Notenkonferenzen per Videokonferenz?

Lesezeit: 7 Minuten

In einem Schreiben an die Bezirksregierungen vom 15.01.2021 zur Weiterleitung an die Schulen macht das MSB auch Aussagen zur Erteilung der Halbjahreszeugnisse im Schuljahr 2020/21 und Anmeldung an den weiterführenden Schulen für das Schuljahr 2021/22.1 Vergleichbare Informationen gibt es auch aus einer Veröffentlichung auf der Website des Schulministeriums vom 18.01.2021.

Dazu gehört auch das Thema Zeugniskonferenzen. Bei den Aussagen hierzu sticht ein Satz hervor.

1. Zeugniskonferenzen und vorbereitende Dienstgeschäfte in den Schulen werden nicht von den Einschränkungen des § 1 Absatz 11 Corona- BetrVO erfasst und sind daher – unter Beachtung der erforderlichen Hygienemaßnahmen – zulässig. Es wird empfohlen, alternative Formen der Durchführung von Konferenzen zu prüfen.

Das MSB empfiehlt, auch wenn es möglich ist, die Schule für Zeugniskonferenzen und vorbereitende Dienstgeschäfte zu betreten, alternative Formen der Durchführung von Konferenzen. Es liegt nahe, dass damit Audio- und Videokonferenzen gemeint sind. Bei den Empfängern entstanden genau an dieser Stelle viele Fragen bezüglich des Datenschutzes. Das Ministerium sah sich dadurch veranlasst, sich noch einmal konkreter zu den datenschutzrechtlichen Aspekten von Notenkonferenzen zu äußern.

1. Teilnahme von Lehrkräften:
Grundsätzlich ist für Video-/Tonaufnahmen eine Einwilligung erforderlich, da Videoaufnahmen in der VO DV II nicht ausdrücklich erlaubt/geregelt sind.
Hier ist aber eine ergänzende Hinzuziehung von § 3 DSG zulässig (§ 122 Absatz 1 Satz 3 SchulG), da es sich um einen „ungeregelten Fall“ handelt, in dem ein Rückgriff auf das allgemeine Datenschutzrecht möglich ist.

Damit ist auf Grund von § 3 DSG bei bestehendem dringendem dienstlichem Bedürfnis in Pandemiezeiten die Teilnahme an einer Videokonferenz mit dem Datenschutz vereinbar.

2. Notendiskussion im Videostream: Zeugnisnoten sind personenbezogene Schülerdaten, die zulässigerweise von Schulen nach § 120 Abs. 1 SchulG und der VO DV I verarbeitet werden dürfen. Danach sind diverse Verarbeitungsformen (mündlich/schriftlich, analog/digital) zulässig. Maßgeblich ist, dass durch informationstechnische und organisatorische Maßnahmen, z.B. Wahl eines insofern geeigneten Videotools, der Schutz der Daten sichergestellt ist.

Wie einer meiner Kollege auf Nachfrage beim MSB erfuhr, ging man beim Verfassen der Ergänzung zum Erlass vom Vorhandensein von Dienstgeräten bei den Lehrkräften aus. Das ist in sofern von Bedeutung, da die Schulleitung nicht über die privaten Endgeräte der Lehrkräfte verfügen kann.

Wie sind diese Aussagen nun zu verstehen?

Für Audio- und Videokonferenzen gibt es in der VO-DV II bisher keine spezifischen Regelungen, die solche auf der Grundlage des Schulgesetzes NRW zulassen oder ausdrücklich eine Einwilligung voraussetzen. Dieses hatte auch die LDI NRW im Mai 2020 in der Schrift Pandemie und Schule ähnlich beschrieben. In der Praxis orientiert man sich stattdessen an den Vorgaben zu Video-/Tonaufnahmen, für die eine Einwilligung erforderlich ist. Siehe hierzu auch den Beitrag Distanzunterricht – rechtliche Vorgaben und Möglichkeiten. Wie die LDI NRW, die in der besonderen Ausnahme von Schulschließungen durch Covid19 eine Möglichkeit sieht, die fehlenden Regelungen, die weder eine ausdrückliche Erlaubnis noch ein Verbot bedeuten, sieht man im MSB deshalb aktuell die Möglichkeit, Zeugniskonferenzen auf §122 Abs. 1 Satz 3 des Schulgesetzes zu stützen. Dieser lautet.

Ergänzend gelten die allgemeinen datenschutzrechtlichen Vorschriften.

Im Schulgesetz NRW, so wird mit diesem Satz noch einmal ausdrücklich bestimmt, finden die allgemeinen datenschutzrechtlichen Vorschriften aus dem DSG NRW und der DS-GVO Anwendung, soweit sich in §120 und §121 keine bereichsspezifischen Datenschutzregelungen finden. In Verbindung mit §3 DSG NRW ist es dann nach Aussagen des MSB, „bei bestehendem dringendem dienstlichem Bedürfnis in Pandemiezeiten die Teilnahme an einer Videokonferenz mit dem Datenschutz vereinbar.“

§ 3
Zulässigkeit der Verarbeitung personenbezogener Daten

(1) Soweit spezialgesetzliche Regelungen nicht vorgehen, ist die Verarbeitung personenbezogener Daten durch öffentliche Stellen zulässig, wenn sie für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe der verarbeitenden Stellen erforderlich ist oder wenn sie in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

Die Verarbeitung von personenbezogenen Daten zur Teilnahme an Videokonferenzen durch die Schule erfolgt dann auf der Rechtsgrundlage von §3 DSG NRW in Kombination mit §122 Abs. 1 Satz 3 SchulG NRW.

Für die Schule entfällt damit die Erfordernis, von Lehrkräften eine Einwilligung zur Teilnahme an einer Videokonferenz einzuholen.

Die Teilnahme wird damit für Lehrkräfte verpflichtend. Wichtig ist dabei jedoch, dass sämtliche der folgende Bedingungen erfüllt sind:

  1. es gibt keine bereichsspezifische Regelung im SchulG NRW zu Videokonferenzen2, die Schulen die Verarbeitung von personenbezogenen Daten zur Durchführung von Videokonferenzen ausdrücklich erlaubt oder verbietet.und
  2. es besteht ein dringendes dienstliches Bedürfnis – und
  3. es herrschen Pandemiezeiten – und
  4. es werden die allgemeinen datenschutzrechtlichen Vorschriften eingehalten – und
  5. die Lehrkräfte verfügen über ein Dienstgerät.

Ist eine der genannten Bedingungen nicht erfüllt, besteht – zumindest aktuell – keine Möglichkeit, Lehrkräfte zur Teilnahme an einer Videokonferenz zu verpflichten. Von besonderer Bedeutung ist dabei Nr. 4, da sich hinter dieser Bedingung eine ganze Reihe von zu erfüllenden Kriterien verbergen.

Videokonferenz – Teilnahme per …

Besteht die Möglichkeit, Lehrkräfte zu einer Teilnahme an Videokonferenzen, wie oben beschrieben zu verpflichten, so ist dieses nicht automatisch mit einer Verpflichtung zur Teilnahme mit Videobild gleichzusetzen, es sei denn es lässt sich eine Erfordernis dazu begründen. In der Regel sollte es ausreichen, wenn Lehrkräfte an einer Videokonferenz ohne Bild teilnehmen, da es weder angemessen ist, darüber die Anwesenheit oder Aktivitäten der Teilnehmer zu kontrollieren, noch dass ihr Bild für Redebeiträge erforderlich wäre. Auch Abstimmungen benötigen kein Bild, da dieses auch über Chat, digitales Handzeigen oder Abstimmungstools möglich und, vor allem bei größerer Teilnehmerzahl, praktikabler ist.3Eine Erfordernis für eine Teilnahme per Videobild könnte sich jedoch daraus ergeben, wenn eine Plattform keine Möglichkeit bietet, die Teilnahme auf authentifizierte Teilnehmer zu beschränken. Dann wäre das Videobild die einzige Möglichkeit, einigermaßen sicher zu kontrollieren, dass nur berechtigte Personen an der Videokonferenz teilnehmen.

Informationen über Datenverarbeitung

Auch wenn die Nutzung einer Videokonferenz unter den beschriebenen Bedingungen keiner Einwilligung bedarf, so gehört zur Erfüllung der  „allgemeinen datenschutzrechtlichen Vorschriften“ die Information der Betroffenen über die Verarbeitung von personenbezogenen Daten gemäß Art. 13 DS-GVO.4Welche Daten werden auf welcher Rechtsgrundlage zu welchen Zwecken verarbeitet? Für welche Dauer werden sie verarbeitet, erfolgt eine Übermittlung an Dritte bzw. wer sind gegebenenfalls die Empfänger, und welche Rechte haben die Betroffenen?

Keine Aufzeichnungen

Es sollte jedem klar sein, dass die vom MSB beschriebene Möglichkeit zur Verarbeitung von personenbezogenen Daten von Lehrkräften zur Durchführung  Videokonferenzen mit verpflichtender Teilnahme nicht die Aufzeichnung von Videokonferenzen einschließt. Diese fallen unter die Vorgaben von §121 Abs. 1 Satz 25“ Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen bedürfen der Einwilligung der betroffenen Personen.“ und sind einwilligungspflichtig. Darunter fallen auch Funktionen einiger Videokonferenzplattformen, die im Hintergrund Aufzeichnungen erstellen, um den Start einer Aufzeichnung durch den Gastgeber unmittelbar umsetzen zu können. Solche Funktionen müssen deaktiviert werden, wenn eine Teilnahme verpflichtend sein soll.

Sicherheit

Ein Aspekt, der auch mit Bezug auf Datenschutz Relevanz hat, ist das Thema Sicherheit, welches unter anderem in Nr. 2 der Erläuterung des MSB angesprochen wird. Das meint nicht nur eine eventuelle Verschlüsselung der Videokonferenz, die aktuell nur bei wenigen Plattformen möglich ist, sondern auch die Kontrolle des Zugangs. Man sollte bei Lehrkräften eigentlich sicher sein können, dass sie ihre Zugangsdaten zu einer Videokonferenz, in welcher es um Noten und Zeugnisse geht, nicht an Dritte weitergeben. Außerdem gibt es bei verschiedenen Plattformen Zugangskontrollen in Form von Warteräumen. Diese schützen jedoch nur begrenzt. Kann man die Teilnehmer nicht sehen, hat man keine hunderprozentige Gewähr, dass auch tatsächlich die berechtigte Person an der Videokonferenz teilnimmt. Dieses könnte man nur sicherstellen, wenn Teilnehmer sich vorher authentifizieren müssen. Das könnte über die Anbindung an eine andere von der Schule genutzte Plattform erfolgen. Einige Anbieter von Videokonferenzlösungen im Zusammenhang mit anderen Plattformen bieten diese Möglichkeit. Auch Moodle kann die Authentifizierung von Nutzern für die Teilnahme an Videokonferenzen übernehmen.

Welche Daten in welcher Plattform?

Vor allem bei der Nutzung der Plattformen von US Anbietern ist bisher immer klar gewesen, dass dabei bestimmte Arten von personenbezogenen Daten außen vor zu bleiben haben. Das ist in allen Bundesländern und sogar der Schweiz und Österreich so, wo der Einsatz von Office 365, G Suite for Education, Apple Classroom und ähnlich nicht grundsätzlich untersagt ist. Überall gilt, eine pädagogische Nutzung ist möglich, wenn dabei darauf geachtet wird, die Verwendung von personenbezogenen Daten auf ein Minimum zu reduzieren. Auch eine Nutzung zur Teamarbeit im Kollegium oder zur Bereitstellung von Dokumentvorlagen und Informationen aus der schulinternen Verwaltung ist möglich, solange dabei keine personenbezogenen Daten im Spiel sind. Nichts zu suchen haben in den Plattformen hingegen personenbezogene Daten im Zusammenhang mit pädagogischer Dokumentation und schulinterner Verwaltung. Bei Noten- und Zeugniskonferenzen geht es aber genau um diese personenbezogenen Daten.

Eine Verarbeitung von Zeugnisnoten über eine Videokonferenzplattform ist auf der Rechtsgrundlage des §120 Abs. 1 SchulG NRW und der VO-DV I möglich, wie im unter Nr. 2 in den Erläuterungen des MSB zum Erlass dargestellt. Es gilt dabei jedoch, wie ebenfalls dort dargestellt, „Maßgeblich ist, dass durch informationstechnische und organisatorische Maßnahmen, z.B. Wahl eines insofern geeigneten Videotools, der Schutz der Daten sichergestellt ist.

Eine Möglichkeit, Daten vor unberechtigtem Zugriff zu schützen, ist die Verschlüsselung. Derzeit unterstützen nur sehr wenige Plattformen eine echte Ende-zu-Ende Verschlüsselung von Videokonferenzen, da diese technisch sehr schwierig zu implementieren ist und mit dem Verlust von Funktionalität einhergeht.6Siehe dazu https://www.datenschutz-notizen.de/ende-zu-ende-verschluesselung-von-videokonferenzen-1825597/  von April 2020 Zoom gehört dazu und auch Jitsi.7Im Januar 2021 ist die Funktionalität der Ende-zu-Ende Verschlüsselung bei beiden Plattformen bereits nutzbar, jedoch noch in der Erprobung. MS Teams, Cisco Webex und Google Meet bieten zwar eine gewisse Verschlüsselung. Das Problem ist dabei jedoch, dass die Schlüssel dafür beim Anbieter liegen und dieser die Videokonferenzen damit problemlos entschlüsseln und dadurch Dritten zugänglich machen könnte oder dass die Videokonferenzen auf dem Server des Anbieters entschlüsselt werden, bevor sie verschlüsselt an die Teilnehmer gehen.

Damit wird auch dieser Sicherheitsaspekt zum Ausschlusskriterium für einige der gängigen Videokonferenz Plattformen.

Wie kann man sich hier behelfen?

Eine Möglichkeit, wie man Noten- und Zeugniskonferenzen auch ohne eine Ende-zu-Ende Verschlüsselung durchführen kann, besteht darin, dass man ohne die Namen der Schüler arbeitet. Alle Lehrkräfte haben Namenlisten mit einer eindeutigen Nummerierung/Kennung vorliegen. Es wird in der Videokonferenz dann nur über Nummern gesprochen, nicht über Namen. Für Dritte sind dann ohne einen unverhältnismäßig hohen Aufwand die Noten und Bemerkungen zu Noten und Zeugnisse, die im Laufe der Konferenz genannt werden, keiner identifizierbaren Person zuzuordnen.

Eine Frage der Plattform

Da durch die Möglichkeit, eine Verarbeitung von personenbezogenen Daten zur Durchführung von Videokonferenz auf der Grundlage von §3 DSG NRW nicht gleichzeitig alle anderen datenschutzrechtlichen Vorschriften außer Kraft gesetzt werden, kommt der Auswahl der Plattform durchaus eine Bedeutung zu.

(Vermutlich) nicht DS-GVO konform

Eine Plattform, bei der zweifelhaft ist, ob sie DS-GVO konform nutzbar ist, hält demnach die „allgemeinen datenschutzrechtlichen Vorschriften“ vermutlich nicht vollständig ein. Damit wäre eine der 4 Bedingungen nicht erfüllt und die Plattform könnte nicht genutzt werden, um Lehrkräfte zu einer Teilnahme an Videokonferenzen zu verpflichten. Die Zahl der Videokonferenz Plattformen, bei denen die DS-GVO Konformität angezweifelt wird, ist nicht klein.8Dazu gehören dürften dann auch Plattformen gehören, deren Nutzung vom MSB als „bedenklich“ eingestuft wird oder Plattformen, die auf der Liste der Berliner Aufsichtsbehörde schlecht davon gekommen sind. Es gibt Schulen und Schulträger, die Gutachten haben anfertigen lassen von Fachkanzleien, die den von ihnen genutzten Plattformen eine DS-GVO Konformität attestieren. Im Streitfall entscheiden hier letztlich die Gerichte, falls es an einer Schule soweit kommt.

Vertrag zur Auftragsverarbeitung

Um die allgemeinen datenschutzrechtlichen Vorschriften zu erfüllen, ist auch der Abschluss eines Vertrags zur Auftragsverarbeitung9Im nicht deutschsprachigen Raum meist als Data Processing Addendum oder Data Processing Agreement bezeichnet. gemäß Art. 28 DS-GVO mit dem Anbieter der Videokonferenz Plattform zwingend erforderlich. Eine Plattform, deren Anbieter diesen Vertrag nicht anbietet, scheidet für eine Durchführung von Noten- und Zeugniskonferenzen per Videokonferenz aus.

Einwilligung erforderlich

Einige Plattformen erfordern zur Aktivierung eines Nutzerkontos eine Einwilligung in die Verarbeitung von personenbezogenen Daten. Dazu gehören die drei Logineo NRW Plattformen und damit auch der Messenger, bei dem es seit kurzem das Modul Videokonferenz mit Jitsi gibt. Da eine Einwilligung immer nur freiwillig sein kann, um rechtswirksam zu sein, ist es damit nicht möglich, die Nutzung einer solchen Plattform verpflichtend vorzuschreiben. Solange bei Logineo NRW Messenger diese Erfordernis zur Einwilligung nicht technisch deaktiviert wird, ist eine verpflichtende Nutzung ausgeschlossen. Gleiches gilt für Plattformen mit vergleichbarem Vorgehen.10Hinweis: Die Kernaussage dieses Abschnitts bezieht sich nur auf die Einwilligung in die Verarbeitung von personenbezogenen Daten, nicht auf die Einwilligung oder Annahme einer Nutzungsvereinbarung.

Wo es möglich wäre

Auf den ersten Blick scheint es, dass eine verpflichtende Teilnahme an Videokonferenzen, wie oben beschrieben, mangels geeigneter Plattformen, welche die „allgemeinen datenschutzrechtlichen Vorschriften“ einhalten, gar nicht möglich ist. Aber es gibt Plattformen, mit denen sich die Vorgaben recht gut einhalten lassen. Dazu gehören BigBlueButton und Jitsi, wie sie von verschiedenen Unternehmen angeboten werden. Mehr zu den Plattformen im Datenschutz Check.11Dort sind beispielhaft auch einige Anbieter genannt. Je nach Anbieter können diese Videokonferenz Lösungen auch an andere Plattformen angedockt werden, die sich dann zur Authentifizierung nutzen lassen. Es gibt außerdem auch Plattformen und Apps, die Videokonferenzen als ein integriertes Modul anbieten. Solange zur Nutzung der Videokonferenz Lösungen, ob als Stand-alone Lösung oder als Bestandteil einer größeren Lösung keine Einwilligung in die Verarbeitung von personenbezogenen Daten erforderlich ist, und sie auch sonst den allgemeinen datenschutzrechtlichen Vorschriften entsprechen, ließen sich für eine Schule damit die zu Beginn beschriebenen Möglichkeiten umsetzen.

Bei einem vertrauenswürdigen Anbieter, der seine Videokonferenz Plattform mit Vertrag zur Auftragsverarbeitung in einem sicheren Serverzentrum betreibt und die Plattform sicher und datenschutzkonform konfiguriert hat, ist es vertretbar, wenn Videokonferenzen auch ohne eine echte Ende-zu-Ende Verschlüsselung durchgeführt werden. Bei Anbietern, die ihre Plattform auf der Basis von Jitsi betreiben und Ende-zu-Ende Verschlüsselung bereits implementiert haben, wäre es möglich, diese zu aktivieren.12Hinweis: Die Ende-zu-Ende Verschlüsselung wird aktuell nicht von allen Browsern unterstützt.

Fazit

Das MSB eröffnet Schulen für den Ausnahmefall der Pandemie die Möglichkeit, Videokonferenzen als Alternative zu Präsenztreffen zu nutzen, um bei bestehendem dringendem dienstlichem Bedürfnis zumindest mit Noten- und Zeugniskonferenzen durchzuführen. Dieses setzt jedoch voraus, dass dazu einige Bedingungen erfüllt werden. Neben der in Erlass und Erläuterungen unerwähnten aber vorausgesetzen Ausstattung der Lehrkräfte mit Dienstgeräten müssen auch die allgemeinen datenschutzrechtlichen Vorschriften eingehalten werden. Mit Blick auf die aktuell an Schulen genutzten Plattformen wird dann jedoch schnell deutlich, dass viele dieser Plattformen die erforderlichen Voraussetzungen nicht vollständig erfüllen werden. Schulen, die versuchen, eine verpflichtende Teilnahme mit diesen Plattformen mit Bezug auf den Erlass und die ergänzenden Erläuterungen des MSB bei ihren Lehrkräften durchzusetzen, laufen dabei Gefahr, gegen geltendes Recht zu verstoßen. Letzte Klärung wird in solchen Fällen dann, falls es soweit kommt, ein Verwaltungsgericht herbeiführen.

Für eine Übertragung auf andere Zusammenhänge, etwa gewöhnliche Lehrerkonferenzen, oder den Unterricht scheint diese vom MSB ausdrücklich unterstützte Ausnahmeregelung nicht geeignet. Siehe dazu auch Distanzunterricht – rechtliche Vorgaben und MöglichkeitenDistanzunterricht – rechtliche Vorgaben und Möglichkeiten und Teilnahme am Unterricht über Video – geht das?

 

Stand 01/2021

Distanzunterricht – rechtliche Vorgaben und Möglichkeiten

Lesezeit: 10 Minuten

Dieser Beitrag ist eine überarbeitete und auf die aktuelle Rechtslage im Januar 2021 angepasste Version des älteren Beitrags Teilnahme am Unterricht über Video – geht das?

Das Land befindet sich im Lockdown, die Schulen sind weitestgehend geschlossen und Unterricht muss als Distanzunterricht erteilt werden. Für Schulen stellt sich die Frage, wie dieser Distanzunterricht organisiert werden kann. Nahezu jeder denkt dabei an Distanzunterricht über eine Videokonferenz Plattform, zumeist kombiniert mit weiteren Plattformen. In diesem Beitrag soll aus datenschutzrechtlicher Sicht betrachtet werden, welche Möglichkeiten sich aus den verschiedenen Rechtstexten ergeben und wo die Grenzen liegen.

Maßgeblich ist für die Organisation und Erteilung von Distanzunterricht die Zweite Verordnung zur befristeten Änderung der Ausbildungs- und Prüfungsordnungen gemäß § 52 SchulG1https://bass.schul-welt.de/19272.htm. Diese wird ergänzt zur Erläuterungen im Faktenblatt zur Wiederaufnahme eines angepassten Schulbetriebs in Corona-Zeiten zu Beginn des Schuljahres 2020/20212https://www.schulministerium.nrw.de/system/files/media/document/file/Faktenblatt%20angepasster%20Schulbetrieb%20Schuljahresbeginn%202020%2021.pdf.

Es gibt in beiden Dokumenten jeweils einen Satz, der etwas zum digitalen Format des Distanzunterrichts aussagt.

In der ​Zweiten Verordnung zur befristeten Änderung​ ​der Ausbildungs- und Prüfungsordnungen gemäß § 52 SchulG​ heißt es unter §3 Abs. 6

“​Distanzunterricht ​soll​ digital erteilt werden, ​wenn​ die Voraussetzungen dafür erfüllt sind.​”

Dazu findet sich im ​Faktenblatt angepasster Schulunterricht​ auf S. 11 eine Präzisierung.

“Distanzunterricht soll dann digital erteilt werden, wenn die Voraussetzungen hierfür vorliegen, also ​insbesondere eine ausreichende technische Ausstattung der Schülerinnen und Schüler sowie der Lehrkräfte gewährleistet ist​.”

Demnach setzt digitaler Distanzunterricht eine technische Ausstattung der Beteiligten voraus. Was gehört zu einer ausreichenden technischen Ausstattung? Es braucht:

  • digitale Endgeräte bzw. Zugangsgeräte​, die dem Stand der Technik entsprechen. Dazu gehören Tablet, Notebook, Laptop und Computer. Ein Smartphone ist bedingt durch die geringe Bildschirmgröße weniger geeignet (und dürfte von daher eher keine ausreichende technische Ausstattung darstellen) sowie
  • eine ​ausreichende Internetanbindun​g über einen Anschluss zu Hause, in der Schule oder einen Mobilzugang.

Außerdem braucht es von Seiten der Schule:

  • Plattformen, Software, Apps​ – über die der digitale Distanzunterricht organisiert und durchgeführt werden kann. Dazu gehören LMS, Schulserver, Cloud Speicher, Arbeitsplattformen, Videokonferenz Plattformen, Messenger, …

Das heißt, wenn Schülerinnen und Schüler sowie Lehrkräfte über eine ausreichende technische Ausstattung in Form von geeigneten Zugangsgeräten und Internetzugängen verfügen, um am Distanzunterricht teilzunehmen bzw. diesen zu erteilen, dann soll er digital erteilt werden.

In diesem Zusammenhang sind auch die Initiativen des Landes zu sehen, über welche Leihgeräte für bedürftige Schüler und Dienstgeräte für Lehrkräfte an den Schulen zur Verfügung gestellt werden sollen.

Für den Fall, dass die Voraussetzungen nicht erfüllt sind, womit hier jedoch nicht nur eine nicht ausreichende technische Ausstattung gemeint ist, stellt die Schule in Absprache mit dem Schulträger gem. §3 Abs. 7 Schülerinnen und Schülern Räumlichkeiten für die Teilnahme am Distanzunterricht zur Verfügung.

“Soweit nötig, stellt die Schule den Schülerinnen und Schülern zur Sicherung eines chancengerechten und gleichwertigen Lernumfelds im Einvernehmen mit dem Schulträger Räume für den Distanzunterricht zur Verfügung.”

Die Zweite Verordnung und das sie ergänzende Faktenblatt betrachten die Voraussetzungen für die Erteilung bzw. Teilnahme an einem digitalen Distanzunterricht von den materiellen Voraussetzungen her, den Endgeräten, Online-Zugängen und wenn auch nicht direkt genannt, den der Schule zur Verfügung stehenden Plattformen. Es werden dabei jedoch keinerlei Aussagen zur Form des digitalen Distanzunterrichtes gemacht. Die Spanne der vorstellbaren Formen von digitalem Distanzunterricht reicht hier von der Übermittlung und Rückübermittlung von Arbeitsmaterialien per E-Mail bis zur Durchführung des Distanzunterrichts mittels LMS und Videokonferenz Plattform oder einer Arbeits- und Kommunikationsplattform mit integrierter Videokonferenzlösung.

Das Thema Datenschutz beim digitalen Distanzunterricht

Auch wenn an keiner Stelle in der Zweiten Verordnung das Thema Datenschutz erwähnt wird, so ist klar, dass auch dieser bei den Überlegungen zur Form des digitalen Distanzunterrichts eine Rolle spielt.

Um die weiteren Betrachtungen diesbezüglich zu vereinfachen, gehe ich von folgender, idealer Situation aus: die Schule XYZ hat alle Lehrkräfte mit Dienstgeräten und alle Schülerinnen und Schüler mit digitalen Endgeräten ausgestattet. Alle Lehrkräfte und Schüler haben einen guten und zuverlässigen Internetzugang zu Hause und einen Arbeitsplatz, von dem aus sie ungestört arbeiten können. Die Schule nutzt die Landesplattformen Logineo NRW LMS und Messenger sowie ein im Auftrag von einem deutschen Anbieter betriebenes BigBlueButton als Videokonferenzlösung.

Die Schule möchte die Nutzung der drei Plattformen für alle verbindlich, d.h. verpflichtend, vorschreiben. Ein Beschluss der Schulkonferenz wird hierzu herbeigeführt.

Die Schule ist sich sicher, sie ist auf dem richtigen Weg, denn der neue Absatz 5 in §120 SchulG NRW eröffnet Schulen jetzt die Möglichkeit, digitale Lehr- und Lernplattformen verpflichtend einzuführen.

“Die Schule darf für den Einsatz digitaler Lehr- und Lernmittel personenbezogene Daten der Schülerinnen und Schüler und der Eltern verarbeiten, soweit dies für die Aufgaben der Schule erforderlich ist.”

Aber so einfach ist das dann leider doch nicht. Warum?

Keine Verpflichtung bei Einwilligung

Die beiden Landesplattformen Logineo NRW LMS und Logineo NRW Messenger erfordern beide eine Einwilligung der Nutzer in die Verarbeitung von personenbezogenen Daten beim ersten Login. Gemeint sind damit Daten, die freiwillig eingestellt werden und nichts mit Schule und Unterricht zu tun haben, etwa ein persönliches Profil oder eine private Kommunikation. Eine Einwilligung kann nur rechtswirksam sein, wenn sie freiwillig ist. Damit ist eine verpflichtende Nutzung nicht mehr möglich. Die Einwilligung ist nicht zu umgehen und wäre, wenn sie verpflichtend abgegeben werden müsste, nicht mehr freiwillig.

Dieses Problem lässt sich nur dann beseitigen, wenn man in den Logineo NRW Plattformen zukünftig die Erfordernis zur Einwilligung technisch deaktiviert und eine Nutzung mit privaten Daten entweder komplett untersagt oder die Einwilligung für eine Nutzung mit privaten Daten als Option anbietet. Aktuell ist eine solche Änderung der Plattformen nicht absehbar.3Es müsste zudem eine neue Dienstvereinbarung mit den Hauptpersonalräten geben, denn in der bisherigen mit Stand vom 21.10.2020 heißt es ausdrücklich: „Die Nutzung von LOGINEO NRW ist freiwillig und setzt eine Einwilligungserklärung der jeweiligen Nutzerin/des jeweiligen Nutzers bzw. deren/dessen gesetzlicher Vertretung voraus.“ Hinweis: die Dienstvereinbarung bezieht sich aktuell nur auf die Basisplattform Logineo NRW, nicht das LMS und den Messenger. Es ist jedoch zu erwarten, dass unter aktuellen Bedingungen Dienstvereinbarungen bezüglich dieser beiden Plattformen oder eine Erweiterung der bestehenden Vereinbarung um diese Plattformen vergleichbare Regelungen bezüglich der Freiwilligkeit enthielten.

BigBlueButton ist ein Musterbeispiel für eine datenschutzfreundliche Videokonferenz Plattform. Sie ist open source und lässt sich sicher und datensparsam betreiben. Trotzdem ist eine verbindliche Nutzung auch hier momentan nicht möglich. Dafür gibt es mehrere Gründe.

Schulgesetz NRW und Videokonferenzen

Das Thema Videokonferenzen ist ein ungeregelter Bereich, denn im  Schulgesetz NRW finden sich dazu keinerlei konkrete Vorgaben. Aussagen gibt es lediglich zu Aufnahmen des Unterrichts.

In der neuen Fassung des Schulgesetzes von Mai 2020 sind Aufnahmen des Unterrichts gemäß §120 Abs. 6 nur mit Einwilligung der Betroffenen zulässig.

„Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen bedürfen der Einwilligung der betroffenen Personen. Die Einwilligung muss freiwillig erteilt werden. Den betroffenen Personen dürfen keine Nachteile entstehen, wenn sie eine Einwilligung nicht erteilen.“

Ein entsprechender Passus findet sich auch für §121 Abs. 1. Satz 2 bezüglich der Rechte der Lehrkräfte.

Auch wenn Streaming von Bild und Ton im Rahmen einer Video- oder Audiokonferenz keine Aufzeichnung darstellt, könnte man sich an dieser Vorgabe orientieren, denn auch die Teilnahme am Distanzunterricht ist verpflichtend wie die im Präsenzunterricht. Es kommt hinzu, dass vor allem eine Teilnahme an einer Videokonferenz einen deutlichen Eingriff in die Privatsphäre der Teilnehmer darstellt.

Orientiert man sich an den Vorgaben des Schulgesetzes NRW zu Bild- und Tonaufzeichnungen des Unterrichts, so ist kaum vorstellbar, dass für Video- und Audiokonferenzen völlig andere Regelungen gelten, zumal es an keiner Stelle im Schulgesetz, den anhängigen Verordnungen, Erlassen und anderen Schriften des Ministeriums Aussagen gibt, die eine andere Handhabung möglich erscheinen lassen.

Die LDI NRW und Videokonferenzen im Distanzunterricht

In der ursprünglichen Version der Schrift Pandemie und Schule – Datenschutz mit Augenmaß vom Mai 2020 sah die LDI NRW eine Möglichkeit, im Ausnahmefall der Pandemie in sehr engen Grenzen die Nutzung von Videokonferenzplattformen verbindlich vorzuschreiben. „Die Durchführung von Videokonferenzen einschließlich der damit verbundenen erforderlichen Datenverarbeitung könnte temporär auf die o.g. schulrechtlichen in Generalklauseln in § 120 Abs. 1 Satz 1 und 121 Abs. 1 Satz 1 SchulG gestützt werden, soweit es die Schulleitung während der Schulschließungen und der weitgehenden Kontaktverbote zur Aufrechterhaltung des Unterrichts- und Schulbetriebs für erforderlich erachtet, derartige Videokonferenzen durchzuführen.” Im Oktober 2020 erschien eine überarbeitete Fassung der Schrift Pandemie und Schule – Datenschutz mit Augenmaß 4https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Schule_-Videokonferenzsysteme-und-Messenger-Dienste-waehrend-der-Corona-Pandemie/LDI-NRW—Pandemie-und-Schule-20_10_2020.pdf Mit der aktualisierten Fassung wurden die zwischenzeitlich erfolgte Überarbeitung des SchulG NRW mit der Neueinführung von §120 Abs. 5 und §121 Abs. 1 Satz 1 berücksichtigt. Darauf nimmt die LDI NRW nun Bezug.

“Zum anderen besteht durch die oben erwähnten Neuregelungen in §120 Abs. 5 und §121 Abs. 1 Satz 1 SchulG auch die Möglichkeit, die mit der Durchführung von Videokonferenzen verbundene Datenverarbeitung auf diese Erlaubnisnormen zu stützen, soweit sie für die Aufgabenwahrnehmung der Schule erforderlich ist.”

Dabei dürfte aber der Teil „soweit es für die  erforderlich Aufgabenwahrnehmung der Schule erforderlich ist“ in der Praxis anfechtbar sein. Sind Videokonferenzen zwingend erforderlich, um den Unterrichts- und Schulbetrieb aufrecht zu erhalten? Muss dabei auch die Kamera eingeschaltet sein? Diese Schrift erschien nach der Verabschiedung der Zweiten Verordnung zur befristeten Änderung der Ausbildungs- und Prüfungsordnungen gemäß § 52 SchulG, die eine solche Möglichkeit an keiner Stelle erwähnt. Auch das SchulG NRW in der überarbeiteten Version und die bisher bekannte Entwurfsfassungen von VO-DV I und II machen keine Aussagen zum Thema Videokonferenzen.

Selbst wenn man davon ausgeht, dass es der Schulleitung möglich wäre, die Nutzung einer Plattform für Video- und Audiokonferenzen „zur Aufgabenwarnehmung der Schule„, wie von der LDI NRW beschrieben, verpflichtend vorzugeben, so stellt sich die Frage, mit welchen Plattformen dieses überhaupt möglich wäre? In ​Pandemie und Schule​ gibt die LDI NRW Kriterien vor, welche eingehalten werden müssen, wenn eine Schule im Ausnahmefall die Nutzung einer Videokonferenzplattform verpflichtend vorgeben möchte:

“Zum einen ist zu beachten, dass dieser Ansatz überhaupt nur zum Tragen kommen kann, soweit die Verarbeitung der hierfür erforderlichen Daten entsprechend der gesetzlichen Vorschrift im Verantwortungsbereich der Schule erfolgt, d.h. sie selbst die Daten verarbeitet oder durch Regelungen in einem Auftragsverarbeitungsvertrag sichergestellt ist, dass sie „Herrin der Daten“ ist. Zum anderen setzt gerade eine verpflichtende Nutzung voraus, dass gewährleistet ist, dass alle Betroffenen die digitalen Module auch tatsächlich und zudem nur im zulässigen Umfang nutzen können;

Ob die Schule tatsächlich voll und ganz „Herrin der Daten“ ist, dürfte selbst bei Vorliegen eines Vertrag zur Auftragsverarbeitung gerade bei Plattformen von US Anbietern nicht unstrittig sein. Und auch die Nutzung im zulässigen Umfang wird vor allem bei Videokonferenz Plattformen von verschiedenen Seiten stark angezweifelt. Eine Kontrolle, ob Teilnehmer an einer Videokonferenz heimlich Screenshots oder Mitschnitte anfertigen, ist im Anwendungsfall Distanzunterricht kaum möglich. Nutzer können nur zu verantwortungsvollem Verhalten angehalten werden. Eine Verpflichtung, sich an verabredete Regeln zu halten, kann dazu beitragen, und kann der Schule im Fall eines Verstoßes eine rechtliche Handhabe bieten, Sanktionen gegen Schüler einzuleiten, eine missbräuchliche Nutzung verhindern, kann allerdings nichts davon.

Bezüglich der im Schulgesetz NRW beabsichtigten und mittlerweile im oben beschriebenen Abs. 5 § 120 umgesetzten Rechtsvorgabe zur verpflichtenden Einführung von Unterrichtsplattformen mahnt die LDI NRW in der Schrift Pandemie und Schule an, dass in der Überarbeitung von VO-DV I & II eine

“Festschreibung, welche konkreten Daten regelmäßig für den Einsatz der E-Learning-Plattformen verarbeitet werden dürfen.”

erfolgt.

Die LDI NRW deutet an, in welche Richtung dabei gedacht ist.

“Weiterhin ist aus Sicht der LDI NRW bei der Umsetzung insbesondere maßgeblich, dass eine Datenverarbeitung auch tatsächlich nur im Rahmen des Erforderlichen erfolgt. Als ein Beispiel sei die Protokollierung der Systemzugriffe genannt. Diese ist aus datenschutzrechtlicher Sicht erforderlich, um die Sicherheit der Systeme zu gewährleisten; nicht erforderlich und damit unzulässig ist dagegen, dass Lehrkräfte Zugriff auf die Protokolldaten erhalten, um das Arbeitsverhalten ihrer Schülerinnen und Schüler zu kontrollieren.“

Die angemahnte Festschreibung in der Überarbeitung von VO-DV I & II steht aktuell noch aus. In der Entwurfsfassungen von VO-DV I und II findet sich jedoch ein Abschnitt, in welchem die Verarbeitung von Protokolldaten geregelt ist.5„Beim Einsatz digitaler Lehr- und Lernmittel, digitaler Kommunikationsmittel sowie IT-Infrastrukturen ist die Verarbeitung der zum Betrieb erforderlichen Protokolldaten zulässig.“Damit sollte das MSB die Forderung der LDI NRW umgesetzt haben. Noch offen ist momentan, wie weit der Begriff der digitalen Lehr- und Lernmittel, welchen die LDI NRW als E-Learning-Plattformen bezeichnet, zu verstehen ist. Von daher ist gegenwärtig trotz §120 Abs. 5 SchulG NRW noch unsicher, wie sich die dort eröffneten Möglichkeiten zur verpflichtenden Einführung von Unterrichtsplattformen rechtssicher umsetzen lassen.

Was heißt das für die Praxis?

Ist Präsenzunterricht nicht oder nur eingeschränkt möglich, so findet er gemäß der Zweiten Verordnung „mit räumlicher Distanz in engem und planvollem Austausch der Lehrenden und Lernenden statt (Distanzunterricht).“ Sind dabei die Voraussetzungen auf Seiten von Schülern und Lehrkräften vor allem mit Blick auf die technische Ausstattung erfüllt, soll der Distanzunterricht „digital erteilt werden.“ Welches Format der digitale Distanzunterricht dabei hat, ist an keiner Stelle definiert. Die Spannbreite möglicher Formate ist groß.

Digitaler Distanzunterricht ist in seinen Möglichkeiten durch die schulrechtlichen Vorgaben zum Datenschutz und übergeordnete datenschutzrechtliche Regelungen begrenzt. Auch wenn die Teilnahme am Distanzunterricht bzw. dessen Erteilung für Schüler wie Lehrkräfte durch die Vorgaben aus der Zweiten Verordnung zweifelsfrei verpflichtend ist, lässt sich aus dieser Verpflichtung für Schulen keine Berechtigung ableiten, dazu die Nutzung einer digitalen Plattform zwingend vorzugeben, sofern diese nicht den datenschutzrechtlichen Vorgaben, denen Schulen unterliegen, genügt.

Unter der Voraussetzung, dass eine „ausreichende technische Ausstattung der Schülerinnen und Schüler sowie der Lehrkräfte gewährleistet ist„​ müssten aus datenschutzrechtlicher Sicht die folgenden Bedingungen erfüllt sein, um die Nutzung einer bestimmten Plattform im Distanzunterricht verpflichtend vorschreiben zu können:

  • die Plattform müsste von der Schule selbst betrieben oder mit Vertrag zur Auftragsverarbeitung von einem Dienstleister bereitgestellt werden,
  • ihre Nutzung müsste in dem von SchulG NRW und DS-GVO gesteckten Rahmen möglich sein,
  • bei ihrer Nutzung dürften nur personenbezogene Daten im Rahmen des Erforderlichen verarbeitet werden, und
  • sie müsste so angelegt sein oder voreingestellt werden können, dass sie sich von Schülern und Lehrkräften nur im zulässigen Umfang nutzen ließe.

Außerdem wären bei einer verpflichtenden Einführung gegebenenfalls auch die Beteiligungsrechte gemäß LPVG zu berücksichtigen und die Plattform sollte durch Beschluss der Schulkonferenz eingeführt werden.

Es ist an dieser Stelle hoffentlich deutlich geworden, dass es vermutlich nur sehr wenige Plattformen gibt, mit denen sich alle diese Bedingungen zweifelsfrei erfüllen lassen. Dazu könnten beispielsweise ein Moodle zählen, eine NextCloud oder ein Messenger, welche die Schule selbst betreibt oder im Auftrag betreiben lässt, bei denen datenschutzfreundliche Voreinstellungen gewählt sind und bei deren Nutzung es untersagt ist, private Daten einzustellen, sofern für deren Verarbeitung keine gesonderte Einwilligung erteilt wurde. Es wird sicherlich auch andere kommerzielle entwickelte Plattformen geben wie z.B. spezielle Schul Apps, welche die beschrieben Bedingungen erfüllen können. Unter den gegebenen schul- und datenschutzrechtlichen Bedingungen gibt es, wie oben deutlich geworden sein sollte, aktuell keine spezifische Regelung, aus welcher sich eine verpflichtende Nutzung von Videokonferenz Plattformen herleiten lässt. Es bleibt, wenn überhaupt, eine sehr weite Auslegung von §120 Abs. 5 und § 121 Abs. 1 Satz 1, um eine Verpflichtung im Rahmen „der Aufgabenwahrnehmung der Schule“ zu begründen.

Außen vor bleiben für eine verpflichtende Nutzung im Distanzunterricht außerdem alle Plattformen, deren Nutzung eine Einwilligung voraussetzt, wie gegenwärtig die Logineo NRW Plattformen, und Plattformen, deren Nutzung nicht zweifelsfrei DS-GVO konform möglich ist. Solange das Land NRW keine Lösung mit den jeweiligen Anbietern aushandelt, so wie Baden Württemberg dieses aktuell für Office 365 versucht, fallen darunter leider auch Plattformen wie Microsoft Teams, Office 365, G Suite for Education und Apple Classroom.

Angebot statt Verpflichtung

Viele Schulen setzen auf die Plattformen von US Anbietern. Die Gründe dafür sind verschieden und für die weiteren Überlegungen nicht von Bedeutung. Wenn eine Schule z.B. auf MS Teams setzt, um damit den Distanzunterricht im digitalen Format zu erteilen, dann kann dieses immer nur ein Angebot sein. In vielen Fällen werden Lehrkräfte und Schüler bzw. deren Eltern eine Einwilligung erteilen, sei es dass sie von der Plattform überzeugt sind und die Risiken durch eine Nutzung für sich für vertretbar halten oder dass sie in Zeiten von Distanzunterricht Datenschutzbedenken zurückstellen. Es wird jedoch auch immer wieder Lehrkräfte, Schüler und Eltern geben, die nicht bereit sind, sich zur Nutzung der Plattform für sie unkalkulierbaren Risiken auszusetzen. Das ist ihr gutes Recht, solange eine Plattform die oben beschriebenen Bedingungen nicht zweifelsfrei erfüllt oder ihre Nutzung durch eine Rechtsvorgabe es Landes eindeutig vorgeschrieben ist.

Schulen kann nur dringend davon abgeraten werden, Druck auf einzelne Lehrkräfte, Schüler oder Eltern auszuüben, eine Einwilligung zu erteilen und die Plattform zu nutzen. Mir sind Fälle bekannt, in denen Schulen Betroffene, die eine Nutzung der Plattform verweigern, regelrecht schikanieren und ihnen das Leben erschweren. Auch wenn es möglich wäre, Arbeitsmaterialien anstatt über MS Teams per E-Mail zu übermitteln, werden Betroffene genötigt, diese persönlich bei der Schule abzuholen. Schüler werden gedrängt, in MS Teams auch die Kamera einzuschalten, damit man sie sehen kann. So etwas geht nicht und kann für Schulen und hier an erster Stelle die Schulleitung rechtliche Folgen haben, wenn die Betroffenen die Datenschutzaufsicht einschalten oder vor einem Verwaltungsgericht klagen. Dass Eltern hier von ihren Rechten Gebrauch machen werden, ist vor allem dann nicht unwahrscheinlich, wenn ihre Kinder durch eine Nichteinwilligung Nachteile erfahren, die das Lernen beeinträchtigen und zu schlechteren Leistungen führen.

Schulen sollten offen und ehrlich informieren über die Plattformen, welche sie für den Distanzunterricht nutzen möchten und Alternativen vorbereiten, so dass Lehrkräfte, Schüler und Eltern eine echte Wahlmöglichkeit haben und ihnen aus einer Nicht-Einwilligung keine Nachteile entstehen. Das bedeutet für die Schule eventuell zusätzliche Arbeit und Mühe, ist aber der sicherere Weg.

Alle bisherigen Betrachtungen gingen von Schulen mit idealen Voraussetzungen bezüglich der Ausstattung und Internetzugänge aus. Auch wenn in absehbarer Zukunft alle Lehrkräfte in NRW über ein Dienstgerät verfügen sollten, so wird es noch deutlich länger dauern, bis auch Schüler flächendeckend mit Endgeräten und Internetzugängen ausgestattet sind. Schon von daher ist aktuell an vielen Schulen nicht einmal daran zu denken, Distanzunterricht mit einer bestimmten Plattform verpflichtend vorzuschreiben, selbst wenn diese die schul- und datenschutzrechtlichen Bedingungen dafür erfüllen würde.

Stand: 02/2021

Die letzte Überarbeitung dieses Beitrags vom 31.01.2021 berücksichtigt die aktualisierte Fassung der Schrift Pandemie und Schule der LDI NRW vom 20.10.2020 und die Entwurfsfassung von VO-DV I & II.

Logineo NRW Messenger, AWS und Datenschutz

Lesezeit: 3 Minuten

Der Messenger, den das Land NRW seinen Schulen kostenlos zur Verfügung stellt, basiert auf dem open source Matrix Protokoll und folgt damit der Landesstrategie, quelloffene Plattformen für Schulen bereitzustellen. Als Dienstleister für den Betrieb der Plattform gewann man die SVA System Vertrieb Alexander GmbH aus Wiesbaden, die dann ihrerseits Amazon Web Services1AWS EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg (AWS), eine EU Tochter des US Konzerns Amazon, als Unterauftragnehmer beauftragte.

Letzteres blieb nicht lange unbemerkt, da es selbstredend im Vertrag zur Auftragsverarbeitung, den Schulen bei der Beauftragung des Messengers mit SVA GmbH abschließen, nachzulesen ist. Und so kam es dann zu einer kleinen Anfrage im Landtag NRW2Es waren genau genommen zwei kleine Anfragen zum Thema, Drucksache 17/10918 und 17/11265 und einem daraus folgenden Bericht bei Westpol. Bei Schulen, die den Messenger schon beauftragt hatten oder dieses planten, führte alles dieses zu großer Verunsicherung. Die Beunruhigung ist verständlich, denn als US Anbieter unterliegt auch AWS mit seinen Serverstandorten in Europa dem US amerikanischem CLOUD-Act. US Ermittlungsbehörden können von US Unternehmen, die Server in der EU betreiben, die Herausgabe von personenbezogenen Daten verlangen. Zwar können diese sich vor Gericht dagegen zur Wehr setzen, wenn das Ansinnen der US Ermittler lokalem Datenschutzrecht widerspricht, doch nicht immer sind US Firmen dabei erfolgreich, und es gibt auch Anfragen, die geheim sind3sogenannte GAG Orders und deshalb nicht gerichtlich abgewehrt werden können.

Die kleine(n) Anfrage(n) wurden Anfang Oktober 2020 von der Landesregierung beantwortet und die Antwort ist als Drucksache MMD17-11271 über das Dokumentenarchiv des Landtags einsehbar. Sie lautet kurz gefasst:

Datenschutzbedenken bestehen […] nicht.

Aus der Antwort erfährt man, dass das Land „einen öffentlich bestellten und vereidigten IT-Sachverständigen einbezogen“ hat, um bei der Erstellung einer Leistungsbeschreibung  wie auch der Ausschreibung für den Messenger Unterstützung zu erhalten. Da man zu dem Schluss kam, dass der Messenger nur als Cloud Lösung umsetzbar ist, wurde vom Land NRW bereits im Vergabeverfahren die Nutzung von AWS als Cloud-Anbieter vorgesehen. Man hat sich hier von den projektbetreuenden Fachleuten leiten lassen.

Die projektbetreuenden IT Sachverständigen hatten eine besondere Expertise für die Umsetzung eines Projekts dieser Größenordnung in der AWS-Umgebung. Die Umsetzung mit AWS ermöglicht eine den qualitativen Anforderungen entsprechende Durchführung eines so großen Projekts.

Den CLOUD-Act, dem AWS als US Unternehmen unterliegt, schätzt das Land nicht als Risiko ein und führt dafür drei Gründe an:

  1. Eine Übermittlung von personenbezogenen Daten des Messengers aus der AWS Datenregion nach außerhalb der EU, etwa in die USA ist nur zulässig, wenn der Verantwortliche, hier die Schule, diesem zuvor zustimmt.
  2. Wenn es durch US Ermittlungsbehörden ein Verlangen auf Zugriff auf Daten von Nutzern des Messengers gäbe, dann nur, wenn gegen einen Nutzer des Messengers „ein Ermittlungsverfahren einer amerikanischen Strafverfolgungsbehörde eröffnet werden würde.“ Dieses wäre dann ein Rechtsvorgang wie auch in Deutschland, da einem solchen Ermittlungsverfahren „eine rechtmäßige Verfügung einer amerikanischen Ermittlungsbehörde oder eines amerikanischen Gerichts“ vorausgehe.4        Diese Einschätzung des CLOUD-Acts dürfte ihresgleichen in der Fachwelt suchen. Die Problematik des CLOUD-Act besteht nicht darin, dass US Ermittler möglicherweise außerhalb von geltendem US Recht handeln. Vielmehr erfolgen Zugriffe von US Ermittlungsbehörden auf der Basis des CLOUD-Act außerhalb von internationalem Recht, wie etwa bei einem Ermittlungshilfeabkommen. Das heißt, es gibt keinen Vertrag zwischen der EU und den USA, durch welchen Zugriffe von US Ermittlungsbehörden auf personenbezogene Daten innerhalb der EU auf der Grundlage des CLOUD-Act legitimiert werden. Dadurch stellen diese Zugriffe einen Verstoß gegen die DS-GVO dar.
    Der Fachjurist Carlo Pilz setzt sich in dem Beitrag Schrems II: US CLOUD Act kein Problem? Zumindest nach Ansicht der Landesregierung NRW mit der Einschätzung des CLOUD-Acts durch die Landesregierung auseinander.
  3. Sollte es zu einem Zugriffsbegehren auf personenbezogene Daten von Nutzern des Messengers kommen, wären die von AWS an US Ermittlungsbehörden herausgegebenen Daten für diese wertlos, da sie einmal durch die Ende-zu-Ende-Verschlüsselung während Übermittlung und Speicherung und zusätzlich durch die vom Dienstleister
    SVA eingerichtete Verschlüsselung der in AWS abgelegten Daten geschützt sind.

Der Kern des Sicherheitskonzeptes von Logineo NRW Messenger ist demnach die Sicherheit des Messengers selbst und darüber hinaus Sicherheitsmaßnahmen des Dienstleisters zum Schutz von Daten, die nicht durch die Funktionalitäten des Messengers selbst geschützt werden. Das Matrix Protokoll gilt als sehr sicher und der Messenger verschlüsselt die Kommunikation der Nutzer automatisch.5In den Unterstützungsmaterialien des MSB wie auch den FAQ wird auf die Bedeutung der Ende-zu-Ende Verschlüsselung hingewiesen und die Sicherung der Schlüssel erklärt. Die Nutzung von AWS lässt sich im Fall des Messengers aus datenschutzrechtlicher Sicht dadurch vertreten, dass die Daten der Nutzer vor Zugriffen durch US Ermittlungsbehörden durch ihre Verschlüsselung ausreichend geschützt sind.

Solange das Matrix Protokoll keine Sicherheitslücken aufweist und die Maßnahmen des Dienstleisters ausreichend sicher sind, sollten aus der Nutzung des Logineo NRW Messengers für Schüler und Lehrkräfte auch mit sensiblen Inhalten keine Risiken entstehen.

Lehrer fotografieren mit ihrem Smartphone in der Schule

Lesezeit: 3 Minuten

Im Zeitalter des Smartphones ist die beste Kamera die, welche man dabei hat. Das ist in der Regel das Smartphone. Digitale Kameras sind an Schulen zwar vorhanden, aber müssen erst ausgeliehen werden. Also Smartphone. Und deshalb kommt immer wieder die Frage auf, ob Lehrkräfte mit ihren Smartphones Aufnahmen von Schülern machen dürfen. Anlage 3 der VO-DV I listet abschließend eine Reihe von personenbezogenen Daten von Schülern und Erziehungsberechtigten, welche Lehrkräfte mit einem privaten Endgerät, für welches sie die Genehmigung der Schulleitung eingeholt haben, auf der Rechtsgrundlage des Schulgesetzes NRW verarbeiten dürfen. Fotos finden sich dort nicht aufgeführt. Im Genehmigungsvordruck ist die Auflistung aus Anlage 3 jedoch unter 3.3 erweitert um mögliche personenbezogene Daten, welche Lehrkräfte mit Genehmigung der Betroffenen auf ihren privaten Endgeräten verarbeiten dürfen.

3.3 Daten, die von Lehrer/innen auf Basis wirksamer Einverständniserklärungen verarbeitet werden dürfen

Darunter finden sich auch Fotos. Die Auflistung kann, wie die zur Genehmigung herausgegebene Handreichung erklärt, an jeder Schule unterschiedlich sein.

Es ist, und darum geht es hier, also problemlos möglich, dass Lehrkräfte mit ihren privaten Smartphones im Schulalltag Fotos von Schülerinnen und Schülern machen. Dieses setzt zunächst die Genehmigung der Schulleitung für die Nutzung des Smartphones zur Verarbeitung von personenbezogenen Daten aus der Schule voraus. Dazu braucht es dann noch die Einwilligung der Betroffenen.

Hinweise

  • Laut der Handreichung zur Genehmigung können Betroffene die Einwilligung auch gegenüber der jeweiligen Lehrkraft erklären.
    • „Unter Punkt 3.3 sind alle Daten aufgeführt, die eine Lehrkraft automatisiert auf privaten Endgeräten verarbeiten darf, wenn der oder die einzelne Betroffene ihr bzw. der Schule die Einwilligung zur Verarbeitung erteilt hat.“1Handreichung zur Genehmigung – abgerufen am 15.08.2020
  • Da Einwilligungen an der Schule sonst grundsätzlich gegenüber der Schulleitung abzugeben sind, empfiehlt es sich, auch hier vor allem bei jüngeren Schülerinnen und Schülern diesen Weg zu wählen. Wenn eine Lehrkraft eine Klasse 9 neu übernimmt und möchte gerne Fotos der Schüler in ihr Noten App aufnehmen, um die Namen schneller lernen zu können, so kann sie die Einwilligung hier sicher auch unkompliziert mündlich einholen. Geht es um mehr, etwa Fotos auf einer Klassenfahrt, Videoaufnahmen im Sport, so sollte die Einwilligung immer schriftlich eingeholt werden, um sie im Zweifelsfall nachweisen zu können, und eben so, dass sie gegenüber der Schulleitung erteilt wird.
  • In der Genehmigung für die Verarbeitung von personenbezogenen Daten auf privaten Endgeräten ist es durchaus möglich, diese für das Smartphone auf das Anfertigen von Fotos einzuschränken, falls die Schulleitung der Ansicht ist, dass ein Smartphone für die Verarbeitung anderer personenbezogener Daten aus der Schule nicht geeignet ist.
  • Lehrkräfte müssen bei der Nutzung eines Smartphones für Fotografien von Schülerinnen und Schülern in der Lage sein, Synchronisation und Backup der Aufnahmen in eine Anbieter Cloud oder eine privat genutzte Cloud per Einstellung zu unterbinden.
  • Nach der Anfertigung sollten die Fotos auf einen Dienstrechner übertragen und vom Smartphone gelöscht werden.

Alternative Lesart der Handreichung

Der Abschnitt

  • „Unter Punkt 3.3 sind alle Daten aufgeführt, die eine Lehrkraft automatisiert auf privaten Endgeräten verarbeiten darf, wenn der oder die einzelne Betroffene ihr bzw. der Schule die Einwilligung zur Verarbeitung erteilt hat.“2Handreichung zur Genehmigung – abgerufen am 15.08.2020

lässt auch eine alternative Lesart zu. Die Formulierung sagt nicht, dass ausdrücklich in die Verarbeitung auf dem Gerät einer Lehrkraft eingewilligt werden muss. Es wird lediglich in die Verarbeitung von bestimmten Daten durch die Schule und damit auch durch die Lehrkraft eingewilligt. Hinzu kommt, auch alle in Anlage 3 der VO-DV I gelisteten Daten können ohne ausdrückliche Einwilligung der Betroffenen auf privaten Endgeräten der Lehrkräfte verarbeitet werden, sofern sie die Genehmigung der Schulleitung dafür haben.

Schließt man sich dieser Lesart an, braucht es keine Einwilligung, in welcher explizit eingewilligt wird, dass die betreffenden Daten auch auf den privaten Endgeräten von Lehrkräften verarbeitet werden dürfen.

Schulische Plattformen verbindlich einführen?

Lesezeit: 3 Minuten
Die LDI NRW hat im Oktober 2020 eine aktualisierte Fassung der Schrift Pandemie und Schule veröffentlicht. Diesem Beitrag liegt aktuell noch die ältere Version zugrunde. Die beiden Versionen unterscheiden sich vor allem darin, dass die neuere Version die mittlerweile veröffentlichte überarbeitete Version des SchulG NRW berücksichtigt. Dieser Beitrag muss noch entsprechend angepasst werden. Die wesentlichen Aussagen ändern sich allerdings nicht.

Im Mai 2020 hat die LDI NRW die Schrift LDI NRW – Pandemie und Schule veröffentlicht und diese Schrift hat es in sich. Man muss sie sehr genau durchlesen und findet Erstaunliches.

Die LDI NRW hält es für vertretbar, E-Learning-Plattformen und Videokonferenz Plattformen verbindlich einzuführen.

Sie stützt diese Einschätzung auf die anstehenden Änderungen des Schulgesetz NRW.1Siehe dazu auch den Beitrag Obligatorische Einführung einer Plattform und dort den Abschnitt „Obligatorisch auch jetzt schon denkbar?“ Dort werden die rechtlichen Grundlagen geschaffen, um Plattformen wie itsLearning, Moodle, iServ, Logineo NRW und ähnlich für Schüler und Lehrkräfte verbindlich einzuführen.

In der Schrift heißt es auf Seite 9 und 10:

Im Vorgriff auf die ausdrücklich vorgesehene Gesetzesänderung ist es aus Sicht der LDI NRW hinnehmbar, die Verarbeitung der zum Einsatz von E-Learning-Plattformen erforderlichen Daten vorübergehend noch auf die genannten Generalklauseln zu stützen. Voraussetzung hierbei ist, dass die Verarbeitung dieser Daten entsprechend dem Gesetzeswortlaut im Verantwortungsbereich der Schule erfolgt, d.h. entweder durch sie selbst oder indem durch Regelungen in einem Auftragsverarbeitungsvertrag sichergestellt ist, dass sie „Herrin der Daten“ ist.

Das heißt, die LDI NRW hält es für vertretbar, auch jetzt schon, noch vor Veröffentlichung der Änderung des Schulgesetzes, eine Plattform2Der Begriff E-Learning-Plattform ist nicht fest definiert. Es könnte hier sicherlich auch eine Arbeitsplattform wie CollaboraOnline drunter gefasst werden. an einer Schule verpflichtend einzuführen, wenn man sich dabei auf die sehr weit gefassten Generalklauseln in § 120 Abs. 1 Satz 1 und §121 Abs. 1 Satz 1 SchulG NRW stützt.

Wichtig ist dabei jedoch, dass diese Möglichkeit an Bedingungen geknüpft ist. 

  1. Die Schule muss Herrin der Daten sein. Dazu muss sie die Daten entweder selbst verarbeiten oder sie lässt sie im Rahmen eines Vertrag zur Auftragsverarbeitung durch einen Dienstleister verarbeiten.
  2. Eine Datenverarbeitung darf nur im Rahmen des Erforderlichen erfolgen; eine Protokollierung von Systemzugriffen zur Wahrung der Sicherheit der Systeme ist aus datenschutzrechtlicher Sicht erforderlich und damit zulässig. Nicht erforderlich und damit unzulässig wäre hingegen ein Zugriff der Lehrkräfte auf die Protokolldaten zur Kontrolle des Arbeitsverhaltens ihrer Schülerinnen und Schüler oder der Schulleitung zur Kontrolle des Arbeitsverhaltens der Lehrkräfte.
  3. Die betroffenen Personen, Schüler und Lehrkräfte, müssten über die verpflichtende Nutzung vorab entsprechend Art. 12 DS-GVO informiert werden.
  4. Es muss gewährleistet sein, dass alle Betroffenen die digitalen Module nur im zulässigen Umfang nutzen können. Dieses wird durch technische und organisatorische Maßnahmen geregelt, etwa entsprechende Voreinstellungen in der Plattform und gegebenenfalls Nutzungs- bzw. Dienstvereinbarungen.
  5. Es muss gewährleistet sein, dass alle Betroffenen die digitalen Module auch tatsächlich nutzen können. Die LDI NRW vertritt hier die Ansicht, dass Lehrenden und Lernenden entsprechende dienstliche Geräte zur Verfügung gestellt werden müssten.3In der Praxis wird es aber darauf hinauslaufen, sicherzustellen, dass alle Betroffenen zu Hause zumindest über entsprechende private Endgeräte verfügen und einen ausreichenden Internetanschluss. Ist solches nicht sicherzustellen, muss die verbindliche Nutzung auf die Schule beschränkt bleiben.

Auch bezüglich Videokonferenzen sieht die LDI NRW (S. 12) eine Möglichkeit, eine solche Plattform zur Aufrechterhaltung des Unterrichts- oder Konferenzbetriebs verbindlich für Schüler und Lehrkräfte einzuführen. Allerdings knüpft sie daran über die oben aufgeführten weitere Bedingungen. Diese gelten sowohl für den Austausch via Videokonferenz Plattform zwischen Lehrkräften und Schülern wie auch zwischen Lehrkräften oder Lehrkräften und der Schulleitung:

  1. Die Schulleitung muss es während der Schulschließungen und der weitgehenden Kontaktverbote zur Aufrechterhaltung des Unterrichts- und Schulbetriebs für erforderlich erachten, derartige Videokonferenzen durchzuführen.
  2. Diese Möglichkeit zur verbindlichen Einführung einer Videokonferenz Plattform endet mit der Wiederaufnahme des normalen Schul- und Unterrichtsbetriebs, da sich damit eine solche Erforderlichkeit nicht mehr begründen lässt.
  3. Eine Aufzeichnung von Bild- und Tondaten ist nicht zulässig, da diese nicht zur Aufrechterhaltung des Unterrichts- und Schulbetriebs erforderlich ist. Dass keine Aufzeichnung erfolgt, ist durch geeignete technische und organisatorische Maßnahmen sicherzustellen. In BigBlueButton dürften so beispielsweise Räume von Vornherein nicht mit Aufnahmefunktion angelegt werden. Teilnehmer an Videokonferenzen müssten darauf verpflichtet werden, dass sie auch mit Mitteln von Betriebssystemen oder spezieller Software keine Aufzeichnungen anfertigen.
  4. Es muss sichergestellt sein, dass an einer Videokonferenz nur berechtigte Personen teilnehmen. Das heißt, Eltern, Geschwister und andere Familienmitglieder oder Freunde dürfen nicht teilnehmen, zuschauen oder zuhören. Entsprechendes ist in einer Verpflichtung der Teilnehmer zu berücksichtigen.

Für die Auswahl geeigneter Videokonferenzplattformen hat die LDI NRW sogenannte Leitplanken für die Auswahl von Videokonferenzsystemen während der Kontaktbeschränkungen aufgrund der Corona-Pandemie erstellt.

Schulen in NRW, die sich mit dem Gedanken tragen, eine E-Learning- oder Videokonferenz Plattform verbindlich einzuführen, sollten dabei sehr umsichtig vorgehen und sich vorab unbedingt mit ihrem behördlich bestellten schulischen Datenschutzbeauftragten beraten. Eine Übersicht über diese Datenschutzbeauftragten gibt es bei der Medienberatung NRW.

Auch wenn es sich bei der (vorübergehenden) verbindlichen Einführung einer Videokonferenz Plattform um eine Entscheidung der Schulleitung handelt, sollten die Mitbestimmungsgremien der Schule – SV, Elternpflegschaft, Lehrerrat und Schulkonferenz – in die Entscheidung mit einbezogen werden. Bei der Einführung einer E-Learning-Plattform ist die Einbeziehung der Mitbestimmungsgremien unverzichtbar.

Wer sich ausführlicher mit dem Thema der obligatorischen Einführung von Plattformen an Schulen, mit Beispielen aus Bayern und Bremen, beschäftigen möchte, sei auf den Beitrag Obligatorische Einführung einer Plattform verwiesen.

Stand 05/2020

Teilnahme am Unterricht über Video – geht das?

Lesezeit: 6 Minuten
Hinweis – spätestens mit der Verabschiedung der Zweiten Verordnung zur befristeten Änderung der Ausbildungs- und Prüfungsordnungen gemäß § 52 SchulG vom 02.10.2020 ist klar, dass die Hürden für eine verpflichtende Nutzung zur Erteilung von bzw. zur Teilnahme am digitalen Distanzunterricht per Videokonferenz sehr hoch gesetzt sind. Aktuell dürfte es in NRW an keiner Schule aus datenschutzrechtlicher Sicht möglich sein, Schüler oder Lehrkräfte zum Distanzunterricht per Videokonferenz zu verpflichten.

Dazu gibt es jetzt einen neuen Beitrag – Distanzunterricht – rechtliche Vorgaben und Möglichkeiten

Die Technik macht es möglich. Schüler können von zu Hause über Videokonferenz Plattformen am Unterricht ihrer Klasse teilnehmen. Gerade in Zeiten von Corona ist diese Möglichkeit von Interesse, vor allem dann, wenn Schüler entweder selbst zu einer Risikogruppe gehören oder Familienangehörige mit Vorerkrankungen haben und aus diesem Grund nicht in die Schule kommen können, um am Unterricht teilzunehmen. Es stellt sich deshalb die Frage, ob solches aus schul- und datenschutzrechtlicher Sicht möglich ist?

Die Rechtslage

Die Aufzeichnung von Unterricht in Form von Audio oder Video und die Übermittlung von Bild- und Tondaten des Unterrichts im Rahmen einer Videokonferenz sind aus datenschutzrechtlicher Sicht nicht unproblematisch. Es geht um einen Eingriff in die Grundrechte, für den sich im Schulgesetz NRW bislang keine Reglung findet, welche die Durchführung von Videokonferenzen zwischen Lehrkräften und Schulleitungen oder Lehrkräften und Schülern oder Schülern untereinander legitimiert. Dabei ist es unerheblich, ob es um Aufzeichnungen, Streaming, Mithören über Telefon oder Teilnahme über eine Videokonferenz Plattform geht. Da das Thema Videoübertragung von Unterricht im Schulgesetz aktuell nicht einmal vorgesehen ist, bleiben zur rechtlichen Orientierung nur die  Vorgaben zur Audio- und Videoaufzeichnung. Das liegt nache, denn genau genommen findet auch bei einer Videokonferenz eine sehr kurzfristige Zwischenspeicherung dieser Daten statt, da ohne diese rein technisch gesehen keine Übermittlung möglich wäre.1Diese Übertragung von Bild- und Tondaten in einen Puffer stellt allerdings keine perpetuierbare Speicherung dar, denn sie ist nur vorübergehend und ist damit mit einer Speicherung im Sinne auf Aufzeichnung von Videoaufnahmen nicht gleichzusetzen.

In der neuen Fassung des Schulgesetzes von Mai 2020 sind Aufnahmen des Unterrichts gemäß §120 Abs. 6 nur mit Einwilligung der Betroffenen zulässig.

„Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen bedürfen der Einwilligung der betroffenen Personen. Die Einwilligung muss freiwillig erteilt werden. Den betroffenen Personen dürfen keine Nachteile entstehen, wenn sie eine Einwilligung nicht erteilen.“
Ein entsprechender Passus findet sich auch für §121 Abs. 1. Satz 2 bezüglich der Rechte der Lehrkräfte.

Damit ist klar, mit einer Einwilligung der Betroffenen, das meint Schüler wie Lehrkräfte, sind Bild- und Tonaufzeichnungen möglich. Dem Sinn und Zweck dieser Regelung nach lässt sich dieses auch auf eine Übertragung anwenden. Das heißt, mit Einwilligung der Betroffenen kann eine Videokonferenz oder auch ein Streaming des Unterrichts stattfinden.

Möglichkeiten der Umsetzung

In den meisten Fällen wird man davon ausgehen können, dass Einwilligungen erteilt werden, sofern bei den Betroffenen keine Zweifel an der Sicherheit der genutzten Plattform bestehen oder sie sonst grundsätzliche Einwände haben. Doch selbst wenn einige Personen die Einwilligung verweigern, kann es möglich sein, trotzdem eine Videoübertragung des Unterrichts bzw. die Teilnahme eines Schülers per Videokonferenz am Unterricht der Klasse zu realisieren. Das wird im folgenden beschrieben.

Normalfall

Das Schulgesetz geht vom Normalfall aus. Es herrscht keine Ausnahmesituation wie im Falle einer Pandemie.

Eine Einwilligung setzt immer eine Freiwilligkeit voraus und eine Information über die Datenverarbeitung. Mit letzteren können die  Betroffene die für sie möglicherweise entstehenden Risiken abwägen, um eine Entscheidung zu treffen. Da Schüler verpflichtet sind, am Unterricht teilzunehmen, kann eine Freiwilligkeit nur dann bestehen, wenn es gleichwertige Alternativen gibt. Das könnte das Angebot sein, am Unterricht einer Parallelgruppe teilzunehmen.

In normalen Zeiten, wenn es nur darum geht, den Unterricht einem Schüler im Krankenhaus zugänglich zu machen, wäre eine solche Alternative durchaus umsetzbar, in Zeiten von Corona mit festen Lerngruppen dürfte solches schwierig sein. Sollten Schüler hier die Einwilligung verweigern, kann dieses nur bedeuten, dass eine Teilnahme des Mitschülers über eine Videokonferenz Plattform nicht möglich ist oder eine Alternative gefunden werden muss, die Teilnahme des Mitschülers zu ermöglichen, ohne dabei die Rechte der anderen Schüler zu beeinträchtigen.

Eine solche Möglichkeit könnte darin bestehen, dass die Kamera des Laptops, Tablets oder Smartphones, über welche die Videokonferenz Plattform läuft, nur auf den Teil der Klasse gerichtet sein, wo die Tafel bzw. das Display und die Lehrkraft sich befinden. Um die Schüler, welche ihre Einwilligung verweigern, nicht über das Mikrofon des Laptops/ Tablets/ Smartphones zu erfassen, wäre es einmal möglich, das Mikrofon jeweils stummzuschalten, wenn der betroffene Schüler einen Wortbeitrag macht. Alternativ könnte die Lehrkraft ein kleines mit dem Endgerät gekoppeltes Ansteckmikrofon tragen, welches nur die eigene Stimme erfasst. Die Schüler, welche nicht Teil der Videoübertragung sein möchten, sollten weiter hinten im Raum sitzen. Besteht die technische Möglichkeit wie beschrieben nicht, muss auf eine Videokonferenz Schaltung verzichtet werden.

Bei den Lehrkräften gibt es die Möglichkeit einer Alternative nicht. Hier kann nur eine Einwilligung erteilt oder verweigert werden. Im Falle der Verweigerung müsste man sehen, ob man dem Mitschüler, der von zu Hause teilnehmen möchte, die Teilnahme am Unterricht einer Parallelgruppe ermöglichen kann. Geht auch dieses nicht, ist eine Teilnahme des Mitschülers über eine Videokonferenz Plattform nicht möglich.

Eine Einwilligung ist auch von dem von von seinem Zuhause aus teilnehmenden Schüler einzuholen. Außerdem sollte dieser Schüler eine Unterlassungserklärung unterzeichnen, mit welcher er sich verpflichtet, keine Aufzeichnungen von der Videokonferenz anzufertigen oder andere Personen im Haushalt oder online daran teilnehmen zu lassen.

Vorlagen für Einwilligungen

Die beiden folgenden Vorlagen sind für die Schüler in der Klasse gedacht. Für die Schüler, die von zu Hause aus teilnehmen, nimmt man eine der Vorlagen für Jitsi, BigBlueButton, Teams, Zoom oder erstellt damit eine eigene für eine andere Videokonferenz Lösung.

Folgende Vorlage geht davon aus, dass ein Schüler über ein an ein Speakerphone (Bluetooth Lautsprecher mit Mikrofon) gekoppeltes Smartphone der Lehrkraft am Unterricht der Klasse aktiv teilnimmt.

Diese Vorlage geht von einer Teilnahme per Videokonferenz Plattform aus. Es sollte dazu ein Anbieter gewählt werden, der alle schul- und datenschutzrechtlichen Anforderungen zweifelsfrei erfüllt und mit dem ein Vertrag zur Auftragsverarbeitung abgeschlossen werden kann.

 

Stand: 01/2021

 


In der vorherigen Version dieses Beitrags von ursprünglich Mai 2020 war auch eine Möglichkeit beschrieben, wie die Nutzung von Videokonferenzen unter besonderen Bedingungen während der Pandemie von der Schulleitung verpflichtend vorgeschrieben werden kann, um den Unterrichts- und Schulbetrieb aufrechtzuerhalten. Diese von der LDI NRW beschriebene rechtliche Möglichkeit bestand jedoch allenfalls für einen relativ kurzen Zeitraum vor Verabschiedung der Zweiten Verordnung zur befristeten Änderung der Ausbildungs- und Prüfungsordnungen gemäß § 52 SchulG im Oktober 2020 und der Überarbeitung des Schulgesetzes NRW im September 2020. Da vor allem in der Zweiten Verordnung vom Land NRW explizit Regelungen für den Distanzunterricht getroffen wurden, sehe ich aus datenschutzrechtlicher Sicht keine Möglichkeiten, die von der LDI NRW beschriebenen Möglichkeiten auch in der aktuellen Situation von Schulschließungen umzusetzen, ohne dabei gegen geltendes Recht zu verstoßen. Der Vollständigkeit wegen ist der im oberen Text nun nicht mehr vorhandene Text hier aufgeführt.

 

Ausnahmesituation – Pandemie

Im Mai 2020 äußerte sich die LDI NRW in der Schrift Pandemie und Schule zur Problematik von Videokonferenzen in Zeiten von COVID19. Sie hält darinne einen anderen datenschutzrechtlichen Ansatz für vertretbar:

„Die Durchführung von Videokonferenzen einschließlich der damit verbundenen erforderlichen Datenverarbeitung könnte temporär auf die o.g. schulrechtlichen in Generalklauseln in § 120 Abs. 1 Satz 1 und 121 Abs. 1 Satz 1 SchulG gestützt werden, soweit es die Schulleitung während der Schulschließungen und der weitgehenden Kontaktverbote zur Aufrechterhaltung des Unterrichts- und Schulbetriebs für erforderlich erachtet, derartige Videokonferenzen durchzuführen.“

Gleichzeitig macht die LDI NRW aber auch klar, dass eine solche Möglichkeit nur in sehr engen Grenzen besteht. Dazu gehört beispielsweise, dass die Schule Herrin der Daten ist. Das bedeutet, sie betreibt die Videokonferenzplattform entweder selbst oder nutzt einen Anbieter, der einen Vertrag zur Auftragsverarbeitung anbietet. Das ist am ehesten der Fall bei Anbietern aus Deutschland oder der EU. Im Idealfall steht der Schule eine vom Schulträger, einem beauftragten IT Dienstleister oder dem Land bereitgestellte Videokonferenz Plattform zur Verfügung. Siehe dazu auch Videokonferenz Plattformen in Schule nutzen. Darüber hinaus darf keine Aufzeichnung von Bild- und Tondaten erfolgen und es dürfen keine anderen Personen an der Videokonferenz teilnehmen. Dieses ist dann durch geeignete organisatorische Maßnahmen sicherzustellen.

Interessant ist in diesem Zusammenhang auch eine Aussage des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) zum Thema Videokonferenzen in der Schule in Zeiten von Corona. In dem Beitrag „Videokonferenzsysteme in Schulen“ heißt es:

„Bei Schulschließungen zur Bewältigung der Corona-Krise können Videokonferenzen einen wesentlichen Beitrag zur Erfüllung des staatlichen Bildungs- und Erziehungsauftrags leisten. Der HBDI geht daher davon aus, dass für die Dauer der Krisenbewältigungsmaßnahmen die gegenwärtig erhältlichen Videokonferenzsysteme aufgrund einer vorläufigen positiven Beurteilung gemäß Art. 6 Abs. 1 Buchs. d) und e) DS-GVO als erlaubt gelten.“

Das ist in sofern sehr interessant, als dass der HBDI Schulen hier die Möglichkeit zugesteht, Videokonferenz Plattformen ohne eine Einwilligung der Betroffenen zu nutzen. Schulen erhalten so einmal die Möglichkeit, die zur Durchführung von Videokonferenzen erforderliche Datenverarbeitung auf Art. 6 Abs. 1 lit. d DS-GVO abzustellen. Das ist der Fall, wenn es darum geht, „lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen“ – in dem Fall die Gesundheit von Schülern und Lehrkräften mit Vorerkrankungen oder Familienangehörigen mit Vorerkrankungen. Diese erhalten dadurch ein Recht darauf, per Videokonferenz am Unterricht teilzunehmen. Außerdem können Schulen die erforderliche Verarbeitung von personenbezogenen Daten auf Art. 6 Abs. 1 lit. e DS-GVO abstellen, um mit der Durchführung von Videokonferenzen ihrem staatlichen Bildungs- und Erziehungsauftrag in der Wahrnehmung einer Aufgabe nachzukommen, „die im öffentlichen Interesse liegt“.

Auch wenn in diesem Fall keine Einwilligung der Betroffenen eingeholt werden muss, so ist doch die Erteilung von Informationen nach Art. 12 DS-GVO weiterhin erforderlich.

Die Äußerungen der beiden Landesbeauftragen für Datenschutz haben eines gemein. Sie vertreten beide die Auffassung, dass in der Ausnahmesituation einer Pandemie die sonst in Normalzeiten geltenden Regelungen zur Durchführung von Videokonferenzen außer Kraft gesetzt werden können, um grundlegendere Rechte der Betroffenen zu wahren, nämlich die Aufrechterhaltung des Unterrichts- und Schulbetriebes (LDI NRW), und die lebenswichtigen Interessen der Betroffenen selbst oder einer anderen Person zu schützen.

Die Ausnahmesituation besteht im Falle von vorerkrankten Schülern, die nicht am Präsenzunterricht teilnehmen können, zwar nicht mehr für eine ganze Schule oder ganze Klassen fort, doch es sollte sich diese Sachlage der gleiche datenschutzrechtlich Ansatz vertreten lassen.

Eine Schulleitung könnte sich dadurch auf diese beiden Aussagen stützen und einzelnen Schülern, die durch Vorerkrankung nicht am Präsenzunterricht teilnehmen können, eine Teilnahme über Videokonferenzschaltung ermöglichen, ohne dafür die Einwilligung der Schüler und Lehrkräfte einzuholen. Sie sollte dazu eine Richtlinie erstellen, in welcher geregelt ist, wann, in welcher Form und in welchem Umfang die Videoübertragung durchgeführt werden darf. Die Begründung dafür sollte sie schriftlich niederlegen und den Betroffenen transparent machen, warum sie diesen Weg geht. Darüber hinaus müsste sie die Betroffenen über die erforderliche Datenverarbeitung gemäß Art. 12 DS-GVO informieren und von dem vorerkrankten Schüler und den Eltern eine Unterlassungserklärung unterzeichnen lassen, in welcher sich diese Personen dazu verpflichten, die vorgegebenen Regeln einzuhalten, etwa dass die Videoübertragung nicht aufgezeichnet oder in anderer Form dritten zugänglich gemacht wird und dass keine anderen Personen als Zuschauer oder Zuhörer während der Übertragung zugegen sind.

Notbetreuung in Corona Zeiten

Lesezeit: 2 Minuten

Die Corona Pandemie hat es erforderlich gemacht, dass Schulen für die Kinder von Personen, die in kritischen Berufen tätig sind, eine Notbetreuung anbieten. Eltern können für die Anmeldung ein vom Ministerium für Schule und Bildung vorgegebenes Formular1Neben dem Formular des MSB gibt es nach Aussagen des MSB auch Formulare von Schulträgern, die akzeptiert werden sollen: „Eine Reihe von Schulträgern hat ebenfalls Formulare bereitgestellt. Schulleitungen sollten alle Formulare, die ihnen vorgelegt werden, zunächst akzeptieren.“ Corona Virus Notbetreuung FAQ Stand 21.04.2020  (die FAQ ist mittlerweile nicht mehr verfügbar – 29.08.2020) ausfüllen, um der Schule gegenüber den Nachweis eines Anrechts auf Notbetreuung des Kindes zu erbringen. Schulen müssen die dafür erforderlichen Daten erheben und die Anzahl der Schüler an die Schulaufsichtsbehörden übermitteln.

Die Rechtsgrundlagen

Wie jede Datenerhebung und -verarbeitung ist es auch hier erforderlich, die Betroffenen entsprechend Art. 13 DS-GVO zu informieren und im Verzeichnis der Verarbeitungstätigkeiten eine Beschreibung der Verarbeitungstätigkeit anzulegen. Die rechtliche Grundlage für die Erhebung und Verarbeitung der Daten aus dem Formular liefert Abs. 1 Satz 1 § 120 Schulgesetz NRW.

Schulen und Schulaufsichtsbehörden dürfen personenbezogene Daten der Schülerinnen und Schüler, der in § 36 genannten Kinder sowie der Eltern verarbeiten, soweit dies zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben erforderlich ist.

Die erforderliche Übermittlung regelt Abs. 5 Satz 2 § 120 Schulgesetz NRW

Die Übermittlung an andere öffentliche Stellen ist zulässig, wenn sie zur Erfüllung einer gesetzlichen Auskunfts- oder Meldepflicht erforderlich ist, ein Gesetz sie erlaubt oder die oder der Betroffene im Einzelfall eingewilligt hat.

Die „durch eine Rechtsvorschrift übertragene Aufgabe“ ergibt sich aus der Corona-Betreuungsverordnung des Ministeriums für Arbeit, Gesundheit und Soziales vom 16.04.2020. Dort heißt es zunächst, dass „alle öffentlichen Schulen, Ersatzschulen und Ergänzungsschulen im Sinne des Schulgesetzes für das Land Nordrhein-Westfalen“ geschlossen sind. Es werden in §1 Abs. 2 CoronaBetrVO Ausnahmen definiert.

(2) Ausgenommen von Absatz 1 sind […] 2. die Betreuung von Schülerinnen und Schülern, in der Regel der Jahrgangsstufen 1 bis 6, mit besonderem Betreuungsbedarf im Sinne von § 3 Absatz 1 in einer Vor-Ort-Betreuung (Notbetreuung) in den Schulräumlichkeiten. Das Nähere regelt das Ministerium für Schule und Bildung durch Erlass (insbesondere mittels sog. SchulMails);

Darüber hinaus weist das Ministerium für Arbeit, Gesundheit und Soziales den Schulen in der Leitlinie zur Bestimmung des Personals kritischer Infrastrukturen mit Stand vom 15. März 2020 die Aufgabe zu, die Entscheidung zu treffen, ob ein Kind, „dessen Eltern zu dem Kreis der im Bereich kritischer Infrastrukturen beruflich Tätigen gehört,“ zur Betreuung an der Schule aufgenommen wird. Dazu ist das ausgefüllte Formular erforderlich.

II. Regelungen
1. Die Entscheidung, ein Kind zur Betreuung in der Schule oder Kindertageseinrichtung aufzunehmen, dessen Eltern zu dem Kreis der im Bereich kritischer Infrastrukturen beruflich Tätigen gehört, treffen die Leitungen der jeweiligen Schule bzw. Kindertageseinrichtungen. Es gelten die bestehenden rechtlichen Zuständigkeiten.
2. Grundlage der Entscheidung sind: (a) der Nachweis oder die Zusicherung, dass beide Elternteile (soweit nicht alleinerziehend) nicht in der Lage sind, die Betreuung zu übernehmen, weil sie in einer kritischen Infrastruktur tätig sind, und (b) das Vorliegen (oder die Zusicherung der Vorlage) einer schriftlichen Zusicherung der jeweiligen Arbeitgeber beider Elternteile (soweit vorhanden), dass deren Präsenz am Arbeitsplatz für das Funktionieren der jeweiligen kritischen Infrastruktur notwendig ist.2 Leitlinie zur Bestimmung des Personals kritischer Infrastrukturen, Stand: 15. März 2020

Die Rechtsgrundlage für die Übermittlung der Anzahl der zur Notbetreuung angemeldeten Schüler ergibt sich aus Schulmail Nr. 6 vom 17.03.2020.

„Bitte melden Sie der Schulaufsichtsbehörde noch am 18.03.2020, wie viele Schülerinnen und Schüler Sie am Mittwoch in die Notbetreuung aufgenommen haben.“

Vorlagen

Tipp

Stellen Sie die Informationen zur Datenverarbeitung bezüglich der Notbetreuung, angepasst an Ihre Schule, auf Ihrer Schulhomepage bereit, vielleicht kurzfristig über einen Link und einen Hinweis auf der Startseite und sonst verlinkt als PDF Download dort, wo die anderen Informationen zur Datenverarbeitung entsprechend Art. 13 DS-GVO bereitgestellt werden. Die Beschreibung der Verarbeitungstätigkeit Notbetreuung nehmen Sie in Ihr Verzeichnis der Verarbeitungstätigkeiten auf. Alternativ übertragen Sie die Informationen in das Referenzverzeichnis von Verarbeitungstätigkeiten der Medienberatung NRW, falls Sie dieses nutzen.

Einwilligung ohne Papier in Zeiten von Corona

Lesezeit: < 1 Minute

In Zeiten des Corona Virus sind die Schulen geschlossen und trotzdem muss der Unterrichtsbetrieb irgendwie weiterlaufen. Auch die Kommunikation mit Schülern und Erziehungsberechtigten muss möglichst reibungslos und unaufwändig weiterhin möglich sein. Schulen setzen von daher vermehrt auf Online-Plattformen und Apps. Da diese in der Vergangenheit jedoch entweder noch nicht genutzt wurden oder nur von einem Teil der Schülerinnen, Schüler, Lehrkräfte und eventuell auch Eltern, ist es oftmals erforderlich, eine Einwilligung der Betroffenen einzuholen. Wollte man dieses in Papierform erledigen, wäre solches mit sehr viel Aufwand verbunden. Außerdem müsste damit gerechnet werden, dass die Rücklaufquote nicht 100 % ist und je nach Situation sogar extrem gering ausfallen könnte, etwa weil Person das Haus nicht verlassen können.

Was viele nicht bekannt ist, Einwilligungen können durch aus auch elektronisch von den Betroffenen eingeholt werden. Auf welcher  Rechtsgrundlage dieses für Schulen in Nordrhein-Westfalen möglich ist wie man elektronische Einwilligungen umsetzen kann, wird in dem Beitrag Einwilligung einholen ohne Papier ausführlich erklärt.

Darf Schule die Adressen ehemaliger Schüler herausgeben?

Lesezeit: 2 Minuten

Vor allem weiterführende Schulen finden sich immer einmal wieder in der Situation, dass ehemalige Schüler anfragen, ob man ihnen Listen mit Namen und Kontaktdaten ehemaliger Mitschüler und Lehrkräfte aushändigen könne, damit man diese zu einem Klassen- oder Ehemaligentreffen einladen kann. Darf die Schule diese Informationen herausgeben und wenn ja unter welchen Bedingungen?

Das Schulgesetz NRW

Ein schneller Blick in §120 Abs. 5 Satz 3 SchulG NRW erbringt folgende Ergebnis:

„Die Übermittlung von Daten der Schülerinnen und Schüler und der Eltern an Personen oder Stellen außerhalb des öffentlichen Bereichs ist nur zulässig, wenn ein rechtlicher Anspruch auf die Bekanntgabe der Daten besteht und schutzwürdige Belange der oder des Betroffenen nicht beeinträchtigt werden oder wenn die oder der Betroffene im Einzelfall eingewilligt hat.“

Anfragende ehemalige Schülerinnen und Schüler oder auch Lehrkräfte handeln im beschriebenen Fall als Privatpersonen. Sie gelten damit als Personen außerhalb des öffentlichen Bereichs und fallen unter die Regelung aus Satz 3. Aus der Absicht, ein Ehemaligentreffen zu veranstalten, lässt sich kein rechtlicher Anspruch ableiten. Die Wahrscheinlichkeit, dass man an der Schule in der Vergangenheit Einwilligungen bei den ehemaligen Schülern wie Lehrkräften eingeholt hat, ihre Kontaktdaten zum Zweck der Organisation von Ehemaligentreffen an ehemalige Schüler herauszugeben, dürfte äußerst gering sein.

Für den Fall, dass keine entsprechende Einwilligung vorliegt, darf Schule die personenbezogenen Daten der ehemaligen Schüler und Lehrkräfte nicht herausgeben.

Alternativen

Gibt es trotzdem Möglichkeiten ehemalige Mitschüler und Lehrkräfte zur Organisation eines Ehemaligentreffens zu kontaktieren? Der Kommentar zum Schulgesetz NRW115. Erg.-Lfg., SchulG NRW-Kommentar, März 2015, Katernberg, S. 81f stellt das Adressmittlungsverfahren als eine Alternative vor, wie die Schule das Anliegen der ehemaligen Schüler unterstützen kann. Die Organisatoren des Ehemaligentreffens übergeben der Schule die Anschreiben mit Bitte um Mitteilung der Kontaktdaten an das Organisatorenteam, gedruckt oder als Vorlage für die Textverarbeitung, und die Schule versieht diese mit den Adressen der Ehemaligen. Anschließend gibt die Schule die fertigen Anschreiben in den Postversand. Die Ehemaligen entscheiden dann selbst, ob sie dem Organisatorenteam ihre Kontaktdaten übermitteln wollen oder nicht.

Alternativ stehen den Organisatoren auch noch weitere Möglichkeiten offen. Sie könnten die Schule bitten, das geplante Ehemaligentreffen auf die Schulhomepage zu setzen mit der Bitte um Anmeldung durch die Ehemaligen. Das Organisatorenteam könnte neben der Schulhomepage ihr Ehemaligentreffen auch über örtliche Zeitung oder Social Media bewerben.

Andere Bundesländer

Ein Blick über die Landesgrenzen hinaus zeigt, dass die Handhabe dieses Themas in nicht in allen Bundesländern gleich ist. In Rheinland-Pfalz findet sich in ÜSchO § 89 Abs. 8 eine Regelung, die eine Rechtsgrundlage für die Weitergabe von personenbezogenen Daten ehemaliger Schüler und auch Lehrkräften an Schüler zur Organisation von Ehemaligentreffen regelt.

(8) Die Schule kann ehemaligen Schülerinnen und Schülern die zur Organisation eines Treffens geeigneten personenbezogenen Daten von ehemaligen Schülerinnen, Schülern und Lehrkräften übermitteln.

 

 

Schule – Offener Ganztag – Schulsozialarbeit & Datenschutz

Lesezeit: 3 Minuten

Was ist bezüglich datenschutzrechtlicher Vorgaben zu beachten bei der Zusammenarbeit von Schule und offenem Ganztag (OGS)? Und wie sieht es aus, wenn es um die Schulsozialarbeit geht? Diese Fragen beschäftigen viele, denn die Rechtslage erschließt sich den Beteiligten aus den Gesetzen und Verordnungen nur ungenügend. Auch ich selbst hatte hier mangels besseren Wissens bisher eher konservativ beraten und für die Weitergabe von personenbezogenen Daten an den OGS sowie Schulsozialpädagogen, die nicht nach §58 auf Lehrerstellen sitzen und somit als Landesbedienstete gelten, das Einholen einer Einwilligung zur rechtlichen Absicherung empfohlen.

In §120 Schulgesetz NRW heißt es:

„Die gespeicherten personenbezogenen Daten dürfen in der Schule nur den Personen zugänglich gemacht werden, die sie für die Erfüllung ihrer Aufgaben benötigen.“

Doch wer ist mit den Personen gemeint? Es geht um Personen in der Schule, also definitiv nicht um Personen außerhalb der Schule. Und damit ist auch klar, dass dazu neben den Lehrkräften und Schulsozialpädagogen, die nach §58 als Landesbedienstete auf Lehrerstellen sitzen, auch die Mitarbeiter im Schulsekretariat gehören, Integrationshelfer, Hausmeister und auch Eltern wie Schüler, die in Mitwirkungsgremien tätig sind1entsprechend §§ 62 ff SchulG NRW oder Eltern, welche am Unterricht teilnehmen bzw. dort in Teilbereichen mitarbeiten.2entsprechend §44 Abs. 3 SchulG NRW

Kleine Anfrage im Landtag

Im Dezember 2019 wurde dann genau dieses Thema Gegenstand einer kleinen Anfrage mit dem Titel Datenschutzrechtliche Zusammenarbeit in der Schule, im Hinblick auf den offenen Ganztag (OGT) und die Schulsozialarbeit (Drucksache 17/8328) Vier Fragen wurden der Landesregierung NRW gestellt:

  1. Welche Personengruppen werden mit der Formulierung „in der Schule nur den Personen“ (§ 120 (1) SchulG) neben Lehrer*innen (§ 57 SchulG) und weiteren Landesbedienstete nach § 58 SchulG gesehen?
  2. Welche personenbezogenen Daten dürfen den Mitarbeitern des offenen Ganztags übermittelt werden bzw. mit diesen ausgetauscht werden?
  3. Ist das Zusammenstellen einer Liste von Schüler*innen und die Weitergabe der Liste an die Mitarbeiter*innen der Multiprofessionellen Teams erlaubt? Und falls ja, aufgrund welcher Rechtsgrundlage ist das erlaubt?
  4. Plant die Landesregierung dies in einer Neufassung der VO DV I klarzustellen?

Antwort der Landesregierung

Im Januar 2020 wurden dann die Antworten auf die Anfrage als Drucksache 17/8396 veröffentlicht. Dabei wurde deutlich, dass die Landesregierung die Gesetzestexte sehr viel weiter auslegt, als viele Datenschutzbeauftragte das bisher taten.

  1. Zu den Personen, denen zur Erfüllung ihrer Aufgaben nach § 120 Abs. 1 SchulG NRW personenbezogene Daten zugänglich gemacht werden dürfen, gehört neben den Lehrkräften und sonstigen im Landesdienst stehendem pädagogischen und sozialpädagogischen Personal nach § 58 SchulG auch im Ganztag eingesetztes Personal3Verwiesen wird bezüglich dieses Personals auf Nr. 7 des Rd.Erl. zum Ganztagsangebot – BASS 12-63 Nr. 2.pdf .
  2. Da nach Aussage der Landesregierung Ganztagsangebote auch von außerschulischen Trägen als schulische Veranstaltung gelten, ist es damit auch zulässig, den Mitarbeiterinnen und Mitarbeitern des offenen Ganztags diejenigen personenbezogenen Daten zugänglich zu machen, welche diese Personen zur Erfüllung der Angebote des Ganztags benötigen. Dazu gehört dann auch der Austausch zu den Förderbedarfen der Schülerinnen und Schüler.
  3. Auch externen Sozialarbeiter bzw. Sozialpädagogen, die anderes als Schulsozialpädagogen im Landesdienst nicht zu den Personen gemäß §58 SchulG NRW zählen, dürfen entsprechend der unter 1. beschrieben Auslegung von §120 Abs. 1 SchulG NRW durch die Landesregierung personenbezogene Daten aus der Schule zugänglich gemacht werden. Dieses ist allerdings nur dann zulässig, sofern sie als Mitglied eines Multiprofessionellen Teams4gemäß der Erlasse 21-13 Nr. 6 „Beschäftigung von Fachkräften für Schulsozialarbeit in Nordrhein-Westfalen“ sowie 21-13 Nr. 9 „Soziale Arbeit an Schulen zur Integration durch Bildung für neu zugewanderte Schüler*innen (Multiprofessionelle Teams)“ diese Daten zur Erfüllung ihrer Aufgaben benötigen. Das meint hier eine Liste mit den Namen der Schülerinnen und Schüler, die sie zu betreuen haben.
  4. Eine entsprechende Änderung des Schulgesetzes NRW oder der anhängigen Verordnungen ist nicht geplant.

Hinweis: Man sollte bezüglich Antwort 2 unbedingt berücksichtigen, dass es ausdrücklich um den Austausch zu den Förderbedarfen der Schülerinnen und Schüler geht, die Informationen, die zur Erfüllung der Angebote des Ganztags benötig werden. Personenbezogene Daten, welche nicht darunter fallen, können nur mit Einwilligung der Erziehungsberechtigten weitergegeben werden. So würde die Bankverbindung der Erziehungsberechtigten sicher nicht darunter fallen, falls es dem Träger etwa darum ginge, diese zu aktualisieren und er dafür bei der Schule anfragt. Gleiches dürfte auch für Kontaktdaten gelten, welche der Träger normalerweise von Schulträger erhalten sollte.

Fazit

Mit der Antwort der Landesregierung auf die kleine Anfrage besteht jetzt endlich Klarheit bezüglich der datenschutzrechtlichen Stellung von Mitarbeiterinnen und Mitarbeitern von Trägern, die im offenen Ganztag eingesetzt sind. Da der offene Ganztag als schulische Veranstaltung gilt, darf die Schule diesen Personen die personenbezogenen Daten derjenigen Kinder im OGS zugänglich machen, welche sie zur Erfüllung der Angebote des Ganztags benötigen. Darunter fallen dann beispielsweise auch Informationen zu den Förderbedarfen der im OGS betreuten Schülerinnen und Schüler. Für die Schulen, das meint vor allem Grundschulen, besteht von daher keine Erfordernis, eine Einwilligung der Erziehungsberechtigten einzuholen, um sich mit Mitarbeitern des OGS bezüglich der dort betreuten Kinder auszutauschen.

Externen Schulsozialarbeitern dürfen personenbezogene Daten (Namenslisten von zu betreuenden Schülerinnen und Schülern) zugänglich gemacht, wenn sie Mitglied eines Multiprofessionellen Teams an der Schule sind. In allen anderen Fällen gilt weiterhin, dass eine Weitergabe von personenbezogenen Daten von Schülern eine Einwilligung der Betroffenen voraussetzt.

Interessant sind in dem Zusammenhang vielleicht auch: