstellt werden. Auch nicht online, da dazu ja in der Regel die Anzeige auf einem Monitor erforderlich ist.

Warum ist das Wort Verarbeitung so wichtig?

Es ist wichtig, denn mit diesem einen Wort steht und fällt das Konzept das Daten-Safe in Logineo NRW.

Nach Anlage 3 der VO-DV I sind Daten, die dort nicht explizit aufgeführt sind, von der Genehmigung ausgenommen und dürfen von daher unter keinen Umständen auf einem privaten Endgerät verarbeitet werden. Zu diesen Daten zählen z.B. Wortzeugnisse und Gutachten im Rahmen eines AOSF Verfahrens oder Notizen, welche sich Förderpädagogen bei Unterrichtsbeobachtungen machen, wenn es um Fördergutachten geht. Im Alltag bereitet diese Einschränkung Lehrkräften mangels Alternativen enorme Probleme, da oft weder Dienstgeräte noch ausreichend Computer Arbeitsplätze in der Schule zur Verfügung stehen.

Hier kommt nun der sogenannte Daten-Safe von Logineo NRW ins Spiel.

In der Rahmenmediennutzungsordnung5Der Link zum Dokument von 2017 ist nicht länger verfügbar. zur Landesplattform heißt es:

„Besonders schützenswerte Daten/Dokumente werden in dem durch ein weiteres Passwort gesicherten „Daten-SAFE“ der Verwaltungscloud gespeichert.“

Der Daten-Safe erlaubt nicht nur eine Speicherung, sondern auch eine Bearbeitung von Dokumenten. In Teil B Datensicherheit der aktuellen Version der Genehmigung zur Verarbeitung von personenbezogenen Daten aus der Schule auf privaten Endgeräten6Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gemäß § 2 Absatz 2 VO-DV I/§ 2 Absatz 4 VO-DV II – abgerufen 01.03.2019 heißt es deshalb:

„Sofern LOGINEO NRW eingesetzt wird und erreichbar ist: Bearbeitung und Speicherung von Dokumenten, die sensible personenbezogene Daten (z.B. Wortzeugnisse) enthalten, ausschließlich über den Online-Editor von LOGINEO NRW.“

Dieser Formulierung nach soll der Daten-Safe es Lehrkräften ermöglichen, bei Vorliegen der Genehmigung, die oben genannten sensiblen personenbezogenen Daten, die unter keinen Umständen auf einem privaten Endgerät verarbeitet werden dürfen, von selbigem Gerät aus im Online-Editor des Daten-Safes zu bearbeiten und zu speichern.7In einer Präsentation von 2017 zu Logineo NRW hieß es zum Daten-Safe unter anderem auch „Der Online-Editor ermöglicht die Arbeit mit privaten digitalen Endgeräten.“ und „Es steht ein Online-Editor zur Verfügung, sodass Dokumente mit besonders schützenswerten Daten nicht auf schulischen oder privaten Endgeräten gespeichert werden müssen.“ Quelle: SlideShare Das Konzept des Daten-Safe in Logineo NRW geht davon aus, dass zur Bearbeitung, welche auch eine Anzeige einschließt, keine Speicherung auf dem Endgerät erforderlich ist. Es wird in älteren Dokumenten zum Daten-Safe auch von einer virtuellen Umgebung gesprochen. Die sensiblen personenbezogenen Daten befinden sich nur vorübergehend im Browser Cache, was nicht mit einer permanenten Speicherung gleichzusetzen ist. 8Diese Einschätzung wird auch von Experten geteilt. Siehe dazu Eßer in Eßer, Kramer, v. Lewinski Art. 4 Nr. 2 DS-GVO Rn. 43 und Herbst in Kühling, Buchner, Art. 4 Nr. 2 DS-GVO Rn. 24. Entsprechend ist Logineo NRW gedacht als „Eine Basis-IT-Infrastruktur, als ein geschützter virtueller Arbeitsraum zur rechtskonformen Datenverarbeitung mit einer zentralen Benutzerverwaltung und grundlegenden Modulen zur Kommunikation, Organisation und Recherche für digitale Lernmittel, kann eingeführt werden.9Dienstanweisung für die automatisierte Verarbeitung von personenbezogenen Daten in der Schule Nr. 1 Satz 3

Während es im Text der VO-DV I um Verarbeitung geht, wird beim Daten-Safe von Bearbeiten und Speichern gesprochen, zwei Formen der Verarbeitung. Damit ergibt sich ein Problem für das Nutzungskonzept des Daten-Safe unter den Vorgaben der VO-DV I zum aktuellen Stand.

Bearbeitet und speichert eine Lehrkraft nicht in Anlage 3 gelistete, sensible personenbezogene Daten von Schülerinnen und Schülern von einem genehmigten privaten Endgerät aus im Daten-Safe von Logineo NRW, verstößt sie – entsprechend der Auslegung des Wortes Verarbeitung durch das MSB – gegen die Vorgaben der VO-DV I.10Es sei denn die oben zitierte im Teil B der Genehmigung enthaltene Vorgabe, dass diese Daten bei Verfügbarkeit ausschließlich im Online-Editor des Daten-Safe von Logineo NRW bearbeitet und gespeichert werden dürfen reicht bereits als Rechtsgrundlage, um eine Ausnahme von der Vorgabe in der VO-DV I zu schaffen.

Verarbeitung – Bearbeiten und Speichern

Der Daten-Safe zielt darauf ab, durch Bereitstellung einer virtuellen Umgebung eine Speicherung und Bearbeitung auf dem Endgerät selbst zu vermeiden. Da aber bereits der Zugriff über den Browser auf nicht in Anlage 3 aufgeführte sensible personenbezogene Daten nach der VO-DV I untersagt ist, da dieser bereits eine Verarbeitung darstellt, kann es also nur eine Lösung geben. Die VO-DV I muss angepasst werden. Es kann dabei nicht ausreichen, einen Erlaubnistatbestand für die Verarbeitung der genannten Daten von einem privaten Endgerät aus über eine in den technischen und organisatorischen Maßnahmen aufgeführte Ausnahme zu legitimieren, wie bisher geschehen. Vor Gericht hätte das im Zweifelsfall vermutlich keinen Bestand. Wäre Logineo NRW im ersten Anlauf, vor dem Zwangsstop, in Betrieb genommen worden, wäre die Nutzung zumindest in Teilen wider die Vorgaben der VO-DV I erfolgt. Interessant, dass keinem der Beteiligten dieses Problem in der Vergangenheit aufgefallen ist.

Zur Zeit befindet sich die VO-DV I in der Überarbeitung. Man darf gespannt sein, ob die „neue“ Version dieses Problem löst.

Die aktuell gültige Version von Anlage 3 VO-DV I (03/2019)

Alles Wortklauberei, möchte mancher jetzt vielleicht sagen. Leider nein, denn mitunter kommt es auf die Wahl des Wortes an.

 

 

 

 

Endlich klare Aussagen vom MSB NRW zu datenschutzrechtlichen Fragen

Lesezeit: < 1 Minute

Es hat lange gedauert bis sich das Ministerium für Schule und Bildung NRW einmal umfänglich zu datenschutzrechtlichen Fragen im Zusammenhang mit der umstrittenen Genehmigung zur Verarbeitung von personenbezogenen Daten aus der Schule auf privaten Endgeräten von Lehrkräften äußert. Was geht und was geht nicht, wie sieht es mit Haftungsfragen aus? Antworten kommen auch zu vielen anderen Fragen: z.B. E-Mail Kommunikation mit Eltern über dienstliche und private E-Mail Adressen, Speicherung von Fotos von Schülern auf dem Smartphone, Nutzung von privaten Smartphones für Kommunikation mit Eltern, Fragen zu zulässigen Anwendungen, Zugriff auf Webanwendungen und die Genehmigung, und die Zulässigkeit von WhatsApp, Telegram und iMessage auf privaten Geräten, wenn sie dienstlich genutzt werden. Zu finden ist dieses unter

Da es an Schulen nicht nur viele Fragen zur Genehmigung gibt, sondern auch zu anderen Bereichen, wurden in einer zweiten Sammlung weitere Fragen zum Thema Datenschutz an der Schule aufgegriffen. Hier geht es um die Aufgaben von Datenschutzbeauftragten, Notelisten in Papierform am heimischen Arbeitsplatz, die Übermittlung von Elterndaten an die Schulpflegschaft, Office 365 im schulischen Einsatz, Videoüberwachung und elektronische Schließanlagen an der Schule.

Sicherlich werden verschiedene Akteure im Bereich Schule die Antworten unterschiedlich beurteilen. Es bleiben definitiv auch noch Fragen offen, doch es ist gut, dass das Ministerium zu den meisten Fragen sehr eindeutig Stellung bezogen hat. Mit diesen Antworten kann man planen und Entscheidungen fällen.

Auch zum Thema Schulhomepage gibt es einige (wenige) datenschutzrechtliche Aussagen vom Ministerium.

Daten zwischen kooperierenden Schulen per E-Mail übertragen – geht das?

Lesezeit: 4 Minuten

Folgende Frage erreichte mich: „Unsere Koop-Schule will von unseren Schülern, die rüber kommen, den Schild-Datensatz. Darf man das per Schild-Export und E-Mail übertragen und wenn ja, dann wie?“

Bevor es um die eigentliche Frage geht, kurz zur Rechtmäßigkeit der Datenübermittlung zwischen kooperierenden Schulen.

Dürfen Schulen einander personenbezogene Daten von Schülern übermitteln, wenn sie miteinander kooperieren?

In NRW setzen das Schulgesetz (SchulG NRW) und die VO-DV I enge Grenzen, bezüglich der Übermittlung von personenbezogenen Daten von Schülern. Das betrifft die möglichen Empfänger wie auch die Verfahren. §120 Abs. 5 Satz 1 SchulG NRW lässt eine Übermittlung unter folgenden Bedingungen zu:

Die in Absatz 1 Satz 1 genannten Daten dürfen einer Schule, […] nur übermittelt werden, soweit sie von diesen Stellen zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben benötigt werden.

Es muss also eine durch eine Rechtsvorschrift übertragene Aufgabe vorliegen, zu deren Erfüllung die personenbezogenen Daten von Schülern erforderlich sind, damit Daten übermittelt werden dürfen. Ein Kommentar zum SchulG NRW päzisiert dieses.

„Nur wenn die konkrete Form der Kooperation eine Übermittlung von personenbezogenen Daten erforderlich macht, beispielsweise weil gemeinsame Unterrichtsveranstaltungen im Sinne des § 4 Abs. 3 Satz 2 SchulG stattfinden, ist ein solcher Transfer nach Maßgabe des § 120 Abs. 5 Satz 1 SchulG zulässig. Insoweit findet dann die Regelung des § 6 Abs. 1 Satz 2 VO-DV I Anwendung.“1Katernberg in SchulG NRW – Kommentar, März 2008

In § 6 Abs. 1 Satz 2 VO-DV I2Satz 2 = Hervorhebung heißt es:

1) Bei einem Schulwechsel übermittelt die abgebende Schule der aufnehmenden Schule personenbezogene Daten aus dem Schülerstammblatt und dem sonstigen Datenbestand, soweit die Daten für die weitere Schulausbildung der Schülerin oder des Schülers erforderlich sind. Entsprechendes gilt bei der Kooperation von Schulen. Die Unterlagen selbst verbleiben bei der abgebenden Schule.

Die rechtliche Grundlage für die Übermittlung von personenbezogenen Daten der Schüler, welche an der Kooperationsschule unterrichtet werden, ist damit gegeben. Klar ist dabei jedoch auch, dass nur die Daten übermittelt werden dürfen, welche für die Erteilung des Unterrichts an der anderen Schule von dieser benötigt werden.3Alle anderen Daten dürfen nur auf der Grundlage einer Einwilligung der Betroffenen übermittelt werden. Beispiel: die andere Schule möchte wissen, ob unter den Schülern, die am Unterricht teilnehmen werden, Vegetarier sind, da man die eigene Mensa informieren möchte. (Es besteht hier keine Erforderlichkeit, die sich aus der Erfüllung einer Rechtsvorschrift ergibt.) In SchiLD NRW werden dazu nur die erforderlichen personenbezogenen Daten exportiert.

Übermittlungsverfahren

Eine Übermittlung von personenbezogenen Daten muss entsprechend dem Stand der Technik gesichert erfolgen. Die VO-DV I macht hier in §5 Absatz 2 entsprechende Vorgaben:

„Die Datenübermittlung kann schriftlich, mündlich, automatisiert oder auf Datenträgern erfolgen. Datenträger, die versandt werden, dürfen personenbezogene Daten nur enthalten, soweit diese für die Empfängerin oder den Empfänger bestimmt sind. Eine automatisierte Datenübermittlung kann auch über eine gemeinsam genutzte informationstechnische Basis-Infrastruktur erfolgen, sofern die technischen und organisatorischen Sicherheitsanforderungen des § 10 des Datenschutzgesetzes NordrheinWestfalen erfüllt werden. Eine Datenübermittlung auf Datenträgern bedarf einer Verschlüsselung nach dem aktuellen Stand der Technik. Automatisierte Verfahren, die die Übermittlung personenbezogener Daten durch Abruf ermöglichen, sind unzulässig.“

Der letzte Satz hat es in sich, denn einige Verfahren werden hier grundsätzlich ausgeschlossen. Gemeint sind dabei solche Verfahren,

„die die Übermittlung personenbezogener Daten durch Abruf einer anderen Stelle ermöglichen, bei denen also eine Übermittlung stattfindet, ohne dass die speichernde bzw. übermittelnde Stelle davon Kenntnis hat und verantwortlich entscheidet, ob eine Übermittlung erfolgen darf.“4Katernberg in SchulG NRW – Kommenfar, März 2015

Dieses wäre beispielsweise der Fall, wenn ein Freigabeordner in einer Cloud eingerichtet würde und dem Empfänger würden der Link und das Passwort dazu mitgeteilt. Die übermittelnde Stelle hätte keinerlei Kontrolle darüber, ob die Daten abgerufen werden und wer sie abruft.5Die Informationen zum Zugang könnten in falsche Hände geraten, zufällig gefunden werden, durch einen Fehler offenbar werden und ähnlich.

Darf der SchiLD NRW Export per E-Mail an die Kooperationsschule übertragen werden?

Unter den bei den meisten Schulen in NRW akutell gegeben Bedingungen ist von einer Übertragung per E-Mail dringend abzuraten. Es gibt jedoch Ausnahmen. Nutzen beide Schulen in einer Kommune oder Stadt den gleichen kommunalen/städtischen E-Mail Dienst und sind in der Lage, ihre E-Mails zu verschlüsseln, spricht nichts gegen eine Übermittlung per E-Mail. Sobald Logineo NRW zur Verfügung steht und von beiden Schulen genutzt wird, kann auch dessen E-Mail Funktionalität genutzt werden. Aber auch hier empfiehlt es sich, die E-Mails mit den sensiblen Schülerdaten zu verschlüsseln.

Es gibt Schulen, die Anbieter wie T-Online, Web.de oder GMX nutzen. Eine Übermittlung per E-Mail über diese oder vergleichbare E-Mail Anbieter, so wie man sie im Privatbereich nutzt, ist nicht zu empfehlen, auch nicht wenn die E-Mails verschlüsselt sind. In der Regel liegen E-Mails zumindest einige Tage auf dem E-Mail Server des Absenders, oft auch des Empfängers. Wird einer dieser Server gehackt und die Daten entwendet, ist nie sicher, was mit den Daten passiert. Selbst eine Verschlüsselung, die heute als sicher gilt, könnte in einigen Jahren zu knacken sein6siehe Quantum Computing, Künstliche Intelligenz und zu Problemen für die Betroffenen führen.

Siehe auch „E-Mail Kommunikation sicher nutzen

Lösungen

Auch wenn eine Übermittlung per E-Mail in den meisten Fällen aus Gründen der Sicherheit nicht möglich ist, lassen sich die Daten aus dem SchiLD Export in digitaler Form übermitteln.

Der einfachste Weg wird die Speicherung auf einem verschlüsselten USB Stick sein, der dann persönlich durch eine Lehrkraft an der kooperierenden Schule abgegeben wird. Wenn zwei Schulen kooperieren, werden sie in räumlicher Nähe zueinander liegen und dieser Weg sollte ohne Probleme möglich sein.7Denkbar wäre auch noch der postalische Versand eines verschlüsselten Datenträgers. Vermutlich ist das jedoch aufwändiger als eine persönliche Übergabe, da bei der postalischen Übermittlung das Passwort zum Entschlüsseln getrennt auf einem anderen Wege übermittelt werden müsste.

Nutzen beide Schulen eine sichere Cloud Lösung, über welche sie Daten austauschen können, ist auch dieses eine Möglichkeit.8Google Drive und Microsoft OneDrive wie auch Dropbox und ähnliche Anbieter gehören nicht zu diesen Lösungen, auch wenn sich die Daten dort verschlüsselt ablegen lassen. Die Gründe dafür liegen daran, dass es sich um nicht europäische Anbieter handelt, bei denen ein tatsächliche Einhaltung der DS-GVO nicht zu einhundert Prozent überprüfbar gewährleistet ist. Eine Nutzung für personenbezogene Daten im Rahmen der schulischen Verwaltung ist damit aktuell (November 2018) nicht zulässig.. Logineo NRW könnte in NRW eine solche Cloud Lösung sein. Nutzen beide Schulen eine Plattform wie kommunal/städtisch betriebenes Moodle, wäre auch dieses eine Möglichkeit. Hierbei muss das Verfahren so gestaltet werden, dass kein Konflikt mit der Vorgabe des letzten Satzes von VO-DV I §5 entsteht.9siehe oben

Ein gemeinsames Verzeichnis, auf welches nur die Sekretariate beider Schulen zugriff haben, wäre eine Möglichkeit.