16. Schulrechtsänderungsgesetz und Datenschutz

Lesezeit: 11 Minuten

Am 23. Februar 2022 wurde das Gesetz zur Modernisierung und Stärkung der Eigenverantwortung von Schulen (16. Schulrechtsänderungsgesetz) vom Landtag NRW verabschiedet und damit unmittelbar wirksam. Es enthält auch Änderungen, welche das Thema Datenschutz betreffen und sehr weitreichende Auswirkungen auf die Nutzung digitaler Medien im Unterricht haben werden. Das gilt vor allem mit Blick auf die verpflichtende Nutzung von unterrichtlich genutzten Plattformen, einschließlich Videokonferenz Plattformen.

Auch schon vor dieser Gesetzesänderung war es in NRW durchaus möglich, die Verarbeitung von personenbezogenen Daten bei der Nutzung von unterrichtlich eingesetzten Plattformen zur Erfüllung des Bildungs- und Erziehungsauftrages auf das Schulgesetz NRW und die VO-DV I & II in Verbindung mit den höherrangigen Rechtsnormen zu stützen. Die personenbezogenen Daten von Schülerinnen und Schülern und Eltern, Lehrerinnen und Lehrer, Personal an den ZfsL, Lehramtsanwärterinnen und Lehramtsanwärtern und Lehrkräften in Ausbildung betreffend, erfolgte dieses durch Hinzuziehung von Art. 6 Abs. 1 lit. e und Abs. 3 lit. b DS-GVO, und die Verarbeitung der personenbezogenen Daten von Funktionsträgerinnen und Funktionsträgern betreffend, erfolgte dieses unter Hinzuziehung von.  Art. 6 Abs. 1 lit. e und Abs. 3 lit. b DS-GVO in Verbindung mit § 3 Abs. 1 DSG NRW. Eine Einwilligung in die Verarbeitung von personenbezogenen Daten war damit, soweit sie die Erfüllung des Bildungs- und Erziehungsauftrages betraf, nicht erforderlich. Auch eine verpflichtende Nutzung war bereits möglich und wurde so beispielsweise vom MSB im Verlauf der Pandemie kommuniziert, als es um die Nutzung von Videokonferenz Plattformen durch Lehrkräfte zur Erteilung von Distanzunterricht ging. Ob Schüler und Lehrkräfte im Einzelfall während der Pandemie tatsächlich zu einer Nutzung verpflichtet werden konnten, hing jedoch wesentlich von weiteren Faktoren ab, etwa der Verfügbarkeit von von der Schule bereitgestellten Schülergeräten und Dienstgeräten für Lehrkräfte.1Weitere Faktoren waren die DS-GVO Konformität der Plattform, um die es ging, und ob die Plattform zur Aktivierung des Kontos eine datenschutzrechtliche Einwilligung zwingend voraussetzt oder nicht. Im Fall von Logineo NRW war und ist die Freiwilligkeit der Nutzung zusätzlich durch eine Dienstvereinbarung festgeschrieben und schließt damit eine verpflichtende Nutzung aus. Ausgenommen von der Verarbeitung auf der beschriebenen Rechtsgrundlage sind freiwillig von den Betroffenen bereitgestellte Nutzungsdaten. Ihre Verarbeitung durch die Schule setzt deshalb eine Einwilligung voraus.2 Ein Blick auf die Datenschutzerklärung von Logineo NRW mit Stand vom 19.08.2020 zeigt, dass man dort genau diesem Ansatz folgt und bei den angegebenen Rechtsgrundlagen entsprechend differenziert.

Spätestens der Distanzunterrichts mittels digitaler Plattformen in der Pandemiezeit seit Frühjahr 2020 machte allen Beteiligten deutlich, dass dem Schulgesetz NRW genau an dieser Stelle bereichsspezifische konkrete datenschutzrechtliche Regelungen fehlten. Mit dem 16. Schulrechtsänderungsgesetz hat das Land NRW reagiert und im Schulgesetz NRW eine Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten bei der Nutzung digitaler Plattformen zur Erfüllung des Bildungs- und Erziehungsauftrags geschaffen. Dafür wurden eine Konkretisierung auf zwei Kategorien von Plattformtypen vorgenommen und der rechtliche Rahmen für eine verpflichtende Nutzung gesetzt. Ergänzend hierzu wurde in § 2 Abs. 1 Satz 3 VO-DV I die Verarbeitung von Protokolldaten geregelt.

Die folgenden Änderungen bzw. Ergänzungen wurden bezüglich der Nutzung von digitalen Plattformen in der Schule vorgenommen.

§ 8 SchulG NRW

Auch wenn die Änderung von § 8 SchulG NRW nicht schulisches Datenschutzrecht betrifft, wird diese hier erwähnt, da sie die Grundlagen für die in den §§ 120 und 121 vorgenommenen datenschutzrechtlichen Änderungen legt. Die Änderungen in § 8 SchulG NRW betreffen die Überschrift, die erweitert wurde, und einen neuen Absatz 2.3Der bisherige Absatz 2 wurde dadurch zu Absatz 3.

§ 8
Unterrichtszeit, Unterrichtsorganisation, Digitalisierung
(1) Der Unterricht wird als Vollzeitunterricht in der Regel an wöchentlich fünf Tagen erteilt. Über Ausnahmen entscheidet die Schulkonferenz im Einvernehmen mit dem Schulträger.
(2) Zur Erfüllung des Bildungs- und Erziehungsauftrags kann die Schule bereitgestellte Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen in digitaler Form nutzen.

Mit dem Hinzufügen des Wortes “Digitalisierung” in der Überschrift möchte man die Digitalisierung der Schulen als “ein wichtiges Ziel bildungspolitischen Handelns der Landesregierung” im Schulgesetz festschreiben. Das MSB bezeichnet dieses als einen “ersten programmatischen Schritt, mit welchem man “einen normativen Bezug für die „Digitalstrategie Schule“4siehe Erläuterungen im Gesetzesentwurf vom 09.12.2021 schafft. Wesentlich wichtiger als diese politische Willenserklärung in Form einer Überschrift ist dann jedoch die mit Abs. 2 geschaffene Rechtsnorm, da hiermit der schulische Einsatz digitaler Lehr- und Lernsysteme sowie digitaler Arbeits- und Kommunikationsplattformen gesetzlich verankert wird. Das ist neu und bricht mit der bisherigen Systematik des SchulG NRW, da vergleichbare Regelungen sich bisher ausschließlich in den §§ 120 und 121 fanden. Es zeigt aber auch, welchen Stellenwert man der Nutzung digitaler Plattformen einräumt, indem man diese Regelung auf eine Stufe mit Vorgaben zur Unterrichtszeit und Unterrichtsorganisation stellt. Was steckt in diesem Satz 2?

Der Rechtsrahmen

Zur Erfüllung des Bildungs- und Erziehungsauftrags kann die Schule bereitgestellte Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen in digitaler Form nutzen.

Schulen erhalten die Möglichkeit, digitale Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen zu nutzen, soweit dieses erforderlich ist, um den Bildungs- und Erziehungsauftrags zu erfüllen. Auch wenn dieses eine damit einhergehende Verarbeitung von personenbezogenen Daten durch die Schule bereits impliziert, erfolgt die bereichsspezifische konkrete datenschutzrechtliche Regelung diesbezüglich erst in den §§ 120 und 121. Die Erfüllung des Bildungs- und Erziehungsauftrags beschränkt sich nicht nur auf den Unterricht selbst. Es geht hier laut MSB im Gesetzesentwurf um eine Nutzung “für pädagogisch-didaktische Zwecke, insbesondere für die Gestaltung von Lehr- Lernprozessen, aber auch für schulinterne Verwaltungstätigkeiten sowie interne und externe Kommunikationsprozesse …

Entscheidung der Schule

Zur Erfüllung des Bildungs- und Erziehungsauftrags kann die Schule bereitgestellte Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen in digitaler Form nutzen.”

Die Entscheidung über die Nutzung digitaler Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen zur Erfüllung des Bildungs- und Erziehungsauftrags liegt damit bei der Schule. Vor dem Einsatz ist gemäß der ebenfalls neu geschaffenen Regelung in § 65 Abs. 2 Nr. 6 die Schulkonferenz an der Entscheidung über die Einführung einer vom Schulträger vorgeschlagenen Plattform zu beteiligen.5Wie im Gesetzesentwurf angemerkt ist, gilt diese Entscheidungsbefugnis nicht für bereits vor Inkrafttreten des 16. Schulrechtsänderungsgesetzes existierende und genutzte Systeme und Plattformen. (siehe Zu Nummer 22 (§ 65))

(2) Die Schulkonferenz entscheidet im Rahmen der Rechts- und Verwaltungsvorschriften in folgenden Angelegenheiten:
[…]

6. über den Vorschlag zur Nutzung der vom Schulträger bereitgestellten Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen in digitaler Form (§ 8 Absatz 2),

Im Gesetzesentwurf vom 09.12.2021 heißt es außerdem, “Das Nähere, insbesondere unter welchen Voraussetzungen die Systeme zu nutzen sind, regeln die Ausbildungs- und Prüfungsordnungen.” Dort wird es dann, sofern noch nicht vorhanden, entsprechende Vorgaben geben.

Digitale Plattformen

Zur Erfüllung des Bildungs- und Erziehungsauftrags kann die Schule bereitgestellte Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen in digitaler Form nutzen.”

Bezüglich digitaler Medien gab es im Schulgesetz NRW bisher nur eine Rechtsgrundlage für die Nutzung von “digitalen Lehr- und Lernmitteln.”6siehe § 120 Abs. 5 Satz 1, worunter sich beispielsweise digitale Schulbücher fassen lassen. Mit den digitalen “Lehr- und Lernsystemen sowie Arbeits- und Kommunikationsplattformen” erweitern sich die Plattformtypen, in welchen eine Schule zur Erfüllung des Bildungs- und Erziehungsauftrags personenbezogene Daten verarbeiten darf, auf “informationstechnische Systeme” zu denen laut Erläuterung des MSB im Gesetzesentwurf “insbesondere Lernmanagementsysteme, E-Mail- und Messengerdienste sowie Videokonferenztools” zählen. Das beschreibt ziemlich genau, was die Plattformen der Logineo NRW Familie leisten und entsprechend verweist das MSB im Gesetzesentwurf auch auf diese und stellt ihre Vorteile heraus. In Frage kommen für eine Nutzung im Rahmen von  § 8 Abs. 2 weitere Plattformen, etwa Cloud Plattformen wie NextCloud mit integrierten oder angeschlossenem Office, Schulserver wie ein IServ, Classroom Management Systeme oder auch Lern Apps wie Anton. Auch Systeme für Umfragen und Feedback sollten sich darunter fassen lassen oder Apps wie beispielsweise Schulmanager Online, Sdui und Elternnachricht, digitale Klassenbücher und Stunden- und Vertretungspläne, über welche schulische Organisationsabläufe, wie sie zur Erfüllung des Bildungs- und Erziehungsauftrags erforderlich sind, abgebildet werden.

§§ 120 und 121 SchulG NRW

Für die in § 8 geschaffene Rechtsgrundlage, welche es Schulen ermöglicht, digitale Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen zur Erfüllung des Bildungs- und Erziehungsauftrags einzusetzen, werden in § 120 Abs. 5 durch Hinzufügen von Satz 2 bereichsspezifische konkrete datenschutzrechtliche Regelung getroffen7Auch wenn sich hier in Teilen eine Dopplung mit § 8 Satz 2 ergibt, so sind die Regelungen in §§ 120 und 121 an dieser Stelle erforderlich, da diese beiden Paragraphen diejenigen sind, an welchen im SchulG NRW schulischer Datenschutz geregelt ist.:

(5) Die Schule darf für den Einsatz digitaler Lehr- und Lernmittel personenbezogene Daten der Schülerinnen und Schüler und der Eltern verarbeiten, soweit dies für die Aufgabenerfüllung der Schule erforderlich ist. Dies gilt entsprechend für den Einsatz von Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen (§ 8 Absatz 2); in diesem Rahmen sind die Schülerinnen und Schüler zur Nutzung verpflichtet.

In § 121 Abs. 1 wird durch Hinzufügen eines nahezu wortgleichen Satzes 2 entsprechend verfahren:

(1) Daten der Lehrerinnen und Lehrer dürfen von Schulen verarbeitet werden, soweit dies zur Aufgabenerfüllung bei […] der Durchführung des Unterrichts, einschließlich des Einsatzes digitaler Lehr- und Lernmittel, […] erforderlich ist. Dies gilt entsprechend für den Einsatz von Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen (§ 8 Absatz 2); in diesem Rahmen sind die Lehrerinnen und Lehrer zur Nutzung verpflichtet.

Schulen dürfen damit beim Einsatz von digitalen Lehr- und Lernsystemen sowie Arbeits- und Kommunikationsplattformen die personenbezogenen Daten von Schülerinnen und Schülern und ihren Eltern sowie von Lehrkräften verarbeiten, soweit dieses zur Erfüllung des Bildungs- und Erziehungsauftrags erforderlich ist. Dieses schließt auch Videokonferenz Plattformen ein. Innerhalb des gesteckten Rahmens sind sowohl Schülerinnen und Schüler wie auch Lehrkräfte zur Nutzung der genannten Plattformen verpflichtet. Eltern sind von dieser Verpflichtung ausgenommen.

Welche Daten

Die Zulässigkeit der Verarbeitung von personenbezogenen Daten von Schülern, Eltern und Lehrkräften erstreckt sich auf die in VO-DV I und II normierten Daten und geht sogar noch über diese hinaus. Digitale Plattformen lassen sich nicht betreiben, ohne dass dabei weitere personenbezogene und -beziehbare Daten anfallen. Diese müssen sich jedoch im Rahmen des technisch Erforderlichen bewegen. Mit §2 Abs. 1 Satz 3 VO-DV I wird dieses klargestellt: “ Beim Einsatz digitaler Lehr- und Lernmittel, digitaler Kommunikationsmittel sowie IT-Infrastrukturen ist die Verarbeitung von Protokolldaten nur zulässig, soweit dies zum Betrieb technisch erforderlich ist.” Für die Verarbeitung von Protokolldaten oder auch Logdaten werden hier zwei Grenzen aufgezeigt. Es dürfen zum Einen nur solche Protokolldaten erhoben werden, die technisch erforderlich sind. Außerdem dürfen die erhobenen Daten nur genutzt werden, soweit dieses technisch erforderlich ist, um die jeweilige Plattform zu betreiben. Gleichsam ist es auch nicht zulässig, diese Daten für andere Zwecke zu nutzen. Protokolldaten dürfen somit nicht genutzt werden, um Aufschlüsse über Nutzerverhalten zu gewinnen.8Eine Ausnahme wäre hier die Kontrolle von Protokolldaten, wenn der Verdacht besteht, dass mit einer Plattform Missbrauch betrieben wird. Dieses setzt jedoch die Erfüllung weiterer Vorgaben voraus.

Welche Plattformen

In den Erläuterungen im Gesetzesentwurf wird noch einmal klargestellt, dass die neuen Regelungen in den §§ 120 und 121 weit gefasst werden: “Dies schließt alle Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen im Sinne des § 8 Absatz 2 ein, die die Schule zur Erfüllung ihres Bildungs- und Erziehungsauftrags nutzt.” Auch schon vor Inkrafttreten des 16. Schulrechtsänderungsgesetzes bestehende Plattformen fallen unter die Regelung, sofern sie von einer Schule im Sinne des § 8 Absatz 2 zur Erfüllung ihres Bildungs- und Erziehungsauftrags genutzt werden.9Siehe dazu auch die Erläuterung zu § 8 Absatz 2 unter der Überschrift “Digitale Plattformen“, wo in Frage kommende Plattformen ausführlicher beschrieben sind.

Keine Einwilligung aber Information

Durch die in den §§ 120 und 121 neu aufgenommenen Sätze verfügen Schulen nun über eine konkrete Rechtsgrundlage, welche ihnen die Verarbeitung von personenbezogenen Daten in digitalen Lehr- und Lernsystemen sowie Arbeits- und Kommunikationsplattformen wie dort beschrieben erlaubt und Schüler wie auch Lehrkräfte sogar zur Nutzung verpflichtet. Eine Einwilligung ist hierfür somit nicht erforderlich. Es besteht jedoch weiterhin eine Informationspflicht gem. Art. 13 DS-GVO.

Ganz konkret bedeutet dieses, dass weder von Schülern noch von Eltern oder Lehrkräften eine Einwilligung eingeholt werden muss, wenn eine Schule beispielsweise eine Videokonferenz Plattform wie Jitsi für die Durchführung von Unterricht oder von Beratungsgesprächen mit Eltern nutzt.

Videokonferenz Plattform

Im Verlauf der Pandemie war vor allem strittig, ob Lehrkräfte zur Erteilung von Distanzunterricht per Videokonferenz verpflichtet werden konnten und dieses mit eingeschalteter Videokamera. Genau diesem Umstand dürfte die ausdrückliche Erwähnung von “Videokonfenzsystemen” geschuldet sein. Das Land NRW legt damit fest, dass sich die Zulässigkeit der Verarbeitung von personenbezogenen Daten von Schülern, Eltern und Lehrkräften zur Aufgabenerfüllung und bei Lehrkräften außerdem zur Durchführung von Unterricht auch auf die Nutzung von Videokonferenz Plattformen erstreckt. Welche weitreichenden Möglichkeiten sich dadurch für Schulen ergeben, erläutert das MSB im Gesetzesentwurf: “Ebenso besteht die Möglichkeit, Schülerinnen und Schüler, die nicht an Präsenzunterricht teilnehmen können (z.B. Quarantäne, Wechsel von Präsenz- und Distanzphasen, Krankheit etc.) am Unterricht vor Ort „zuzuschalten“ und somit am Unterricht teilhaben zu lassen.” Anders als bisher braucht es dafür von den Schülerinnen und Schülern im Klassenraum keine Einwilligung mehr. Gleiches gilt auch für die Durchführung von Konferenzen in Form von Videokonferenzen.

Videokamera an – aus?

Neben den Möglichkeiten, Videokonferenz Plattformen im Unterricht einzusetzen werden im Gesetzesentwurf auch die Grenzen beschrieben: “Zulässig ist der Einsatz von Videokonferenzsystemen nur, wenn dies zur Erfüllung des Bildungsauftrags erforderlich ist. Die Erforderlichkeit liegt vor, wenn dies zur Sicherung des konkreten Unterrichtsgeschehens oder aus anderen pädagogisch-didaktischen Gründen gegeben ist.” Werden Schülerinnen und Schüler, die nicht am Präsenzunterricht teilnehmen können, dem Unterricht zugeschaltet, so dürfte es in der Regel nicht erforderlich sein, dass dabei permanent Ton und/oder Kamera eingeschaltet sind, weder im Klassenraum, noch auf Seiten der Schülerinnen und Schüler. Eine Erforderlichkeit, Kamera und Ton im Klassenraum aus pädagogisch-didaktischen Gründen einzuschalten, ist aber in dem Moment gegeben, in welchem die Lehrkraft oder Schülerinnen und Schüler im Klassenraum etwas vorführen oder ein Unterrichtsgespräch in der Lerngruppe stattfindet.

Mit dem Satz “Die Verpflichtung der Schülerinnen und Schüler zum Einsatz von Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen und zur Nutzung von Videokonferenzsystemen mit Einschalten von Ton und Bild besteht in dem durch § 8 Absatz 2 gesetzten Rahmen.” der entsprechend auch für  Lehrkräfte gilt, wird noch einmal ausdrücklich darauf verwiesen, dass die Verpflichtung, Ton und Bild einzuschalten, sich in dem durch § 8 Absatz 2 gesetzten Rahmen bewegen muss. Sie ist somit nur möglich, sofern dieses zur Erfüllung des Bildungs- und Erziehungsauftrages erforderlich ist.

Das lässt Interpretationsspielraum, denn nicht jeder, ob Schüler oder Lehrkraft, wird je nach Situation eine Erforderlichkeit anerkennen.

Nutzung nur im im zulässigen Umfang

Auch wenn dieser Punkt aus den Änderungen im SchulG nicht unmittelbar hervorgeht, soll er hier erwähnt werden, denn er geht auf eine Forderung der LDI NRW in der Schrift Pandemie und Schule zurück. Wenn eine Verpflichtung zur Nutzung besteht, muss zu Schutz aller Beteiligten “gewährleistet sein, dass alle Betroffenen die digitalen Module nur im zulässigen Umfang nutzen können. Dieses wird durch technische und organisatorische Maßnahmen geregelt, etwa entsprechende Voreinstellungen in der Plattform und gegebenenfalls Nutzungs- bzw. Dienstvereinbarungen.” Dieses ist erforderlich, um beispielsweise Cyberbullying oder unbefugte Mitschnitte von Videokonferenzen zu verhindern und gegebenenfalls Maßnahmen ergreifen zu können, sollte es zu unzulässigen Nutzungen kommen.

Grenzen der Verpflichtung

Auch wenn durch die Änderungen im Schulgesetz NRW die rechtlichen Grundlagen für eine verpflichtende Nutzung von digitalen Plattformen und die dafür erforderliche Verarbeitung von personenbezogenen Daten geschaffen worden sind und sich dadurch für Schulen neue Perspektiven die Gestaltung von Unterricht wie auch die Abbildung von Verwaltungstätigkeiten eröffnen, so sind diesen neuen Möglichkeiten Grenzen gesetzt. Einige davon sind durch die neuen Regelungen selbst bedingt, andere hängen mit externen Faktoren zusammen, die in Zukunft wegfallen könnten.

Nicht für Eltern

Eine Grenze beschreibt § 120 Abs. 5 Satz 2 selbst, indem die Verpflichtung zur Nutzung nur für Schülerinnen und Schüler sowie Lehrkräfte vorgegeben wird, nicht jedoch für Eltern. Bezüglich der Eltern heißt dieses, Schulen können deren Daten bei der Nutzung von digitalen Lehr- und Lernsystemen sowie Arbeits- und Kommunikationsplattformen einschließlich Videokonferenz Plattformen ohne Einwilligung nutzen, die Eltern aber nicht zur Nutzung verpflichten. Damit können Schulen in infrage kommenden Plattformen beispielsweise Konten für die Eltern anlegen und den Eltern eine Nutzung anbieten. Diese sind jedoch nicht verpflichtet, diese Plattformen auch zu nutzen. In einem solchen Fall müssten sie aber mit Anlegen eines Kontos immer auch über die Datenverarbeitung gem. Art. 13 DS-GVO informiert werden.

Nutzung im Sinne von § 8 Satz 2

Eine Verpflichtung zur Nutzung eines digitalen Lehr- und Lernsystems oder einer Arbeits- und Kommunikationsplattform einschließlich Videokonferenz Plattform setzt voraus, dass die Nutzung im Sinne von § 8 Satz 2 erfolgt, also zur Erfüllung des Erziehungs- und Bildungsauftrags. Mit Bezug auf den Einsatz von Videokonferenz Plattformen heißt es hierzu im Gesetzesentwurf: “Zulässig ist der Einsatz von Videokonferenzsystemen nur, wenn dies zur Erfüllung des Bildungsauftrags erforderlich ist. Die Erforderlichkeit liegt vor, wenn dies zur Sicherung des konkreten Unterrichtsgeschehens oder aus anderen pädagogisch-didaktischen Gründen gegeben ist.” Für eine über die zur Erfüllung des Erziehungs- und Bildungsauftrags hinausgehende Nutzung sind Schüler wie Lehrkräfte nicht verpflichtet.

Sächliche Voraussetzungen sind gegegeben

Schülerinnen und Schüler können zu einer Nutzung von Lehr- und Lernsystemen sowie Arbeits- und Kommunikationsplattformen, die von der Schule zur Erfüllung ihres Bildungs- und Erziehungsauftrags eingesetzt werden, nur dann verpflichtet werden, wenn sie auch die Möglichkeit dazu haben. Stehen den Schülerinnen und Schülern ausreichend viele schulische Geräte mit dienstlich zugelassenen Anwendungen zur Verfügung, ist eine verpflichtende Nutzung möglich. Ist dieses nicht der Fall und Schülerinnen und Schüler müssen private Endgeräte nutzen, so kann dieses nur auf freiwilliger Basis erfolgen. Das MSB stellt im Gesetzesentwurf unter “zu Buchstabe b” ausdrücklich klar: “Eltern bzw. Schülerinnen und Schüler sind schulrechtlich nicht verpflichtet, ein digitales Endgerät für den Unterricht anzuschaffen oder einzusetzen.” Gleiches gilt auch für Lehrkräfte. Auch sie sind nicht zur Nutzung von privaten Endgeräten verpflichtet. Eine verpflichtende Nutzung setzt entsprechend bei Lehrkräften ein Dienstgerät mit dienstlich zugelassenen Anwendungen voraus.

Keine Einwilligung oder Freiwilligkeit vorgeschrieben

Eine verpflichtende Nutzung ist nicht möglich, wenn eine Einwilligung in die Datenverarbeitung bei der Nutzung einer Plattform zwingend vorgeschrieben ist. Dieses ist bei den Produkten der Logineo NRW Familie jedoch der Fall. Es kommt hinzu, dass die Freiwilligkeit der Nutzung auch in einer Dienstvereinbarung mit den Hauptpersonalräten (Stand 21.10.2020) vereinbart wurde10Hinweis: Es gibt genau genommen zwei Dienstvereinbarungen, da die Hauptpersonalräte sich der Dienstvereinbarung der anderen Schulformen nicht anschließen wollten.: “Die Nutzung von LOGINEO NRW ist freiwillig und setzt eine Einwilligungserklärung der jeweiligen Nutzerin oder des jeweiligen Nutzers bzw. deren oder dessen gesetzlicher Vertretung voraus.” In der Logineo NRW Rahmendienstnutzungsordnung mit Datum vom 28.01.2021 heißt es unter Gegenstand und Geltungsbereich “Die Nutzung von LOGINEO NRW ist freiwillig. Die Einwilligung kann im Rahmen der Aktivierung des individuellen Nutzeraccounts bei Erstanmeldung am System erteilt werden.” und unter 6. Nutzung des LOGINEO NRW Messengers und des VideokonferenztoolsDie anlassbezogene Nutzung des im LOGINEO NRW Messengers enthaltenen Videokonferenztools ist freiwillig. Es obliegt den einzelnen Nutzerinnen und Nutzern sich an einer Videokonferenz zu beteiligen. Insbesondere das Einschalten der Kamerafunktion ist nicht verpflichtend.”

Im Fall von Logineo NRW ist eine verpflichtende Nutzung von daher solange ausgeschlossen, wie die Dienstvereinbarungen wie auch die zugehörige Rahmendienstnutzungsordnungen in der aktuellen Form gelten.

Es ist auch nicht rechtmäßig, wie aus zumindest einer Bezirksregierung im Verlauf der Pandemie zu hören war, Lehrkräfte zur Einwilligung dienstlich anzuweisen, um sie damit zur Nutzung einer Videokonferenz Plattform zur Erteilung von Unterricht zu verpflichten. Eine Einwilligung setzt immer die Freiwilligkeit voraus. Ohne ist sie nicht rechtswirksam.

Im Sinne des SchulG NRW und DS-GVO genutzte Plattform

Die LDI NRW hat sich in der Schrift Pandemie und Schule (Stand 12.05.2021) auch zur verpflichtenden Nutzung von schulischen Plattformen auf der Grundlage der bis dahin bestehenden Regelungen des SchulG NRW11dort bezeichnet als “dieser Ansatz” geäußert. “Dabei ist zum einen zu beachten, dass dieser Ansatz nur zum Tragen kommen kann, soweit die Verarbeitung der hierfür erforderlichen Daten entsprechend den gesetzlichen Vorschriften im Verantwortungsbereich der Schule erfolgt, d.h. sie selbst die Daten verarbeitet oder durch Regelungen in einem Auftragsverarbeitungsvertrag sichergestellt ist, dass sie „Herrin der Daten“ ist.” In Frage kommen damit nur Plattformen im Sinne von § 8 Abs. 2, welche die Schule entweder selbst betreibt, oder welche sie durch den Schulträger oder einen Dienstleister auf der Grundlage eines Vertrags zur Auftragsverarbeitung gem. Art. 28 DS-GVO bereitstellen lässt. Außerdem sind, wie die LDI NRW beschreibt, weitere Anforderungen der DS-GVO zu erfüllen: “Gerade wenn eine Nutzung jedoch verpflichtend erfolgen soll, muss gewährleistet sein, dass die digitalen Module selbst den datenschutzrechtlichen Anforderungen insbesondere aus Art. 5, 24, 25 und 32 DS-GVO genügen  ….

Fazit

Eine verpflichtende Nutzung von digitalen Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen ist nur möglich, wenn die Schule diese

  • zur Erfüllung ihres Bildungs- und Erziehungsauftrags nutzt, und
  • allen Schülerinnen und Schülern der Lerngruppe ein von der Schule bereitgestelltes digitales Endgerät einschließlich der erforderlichen Anwendungen zur Verfügung steht, und
  • es sich um eine Plattform handelt, die nach Februar 2022 auf der Grundlage von § 8 Satz 2 SchulG NRW eingeführt wurde, oder deren Einführung vor Februar 2022 im Sinne von § 8 Satz 2 erfolgte, und
  • die Plattform die Vorgaben des SchulG NRW und der DS-GVO erfüllt, und
  • die Plattform keine Einwilligung oder Freiwilligkeit der Nutzung vorschreibt.

Über die eingesetzten digitalen Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen entscheidet die Schule. Unter welchen Voraussetzungen die Systeme zu nutzen sind, regeln die Ausbildungs- und Prüfungsordnungen.

Schulen dürfen die personenbezogenen Daten von Schülern und Lehrkräften bei der Nutzung digitalen Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen auf der Grundlage des SchulG NRW verarbeiten, wodurch die Erfordernis zu einer Einwilligung entfällt. Die Verpflichtung Betroffene über die Verarbeitung von personenbezogenen Daten gem. Art. 13 DS-GVO zu informieren besteht allerdings weiterhin.

Auch wenn digitale Lehr- und Lernsysteme und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen ohne Verpflichtung genutzt werden, etwa weil Schülerinnen und Schüler private Endgeräte auf freiwilliger Basis nutzen, bedarf es dazu keiner Einwilligung, da auch diese Verarbeitung von personenbezogenen Daten durch die neuen Regelungen abgedeckt sind.

Geht die Nutzung digitaler Lehr- und Lernsysteme und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsysteme über die Erfüllung des Bildungs- und Erziehungsauftrages hinaus, so setzt die dafür erforderliche Verarbeitung von personenbezogenen Daten eine Einwilligung der Betroffenen voraus.

Und außerdem

Mit den Neuerungen in den §§ 120 und 121 besteht nun die Möglichkeit, die personenbezogenen Daten von Schülern und Lehrkräften auch beim Einsatz von Videokonferenzsystemen zu verarbeiten. Die Aufzeichnung von Videokonferenzen ist auf dieser Rechtsgrundlage jedoch nicht möglich. Hier gelten weiterhin § 120 Abs. 6 bzw. § 121 Abs. 1 Satz 3, wonach “Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen […] der Einwilligung der betroffenen Personen.” bedürfen.

Fragen und Antworten zur Umsetzung der neuen Regelungen

Was die neuen Regelungen für die Praxis bedeuten, wird in den folgenden FAQ näher betrachtet.

FAQ – Einsatz von digitalen Plattformen ab März 2022

Stand 03/2022

Auswirkungen der geänderten VO-DV I auf Nutzung Privatgeräte

Lesezeit: 2 Minuten

Mit Datum vom 13. Dezember 2021 wurden die VO-DV I und VO-DV II durch die Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten geändert. Die Änderungen in den beiden Verordnungen wirken sich sehr deutlich auf die Arbeit der an den Schulen tätigen Personen aus, so dass man hier von einer Zäsur sprechen kann. Veränderungen mit vergleichbar starken Auswirkungen auf die Verarbeitung von personenbezogenen Daten an Schulen hat es in den vergangenen Jahren nicht gegeben.

Der Grund dafür liegt in der jetzt sehr starken Eingrenzung der Möglichkeiten, weiterhin private Endgeräte für die Verarbeitung von personenbezogenen Daten aus der Schule zu nutzen. Das war bisher anders. Lehrkräfte konnten ihre privaten Endgeräte im Rahmen der Vorgaben der VO-DV I & II nutzen, um darauf diese Daten zu verarbeiten. Damit war es ihnen möglich, den Mangel an für Verwaltungsarbeiten in der Schule eingerichteten Lehrerarbeitsplätzen auszugleichen, mobil innerhalb der Schule zu arbeiten und auch Arbeiten zu Hause zu erledigen. Die Rahmenbedingungen begannen jedoch sich in dem Moment zu ändern, als Schulträger mit Unterstützung des Landes und des Bundes in die Lage versetzt wurden, Lehrkräfte mit dienstlichen Endgeräten auszustatten. Aus Sicht des Gesetzgebers wie auch der Aufsichtsbehörde des Landes NRW entfiel damit die Erfordernis, Lehrkräften weiterhin die Nutzung privater Endgeräte für die Verarbeitung von personenbezogenen Daten aus der Schule auf privaten Endgeräten zu gestatten. Gleichzeitig sah man jedoch auch, dass es an Schulen weiteres Personal gibt, welches wie Lehrkräfte personenbezogene Daten verarbeitet. Da es für diese Personengruppe noch keine Ausstattungsrichtlinie gibt, wurde auch hier die rechtliche Grundlage geschaffen, eine Genehmigung zur Nutzung von privaten Endgeräten zu erteilen. Die Möglichkeit, auch Lehrkräften diese Genehmigung zu erteilen, ist nicht komplett verschwunden, jedoch stark eingeschränkt, auf Personen, denen noch kein Dienstgerät zur Verfügung steht, deren Dienstgerät defekt oder verlustig gegangen ist, ohne dass Ersatz gestellt werden kann, und auf eine begrenzte Zahl von Ausnahmefällen.

Im Beitrag Verarbeitung von personenbezogenen Daten auf dienstlichen und privaten Endgeräten – VO-DV I werden die Auswirkungen der Änderungen in der VO-DV I im Detail betrachtet und kommentiert. Im Text wie auch in den FAQ am Ende wird versucht, an praktischen Beispielen zu zeigen, welche Spielräume die neuen Regelungen im schulischen Alltag lassen.

Verarbeitung von personenbezogenen Daten auf dienstlichen und privaten Endgeräten – VO-DV I

Lesezeit: 12 Minuten

Mit Datum vom 13. Dezember 2021 wurden die VO-DV I und VO-DV II durch die Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten geändert. Die Änderungen in den beiden Verordnungen wirken sich sehr deutlich auf die Arbeit der an den Schulen tätigen Personen aus, so dass man hier von einer Zäsur sprechen kann. Veränderungen mit vergleichbar starken Auswirkungen auf die Verarbeitung von personenbezogenen Daten an Schulen hat es in den vergangenen Jahren nicht gegeben. Selbst die Einführung der Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gem. § 2 Abs.2 VO-DV I / § 2 Abs.4 VO-DV II im Februar 2018, die zu viel Unruhe in den Kollegien führte, ist den jetzt in Kraft getretenen Änderungen von VO-DV I & II in ihren Auswirkungen nicht einmal ansatzweise vergleichbar.

Der Grund dafür liegt in der jetzt sehr starken Eingrenzung der Möglichkeiten, weiterhin private Endgeräte für die Verarbeitung von personenbezogenen Daten aus der Schule zu nutzen. Das war bisher anders. Lehrkräfte konnten ihre privaten Endgeräte im Rahmen der Vorgaben der VO-DV I & II nutzen, um darauf diese Daten zu verarbeiten. Damit war es ihnen möglich, den Mangel an für Verwaltungsarbeiten in der Schule eingerichteten Lehrerarbeitsplätzen auszugleichen, mobil innerhalb der Schule zu arbeiten und auch Arbeiten zu Hause zu erledigen. Die Rahmenbedingungen begannen jedoch sich in dem Moment zu ändern, als Schulträger mit Unterstützung des Landes und des Bundes in die Lage versetzt wurden, Lehrkräfte mit dienstlichen Endgeräten auszustatten. Aus Sicht des Gesetzgebers wie auch der Aufsichtsbehörde des Landes NRW entfiel damit die Erfordernis, Lehrkräften weiterhin die Nutzung privater Endgeräte für die Verarbeitung von personenbezogenen Daten aus der Schule auf privaten Endgeräten zu gestatten. Gleichzeitig sah man jedoch auch, dass es an Schulen weiteres Personal gibt, welches wie Lehrkräfte personenbezogene Daten verarbeitet. Da es für diese Personengruppe noch keine Ausstattungsrichtlinie gibt, wurde auch hier die rechtliche Grundlage geschaffen, eine Genehmigung zur Nutzung von privaten Endgeräten zu erteilen. Die Möglichkeit, auch Lehrkräften diese Genehmigung zu erteilen, ist nicht komplett verschwunden, jedoch stark eingeschränkt, auf Personen, denen noch kein Dienstgerät zur Verfügung steht, deren Dienstgerät  verlustig gegangen oder defekt ist, ohne dass Ersatz gestellt werden kann, und auf eine begrenzte Zahl von Ausnahmefällen.

Die Änderungen im Detail

Die Änderungen an den beiden Verordnungen werden im Folgenden getrennt erklärt, da es jeweils um verschiedene Kategorien von personenbezogenen Daten geht, um die der Schüler und Eltern bzw. um die von Lehrkräften. In VO-DV II ist zudem der Kreis der von den Regelungen betroffenen Personen verschieden.

Welche Auswirkungen die Änderungen in der VO-DV II haben kann im Beitrag Verarbeitung von dienstlichen personenbezogenen Daten auf privaten und dienstlichen Endgeräten – VO-DV II nachgelesen werden.

VO-DV I

Änderung des Personenkreises für die Genehmigung

§2 Abs. 2 VO-DV I wird komplett neu gefasst, um den Personenkreis, welcher eine Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken durch die Schulleitung zu erweitern.

Die Verarbeitung personenbezogener Daten von in § 1 Absatz 1 Satz 1 genannten Personen auf privaten digitalen Geräten von Lehrkräften, Lehramtsanwärterinnen und Lehramtsanwärtern, Lehrkräften in Ausbildung, sonstigem pädagogischen und sozialpädagogischen Personal sowie Schulpsychologinnen und Schulpsychologen für dienstliche Zwecke bedarf der schriftlichen, ein Verzeichnis der Verarbeitungstätigkeiten gemäß Artikel 30 der Datenschutz- Grundverordnung enthaltenden Genehmigung durch die Schulleiterin oder den Schulleiter.

Lehramtsanwärterinnen und Lehramtsanwärter sowie Lehrkräfte in Ausbildung konnten auch bisher schon die Genehmigung erhalten, da sie unter Lehrerinnen und Lehrern mitgedacht waren. Um Klarheit zu schaffen, werden sie jetzt ausdrücklich aufgeführt. Neu hinzugekommen sind das sonstige pädagogische und sozialpädagogische Personal (z.B. gemäß § 58 Schulgesetz NRW, aber auch nicht im Landesdienst stehendes Personal) sowie Schulpsychologinnen und Schulpsychologen. Letztere müssen beispielsweise in “Krisenfällen oder bei konkreten Beauftragungen in einer Schule auf die Daten zurückgreifen1Aus den Erläuterungen zu den Änderungen (S. 12). können.

Den neu hinzugekommen Personen wird durch die Änderung der Verordnung eine Möglichkeit gegeben, Privatgeräte für die Verarbeitung von personenbezogenen Daten für dienstliche Zwecke zu verarbeiten, bis der Gesetzgeber mit einer neuen Richtlinie eine Regelung zur Ausstattung mit Dienstgeräten geschaffen hat oder ein Schulträger Dienstgeräte aus eigenen Mitteln zur Verfügung stellt.

Da diese Personen zur Erfüllung ihrer Funktionen personenbezogene Daten verarbeiten, die bisher nicht in Anlage 3 aufgeführt waren, gibt es hier nun eine Ergänzung.

14. Dokumentationen im Zuge des pädagogischen, sozialpädagogischen und schulpsychologischen Mitwirkens bei der Bildungs- und Erziehungsarbeit (z.B. Vermerke über Beratungstätigkeit, Arbeits- und Sozialverhalten)*)

Eine Ergänzung gibt es in Anlage 3 auch für Lehrkräfte. Diese betrifft die Nr. 10, die um neue Kategorien von personenbezogenen Daten erweitert wurde:

“Leistungsbewertungen und Bemerkungen zum Arbeits- und Sozialverhalten in den Fächern, in denen die Lehrkraft die Schülerinnen und Schüler unterrichtet, einschließlich digital von diesen erstellter Leistungsnachweise

Damit wurde eine Rechtsgrundlage geschaffen für die Verarbeitung von Daten, die viele Lehrkräfte vermutlich schon lange auf den Privatgeräten verarbeiteten, auch wenn sie in Anlage 3 bisher nicht aufgeführt waren. Entsprechend ist es jetzt zulässig, auf Privatgeräten entsprechende Notizen anzufertigen, die erforderlich sind für spätere, nachvollziehbare Leistungsbewertungen. Genauso ist es jetzt möglich, Präsentationen; Referate, E-Books, Erklärvideos und ähnliche digital erstellte Leistungsnachweise auf privaten Endgeräten zu verarbeiten, damit Lehrkräfte diese dort begutachten und bewerten können.

In der Erläuterungen zu den Änderungen gibt es auf Seite 17 noch einen klärenden Hinweis, wie die Auflistung der in Anlage 3 aufgeführten personenbezogenen Daten zu verstehen ist.

In der Anlage 3 sind die Daten, deren Verarbeitung auf Privatgeräten zulässig ist, enumerativ und abschließend aufgeführt.”2Dieser Hinweis findet sich auch in der Handreichung zur Genehmigung.pdf von Februar 2018.

Wie bisher setzt die Erteilung der Genehmigung voraus, dass die Verarbeitung der Daten für die Erfüllung schulischer Aufgaben erforderlich ist und “ein angemessener technischer Zugangsschutz nachgewiesen wird,” wie er im Genehmigungsformular Teil B beschrieben ist.

Nicht erteilt werden kann die Genehmigung Praxissemesterstudierenden und Studierenden im Eignungs- und Orientierungspraktikum im Lehramtsstudium (EOP), da sie nach Ansicht des MSB nicht unter den Begriff “Personal” fallen.

Zur Erteilung von Genehmigungen steht Schulleitungen aktuell nur das bekannte Formular zur Verfügung, welches Teil der Dienstanweisung für die automatisierte Verarbeitung von personenbezogenen Daten in der Schule (10-41 Nr. 4) und am 19.01.2018 in einem Runderlass veröffentlicht wurde. Da dieses Genehmigungsformular noch nicht auf die neue Rechtslage angepasst wurde, berücksichtigt es weder den neu hinzugekommenen Personenkreis, der jetzt eine Genehmigung erhalten kann, noch die Ergänzungen in Anlage 3. Auch eine Anpassung an die DS-GVO fehlt noch.

Wegfall der Genehmigung

Mit § 2 Abs. 2 Satz 4 – 6 ist die VO-DV I nun um eine Regelung ergänzt, welche die Möglichkeiten der Schulleitung einschränkt, den zuvor beschriebenen Personen eine Genehmigung zu erteilen. Außerdem ist geregelt, wann bereits erteilte Genehmigungen ihre Gültigkeit verlieren.

(1) Die Genehmigung darf nicht erteilt werden, wenn ein persönliches dienstliches digitales Gerät für schulische Zwecke zur Verfügung gestellt wird. (2) Eine bereits erteilte Genehmigung erlischt mit Aushändigung eines solchen Gerätes. (3) Übergangsweise ist die weitere Nutzung des Privatgeräts für die Dauer von höchstens vier Wochen zulässig, soweit dies zur Übertragung der personenbezogenen Daten auf das dienstliche Gerät erforderlich ist.”

Sobald einer der zuvor beschrieben Personen (Lehrkräften, Lehramtsanwärterinnen und Lehramtsanwärtern, Lehrkräften in Ausbildung, sonstigem pädagogischen und sozialpädagogischen Personal sowie Schulpsychologinnen und Schulpsychologen) ein persönliches dienstliches Gerät zur Verfügung gestellt wird, darf ihr keine Genehmigung für ein privates Endgerät erteilt werden. Hatte die Person bereits eine Genehmigung, so verliert diese automatisch ihre Gültigkeit. Das bedeutet, die Schulleitung muss die Genehmigung nicht aktiv widerrufen.

Geht ein zur Verfügung gestelltes Dienstgerät defekt oder verlustig und es gibt keinen Ersatz, erfüllt die Person die Voraussetzungen für die Erteilung einer Genehmigung. Auch wenn ein Gerät für einen Zeitraum in Reparatur ist, sollte es möglich sein, für diese Zeit eine Genehmigung zur Nutzung eines Privatgerätes zu erteilen, sofern kein Ersatzgerät gestellt werden kann.

Persönliches dienstliches digitales Gerät

Wichtig ist an diesem Abschnitt, dass es sich bei dem dienstlichen Gerät um ein persönliches dienstliches digitales Gerät handelt. Stehen beispielsweise zwei Schulsozialpädagog:innen an einer Schule ein gemeinsam genutzter Laptop und ein iPad für die tägliche Arbeit in der Schule zur Verfügung, welche die Personen sogar mit nach Hause nehmen dürfen, so fallen diese Geräte nicht unter die Regelung und die Schulleitung darf den beiden Mitarbeiter:innen nach der Erweiterung des Personenkreises, welcher Genehmigungen für die Nutzung von Privatgeräten erhalten kann, jetzt eine solche erteilen. Ein persönliches dienstliches digitales Gerät setzt voraus, dass dieses der Person ausdrücklich als ein solches zugewiesen wurde. Dieses geht in der Regel mit einer Nutzungsvereinbarung einher, wie sie beispielsweise im Rahmen der Richtlinie über die Förderung von dienstlichen Endgeräten für Lehrkräfte an Schulen in Nordrhein-Westfalen erforderlich ist.

Zur Verfügung stellen – Aushändigung

In Satz 4 und 5 heißt es, die Genehmigung darf nicht erteilt werden, wenn ein Dienstgerät “zur Verfügung gestellt wird” bzw. eine bereits erteilte Genehmigung erlischt “mit Aushändigung eines solchen Gerätes“.

In dieser Stelle werden sicherlich einige Personen eine Möglichkeit sehen, weiterhin mit einem privaten Endgerät mit Genehmigung der Schulleitung zu arbeiten. Reicht es die Annahme eines Dienstgerätes zu verweigern? Kann man gezwungen werden, ein Dienstgerät anzunehmen?

Für die Möglichkeit, die Annahme eines Dienstgerätes verweigern zu können, spricht die Regelung in der Richtlinie über die Förderung von dienstlichen Endgeräten für Lehrkräfte an Schulen in Nordrhein-Westfalen zur Annahme der Nutzungsbedingungen durch die Lehrkräfte. Dort heißt es in Abs. 6.3:

“Der Schulträger stellt den Lehrkräften die digitalen Endgeräte für eine unentgeltliche Nutzung zur Verfügung. Die Nutzungsbedingungen für die digitalen Endgeräte sind durch den Schulträger festzulegen. Die Zustimmung der Lehrkräfte zu den Nutzungsbedingungen ist sicherzustellen.

Ohne Annahme der Nutzungsbedingungen, darf ein Schulträger das Dienstgerät nicht an die Lehrkraft aushändigen. Genauso könnte eine Lehrkraft auch die Einwilligung in die zur Verwaltung der Dienstgeräte erforderliche Datenverarbeitung verweigern oder für eine von beiden die Zustimmung bzw. Einwilligung widerrufen.

Daraus ergibt sich ein Widerspruch zwischen den Regelungen der Verordnung und der Richtlinie.

Auf der anderen Seite wird vermutlich auf die Formulierung “zur Verfügung gestellt wird” verwiesen werden. Die Frage ist hier, was genau man darunter verstehen kann bzw. will. Reicht es bereits aus, wenn der Schulträger ein Gerät für die Lehrkraft beschafft, es für sie einrichtet und ihr einen Termin gibt zur Übernahme, um von “zur Verfügung stellen” zu sprechen? Würde man sich dieser Argumentation anschließen, müsste man auch in Kauf nehmen, dass die Einwilligung der Lehrkraft in die Nutzungsbedingungen dann nicht mehr freiwillig erfolgen kann.

Es bleibt abzuwarten, wie dieser Widerspruch sich in der Praxis auflöst. Von Seiten des MSB und eventuell auch einzelnen Bezirksregierungen oder deren Mitarbeitern dürfte hier am ehesten ein Hinweis zu erwarten sein, dass die Verordnung Vorrang hat und durchzusetzen ist.

Übergangsfrist für den Wechsel

Um den Wechsel vom privaten Gerät auf das Dienstgerät stressfrei zu ermöglichen, räumt der Gesetzgeber den betroffenen Personen eine Übergangszeit ein.

(3) Übergangsweise ist die weitere Nutzung des Privatgeräts für die Dauer von höchstens vier Wochen zulässig, soweit dies zur Übertragung der personenbezogenen Daten auf das dienstliche Gerät erforderlich ist.

Wichtig ist hier, dass Personen, welche eine Genehmigung für ein privates Endgerät hatten, die Verarbeitung von personenbezogenen Daten aus der Schule auf diesen Geräten ab dem Zeitpunkt nicht mehr fortsetzen dürfen und alle diese Daten vom Gerät löschen müssen, sobald sie diese “datenschutzgerecht” auf das Dienstgerät übertragen haben.

Ausnahmeregelung

Der Gesetzgeber erkennt an, dass es Ausnahmen geben kann, die es erforderlich machen, eine Nutzung von Privatgeräten entgegen der vorherigen Regelung zuzulassen. In § 2 Abs. 2 Satz 7 VO-DV I heißt es deshalb:

(7) Unabhängig davon kann die Schulleitung ausnahmsweise in begründeten, von ihr zu dokumentierenden Einzelfällen die Nutzung von Privatgeräten vorübergehend zulassen, soweit dies zur vollumfänglichen schulischen Verarbeitung personenbezogener Daten erforderlich und die datenschutzgerechte Verarbeitung entsprechend der für die Nutzung von Privatgeräten geltenden Standards gewährleistet ist.

Sechs Bedingungen sind an die Ausnahme geknüpft und sie müssen sämtlich erfüllt sein, um von der neuen Regelung bezüglich des Wegfalls der Genehmigung sobald ein Dienstgerät zur Verfügung gestellt wird, abweichen zu können. Die Schulleitung kann die Nutzung von Privatgeräte ausnahmsweise zulassen, jedoch

  1. nur in Einzelfällen,
  2. die zu begründen und
  3. zu dokumentieren sind,
  4. nur vorübergehend und auch nur,
  5. soweit dies zur vollumfänglichen schulischen Verarbeitung personenbezogener Daten erforderlich ist, und
  6. dabei die datenschutzgerechte Verarbeitung entsprechend der für die Nutzung von Privatgeräten geltenden Standards gewährleistet ist.
Einzelfälle

Bei der Ausnahme geht es um Einzelfälle. Wie oft der Einzelfall eintreten darf, um kein Einzelfall mehr zu sein, ist dabei Auslegungssache und dem Fingerspitzengefühl der Schulleitung überlassen. Offen ist außerdem, ob der Einzelfall auf eine einzelne Person oder auf bestimmte Fälle der Datenverarbeitung zu beziehen ist. Das MSB erläutert diesen Passus im Entwurf einer Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten auf S. 12 wie folgt.

Mit der weiteren Möglichkeit, in Einzelfällen die Nutzung von Privatgeräten zuzulassen, soll die Schulleitung dem evtl. Umstand Rechnung tragen können, falls das dienstliche Gerät für eine spezifische schulische Aufgabenerledigung nicht geeignet ist.

Das lässt annehmen, dass es dem Gesetzgeber nicht nur um die einzelne Person geht, sondern auch um Einzelfälle, welche die Datenverarbeitung durch eine Gruppe von Personen betreffen. Können mehrere Personen mit dem Dienstgerät eine bestimmte schulische Aufgabe nicht erledigen, so kann in einem solchen Einzelfall eine Genehmigung ausnahmsweise erteilt werden.

An einer Schule, deren Lehrkräfte sämtlich oder zum Teil mit iPads als Dienstgeräten ausgestattet sind, sollte es deshalb auf der Grundlage der Ausnahmeregelung möglich sein, die Nutzung von Privatgeräten vorübergehend zu genehmigen, wenn am Ende eines Halb- oder Schuljahres die Lehrkräfte ihre Noten in das externe Notenmodul eintragen müssen. iPads sind für diese spezifische schulische Aufgabenerledigung nicht geeignet, nur wenige Schulen haben bisher SchiLD Web, um Noten online einzugeben, und in vielen Schulen stehen auch weiterhin nur wenige für Verwaltungsarbeiten eingerichtete Lehrerarbeitsplätze zur Verfügung, die alternativ genutzt werden könnten. Die zwei Termine im Schuljahr, zu denen die Noten eingetragen werden müssen, wären dann entsprechende Einzelfälle.

Praktisch umgesetzt bedeutet dieses, dass die Schulleitung den Lehrkräften der Schule schriftlich mitteilt, dass die bisherigen Genehmigungen vorübergehend und beschränkt auf die Eingabe der Noten im externen Notenmodul wieder Gültigkeit haben. Lehrkräfte, die mittlerweile ein neues Privatgerät haben, müssten sich eine neue Genehmigung erteilen lassen. Gleiches gilt auch für Lehrkräfte, welchen bisher noch keine Genehmigung erteilt wurde. Um den Vorgaben der von § 2 Abs. 2 Satz 7 VO-DV I zu entsprechen, schreibt sie in die Mitteilung an die Lehrkräfte auch eine Begründung für die Ausnahme und ist dann damit auch ihrer Verpflichtung zur Dokumentation nachgekommen.

Klar sein sollte aus dem Text der Verordnung wie auch der Erläuterung des MSB zum Entwurf der Änderung, dass Lehrkräfte, die mit ihrem Dienst iPad grundsätzlich nicht zurechtkommen und es für ungeeignet halten, ihren dienstlichen Verpflichtungen nachzukommen, keine Chance haben werden, sich auf diese Ausnahmeregelung zu berufen, selbst wenn ihr Anliegen berechtigt ist. Die Ausnahmeregelung ist dafür zu eingeschränkt auf spezifische Fälle, auch wenn diese selbst nicht näher definiert sind.

Vorrübergehend

Auch die Wortwahl vorübergehend lässt einigen Spielraum, der sicherlich von einigen Tagen bis zu mehreren Wochen reichen kann, je nachdem um welche schulische Verarbeitung personenbezogener Daten es geht, die auf dem zur Verfügung gestellten Dienstgerät nicht vollumfänglich möglich ist.

Im Falle des externen Notenmoduls wäre “vorübergehend” eine Dauer von wenigen Tagen. Im Fall von Lehrkräften, welche mit einem Dienst-Laptop ausgestattet sind und bislang mit Genehmigung ihr privates iPad nutzten, um damit täglich im Unterricht mit iPad-Klassen oder mit dem in die Klasse geholten iPad Koffer zu arbeiten, könnten es vermutlich auch mehrere Wochen sein, wenn der Schulträger die Beschaffung von iPads für diese Lehrkräfte in Aussicht gestellt hat und es nur gilt, den Zeitraum bis zum Eintreffen der Geräte zu überbrücken.

Klar ist, dass mit “vorübergehend” dauerhafte Ausnahmen nicht möglich sind.

vollumfängliche schulische Verarbeitung personenbezogener Daten

Mit dem zur Verfügung gestellten Dienstgerät sollte es möglich sein, alle personenbezogenen Daten, zu verarbeiten, die zur dienstlichen Aufgabenerledigung3Siehe Richtlinie über die Förderung von dienstlichen Endgeräten für Lehrkräfte an Schulen in Nordrhein-Westfalen und andere Veröffentlichungen des MSB erforderlich sind. Die Geräte sind deshalb den für Verwaltungsarbeiten eingerichteten Lehrerarbeitsplätzen in der Schule gleichgestellt. Die Praxis zeigt jedoch, dass die zur Verfügung gestellten Geräte oft einige Aufgaben aus technischen Gründen nicht abdecken können und sie von daher nicht zur “vollumfänglichen schulischen Verarbeitung von personenbezogenen Daten” geeignet sind. Das gilt vor allem für iPads, kann aber je nach Setting auch für die an Schulen beschafften Windows Laptops gelten.

Daraus einen Einzelfall abzuleiten, für den eine Ausnahme gelten soll, dürfte nur in wenigen Fällen möglich sein, da die anderen Bedingungen die Ausnahme zu sehr einschränken. Haben sich an einer Schule, deren Schüler mit iPads ausgestattet wurden, die Lehrkräfte für Laptops als Dienstgeräte entschieden, um in der Verarbeitung von personenbezogenen Daten außerhalb des Unterrichts nicht eingeschränkt zu sein, so wird die Ausnahmeregelung hier keine Grundlage bieten, dauerhaft weiterhin die privaten iPads einzusetzen für den Unterricht, sofern nicht, wie oben beschrieben, zusätzlich Lehrer iPads beschafft werden sollen, und die Zeit bis zum Eintreffen derselben überbrückt werden muss.

Begründet und dokumentiert

Kommt eine Schulleitung zu dem Schluss, dass der Einzelfall vorliegt und sie vorübergehend eine Nutzung von Privatgeräten zulassen möchte, so muss sie dieses für sich begründen und dokumentieren. Es sollte demnach auch einen triftigen Grund geben für die Ausnahme. Die Dokumentation könnte, wie oben beschrieben, mit dem Schreiben erfolgen, mit welchem sie die betreffenden Personen über die Erteilung der vorübergehenden Genehmigung und für welche Verarbeitung von personenbezogenen Daten diese gilt, informiert. Festhalten sollte die Schulleitung außerdem, wem sie die Ausnahme gewährt hat. Ob die Schulleitung als Verantwortlicher hier gegenüber vorgesetzten Dienststellen irgendwann einmal Rechenschaft ablegen muss, geht aus der Verordnung nicht hervor. Es ist aber durchaus möglich, dass das MSB hier zukünftig eine Abfrage machen könnte.

Sonderregelung Schulleitung

Die Schulleitung ist von der Regelung zum Wegfall der Genehmigung ausgenommen, da sie sich selbst keine Genehmigung erteilen kann. Sie kann also weiterhin ein privates Endgerät zur Verarbeitung von personenbezogenen Daten aus der Schule verwenden, ist dabei jedoch auf die in Anlage 3 genannten Daten beschränkt. Dieses wurde in der Änderung noch einmal angepasst und betont.

Entsprechend heißt es in §2 Abs. 2

“Wenn die Schulleiterin oder der Schulleiter personenbezogene Schülerdaten auf privaten digitalen Geräten verarbeitet, ist dies nur für die in Anlage 3 genannten Daten zulässig, soweit die Verarbeitung der Daten zur Aufgabenerfüllung erforderlich ist und der erforderliche Schutz der Daten technisch sichergestellt wird.“

In der Kommentierung im Entwurf der Änderung (S. 12) heißt es dann auch entsprechend: “Mit dem neu angefügten Satz 6 wird klargestellt, dass auch Schulleiterinnen und Schulleiter auf privaten digitalen Geräten nur die personenbezogenen Schülerdaten der Anlage 3 verarbeiten dürfen, dies soweit die Verarbeitung der Daten zur Aufgabenerfüllung erforderlich und der Schutz der Daten technisch sichergestellt ist. Die Klarstellung ist erforderlich, weil die vorstehenden Regelungen zur Genehmigungspflicht durch die Schulleitung ersichtlich nicht gelten können, soweit Schulleitungen selber Privatgeräte nutzen. Sie können sich die Genehmigung nicht selbst erteilen.”

FAQ

  • Kann ein privater Laptop weiterhin zur Administration von Logineo NRW genutzt werden, da dieses mit dem Dienst iPad nicht möglich ist?
    • In den FAQ des MSB zu Logineo NRW heißt es (Stand 01.2022): “Es ist ein weit verbreitetes Missverständnis, dass die Nutzung von LOGINEO NRW auf privaten Endgeräten ohne eine gültige Genehmigung für die Verarbeitung von personenbezogenen Daten auf privaten ADV-Anlagen erlaubt ist. Die Nutzung von LOGINEO NRW auf privaten Endgeräten setzt die Genehmigung zur Verarbeitung von personenbezogenen Daten auf privaten Endgeräten voraus.”
    • Sofern sich die bei der Administration von Logineo NRW verarbeiteten personenbezogenen Daten auf die in Anlage 3 beschränken, könnte die Schulleitung eine vorübergehende Genehmigung auf der Grundlage von § 2 Abs. 2 Satz 7 VO-DV I erteilen. Es wäre in einem solchen Fall zu empfehlen, der Lehrkraft für die Administrationsaufgaben ein geeignetes zusätzliches Dienstgerät, etwa einen Laptop, zur Verfügung zu stellen.
    • Müssen bei der Administration von Logineo NRW auch personenbezogene Daten verarbeitet werden, die über die in Anlage 3 aufgeführten hinausgehen, ist die Nutzung eines Privatgerätes dafür auch mit Genehmigung nicht möglich.
  • Kann ein privater Laptop weiterhin zur Vorbereitung von Aufgaben in  Logineo NRW LMS genutzt werden, da dieses mit dem Dienst iPad nicht vollumfänglich möglich ist?
    • Der Zugriff auf Logineo NRW setzt, gem. der Aussagen in den FAQ des MSB immer eine Genehmigung voraus. Das heißt, auch wenn man nicht beabsichtigt, auf Schülerdaten wie erledigte Aufgaben oder Nachrichten zuzugreifen, geht es ohne die Genehmigung nicht. Ist diese erloschen, weil ein Dienstgerät zur Verfügung gestellt wurde, kann auf Logineo NRW nicht mehr von einem Privatgerät zugegriffen werden.
  • Wie sieht es mit dem Abruf von E-Mails vom dienstlichen Konto im Logineo NRW der Schule aus?
    • Auch dieses ist, wenn man sich an den Aussagen in den FAQ des MSB zu Logineo NRW orientiert nicht mehr möglich, sobald die Genehmigung erloschen ist. Eine Ausnahmeregelung auf der Grundlage von § 2 Abs. 2 Satz 7 VO-DV I dürfte hier nicht realistisch sein, außer es handelt sich um eine Person, die dringend über dieses E-Mail Konto jederzeit erreichbar sein muss und es ist bereits eine Alternativ-Lösung wie ein Dienst-Smartphone in Vorbereitung.
  • Der Messenger von Logineo NRW ist für eine schnelle Kommunikation gedacht, auch außerhalb der Unterrichtszeiten. Was ist damit? 
    • Leider sieht es auch hier nicht anders aus. Orientiert man sich an den FAQ des MSB, ist eine Nutzung ohne die Genehmigung nicht zulässig, da die Nutzung immer mit der Verarbeitung von personenbezogenen Daten einhergeht.
  • Darf man mit dem privaten Smartphone weiterhin mit Eltern telefonieren, wenn ein Dienstgerät zur Verfügung gestellt wurde?
    • Telefonnummern stellen personenbezogene Daten dar. Zur Verarbeitung von Telefonnummern von Schülern, Eltern und Lehrkräften auf einem privaten digitalen Endgerät braucht es entsprechend eine Genehmigung der Schulleitung.
    • Ich persönlich halte es jedoch für vertretbar, ein privates Smartphone weiterhin für Telefonate mit Schülern, Eltern und anderen Lehrkräften auch ohne Genehmigung zu nutzen, sofern man die Telefonnummern nicht als Kontakte auf dem Smartphone oder in einem Online-Adressbuch, auf welches man vom Smartphone aus zugreift, speichert. Zwar werden die Telefonnummern von Personen, welche angerufen wurden in einer Anrufliste gespeichert, doch erfolgt dieses ohne Namen. Gleiches geschieht, wenn man von Schülern, Eltern und Kollegen angerufen wird. Und dieses wird niemand verbieten.
  • Kann man über ein Smartphone zumindest noch den Vertretungs- und Stundenpläne sowie Aufsichtspläne abrufen, auch ohne Genehmigung?
    • Ja, das geht, und es braucht keine Genehmigung der Schulleitung hierfür. Hier gibt es in der § 2 Abs. 5 VO-DV II eine Ausnahmeregelung, die unter Ausnahme von der Genehmigungspflicht im Beitrag zu den Änderungen in der VO-DV II bezüglich der Nutzung von Privatgeräten näher erklärt ist.
  • Weitere FAQ folgen …

Stand Januar 2022

Thema Videokonferenzen

Lesezeit: < 1 Minute

Bisher waren hier viele Beiträge aufgeführt, welche sich mit datenschutzrechtlichen Fragen zur Nutzung von Videokonferenz Plattformen zur Erteilung von Distanzunterricht, zur Teilnahme von Schülerinnen und Schülern am Unterricht von zu Hause aus und von Notenkonferenzen via Videokonferenz Plattformen und ähnlich befassen. Sie haben sich mit den durch das 16. Schulrechtsänderungsgesetz einführten neuen Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten beim Einsatz von Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen weitestgehend überholt und wurden deshalb aus der Seite entfernt.

Im folgenden Beitrag werden diese neuen Möglichkeiten, welche sich für dein Einsatz von Videokonferenz Plattformen zur Erfüllung des Bildungs- und Erziehungsauftrags für Schulen in NRW seit Februar 2022 ergeben, ausführlich erläutert und auch die Grenzen aufgezeigt.

16. Schulrechtsänderungsgesetz und Datenschutz 🔗

Ältere Beiträge, die aber noch Relevanz haben.

⇨ Videokonferenzen – eine Plattform auswählen 🔗
Hier geht es konkret um die Auswahl eines geeigneten Videokonferenz Tools und welche Kriterien man dabei im Auge behalten sollte. Dieser Beitrag ist weiterhin aktuell.

Videokonferenz Plattformen in Schule nutzen 🔗
Es geht hier um grundsätzliche Fragen des Einsatzes von Videokonferenz Tools in Schule und Fragen, die eine Schule sich vor dem Einsatz stellen sollte, mit Handlungsempfehlungen.

 

Stand 03/2022

Logineo NRW

Lesezeit: 5 Minuten

Hinter dem Label Logineo NRW verbergen sich die verschiedenen Module der Landesplattform für Schulen und ZfSL, die aktuell unabhängig von einander genutzt werden können. Es gibt die

Mitbestimmung

Was mit den Plattformen möglich ist und wo die Grenzen sind, auch mit Blick auf Datenschutz, ist in zwei Dokumenten geregelt, welche durch die Hauptpersonalräte und Hauptschwerbehindertenvertretungen mitbestimmt wurden:

Letzteres Dokument wird durch schulinterne Regelungen, soweit sie im Rahmen der Vorgaben des Dokumentes möglich sind, ergänzt.

Einwilligung und Informationen zur Datenverarbeitung

Die Nutzung aller drei Logineo NRW Plattformen ist freiwillig. Niemand, weder Lehrkräfte noch Schüler oder andere Personen, die für eine Nutzung in Frage kommen, kann zur Nutzung der Plattformen verpflichtet werden. Aus einer Nichteinwilligung dürfen den Betroffenen keine Nachteile entstehen. Alle drei Plattformen und die zugehörige Dokumentation wurde mitbestimmt.1Die Mitbestimmung wurde 2021 abgeschlossen.

Alles digital

Wie bei jeder in Schule genutzten Plattform sind auch zur Nutzung den Logineo NRW Plattformen Informationen zur Datenverarbeitung gemäß Art. 13/ 14 DS-GVO erforderlich. Diese Informationen finden sich jeweils an zwei Stellen.

Sie finden sich einmal bei jeweiligen Aktivierungsdialog der Plattformen. Bei allen drei Plattformen wird die Einwilligung in die Verarbeitung von personenbezogenen Daten bei Nutzung der Plattformen in elektronischer Form erteilt. Es braucht also kein Papierdokument mit einer Unterschrift!

Informationen zur Datenverarbeitung

Die Informationen zur Datenverarbeitung kann man auch außerhalb dieses Dialogs einsehen. Sie finden sich unter:

Elternanschreiben (mit Einwilligung)

Die Einwilligung kann elektronisch durch Setzen eines Häkchens erteilt werden. Bei jüngeren Schülern geht dieses jedoch nicht ohne die Erziehungsberechtigten. Damit hier alles korrekt abläuft, gibt es Elternanschreiben, die man zuvor ausgibt, bzw. verschickt und dann wieder einsammelt:

Schülergerechte Informationen zum Datenschutz

Die meisten Informationen, welche auf den Produktseiten der Logineo NRW Familie zur Verfügung gestellt werden, richten sich an Erwachsene. Aber es gibt auch Informationen auf einem für Schüler angemessenen Niveau:

Vertrag zur Auftragsverarbeitung

Schulen benötigen bei der Nutzung der Logineo NRW Plattformen gemäß Art. 28 DS-GVO und SchulG NRW einen Vertrag zur Auftragsverarbeitung, den sie mit dem Anbieter abschließen. Da die drei Plattformen von drei verschiedenen Anbietern bereitgestellt werden, braucht es auch drei solche Verträge. Sie finden sich unter:

und werden abgeschlossen wie dort beschrieben.

Die Logineo NRW Plattformen werden an den meisten Schulen von einer Lehrkraft administriert. Manchmal sind es auch zwei Personen und gelegentlich auch die Schulleitung selbst. Damit diese Tätigkeit datenschutzrechtlich abgesichert ist, sollte mit dem bzw. den Administratoren eine sogenannte Administratorenverpflichtung abgeschlossen werden. Diese gilt dann für alle administrativen Tätigkeiten, welche die Personen ausüben, muss aber entsprechend erweitert werden, wenn es um mehr als eine Plattform geht.

Fragen und Antworten zu Logineo NRW und Datenschutz

Auch wenn eigentlich alles in den Dokumenten zu den drei Plattformen von Logineo NRW steht, was man zum Datenschutz wissen sollte, hier noch einmal die wichtigsten Punkte als FAQ:

  • Kann man zur Nutzung der Logineo NRW Plattformen gezwungen werden?
    • Nein, die Nutzung ist freiwillig. Die Einwilligung wird bei der ersten Anmeldung am System, der Account Aktivierung gegeben. Sie kann jederzeit widerrufen werden.
  • Muss zur Nutzung der Logineo NRW Plattformen eine Einwilligung in die Verarbeitung von personenbezogenen Daten gegeben werden?
    • Ja, das ist erforderlich. Ohne geht es nicht. Aber niemand kann zur Einwilligung gezwungen werden.
  • Können Kinder eigenständig in die Nutzung der Logineo NRW Plattformen einwilligen?
    • Nein, bei Kindern und Jugendlichen ist eine Einwilligung der Erziehungsberechtigten erforderlich. Etwa ab dem Alter von 15 oder 16 Jahren sind Jugendliche aber in der Lage die Folgen und Tragweite ihrer Entscheidung abzuschätzen und die Einwilligung eigenständig zu erteilen. Die Eltern sollten trotzdem zumindest informiert werden.
  • Können Kinder eigenständig in die Einwilligung widerrufen?
    • Das können sie durchaus, vor allem wenn es um das Videokonferenz Tool geht. Wenn sie die Kamera nicht einschalten, widerrufen sie zumindest für den Augenblick ihre Einwilligung und das ist zu akzeptieren.
  • Ich habe eingewilligt. Muss ich dann auch mit meinem privaten Endgerät damit arbeiten?
    • Nein, die Nutzung der Plattformen mit privaten Endgeräten ist freiwillig. Lehrkräfte benötigen hierzu außerdem auch eine Genehmigung der Schulleitung für ihr privates Endgerät.
  • Muss ich bei der Nutzung der Videokonferenz Komponente, die Kamera einschalten?
    • Nein, das ist eine Entscheidung im Rahmen des Rechts auf informationelle Selbstbestimmung. Ich kann die Kamera jederzeit ausschalten. Gleiches gilt auch für den Ton. Auch das Mikrofon kann jederzeit deaktiviert werden.
  • Entstehen mir keine Nachteile, wenn ich keine Einwilligung erteile?
    • Es dürfen bei einer nicht-Einwilligung keine Nachteile entstehen. Die Schule muss dann dafür sorgen, dass wichtige Information diese Personen auf alternativen Wegen erreichen.2In der Praxis kann das eine Schule jedoch schon vor enorme Herausforderungen stellen.
  • Welche Daten dürfen in der Bildungscloud von Logineo NRW gespeichert werden?
    • Die Bildungscloud ist für pädagogische Daten gedacht, nicht für pädagogische Dokumentation oder personenbezogene Daten aus der schulinternen Verwaltung. Hierfür gibt es die Verwaltungscloud.
  • Welche Daten dürfen in Logineo NRW LMS gespeichert werden?
    • Das Landes Moodle ist ausschließlich für die Verarbeitung von pädagogischen Daten vorgesehen. Entsprechend ist es auch im Vertrag zur Auftragsverarbeitung festgehalten.3Verarbeitung von Daten im Rahmen einer Aufgabenerfüllung
      Schülerinnen und Schüler, Eltern:
      ▪ Stammdaten
      ▪ pädagogische Inhaltsdaten (z. B. personalisierte Arbeitsergebnisse, …)
      ▪ Stand des Lernprozesses
      ▪ private E-Mail-Adresse
      authentifizierte Nutzerinnen und Nutzer:
      Nutzungsdaten:
      ▪ freiwillig bereitgestellte
      Dokumente, Dateien und Daten
      ▪ Kommunikationsinhalte
      Pädagogische Daten meint hier die von zugeteilten und bearbeiteten Aufgaben, Feedback und Bewertungen, von den Schülern erstellte Artefakte, Kommunikationsinhalte, Umfragebeiträge usw.
    • Es gibt auch noch das von QUALIS entwickelte Modul zur digitalen Lern- und Entwicklungsplanung in Logineo NRW LMS. Diese Inhalte im LMS des Landes zu verarbeiten, widerspricht den im Vertrag zur Auftragsverarbeitung vorgesehen Daten. Schulen, welche dieses Modul nutzen, verarbeiten die dabei anfallenden personenbezogenen Daten, die durchaus zu den sogenannten besonderen Kategorien nach Art. 9 DS-GVO gehören können, außerhalb des Vertragsverhältnisses. Das MSB sieht darin, wie sich aus Rückfragen ergab, scheinbar kein Problem.
  • Welche Daten dürfen in Logineo NRW Messenger verarbeitet werden?
    • Der Messenger ist vor allem zur Kommunikation im Unterricht gedacht. Entsprechend dürfen dort pädagogische Inhalte kommuniziert werden. Gleiches gilt auch für das Videokonferenz Tool. Es geht um kurzfristige Kommunikation von Inhalten.4“Die Nutzung des Messengers dient kurzfristigen Kommunikationszwecken wie beispielsweise organisatorischen Absprachen oder dem Bündeln von Arbeitsergebnissen.” Rahmenmediennutzungsordnung Auch Lehrkräfte können untereinander über die Plattformen kommunizieren. Ausgeschlossen von der Verarbeitung im Messenger sind jedoch Dokumente mit sensibleren personenbezogenen Daten wie Notenlisten oder Fördergutachten.5“Die Speicherung oder der Austausch von Dokumenten mit sensiblen personenbezogenen Daten wie beispielsweise Notenlisten oder Fördergutachten sind untersagt.” Rahmenmediennutzungsordnung. Auch wenn der Messenger als sehr sicher gilt, würde es durch solch einen Austausch zu unkontrollierten Speicherungen dieser Daten kommen. Die ausgetauschten Daten verblieben solange auf den Servern des Messengers gespeichert, bis der Chatraum gelöscht wird.
  • Wo in Logineo NRW dürfen personenbezogene Daten der pädagogischen Dokumentation und der schulinternen Verwaltung verarbeitet werden?
    •  Dafür gibt es die Verwaltungscloud von Logineo NRW (Basis Plattform). Wichtig ist, dass besonders sensible Dokumente wie Fördergutachten, Beurteilungen und ähnlich nur im Daten-Safe gespeichert und verarbeitet werden?
  • Kann Logineo NRW zur Datensicherung verwendet werden?
    • Logineo NRW kann zur vorübergehenden Sicherung von personenbezogenen Daten von dienstlichen Endgeräten genutzt werden. Die Plattform ist jedoch nicht für Archiv Zwecke eingerichtet.6“LOGINEO NRW ist nicht für eine Langzeitdatenspeicherung ausgelegt.” Rahmenmediennutzungsordnung Für eine dauerhafte Sicherung von personenbezogenen Daten müssen Server der Schule genutzt werden, die für die Speicherung dieser Arten von Daten eingerichtet sind.
  • Darf die Schulleitung Logineo NRW Messenger mit Video Tool zur Leistungs-und Verhaltenskontrolle von Lehrkräften nutzen?
    • Nein, das ist nicht zulässig. Eine Ausnahme gibt es jedoch bei Hospitationen im Rahmen der Wahrnehmung von Führungsaufgaben bei der Beschaffung von Informationen und Eindrücken zur Unterrichts-und Schulkonzeptentwicklungoder bei dienstlichen Beurteilungen. Hier gelten die normalen Regeln wie auch im Unterricht. Entsprechend den Vereinbarungen der Schule sind Lehrkräfte vorab zu informieren.
    • Auch die anderen Logineo NRW Plattformen dürfen nicht zur Leistungs-und Verhaltenskontrolle von Lehrkräften genutzt werden.
  • Darf die Schulleitung gleichzeitig Administrator einer Logineo NRW Plattform sein?
    • Es gibt kein Vorbot, welches es Schulleitungen untersagt, die Funktion des Administrators an der eigenen Schule auszuüben. Vor alle an kleinen Schulen düften die beiden Rollen auf eine Person fallen. Wichtig ist, dass es ein Vertrauensverhältnis gibt zwischen Schulleitung und Lehrkräften. Zur Absicherung gibt es eine Protokollierung aller Administrationstätigkeiten in Logineo NRW. Mit dieser ließe sich nachverfolgen, ob eine Schulleitung sich mit den Administratorrechten unbefugt auf ein Nutzerkonto und seine Inhalte verschafft hat.
  • Darf die Schulleitung in mein E-Mail Konto hineinschauen?
    • Nein, das ist nicht zulässig. Es gibt aber eine Ausnahme, die entsprechend in der Rahmenmediennutzungsordnung beschrieben wird: “Wenn in Ausnahmesituationen, die keinen Aufschub dulden, Inhalte eines LOGINEO NRW-Postfachs für dienstliche Zwecke benötigt werden, kann der Zugriff auf das E-Mail-Postfach einer Benutzerin oder eines Benutzers auf Anweisung des oder der Vorgesetzten und nur unter Hinzuziehung eines Mitglieds des Lehrerrats bzw. der Personalvertretung im Vier-Augen-Prinzip durchgeführt werden. Der oder die Betroffene ist über den Zugriff unverzüglich zu unterrichten.”

Stand 05/2021

Logineo NRW Messenger, AWS und Datenschutz

Lesezeit: 3 Minuten

Der Messenger, den das Land NRW seinen Schulen kostenlos zur Verfügung stellt, basiert auf dem open source Matrix Protokoll und folgt damit der Landesstrategie, quelloffene Plattformen für Schulen bereitzustellen. Als Dienstleister für den Betrieb der Plattform gewann man die SVA System Vertrieb Alexander GmbH aus Wiesbaden, die dann ihrerseits Amazon Web Services1AWS EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg (AWS), eine EU Tochter des US Konzerns Amazon, als Unterauftragnehmer beauftragte.

Letzteres blieb nicht lange unbemerkt, da es selbstredend im Vertrag zur Auftragsverarbeitung, den Schulen bei der Beauftragung des Messengers mit SVA GmbH abschließen, nachzulesen ist. Und so kam es dann zu einer kleinen Anfrage im Landtag NRW2Es waren genau genommen zwei kleine Anfragen zum Thema, Drucksache 17/10918 und 17/11265 und einem daraus folgenden Bericht bei Westpol. Bei Schulen, die den Messenger schon beauftragt hatten oder dieses planten, führte alles dieses zu großer Verunsicherung. Die Beunruhigung ist verständlich, denn als US Anbieter unterliegt auch AWS mit seinen Serverstandorten in Europa dem US amerikanischem CLOUD-Act. US Ermittlungsbehörden können von US Unternehmen, die Server in der EU betreiben, die Herausgabe von personenbezogenen Daten verlangen. Zwar können diese sich vor Gericht dagegen zur Wehr setzen, wenn das Ansinnen der US Ermittler lokalem Datenschutzrecht widerspricht, doch nicht immer sind US Firmen dabei erfolgreich, und es gibt auch Anfragen, die geheim sind3sogenannte GAG Orders und deshalb nicht gerichtlich abgewehrt werden können.

Die kleine(n) Anfrage(n) wurden Anfang Oktober 2020 von der Landesregierung beantwortet und die Antwort ist als Drucksache MMD17-11271 über das Dokumentenarchiv des Landtags einsehbar. Sie lautet kurz gefasst:

Datenschutzbedenken bestehen […] nicht.

Aus der Antwort erfährt man, dass das Land “einen öffentlich bestellten und vereidigten IT-Sachverständigen einbezogen” hat, um bei der Erstellung einer Leistungsbeschreibung  wie auch der Ausschreibung für den Messenger Unterstützung zu erhalten. Da man zu dem Schluss kam, dass der Messenger nur als Cloud Lösung umsetzbar ist, wurde vom Land NRW bereits im Vergabeverfahren die Nutzung von AWS als Cloud-Anbieter vorgesehen. Man hat sich hier von den projektbetreuenden Fachleuten leiten lassen.

Die projektbetreuenden IT Sachverständigen hatten eine besondere Expertise für die Umsetzung eines Projekts dieser Größenordnung in der AWS-Umgebung. Die Umsetzung mit AWS ermöglicht eine den qualitativen Anforderungen entsprechende Durchführung eines so großen Projekts.

Den CLOUD-Act, dem AWS als US Unternehmen unterliegt, schätzt das Land nicht als Risiko ein und führt dafür drei Gründe an:

  1. Eine Übermittlung von personenbezogenen Daten des Messengers aus der AWS Datenregion nach außerhalb der EU, etwa in die USA ist nur zulässig, wenn der Verantwortliche, hier die Schule, diesem zuvor zustimmt.
  2. Wenn es durch US Ermittlungsbehörden ein Verlangen auf Zugriff auf Daten von Nutzern des Messengers gäbe, dann nur, wenn gegen einen Nutzer des Messengers “ein Ermittlungsverfahren einer amerikanischen Strafverfolgungsbehörde eröffnet werden würde.” Dieses wäre dann ein Rechtsvorgang wie auch in Deutschland, da einem solchen Ermittlungsverfahren “eine rechtmäßige Verfügung einer amerikanischen Ermittlungsbehörde oder eines amerikanischen Gerichts” vorausgehe.4        Diese Einschätzung des CLOUD-Acts dürfte ihresgleichen in der Fachwelt suchen. Die Problematik des CLOUD-Act besteht nicht darin, dass US Ermittler möglicherweise außerhalb von geltendem US Recht handeln. Vielmehr erfolgen Zugriffe von US Ermittlungsbehörden auf der Basis des CLOUD-Act außerhalb von internationalem Recht, wie etwa bei einem Ermittlungshilfeabkommen. Das heißt, es gibt keinen Vertrag zwischen der EU und den USA, durch welchen Zugriffe von US Ermittlungsbehörden auf personenbezogene Daten innerhalb der EU auf der Grundlage des CLOUD-Act legitimiert werden. Dadurch stellen diese Zugriffe einen Verstoß gegen die DS-GVO dar.
    Der Fachjurist Carlo Pilz setzt sich in dem Beitrag Schrems II: US CLOUD Act kein Problem? Zumindest nach Ansicht der Landesregierung NRW mit der Einschätzung des CLOUD-Acts durch die Landesregierung auseinander.
  3. Sollte es zu einem Zugriffsbegehren auf personenbezogene Daten von Nutzern des Messengers kommen, wären die von AWS an US Ermittlungsbehörden herausgegebenen Daten für diese wertlos, da sie einmal durch die Ende-zu-Ende-Verschlüsselung während Übermittlung und Speicherung und zusätzlich durch die vom Dienstleister
    SVA eingerichtete Verschlüsselung der in AWS abgelegten Daten geschützt sind.

Der Kern des Sicherheitskonzeptes von Logineo NRW Messenger ist demnach die Sicherheit des Messengers selbst und darüber hinaus Sicherheitsmaßnahmen des Dienstleisters zum Schutz von Daten, die nicht durch die Funktionalitäten des Messengers selbst geschützt werden. Das Matrix Protokoll gilt als sehr sicher und der Messenger verschlüsselt die Kommunikation der Nutzer automatisch.5In den Unterstützungsmaterialien des MSB wie auch den FAQ wird auf die Bedeutung der Ende-zu-Ende Verschlüsselung hingewiesen und die Sicherung der Schlüssel erklärt. Die Nutzung von AWS lässt sich im Fall des Messengers aus datenschutzrechtlicher Sicht dadurch vertreten, dass die Daten der Nutzer vor Zugriffen durch US Ermittlungsbehörden durch ihre Verschlüsselung ausreichend geschützt sind.

Solange das Matrix Protokoll keine Sicherheitslücken aufweist und die Maßnahmen des Dienstleisters ausreichend sicher sind, sollten aus der Nutzung des Logineo NRW Messengers für Schüler und Lehrkräfte auch mit sensiblen Inhalten keine Risiken entstehen.

Lehrer fotografieren mit ihrem Smartphone in der Schule

Lesezeit: 3 Minuten

Im Zeitalter des Smartphones ist die beste Kamera die, welche man dabei hat. Das ist in der Regel das Smartphone. Digitale Kameras sind an Schulen zwar vorhanden, aber müssen erst ausgeliehen werden. Also Smartphone. Und deshalb kommt immer wieder die Frage auf, ob Lehrkräfte mit ihren Smartphones Aufnahmen von Schülern machen dürfen. Anlage 3 der VO-DV I listet abschließend eine Reihe von personenbezogenen Daten von Schülern und Erziehungsberechtigten, welche Lehrkräfte mit einem privaten Endgerät, für welches sie die Genehmigung der Schulleitung eingeholt haben, auf der Rechtsgrundlage des Schulgesetzes NRW verarbeiten dürfen. Fotos finden sich dort nicht aufgeführt. Im Genehmigungsvordruck ist die Auflistung aus Anlage 3 jedoch unter 3.3 erweitert um mögliche personenbezogene Daten, welche Lehrkräfte mit Genehmigung der Betroffenen auf ihren privaten Endgeräten verarbeiten dürfen.

3.3 Daten, die von Lehrer/innen auf Basis wirksamer Einverständniserklärungen verarbeitet werden dürfen

Darunter finden sich auch Fotos. Die Auflistung kann, wie die zur Genehmigung herausgegebene Handreichung erklärt, an jeder Schule unterschiedlich sein.

Es ist, und darum geht es hier, also problemlos möglich, dass Lehrkräfte mit ihren privaten Smartphones im Schulalltag Fotos von Schülerinnen und Schülern machen. Dieses setzt zunächst die Genehmigung der Schulleitung für die Nutzung des Smartphones zur Verarbeitung von personenbezogenen Daten aus der Schule voraus. Dazu braucht es dann noch die Einwilligung der Betroffenen.

Hinweise

  • Laut der Handreichung zur Genehmigung können Betroffene die Einwilligung auch gegenüber der jeweiligen Lehrkraft erklären.
    • “Unter Punkt 3.3 sind alle Daten aufgeführt, die eine Lehrkraft automatisiert auf privaten Endgeräten verarbeiten darf, wenn der oder die einzelne Betroffene ihr bzw. der Schule die Einwilligung zur Verarbeitung erteilt hat.”1Handreichung zur Genehmigung – abgerufen am 15.08.2020
  • Da Einwilligungen an der Schule sonst grundsätzlich gegenüber der Schulleitung abzugeben sind, empfiehlt es sich, auch hier vor allem bei jüngeren Schülerinnen und Schülern diesen Weg zu wählen. Wenn eine Lehrkraft eine Klasse 9 neu übernimmt und möchte gerne Fotos der Schüler in ihr Noten App aufnehmen, um die Namen schneller lernen zu können, so kann sie die Einwilligung hier sicher auch unkompliziert mündlich einholen. Geht es um mehr, etwa Fotos auf einer Klassenfahrt, Videoaufnahmen im Sport, so sollte die Einwilligung immer schriftlich eingeholt werden, um sie im Zweifelsfall nachweisen zu können, und eben so, dass sie gegenüber der Schulleitung erteilt wird.
  • In der Genehmigung für die Verarbeitung von personenbezogenen Daten auf privaten Endgeräten ist es durchaus möglich, diese für das Smartphone auf das Anfertigen von Fotos einzuschränken, falls die Schulleitung der Ansicht ist, dass ein Smartphone für die Verarbeitung anderer personenbezogener Daten aus der Schule nicht geeignet ist.
  • Lehrkräfte müssen bei der Nutzung eines Smartphones für Fotografien von Schülerinnen und Schülern in der Lage sein, Synchronisation und Backup der Aufnahmen in eine Anbieter Cloud oder eine privat genutzte Cloud per Einstellung zu unterbinden.
  • Nach der Anfertigung sollten die Fotos auf einen Dienstrechner übertragen und vom Smartphone gelöscht werden.

Alternative Lesart der Handreichung

Der Abschnitt

  • “Unter Punkt 3.3 sind alle Daten aufgeführt, die eine Lehrkraft automatisiert auf privaten Endgeräten verarbeiten darf, wenn der oder die einzelne Betroffene ihr bzw. der Schule die Einwilligung zur Verarbeitung erteilt hat.”2Handreichung zur Genehmigung – abgerufen am 15.08.2020

lässt auch eine alternative Lesart zu. Die Formulierung sagt nicht, dass ausdrücklich in die Verarbeitung auf dem Gerät einer Lehrkraft eingewilligt werden muss. Es wird lediglich in die Verarbeitung von bestimmten Daten durch die Schule und damit auch durch die Lehrkraft eingewilligt. Hinzu kommt, auch alle in Anlage 3 der VO-DV I gelisteten Daten können ohne ausdrückliche Einwilligung der Betroffenen auf privaten Endgeräten der Lehrkräfte verarbeitet werden, sofern sie die Genehmigung der Schulleitung dafür haben.

Schließt man sich dieser Lesart an, braucht es keine Einwilligung, in welcher explizit eingewilligt wird, dass die betreffenden Daten auch auf den privaten Endgeräten von Lehrkräften verarbeitet werden dürfen.

Notbetreuung in Corona Zeiten

Lesezeit: 2 Minuten

Die Corona Pandemie hat es erforderlich gemacht, dass Schulen für die Kinder von Personen, die in kritischen Berufen tätig sind, eine Notbetreuung anbieten. Eltern können für die Anmeldung ein vom Ministerium für Schule und Bildung vorgegebenes Formular1Neben dem Formular des MSB gibt es nach Aussagen des MSB auch Formulare von Schulträgern, die akzeptiert werden sollen: “Eine Reihe von Schulträgern hat ebenfalls Formulare bereitgestellt. Schulleitungen sollten alle Formulare, die ihnen vorgelegt werden, zunächst akzeptieren.” Corona Virus Notbetreuung FAQ Stand 21.04.2020  (die FAQ ist mittlerweile nicht mehr verfügbar – 29.08.2020) ausfüllen, um der Schule gegenüber den Nachweis eines Anrechts auf Notbetreuung des Kindes zu erbringen. Schulen müssen die dafür erforderlichen Daten erheben und die Anzahl der Schüler an die Schulaufsichtsbehörden übermitteln.

Die Rechtsgrundlagen

Wie jede Datenerhebung und -verarbeitung ist es auch hier erforderlich, die Betroffenen entsprechend Art. 13 DS-GVO zu informieren und im Verzeichnis der Verarbeitungstätigkeiten eine Beschreibung der Verarbeitungstätigkeit anzulegen. Die rechtliche Grundlage für die Erhebung und Verarbeitung der Daten aus dem Formular liefert Abs. 1 Satz 1 § 120 Schulgesetz NRW.

Schulen und Schulaufsichtsbehörden dürfen personenbezogene Daten der Schülerinnen und Schüler, der in § 36 genannten Kinder sowie der Eltern verarbeiten, soweit dies zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben erforderlich ist.

Die erforderliche Übermittlung regelt Abs. 5 Satz 2 § 120 Schulgesetz NRW

Die Übermittlung an andere öffentliche Stellen ist zulässig, wenn sie zur Erfüllung einer gesetzlichen Auskunfts- oder Meldepflicht erforderlich ist, ein Gesetz sie erlaubt oder die oder der Betroffene im Einzelfall eingewilligt hat.

Die “durch eine Rechtsvorschrift übertragene Aufgabe” ergibt sich aus der Corona-Betreuungsverordnung des Ministeriums für Arbeit, Gesundheit und Soziales vom 16.04.2020. Dort heißt es zunächst, dass “alle öffentlichen Schulen, Ersatzschulen und Ergänzungsschulen im Sinne des Schulgesetzes für das Land Nordrhein-Westfalen” geschlossen sind. Es werden in §1 Abs. 2 CoronaBetrVO Ausnahmen definiert.

(2) Ausgenommen von Absatz 1 sind […] 2. die Betreuung von Schülerinnen und Schülern, in der Regel der Jahrgangsstufen 1 bis 6, mit besonderem Betreuungsbedarf im Sinne von § 3 Absatz 1 in einer Vor-Ort-Betreuung (Notbetreuung) in den Schulräumlichkeiten. Das Nähere regelt das Ministerium für Schule und Bildung durch Erlass (insbesondere mittels sog. SchulMails);

Darüber hinaus weist das Ministerium für Arbeit, Gesundheit und Soziales den Schulen in der Leitlinie zur Bestimmung des Personals kritischer Infrastrukturen mit Stand vom 15. März 2020 die Aufgabe zu, die Entscheidung zu treffen, ob ein Kind, “dessen Eltern zu dem Kreis der im Bereich kritischer Infrastrukturen beruflich Tätigen gehört,” zur Betreuung an der Schule aufgenommen wird. Dazu ist das ausgefüllte Formular erforderlich.

II. Regelungen
1. Die Entscheidung, ein Kind zur Betreuung in der Schule oder Kindertageseinrichtung aufzunehmen, dessen Eltern zu dem Kreis der im Bereich kritischer Infrastrukturen beruflich Tätigen gehört, treffen die Leitungen der jeweiligen Schule bzw. Kindertageseinrichtungen. Es gelten die bestehenden rechtlichen Zuständigkeiten.
2. Grundlage der Entscheidung sind: (a) der Nachweis oder die Zusicherung, dass beide Elternteile (soweit nicht alleinerziehend) nicht in der Lage sind, die Betreuung zu übernehmen, weil sie in einer kritischen Infrastruktur tätig sind, und (b) das Vorliegen (oder die Zusicherung der Vorlage) einer schriftlichen Zusicherung der jeweiligen Arbeitgeber beider Elternteile (soweit vorhanden), dass deren Präsenz am Arbeitsplatz für das Funktionieren der jeweiligen kritischen Infrastruktur notwendig ist.2 Leitlinie zur Bestimmung des Personals kritischer Infrastrukturen, Stand: 15. März 2020

Die Rechtsgrundlage für die Übermittlung der Anzahl der zur Notbetreuung angemeldeten Schüler ergibt sich aus Schulmail Nr. 6 vom 17.03.2020.

“Bitte melden Sie der Schulaufsichtsbehörde noch am 18.03.2020, wie viele Schülerinnen und Schüler Sie am Mittwoch in die Notbetreuung aufgenommen haben.”

Vorlagen

Tipp

Stellen Sie die Informationen zur Datenverarbeitung bezüglich der Notbetreuung, angepasst an Ihre Schule, auf Ihrer Schulhomepage bereit, vielleicht kurzfristig über einen Link und einen Hinweis auf der Startseite und sonst verlinkt als PDF Download dort, wo die anderen Informationen zur Datenverarbeitung entsprechend Art. 13 DS-GVO bereitgestellt werden. Die Beschreibung der Verarbeitungstätigkeit Notbetreuung nehmen Sie in Ihr Verzeichnis der Verarbeitungstätigkeiten auf. Alternativ übertragen Sie die Informationen in das Referenzverzeichnis von Verarbeitungstätigkeiten der Medienberatung NRW, falls Sie dieses nutzen.

Einwilligung ohne Papier in Zeiten von Corona

Lesezeit: < 1 Minute

In Zeiten des Corona Virus sind die Schulen geschlossen und trotzdem muss der Unterrichtsbetrieb irgendwie weiterlaufen. Auch die Kommunikation mit Schülern und Erziehungsberechtigten muss möglichst reibungslos und unaufwändig weiterhin möglich sein. Schulen setzen von daher vermehrt auf Online-Plattformen und Apps. Da diese in der Vergangenheit jedoch entweder noch nicht genutzt wurden oder nur von einem Teil der Schülerinnen, Schüler, Lehrkräfte und eventuell auch Eltern, ist es oftmals erforderlich, eine Einwilligung der Betroffenen einzuholen. Wollte man dieses in Papierform erledigen, wäre solches mit sehr viel Aufwand verbunden. Außerdem müsste damit gerechnet werden, dass die Rücklaufquote nicht 100 % ist und je nach Situation sogar extrem gering ausfallen könnte, etwa weil Person das Haus nicht verlassen können.

Was viele nicht bekannt ist, Einwilligungen können durch aus auch elektronisch von den Betroffenen eingeholt werden. Auf welcher  Rechtsgrundlage dieses für Schulen in Nordrhein-Westfalen möglich ist wie man elektronische Einwilligungen umsetzen kann, wird in dem Beitrag Einwilligung einholen ohne Papier ausführlich erklärt.

Einwilligung einholen ohne Papier

Lesezeit: 7 Minuten
Mit der Änderung der VO-DV I wird es 2021 auch eine Anpassung zum Einholen der Einwilligung geben. Die elektronische Einwilligung als Ausnahme, wird dann auch dort Vergangenheit sein. An den Aussagen dieses Beitrags ändert das nichts, da die bisherige Einschränkung in der VO-DV I seit Beginn der Umsetzung der DS-GVO bereits keine praktische Auswirkung mehr hat.

Ausgangslage

Bisher haben Schulen Einwilligungen in die Verarbeitung von personenbezogenen Daten, für die es keine Rechtsgrundlage aus dem SchulG NRW gibt, überwiegend in Papierform eingeholt. Das liegt zum einen daran, dass die elektronische Einwilligung bisher eher als Ausnahme gesehen und deshalb vermieden wurde, und zum anderen an den fehlenden Möglichkeiten dazu. Aber es geht auch anders, denn weder die DS-GVO noch das Schulrecht in NRW untersagen sie. Bisher ging es bei der Möglichkeit der elektronischen Einwilligung vor allem um die Einwilligung bei Online Plattformen. Entsprechend betrachten Rechtstexte das Thema der elektronischen Einwilligung vor allem mit Bezug auf diesen Anwendungsfall.

Elektronische Einwilligung im Schulrecht NRW

In der §3 Abs. 2  VO-DV I heißt es zur elektronischen Einwilligung (in die Verarbeitung von personenbezogenen Daten):

“(2) Nicht in den Anlagen aufgeführte Daten dürfen nur erhoben werden, wenn die oder der Betroffene eingewilligt hat. Die Einwilligung ist schriftlich gegenüber der Schulleitung zu erklären. Sofern dies wegen besonderer Umstände angemessen ist, kann die Einwilligung ausnahmsweise in elektronischer Form erfolgen. Dabei sind die Grundsätze des § 13 Absatz 2 des Telemediengesetzes vom 26. Februar 2007 (BGBl. I S. 179), das zuletzt durch Artikel 1 des Gesetzes vom 21. Juli 2016 (BGBl. I S. 1766) geändert worden ist, zu erfüllen.”

Die Vorgabe zur Erfüllung der Grundsätze des § 13 Absatz 2 des Telemediengesetzes hat damit zu tun, dass sich diese Aussage vor allem auf Online-Plattformen bezieht. Hintergrund bei der Ausgestaltung der Passage der VO-DV I war, dass man eine Möglichkeit schaffen wollte, wie Nutzer online ohne den Zwischenschritt Papier in die Datenverarbeitung durch die Online Plattform Logineo NRW einwilligen können. 1In der Begründung zum vorangegangenen Entwurf zur Änderung der VO-DV I 2016 (Stand: 18.10.2016) heißt es:
“Die Abgabe der erforderlichen Einwilligung zur Datenverarbeitung soll ausnahmsweise auch elektronisch ermöglicht werden. Dabei sind die Standards des Telemediengesetzes einzuhalten. Die elektronische Einwilligung ist z.B. aus verwaltungsökomischen Gründen erforderlich zur gemeinsamen Nutzung einer IT- Basisstruktur. Der Prozess entspricht der üblichen Vorgehensweise bei der Zustimmung z.B. zu AGBs für die Nutzung von Diensten und Anwendungen im Netz: Bei Erstanmeldung an LOGINEO NRW werden die Nutzungsbedingungen angezeigt. Eine Zustimmung muss durch aktives Anklicken erfolgen, wobei dann Datum und Uhrzeit im Profil des Nutzers I der Nutzerin protokolliert werden. Zusätzlich können Nutzerinnen und Nutzer uneingeschränkt über die Internetseiten von LOGINEO NRW vorab auf die Nutzungsbedingungen zugreifen. Nach Anmeldung sind sie zudem ständig über einen Link im Nutzerprofil aufrufbar. Ein Widerruf der Einwilligung ist
jederzeit möglich und führt zur Deaktivierung des Accounts.”
Dabei orientierte man sich an einer Stellungnahme der LDI NRW2Der Hintergrund zu dieser Regelung ist eine Stellungnahme der LDI NRW zu den geplanten Änderungen der VO-DV I vom 26. Juni 2016. Dort heißt es entsprechend:
§3 Datenerhebung, Berichtigung, Auskunft, Einsicht in Akten
Die Möglichkeit, eine elektronische Einwilligung nach § 13 Abs. 2 TMG zu erteilen, ist nur dann eine gangbare Alternative zur grundsätzlich schriftlich zu erteilenden Einwilligungserklärung, wenn der Anwendungsbereich des TMG eröffnet ist. Dies ist gemäß § 1 Abs. 1 TMG der Fall, wenn es sich um Telemedien, also alle elektronischen Informations- und Kommunikationsdienste handelt. In allen anderen Fällen bleibt es bei dem grundsätzlichen Schriftformerfordernis (vgl. § 4 Abs. 1 S. 3 DSG NRW). Da die Schule unter den o.g. Anforderungen kein Anbieter von Telemedien ist, ist eine elektronische Einwilligung in direkter Anwendung des § 13 Abs. 2 TMG nicht möglich.

Im Einzelfall kann vom Schriftformerfordernis abgewichen und eine Einwilligung auf elektronischem Wege eingeholt werden, wenn gemäß § 4 Abs. 1 S. 3 DSG NRW wegen besonderer Umstände eine andere Form angemessen ist. Wenn dies von der Schulleiterin oder dem Schulleiter konkret festgestellt worden ist, sollte sich die Ausgestaltung einer elektronischen Einwilligung an den inhaltlichen Vorgaben des § 13 Abs. 2, 3 TMG orientieren.”
.

Die VO-DV I geht von der Schriftform als Normalfall aus, räumt Schulen jedoch die Möglichkeit ein, bei Vorliegen besonderer Umstände Einwilligungen ausnahmsweise auch elektronisch einzuholen. In den Überlegungen, die zur oben zitierten Formulierung der Ausnahme in der VO-DV I führten, war “Die elektronische Einwilligung ist z.B. aus verwaltungsökomischen Gründen erforderlich zur gemeinsamen Nutzung einer IT- Basisstruktur.”3Begründung zum vorangegangenen Entwurf zur Änderung der VO-DV I 2016 (Stand: 18.10.2016) Man wollte mit der Regelung eine Möglichkeit schaffen, den Einwilligungsvorgang für Schulen mit geringerem Aufwand zu organisieren. Die Entscheidung, ob besondere Umstände vorliegen, trifft die Schulleitung.4“Im Einzelfall kann vom Schriftformerfordernis abgewichen und eine Einwilligung auf elektronischem Wege eingeholt werden, wenn gemäß § 4 Abs. 1 S. 3 DSG NRW wegen besonderer Umstände eine andere Form angemessen ist. Wenn dies von der Schulleiterin oder dem Schulleiter konkret festgestellt worden ist, sollte sich die Ausgestaltung einer elektronischen Einwilligung an den inhaltlichen Vorgaben des § 13 Abs. 2, 3 TMG orientieren.” – aus der Stellungnahme der LDI NRW zu den geplanten Änderungen der VO-DV I vom 26. Juni 2016.

Vor dem Hintergrund, dass die aktuell noch gültigen Vorgaben zur Einwilligung in der VO-DV I bereits 2016 erarbeitet wurden, zwei Jahre vor Beginn der Umsetzung der DS-GVO, ist es sinnvoll, zu betrachten, wie die DS-GVO das Thema Einwilligung und die Formerfordernis regelt.

Elektronische Einwilligung in der DS-GVO

Die DS-GVO regelt das Thema Einwilligung in Artikel 7. Eine Formerfordernis für die Einwilligung sucht man dort vergeblich. In Erwägungsgrund 32 wird jedoch eine Aussage hierzu gemacht.

“Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung.”

Entsprechend kommentiert auch die Fachliteratur.

“Die DSGVO verlangt keine bestimmte materielle Verstetigung oder Übermittlung der Willensbekundungen. Es gilt der Grundsatz der Formfreiheit. Eine Erklärung kann schriftlich, mündlich und auch elektronisch an den Adressaten gerichtet werden (EG 32 S. 1). Im Sinne der DSGV erfolgt „elektronisch“ auch eine durch einfache E-Mail oder über ein Onlineformular übermittelte Einwilligung. § 126 a BGB und § 3 a Abs. 2 S. 1 VwVfG sind nicht anwendbar.”5Klement in Simitis DS-GVO Art. 7 Rn. 39

Datenschutzgesetz NRW (neue Fassung)

Entsprechend der DS-GVO, welche die dem Datenschutzgesetz NRW übergeordnete Rechtsnorm ist, hat sich der Gesetzgeber auch hier nicht auf eine bestimmte Form der Einwilligung festgelegt. Im neuen DSG NRW heißt es deshalb unter Begriffsbestimmungen § 36 Nr. 19 “19. „Einwilligung“ jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist,”

Fazit

Die elektronische Einwilligung ist möglich für Schulen in NRW, schon seit fast drei Jahren. Allerdings ist sie auf Ausnahmen beschränkt, noch. Das Schulgesetz NRW ist seit Mitte 2019 in Überarbeitung und auch die anhängigen Verordnungen zur Datenverarbeitung VO-DV I und II werden Veränderungen erfahren. Bis zur Verabschiedung der Neufassungen von Schulgesetz und VO-DV I und II wird es vermutlich noch eine Weile dauern und solange gelten die bestehenden Regelungen fort.

Sie geben Schulen jedoch auch jetzt schon einen Handlungsspielraum. Gerade in Zeiten von Schulschließungen, in welchen die Möglichkeiten, Einwilligungen in Papierform einzuholen sehr beschränkt, aufwändig und zeitraubend sind, kann eine Schule ohne Probleme von den Möglichkeiten von §3 Abs. 2  VO-DV I Gebrauch machen. Schulschließungen sind ganz sicher besondere Umstände. Es ist lediglich erforderlich, dass wie in der Stellungnahme der  LDI NRW zu den geplanten Änderungen der VO-DV I vom 26. Juni 2016 beschrieben, die Schulleitung die besonderen Umstände konkret feststellt und dokumentiert. Dann ist es möglich, Einwilligungen in elektronischer Form einzuholen bei den Erziehungsberechtigten und älteren Schülerinnen und Schülern.

Praktische Umsetzung

Bezüglich der elektronischen Einwilligung gibt es verschiedene Möglichkeiten. Für den Fall, dass es beispielsweise um die Einwilligung zur Nutzung einer App oder einer Onlineplattform geht, welche der Schule selbst keine Möglichkeit gibt, darüber die Einwilligung der Erziehungsberechtigten beziehungsweise Schüler einzuholen wie bei Logineo NRW, dann bleibt immer der Weg über E-Mail, ein von der Schule genutztes App zur Kommunikation oder einen sicheren Messenger. Wichtig ist, dass die Schule die Einwilligung der Betroffenen dokumentieren kann. Dazu muss die elektronische Einwilligung in irgendeiner Form, idealerweise als PDF, gespeichert werden. Bei der Übermittlung sollte auf Sicherheit geachtet werden und es sollten nur die personenbezogenen Daten in der Einwilligung erfasst werden, welche dafür zwingend erforderlich sind (Datenminimierung).

E-Mail – direkt

Eine Möglichkeit, die Einwilligung einzuholen, ist direkt über E-Mail. Dazu werden wie in der Papierversion die Informationen zur Datenverarbeitung entsprechend Art. 13 DS-GVO In das E-Mail gepackt, wie auch der eigentliche Einwilligungstext mit einem Anschreiben der Schulleitung. Anstelle der Unterschrift reicht dann, wenn die Betroffenen ihre Einwilligung beispielsweise durch Schreiben des Wortes JA geben.

Die Rück Antwort der Betroffenen mit der Einwilligung sollte als PDF gedruckt und mit einem eindeutigen Dateinamen gesichert werden, um die Einwilligung nachweisen zu können.

Ein Beispiel, wie man das E-Mail mit der Einwilligung gestalten könnte:

E-Mail – PDF

Eine andere Möglichkeit besteht darin, die für Papier entworfene Einwilligung in ein PDF Formular umzuwandeln. Dieses kann man relativ leicht mit LibreOffice tun. Diese kostenlose Office Suite bietet die Möglichkeit, Eingabefelder für Text und Auswahlfelder (Checkboxen) anzulegen und das gesamte Text Dokument anschließend als PDF Dokument abzuspeichern.Dieses wird dann von den Betroffenen an einem Computer, Tablet oder Smartphone ausgefüllt und an die Schule zurück geschickt.

Das von den Betroffenen rückübermittelte PDF sollte mit einem eindeutigen Dateinamen gesichert werden, um die Einwilligung rechtssicher nachweisen zu können.

Ein Beispiel, wie eine als PDF gestaltete Einwilligung aussehen könnte6In diesem Formular müsste die Schule auf der ersten Seite den Namen der Schulleitung ergänzen und auf der zweiten Seite die Kontaktdaten der Schulleitung und des Datenschutzbeauftragten.:

E-Mail – Microsoft Word Dokument

Aus Sicherheitsgründen wird von einer Nutzung dieses Formats abgeraten. Dabei geht es weniger darum, dass die Schule eventuell Betroffene gefährdet, sondern umgekehrt dass das Verwaltungsnetz der Schule durch zurückgeschickte und eventuell infizierte Word Dateien gefährdet wird

Schul App

Schulen, die eine Schul App nutzen, die eine Kommunikation mit den Betroffenen ermöglicht, wie etwa Schulmanger Online, Elternnachricht, Sdui, Schul-Info-App, schul.cloud Pro, Elternportal, SchoolFox Plus, ISY-Schule, Die SchulApp u. Ä. können diese Plattformen zur Übermittlung eines PDF nutzen.

Messenger

Ein PDF könnte auch mit einem sicheren Messenger übermittelt werden, etwa Wire oder Threema7Die Schule sollte mit diesen Anbietern einen Vertrag zur Auftragsverarbeitung abgeschlossen haben.

Hinweis – direktes Einholen Einwilligung online

Logineo NRW erlaubt es, die Einwilligung der Betroffenen direkt bei der Anmeldung an der Plattform einzuholen. Wichtig ist hierbei, dass es sich um eine Einwilligung gegenüber der Schule bzw. Schulleitung handelt, die über den Weg der Plattform eingeholt wird. Auch an anderen Plattformen können Nutzereinwilligungen geholt werden. Diese stellen in der Mehrzahl der Fälle jedoch eine Einwilligung gegenüber dem Plattformbetreiber dar. Das ist nicht gleichzusetzen mit einer Einwilligung gegenüber der Schule. Man sollte hier als Schule genau hinsehen, ob dieses Verfahren den rechtlichen Vorgaben zur Erteilung einer Einwilligung gegenüber der Schule tatsächlich Genüge tut. Genauso müsste mit der Einwilligung gegenüber der Schule auch über die Datenverarbeitung durch die Schule bei Nutzung der Plattform informiert werden. Diese Informationen sind nicht gleichzusetzen mit der Datenschutzerklärung des Anbieters, auch wenn es inhaltliche Überschneidungen gibt.

Andere Bundesländer

Sofern das Schulrecht anderer Bundesländer eine elektronische Einwilligung nicht ausdrücklich ausschließt, können Schulleitungen das Einholen elektronische Einwilligungen probemlos auf Artikel 7 DS-GVO und Erwägungsgrund 32 abstellen. Mit großer Wahrscheinlichkeit finden sich ähnlich wie in Nordrhein-Westfalen auch im jeweiligen Landes Datenschutzgesetz keine Vorgaben zur Form Erfordernis der Einwilligung.

Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse, hat sich im April 2020 zum Thema geäußert, wonach die Einholung einer Einwilligung nicht in Schriftform erfolgen muss.

“Ebenso muss bei der Einwilligung nach Artikel 7 DS-GVO nicht zwingend der Weg über das „Papier“ gewählt werden. Bei der Einwilligung ist nach Artikel 7 Absatz 2 DSGVO keine Schriftform erforderlich.”

„Einwilligung einholen ohne Papier“ weiterlesen