Kontaktliste Kollegium – was geht?

Lesezeit: < 1 Minute

In einem Tweet wundert sich am 09.11.2019 @grundschulmann

#Datenschutz #Schule #twitterlehrerzimmer

Zu Beginn des Schuljahres wird eine Lehrer-Kontaktliste an alle KuK verteilt, die neben Name und Geburtstag auch Privatadresse, Handynummer, Festnetz und (private) Email beinhaltet.

Sehe nur ich das kritisch?

Das Thema ist datenschutzrechtlich sehr ähnlich zu dem der Eltern-Telefonliste. Dort gilt, die Telefonnummer von Eltern darf anderen Eltern nur dann bekannt gegeben werden, wenn dazu eine Einwilligung der Eltern vorliegt.

Wenn die Schulleitung eine Liste des Kollegiums erstellt, die an jede Lehrkraft ausgegeben werden soll, dann kann sie dieses ohne Einwilligung der Lehrkräfte tun, solange sie sich dabei neben dem Namen auf personenbezogene Daten beschränkt, welche dienstliche Belange betreffen. Das wären etwa

  • Funktionen an der Schule wie z.B. Klassenleitung 8c, Medienbeauftragte, Oberstufenkoordinator, Vorsitzender des Lehrerrates oder
  • Daten zur dienstliche Erreichbarkeit wie dienstliches Telefon, dienstliches E-Mail usw.

Alle außer dem Namen im Tweet genannten Informationen zählen definitiv nicht zu diesen Daten.

Möchte die Schulleitung also eine Liste wie im Tweet beschrieben, erstellen und weitergeben ans Kollegium, braucht es eine Einwilligung und diese sollte eine Auswahl zulassen, welche Daten in die Liste aufgenommen werden dürfen und ggf. in welcher Form. Die folgende Vorlage für eine Einwilligung berücksichtigt diesen Aspekt und ist um eine alternative Form ergänzt, wie die Einwilligungen etwas unbürokratischer eingeholt werden könnten.

Verarbeitung, Bearbeitung, Speicherung, Bildschirmanzeige und Logineo NRW

Lesezeit: 4 Minuten

Manchmal können einzelne Worte entscheidend sein. Beim Datenschutz hängt von Formulierungen in rechtlichen Vorgaben deshalb eine Menge ab. Ein Beispiel dafür ist die VO-DV I, welche regelt, welche Daten eine Schule verarbeiten darf und, in diesem Zusammenhang besonders interessant, welche personenbezogenen Daten Lehrkräfte mit Genehmigung der Schulleitung auf privaten Endgeräten verarbeiten dürfen.1siehe hierzu Anlage 3 der VO-DV I Entscheidend ist hier das Wort verarbeiten. So heißt es in §2 Abs. 2 Satz 1 VO-DV I von Februar 2017:

„Die Verarbeitung personenbezogener Daten von Schülerinnen und Schülern in privaten ADV-Anlagen von Lehrerinnen und Lehrern für dienstliche Zwecke bedarf der schriftlichen, ein Verfahrensverzeichnis gemäß § 8 DSG NRW enthaltenden Genehmigung durch die Schulleiterin oder den Schulleiter.“

Eine entsprechende Formulierung findet sich auch in der Dienstanweisung für die automatisierte Verarbeitung von personenbezogenen Daten in der Schule, die im Februar 2018 zum ursprünglich geplanten Einführungstermin von Logineo NRW erschien:

„Die Verarbeitung personenbezogener Daten für dienstliche Zwecke auf privaten ADV-Anlagen von Lehrkräften ist nur mit schriftlicher Genehmigung der Schulleiterin oder des Schulleiters zulässig.“

Die Wahl des Wortes Verarbeitung macht je nach Perspektive durchaus Sinn. Als die Verordnung erlassen wurde, ging es darum, durch den Begriff Verarbeitung eine Eingrenzung vorzunehmen. Es sollte damit sichergestellt werden, dass die in der Anlage aufgeführten personenbezogenen Daten aus der Schule nur auf dem durch eine Genehmigung zugelassenen Gerät selbst gespeichert, angesehen, verändert, kopiert usw. werden dürfen, nicht jedoch in der Cloud oder auf anderen Geräten, sofern für diese keine Genehmigung vorliegt.

Verarbeitung findet sich als ein grundlegender Begriff in allen Datenschutzgesetzen und ist in der DS-GVO in Art. 4 Nr. 2 definiert.

Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;“

Diese Definition ist sehr weit und umfasst, je nach Auslegung, „jeden Vorgang, der irgendwie im Zusammenhang mit personenbezogenen Daten steht.“2Rossnagel, S. 300, Simitis, Hornung, Spieker, Art. 4 Nr. 2 Rn11 So fallen auch sämtliche technischen Vorgänge innerhalb eines Computers darunter, bei welchen personenbezogene Daten beteiligt sind, auch das Anzeigen am Bildschirm, und ohne dass ein Nutzer die angezeigten Daten in irgendeiner Form aktiv verändert.3„Auch wenn die Daten etwa im Cache eines Browsers nur kurzzeitig zwischengespeichert werden, stellt dies ebenso eine Verarbeitung dar wie die bloße Anzeige einer Datei auf einem Bildschirm oder die Weitergabe eines mobilen Speichermediums.“ Rossnagel, S. 300, Simitis, Hornung, Spieker, Art. 4 Nr. 2 Rn11

Entsprechend ist auch folgenden Aussage von Ende Januar 2019 aus Richtung Ministerium bezüglich der Zulässigkeit des Online-Zugriffs auf nicht in Anlage 3 aufgeführte personenbezogenen Daten stimmig4Die Quelle dieser Aussage ist mir bekannt, soll hier jedoch nicht genannt werden, um mögliche Probleme zu vermeiden.:

„Da die Verarbeitung von Gesundheits- und Verhaltensdaten im Rahmen der Erstellung von Fördergutachten nicht genehmigungsfähig ist- diese Daten werden in Anlage 3 VO-DV I nicht gelistet – können sie mit Personenbezug nicht auf Privatgeräten erstellt werden. Auch nicht online, da dazu ja in der Regel die Anzeige auf einem Monitor erforderlich ist.

Warum ist das Wort Verarbeitung so wichtig?

Es ist wichtig, denn mit diesem einen Wort steht und fällt das Konzept das Daten-Safe in Logineo NRW.

Nach Anlage 3 der VO-DV I sind Daten, die dort nicht explizit aufgeführt sind, von der Genehmigung ausgenommen und dürfen von daher unter keinen Umständen auf einem privaten Endgerät verarbeitet werden. Zu diesen Daten zählen z.B. Wortzeugnisse und Gutachten im Rahmen eines AOSF Verfahrens oder Notizen, welche sich Förderpädagogen bei Unterrichtsbeobachtungen machen, wenn es um Fördergutachten geht. Im Alltag bereitet diese Einschränkung Lehrkräften mangels Alternativen enorme Probleme, da oft weder Dienstgeräte noch ausreichend Computer Arbeitsplätze in der Schule zur Verfügung stehen.

Hier kommt nun der sogenannte Daten-Safe von Logineo NRW ins Spiel.

In der Rahmenmediennutzungsordnung5Der Link zum Dokument von 2017 ist nicht länger verfügbar. zur Landesplattform heißt es:

„Besonders schützenswerte Daten/Dokumente werden in dem durch ein weiteres Passwort gesicherten „Daten-SAFE“ der Verwaltungscloud gespeichert.“

Der Daten-Safe erlaubt nicht nur eine Speicherung, sondern auch eine Bearbeitung von Dokumenten. In Teil B Datensicherheit der aktuellen Version der Genehmigung zur Verarbeitung von personenbezogenen Daten aus der Schule auf privaten Endgeräten6Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gemäß § 2 Absatz 2 VO-DV I/§ 2 Absatz 4 VO-DV II – abgerufen 01.03.2019 heißt es deshalb:

„Sofern LOGINEO NRW eingesetzt wird und erreichbar ist: Bearbeitung und Speicherung von Dokumenten, die sensible personenbezogene Daten (z.B. Wortzeugnisse) enthalten, ausschließlich über den Online-Editor von LOGINEO NRW.“

Dieser Formulierung nach soll der Daten-Safe es Lehrkräften ermöglichen, bei Vorliegen der Genehmigung, die oben genannten sensiblen personenbezogenen Daten, die unter keinen Umständen auf einem privaten Endgerät verarbeitet werden dürfen, von selbigem Gerät aus im Online-Editor des Daten-Safes zu bearbeiten und zu speichern.7In einer Präsentation von 2017 zu Logineo NRW hieß es zum Daten-Safe unter anderem auch „Der Online-Editor ermöglicht die Arbeit mit privaten digitalen Endgeräten.“ und „Es steht ein Online-Editor zur Verfügung, sodass Dokumente mit besonders schützenswerten Daten nicht auf schulischen oder privaten Endgeräten gespeichert werden müssen.“ Quelle: SlideShare Das Konzept des Daten-Safe in Logineo NRW geht davon aus, dass zur Bearbeitung, welche auch eine Anzeige einschließt, keine Speicherung auf dem Endgerät erforderlich ist. Es wird in älteren Dokumenten zum Daten-Safe auch von einer virtuellen Umgebung gesprochen. Die sensiblen personenbezogenen Daten befinden sich nur vorübergehend im Browser Cache, was nicht mit einer permanenten Speicherung gleichzusetzen ist. 8Diese Einschätzung wird auch von Experten geteilt. Siehe dazu Eßer in Eßer, Kramer, v. Lewinski Art. 4 Nr. 2 DS-GVO Rn. 43 und Herbst in Kühling, Buchner, Art. 4 Nr. 2 DS-GVO Rn. 24. Entsprechend ist Logineo NRW gedacht als „Eine Basis-IT-Infrastruktur, als ein geschützter virtueller Arbeitsraum zur rechtskonformen Datenverarbeitung mit einer zentralen Benutzerverwaltung und grundlegenden Modulen zur Kommunikation, Organisation und Recherche für digitale Lernmittel, kann eingeführt werden.9Dienstanweisung für die automatisierte Verarbeitung von personenbezogenen Daten in der Schule Nr. 1 Satz 3

Während es im Text der VO-DV I um Verarbeitung geht, wird beim Daten-Safe von Bearbeiten und Speichern gesprochen, zwei Formen der Verarbeitung. Damit ergibt sich ein Problem für das Nutzungskonzept des Daten-Safe unter den Vorgaben der VO-DV I zum aktuellen Stand.

Bearbeitet und speichert eine Lehrkraft nicht in Anlage 3 gelistete, sensible personenbezogene Daten von Schülerinnen und Schülern im Daten-Safe von Logineo NRW, verstößt sie – entsprechend der Auslegung des Wortes Verarbeitung durch das MSB – gegen die Vorgaben der VO-DV I.10Es sei denn die oben zitierte im Teil B der Genehmigung enthaltene Vorgabe, dass diese Daten bei Verfügbarkeit ausschließlich im Online-Editor des Daten-Safe von Logineo NRW bearbeitet und gespeichert werden dürfen reicht bereits als Rechtsgrundlage, um eine Ausnahme von der Vorgabe in der VO-DV I zu schaffen.

Verarbeitung – Bearbeiten und Speichern

Der Daten-Safe zielt darauf ab, durch Bereitstellung einer virtuellen Umgebung eine Speicherung und Bearbeitung auf dem Endgerät selbst zu vermeiden. Da aber bereits der Zugriff über den Browser auf nicht in Anlage 3 aufgeführte sensible personenbezogene Daten nach der VO-DV I untersagt ist, da dieser bereits eine Verarbeitung darstellt, kann es also nur eine Lösung geben. Die VO-DV I muss angepasst werden. Es kann dabei nicht ausreichen, einen Erlaubnistatbestand für die Verarbeitung der genannten Daten von einem privaten Endgerät aus über eine in den technischen und organisatorischen Maßnahmen aufgeführte Ausnahme zu legitimieren, wie bisher geschehen. Vor Gericht hätte das im Zweifelsfall vermutlich keinen Bestand. Wäre Logineo NRW im ersten Anlauf, vor dem Zwangsstop, in Betrieb genommen worden, wäre die Nutzung zumindest in Teilen wider die Vorgaben der VO-DV I erfolgt. Interessant, dass keinem der Beteiligten dieses Problem in der Vergangenheit aufgefallen ist.

Zur Zeit befindet sich die VO-DV I in der Überarbeitung. Man darf gespannt sein, ob die „neue“ Version dieses Problem löst.

Die aktuell gültige Version von Anlage 3 VO-DV I (03/2019)

Alles Wortklauberei, möchte mancher jetzt vielleicht sagen. Leider nein, denn mitunter kommt es auf die Wahl des Wortes an.

 

 

 

 

Endlich klare Aussagen vom MSB NRW zu datenschutzrechtlichen Fragen

Lesezeit: < 1 Minute

Es hat lange gedauert bis sich das Ministerium für Schule und Bildung NRW einmal umfänglich zu datenschutzrechtlichen Fragen im Zusammenhang mit der umstrittenen Genehmigung zur Verarbeitung von personenbezogenen Daten aus der Schule auf privaten Endgeräten von Lehrkräften äußert. Was geht und was geht nicht, wie sieht es mit Haftungsfragen aus? Antworten kommen auch zu vielen anderen Fragen: z.B. E-Mail Kommunikation mit Eltern über dienstliche und private E-Mail Adressen, Speicherung von Fotos von Schülern auf dem Smartphone, Nutzung von privaten Smartphones für Kommunikation mit Eltern, Fragen zu zulässigen Anwendungen, Zugriff auf Webanwendungen und die Genehmigung, und die Zulässigkeit von WhatsApp, Telegram und iMessage auf privaten Geräten, wenn sie dienstlich genutzt werden. Zu finden ist dieses unter

Da es an Schulen nicht nur viele Fragen zur Genehmigung gibt, sondern auch zu anderen Bereichen, wurden in einer zweiten Sammlung weitere Fragen zum Thema Datenschutz an der Schule aufgegriffen. Hier geht es um die Aufgaben von Datenschutzbeauftragten, Notelisten in Papierform am heimischen Arbeitsplatz, die Übermittlung von Elterndaten an die Schulpflegschaft, Office 365 im schulischen Einsatz, Videoüberwachung und elektronische Schließanlagen an der Schule.

Sicherlich werden verschiedene Akteure im Bereich Schule die Antworten unterschiedlich beurteilen. Es bleiben definitiv auch noch Fragen offen, doch es ist gut, dass das Ministerium zu den meisten Fragen sehr eindeutig Stellung bezogen hat. Mit diesen Antworten kann man planen und Entscheidungen fällen.

Auch zum Thema Schulhomepage gibt es einige (wenige) datenschutzrechtliche Aussagen vom Ministerium.

Daten zwischen kooperierenden Schulen per E-Mail übertragen – geht das?

Lesezeit: 4 Minuten

Folgende Frage erreichte mich: „Unsere Koop-Schule will von unseren Schülern, die rüber kommen, den Schild-Datensatz. Darf man das per Schild-Export und E-Mail übertragen und wenn ja, dann wie?“

Bevor es um die eigentliche Frage geht, kurz zur Rechtmäßigkeit der Datenübermittlung zwischen kooperierenden Schulen.

Dürfen Schulen einander personenbezogene Daten von Schülern übermitteln, wenn sie miteinander kooperieren?

In NRW setzen das Schulgesetz (SchulG NRW) und die VO-DV I enge Grenzen, bezüglich der Übermittlung von personenbezogenen Daten von Schülern. Das betrifft die möglichen Empfänger wie auch die Verfahren. §120 Abs. 5 Satz 1 SchulG NRW lässt eine Übermittlung unter folgenden Bedingungen zu:

Die in Absatz 1 Satz 1 genannten Daten dürfen einer Schule, […] nur übermittelt werden, soweit sie von diesen Stellen zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben benötigt werden.

Es muss also eine durch eine Rechtsvorschrift übertragene Aufgabe vorliegen, zu deren Erfüllung die personenbezogenen Daten von Schülern erforderlich sind, damit Daten übermittelt werden dürfen. Ein Kommentar zum SchulG NRW päzisiert dieses.

„Nur wenn die konkrete Form der Kooperation eine Übermittlung von personenbezogenen Daten erforderlich macht, beispielsweise weil gemeinsame Unterrichtsveranstaltungen im Sinne des § 4 Abs. 3 Satz 2 SchulG stattfinden, ist ein solcher Transfer nach Maßgabe des § 120 Abs. 5 Satz 1 SchulG zulässig. Insoweit findet dann die Regelung des § 6 Abs. 1 Satz 2 VO-DV I Anwendung.“1Katernberg in SchulG NRW – Kommentar, März 2008

In § 6 Abs. 1 Satz 2 VO-DV I2Satz 2 = Hervorhebung heißt es:

1) Bei einem Schulwechsel übermittelt die abgebende Schule der aufnehmenden Schule personenbezogene Daten aus dem Schülerstammblatt und dem sonstigen Datenbestand, soweit die Daten für die weitere Schulausbildung der Schülerin oder des Schülers erforderlich sind. Entsprechendes gilt bei der Kooperation von Schulen. Die Unterlagen selbst verbleiben bei der abgebenden Schule.

Die rechtliche Grundlage für die Übermittlung von personenbezogenen Daten der Schüler, welche an der Kooperationsschule unterrichtet werden, ist damit gegeben. Klar ist dabei jedoch auch, dass nur die Daten übermittelt werden dürfen, welche für die Erteilung des Unterrichts an der anderen Schule von dieser benötigt werden.3Alle anderen Daten dürfen nur auf der Grundlage einer Einwilligung der Betroffenen übermittelt werden. Beispiel: die andere Schule möchte wissen, ob unter den Schülern, die am Unterricht teilnehmen werden, Vegetarier sind, da man die eigene Mensa informieren möchte. (Es besteht hier keine Erforderlichkeit, die sich aus der Erfüllung einer Rechtsvorschrift ergibt.) In SchiLD NRW werden dazu nur die erforderlichen personenbezogenen Daten exportiert.

Übermittlungsverfahren

Eine Übermittlung von personenbezogenen Daten muss entsprechend dem Stand der Technik gesichert erfolgen. Die VO-DV I macht hier in §5 Absatz 2 entsprechende Vorgaben:

„Die Datenübermittlung kann schriftlich, mündlich, automatisiert oder auf Datenträgern erfolgen. Datenträger, die versandt werden, dürfen personenbezogene Daten nur enthalten, soweit diese für die Empfängerin oder den Empfänger bestimmt sind. Eine automatisierte Datenübermittlung kann auch über eine gemeinsam genutzte informationstechnische Basis-Infrastruktur erfolgen, sofern die technischen und organisatorischen Sicherheitsanforderungen des § 10 des Datenschutzgesetzes NordrheinWestfalen erfüllt werden. Eine Datenübermittlung auf Datenträgern bedarf einer Verschlüsselung nach dem aktuellen Stand der Technik. Automatisierte Verfahren, die die Übermittlung personenbezogener Daten durch Abruf ermöglichen, sind unzulässig.“

Der letzte Satz hat es in sich, denn einige Verfahren werden hier grundsätzlich ausgeschlossen. Gemeint sind dabei solche Verfahren,

„die die Übermittlung personenbezogener Daten durch Abruf einer anderen Stelle ermöglichen, bei denen also eine Übermittlung stattfindet, ohne dass die speichernde bzw. übermittelnde Stelle davon Kenntnis hat und verantwortlich entscheidet, ob eine Übermittlung erfolgen darf.“4Katernberg in SchulG NRW – Kommenfar, März 2015

Dieses wäre beispielsweise der Fall, wenn ein Freigabeordner in einer Cloud eingerichtet würde und dem Empfänger würden der Link und das Passwort dazu mitgeteilt. Die übermittelnde Stelle hätte keinerlei Kontrolle darüber, ob die Daten abgerufen werden und wer sie abruft.5Die Informationen zum Zugang könnten in falsche Hände geraten, zufällig gefunden werden, durch einen Fehler offenbar werden und ähnlich.

Darf der SchiLD NRW Export per E-Mail an die Kooperationsschule übertragen werden?

Unter den bei den meisten Schulen in NRW akutell gegeben Bedingungen ist von einer Übertragung per E-Mail dringend abzuraten. Es gibt jedoch Ausnahmen. Nutzen beide Schulen in einer Kommune oder Stadt den gleichen kommunalen/städtischen E-Mail Dienst und sind in der Lage, ihre E-Mails zu verschlüsseln, spricht nichts gegen eine Übermittlung per E-Mail. Sobald Logineo NRW zur Verfügung steht und von beiden Schulen genutzt wird, kann auch dessen E-Mail Funktionalität genutzt werden. Aber auch hier empfiehlt es sich, die E-Mails mit den sensiblen Schülerdaten zu verschlüsseln.

Es gibt Schulen, die Anbieter wie T-Online, Web.de oder GMX nutzen. Eine Übermittlung per E-Mail über diese oder vergleichbare E-Mail Anbieter, so wie man sie im Privatbereich nutzt, ist nicht zu empfehlen, auch nicht wenn die E-Mails verschlüsselt sind. In der Regel liegen E-Mails zumindest einige Tage auf dem E-Mail Server des Absenders, oft auch des Empfängers. Wird einer dieser Server gehackt und die Daten entwendet, ist nie sicher, was mit den Daten passiert. Selbst eine Verschlüsselung, die heute als sicher gilt, könnte in einigen Jahren zu knacken sein6siehe Quantum Computing, Künstliche Intelligenz und zu Problemen für die Betroffenen führen.

Siehe auch „E-Mail Kommunikation sicher nutzen

Lösungen

Auch wenn eine Übermittlung per E-Mail in den meisten Fällen aus Gründen der Sicherheit nicht möglich ist, lassen sich die Daten aus dem SchiLD Export in digitaler Form übermitteln.

Der einfachste Weg wird die Speicherung auf einem verschlüsselten USB Stick sein, der dann persönlich durch eine Lehrkraft an der kooperierenden Schule abgegeben wird. Wenn zwei Schulen kooperieren, werden sie in räumlicher Nähe zueinander liegen und dieser Weg sollte ohne Probleme möglich sein.7Denkbar wäre auch noch der postalische Versand eines verschlüsselten Datenträgers. Vermutlich ist das jedoch aufwändiger als eine persönliche Übergabe, da bei der postalischen Übermittlung das Passwort zum Entschlüsseln getrennt auf einem anderen Wege übermittelt werden müsste.

Nutzen beide Schulen eine sichere Cloud Lösung, über welche sie Daten austauschen können, ist auch dieses eine Möglichkeit.8Google Drive und Microsoft OneDrive wie auch Dropbox und ähnliche Anbieter gehören nicht zu diesen Lösungen, auch wenn sich die Daten dort verschlüsselt ablegen lassen. Die Gründe dafür liegen daran, dass es sich um nicht europäische Anbieter handelt, bei denen ein tatsächliche Einhaltung der DS-GVO nicht zu einhundert Prozent überprüfbar gewährleistet ist. Eine Nutzung für personenbezogene Daten im Rahmen der schulischen Verwaltung ist damit aktuell (November 2018) nicht zulässig.. Logineo NRW könnte in NRW eine solche Cloud Lösung sein. Nutzen beide Schulen eine Plattform wie kommunal/städtisch betriebenes Moodle, wäre auch dieses eine Möglichkeit. Hierbei muss das Verfahren so gestaltet werden, dass kein Konflikt mit der Vorgabe des letzten Satzes von VO-DV I §5 entsteht.9siehe oben

Ein gemeinsames Verzeichnis, auf welches nur die Sekretariate beider Schulen zugriff haben, wäre eine Möglichkeit.

Gut Ding will Weile haben – Logineo NRW (wohl) kommt doch noch

Lesezeit: < 1 Minute

Logineo NRW sollte die Plattform des Landes werden, mit welcher Schulen eine Cloud Lösung erhalten, welche datenschutzkonformes Arbeiten und Austauschen von Daten erlaubt und durch Single-Sign-On eine datensparsame Nutzung verbundener Plattformen ermöglicht. Schon in diesem Schuljahr sollte der Rollout beginnen. Daraus wurde dann leider nichts, technische Probleme, auch im Zusammenhang mit der Gewährleistung des Datenschutzes, wie man hörte. Wie das Ministerium heute in einer Pressemitteilung verkündete, hat man sich entschlossen, die technischen Probleme zu beheben und danach in eine Pilotierung zu gehen. Verläuft diese erfolgreich, kommt dann der Rollout in die Breite.

Das klingt schon mal ganz gut. Nach den Erfahrungen der vergangenen Jahre mit diversen angekündigten und abgesagten Starttermin, wird man an den Schulen erst mal abwarten. Die Landesregierung NRW hat hier eine Menge Vertrauen verspielt. Sicherlich wird es viele Schulen geben, die mittlerweile das Warten leid sind und andere Lösungen gefunden haben.

Wenn Logineo NRW tatsächlich kommt, wie geplant, kann Schulen dieses tatsächlich einige Vorteile bringen, wenn es um die Einhaltung datenschutzrechtlicher Vorgaben bei der alltäglichen Arbeit geht. An einem Problem ändert die Plattform jedoch nichts. Mit privaten Endgeräten dürfen Lehrkräfte auf Logineo NRW nur zugreifen, wenn sie für die Verarbeitung von personenbezogenen Daten ihrer Schüler eine Genehmigung ihrer Schulleitung haben. Viele Schulen in NRW kämpfen aktuell mit diesem Problem. Lehrkräfte beantragen die Genehmigung nicht, da sie kein Risiko eingehen wollen. Auch Schulleitungen erteilen häufig die Genehmigung grundsätzlich nicht in ihren Kollegien, da sie sich nicht imstande sehen, zu beurteilen, ob sie den Anträgen auf Genehmigung nach den dort gemachten Angaben stattgeben sollen oder nicht.

Datenschutzgesetz NRW – dauert noch (ein paar Tage)

Lesezeit: 2 Minuten

Schon erstaunlich, dass die Übergangsfrist von zwei Jahren in NRW scheinbar kaum genutzt wurde, um das alte Datenschutzgesetz NRW auf die Vorgaben der Europäischen Datenschutz Grundverordnung anzupassen. Die 1. Lesung zum neuen Datenschutzgesetz fand Anfang März diesen Jahres statt. Am 16.05.2018 soll nun die 2. Lesung stattfinden. Wie aus dem Beratungsverlauf ersichtlich und den Stellungnahmen, sind zahlreiche öffentliche Stellen und Interessengruppen am Gesetzgebungsverfahren beteiligt. Die LDI NRW ist mit der Umsetzung ihrer Vorschläge wohl nicht völlig einverstanden. Es sieht aber trotz allem sehr danach aus, als werde es am ersten Entwurf keine großen Veränderungen mehr geben. Entsprechend empfielt der Hauptausschuss des Landtags den Parteien, mit ihren Stimmen den Gesetzes entwurf mit dem Namen Drucksache 17/1981 anzunehmen.

Für Schulen gibt es im Gesetzesentwurf eine interessante Stelle, die man kennen sollte.

§ 28 Befugnisse
(2) Kommt die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit zu dem Ergebnis, dass Verstöße gegen die Vorschriften dieses Gesetzes oder gegen andere Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung personenbezogener Daten vorliegen, kann sie oder er diese

3. …. bei öffentlichen Schulen der Leitung der Schule  …

beanstanden und kann vor Ausübung der Befugnisse des Artikels 58 Absatz 2 Buchstabe b bis g, i und j der Verordnung (EU) 2016/679 Gelegenheit zur Stellungnahme innerhalb einer angemessenen Frist geben. In den Fällen von Satz 1 Nummer 2 bis 4 unterrichtet die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit gleichzeitig auch die zuständige Aufsichtsbehörde.
Von der Einräumung der Gelegenheit zur Stellungnahme kann abgesehen werden, wenn eine sofortige Entscheidung wegen Gefahr im Verzug oder im öffentlichen Interesse notwendig erscheint oder ihr ein zwingendes öffentliches Interesse entgegensteht.

Die Aufsichtsbehörde des Landes NRW, also die Landesbauftragte für Datenschutz und Informationsfreiheit, hat demnach auch die Möglichkeit,

i) eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,

Es kann aber sicher davon ausgegangen werden, dass hier schon extreme Fälle von Verstößen gegen das Datenschutzgesetz vorliegen müssen und dass die Schulleitung keinerlei Einsicht zeigt und Willen, den Problemen abzuhelfen.

Das alles ist nicht komplett neu, fand sich im alten Datenschutzgesetzt nur auf verschiedene Stellen verteilt § 24 Beanstandungen durch den Landesbeauftragten und § 34 Ordnungswidrigkeiten.

Eingreifen kann die LDI NRW auch, wenn eine Schule ihren Pflichten nach dem Informationsfreiheitsgesetz NRW nicht nachkommt. Hier allerdings gehen die Maßnahmen nicht über die Möglichkeiten hinaus, eine Stellungnahme anzufordern.

Nicht wirklich Neues in Bezug auf die Genehmigung für Privatgeräte in NRW

Lesezeit: 3 Minuten

Heute fanden die Schulen in NRW das angekündigte E-Mail von Staatssekretär Richter in ihren Postfächern. Wirklich Neues bringt dieses Mail nicht. Im Wesentlichen gibt es das wieder, was am 24.04.2018 gesagt wurde. Das E-Mail, welches unter [02.05.2018] Dienstanweisung für die automatisierte Verarbeitung von personen-bezogenen Daten in der Schule – BASS 10-41 Nr.4 nachzulesen ist, greift noch einmal die verschiedenen Punkte auf und spielt dabei die mit der Genehmigung verbundenen Probleme für Lehrkräfte etwas herunter. Entsprechend heißt es:

„Ich möchte Ihnen gegenüber versichern, dass die DA ADV keine neuen Standards setzt. Sie begründet keine neuen rechtlichen Verpflichtungen oder gar Verschärfungen im Datenschutz, sie gibt lediglich die aktuelle Rechtslage wieder. Die neugefasste DA ADV soll erklären und unterstützen.“

An anderer Stelle heißt es dann „der Genehmigungsvordruck ist eine Hilfestellung„. Von vielen Lehrkräften wird das nicht so empfunden. Sicher ist es richtig, dass Vorgaben vom Datenschutz einzuhalten sind, doch als Hilfe lässt sich die Genehmigung schwer verstehen, vor allem nicht, wenn von der Erfüllung der Vorgaben und dem Nachweis dessen abhängt, ob Land oder Lehrer haftet.

Interessant ist folgender Passus bezüglich der Kontrollfunktion der Schulleitung:

„Die geregelten Nachweispflichten beinhalten selbstverständlich nicht die Verpflichtung der Schulleitung, die privaten Endgeräte jeder einzelnen Lehrkraft persönlich zu überprüfen. Das wäre gar nicht leistbar.“

Das klang zeitweise anders. Stattdessen wird wieder auf die schulischen Datenschutzbeauftragten (DSB) verwiesen:

„Die dokumentierten Angaben sind zudem von der bzw. von dem zuständigen behördlichen Datenschutzbeauftragten an Schulen zu prüfen, insbesondere daraufhin, ob zu den erforderlichen Maßnahmen zur Datensicherheit abweichende Angaben erfolgt sind, die einer Genehmigung entgegen stehen könnten.“

Abweichende Angaben zu den erforderlichen Maßnahmen zur Datensicherheit, die sollen die DSB prüfen und feststellen, ob sie einer Genehmigung entgegenstehen. Auch für DSB ist eine solche Beurteilung schwierig, vor allem wenn sich die Angaben im Formular zum Gerät, für welches eine Genehmigung eingeholt werden soll, auf Seriennummer und Gerätename beschränken. Für eine solche Prüfung ist mehr erforderlich, z.B. der genaue Gerätetyp, am besten mit Modelljahr (vor allem bei Android Geräten wichtig) und die OS Version. Nach der Handreichung zur Genehmigung sind bei bestimmten Gerätetypen Abweichungen von den Vorgaben der Genehmigung in Teil B möglich, etwa weil sich bei iOS kein zweiter Nutzer einrichten lässt oder dort kein Virenschutz erforderlich ist.

Alte Genehmigungen gelten weiterhin,

„Ausdrücklich darauf hinweisen möchte ich, dass in der Vergangenheit erteilte Genehmigungen weiterhin Bestand haben. Die Neufassung der DA ADV löst keinen neuen Handlungsdruck aus.“

An den verschiedenen Schulen sind über die Jahre höchst unterschiedliche Genehmigungsformulare unterwegs gewesen. Viele dürften in ihrer Anlage weit von den Vorgaben entfernt sein, welche die neue Genehmigung verbindlich vorgibt.

In der VO-DV I, §2 Abs. (2) heißt es zu den Voraussetzungen für eine Genehmigung,

„bedarf der schriftlichen, ein Verfahrensverzeichnis gemäß § 8 DSG NRW enthaltenden Genehmigung […] Die Genehmigung darf nur erteilt werden, wenn […] ein angemessener technischer Zugangsschutz nachgewiesen wird.“

Was das MSB sich unter einem angemessenen technischen Zugangsschutz vorstellt, ist nicht weiter präzisiert und lässt so Spielraum für Interpretation. Für ein Verfahrensverzeichnis sind im DSG NRW Vorgaben gemacht, was enthalten sein sollte. Aber auch da ist ein gewisser Spielraum, wie genau dieses ausgestaltet ist. Das sieht man am alten vom LDI NRW erstellten Genehmigungsformular wie an der neuen Genehmigung.

Die alten Genehmigungen dürfen somit unbegrenzt weiter genutzt werden. Was die Schulleitung unter einem angemessenen technischen Zugangsschutz versteht, bleibt dem eigenen Gutdünken der jeweiligen Schulleitung überlassen. Wer eine Genehmigung hat, darf sich also freuen. Lehrkräfte, die neu an eine Schule kommen, müssen leider das neue Formular nutzen.

An der Haftungsfrage, welche sich für Lehrkräfte mit dieser Genehmigung verbindet, hat sich leider auch mit diesem E-Mail nichts geändert. Schade.

Für die Lehrkräfte und Schulleitungen, welche nun mit der neuen Genehmigung arbeiten müssen, verspricht der Staatssekretär weitere Information auf der Plattform des Landes.

Auch mit dem Thema Dienstgeräte will man sich von Seiten des Landes auseinandersetzen. Das Feld ist schwierig und man wird sehen, was sich daraus ergibt.

Mehr Erfolg werden vermutlich Bemühungen der Landesregierung NRW haben, wenn es um die Ausstattung mit weiteren Verwaltungsrechnern für die Schulen geht, an welchen Lehrkräfte arbeiten können.

Das MSB NRW kommt Schulen bei Genehmigung für Privatgeräte entgegen

Lesezeit: 2 Minuten

Die Genehmigung mit dem langen Namen1Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gemäß § 2 Absatz 2 VO-DV I/§ 2 Absatz 4 VO-DV II hatte in der Zeit nach der Veröffentlichung im Februar 2018 für eine Menge Verunsicherung und Unmut in den Schulen gesorgt. Nachdem das Ministerium lange kein Problem in der Genehmigung sehen wollte, gab es nun am 24.04.2018 ein Gespräch des Schulministeriums mit Lehrerverbänden, Gewerkschaft und Schulleitervereinigungen. Thema war „Datenverarbeitung in Schulen“.

In der Dienstanweisung heißt es:

„Die Verarbeitung personenbezogener Daten für dienstliche Zwecke auf privaten ADV-Anlagen von Lehrkräften ist nur mit schriftlicher Genehmigung der Schulleiterin oder des Schulleiters zulässig. Es gilt § 2 Absatz 2 mit Anlage 3 der VO-DV I. Für die Genehmigung ist der als Anlage beigefügte Genehmigungsvordruck zu verwenden.“2Dienstanweisung für die automatisierte Verarbeitung
von personenbezogenen Daten in der Schule

Das wurde mehrheitlich so verstanden, dass die alten Genehmigungen nicht länger Gültigkeit besitzen. Anders als in den alten Genehmigungen, sind in der neuen sehr deutliche Vorgaben gemacht, was Lehrkräfte leisten müssen, um die Sicherheit der verarbeiteten Daten auf ihren privaten Geräten zu gewährleisten. Dazu kam noch die Frage der Haftung.

„Sofern Sie die hier aufgeführten Maßnahmen zum Schutz der Daten einhalten, ist eine Haftung für Sie ausgeschlossen.“

Für viele war das dann der Punkt, die Unterschrift zu verweigern. Selbst die LDI NRW riet den Schulleitungen davon ab, den Lehrkräften die Genehmigung zu erteilen, da sie eine Beurteilung, ob eine Genehmigung aufgrund der von der Lehrkraft gemachten Angaben, nicht leisten könne.

Das Gespräch sorgte dann am 24.04.2018 für Entspannung. Der Philologen-Verband NRW hat die Ergebnisse zusammengefasst. Drei Informationen sind bezüglich der Genehmigung dabei von Bedeutung:

  1. Es gibt keine Frist, bis wann Lehrkräfte die Genehmigungen unterzeichnen müssen.
  2. Die alten Genehmigungen behalten weiter ihre Gültigkeit (und müssen demnach nicht durch die neue ersetzt werden).
  3. In den letzten 30 Jahren wurde laut MSB in NRW keine Lehrkraft wegen unsachgemäßen Umgangs belangt wurde.

Das MSB sieht die Haftungsfrage der Genehmigung scheinbar sehr entspannt, weil man mit Blick auf die Vergangenheit mit keinen Problemen durch Datenschutzverletzungen rechnet. Man darf sich dann aber die Frage stellen, warum man die Haftung überhaupt in die Genehmigung aufgenommen hat.

In Österreich brauchen sich Schulen als öffentliche Stellen in Bezug auf das Thema Haftung übrigens vorerst keine Sorgen machen, denn dort wurde jetzt in einer Gesetzesnovelle beschlossen, dass gegen Behörden und öffentliche Stellen keine Geldbußen verhängt werden können.3Keine Strafen: Österreich zieht neuem Datenschutz die Zähne

Interessant im Zusammenhang mit der Genehmigung ist noch der letzte Punkt in der Zusammenfassung des Philologenverbandes:

„Gegebenenfalls wird zum Umgang mit der Dienstanweisung die für Ende Mai 2018 zu erwartende Europäische Datenschutzverordnung einbezogen.“

Hier muss man nun abwarten, ob sich durch die Umsetzung der DS-GVO noch etwas ändern wird beim Umgang mit der Dienstanweisung.

Ein Dienstmail soll, laut Staatsekretär Richter im WDR4WDR 5 Westblick 24.04.2018, den Schulen in NRW am 25.04. 5Das war dann wohl nichts. Aus dem 25.04. wurde nichts. In einem anderen Interview sprach Staatssekretär Richter dann auf einmal von „in einigen Tagen“detaillierte Informationen dazu geben, was die Anwendung der Genehmigung betrifft und wie sie zu verstehen ist. Fakt ist aber, die Dienstanweisung gilt, die Schulen erhalten im Umgang mit der Genehmigung jedoch mehr Handlungsspielraum.

Update

Mittlerweile hat sich auch der VBE zum Treffen vom 24.04.2018 geäußert. Im Wesentlichen gibt man im Rundmail an die Mitglieder das wieder, was auch der Philologen-Verband NRW aufgeführt hatte. Ganz in meinem Sinne ist am Ende die Forderung

Die unterstützende Nutzung privater Endgeräte muss über ein pragmatisches datenschutzkonformes Verfahren erlaubt werden. Eine allgemeine Verpflichtungserklärung zur Einhaltung des Datenschutzes sollte ausreichen.

Vor allem der zweite Satz ist dabei wichtig. Die Haftung kann weg.

Berichtigung in den Tipps zur Genehmigung für die Verarbeitung schulischer Daten auf Privatgeräten von Lehrkräften

Lesezeit: < 1 Minute

Im Austausch mit meinen Kollegen und Kolleginnen schulische  Datenschutzbeauftragte kam auch das Thema der Gültigkeit der Genehmigung mit dem endlos langen Namen ( Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gem. § 2 Abs.2 VO-DV I / § 2 Abs.4 VO-DV II) auf. So wie ich es verstanden und in meinen Tipps aufgeschrieben hatte, ist sie auf die Person der Schulleitung bezogen. Das stimmt, wie aus dem Referat 212 des MSB NRW zu erfahren war, so nicht.

Es gibt da ein Verwaltungsverfahrensgesetz für das Land Nordrhein-Westfalen, kurz VwVfG NRW. Und nach diesem behält die Genehmigung bei einem Wechsel der Schulleitung ihre volle Gültigkeit und Wirksamkeit.

In den Tipps ist es geändert. Wer sich die Tipps ausgedruckt hatte, sollte die Seite 20 neu ausdrucken und austauschen. Sollte jemand weitere Fehler finden, bitte über einen Kommentar anmerken.

Datenschutz Tipps & Antworten für Lehrkräfte, die schulische personenbezogenen Daten auf Privatgeräte verarbeiten wollen

Lesezeit: 2 Minuten

Lange Zeit hat sich niemand wirklich Gedanken gemacht, ob es in Ordnung ist, dass eine Lehrkraft die personenbezogenen Daten von Schülern auf ihren privaten Rechnern verarbeitet haben. Wie so viele andere Dinge im Lehreralltag hat man das einfach gemacht. Niemand fragte danach. Genehmigungen wären hier eigentlich schon seit Jahren erforderlich gewesen. An vielen Schulen wusste man davon nichts oder setzte diese Vorgabe nicht um. In NRW hat das Thema mit der Dienstanweisung einen verbindlichen Charakter erhalten. Die   Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken
auf privaten ADV-Anlagen von Lehrkräften gem. § 2 Abs.2 VO-DV I / § 2 Abs.4 VO-DV II
 
ist für alle Schulen verbindlich. Aber auch in anderen Bundesländern geht ohne Genehmigung nichts.

Die Vorgaben aus der Genehmigung sind orientiert an den technisch organisatorischen Maßnahmen zum Schutz der Daten, die für jede Verarbeitung von personenbezogenen Daten und von denen von Schülerinnen und Schüler insbesondere gelten.

Das Problem ist die Umsetzung dieser Vorgaben. Vielen Lehrkräften fällt das schwer. Deshalb habe ich in Orientierung am Teil B – Datensicherheit – des Genehmigungsformulars aus NRW eine Übersicht erstellt, die angibt, was zu tun ist, wenn man sein Gerät, ob Windows, Mac OS, Linux, iOS oder Android möglichst sicher machen möchte im Sinne der Vorgaben. Die Übersicht ist ein Google Doc mit dem Namen Tipps & Antworten für die Praxis . Das Dokument kann weitergenutzt werden und steht dafür unter einer Creative Commons Attribution 4.0 International Lizenz. Als Urheber ist zu nennen datenschutz-schule.info.

Die FAQ im zweiten Teil bezieht sich auf die Genehmigung aus NRW. Alles andere ist auch in anderen Bundesländern sinnvoll, wenn man als Lehrkraft sicher arbeiten möchte. Das Dokument werde ich versuchen, aktuell zu halten.