NRW – datenschutz-schule.info

Oktober 26, 2023Oktober 26, 2023

LeOn – Leseraum Online – neue Plattform für Schulen in NRW

Lesezeit: 2 Minuten

Seit wenigen Wochen ist für Grundschulen und Schulen der Sekundarstufe 1 in NRW die Plattform LeON verfügbar. Die Plattform für die Klassen 1 – 6 dient der Leseförderung und ist kostenlos nutzbar. Neu für NRW ist, dass diese Plattform erstmals über VIDIS eingebunden wird. Der Zugang zu LeOn erfolgt über die Bildungsmediathek NRW. Schulen, welche bereits die Basis Plattform Logineo NRW nutzen, finden dort den Zugang zur Bildungsmediathek. Wer die Basisplattform das Landes nicht nutzt, benötigt den Zugang direkt über die Bildungsmediathek. Er kann auf der Seite auf der Seite der Bildungsmediathek NRW unter “Login” beantragt werden.

Vertrag zur Auftragsverarbeitung

Um die Plattform für die Schule zu erhalten, muss die Schulleitung zunächst den Vertrag zur Auftragsverarbeitung (AVV) mit dem Anbieter abschließen. Dieses erfolgt in 4 Schritten unter Auftragsverarbeitung personenbezogener Daten. Dazu meldet sich die Schulleitung zunächst in VIDIS an bzw. erstellt ein Konto in der Plattform. Dort eingeloggt findet man dann die Plattform LeOn und eine Möglichkeit, die Plattform zu aktivieren. Zur erfolgreichen Aktivierung müssen die Nutzungsbedingungen und der AVV bestätigt werden. Nach dem Abgleich der Daten durch durch den Anbieter erfolgt die Freischaltung des Zugangs, der dann in der Bildungsmediathek NRW möglich ist.

Einführung zur verbindlichen Nutzung per Schulkonferenzbeschluss

LeOn sollte sich als Lehr- und Lernplattform gemäß § 120 Abs. 5 Satz 2 in Verbindung mit § 8 Abs. 2 SchulG NRW nach Vorschlag durch den Schulträger durch die Schulkonferenz zur verbindlichen Nutzung an der Schule einführen lassen.¹

Informationen zur Datenverarbeitung

Auch wenn LeOn ohne Einwilligung genutzt werden kann, ist eine Information zur Datenverarbeitung erforderlich. Diese findet sich auf der Website unter Datenschutz und wurde bereits auf die Zielgruppe Nutzer/ Eltern ausgerichtet. Darüber hinaus findet sich auf der Website ein vorbereitetes Informationsschreiben für Eltern, das auch als DOCX Datei heruntergeladen und auf die eigene Schule angepasst werden kann. In diesem Schreiben sind die Nutzungsbedingungen wie auch die Datenschutzerklärung verlinkt.

Verzeichnis der Verarbeitungstätigkeiten der Schule

Der Anbieter weist bei der Beauftragungsseite zum AVV darauf hin, dass Schulen, die LeOn nutzen, die dabei stattfindenden Verarbeitungen von personenbezogenen Daten in das Verzeichnis der Verarbeitungstätigkeiten der Schule aufnehmen müssen. Die dafür erforderlichen Informationen finden sich in der Datenschutzerklärung. Die folgende Vorlage könnte man als Grundlage dafür nehmen.

Verarbeitungstätigkeit-Verantwortlicher – LeOn.docx

Nutzung pseudonymisierter Daten durch den Anbieter der Plattform

Wie sich aus der Datenschutzerklärung heißt es:

“Der Verantwortliche überträgt pseudonymisierte Nutzungsdaten an die Professur Fachdidaktik Deutsch am Zentrum für Lehrerbildung der TU Chemnitz. Dabei werden alle identifizierenden Daten (z.B. Namen) entfernt, sodass die die Professur Fachdidaktik Deutsch am Zentrum für Lehrerbildung der TU Chemnitz nicht auf einzelne Personen zurückschließen kann. Diese Nutzungsdaten zu Nutzungsdauer, Bearbeitungszeit einzelner Aufgaben und ähnliche Daten nutzt die Professur Fachdidaktik Deutsch am Zentrum für Lehrerbildung der TU Chemnitz für die quantitative und qualitative Analyse des Nutzungsverhaltens von Lehrkräften und Schülern zum Zwecke der wissenschaftlichen Auswertung der Daten.

Rechtsgrundlage für die Pseudonymisierung ist das berechtigte Interesse der Professur Fachdidaktik Deutsch am Zentrum für Lehrerbildung der TU Chemnitz nach Art. 6 (1) f) DSGVO an der Analyse der Nutzung von LeOn zum Zwecke der Forschung und Verbesserung. Da die Professur Fachdidaktik Deutsch am Zentrum für Lehrerbildung der TU Chemnitz aus den Daten keine Rückschlüsse auf einzelne Personen ziehen kann, ist ein der Übertragung pseudonymisierter personenbezogener Daten entgegenstehendes Interesse nicht erkennbar.”

Dass der Anbieter Nutzungsdaten für eigene Zwecke auf der Grundlage von berechtigtem Interesse gem. Art. 6 Abs. 1 lit. f DS-GVO nutzen darf, ist aus datenschutzrechtlicher Sicht interessant, auch mit Blick auf andere Plattformen, bei denen eine Nutzung von Nutzungsdaten zu eigenen Zwecken sehr kritisch gesehen wird.²

August 7, 2023

Erprobungsstufenkonferenz

Lesezeit: 2 Minuten

In Grundschulen kommt immer wieder die Frage auf, welche Informationen weiterführenden Schulen über die ehemaligen Schülerinnen und Schüler gegeben werden dürfen.

Es gilt wie überall die Grundregel, dass eine Schule die personenbezogenen Daten der Schülerinnen und Schüler nur Personen zugänglich machen darf, sofern es dafür eine Rechtsgrundlage im Schulgesetz NRW gibt oder die Betroffenen, hier die Eltern der Grundschülerinnen und Schüler, der Übermittlung zuvor zugestimmt haben.

Für die Weitergabe an weiterführende Schulen gibt es eine wichtige Rechtsgrundlage, die es Grundschulen erlaubt, Daten ihrer ehemaligen Schülerinnen und Schüler preiszugeben. Das ist § 10 Abs. 4 Ausbildungs- und Prüfungsordnung Sekundarstufe I – APO-S I (BASS 13-21 Nr. 1.1):

“Für Zusammensetzung, Stimmberechtigung und Verfahren der Erprobungsstufenkonferenzen gilt § 50 Absatz 2 Schulgesetz NRW. Den Vorsitz führt die Schulleiterin oder der Schulleiter oder eine mit Koordinierungsaufgaben beauftragte Lehrkraft. Die Lehrkräfte, die die Schülerin oder den Schüler in der Grundschule unterrichtet haben, können an den Erprobungsstufenkonferenzen teilnehmen.”

Während der zweijährigen Erprobungsstufe, Klasse 5 und 6, finden gem. § 10 Abs. 3 APO-SI jährlich drei sogenannte Erprobungsstufenkonferenzen statt. In diesen wird “über die individuelle Entwicklung der Schülerin oder des Schülers, über etwaige Schwierigkeiten, deren Ursachen und mögliche Wege zu ihrer Überwindung und über besondere Fördermöglichkeiten beraten.”

Um hier optimal beraten zu können, werden zu einer der ersten Erprobungsstufenkonferenzen in der Regel auch die ehemaligen Lehrerinnen und Lehrer der Schülerinnen und Schüler an der Grundschule eingeladen, denn diese kennen die Kinder meist schon über einen längeren Zeitraum. Auf der Grundlage von § 10 Abs. 4 APO-SI könnten sich die Lehrkräfte der weiterführenden Schule deshalb mit ihren Kolleginnen und Kollegen aus der Grundschule über die einzelnen Kinder austauschen, soweit es um Noten, konkrete Probleme, bewährte Strategien, ein Kind zu unterstützen und ähnlich geht. Die Grenzen des Austauschs setzt wie immer auch hier § 120 Abs. 1 Satz 2 SchulG NRW, wonach die gespeicherten personenbezogenen Daten in der Schule nur den Personen zugänglich gemacht werden dürfen, die sie für die Erfüllung ihrer Aufgaben benötigen. Hier geht es dann konkret um die Aufgabenerfüllung der Erprobungsstufenkonferenz. Entsprechend heißt es im Wingen Kommentar zu Schulgesetz:

“Die Grundschullehrkräfte dürfen personenbezogenen Angaben ihrer früheren Schülerin oder ihres ehemaligen Schülers in der Erprobungsstufenkonferenz an die anderen Mitglieder (nur) übermitteln, soweit diese Angaben zur Aufgabenerfüllung der Konferenz erforderlich sind.”¹

Streng genommen bedeutet das auch, dass bei Anwesenheit von Lehrkräften verschiedener Grundschulen in einer Erprobungsstufenkonferenz kein Austausch über einzelne Schülerinnen und Schüler zulässig ist. Es kann dann nur über allgemeine Probleme und Maßnahmen gesprochen werden. Soll über einzelne Schülerinnen und Schüler gesprochen werden, müssen die Gespräche auf die zuständigen Personen begrenzt werden. In einem größeren Raum lässt sich dieses beispielsweise umsetzen, in dem die Grundschullehrkräfte einzelne Tische erhalten und dort dann von den Lehrkräften der weiterführenden Schule, die nun die ehemaligen Schülerinnen und Schüler unterrichten, besucht werden können.

Die Beschränkung des Austauschs über Kinder auf die zur Aufgabenerfüllung der Konferenz erforderlichen Daten bedeutet darüber hinaus, dass es über Kinder, die in der Erprobungsstufe keine Probleme haben, diesen Austausch eben nicht gibt.

Dass auch die Grundschullehrkräfte bei der Teilnahme an der Erprobungsstufe Informationen über ihre ehemaligen Schülerinnen und Schüler erhalten, liegt in der Natur der Sache.

Stand 08/2023

Digitale Stunden- und Vertretungspläne

Lesezeit: 6 Minuten

Stundenpläne werden schon lange digital erstellt. Je nach genutzter Plattform ergibt sich daraus auch die Möglichkeit, Stunden- und Vertretungspläne digital zu veröffentlichen. Dies erfolgt entweder über ein Modul der Plattform selbst oder es gibt eine Schnittstelle, über welche andere Plattformen auf die erforderlichen Daten zugreifen können. Moderne Plattformen erlauben Nutzern, den Zugriff auf ihre Stunden- und Vertretungspläne über ein App. Hierbei gibt es deutliche Unterschiede. Einige Plattformen sind in der Lage, Stunden- und Vertretungspläne für Nutzer individuell auszugeben, andere veröffentlichen die kompletten Vertretungspläne auf einer Art digitalem Schwarzen Brett, welches dann über Anzeigen im Schulgebäude einsehbar ist und über eine passwortgeschützte Website, auf welcher die Pläne automatisch hinterlegt werden.

Der datenschutzrechtliche Aspekt

Bei der Veröffentlichung von Vertretungsplänen spielt auch der Datenschutz eine Rolle, denn es geht um Daten, die einen Personenbezug haben, Daten, die beispielsweise genutzt werden könnten, um ein Abwesenheitsprofil zu einer Lehrkraft zu erstellen. In NRW gibt es zur Zulässigkeit der Veröffentlichung von Vertretungsplänen zwei Rechtsmeinungen, die der LDI NRW und die des Ministeriums für Schule und Bildung.

LDI NRW

Von Seiten der LDI NRW gibt es ein Schreiben von 2017 (Az.LDI:212.4.1.1-4248/16)¹, in welchem sie auf eine Anfrage zum Thema reagierte. Es geht dabei speziell um die Plattform WebUntis.

Grundsätzlich, so stellt man bei der LDI NRW fest, gibt es mit dem Informationsfreiheitsgesetz Nordrhein-Westfalen (IFG NRW) seit 2002 eine Rechtsgrundlage für die Veröffentlichung bestimmter Daten von Lehrkräften auf der Homepage einer Schule (siehe dazu auch den Beitrag “Welche personenbezogenen Daten von Lehrkräften dürfen OHNE Einwilligung auf die Schulhomepage?“) Dazu gehören auch Stundenpläne mit den jeweils unterrichtenden Lehrkräften, da “Stundenpläne, die gewöhnlich pro Halbjahr ausgestellt werden,” nach Auffassung der LDI NRW “mit Geschäftsverteilungsplänen vergleichbar sind,” die dem IFG NRW unterliegen. Stundenpläne werden in der Regel immer wieder aktualisiert, vor allem um sie an die sich verändernde Personalsituation anzupassen. Und hier sieht die LDI NRW ein Problem, wenn es um die Veröffentlichung von Stundenplänen geht: “Je kürzer allerdings die Abstände zwischen der “Aktualisierung” des Stundenplans sind, desto mehr kann dieser Plan zu einem Vertretungsplan werden.” Deren permanent aktualisierte Veröffentlichung, möglicherweise täglich oder sogar stündlich wäre dann jedoch nicht mehr vergleichbar mit der Veröffentlichung von Geschäftsverteilungsplänen im Sinne des § 12 Satz 1 IFG NRW ² Da sich auch aus dem Schulgesetz NRW keine Rechtsgrundlage für die Veröffentlichung von Vertretungsplänen auf der Schulhomepage findet, kommt eine Bekanntgabe für die LDI NRW nur gegenüber einer geschlossenen Benutzergruppe in Frage. Ob dieses datenschutzrechtlich zulässig ist, richtet sich nach dem Erforderlichkeitsgrundsatz. Entsprechend heißt dieses für die LDI NRW:

“Eine Schule darf Lehrkräften, Eltern, Schülerinnen und Schüler nur über die sie betreffenden Vertretungsfälle unterrichten, soweit es zu ihrer Aufgabenerfüllung erforderlich ist. Eine wichtige Voraussetzung wäre es also sicherzustellen, dass die Informationen zu anfallenden Vertretungen nur die Personen erreichen, die von diesen Vertretungsfällen betroffen sind. Dagegen ist es zur Aufgabenerfüllung der Schule nicht erforderlich, dass Kolleginnen, Kollegen, Eltern und Kinder, für die der Unterrichtsausfall keine Konsequenzen hat, darüber Kenntnis erlangen, welche Lehrkraft in welcher Unterrichtsstunde von wem vertreten wird.”

Nicht zulässig ist bei einer Bekanntgabe unter den beschriebenen Bedingungen, ist die Nennung von Gründen für die Abwesenheit bzw. die Vertretung. Außerdem dürfen Vertretungspläne elektronisch nur solange vorgehalten werden, bis der Vertretungsfall abgeschlossen ist. Das heißt, am Ende des Schultages ist der Vertretungsplan des Tages erledigt und aus der Anzeige zu löschen.

Vertretungspläne können sensible Daten enthalten, aus denen sich Rückschlüsse über betroffene Personen ableiten lassen. Die LDI NRW betont deshalb noch einmal ausdrücklich, dass unberechtigte Personen sich keinen Zugang zu den geschlossenen Benutzergruppen eines digitalen Vertretungsplanes verschaffen dürften. Dieses wäre durch geeignete technische und organisatorische Maßnahmen sicherzustellen.

Wer in den Wingen Kommentar zum Schulgesetz NRW schaut, findet dort in den Seiten der 15. Erg.-Lfg.. SchulG NRW-Kommentar, März 2015, Katernberg auf Seite 32 eine inhaltlich gleiche Bewertung bezüglich der Veröffentlichung von Stunden- und Vertretungsplänen. Das wundert nicht, denn die Verfasserin des Kommentars, Frau Katernberg, ist Mitarbeiterin der LDI NRW.

Ministerium für Schule und Bildung

Die rechtliche Einschätzung des MSB findet sich in den FAQ “Fragen zu Rechtsgrundlagen” auf Seiten der Medienberatung NRW. Mit Stand von Oktober 2022 heißt es dort:

“Wie und wo dürfen Vertretungspläne online zur Verfügung gestellt werden?

Vertretungspläne sollen u. a. dazu dienen, das durch den Stundenplan vorbereitete Verhalten von Schülerinnen und Schülern oder Lehrkräften aktuellen Gegebenheiten anzupassen. Schülerinnen und Schüler benötigen Informationen, wenn sie einen anderen als den geplanten Lernort aufsuchen müssen. Vertretende Lehrkräfte benötigen Informationen, um den Vertretungsunterricht fachlich übernehmen zu können.

Die Veröffentlichung von Vertretungsplänen über digitale schwarze Bretter innerhalb der Schule ist zulässig, ebenso wie die Bereitstellung über einen passwortgeschützen Bereich (z. B. LOGINEO NRW). Die öffentliche Bekanntgabe von Vertretungsplänen im Internet, z. B. auf der Schulhomepage widerspricht dem Datenschutz.

Der Zugang zum passwortgeschützen Bereich, in dem der Vertretungsplan liegt, ist nicht zwingend über personalisierte Logins zu realisieren. Es wird als ausreichend angesehen, wenn den berechtigten Personen der Schulgemeinde die Zugangsdaten z.B. mit Ausgabe des Stundenplans bekannt gegeben werden. Schulhalbjährlich und wenn bekannt wird, dass eine größere Zahl nicht berechtigter Personen Kenntnis der Zugangsdaten erlangt haben sollten, sind die Zugangsdaten zu ändern.”³Der Vergleich zeigt, es gibt einige Unterschiede. Anders als die LDI NRW sieht man im MSB auch die Möglichkeit, einen passwortgeschützen Bereich auf einem Server einzurichten anstelle von personalisierten Logins für jeden einzelnen Nutzer. Da dann alle Nutzer auf einen gemeinsamen Vertretungsplan zugreifen, ist auch die Veröffentlichung über ein digitales Schwarzes Brett möglich. Die Zugangsdaten zum digitalen Schwarzen Brett bzw. Stundenplan würden dann halbjährlich erneuert und mit der Ausgabe des Stundenplanes an die Nutzer ausgegeben. Für den Fall, dass die Zugangsdaten außerhalb der Schulgemeinde bekannt werden, sollte die Schule die Zugangsdaten erneuern. Von Seiten des MSB, das wird deutlich, wird der Schutzbedarf für die in Vertretungsplänen verarbeiteten personenbezogenen Daten von Lehrkräften nicht gleichermaßen hoch angesetzt wie bei der LDI NRW. Dem entsprechend finden sich im Text auf den Seiten der Medienberatung NRW auch keine Einschränkungen bezüglich der Nennung von Namen oder Namenskürzeln der Lehrkräfte im digitalen Vertretungsplan.

Was bedeutet das für die Praxis?

Schulen haben die Möglichkeit, Stundenpläne mit den Namen oder Namenskürzeln der unterrichtenden Lehrkräfte auf ihrer Schulhomepage zu veröffentlichen.⁴ Die Veröffentlichung ist möglich unter Rückgriff auf § 12 Satz 1 IFG NRW im Sinne von Geschäftsverteilungsplänen. Eine Veröffentlichung von Stundenplänen kann durchaus mehrfach im Schuljahr erfolgen, zumindest halbjährlich. Auch eine vierteljährliche Veröffentlichung sollte ohne Probleme möglich sein. Häufigere Aktualisierungen bewegen sich schnell in Richtung von “Vertretungsplänen”, deren Veröffentlichung dann nicht mehr durch das IFG NRW gedeckt ist, da sie dadurch schnell den Charakter von Vertretungsplänen erhalten.

Die Veröffentlichung von Vertretungsplänen auf der Schulhomepage ist nicht zulässig. Möglich ist jedoch, dem Grundsatz der Erforderlichkeit folgend, die Bekanntgabe gegenüber einer geschlossenen Benutzergruppe.

Orientiert man sich an den Aussagen des Ministeriums für Schule und Bildung, veröffentlicht man die Vertretungspläne über ein digitales Schwarzes Brett und gibt dem in Frage kommenden Nutzerkreis, etwa den Lehrkräften der Schule, die für alle identischen Zugangsdaten. Diese wechselt man halbjährlich. Solange der Vertretungsplan nur dem Kollegium online zugänglich ist, spricht nichts dagegen, Namenskürzel anzugeben. Man könnte hier mit der Erforderlichkeit argumentieren, denn Lehrkräfte, die eine Vertretung erteilen sollen, müssen in den meisten Fällen in der Lage sein, sich mit der zu vertretenden Person auszutauschen. Am Ende des Schultages werden die “abgelaufenen” Vertretungspläne offline genommen. Das Verfahren dürfte sich für Schülerinnen und Schülern weniger eignen, bei diesen der Zugang vielfach weniger sein wird. Gehören auch Schülerinnen und Schülern zur geschlossenen Benutzergruppe, sollte der Vertretungsplan ohne Namen, Namenskürzel oder andere die Lehrkräfte identifizierende Hinweise bekanntgegeben werden.
Schulen, die sich an den Aussagen der LDI NRW orientieren wollen, werden eine geeignete Plattform dafür benötigen, denn ein digitales Schwarzes Brett kann in der Regel keine individuellen Berechtigungen für Nutzer umsetzen. Bekannte große Plattformen und auch einige der Schul-Apps sind in der Lage, dieses zu tun und erlauben oftmals sehr differenzierte Einstellungen der Anzeige (Name, Namenskürzel, kein Name, …). Die Kosten werden hier deutlich über denen für ein digitales Schwarzes Brett liegen. Es sollten dann jedem Nutzer nur die Vertretungen und damit zusammenhängende Informationen (bei Lehrkräften z.B. parallel unterrichtende Kolleginnen und Kollegen, wenn eine Lerngruppe aufgeteilt werden muss) angezeigt werden, die für ihn oder sie von Bedeutung sind. Bei Schülerinnen und Schülern reicht beispielsweise die Information, welche Unterrichtsstunde ausfällt oder, wenn eine Vertretung erteilt wird, ob diese im gleichen oder einem anderen Raum erfolgt oder stattdessen ein anderes Fach unterrichtet wird.

Zugriff auf die Stundenpläne aller Kolleginnen und Kollegen?

In einigen Kollegien ist es üblich, die Stundenpläne aller Lehrkräfte für alle sichtbar auszuhängen. So kann jeder sehen, wer wann wo unterrichtet oder vielleicht nicht in der Schule ist. Das kann sinnvoll sein, wenn man sich untereinander absprechen möchte. Beim Wechsel auf digitale Stunden- und Vertretungspläne kommt so mitunter die Frage auf, ob man das im Digitalen nicht beibehalten kann?

Mit Blick auf die oben beschriebenen Einschätzungen der LDI NRW zur Veröffentlichung von Stundenplänen auf der Schulhomepage mit Namen der unterrichtenden Lehrkräfte, gestützt auf § 12 Satz 1 IFG NRW von Stundenplänen im Sinne von Geschäftsverteilungsplänen, spricht nichts dagegen, diese Pläne auch über einen digitalen Stunden- und Vertretungsplan zu veröffentlichen, solange dieses auf eine geschlossene Gruppe beschränkt ist. Auch gegen eine wiederholte Aktualisierung im Laufe des Schuljahres sollte nichts sprechen, da sie in den meisten Fällen nur Einzelpersonen oder Teile des Kollegiums betreffen.⁵

März 26, 2022August 7, 2022

16. Schulrechtsänderungsgesetz und Datenschutz

Lesezeit: 11 Minuten

Am 23. Februar 2022 wurde das Gesetz zur Modernisierung und Stärkung der Eigenverantwortung von Schulen (16. Schulrechtsänderungsgesetz) vom Landtag NRW verabschiedet und damit unmittelbar wirksam. Es enthält auch Änderungen, welche das Thema Datenschutz betreffen und sehr weitreichende Auswirkungen auf die Nutzung digitaler Medien im Unterricht haben werden. Das gilt vor allem mit Blick auf die verpflichtende Nutzung von unterrichtlich genutzten Plattformen, einschließlich Videokonferenz Plattformen.

Auch schon vor dieser Gesetzesänderung war es in NRW durchaus möglich, die Verarbeitung von personenbezogenen Daten bei der Nutzung von unterrichtlich eingesetzten Plattformen zur Erfüllung des Bildungs- und Erziehungsauftrages auf das Schulgesetz NRW und die VO-DV I & II in Verbindung mit den höherrangigen Rechtsnormen zu stützen. Die personenbezogenen Daten von Schülerinnen und Schülern und Eltern, Lehrerinnen und Lehrer, Personal an den ZfsL, Lehramtsanwärterinnen und Lehramtsanwärtern und Lehrkräften in Ausbildung betreffend, erfolgte dieses durch Hinzuziehung von Art. 6 Abs. 1 lit. e und Abs. 3 lit. b DS-GVO, und die Verarbeitung der personenbezogenen Daten von Funktionsträgerinnen und Funktionsträgern betreffend, erfolgte dieses unter Hinzuziehung von. Art. 6 Abs. 1 lit. e und Abs. 3 lit. b DS-GVO in Verbindung mit § 3 Abs. 1 DSG NRW. Eine Einwilligung in die Verarbeitung von personenbezogenen Daten war damit, soweit sie die Erfüllung des Bildungs- und Erziehungsauftrages betraf, nicht erforderlich. Auch eine verpflichtende Nutzung war bereits möglich und wurde so beispielsweise vom MSB im Verlauf der Pandemie kommuniziert, als es um die Nutzung von Videokonferenz Plattformen durch Lehrkräfte zur Erteilung von Distanzunterricht ging. Ob Schüler und Lehrkräfte im Einzelfall während der Pandemie tatsächlich zu einer Nutzung verpflichtet werden konnten, hing jedoch wesentlich von weiteren Faktoren ab, etwa der Verfügbarkeit von von der Schule bereitgestellten Schülergeräten und Dienstgeräten für Lehrkräfte.¹ Ausgenommen von der Verarbeitung auf der beschriebenen Rechtsgrundlage sind freiwillig von den Betroffenen bereitgestellte Nutzungsdaten. Ihre Verarbeitung durch die Schule setzt deshalb eine Einwilligung voraus.²

Spätestens der Distanzunterrichts mittels digitaler Plattformen in der Pandemiezeit seit Frühjahr 2020 machte allen Beteiligten deutlich, dass dem Schulgesetz NRW genau an dieser Stelle bereichsspezifische konkrete datenschutzrechtliche Regelungen fehlten. Mit dem 16. Schulrechtsänderungsgesetz hat das Land NRW reagiert und im Schulgesetz NRW eine Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten bei der Nutzung digitaler Plattformen zur Erfüllung des Bildungs- und Erziehungsauftrags geschaffen. Dafür wurden eine Konkretisierung auf zwei Kategorien von Plattformtypen vorgenommen und der rechtliche Rahmen für eine verpflichtende Nutzung gesetzt. Ergänzend hierzu wurde in § 2 Abs. 1 Satz 3 VO-DV I die Verarbeitung von Protokolldaten geregelt.

Die folgenden Änderungen bzw. Ergänzungen wurden bezüglich der Nutzung von digitalen Plattformen in der Schule vorgenommen.

§ 8 SchulG NRW

Auch wenn die Änderung von § 8 SchulG NRW nicht schulisches Datenschutzrecht betrifft, wird diese hier erwähnt, da sie die Grundlagen für die in den §§ 120 und 121 vorgenommenen datenschutzrechtlichen Änderungen legt. Die Änderungen in § 8 SchulG NRW betreffen die Überschrift, die erweitert wurde, und einen neuen Absatz 2.³

§ 8
Unterrichtszeit, Unterrichtsorganisation, Digitalisierung
(1) Der Unterricht wird als Vollzeitunterricht in der Regel an wöchentlich fünf Tagen erteilt. Über Ausnahmen entscheidet die Schulkonferenz im Einvernehmen mit dem Schulträger.
(2) Zur Erfüllung des Bildungs- und Erziehungsauftrags kann die Schule bereitgestellte Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen in digitaler Form nutzen.

Mit dem Hinzufügen des Wortes “Digitalisierung” in der Überschrift möchte man die Digitalisierung der Schulen als “ein wichtiges Ziel bildungspolitischen Handelns der Landesregierung” im Schulgesetz festschreiben. Das MSB bezeichnet dieses als einen “ersten programmatischen Schritt, mit welchem man “einen normativen Bezug für die „Digitalstrategie Schule““⁴ schafft. Wesentlich wichtiger als diese politische Willenserklärung in Form einer Überschrift ist dann jedoch die mit Abs. 2 geschaffene Rechtsnorm, da hiermit der schulische Einsatz digitaler Lehr- und Lernsysteme sowie digitaler Arbeits- und Kommunikationsplattformen gesetzlich verankert wird. Das ist neu und bricht mit der bisherigen Systematik des SchulG NRW, da vergleichbare Regelungen sich bisher ausschließlich in den §§ 120 und 121 fanden. Es zeigt aber auch, welchen Stellenwert man der Nutzung digitaler Plattformen einräumt, indem man diese Regelung auf eine Stufe mit Vorgaben zur Unterrichtszeit und Unterrichtsorganisation stellt. Was steckt in diesem Satz 2?

Der Rechtsrahmen

“Zur Erfüllung des Bildungs- und Erziehungsauftrags kann die Schule bereitgestellte Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen in digitaler Form nutzen.”

Schulen erhalten die Möglichkeit, digitale Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen zu nutzen, soweit dieses erforderlich ist, um den Bildungs- und Erziehungsauftrags zu erfüllen. Auch wenn dieses eine damit einhergehende Verarbeitung von personenbezogenen Daten durch die Schule bereits impliziert, erfolgt die bereichsspezifische konkrete datenschutzrechtliche Regelung diesbezüglich erst in den §§ 120 und 121. Die Erfüllung des Bildungs- und Erziehungsauftrags beschränkt sich nicht nur auf den Unterricht selbst. Es geht hier laut MSB im Gesetzesentwurf um eine Nutzung “für pädagogisch-didaktische Zwecke, insbesondere für die Gestaltung von Lehr- Lernprozessen, aber auch für schulinterne Verwaltungstätigkeiten sowie interne und externe Kommunikationsprozesse …”

Entscheidung der Schule

“Zur Erfüllung des Bildungs- und Erziehungsauftrags kann die Schule bereitgestellte Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen in digitaler Form nutzen.”

Die Entscheidung über die Nutzung digitaler Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen zur Erfüllung des Bildungs- und Erziehungsauftrags liegt damit bei der Schule. Vor dem Einsatz ist gemäß der ebenfalls neu geschaffenen Regelung in § 65 Abs. 2 Nr. 6 die Schulkonferenz an der Entscheidung über die Einführung einer vom Schulträger vorgeschlagenen Plattform zu beteiligen.⁵

(2) Die Schulkonferenz entscheidet im Rahmen der Rechts- und Verwaltungsvorschriften in folgenden Angelegenheiten:
[…]

6. über den Vorschlag zur Nutzung der vom Schulträger bereitgestellten Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen in digitaler Form (§ 8 Absatz 2),

Im Gesetzesentwurf vom 09.12.2021 heißt es außerdem, “Das Nähere, insbesondere unter welchen Voraussetzungen die Systeme zu nutzen sind, regeln die Ausbildungs- und Prüfungsordnungen.” Dort wird es dann, sofern noch nicht vorhanden, entsprechende Vorgaben geben.

Digitale Plattformen

“Zur Erfüllung des Bildungs- und Erziehungsauftrags kann die Schule bereitgestellte Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen in digitaler Form nutzen.”

Bezüglich digitaler Medien gab es im Schulgesetz NRW bisher nur eine Rechtsgrundlage für die Nutzung von “digitalen Lehr- und Lernmitteln.”⁶, worunter sich beispielsweise digitale Schulbücher fassen lassen. Mit den digitalen “Lehr- und Lernsystemen sowie Arbeits- und Kommunikationsplattformen” erweitern sich die Plattformtypen, in welchen eine Schule zur Erfüllung des Bildungs- und Erziehungsauftrags personenbezogene Daten verarbeiten darf, auf “informationstechnische Systeme” zu denen laut Erläuterung des MSB im Gesetzesentwurf “insbesondere Lernmanagementsysteme, E-Mail- und Messengerdienste sowie Videokonferenztools” zählen. Das beschreibt ziemlich genau, was die Plattformen der Logineo NRW Familie leisten und entsprechend verweist das MSB im Gesetzesentwurf auch auf diese und stellt ihre Vorteile heraus. In Frage kommen für eine Nutzung im Rahmen von § 8 Abs. 2 weitere Plattformen, etwa Cloud Plattformen wie NextCloud mit integrierten oder angeschlossenem Office, Schulserver wie ein IServ, Classroom Management Systeme oder auch Lern Apps wie Anton. Auch Systeme für Umfragen und Feedback sollten sich darunter fassen lassen oder Apps wie beispielsweise Schulmanager Online, Sdui und Elternnachricht, digitale Klassenbücher und Stunden- und Vertretungspläne, über welche schulische Organisationsabläufe, wie sie zur Erfüllung des Bildungs- und Erziehungsauftrags erforderlich sind, abgebildet werden.

§§ 120 und 121 SchulG NRW

Für die in § 8 geschaffene Rechtsgrundlage, welche es Schulen ermöglicht, digitale Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen zur Erfüllung des Bildungs- und Erziehungsauftrags einzusetzen, werden in § 120 Abs. 5 durch Hinzufügen von Satz 2 bereichsspezifische konkrete datenschutzrechtliche Regelung getroffen⁷:

(5) Die Schule darf für den Einsatz digitaler Lehr- und Lernmittel personenbezogene Daten der Schülerinnen und Schüler und der Eltern verarbeiten, soweit dies für die Aufgabenerfüllung der Schule erforderlich ist. Dies gilt entsprechend für den Einsatz von Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen (§ 8 Absatz 2); in diesem Rahmen sind die Schülerinnen und Schüler zur Nutzung verpflichtet.

In § 121 Abs. 1 wird durch Hinzufügen eines nahezu wortgleichen Satzes 2 entsprechend verfahren:

(1) Daten der Lehrerinnen und Lehrer dürfen von Schulen verarbeitet werden, soweit dies zur Aufgabenerfüllung bei […] der Durchführung des Unterrichts, einschließlich des Einsatzes digitaler Lehr- und Lernmittel, […] erforderlich ist. Dies gilt entsprechend für den Einsatz von Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen (§ 8 Absatz 2); in diesem Rahmen sind die Lehrerinnen und Lehrer zur Nutzung verpflichtet.

Schulen dürfen damit beim Einsatz von digitalen Lehr- und Lernsystemen sowie Arbeits- und Kommunikationsplattformen die personenbezogenen Daten von Schülerinnen und Schülern und ihren Eltern sowie von Lehrkräften verarbeiten, soweit dieses zur Erfüllung des Bildungs- und Erziehungsauftrags erforderlich ist. Dieses schließt auch Videokonferenz Plattformen ein. Innerhalb des gesteckten Rahmens sind sowohl Schülerinnen und Schüler wie auch Lehrkräfte zur Nutzung der genannten Plattformen verpflichtet. Eltern sind von dieser Verpflichtung ausgenommen.

Welche Daten

Die Zulässigkeit der Verarbeitung von personenbezogenen Daten von Schülern, Eltern und Lehrkräften erstreckt sich auf die in VO-DV I und II normierten Daten und geht sogar noch über diese hinaus. Digitale Plattformen lassen sich nicht betreiben, ohne dass dabei weitere personenbezogene und -beziehbare Daten anfallen. Diese müssen sich jedoch im Rahmen des technisch Erforderlichen bewegen. Mit §2 Abs. 1 Satz 3 VO-DV I wird dieses klargestellt: “ Beim Einsatz digitaler Lehr- und Lernmittel, digitaler Kommunikationsmittel sowie IT-Infrastrukturen ist die Verarbeitung von Protokolldaten nur zulässig, soweit dies zum Betrieb technisch erforderlich ist.” Für die Verarbeitung von Protokolldaten oder auch Logdaten werden hier zwei Grenzen aufgezeigt. Es dürfen zum Einen nur solche Protokolldaten erhoben werden, die technisch erforderlich sind. Außerdem dürfen die erhobenen Daten nur genutzt werden, soweit dieses technisch erforderlich ist, um die jeweilige Plattform zu betreiben. Gleichsam ist es auch nicht zulässig, diese Daten für andere Zwecke zu nutzen. Protokolldaten dürfen somit nicht genutzt werden, um Aufschlüsse über Nutzerverhalten zu gewinnen.⁸

Welche Plattformen

In den Erläuterungen im Gesetzesentwurf wird noch einmal klargestellt, dass die neuen Regelungen in den §§ 120 und 121 weit gefasst werden: “Dies schließt alle Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen im Sinne des § 8 Absatz 2 ein, die die Schule zur Erfüllung ihres Bildungs- und Erziehungsauftrags nutzt.” Auch schon vor Inkrafttreten des 16. Schulrechtsänderungsgesetzes bestehende Plattformen fallen unter die Regelung, sofern sie von einer Schule im Sinne des § 8 Absatz 2 zur Erfüllung ihres Bildungs- und Erziehungsauftrags genutzt werden.⁹

Keine Einwilligung aber Information

Durch die in den §§ 120 und 121 neu aufgenommenen Sätze verfügen Schulen nun über eine konkrete Rechtsgrundlage, welche ihnen die Verarbeitung von personenbezogenen Daten in digitalen Lehr- und Lernsystemen sowie Arbeits- und Kommunikationsplattformen wie dort beschrieben erlaubt und Schüler wie auch Lehrkräfte sogar zur Nutzung verpflichtet. Eine Einwilligung ist hierfür somit nicht erforderlich. Es besteht jedoch weiterhin eine Informationspflicht gem. Art. 13 DS-GVO.

Ganz konkret bedeutet dieses, dass weder von Schülern noch von Eltern oder Lehrkräften eine Einwilligung eingeholt werden muss, wenn eine Schule beispielsweise eine Videokonferenz Plattform wie Jitsi für die Durchführung von Unterricht oder von Beratungsgesprächen mit Eltern nutzt.

Videokonferenz Plattform

Im Verlauf der Pandemie war vor allem strittig, ob Lehrkräfte zur Erteilung von Distanzunterricht per Videokonferenz verpflichtet werden konnten und dieses mit eingeschalteter Videokamera. Genau diesem Umstand dürfte die ausdrückliche Erwähnung von “Videokonfenzsystemen” geschuldet sein. Das Land NRW legt damit fest, dass sich die Zulässigkeit der Verarbeitung von personenbezogenen Daten von Schülern, Eltern und Lehrkräften zur Aufgabenerfüllung und bei Lehrkräften außerdem zur Durchführung von Unterricht auch auf die Nutzung von Videokonferenz Plattformen erstreckt. Welche weitreichenden Möglichkeiten sich dadurch für Schulen ergeben, erläutert das MSB im Gesetzesentwurf: “Ebenso besteht die Möglichkeit, Schülerinnen und Schüler, die nicht an Präsenzunterricht teilnehmen können (z.B. Quarantäne, Wechsel von Präsenz- und Distanzphasen, Krankheit etc.) am Unterricht vor Ort „zuzuschalten“ und somit am Unterricht teilhaben zu lassen.” Anders als bisher braucht es dafür von den Schülerinnen und Schülern im Klassenraum keine Einwilligung mehr. Gleiches gilt auch für die Durchführung von Konferenzen in Form von Videokonferenzen.

Videokamera an – aus?

Neben den Möglichkeiten, Videokonferenz Plattformen im Unterricht einzusetzen werden im Gesetzesentwurf auch die Grenzen beschrieben: “Zulässig ist der Einsatz von Videokonferenzsystemen nur, wenn dies zur Erfüllung des Bildungsauftrags erforderlich ist. Die Erforderlichkeit liegt vor, wenn dies zur Sicherung des konkreten Unterrichtsgeschehens oder aus anderen pädagogisch-didaktischen Gründen gegeben ist.” Werden Schülerinnen und Schüler, die nicht am Präsenzunterricht teilnehmen können, dem Unterricht zugeschaltet, so dürfte es in der Regel nicht erforderlich sein, dass dabei permanent Ton und/oder Kamera eingeschaltet sind, weder im Klassenraum, noch auf Seiten der Schülerinnen und Schüler. Eine Erforderlichkeit, Kamera und Ton im Klassenraum aus pädagogisch-didaktischen Gründen einzuschalten, ist aber in dem Moment gegeben, in welchem die Lehrkraft oder Schülerinnen und Schüler im Klassenraum etwas vorführen oder ein Unterrichtsgespräch in der Lerngruppe stattfindet.

Mit dem Satz “Die Verpflichtung der Schülerinnen und Schüler zum Einsatz von Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen und zur Nutzung von Videokonferenzsystemen mit Einschalten von Ton und Bild besteht in dem durch § 8 Absatz 2 gesetzten Rahmen.” der entsprechend auch für Lehrkräfte gilt, wird im Kommentar zum Gesetzesentwurf noch einmal ausdrücklich darauf verwiesen, dass die Verpflichtung, Ton und Bild einzuschalten, sich in dem durch § 8 Absatz 2 gesetzten Rahmen bewegen muss. Sie ist somit nur möglich, sofern dieses zur Erfüllung des Bildungs- und Erziehungsauftrages erforderlich ist.

Das lässt Interpretationsspielraum, denn nicht jeder, ob Schüler oder Lehrkraft, wird je nach Situation eine Erforderlichkeit anerkennen.

Nutzung nur im im zulässigen Umfang

Auch wenn dieser Punkt aus den Änderungen im SchulG nicht unmittelbar hervorgeht, soll er hier erwähnt werden, denn er geht auf eine Forderung der LDI NRW in der Schrift Pandemie und Schule zurück. Wenn eine Verpflichtung zur Nutzung besteht, muss zu Schutz aller Beteiligten “gewährleistet sein, dass alle Betroffenen die digitalen Module nur im zulässigen Umfang nutzen können. Dieses wird durch technische und organisatorische Maßnahmen geregelt, etwa entsprechende Voreinstellungen in der Plattform und gegebenenfalls Nutzungs- bzw. Dienstvereinbarungen.” Dieses ist erforderlich, um beispielsweise Cyberbullying oder unbefugte Mitschnitte von Videokonferenzen zu verhindern und gegebenenfalls Maßnahmen ergreifen zu können, sollte es zu unzulässigen Nutzungen kommen.

Grenzen der Verpflichtung

Auch wenn durch die Änderungen im Schulgesetz NRW die rechtlichen Grundlagen für eine verpflichtende Nutzung von digitalen Plattformen und die dafür erforderliche Verarbeitung von personenbezogenen Daten geschaffen worden sind und sich dadurch für Schulen neue Perspektiven die Gestaltung von Unterricht wie auch die Abbildung von Verwaltungstätigkeiten eröffnen, so sind diesen neuen Möglichkeiten Grenzen gesetzt. Einige davon sind durch die neuen Regelungen selbst bedingt, andere hängen mit externen Faktoren zusammen, die in Zukunft wegfallen könnten.

Nicht für Eltern

Eine Grenze beschreibt § 120 Abs. 5 Satz 2 selbst, indem die Verpflichtung zur Nutzung nur für Schülerinnen und Schüler sowie Lehrkräfte vorgegeben wird, nicht jedoch für Eltern. Bezüglich der Eltern heißt dieses, Schulen können deren Daten bei der Nutzung von digitalen Lehr- und Lernsystemen sowie Arbeits- und Kommunikationsplattformen einschließlich Videokonferenz Plattformen ohne Einwilligung nutzen, die Eltern aber nicht zur Nutzung verpflichten. Damit können Schulen in infrage kommenden Plattformen beispielsweise Konten für die Eltern anlegen und den Eltern eine Nutzung anbieten. Diese sind jedoch nicht verpflichtet, diese Plattformen auch zu nutzen. In einem solchen Fall müssten sie aber mit Anlegen eines Kontos immer auch über die Datenverarbeitung gem. Art. 13 DS-GVO informiert werden.

Nutzung im Sinne von § 8 Satz 2

Eine Verpflichtung zur Nutzung eines digitalen Lehr- und Lernsystems oder einer Arbeits- und Kommunikationsplattform einschließlich Videokonferenz Plattform setzt voraus, dass die Nutzung im Sinne von § 8 Satz 2 erfolgt, also zur Erfüllung des Erziehungs- und Bildungsauftrags. Mit Bezug auf den Einsatz von Videokonferenz Plattformen heißt es hierzu im Gesetzesentwurf: “Zulässig ist der Einsatz von Videokonferenzsystemen nur, wenn dies zur Erfüllung des Bildungsauftrags erforderlich ist. Die Erforderlichkeit liegt vor, wenn dies zur Sicherung des konkreten Unterrichtsgeschehens oder aus anderen pädagogisch-didaktischen Gründen gegeben ist.” Für eine über die zur Erfüllung des Erziehungs- und Bildungsauftrags hinausgehende Nutzung sind Schüler wie Lehrkräfte nicht verpflichtet.

Sächliche Voraussetzungen sind gegegeben

Schülerinnen und Schüler können zu einer Nutzung von Lehr- und Lernsystemen sowie Arbeits- und Kommunikationsplattformen, die von der Schule zur Erfüllung ihres Bildungs- und Erziehungsauftrags eingesetzt werden, nur dann verpflichtet werden, wenn sie auch die Möglichkeit dazu haben. Stehen den Schülerinnen und Schülern ausreichend viele schulische Geräte mit dienstlich zugelassenen Anwendungen zur Verfügung, ist eine verpflichtende Nutzung möglich. Ist dieses nicht der Fall und Schülerinnen und Schüler müssen private Endgeräte nutzen, so kann dieses nur auf freiwilliger Basis erfolgen. Das MSB stellt im Gesetzesentwurf unter “zu Buchstabe b” ausdrücklich klar: “Eltern bzw. Schülerinnen und Schüler sind schulrechtlich nicht verpflichtet, ein digitales Endgerät für den Unterricht anzuschaffen oder einzusetzen.” Gleiches gilt auch für Lehrkräfte. Auch sie sind nicht zur Nutzung von privaten Endgeräten verpflichtet. Eine verpflichtende Nutzung setzt entsprechend bei Lehrkräften ein Dienstgerät mit dienstlich zugelassenen Anwendungen voraus.

Keine Einwilligung oder Freiwilligkeit vorgeschrieben

Eine verpflichtende Nutzung ist nicht möglich, wenn eine Einwilligung in die Datenverarbeitung bei der Nutzung einer Plattform zwingend vorgeschrieben ist. Dieses ist bei den Produkten der Logineo NRW Familie jedoch der Fall. Es kommt hinzu, dass die Freiwilligkeit der Nutzung auch in einer Dienstvereinbarung mit den Hauptpersonalräten (Stand 21.10.2020) vereinbart wurde¹⁰: “Die Nutzung von LOGINEO NRW ist freiwillig und setzt eine Einwilligungserklärung der jeweiligen Nutzerin oder des jeweiligen Nutzers bzw. deren oder dessen gesetzlicher Vertretung voraus.” In der Logineo NRW Rahmendienstnutzungsordnung mit Datum vom 28.01.2021 heißt es unter Gegenstand und Geltungsbereich “Die Nutzung von LOGINEO NRW ist freiwillig. Die Einwilligung kann im Rahmen der Aktivierung des individuellen Nutzeraccounts bei Erstanmeldung am System erteilt werden.” und unter 6. Nutzung des LOGINEO NRW Messengers und des Videokonferenztools“Die anlassbezogene Nutzung des im LOGINEO NRW Messengers enthaltenen Videokonferenztools ist freiwillig. Es obliegt den einzelnen Nutzerinnen und Nutzern sich an einer Videokonferenz zu beteiligen. Insbesondere das Einschalten der Kamerafunktion ist nicht verpflichtend.”

Im Fall von Logineo NRW ist eine verpflichtende Nutzung von daher solange ausgeschlossen, wie die Dienstvereinbarungen wie auch die zugehörige Rahmendienstnutzungsordnungen in der aktuellen Form gelten.

Es ist auch nicht rechtmäßig, wie aus zumindest einer Bezirksregierung im Verlauf der Pandemie zu hören war, Lehrkräfte zur Einwilligung dienstlich anzuweisen, um sie damit zur Nutzung einer Videokonferenz Plattform zur Erteilung von Unterricht zu verpflichten. Eine Einwilligung setzt immer die Freiwilligkeit voraus. Ohne ist sie nicht rechtswirksam.

Im Sinne des SchulG NRW und DS-GVO genutzte Plattform

Die LDI NRW hat sich in der Schrift Pandemie und Schule (Stand 12.05.2021) auch zur verpflichtenden Nutzung von schulischen Plattformen auf der Grundlage der bis dahin bestehenden Regelungen des SchulG NRW¹¹geäußert. “Dabei ist zum einen zu beachten, dass dieser Ansatz nur zum Tragen kommen kann, soweit die Verarbeitung der hierfür erforderlichen Daten entsprechend den gesetzlichen Vorschriften im Verantwortungsbereich der Schule erfolgt, d.h. sie selbst die Daten verarbeitet oder durch Regelungen in einem Auftragsverarbeitungsvertrag sichergestellt ist, dass sie „Herrin der Daten“ ist.” In Frage kommen damit nur Plattformen im Sinne von § 8 Abs. 2, welche die Schule entweder selbst betreibt, oder welche sie durch den Schulträger oder einen Dienstleister auf der Grundlage eines Vertrags zur Auftragsverarbeitung gem. Art. 28 DS-GVO bereitstellen lässt. Außerdem sind, wie die LDI NRW beschreibt, weitere Anforderungen der DS-GVO zu erfüllen: “Gerade wenn eine Nutzung jedoch verpflichtend erfolgen soll, muss gewährleistet sein, dass die digitalen Module selbst den datenschutzrechtlichen Anforderungen insbesondere aus Art. 5, 24, 25 und 32 DS-GVO genügen ….”

Fazit

Eine verpflichtende Nutzung von digitalen Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen ist nur möglich, wenn die Schule diese

zur Erfüllung ihres Bildungs- und Erziehungsauftrags nutzt, und
allen Schülerinnen und Schülern der Lerngruppe ein von der Schule bereitgestelltes digitales Endgerät einschließlich der erforderlichen Anwendungen zur Verfügung steht, und
es sich um eine Plattform handelt, die nach Februar 2022 auf der Grundlage von § 8 Satz 2 SchulG NRW eingeführt wurde, oder deren Einführung vor Februar 2022 im Sinne von § 8 Satz 2 erfolgte, und
die Plattform die Vorgaben des SchulG NRW und der DS-GVO erfüllt, und
die Plattform keine Einwilligung oder Freiwilligkeit der Nutzung vorschreibt.

Über die eingesetzten digitalen Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen entscheidet die Schule. Unter welchen Voraussetzungen die Systeme zu nutzen sind, regeln die Ausbildungs- und Prüfungsordnungen.

Schulen dürfen die personenbezogenen Daten von Schülern und Lehrkräften bei der Nutzung digitalen Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen auf der Grundlage des SchulG NRW verarbeiten, wodurch die Erfordernis zu einer Einwilligung entfällt. Die Verpflichtung Betroffene über die Verarbeitung von personenbezogenen Daten gem. Art. 13 DS-GVO zu informieren besteht allerdings weiterhin.

Auch wenn digitale Lehr- und Lernsysteme und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen ohne Verpflichtung genutzt werden, etwa weil Schülerinnen und Schüler private Endgeräte auf freiwilliger Basis nutzen, bedarf es dazu keiner Einwilligung, da auch diese Verarbeitung von personenbezogenen Daten durch die neuen Regelungen abgedeckt sind.

Geht die Nutzung digitaler Lehr- und Lernsysteme und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsysteme über die Erfüllung des Bildungs- und Erziehungsauftrages hinaus, so setzt die dafür erforderliche Verarbeitung von personenbezogenen Daten eine Einwilligung der Betroffenen voraus.

Und außerdem

Mit den Neuerungen in den §§ 120 und 121 besteht nun die Möglichkeit, die personenbezogenen Daten von Schülern und Lehrkräften auch beim Einsatz von Videokonferenzsystemen zu verarbeiten. Die Aufzeichnung von Videokonferenzen ist auf dieser Rechtsgrundlage jedoch nicht möglich. Hier gelten weiterhin § 120 Abs. 6 bzw. § 121 Abs. 1 Satz 3, wonach “Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen […] der Einwilligung der betroffenen Personen.” bedürfen.

Fragen und Antworten zur Umsetzung der neuen Regelungen

Was die neuen Regelungen für die Praxis bedeuten, wird in den folgenden FAQ näher betrachtet.

FAQ – Einsatz von digitalen Plattformen ab März 2022

Stand 03/2022

Januar 23, 2022Januar 30, 2022

Auswirkungen der geänderten VO-DV I auf Nutzung Privatgeräte

Lesezeit: 2 Minuten

Der Grund dafür liegt in der jetzt sehr starken Eingrenzung der Möglichkeiten, weiterhin private Endgeräte für die Verarbeitung von personenbezogenen Daten aus der Schule zu nutzen. Das war bisher anders. Lehrkräfte konnten ihre privaten Endgeräte im Rahmen der Vorgaben der VO-DV I & II nutzen, um darauf diese Daten zu verarbeiten. Damit war es ihnen möglich, den Mangel an für Verwaltungsarbeiten in der Schule eingerichteten Lehrerarbeitsplätzen auszugleichen, mobil innerhalb der Schule zu arbeiten und auch Arbeiten zu Hause zu erledigen. Die Rahmenbedingungen begannen jedoch sich in dem Moment zu ändern, als Schulträger mit Unterstützung des Landes und des Bundes in die Lage versetzt wurden, Lehrkräfte mit dienstlichen Endgeräten auszustatten. Aus Sicht des Gesetzgebers wie auch der Aufsichtsbehörde des Landes NRW entfiel damit die Erfordernis, Lehrkräften weiterhin die Nutzung privater Endgeräte für die Verarbeitung von personenbezogenen Daten aus der Schule auf privaten Endgeräten zu gestatten. Gleichzeitig sah man jedoch auch, dass es an Schulen weiteres Personal gibt, welches wie Lehrkräfte personenbezogene Daten verarbeitet. Da es für diese Personengruppe noch keine Ausstattungsrichtlinie gibt, wurde auch hier die rechtliche Grundlage geschaffen, eine Genehmigung zur Nutzung von privaten Endgeräten zu erteilen. Die Möglichkeit, auch Lehrkräften diese Genehmigung zu erteilen, ist nicht komplett verschwunden, jedoch stark eingeschränkt, auf Personen, denen noch kein Dienstgerät zur Verfügung steht, deren Dienstgerät defekt oder verlustig gegangen ist, ohne dass Ersatz gestellt werden kann, und auf eine begrenzte Zahl von Ausnahmefällen.

Im Beitrag Verarbeitung von personenbezogenen Daten auf dienstlichen und privaten Endgeräten – VO-DV I werden die Auswirkungen der Änderungen in der VO-DV I im Detail betrachtet und kommentiert. Im Text wie auch in den FAQ am Ende wird versucht, an praktischen Beispielen zu zeigen, welche Spielräume die neuen Regelungen im schulischen Alltag lassen.

Verarbeitung von personenbezogenen Daten auf dienstlichen und privaten Endgeräten – VO-DV I

Lesezeit: 13 Minuten

Mit Datum vom 13. Dezember 2021 wurden die VO-DV I und VO-DV II durch die Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten geändert. Die Änderungen in den beiden Verordnungen wirken sich sehr deutlich auf die Arbeit der an den Schulen tätigen Personen aus, so dass man hier von einer Zäsur sprechen kann. Veränderungen mit vergleichbar starken Auswirkungen auf die Verarbeitung von personenbezogenen Daten an Schulen hat es in den vergangenen Jahren nicht gegeben. Selbst die Einführung der Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gem. § 2 Abs.2 VO-DV I / § 2 Abs.4 VO-DV II im Februar 2018, die zu viel Unruhe in den Kollegien führte, ist den jetzt in Kraft getretenen Änderungen von VO-DV I & II in ihren Auswirkungen nicht einmal ansatzweise vergleichbar.

Der Grund dafür liegt in der jetzt sehr starken Eingrenzung der Möglichkeiten, weiterhin private Endgeräte für die Verarbeitung von personenbezogenen Daten aus der Schule zu nutzen. Das war bisher anders. Lehrkräfte konnten ihre privaten Endgeräte im Rahmen der Vorgaben der VO-DV I & II nutzen, um darauf diese Daten zu verarbeiten. Damit war es ihnen möglich, den Mangel an für Verwaltungsarbeiten in der Schule eingerichteten Lehrerarbeitsplätzen auszugleichen, mobil innerhalb der Schule zu arbeiten und auch Arbeiten zu Hause zu erledigen. Die Rahmenbedingungen begannen jedoch sich in dem Moment zu ändern, als Schulträger mit Unterstützung des Landes und des Bundes in die Lage versetzt wurden, Lehrkräfte mit dienstlichen Endgeräten auszustatten. Aus Sicht des Gesetzgebers wie auch der Aufsichtsbehörde des Landes NRW entfiel damit die Erfordernis, Lehrkräften weiterhin die Nutzung privater Endgeräte für die Verarbeitung von personenbezogenen Daten aus der Schule auf privaten Endgeräten zu gestatten. Gleichzeitig sah man jedoch auch, dass es an Schulen weiteres Personal gibt, welches wie Lehrkräfte personenbezogene Daten verarbeitet. Da es für diese Personengruppe noch keine Ausstattungsrichtlinie gibt, wurde auch hier die rechtliche Grundlage geschaffen, eine Genehmigung zur Nutzung von privaten Endgeräten zu erteilen. Die Möglichkeit, auch Lehrkräften diese Genehmigung zu erteilen, ist nicht komplett verschwunden, jedoch stark eingeschränkt, auf Personen, denen noch kein Dienstgerät zur Verfügung steht, deren Dienstgerät verlustig gegangen oder defekt ist, ohne dass Ersatz gestellt werden kann, und auf eine begrenzte Zahl von Ausnahmefällen.

Die Änderungen im Detail

Die Änderungen an den beiden Verordnungen werden im Folgenden getrennt erklärt, da es jeweils um verschiedene Kategorien von personenbezogenen Daten geht, um die der Schüler und Eltern bzw. um die von Lehrkräften. In VO-DV II ist zudem der Kreis der von den Regelungen betroffenen Personen verschieden.

Welche Auswirkungen die Änderungen in der VO-DV II haben kann im Beitrag Verarbeitung von dienstlichen personenbezogenen Daten auf privaten und dienstlichen Endgeräten – VO-DV II nachgelesen werden.

VO-DV I

Änderung des Personenkreises für die Genehmigung

§2 Abs. 2 VO-DV I wird komplett neu gefasst, um den Personenkreis, welcher eine Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken durch die Schulleitung zu erweitern.

Die Verarbeitung personenbezogener Daten von in § 1 Absatz 1 Satz 1 genannten Personen auf privaten digitalen Geräten von Lehrkräften, Lehramtsanwärterinnen und Lehramtsanwärtern, Lehrkräften in Ausbildung, sonstigem pädagogischen und sozialpädagogischen Personal sowie Schulpsychologinnen und Schulpsychologen für dienstliche Zwecke bedarf der schriftlichen, ein Verzeichnis der Verarbeitungstätigkeiten gemäß Artikel 30 der Datenschutz- Grundverordnung enthaltenden Genehmigung durch die Schulleiterin oder den Schulleiter.

Lehramtsanwärterinnen und Lehramtsanwärter sowie Lehrkräfte in Ausbildung konnten auch bisher schon die Genehmigung erhalten, da sie unter Lehrerinnen und Lehrern mitgedacht waren. Um Klarheit zu schaffen, werden sie jetzt ausdrücklich aufgeführt. Neu hinzugekommen sind das sonstige pädagogische und sozialpädagogische Personal (z.B. gemäß § 58 Schulgesetz NRW, aber auch nicht im Landesdienst stehendes Personal) sowie Schulpsychologinnen und Schulpsychologen. Letztere müssen beispielsweise in “Krisenfällen oder bei konkreten Beauftragungen in einer Schule auf die Daten zurückgreifen“¹ können.

Den neu hinzugekommen Personen wird durch die Änderung der Verordnung eine Möglichkeit gegeben, Privatgeräte für die Verarbeitung von personenbezogenen Daten für dienstliche Zwecke zu verarbeiten, bis der Gesetzgeber mit einer neuen Richtlinie eine Regelung zur Ausstattung mit Dienstgeräten geschaffen hat oder ein Schulträger Dienstgeräte aus eigenen Mitteln zur Verfügung stellt.

Da diese Personen zur Erfüllung ihrer Funktionen personenbezogene Daten verarbeiten, die bisher nicht in Anlage 3 aufgeführt waren, gibt es hier nun eine Ergänzung.

14. Dokumentationen im Zuge des pädagogischen, sozialpädagogischen und schulpsychologischen Mitwirkens bei der Bildungs- und Erziehungsarbeit (z.B. Vermerke über Beratungstätigkeit, Arbeits- und Sozialverhalten)*)

Eine Ergänzung gibt es in Anlage 3 auch für Lehrkräfte. Diese betrifft die Nr. 10, die um neue Kategorien von personenbezogenen Daten erweitert wurde:

“Leistungsbewertungen und Bemerkungen zum Arbeits- und Sozialverhalten in den Fächern, in denen die Lehrkraft die Schülerinnen und Schüler unterrichtet, einschließlich digital von diesen erstellter Leistungsnachweise“

Damit wurde eine Rechtsgrundlage geschaffen für die Verarbeitung von Daten, die viele Lehrkräfte vermutlich schon lange auf den Privatgeräten verarbeiteten, auch wenn sie in Anlage 3 bisher nicht aufgeführt waren. Entsprechend ist es jetzt zulässig, auf Privatgeräten entsprechende Notizen anzufertigen, die erforderlich sind für spätere, nachvollziehbare Leistungsbewertungen. Genauso ist es jetzt möglich, Präsentationen; Referate, E-Books, Erklärvideos und ähnliche digital erstellte Leistungsnachweise auf privaten Endgeräten zu verarbeiten, damit Lehrkräfte diese dort begutachten und bewerten können.

In der Erläuterungen zu den Änderungen gibt es auf Seite 17 noch einen klärenden Hinweis, wie die Auflistung der in Anlage 3 aufgeführten personenbezogenen Daten zu verstehen ist.

“In der Anlage 3 sind die Daten, deren Verarbeitung auf Privatgeräten zulässig ist, enumerativ und abschließend aufgeführt.”²

Wie bisher setzt die Erteilung der Genehmigung voraus, dass die Verarbeitung der Daten für die Erfüllung schulischer Aufgaben erforderlich ist und “ein angemessener technischer Zugangsschutz nachgewiesen wird,” wie er im Genehmigungsformular Teil B beschrieben ist.

Nicht erteilt werden kann die Genehmigung Praxissemesterstudierenden und Studierenden im Eignungs- und Orientierungspraktikum im Lehramtsstudium (EOP), da sie nach Ansicht des MSB nicht unter den Begriff “Personal” fallen.

Zur Erteilung von Genehmigungen steht Schulleitungen aktuell nur das bekannte Formular zur Verfügung, welches Teil der Dienstanweisung für die automatisierte Verarbeitung von personenbezogenen Daten in der Schule (10-41 Nr. 4) und am 19.01.2018 in einem Runderlass veröffentlicht wurde. Da dieses Genehmigungsformular noch nicht auf die neue Rechtslage angepasst wurde, berücksichtigt es weder den neu hinzugekommenen Personenkreis, der jetzt eine Genehmigung erhalten kann, noch die Ergänzungen in Anlage 3. Auch eine Anpassung an die DS-GVO fehlt noch.

Wegfall der Genehmigung

Mit § 2 Abs. 2 Satz 4 – 6 ist die VO-DV I nun um eine Regelung ergänzt, welche die Möglichkeiten der Schulleitung einschränkt, den zuvor beschriebenen Personen eine Genehmigung zu erteilen. Außerdem ist geregelt, wann bereits erteilte Genehmigungen ihre Gültigkeit verlieren.

“(1) Die Genehmigung darf nicht erteilt werden, wenn ein persönliches dienstliches digitales Gerät für schulische Zwecke zur Verfügung gestellt wird. (2) Eine bereits erteilte Genehmigung erlischt mit Aushändigung eines solchen Gerätes. (3) Übergangsweise ist die weitere Nutzung des Privatgeräts für die Dauer von höchstens vier Wochen zulässig, soweit dies zur Übertragung der personenbezogenen Daten auf das dienstliche Gerät erforderlich ist.”

Sobald einer der zuvor beschrieben Personen (Lehrkräften, Lehramtsanwärterinnen und Lehramtsanwärtern, Lehrkräften in Ausbildung, sonstigem pädagogischen und sozialpädagogischen Personal sowie Schulpsychologinnen und Schulpsychologen) ein persönliches dienstliches Gerät zur Verfügung gestellt wird, darf ihr keine Genehmigung für ein privates Endgerät erteilt werden. Hatte die Person bereits eine Genehmigung, so verliert diese automatisch ihre Gültigkeit. Das bedeutet, die Schulleitung muss die Genehmigung nicht aktiv widerrufen.

Geht ein zur Verfügung gestelltes Dienstgerät defekt oder verlustig und es gibt keinen Ersatz, erfüllt die Person die Voraussetzungen für die Erteilung einer Genehmigung. Auch wenn ein Gerät für einen Zeitraum in Reparatur ist, sollte es möglich sein, für diese Zeit eine Genehmigung zur Nutzung eines Privatgerätes zu erteilen, sofern kein Ersatzgerät gestellt werden kann.

Persönliches dienstliches digitales Gerät

Wichtig ist an diesem Abschnitt, dass es sich bei dem dienstlichen Gerät um ein persönliches dienstliches digitales Gerät handelt. Stehen beispielsweise zwei Schulsozialpädagog:innen an einer Schule ein gemeinsam genutzter Laptop und ein iPad für die tägliche Arbeit in der Schule zur Verfügung, welche die Personen sogar mit nach Hause nehmen dürfen, so fallen diese Geräte nicht unter die Regelung und die Schulleitung darf den beiden Mitarbeiter:innen nach der Erweiterung des Personenkreises, welcher Genehmigungen für die Nutzung von Privatgeräten erhalten kann, jetzt eine solche erteilen. Ein persönliches dienstliches digitales Gerät setzt voraus, dass dieses der Person ausdrücklich als ein solches zugewiesen wurde. Dieses geht in der Regel mit einer Nutzungsvereinbarung einher, wie sie beispielsweise im Rahmen der Richtlinie über die Förderung von dienstlichen Endgeräten für Lehrkräfte an Schulen in Nordrhein-Westfalen erforderlich ist.

Zur Verfügung stellen – Aushändigung

In Satz 4 und 5 heißt es, die Genehmigung darf nicht erteilt werden, wenn ein Dienstgerät “zur Verfügung gestellt wird” bzw. eine bereits erteilte Genehmigung erlischt “mit Aushändigung eines solchen Gerätes“.

In dieser Stelle werden sicherlich einige Personen eine Möglichkeit sehen, weiterhin mit einem privaten Endgerät mit Genehmigung der Schulleitung zu arbeiten. Reicht es die Annahme eines Dienstgerätes zu verweigern? Kann man gezwungen werden, ein Dienstgerät anzunehmen?

Für die Möglichkeit, die Annahme eines Dienstgerätes verweigern zu können, spricht die Regelung in der Richtlinie über die Förderung von dienstlichen Endgeräten für Lehrkräfte an Schulen in Nordrhein-Westfalen zur Annahme der Nutzungsbedingungen durch die Lehrkräfte. Dort heißt es in Abs. 6.3:

“Der Schulträger stellt den Lehrkräften die digitalen Endgeräte für eine unentgeltliche Nutzung zur Verfügung. Die Nutzungsbedingungen für die digitalen Endgeräte sind durch den Schulträger festzulegen. Die Zustimmung der Lehrkräfte zu den Nutzungsbedingungen ist sicherzustellen.“

Ohne Annahme der Nutzungsbedingungen, darf ein Schulträger das Dienstgerät nicht an die Lehrkraft aushändigen. Genauso könnte eine Lehrkraft auch die Einwilligung in die zur Verwaltung der Dienstgeräte erforderliche Datenverarbeitung verweigern oder für eine von beiden die Zustimmung bzw. Einwilligung widerrufen.

Daraus ergibt sich ein Widerspruch zwischen den Regelungen der Verordnung und der Richtlinie.

Auf der anderen Seite wird vermutlich auf die Formulierung “zur Verfügung gestellt wird” verwiesen werden. Die Frage ist hier, was genau man darunter verstehen kann bzw. will. Reicht es bereits aus, wenn der Schulträger ein Gerät für die Lehrkraft beschafft, es für sie einrichtet und ihr einen Termin gibt zur Übernahme, um von “zur Verfügung stellen” zu sprechen? Würde man sich dieser Argumentation anschließen, müsste man auch in Kauf nehmen, dass die Einwilligung der Lehrkraft in die Nutzungsbedingungen dann nicht mehr freiwillig erfolgen kann.

Es bleibt abzuwarten, wie dieser Widerspruch sich in der Praxis auflöst. Von Seiten des MSB und eventuell auch einzelnen Bezirksregierungen oder deren Mitarbeitern dürfte hier am ehesten ein Hinweis zu erwarten sein, dass die Verordnung Vorrang hat und durchzusetzen ist.

Übergangsfrist für den Wechsel

Um den Wechsel vom privaten Gerät auf das Dienstgerät stressfrei zu ermöglichen, räumt der Gesetzgeber den betroffenen Personen eine Übergangszeit ein.

(3) Übergangsweise ist die weitere Nutzung des Privatgeräts für die Dauer von höchstens vier Wochen zulässig, soweit dies zur Übertragung der personenbezogenen Daten auf das dienstliche Gerät erforderlich ist.

Wichtig ist hier, dass Personen, welche eine Genehmigung für ein privates Endgerät hatten, die Verarbeitung von personenbezogenen Daten aus der Schule auf diesen Geräten ab dem Zeitpunkt nicht mehr fortsetzen dürfen und alle diese Daten vom Gerät löschen müssen, sobald sie diese “datenschutzgerecht” auf das Dienstgerät übertragen haben.

Ausnahmeregelung

Der Gesetzgeber erkennt an, dass es Ausnahmen geben kann, die es erforderlich machen, eine Nutzung von Privatgeräten entgegen der vorherigen Regelung zuzulassen. In § 2 Abs. 2 Satz 7 VO-DV I heißt es deshalb:

(7) Unabhängig davon kann die Schulleitung ausnahmsweise in begründeten, von ihr zu dokumentierenden Einzelfällen die Nutzung von Privatgeräten vorübergehend zulassen, soweit dies zur vollumfänglichen schulischen Verarbeitung personenbezogener Daten erforderlich und die datenschutzgerechte Verarbeitung entsprechend der für die Nutzung von Privatgeräten geltenden Standards gewährleistet ist.

Sechs Bedingungen sind an die Ausnahme geknüpft und sie müssen sämtlich erfüllt sein, um von der neuen Regelung bezüglich des Wegfalls der Genehmigung sobald ein Dienstgerät zur Verfügung gestellt wird, abweichen zu können. Die Schulleitung kann die Nutzung von Privatgeräte ausnahmsweise zulassen, jedoch

nur in Einzelfällen,
die zu begründen und
zu dokumentieren sind,
nur vorübergehend und auch nur,
soweit dies zur vollumfänglichen schulischen Verarbeitung personenbezogener Daten erforderlich ist, und
dabei die datenschutzgerechte Verarbeitung entsprechend der für die Nutzung von Privatgeräten geltenden Standards gewährleistet ist.

Einzelfälle

Bei der Ausnahme geht es um Einzelfälle. Wie oft der Einzelfall eintreten darf, um kein Einzelfall mehr zu sein, ist dabei Auslegungssache und dem Fingerspitzengefühl der Schulleitung überlassen. Offen ist außerdem, ob der Einzelfall auf eine einzelne Person oder auf bestimmte Fälle der Datenverarbeitung zu beziehen ist. Das MSB erläutert diesen Passus im Entwurf einer Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten auf S. 12 wie folgt.

“Mit der weiteren Möglichkeit, in Einzelfällen die Nutzung von Privatgeräten zuzulassen, soll die Schulleitung dem evtl. Umstand Rechnung tragen können, falls das dienstliche Gerät für eine spezifische schulische Aufgabenerledigung nicht geeignet ist.”

Das lässt annehmen, dass es dem Gesetzgeber nicht nur um die einzelne Person geht, sondern auch um Einzelfälle, welche die Datenverarbeitung durch eine Gruppe von Personen betreffen. Können mehrere Personen mit dem Dienstgerät eine bestimmte schulische Aufgabe nicht erledigen, so kann in einem solchen Einzelfall eine Genehmigung ausnahmsweise erteilt werden.

An einer Schule, deren Lehrkräfte sämtlich oder zum Teil mit iPads als Dienstgeräten ausgestattet sind, sollte es deshalb auf der Grundlage der Ausnahmeregelung möglich sein, die Nutzung von Privatgeräten vorübergehend zu genehmigen, wenn am Ende eines Halb- oder Schuljahres die Lehrkräfte ihre Noten in das externe Notenmodul eintragen müssen. iPads sind für diese spezifische schulische Aufgabenerledigung nicht geeignet, nur wenige Schulen haben bisher SchiLD Web, um Noten online einzugeben, und in vielen Schulen stehen auch weiterhin nur wenige für Verwaltungsarbeiten eingerichtete Lehrerarbeitsplätze zur Verfügung, die alternativ genutzt werden könnten. Die zwei Termine im Schuljahr, zu denen die Noten eingetragen werden müssen, wären dann entsprechende Einzelfälle.

Praktisch umgesetzt bedeutet dieses, dass die Schulleitung den Lehrkräften der Schule schriftlich mitteilt, dass die bisherigen Genehmigungen vorübergehend und beschränkt auf die Eingabe der Noten im externen Notenmodul wieder Gültigkeit haben. Lehrkräfte, die mittlerweile ein neues Privatgerät haben, müssten sich eine neue Genehmigung erteilen lassen. Gleiches gilt auch für Lehrkräfte, welchen bisher noch keine Genehmigung erteilt wurde. Um den Vorgaben der von § 2 Abs. 2 Satz 7 VO-DV I zu entsprechen, schreibt sie in die Mitteilung an die Lehrkräfte auch eine Begründung für die Ausnahme und ist dann damit auch ihrer Verpflichtung zur Dokumentation nachgekommen.

Klar sein sollte aus dem Text der Verordnung wie auch der Erläuterung des MSB zum Entwurf der Änderung, dass Lehrkräfte, die mit ihrem Dienst iPad grundsätzlich nicht zurechtkommen und es für ungeeignet halten, ihren dienstlichen Verpflichtungen nachzukommen, keine Chance haben werden, sich auf diese Ausnahmeregelung zu berufen, selbst wenn ihr Anliegen berechtigt ist. Die Ausnahmeregelung ist dafür zu eingeschränkt auf spezifische Fälle, auch wenn diese selbst nicht näher definiert sind.

Vorrübergehend

Auch die Wortwahl vorübergehend lässt einigen Spielraum, der sicherlich von einigen Tagen bis zu mehreren Wochen reichen kann, je nachdem um welche schulische Verarbeitung personenbezogener Daten es geht, die auf dem zur Verfügung gestellten Dienstgerät nicht vollumfänglich möglich ist.

Im Falle des externen Notenmoduls wäre “vorübergehend” eine Dauer von wenigen Tagen. Im Fall von Lehrkräften, welche mit einem Dienst-Laptop ausgestattet sind und bislang mit Genehmigung ihr privates iPad nutzten, um damit täglich im Unterricht mit iPad-Klassen oder mit dem in die Klasse geholten iPad Koffer zu arbeiten, könnten es vermutlich auch mehrere Wochen sein, wenn der Schulträger die Beschaffung von iPads für diese Lehrkräfte in Aussicht gestellt hat und es nur gilt, den Zeitraum bis zum Eintreffen der Geräte zu überbrücken.

Klar ist, dass mit “vorübergehend” dauerhafte Ausnahmen gemeint sind.

Im Juni 2022 informierte der Hauptpersonalrat für Grundschulen beim Ministerium für Schule und Bildung des Landes Nordrhein-Westfalen eine Schulinfo, in welcher auch das Thema Nutzung von Privatgeräten Gegenstand war.

„Zwar ist mit der Einschränkung „vorübergehend“ eine zeitliche Begrenzung der Nutzung beabsichtigt, jedoch besteht keine konkrete Fristvorgabe. Dem Hauptpersonalrat wurde von Seiten des MSB zugesichert, dass die Ausnahmegenehmigung so lange gelten kann, bis man über ein Gerät verfügt, auf dem die schulisch notwendige Aufgabenerfüllung möglich ist. Die Prüfung muss zwar im Einzelfall erfolgen, aber da unter Umständen ganze Kollegien betroffen und in der gleichen Situation sind, kann auch nach der Prüfung des Einzelfalls allen Mitgliedern des Kollegiums eine Ausnahmegenehmigung erteilt werden.
Weitere Vorgaben für die Ausnahmegenehmigung gibt es nicht. Zu einer etwaigen Rückgabe des Dienstgerätes in diesem Fall ist in der Verordnung keine Regelung getroffen. Es reicht aus zu begründen, warum die personenbezogenen Daten nicht auf dem dienstlichen Gerät verarbeitet werden können.“

Was für die Lehrkräfte der Grundschulen gilt, gilt in diesem Fall auch für die Lehrkräfte aller anderen Schulformen. Mit dieser Zusage des MSB gegenüber dem HPR für Grundschulen eröffnet sich auch für andere Schulen eine Möglichkeit, die Vorgaben der VO-DV I etwas großzügiger auszulegen.

vollumfängliche schulische Verarbeitung personenbezogener Daten

Mit dem zur Verfügung gestellten Dienstgerät sollte es möglich sein, alle personenbezogenen Daten, zu verarbeiten, die zur dienstlichen Aufgabenerledigung³ erforderlich sind. Die Geräte sind deshalb den für Verwaltungsarbeiten eingerichteten Lehrerarbeitsplätzen in der Schule gleichgestellt. Die Praxis zeigt jedoch, dass die zur Verfügung gestellten Geräte oft einige Aufgaben aus technischen Gründen nicht abdecken können und sie von daher nicht zur “vollumfänglichen schulischen Verarbeitung von personenbezogenen Daten” geeignet sind. Das gilt vor allem für iPads, kann aber je nach Setting auch für die an Schulen beschafften Windows Laptops gelten.

Daraus einen Einzelfall abzuleiten, für den eine Ausnahme gelten soll, dürfte nur in wenigen Fällen möglich sein, da die anderen Bedingungen die Ausnahme zu sehr einschränken. Haben sich an einer Schule, deren Schüler mit iPads ausgestattet wurden, die Lehrkräfte für Laptops als Dienstgeräte entschieden, um in der Verarbeitung von personenbezogenen Daten außerhalb des Unterrichts nicht eingeschränkt zu sein, so wird die Ausnahmeregelung hier keine Grundlage bieten, dauerhaft weiterhin die privaten iPads einzusetzen für den Unterricht, sofern nicht, wie oben beschrieben, zusätzlich Lehrer iPads beschafft werden sollen, und die Zeit bis zum Eintreffen derselben überbrückt werden muss.

Mit Blick auf die Zusage des MSB gegenüber dem HPR Grundschule sollte es Schulen auch möglich sein, die Voraussetzungen für die Erteilung einer Ausnahme etwas großzügiger zu handhaben. Nach dem oben zitierten Text ist die Erteilung einer Ausnahme möglich, bis man über “ein Gerät verfügt, auf dem die schulisch notwendige Aufgabenerfüllung möglich ist.” Ob das Dienstgerät die Voraussetzungen zur Erfüllung der schulisch notwendigen Aufgeben nicht erfüllt, da es technisch nicht dazu in der Lage ist oder da es vollkommen unergonomisch ist, bleibt dabei offen. Damit sollte es auch möglich sein, eine fehlende iPad Tastatur als Begründung anzugeben oder das zu kleine Display.

Begründet und dokumentiert

Kommt eine Schulleitung zu dem Schluss, dass der Einzelfall vorliegt und sie vorübergehend eine Nutzung von Privatgeräten zulassen möchte, so muss sie dieses für sich begründen und dokumentieren. Es sollte demnach auch einen triftigen Grund geben für die Ausnahme. Die Dokumentation könnte, wie oben beschrieben, mit dem Schreiben erfolgen, mit welchem sie die betreffenden Personen über die Erteilung der vorübergehenden Genehmigung und für welche Verarbeitung von personenbezogenen Daten diese gilt, informiert. Festhalten sollte die Schulleitung außerdem, wem sie die Ausnahme gewährt hat. Ob die Schulleitung als Verantwortlicher hier gegenüber vorgesetzten Dienststellen irgendwann einmal Rechenschaft ablegen muss, geht aus der Verordnung nicht hervor. Es ist aber durchaus möglich, dass das MSB hier zukünftig eine Abfrage machen könnte.

Sonderregelung Schulleitung

Die Schulleitung ist von der Regelung zum Wegfall der Genehmigung ausgenommen, da sie sich selbst keine Genehmigung erteilen kann. Sie kann also weiterhin ein privates Endgerät zur Verarbeitung von personenbezogenen Daten aus der Schule verwenden, ist dabei jedoch auf die in Anlage 3 genannten Daten beschränkt. Dieses wurde in der Änderung noch einmal angepasst und betont.

Entsprechend heißt es in §2 Abs. 2

“Wenn die Schulleiterin oder der Schulleiter personenbezogene Schülerdaten auf privaten digitalen Geräten verarbeitet, ist dies nur für die in Anlage 3 genannten Daten zulässig, soweit die Verarbeitung der Daten zur Aufgabenerfüllung erforderlich ist und der erforderliche Schutz der Daten technisch sichergestellt wird.“

In der Kommentierung im Entwurf der Änderung (S. 12) heißt es dann auch entsprechend: “Mit dem neu angefügten Satz 6 wird klargestellt, dass auch Schulleiterinnen und Schulleiter auf privaten digitalen Geräten nur die personenbezogenen Schülerdaten der Anlage 3 verarbeiten dürfen, dies soweit die Verarbeitung der Daten zur Aufgabenerfüllung erforderlich und der Schutz der Daten technisch sichergestellt ist. Die Klarstellung ist erforderlich, weil die vorstehenden Regelungen zur Genehmigungspflicht durch die Schulleitung ersichtlich nicht gelten können, soweit Schulleitungen selber Privatgeräte nutzen. Sie können sich die Genehmigung nicht selbst erteilen.”

FAQ

Kann ein privater Laptop weiterhin zur Administration von Logineo NRW genutzt werden, da dieses mit dem Dienst iPad nicht möglich ist?
- In den FAQ des MSB zu Logineo NRW heißt es (Stand 01.2022): “Es ist ein weit verbreitetes Missverständnis, dass die Nutzung von LOGINEO NRW auf privaten Endgeräten ohne eine gültige Genehmigung für die Verarbeitung von personenbezogenen Daten auf privaten ADV-Anlagen erlaubt ist. Die Nutzung von LOGINEO NRW auf privaten Endgeräten setzt die Genehmigung zur Verarbeitung von personenbezogenen Daten auf privaten Endgeräten voraus.”
- Sofern sich die bei der Administration von Logineo NRW verarbeiteten personenbezogenen Daten auf die in Anlage 3 beschränken, könnte die Schulleitung eine vorübergehende Genehmigung auf der Grundlage von § 2 Abs. 2 Satz 7 VO-DV I erteilen. Es wäre in einem solchen Fall zu empfehlen, der Lehrkraft für die Administrationsaufgaben ein geeignetes zusätzliches Dienstgerät, etwa einen Laptop, zur Verfügung zu stellen.
- Müssen bei der Administration von Logineo NRW auch personenbezogene Daten verarbeitet werden, die über die in Anlage 3 aufgeführten hinausgehen, ist die Nutzung eines Privatgerätes dafür auch mit Genehmigung nicht möglich.
Kann ein privater Laptop weiterhin zur Vorbereitung von Aufgaben in Logineo NRW LMS genutzt werden, da dieses mit dem Dienst iPad nicht vollumfänglich möglich ist?
- Der Zugriff auf Logineo NRW setzt, gem. der Aussagen in den FAQ des MSB immer eine Genehmigung voraus. Das heißt, auch wenn man nicht beabsichtigt, auf Schülerdaten wie erledigte Aufgaben oder Nachrichten zuzugreifen, geht es ohne die Genehmigung nicht. Ist diese erloschen, weil ein Dienstgerät zur Verfügung gestellt wurde, kann auf Logineo NRW nicht mehr von einem Privatgerät zugegriffen werden.
Wie sieht es mit dem Abruf von E-Mails vom dienstlichen Konto im Logineo NRW der Schule aus?
- Auch dieses ist, wenn man sich an den Aussagen in den FAQ des MSB zu Logineo NRW orientiert nicht mehr möglich, sobald die Genehmigung erloschen ist. Eine Ausnahmeregelung auf der Grundlage von § 2 Abs. 2 Satz 7 VO-DV I dürfte hier nicht realistisch sein, außer es handelt sich um eine Person, die dringend über dieses E-Mail Konto jederzeit erreichbar sein muss und es ist bereits eine Alternativ-Lösung wie ein Dienst-Smartphone in Vorbereitung.
Der Messenger von Logineo NRW ist für eine schnelle Kommunikation gedacht, auch außerhalb der Unterrichtszeiten. Was ist damit?
- Leider sieht es auch hier nicht anders aus. Orientiert man sich an den FAQ des MSB, ist eine Nutzung ohne die Genehmigung nicht zulässig, da die Nutzung immer mit der Verarbeitung von personenbezogenen Daten einhergeht.
Darf man mit dem privaten Smartphone weiterhin mit Eltern telefonieren, wenn ein Dienstgerät zur Verfügung gestellt wurde?
- Telefonnummern stellen personenbezogene Daten dar. Zur Verarbeitung von Telefonnummern von Schülern, Eltern und Lehrkräften auf einem privaten digitalen Endgerät braucht es entsprechend eine Genehmigung der Schulleitung.
- Ich persönlich halte es jedoch für vertretbar, ein privates Smartphone weiterhin für Telefonate mit Schülern, Eltern und anderen Lehrkräften auch ohne Genehmigung zu nutzen, sofern man die Telefonnummern nicht als Kontakte auf dem Smartphone oder in einem Online-Adressbuch, auf welches man vom Smartphone aus zugreift, speichert. Zwar werden die Telefonnummern von Personen, welche angerufen wurden in einer Anrufliste gespeichert, doch erfolgt dieses ohne Namen. Gleiches geschieht, wenn man von Schülern, Eltern und Kollegen angerufen wird. Und dieses wird niemand verbieten.
Kann man über ein Smartphone zumindest noch den Vertretungs- und Stundenpläne sowie Aufsichtspläne abrufen, auch ohne Genehmigung?
- Ja, das geht, und es braucht keine Genehmigung der Schulleitung hierfür. Hier gibt es in der § 2 Abs. 5 VO-DV II eine Ausnahmeregelung, die unter Ausnahme von der Genehmigungspflicht im Beitrag zu den Änderungen in der VO-DV II bezüglich der Nutzung von Privatgeräten näher erklärt ist.
Weitere FAQ folgen …

Stand September 2022

Thema Videokonferenzen

Lesezeit: < 1 Minute

Bisher waren hier viele Beiträge aufgeführt, welche sich mit datenschutzrechtlichen Fragen zur Nutzung von Videokonferenz Plattformen zur Erteilung von Distanzunterricht, zur Teilnahme von Schülerinnen und Schülern am Unterricht von zu Hause aus und von Notenkonferenzen via Videokonferenz Plattformen und ähnlich befassen. Sie haben sich mit den durch das 16. Schulrechtsänderungsgesetz einführten neuen Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten beim Einsatz von Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen weitestgehend überholt und wurden deshalb aus der Seite entfernt.

Im folgenden Beitrag werden diese neuen Möglichkeiten, welche sich für dein Einsatz von Videokonferenz Plattformen zur Erfüllung des Bildungs- und Erziehungsauftrags für Schulen in NRW seit Februar 2022 ergeben, ausführlich erläutert und auch die Grenzen aufgezeigt.

⇨ 16. Schulrechtsänderungsgesetz und Datenschutz 🔗

Ältere Beiträge, die aber noch Relevanz haben.

⇨ Videokonferenzen – eine Plattform auswählen 🔗
Hier geht es konkret um die Auswahl eines geeigneten Videokonferenz Tools und welche Kriterien man dabei im Auge behalten sollte. Dieser Beitrag ist weiterhin aktuell.

⇨ Videokonferenz Plattformen in Schule nutzen 🔗
Es geht hier um grundsätzliche Fragen des Einsatzes von Videokonferenz Tools in Schule und Fragen, die eine Schule sich vor dem Einsatz stellen sollte, mit Handlungsempfehlungen.

Stand 03/2022

Logineo NRW

Lesezeit: 6 Minuten

Hinter dem Label Logineo NRW verbergen sich die verschiedenen Module der Landesplattform für Schulen und ZfSL, die aktuell unabhängig von einander genutzt werden können. Es gibt die

Basis Plattform Logineo NRW (erreichbar unter https://idp.logineo.nrw.schule/,
das LMS Logineo NRW LMS (erreichbar unter https://logineonrw-lms.de/login/index.php) und
den Messenger mit angedockter Videokonferenz Plattform Logineo NRW Messenger (erreichbar unter https://idp.rose.logineo.de/….)

Mitbestimmung

Was mit den Plattformen möglich ist und wo die Grenzen sind, auch mit Blick auf Datenschutz, ist in zwei Dokumenten geregelt, welche durch die Hauptpersonalräte und Hauptschwerbehindertenvertretungen mitbestimmt wurden:

Letzteres Dokument wird durch schulinterne Regelungen, soweit sie im Rahmen der Vorgaben des Dokumentes möglich sind, ergänzt.

Einwilligung und Informationen zur Datenverarbeitung

Die Nutzung aller drei Logineo NRW Plattformen ist freiwillig. Niemand, weder Lehrkräfte noch Schüler oder andere Personen, die für eine Nutzung in Frage kommen, kann zur Nutzung der Plattformen verpflichtet werden. Aus einer Nichteinwilligung dürfen den Betroffenen keine Nachteile entstehen. Alle drei Plattformen und die zugehörige Dokumentation wurde mitbestimmt.¹

Alles digital

Wie bei jeder in Schule genutzten Plattform sind auch zur Nutzung den Logineo NRW Plattformen Informationen zur Datenverarbeitung gemäß Art. 13/ 14 DS-GVO erforderlich. Diese Informationen finden sich jeweils an zwei Stellen.

Sie finden sich einmal bei jeweiligen Aktivierungsdialog der Plattformen. Bei allen drei Plattformen wird die Einwilligung in die Verarbeitung von personenbezogenen Daten bei Nutzung der Plattformen in elektronischer Form erteilt. Es braucht also kein Papierdokument mit einer Unterschrift!

Informationen zur Datenverarbeitung

Die Informationen zur Datenverarbeitung kann man auch außerhalb dieses Dialogs einsehen. Sie finden sich unter:

Logineo NRW – Datenschutzerklärung LOGINEO NRW.pdf
Logineo NRW LMS – Datenschutzerklärung LOGINEO NRW LMS.pdf
Logineo NRW Messenger – Datenschutzinformationen.pdf

Elternanschreiben (mit Einwilligung)

Die Einwilligung kann elektronisch durch Setzen eines Häkchens erteilt werden. Bei jüngeren Schülern geht dieses jedoch nicht ohne die Erziehungsberechtigten. Damit hier alles korrekt abläuft, gibt es Elternanschreiben, die man zuvor ausgibt, bzw. verschickt und dann wieder einsammelt:

Logineo NRW – noch ausstehend, da aktuell noch keine Schülerzugänge eingerichtet sind
Logineo NRW LMS – Informationsschreiben: LOGINEO NRW LMS.pdf
Logineo NRW Messenger – Informationsschreiben: LOGINEO NRWMessengerundMessenger mitVideokonferenzoption.pdf

Schülergerechte Informationen zum Datenschutz

Die meisten Informationen, welche auf den Produktseiten der Logineo NRW Familie zur Verfügung gestellt werden, richten sich an Erwachsene. Aber es gibt auch Informationen auf einem für Schüler angemessenen Niveau:

Logineo NRW Messenger – Datenschutz und Nutzungsbedingungen
einfach erklärt.pdf

Vertrag zur Auftragsverarbeitung

Schulen benötigen bei der Nutzung der Logineo NRW Plattformen gemäß Art. 28 DS-GVO und SchulG NRW einen Vertrag zur Auftragsverarbeitung, den sie mit dem Anbieter abschließen. Da die drei Plattformen von drei verschiedenen Anbietern bereitgestellt werden, braucht es auch drei solche Verträge. Sie finden sich unter:

Logineo NRW – Vertrag zur Auftragsverarbeitung.pdf
Logineo NRW LMS – Vertrag zur Auftragsverarbeitung.pdf + Anlage 1 (Informationen für Verantwortliche.pdf) + Anlage 2 (Verzeichnis der Verarbeitungstätigkeiten)
Logineo NRW Messenger mit Videokonferenz Tool – Vertrag zur Auftragsverarbeitung.pdf + Anlage 1 (nformationen und Vorgaben für Verantwortliche) + Anlage 2 (Verzeichnis der Verarbeitungstätigkeiten)

und werden abgeschlossen wie dort beschrieben.

Die Logineo NRW Plattformen werden an den meisten Schulen von einer Lehrkraft administriert. Manchmal sind es auch zwei Personen und gelegentlich auch die Schulleitung selbst. Damit diese Tätigkeit datenschutzrechtlich abgesichert ist, sollte mit dem bzw. den Administratoren eine sogenannte Administratorenverpflichtung abgeschlossen werden. Diese gilt dann für alle administrativen Tätigkeiten, welche die Personen ausüben, muss aber entsprechend erweitert werden, wenn es um mehr als eine Plattform geht.

Administratorenverpflichtung.pdf

Fragen und Antworten zu Logineo NRW und Datenschutz

Auch wenn eigentlich alles in den Dokumenten zu den drei Plattformen von Logineo NRW steht, was man zum Datenschutz wissen sollte, hier noch einmal die wichtigsten Punkte als FAQ:

Kann man zur Nutzung der Logineo NRW Plattformen gezwungen werden?
- Nein, die Nutzung ist freiwillig. Die Einwilligung wird bei der ersten Anmeldung am System, der Account Aktivierung gegeben. Sie kann jederzeit widerrufen werden.
Muss zur Nutzung der Logineo NRW Plattformen eine Einwilligung in die Verarbeitung von personenbezogenen Daten gegeben werden?
- Ja, das ist erforderlich. Ohne geht es nicht. Aber niemand kann zur Einwilligung gezwungen werden.
Können Kinder eigenständig in die Nutzung der Logineo NRW Plattformen einwilligen?
- Nein, bei Kindern und Jugendlichen ist eine Einwilligung der Erziehungsberechtigten erforderlich. Etwa ab dem Alter von 15 oder 16 Jahren sind Jugendliche aber in der Lage die Folgen und Tragweite ihrer Entscheidung abzuschätzen und die Einwilligung eigenständig zu erteilen. Die Eltern sollten trotzdem zumindest informiert werden.
Können Kinder eigenständig in die Einwilligung widerrufen?
- Das können sie durchaus, vor allem wenn es um das Videokonferenz Tool geht. Wenn sie die Kamera nicht einschalten, widerrufen sie zumindest für den Augenblick ihre Einwilligung und das ist zu akzeptieren.
Ich habe eingewilligt. Muss ich dann auch mit meinem privaten Endgerät damit arbeiten?
- Nein, die Nutzung der Plattformen mit privaten Endgeräten ist freiwillig. Lehrkräfte benötigen hierzu außerdem auch eine Genehmigung der Schulleitung für ihr privates Endgerät.
Muss ich bei der Nutzung der Videokonferenz Komponente, die Kamera einschalten?
- Nein, das ist eine Entscheidung im Rahmen des Rechts auf informationelle Selbstbestimmung. Ich kann die Kamera jederzeit ausschalten. Gleiches gilt auch für den Ton. Auch das Mikrofon kann jederzeit deaktiviert werden.
Entstehen mir keine Nachteile, wenn ich keine Einwilligung erteile?
- Es dürfen bei einer nicht-Einwilligung keine Nachteile entstehen. Die Schule muss dann dafür sorgen, dass wichtige Information diese Personen auf alternativen Wegen erreichen.²
Welche Daten dürfen in der Bildungscloud von Logineo NRW gespeichert werden?
- Die Bildungscloud ist für pädagogische Daten gedacht, nicht für pädagogische Dokumentation oder personenbezogene Daten aus der schulinternen Verwaltung. Hierfür gibt es die Verwaltungscloud.
Welche Daten dürfen in Logineo NRW LMS gespeichert werden?
- Das Landes Moodle ist ausschließlich für die Verarbeitung von pädagogischen Daten vorgesehen. Entsprechend ist es auch im Vertrag zur Auftragsverarbeitung festgehalten.³ Pädagogische Daten meint hier die von zugeteilten und bearbeiteten Aufgaben, Feedback und Bewertungen, von den Schülern erstellte Artefakte, Kommunikationsinhalte, Umfragebeiträge usw.
- Es gibt auch noch das von QUA-LIS entwickelte Modul zur digitalen Lern- und Entwicklungsplanung in Logineo NRW LMS. Diese Inhalte im LMS des Landes zu verarbeiten, widerspricht den im Vertrag zur Auftragsverarbeitung vorgesehen Daten. Schulen, welche dieses Modul nutzen, verarbeiten die dabei anfallenden personenbezogenen Daten, die durchaus zu den sogenannten besonderen Kategorien nach Art. 9 DS-GVO gehören können, außerhalb des Vertragsverhältnisses. Das MSB sieht darin, wie sich aus Rückfragen ergab, scheinbar kein Problem. Von QUA-LIS selbst heißt es: “Für sensible personenbezogene Daten ist die Ablage im LOGINEO NRW Datensafe vorgesehen.
  Zur Ausarbeitung der individuellen Förderpläne wird den Lehrkräften in dem Modul zur Lern- und Entwicklungsplanung dazu ein Template zur Verfügung gestellt, das die Ausarbeitung eines Förderplanes vorstrukturiert. Inhaltliche Arbeitsvorschläge finden die Lehrkräfte In der entsprechenden Arbeitshilfe Praxisbeispiele: https://www.schulentwicklung.nrw.de/q/upload/Inklu- sion/Ueberarbeitung_LEP/QUA-LiS_NRW_Arbeitshilfe_LEP.pdf“⁴
Welche Daten dürfen in Logineo NRW Messenger verarbeitet werden?
- Der Messenger ist vor allem zur Kommunikation im Unterricht gedacht. Entsprechend dürfen dort pädagogische Inhalte kommuniziert werden. Gleiches gilt auch für das Videokonferenz Tool. Es geht um kurzfristige Kommunikation von Inhalten.⁵ Auch Lehrkräfte können untereinander über die Plattformen kommunizieren. Ausgeschlossen von der Verarbeitung im Messenger sind jedoch Dokumente mit sensibleren personenbezogenen Daten wie Notenlisten oder Fördergutachten.⁶. Auch wenn der Messenger als sehr sicher gilt, würde es durch solch einen Austausch zu unkontrollierten Speicherungen dieser Daten kommen. Die ausgetauschten Daten verblieben solange auf den Servern des Messengers gespeichert, bis der Chatraum gelöscht wird.
Wo in Logineo NRW dürfen personenbezogene Daten der pädagogischen Dokumentation und der schulinternen Verwaltung verarbeitet werden?
- Dafür gibt es die Verwaltungscloud von Logineo NRW (Basis Plattform). Wichtig ist, dass besonders sensible Dokumente wie Fördergutachten, Beurteilungen und ähnlich nur im Daten-Safe gespeichert und verarbeitet werden?
Kann Logineo NRW zur Datensicherung verwendet werden?
- Logineo NRW kann zur vorübergehenden Sicherung von personenbezogenen Daten von dienstlichen Endgeräten genutzt werden. Die Plattform ist jedoch nicht für Archiv Zwecke eingerichtet.⁷ Für eine dauerhafte Sicherung von personenbezogenen Daten müssen Server der Schule genutzt werden, die für die Speicherung dieser Arten von Daten eingerichtet sind.
Darf die Schulleitung Logineo NRW Messenger mit Video Tool zur Leistungs-und Verhaltenskontrolle von Lehrkräften nutzen?
- Nein, das ist nicht zulässig. Eine Ausnahme gibt es jedoch bei Hospitationen im Rahmen der Wahrnehmung von Führungsaufgaben bei der Beschaffung von Informationen und Eindrücken zur Unterrichts-und Schulkonzeptentwicklungoder bei dienstlichen Beurteilungen. Hier gelten die normalen Regeln wie auch im Unterricht. Entsprechend den Vereinbarungen der Schule sind Lehrkräfte vorab zu informieren.
- Auch die anderen Logineo NRW Plattformen dürfen nicht zur Leistungs-und Verhaltenskontrolle von Lehrkräften genutzt werden.
Darf die Schulleitung gleichzeitig Administrator einer Logineo NRW Plattform sein?
- Es gibt kein absolutes Vorbot, welches es Schulleitungen untersagt, die Funktion des Administrators an der eigenen Schule auszuüben, doch es sollte nach Möglichkeit die Ausnahme sein. In der Rahmendienstvereinbarung zwischen dem MSB und den Hauptpersonalräten heißt es hierzu: “Grundsätzlich ist die LOGINEO NRW Administration nicht durch die Schulleitung vorzunehmen, Ausnahmen erfordern das Einvernehmen mit dem Lehrerrat. Alle Personen, die diese Tätigkeiten übernehmen, sind über eine Administratorenverpflichtung auf Ihre Rechte und Pflichten hinzuweisen.” Vor alle an kleinen Schulen dürften die beiden Rollen auf eine Person fallen. Wichtig ist, dass es ein Vertrauensverhältnis gibt zwischen Schulleitung und Lehrkräften. Zur Absicherung gibt es eine Protokollierung aller Administrationstätigkeiten in Logineo NRW. Mit dieser ließe sich nachverfolgen, ob eine Schulleitung sich mit den Administratorrechten unbefugt Zugriff auf ein Nutzerkonto und seine Inhalte verschafft hat.
Darf die Schulleitung in mein E-Mail Konto hineinschauen?
- Nein, das ist nicht zulässig. Es gibt aber eine Ausnahme, die entsprechend in der Rahmenmediennutzungsordnung beschrieben wird: “Wenn in Ausnahmesituationen, die keinen Aufschub dulden, Inhalte eines LOGINEO NRW-Postfachs für dienstliche Zwecke benötigt werden, kann der Zugriff auf das E-Mail-Postfach einer Benutzerin oder eines Benutzers auf Anweisung des oder der Vorgesetzten und nur unter Hinzuziehung eines Mitglieds des Lehrerrats bzw. der Personalvertretung im Vier-Augen-Prinzip durchgeführt werden. Der oder die Betroffene ist über den Zugriff unverzüglich zu unterrichten.”

Stand 12/2022

Oktober 12, 2020Mai 31, 2022

Logineo NRW Messenger, AWS und Datenschutz

Lesezeit: 3 Minuten

Der Messenger, den das Land NRW seinen Schulen kostenlos zur Verfügung stellt, basiert auf dem open source Matrix Protokoll und folgt damit der Landesstrategie, quelloffene Plattformen für Schulen bereitzustellen. Als Dienstleister für den Betrieb der Plattform gewann man die SVA System Vertrieb Alexander GmbH aus Wiesbaden, die dann ihrerseits Amazon Web Services¹ (AWS), eine EU Tochter des US Konzerns Amazon, als Unterauftragnehmer beauftragte.

Letzteres blieb nicht lange unbemerkt, da es selbstredend im Vertrag zur Auftragsverarbeitung, den Schulen bei der Beauftragung des Messengers mit SVA GmbH abschließen, nachzulesen ist. Und so kam es dann zu einer kleinen Anfrage im Landtag NRW² und einem daraus folgenden Bericht bei Westpol. Bei Schulen, die den Messenger schon beauftragt hatten oder dieses planten, führte alles dieses zu großer Verunsicherung. Die Beunruhigung ist verständlich, denn als US Anbieter unterliegt auch AWS mit seinen Serverstandorten in Europa dem US amerikanischem CLOUD-Act. US Ermittlungsbehörden können von US Unternehmen, die Server in der EU betreiben, die Herausgabe von personenbezogenen Daten verlangen. Zwar können diese sich vor Gericht dagegen zur Wehr setzen, wenn das Ansinnen der US Ermittler lokalem Datenschutzrecht widerspricht, doch nicht immer sind US Firmen dabei erfolgreich, und es gibt auch Anfragen, die geheim sind³ und deshalb nicht gerichtlich abgewehrt werden können.

Die kleine(n) Anfrage(n) wurden Anfang Oktober 2020 von der Landesregierung beantwortet und die Antwort ist als Drucksache MMD17-11271 über das Dokumentenarchiv des Landtags einsehbar. Sie lautet kurz gefasst:

Datenschutzbedenken bestehen […] nicht.

Aus der Antwort erfährt man, dass das Land “einen öffentlich bestellten und vereidigten IT-Sachverständigen einbezogen” hat, um bei der Erstellung einer Leistungsbeschreibung wie auch der Ausschreibung für den Messenger Unterstützung zu erhalten. Da man zu dem Schluss kam, dass der Messenger nur als Cloud Lösung umsetzbar ist, wurde vom Land NRW bereits im Vergabeverfahren die Nutzung von AWS als Cloud-Anbieter vorgesehen. Man hat sich hier von den projektbetreuenden Fachleuten leiten lassen.

Die projektbetreuenden IT Sachverständigen hatten eine besondere Expertise für die Umsetzung eines Projekts dieser Größenordnung in der AWS-Umgebung. Die Umsetzung mit AWS ermöglicht eine den qualitativen Anforderungen entsprechende Durchführung eines so großen Projekts.

Den CLOUD-Act, dem AWS als US Unternehmen unterliegt, schätzt das Land nicht als Risiko ein und führt dafür drei Gründe an:

Eine Übermittlung von personenbezogenen Daten des Messengers aus der AWS Datenregion nach außerhalb der EU, etwa in die USA ist nur zulässig, wenn der Verantwortliche, hier die Schule, diesem zuvor zustimmt.
Wenn es durch US Ermittlungsbehörden ein Verlangen auf Zugriff auf Daten von Nutzern des Messengers gäbe, dann nur, wenn gegen einen Nutzer des Messengers “ein Ermittlungsverfahren einer amerikanischen Strafverfolgungsbehörde eröffnet werden würde.” Dieses wäre dann ein Rechtsvorgang wie auch in Deutschland, da einem solchen Ermittlungsverfahren “eine rechtmäßige Verfügung einer amerikanischen Ermittlungsbehörde oder eines amerikanischen Gerichts” vorausgehe.⁴
Sollte es zu einem Zugriffsbegehren auf personenbezogene Daten von Nutzern des Messengers kommen, wären die von AWS an US Ermittlungsbehörden herausgegebenen Daten für diese wertlos, da sie einmal durch die Ende-zu-Ende-Verschlüsselung während Übermittlung und Speicherung und zusätzlich durch die vom Dienstleister
SVA eingerichtete Verschlüsselung der in AWS abgelegten Daten geschützt sind.

Der Kern des Sicherheitskonzeptes von Logineo NRW Messenger ist demnach die Sicherheit des Messengers selbst und darüber hinaus Sicherheitsmaßnahmen des Dienstleisters zum Schutz von Daten, die nicht durch die Funktionalitäten des Messengers selbst geschützt werden. Das Matrix Protokoll gilt als sehr sicher und der Messenger verschlüsselt die Kommunikation der Nutzer automatisch.⁵ Die Nutzung von AWS lässt sich im Fall des Messengers aus datenschutzrechtlicher Sicht dadurch vertreten, dass die Daten der Nutzer vor Zugriffen durch US Ermittlungsbehörden durch ihre Verschlüsselung ausreichend geschützt sind.

Solange das Matrix Protokoll keine Sicherheitslücken aufweist und die Maßnahmen des Dienstleisters ausreichend sicher sind, sollten aus der Nutzung des Logineo NRW Messengers für Schüler und Lehrkräfte auch mit sensiblen Inhalten keine Risiken entstehen.

Oktober 7, 2020Oktober 7, 2020

Lehrer fotografieren mit ihrem Smartphone in der Schule

Lesezeit: 3 Minuten

Im Zeitalter des Smartphones ist die beste Kamera die, welche man dabei hat. Das ist in der Regel das Smartphone. Digitale Kameras sind an Schulen zwar vorhanden, aber müssen erst ausgeliehen werden. Also Smartphone. Und deshalb kommt immer wieder die Frage auf, ob Lehrkräfte mit ihren Smartphones Aufnahmen von Schülern machen dürfen. Anlage 3 der VO-DV I listet abschließend eine Reihe von personenbezogenen Daten von Schülern und Erziehungsberechtigten, welche Lehrkräfte mit einem privaten Endgerät, für welches sie die Genehmigung der Schulleitung eingeholt haben, auf der Rechtsgrundlage des Schulgesetzes NRW verarbeiten dürfen. Fotos finden sich dort nicht aufgeführt. Im Genehmigungsvordruck ist die Auflistung aus Anlage 3 jedoch unter 3.3 erweitert um mögliche personenbezogene Daten, welche Lehrkräfte mit Genehmigung der Betroffenen auf ihren privaten Endgeräten verarbeiten dürfen.

3.3 Daten, die von Lehrer/innen auf Basis wirksamer Einverständniserklärungen verarbeitet werden dürfen

Darunter finden sich auch Fotos. Die Auflistung kann, wie die zur Genehmigung herausgegebene Handreichung erklärt, an jeder Schule unterschiedlich sein.

Es ist, und darum geht es hier, also problemlos möglich, dass Lehrkräfte mit ihren privaten Smartphones im Schulalltag Fotos von Schülerinnen und Schülern machen. Dieses setzt zunächst die Genehmigung der Schulleitung für die Nutzung des Smartphones zur Verarbeitung von personenbezogenen Daten aus der Schule voraus. Dazu braucht es dann noch die Einwilligung der Betroffenen.

Einwilligung Schüler – Fotos – Smartphone Lehrkräfte.docx

Hinweise

Laut der Handreichung zur Genehmigung können Betroffene die Einwilligung auch gegenüber der jeweiligen Lehrkraft erklären.
- “Unter Punkt 3.3 sind alle Daten aufgeführt, die eine Lehrkraft automatisiert auf privaten Endgeräten verarbeiten darf, wenn der oder die einzelne Betroffene ihr bzw. der Schule die Einwilligung zur Verarbeitung erteilt hat.”¹
Da Einwilligungen an der Schule sonst grundsätzlich gegenüber der Schulleitung abzugeben sind, empfiehlt es sich, auch hier vor allem bei jüngeren Schülerinnen und Schülern diesen Weg zu wählen. Wenn eine Lehrkraft eine Klasse 9 neu übernimmt und möchte gerne Fotos der Schüler in ihr Noten App aufnehmen, um die Namen schneller lernen zu können, so kann sie die Einwilligung hier sicher auch unkompliziert mündlich einholen. Geht es um mehr, etwa Fotos auf einer Klassenfahrt, Videoaufnahmen im Sport, so sollte die Einwilligung immer schriftlich eingeholt werden, um sie im Zweifelsfall nachweisen zu können, und eben so, dass sie gegenüber der Schulleitung erteilt wird.
In der Genehmigung für die Verarbeitung von personenbezogenen Daten auf privaten Endgeräten ist es durchaus möglich, diese für das Smartphone auf das Anfertigen von Fotos einzuschränken, falls die Schulleitung der Ansicht ist, dass ein Smartphone für die Verarbeitung anderer personenbezogener Daten aus der Schule nicht geeignet ist.
Lehrkräfte müssen bei der Nutzung eines Smartphones für Fotografien von Schülerinnen und Schülern in der Lage sein, Synchronisation und Backup der Aufnahmen in eine Anbieter Cloud oder eine privat genutzte Cloud per Einstellung zu unterbinden.
Nach der Anfertigung sollten die Fotos auf einen Dienstrechner übertragen und vom Smartphone gelöscht werden.

Alternative Lesart der Handreichung

Der Abschnitt

“Unter Punkt 3.3 sind alle Daten aufgeführt, die eine Lehrkraft automatisiert auf privaten Endgeräten verarbeiten darf, wenn der oder die einzelne Betroffene ihr bzw. der Schule die Einwilligung zur Verarbeitung erteilt hat.”²

lässt auch eine alternative Lesart zu. Die Formulierung sagt nicht, dass ausdrücklich in die Verarbeitung auf dem Gerät einer Lehrkraft eingewilligt werden muss. Es wird lediglich in die Verarbeitung von bestimmten Daten durch die Schule und damit auch durch die Lehrkraft eingewilligt. Hinzu kommt, auch alle in Anlage 3 der VO-DV I gelisteten Daten können ohne ausdrückliche Einwilligung der Betroffenen auf privaten Endgeräten der Lehrkräfte verarbeitet werden, sofern sie die Genehmigung der Schulleitung dafür haben.

Schließt man sich dieser Lesart an, braucht es keine Einwilligung, in welcher explizit eingewilligt wird, dass die betreffenden Daten auch auf den privaten Endgeräten von Lehrkräften verarbeitet werden dürfen.