Kategorie: NRW

Veröffentlicht am

Notbetreuung in Corona Zeiten

Lesezeit: 2 Minuten

Die Corona Pandemie hat es erforderlich gemacht, dass Schulen für die Kinder von Personen, die in kritischen Berufen tätig sind, eine Notbetreuung anbieten. Eltern können für die Anmeldung ein vom Ministerium für Schule und Bildung vorgegebenes Formular1Neben dem Formular des MSB gibt es nach Aussagen des MSB auch Formulare von Schulträgern, die akzeptiert werden sollen: “Eine Reihe von Schulträgern hat ebenfalls Formulare bereitgestellt. Schulleitungen sollten alle Formulare, die ihnen vorgelegt werden, zunächst akzeptieren.” Corona Virus Notbetreuung FAQ Stand 21.04.2020  (die FAQ ist mittlerweile nicht mehr verfügbar – 29.08.2020) ausfüllen, um der Schule gegenüber den Nachweis eines Anrechts auf Notbetreuung des Kindes zu erbringen. Schulen müssen die dafür erforderlichen Daten erheben und die Anzahl der Schüler an die Schulaufsichtsbehörden übermitteln.

Die Rechtsgrundlagen

Wie jede Datenerhebung und -verarbeitung ist es auch hier erforderlich, die Betroffenen entsprechend Art. 13 DS-GVO zu informieren und im Verzeichnis der Verarbeitungstätigkeiten eine Beschreibung der Verarbeitungstätigkeit anzulegen. Die rechtliche Grundlage für die Erhebung und Verarbeitung der Daten aus dem Formular liefert Abs. 1 Satz 1 § 120 Schulgesetz NRW.

Schulen und Schulaufsichtsbehörden dürfen personenbezogene Daten der Schülerinnen und Schüler, der in § 36 genannten Kinder sowie der Eltern verarbeiten, soweit dies zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben erforderlich ist.

Die erforderliche Übermittlung regelt Abs. 5 Satz 2 § 120 Schulgesetz NRW

Die Übermittlung an andere öffentliche Stellen ist zulässig, wenn sie zur Erfüllung einer gesetzlichen Auskunfts- oder Meldepflicht erforderlich ist, ein Gesetz sie erlaubt oder die oder der Betroffene im Einzelfall eingewilligt hat.

Die “durch eine Rechtsvorschrift übertragene Aufgabe” ergibt sich aus der Corona-Betreuungsverordnung des Ministeriums für Arbeit, Gesundheit und Soziales vom 16.04.2020. Dort heißt es zunächst, dass “alle öffentlichen Schulen, Ersatzschulen und Ergänzungsschulen im Sinne des Schulgesetzes für das Land Nordrhein-Westfalen” geschlossen sind. Es werden in §1 Abs. 2 CoronaBetrVO Ausnahmen definiert.

(2) Ausgenommen von Absatz 1 sind […] 2. die Betreuung von Schülerinnen und Schülern, in der Regel der Jahrgangsstufen 1 bis 6, mit besonderem Betreuungsbedarf im Sinne von § 3 Absatz 1 in einer Vor-Ort-Betreuung (Notbetreuung) in den Schulräumlichkeiten. Das Nähere regelt das Ministerium für Schule und Bildung durch Erlass (insbesondere mittels sog. SchulMails);

Darüber hinaus weist das Ministerium für Arbeit, Gesundheit und Soziales den Schulen in der Leitlinie zur Bestimmung des Personals kritischer Infrastrukturen mit Stand vom 15. März 2020 die Aufgabe zu, die Entscheidung zu treffen, ob ein Kind, “dessen Eltern zu dem Kreis der im Bereich kritischer Infrastrukturen beruflich Tätigen gehört,” zur Betreuung an der Schule aufgenommen wird. Dazu ist das ausgefüllte Formular erforderlich.

II. Regelungen
1. Die Entscheidung, ein Kind zur Betreuung in der Schule oder Kindertageseinrichtung aufzunehmen, dessen Eltern zu dem Kreis der im Bereich kritischer Infrastrukturen beruflich Tätigen gehört, treffen die Leitungen der jeweiligen Schule bzw. Kindertageseinrichtungen. Es gelten die bestehenden rechtlichen Zuständigkeiten.
2. Grundlage der Entscheidung sind: (a) der Nachweis oder die Zusicherung, dass beide Elternteile (soweit nicht alleinerziehend) nicht in der Lage sind, die Betreuung zu übernehmen, weil sie in einer kritischen Infrastruktur tätig sind, und (b) das Vorliegen (oder die Zusicherung der Vorlage) einer schriftlichen Zusicherung der jeweiligen Arbeitgeber beider Elternteile (soweit vorhanden), dass deren Präsenz am Arbeitsplatz für das Funktionieren der jeweiligen kritischen Infrastruktur notwendig ist.2 Leitlinie zur Bestimmung des Personals kritischer Infrastrukturen, Stand: 15. März 2020

Die Rechtsgrundlage für die Übermittlung der Anzahl der zur Notbetreuung angemeldeten Schüler ergibt sich aus Schulmail Nr. 6 vom 17.03.2020.

“Bitte melden Sie der Schulaufsichtsbehörde noch am 18.03.2020, wie viele Schülerinnen und Schüler Sie am Mittwoch in die Notbetreuung aufgenommen haben.”

Vorlagen

Tipp

Stellen Sie die Informationen zur Datenverarbeitung bezüglich der Notbetreuung, angepasst an Ihre Schule, auf Ihrer Schulhomepage bereit, vielleicht kurzfristig über einen Link und einen Hinweis auf der Startseite und sonst verlinkt als PDF Download dort, wo die anderen Informationen zur Datenverarbeitung entsprechend Art. 13 DS-GVO bereitgestellt werden. Die Beschreibung der Verarbeitungstätigkeit Notbetreuung nehmen Sie in Ihr Verzeichnis der Verarbeitungstätigkeiten auf. Alternativ übertragen Sie die Informationen in das Referenzverzeichnis von Verarbeitungstätigkeiten der Medienberatung NRW, falls Sie dieses nutzen.

Veröffentlicht am

Einwilligung ohne Papier in Zeiten von Corona

Lesezeit: < 1 Minute

In Zeiten des Corona Virus sind die Schulen geschlossen und trotzdem muss der Unterrichtsbetrieb irgendwie weiterlaufen. Auch die Kommunikation mit Schülern und Erziehungsberechtigten muss möglichst reibungslos und unaufwändig weiterhin möglich sein. Schulen setzen von daher vermehrt auf Online-Plattformen und Apps. Da diese in der Vergangenheit jedoch entweder noch nicht genutzt wurden oder nur von einem Teil der Schülerinnen, Schüler, Lehrkräfte und eventuell auch Eltern, ist es oftmals erforderlich, eine Einwilligung der Betroffenen einzuholen. Wollte man dieses in Papierform erledigen, wäre solches mit sehr viel Aufwand verbunden. Außerdem müsste damit gerechnet werden, dass die Rücklaufquote nicht 100 % ist und je nach Situation sogar extrem gering ausfallen könnte, etwa weil Person das Haus nicht verlassen können.

Was viele nicht bekannt ist, Einwilligungen können durch aus auch elektronisch von den Betroffenen eingeholt werden. Auf welcher  Rechtsgrundlage dieses für Schulen in Nordrhein-Westfalen möglich ist wie man elektronische Einwilligungen umsetzen kann, wird in dem Beitrag Einwilligung einholen ohne Papier ausführlich erklärt.

Einwilligung einholen ohne Papier

Lesezeit: 4 Minuten

In der Vergangenheit sah die VO-DV I die Einwilligung in elektronischer Form nur als Ausnahme vor. In der §3 Abs. 2  VO-DV I hieß es zur elektronischen Einwilligung deshalb noch bis Dezember 2021:

“(2) Nicht in den Anlagen aufgeführte Daten dürfen nur erhoben werden, wenn die oder der Betroffene eingewilligt hat. Die Einwilligung ist schriftlich gegenüber der Schulleitung zu erklären. Sofern dies wegen besonderer Umstände angemessen ist, kann die Einwilligung ausnahmsweise in elektronischer Form erfolgen. Dabei sind die Grundsätze des § 13 Absatz 2 des Telemediengesetzes vom 26. Februar 2007 (BGBl. I S. 179), das zuletzt durch Artikel 1 des Gesetzes vom 21. Juli 2016 (BGBl. I S. 1766) geändert worden ist, zu erfüllen.”

Mit der Änderung der VO-DV I im Dezember 2021 ist diese Einschränkung aufgehoben worden, da sie den Vorgaben der DS-GVO widersprach. Entsprechend heißt es jetzt in §3 Abs. 2  VO-DV I:

“(2) Nicht in den Anlagen aufgeführte Daten dürfen nur erhoben werden, wenn die oder der Betroffene eingewilligt hat. Die Einwilligung ist gegenüber der Schulleitung zu erklären. Die Schulleitung muss nachweisen können, dass eingewilligt wurde. Dabei sind die Grundsätze des Artikels 4 Nummer 11 und des Artikels 7 der Datenschutz-Grundverordnung zu erfüllen.”

Die bisherige Vorgabe der Schriftform entfällt damit und der Widerspruch zur DS-GVO ist aufgelöst.

Elektronische Einwilligung in der DS-GVO

Die DS-GVO regelt das Thema Einwilligung in Artikel 7. Eine Formerfordernis für die Einwilligung sucht man dort vergeblich. In Erwägungsgrund 32 wird jedoch eine Aussage hierzu gemacht.

“Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung.”

Entsprechend kommentiert auch die Fachliteratur.

“Die DSGVO verlangt keine bestimmte materielle Verstetigung oder Übermittlung der Willensbekundungen. Es gilt der Grundsatz der Formfreiheit. Eine Erklärung kann schriftlich, mündlich und auch elektronisch an den Adressaten gerichtet werden (EG 32 S. 1). Im Sinne der DSGV erfolgt „elektronisch“ auch eine durch einfache E-Mail oder über ein Onlineformular übermittelte Einwilligung. § 126 a BGB und § 3 a Abs. 2 S. 1 VwVfG sind nicht anwendbar.”1Klement in Simitis DS-GVO Art. 7 Rn. 39

Datenschutzgesetz NRW (neue Fassung)

Entsprechend der DS-GVO, welche die dem Datenschutzgesetz NRW übergeordnete Rechtsnorm ist, hat sich der Gesetzgeber auch hier nicht auf eine bestimmte Form der Einwilligung festgelegt. Im neuen DSG NRW heißt es deshalb unter Begriffsbestimmungen § 36 Nr. 19 “19. „Einwilligung“ jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist,”

Praktische Umsetzung

Bezüglich der elektronischen Einwilligung gibt es verschiedene Möglichkeiten. Für den Fall, dass es beispielsweise um die Einwilligung zur Nutzung einer App oder einer Onlineplattform geht, welche der Schule selbst keine Möglichkeit gibt, darüber die Einwilligung der Erziehungsberechtigten beziehungsweise Schüler einzuholen wie bei Logineo NRW, dann bleibt immer der Weg über E-Mail, ein von der Schule genutztes App zur Kommunikation oder einen sicheren Messenger. Wichtig ist, dass die Schule die Einwilligung der Betroffenen dokumentieren kann. Dazu muss die elektronische Einwilligung in irgendeiner Form, idealerweise als PDF, gespeichert werden. Bei der Übermittlung sollte auf Sicherheit geachtet werden und es sollten nur die personenbezogenen Daten in der Einwilligung erfasst werden, welche dafür zwingend erforderlich sind (Datenminimierung).

E-Mail – direkt

Eine Möglichkeit, die Einwilligung einzuholen, ist direkt über E-Mail. Dazu werden wie in der Papierversion die Informationen zur Datenverarbeitung entsprechend Art. 13 DS-GVO in das E-Mail gepackt, wie auch der eigentliche Einwilligungstext mit einem Anschreiben der Schulleitung. Anstelle der Unterschrift reicht dann, wenn die Betroffenen ihre Einwilligung beispielsweise durch Schreiben des Wortes JA geben.

Die Rück Antwort der Betroffenen mit der Einwilligung sollte als PDF gedruckt und mit einem eindeutigen Dateinamen gesichert werden, um die Einwilligung nachweisen zu können.

Ein Beispiel, wie man das E-Mail mit der Einwilligung gestalten könnte:

E-Mail – PDF

Eine andere Möglichkeit besteht darin, die für Papier entworfene Einwilligung in ein PDF Formular umzuwandeln. Dieses kann man relativ leicht mit LibreOffice tun. Diese kostenlose Office Suite bietet die Möglichkeit, Eingabefelder für Text und Auswahlfelder (Checkboxen) anzulegen und das gesamte Text Dokument anschließend als PDF Dokument abzuspeichern.Dieses wird dann von den Betroffenen an einem Computer, Tablet oder Smartphone ausgefüllt und an die Schule zurück geschickt.

Das von den Betroffenen rückübermittelte PDF sollte mit einem eindeutigen Dateinamen gesichert werden, um die Einwilligung rechtssicher nachweisen zu können.

Ein Beispiel, wie eine als PDF gestaltete Einwilligung aussehen könnte2In diesem Formular müsste die Schule auf der ersten Seite den Namen der Schulleitung ergänzen und auf der zweiten Seite die Kontaktdaten der Schulleitung und des Datenschutzbeauftragten.:

E-Mail – Microsoft Word Dokument

Aus Sicherheitsgründen wird von einer Nutzung dieses Formats abgeraten. Dabei geht es weniger darum, dass die Schule eventuell Betroffene gefährdet, sondern umgekehrt dass das Verwaltungsnetz der Schule durch zurückgeschickte und eventuell infizierte Word Dateien gefährdet wird

Schul App

Schulen, die eine Schul App nutzen, die eine Kommunikation mit den Betroffenen ermöglicht, wie etwa Schulmanger Online, Elternnachricht, Sdui, Schul-Info-App, schul.cloud Pro, Elternportal, SchoolFox Plus, ISY-Schule, Die SchulApp u. Ä. können diese Plattformen zur Übermittlung eines PDF nutzen.

Messenger

Ein PDF könnte auch mit einem sicheren Messenger übermittelt werden, etwa Wire oder Threema3Die Schule sollte mit diesen Anbietern einen Vertrag zur Auftragsverarbeitung abgeschlossen haben.

Hinweis – direktes Einholen Einwilligung online

Logineo NRW erlaubt es, die Einwilligung der Betroffenen direkt bei der Anmeldung an der Plattform einzuholen. Wichtig ist hierbei, dass es sich um eine Einwilligung gegenüber der Schule bzw. Schulleitung handelt, die über den Weg der Plattform eingeholt wird. Auch an anderen Plattformen können Nutzereinwilligungen geholt werden. Diese stellen in der Mehrzahl der Fälle jedoch eine Einwilligung gegenüber dem Plattformbetreiber dar. Das ist nicht gleichzusetzen mit einer Einwilligung gegenüber der Schule. Man sollte hier als Schule genau hinsehen, ob dieses Verfahren den rechtlichen Vorgaben zur Erteilung einer Einwilligung gegenüber der Schule tatsächlich Genüge tut. Genauso müsste mit der Einwilligung gegenüber der Schule auch über die Datenverarbeitung durch die Schule bei Nutzung der Plattform informiert werden. Diese Informationen sind nicht gleichzusetzen mit der Datenschutzerklärung des Anbieters, auch wenn es inhaltliche Überschneidungen gibt.

Stand 06/2022

Veröffentlicht am

Darf Schule die Adressen ehemaliger Schüler herausgeben?

Lesezeit: 2 Minuten

Vor allem weiterführende Schulen finden sich immer einmal wieder in der Situation, dass ehemalige Schüler anfragen, ob man ihnen Listen mit Namen und Kontaktdaten ehemaliger Mitschüler und Lehrkräfte aushändigen könne, damit man diese zu einem Klassen- oder Ehemaligentreffen einladen kann. Darf die Schule diese Informationen herausgeben und wenn ja unter welchen Bedingungen?

Das Schulgesetz NRW

Ein schneller Blick in §120 Abs. 5 Satz 3 SchulG NRW erbringt folgende Ergebnis:

“Die Übermittlung von Daten der Schülerinnen und Schüler und der Eltern an Personen oder Stellen außerhalb des öffentlichen Bereichs ist nur zulässig, wenn ein rechtlicher Anspruch auf die Bekanntgabe der Daten besteht und schutzwürdige Belange der oder des Betroffenen nicht beeinträchtigt werden oder wenn die oder der Betroffene im Einzelfall eingewilligt hat.”

Anfragende ehemalige Schülerinnen und Schüler oder auch Lehrkräfte handeln im beschriebenen Fall als Privatpersonen. Sie gelten damit als Personen außerhalb des öffentlichen Bereichs und fallen unter die Regelung aus Satz 3. Aus der Absicht, ein Ehemaligentreffen zu veranstalten, lässt sich kein rechtlicher Anspruch ableiten. Die Wahrscheinlichkeit, dass man an der Schule in der Vergangenheit Einwilligungen bei den ehemaligen Schülern wie Lehrkräften eingeholt hat, ihre Kontaktdaten zum Zweck der Organisation von Ehemaligentreffen an ehemalige Schüler herauszugeben, dürfte äußerst gering sein.

Für den Fall, dass keine entsprechende Einwilligung vorliegt, darf Schule die personenbezogenen Daten der ehemaligen Schüler und Lehrkräfte nicht herausgeben.

Alternativen

Gibt es trotzdem Möglichkeiten ehemalige Mitschüler und Lehrkräfte zur Organisation eines Ehemaligentreffens zu kontaktieren? Der Kommentar zum Schulgesetz NRW115. Erg.-Lfg., SchulG NRW-Kommentar, März 2015, Katernberg, S. 81f stellt das Adressmittlungsverfahren als eine Alternative vor, wie die Schule das Anliegen der ehemaligen Schüler unterstützen kann. Die Organisatoren des Ehemaligentreffens übergeben der Schule die Anschreiben mit Bitte um Mitteilung der Kontaktdaten an das Organisatorenteam, gedruckt oder als Vorlage für die Textverarbeitung, und die Schule versieht diese mit den Adressen der Ehemaligen. Anschließend gibt die Schule die fertigen Anschreiben in den Postversand. Die Ehemaligen entscheiden dann selbst, ob sie dem Organisatorenteam ihre Kontaktdaten übermitteln wollen oder nicht.

Alternativ stehen den Organisatoren auch noch weitere Möglichkeiten offen. Sie könnten die Schule bitten, das geplante Ehemaligentreffen auf die Schulhomepage zu setzen mit der Bitte um Anmeldung durch die Ehemaligen. Das Organisatorenteam könnte neben der Schulhomepage ihr Ehemaligentreffen auch über örtliche Zeitung oder Social Media bewerben.

Andere Bundesländer

Ein Blick über die Landesgrenzen hinaus zeigt, dass die Handhabe dieses Themas in nicht in allen Bundesländern gleich ist. In Rheinland-Pfalz findet sich in ÜSchO § 89 Abs. 8 eine Regelung, die eine Rechtsgrundlage für die Weitergabe von personenbezogenen Daten ehemaliger Schüler und auch Lehrkräften an Schüler zur Organisation von Ehemaligentreffen regelt.

(8) Die Schule kann ehemaligen Schülerinnen und Schülern die zur Organisation eines Treffens geeigneten personenbezogenen Daten von ehemaligen Schülerinnen, Schülern und Lehrkräften übermitteln.

 

 

Veröffentlicht am

Schule – Offener Ganztag – Schulsozialarbeit & Datenschutz

Lesezeit: 3 Minuten

Was ist bezüglich datenschutzrechtlicher Vorgaben zu beachten bei der Zusammenarbeit von Schule und offenem Ganztag (OGS)? Und wie sieht es aus, wenn es um die Schulsozialarbeit geht? Diese Fragen beschäftigen viele, denn die Rechtslage erschließt sich den Beteiligten aus den Gesetzen und Verordnungen nur ungenügend. Auch ich selbst hatte hier mangels besseren Wissens bisher eher konservativ beraten und für die Weitergabe von personenbezogenen Daten an den OGS sowie Schulsozialpädagogen, die nicht nach §58 auf Lehrerstellen sitzen und somit als Landesbedienstete gelten, das Einholen einer Einwilligung zur rechtlichen Absicherung empfohlen.

In §120 Schulgesetz NRW heißt es:

“Die gespeicherten personenbezogenen Daten dürfen in der Schule nur den Personen zugänglich gemacht werden, die sie für die Erfüllung ihrer Aufgaben benötigen.”

Doch wer ist mit den Personen gemeint? Es geht um Personen in der Schule, also definitiv nicht um Personen außerhalb der Schule. Und damit ist auch klar, dass dazu neben den Lehrkräften und Schulsozialpädagogen, die nach §58 als Landesbedienstete auf Lehrerstellen sitzen, auch die Mitarbeiter im Schulsekretariat gehören, Integrationshelfer, Hausmeister und auch Eltern wie Schüler, die in Mitwirkungsgremien tätig sind1entsprechend §§ 62 ff SchulG NRW oder Eltern, welche am Unterricht teilnehmen bzw. dort in Teilbereichen mitarbeiten.2entsprechend §44 Abs. 3 SchulG NRW

Kleine Anfrage im Landtag

Im Dezember 2019 wurde dann genau dieses Thema Gegenstand einer kleinen Anfrage mit dem Titel Datenschutzrechtliche Zusammenarbeit in der Schule, im Hinblick auf den offenen Ganztag (OGT) und die Schulsozialarbeit (Drucksache 17/8328) Vier Fragen wurden der Landesregierung NRW gestellt:

  1. Welche Personengruppen werden mit der Formulierung „in der Schule nur den Personen“ (§ 120 (1) SchulG) neben Lehrer*innen (§ 57 SchulG) und weiteren Landesbedienstete nach § 58 SchulG gesehen?
  2. Welche personenbezogenen Daten dürfen den Mitarbeitern des offenen Ganztags übermittelt werden bzw. mit diesen ausgetauscht werden?
  3. Ist das Zusammenstellen einer Liste von Schüler*innen und die Weitergabe der Liste an die Mitarbeiter*innen der Multiprofessionellen Teams erlaubt? Und falls ja, aufgrund welcher Rechtsgrundlage ist das erlaubt?
  4. Plant die Landesregierung dies in einer Neufassung der VO DV I klarzustellen?

Antwort der Landesregierung

Im Januar 2020 wurden dann die Antworten auf die Anfrage als Drucksache 17/8396 veröffentlicht. Dabei wurde deutlich, dass die Landesregierung die Gesetzestexte sehr viel weiter auslegt, als viele Datenschutzbeauftragte das bisher taten.

  1. Zu den Personen, denen zur Erfüllung ihrer Aufgaben nach § 120 Abs. 1 SchulG NRW personenbezogene Daten zugänglich gemacht werden dürfen, gehört neben den Lehrkräften und sonstigen im Landesdienst stehendem pädagogischen und sozialpädagogischen Personal nach § 58 SchulG auch im Ganztag eingesetztes Personal3Verwiesen wird bezüglich dieses Personals auf Nr. 7 des Rd.Erl. zum Ganztagsangebot – BASS 12-63 Nr. 2.pdf .
  2. Da nach Aussage der Landesregierung Ganztagsangebote auch von außerschulischen Trägen als schulische Veranstaltung gelten, ist es damit auch zulässig, den Mitarbeiterinnen und Mitarbeitern des offenen Ganztags diejenigen personenbezogenen Daten zugänglich zu machen, welche diese Personen zur Erfüllung der Angebote des Ganztags benötigen. Dazu gehört dann auch der Austausch zu den Förderbedarfen der Schülerinnen und Schüler.
  3. Auch externen Sozialarbeiter bzw. Sozialpädagogen, die anderes als Schulsozialpädagogen im Landesdienst nicht zu den Personen gemäß §58 SchulG NRW zählen, dürfen entsprechend der unter 1. beschrieben Auslegung von §120 Abs. 1 SchulG NRW durch die Landesregierung personenbezogene Daten aus der Schule zugänglich gemacht werden. Dieses ist allerdings nur dann zulässig, sofern sie als Mitglied eines Multiprofessionellen Teams4gemäß der Erlasse 21-13 Nr. 6 „Beschäftigung von Fachkräften für Schulsozialarbeit in Nordrhein-Westfalen“ sowie 21-13 Nr. 9 „Soziale Arbeit an Schulen zur Integration durch Bildung für neu zugewanderte Schüler*innen (Multiprofessionelle Teams)“ diese Daten zur Erfüllung ihrer Aufgaben benötigen. Das meint hier eine Liste mit den Namen der Schülerinnen und Schüler, die sie zu betreuen haben.
  4. Eine entsprechende Änderung des Schulgesetzes NRW oder der anhängigen Verordnungen ist nicht geplant.

Hinweis: Man sollte bezüglich Antwort 2 unbedingt berücksichtigen, dass es ausdrücklich um den Austausch zu den Förderbedarfen der Schülerinnen und Schüler geht, die Informationen, die zur Erfüllung der Angebote des Ganztags benötig werden. Personenbezogene Daten, welche nicht darunter fallen, können nur mit Einwilligung der Erziehungsberechtigten weitergegeben werden. So würde die Bankverbindung der Erziehungsberechtigten sicher nicht darunter fallen, falls es dem Träger etwa darum ginge, diese zu aktualisieren und er dafür bei der Schule anfragt. Gleiches dürfte auch für Kontaktdaten gelten, welche der Träger normalerweise von Schulträger erhalten sollte.

Fazit

Mit der Antwort der Landesregierung auf die kleine Anfrage besteht jetzt endlich Klarheit bezüglich der datenschutzrechtlichen Stellung von Mitarbeiterinnen und Mitarbeitern von Trägern, die im offenen Ganztag eingesetzt sind. Da der offene Ganztag als schulische Veranstaltung gilt, darf die Schule diesen Personen die personenbezogenen Daten derjenigen Kinder im OGS zugänglich machen, welche sie zur Erfüllung der Angebote des Ganztags benötigen. Darunter fallen dann beispielsweise auch Informationen zu den Förderbedarfen der im OGS betreuten Schülerinnen und Schüler. Für die Schulen, das meint vor allem Grundschulen, besteht von daher keine Erfordernis, eine Einwilligung der Erziehungsberechtigten einzuholen, um sich mit Mitarbeitern des OGS bezüglich der dort betreuten Kinder auszutauschen.

Externen Schulsozialarbeitern dürfen personenbezogene Daten (Namenslisten von zu betreuenden Schülerinnen und Schülern) zugänglich gemacht, wenn sie Mitglied eines Multiprofessionellen Teams an der Schule sind. In allen anderen Fällen gilt weiterhin, dass eine Weitergabe von personenbezogenen Daten von Schülern eine Einwilligung der Betroffenen voraussetzt.

Interessant sind in dem Zusammenhang vielleicht auch:

Veröffentlicht am

Kontaktliste Kollegium – was geht?

Lesezeit: < 1 Minute

In einem Tweet wundert sich am 09.11.2019 @grundschulmann

#Datenschutz #Schule #twitterlehrerzimmer

Zu Beginn des Schuljahres wird eine Lehrer-Kontaktliste an alle KuK verteilt, die neben Name und Geburtstag auch Privatadresse, Handynummer, Festnetz und (private) Email beinhaltet.

Sehe nur ich das kritisch?

Das Thema ist datenschutzrechtlich sehr ähnlich zu dem der Eltern-Telefonliste. Dort gilt, die Telefonnummer von Eltern darf anderen Eltern nur dann bekannt gegeben werden, wenn dazu eine Einwilligung der Eltern vorliegt.

Wenn die Schulleitung eine Liste des Kollegiums erstellt, die an jede Lehrkraft ausgegeben werden soll, dann kann sie dieses ohne Einwilligung der Lehrkräfte tun, solange sie sich dabei neben dem Namen auf personenbezogene Daten beschränkt, welche dienstliche Belange betreffen. Das wären etwa

  • Funktionen an der Schule wie z.B. Klassenleitung 8c, Medienbeauftragte, Oberstufenkoordinator, Vorsitzender des Lehrerrates oder
  • Daten zur dienstliche Erreichbarkeit wie dienstliches Telefon, dienstliches E-Mail usw.

Alle außer dem Namen im Tweet genannten Informationen zählen definitiv nicht zu diesen Daten.

Möchte die Schulleitung also eine Liste wie im Tweet beschrieben, erstellen und weitergeben ans Kollegium, braucht es eine Einwilligung und diese sollte eine Auswahl zulassen, welche Daten in die Liste aufgenommen werden dürfen und ggf. in welcher Form. Die folgende Vorlage für eine Einwilligung berücksichtigt diesen Aspekt und ist um eine alternative Form ergänzt, wie die Einwilligungen etwas unbürokratischer eingeholt werden könnten.

Veröffentlicht am

Verarbeitung, Bearbeitung, Speicherung, Bildschirmanzeige und Logineo NRW

Lesezeit: 4 Minuten

Manchmal können einzelne Worte entscheidend sein. Beim Datenschutz hängt von Formulierungen in rechtlichen Vorgaben deshalb eine Menge ab. Ein Beispiel dafür ist die VO-DV I, welche regelt, welche Daten eine Schule verarbeiten darf und, in diesem Zusammenhang besonders interessant, welche personenbezogenen Daten Lehrkräfte mit Genehmigung der Schulleitung auf privaten Endgeräten verarbeiten dürfen.1siehe hierzu Anlage 3 der VO-DV I Entscheidend ist hier das Wort verarbeiten. So heißt es in §2 Abs. 2 Satz 1 VO-DV I von Februar 2017:

“Die Verarbeitung personenbezogener Daten von Schülerinnen und Schülern in privaten ADV-Anlagen von Lehrerinnen und Lehrern für dienstliche Zwecke bedarf der schriftlichen, ein Verfahrensverzeichnis gemäß § 8 DSG NRW enthaltenden Genehmigung durch die Schulleiterin oder den Schulleiter.”

Eine entsprechende Formulierung findet sich auch in der Dienstanweisung für die automatisierte Verarbeitung von personenbezogenen Daten in der Schule, die im Februar 2018 zum ursprünglich geplanten Einführungstermin von Logineo NRW erschien:

“Die Verarbeitung personenbezogener Daten für dienstliche Zwecke auf privaten ADV-Anlagen von Lehrkräften ist nur mit schriftlicher Genehmigung der Schulleiterin oder des Schulleiters zulässig.”

Die Wahl des Wortes Verarbeitung macht je nach Perspektive durchaus Sinn. Als die Verordnung erlassen wurde, ging es darum, durch den Begriff Verarbeitung eine Eingrenzung vorzunehmen. Es sollte damit sichergestellt werden, dass die in der Anlage aufgeführten personenbezogenen Daten aus der Schule nur auf dem durch eine Genehmigung zugelassenen Gerät selbst gespeichert, angesehen, verändert, kopiert usw. werden dürfen, nicht jedoch in der Cloud oder auf anderen Geräten, sofern für diese keine Genehmigung vorliegt.

Verarbeitung findet sich als ein grundlegender Begriff in allen Datenschutzgesetzen und ist in der DS-GVO in Art. 4 Nr. 2 definiert.

Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;”

Diese Definition ist sehr weit und umfasst, je nach Auslegung, “jeden Vorgang, der irgendwie im Zusammenhang mit personenbezogenen Daten steht.”2Rossnagel, S. 300, Simitis, Hornung, Spieker, Art. 4 Nr. 2 Rn11 So fallen auch sämtliche technischen Vorgänge innerhalb eines Computers darunter, bei welchen personenbezogene Daten beteiligt sind, auch das Anzeigen am Bildschirm, und ohne dass ein Nutzer die angezeigten Daten in irgendeiner Form aktiv verändert.3“Auch wenn die Daten etwa im Cache eines Browsers nur kurzzeitig zwischengespeichert werden, stellt dies ebenso eine Verarbeitung dar wie die bloße Anzeige einer Datei auf einem Bildschirm oder die Weitergabe eines mobilen Speichermediums.” Rossnagel, S. 300, Simitis, Hornung, Spieker, Art. 4 Nr. 2 Rn11

Entsprechend ist auch folgenden Aussage von Ende Januar 2019 aus Richtung Ministerium bezüglich der Zulässigkeit des Online-Zugriffs auf nicht in Anlage 3 aufgeführte personenbezogenen Daten stimmig4Die Quelle dieser Aussage ist mir bekannt, soll hier jedoch nicht genannt werden, um mögliche Probleme zu vermeiden.:

“Da die Verarbeitung von Gesundheits- und Verhaltensdaten im Rahmen der Erstellung von Fördergutachten nicht genehmigungsfähig ist- diese Daten werden in Anlage 3 VO-DV I nicht gelistet – können sie mit Personenbezug nicht auf Privatgeräten erstellt werden. Auch nicht online, da dazu ja in der Regel die Anzeige auf einem Monitor erforderlich ist.

Warum ist das Wort Verarbeitung so wichtig?

Es ist wichtig, denn mit diesem einen Wort steht und fällt das Konzept das Daten-Safe in Logineo NRW.

Nach Anlage 3 der VO-DV I sind Daten, die dort nicht explizit aufgeführt sind, von der Genehmigung ausgenommen und dürfen von daher unter keinen Umständen auf einem privaten Endgerät verarbeitet werden. Zu diesen Daten zählen z.B. Wortzeugnisse und Gutachten im Rahmen eines AOSF Verfahrens oder Notizen, welche sich Förderpädagogen bei Unterrichtsbeobachtungen machen, wenn es um Fördergutachten geht. Im Alltag bereitet diese Einschränkung Lehrkräften mangels Alternativen enorme Probleme, da oft weder Dienstgeräte noch ausreichend Computer Arbeitsplätze in der Schule zur Verfügung stehen.

Hier kommt nun der sogenannte Daten-Safe von Logineo NRW ins Spiel.

In der Rahmenmediennutzungsordnung5Der Link zum Dokument von 2017 ist nicht länger verfügbar. zur Landesplattform heißt es:

“Besonders schützenswerte Daten/Dokumente werden in dem durch ein weiteres Passwort gesicherten „Daten-SAFE“ der Verwaltungscloud gespeichert.”

Der Daten-Safe erlaubt nicht nur eine Speicherung, sondern auch eine Bearbeitung von Dokumenten. In Teil B Datensicherheit der aktuellen Version der Genehmigung zur Verarbeitung von personenbezogenen Daten aus der Schule auf privaten Endgeräten6Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gemäß § 2 Absatz 2 VO-DV I/§ 2 Absatz 4 VO-DV II – abgerufen 01.03.2019 heißt es deshalb:

“Sofern LOGINEO NRW eingesetzt wird und erreichbar ist: Bearbeitung und Speicherung von Dokumenten, die sensible personenbezogene Daten (z.B. Wortzeugnisse) enthalten, ausschließlich über den Online-Editor von LOGINEO NRW.”

Dieser Formulierung nach soll der Daten-Safe es Lehrkräften ermöglichen, bei Vorliegen der Genehmigung, die oben genannten sensiblen personenbezogenen Daten, die unter keinen Umständen auf einem privaten Endgerät verarbeitet werden dürfen, von selbigem Gerät aus im Online-Editor des Daten-Safes zu bearbeiten und zu speichern.7In einer Präsentation von 2017 zu Logineo NRW hieß es zum Daten-Safe unter anderem auch “Der Online-Editor ermöglicht die Arbeit mit privaten digitalen Endgeräten.” und “Es steht ein Online-Editor zur Verfügung, sodass Dokumente mit besonders schützenswerten Daten nicht auf schulischen oder privaten Endgeräten gespeichert werden müssen.” Quelle: SlideShare Das Konzept des Daten-Safe in Logineo NRW geht davon aus, dass zur Bearbeitung, welche auch eine Anzeige einschließt, keine Speicherung auf dem Endgerät erforderlich ist. Es wird in älteren Dokumenten zum Daten-Safe auch von einer virtuellen Umgebung gesprochen. Die sensiblen personenbezogenen Daten befinden sich nur vorübergehend im Browser Cache, was nicht mit einer permanenten Speicherung gleichzusetzen ist. 8Diese Einschätzung wird auch von Experten geteilt. Siehe dazu Eßer in Eßer, Kramer, v. Lewinski Art. 4 Nr. 2 DS-GVO Rn. 43 und Herbst in Kühling, Buchner, Art. 4 Nr. 2 DS-GVO Rn. 24. Entsprechend ist Logineo NRW gedacht als “Eine Basis-IT-Infrastruktur, als ein geschützter virtueller Arbeitsraum zur rechtskonformen Datenverarbeitung mit einer zentralen Benutzerverwaltung und grundlegenden Modulen zur Kommunikation, Organisation und Recherche für digitale Lernmittel, kann eingeführt werden.9Dienstanweisung für die automatisierte Verarbeitung von personenbezogenen Daten in der Schule Nr. 1 Satz 3

Während es im Text der VO-DV I um Verarbeitung geht, wird beim Daten-Safe von Bearbeiten und Speichern gesprochen, zwei Formen der Verarbeitung. Damit ergibt sich ein Problem für das Nutzungskonzept des Daten-Safe unter den Vorgaben der VO-DV I zum aktuellen Stand.

Bearbeitet und speichert eine Lehrkraft nicht in Anlage 3 gelistete, sensible personenbezogene Daten von Schülerinnen und Schülern von einem genehmigten privaten Endgerät aus im Daten-Safe von Logineo NRW, verstößt sie – entsprechend der Auslegung des Wortes Verarbeitung durch das MSB – gegen die Vorgaben der VO-DV I.10Es sei denn die oben zitierte im Teil B der Genehmigung enthaltene Vorgabe, dass diese Daten bei Verfügbarkeit ausschließlich im Online-Editor des Daten-Safe von Logineo NRW bearbeitet und gespeichert werden dürfen reicht bereits als Rechtsgrundlage, um eine Ausnahme von der Vorgabe in der VO-DV I zu schaffen.

Verarbeitung – Bearbeiten und Speichern

Der Daten-Safe zielt darauf ab, durch Bereitstellung einer virtuellen Umgebung eine Speicherung und Bearbeitung auf dem Endgerät selbst zu vermeiden. Da aber bereits der Zugriff über den Browser auf nicht in Anlage 3 aufgeführte sensible personenbezogene Daten nach der VO-DV I untersagt ist, da dieser bereits eine Verarbeitung darstellt, kann es also nur eine Lösung geben. Die VO-DV I muss angepasst werden. Es kann dabei nicht ausreichen, einen Erlaubnistatbestand für die Verarbeitung der genannten Daten von einem privaten Endgerät aus über eine in den technischen und organisatorischen Maßnahmen aufgeführte Ausnahme zu legitimieren, wie bisher geschehen. Vor Gericht hätte das im Zweifelsfall vermutlich keinen Bestand. Wäre Logineo NRW im ersten Anlauf, vor dem Zwangsstop, in Betrieb genommen worden, wäre die Nutzung zumindest in Teilen wider die Vorgaben der VO-DV I erfolgt. Interessant, dass keinem der Beteiligten dieses Problem in der Vergangenheit aufgefallen ist.

Zur Zeit befindet sich die VO-DV I in der Überarbeitung. Man darf gespannt sein, ob die “neue” Version dieses Problem löst.

Die aktuell gültige Version von Anlage 3 VO-DV I (03/2019)

Alles Wortklauberei, möchte mancher jetzt vielleicht sagen. Leider nein, denn mitunter kommt es auf die Wahl des Wortes an.

 

 

 

 

Veröffentlicht am

Endlich klare Aussagen vom MSB NRW zu datenschutzrechtlichen Fragen

Lesezeit: < 1 Minute

Es hat lange gedauert bis sich das Ministerium für Schule und Bildung NRW einmal umfänglich zu datenschutzrechtlichen Fragen im Zusammenhang mit der umstrittenen Genehmigung zur Verarbeitung von personenbezogenen Daten aus der Schule auf privaten Endgeräten von Lehrkräften äußert. Was geht und was geht nicht, wie sieht es mit Haftungsfragen aus? Antworten kommen auch zu vielen anderen Fragen: z.B. E-Mail Kommunikation mit Eltern über dienstliche und private E-Mail Adressen, Speicherung von Fotos von Schülern auf dem Smartphone, Nutzung von privaten Smartphones für Kommunikation mit Eltern, Fragen zu zulässigen Anwendungen, Zugriff auf Webanwendungen und die Genehmigung, und die Zulässigkeit von WhatsApp, Telegram und iMessage auf privaten Geräten, wenn sie dienstlich genutzt werden. Zu finden ist dieses unter

Da es an Schulen nicht nur viele Fragen zur Genehmigung gibt, sondern auch zu anderen Bereichen, wurden in einer zweiten Sammlung weitere Fragen zum Thema Datenschutz an der Schule aufgegriffen. Hier geht es um die Aufgaben von Datenschutzbeauftragten, Notelisten in Papierform am heimischen Arbeitsplatz, die Übermittlung von Elterndaten an die Schulpflegschaft, Office 365 im schulischen Einsatz, Videoüberwachung und elektronische Schließanlagen an der Schule.

Sicherlich werden verschiedene Akteure im Bereich Schule die Antworten unterschiedlich beurteilen. Es bleiben definitiv auch noch Fragen offen, doch es ist gut, dass das Ministerium zu den meisten Fragen sehr eindeutig Stellung bezogen hat. Mit diesen Antworten kann man planen und Entscheidungen fällen.

Auch zum Thema Schulhomepage gibt es einige (wenige) datenschutzrechtliche Aussagen vom Ministerium.

Veröffentlicht am

Daten zwischen kooperierenden Schulen per E-Mail übertragen – geht das?

Lesezeit: 4 Minuten

Folgende Frage erreichte mich: “Unsere Koop-Schule will von unseren Schülern, die rüber kommen, den Schild-Datensatz. Darf man das per Schild-Export und E-Mail übertragen und wenn ja, dann wie?”

Bevor es um die eigentliche Frage geht, kurz zur Rechtmäßigkeit der Datenübermittlung zwischen kooperierenden Schulen.

Dürfen Schulen einander personenbezogene Daten von Schülern übermitteln, wenn sie miteinander kooperieren?

In NRW setzen das Schulgesetz (SchulG NRW) und die VO-DV I enge Grenzen, bezüglich der Übermittlung von personenbezogenen Daten von Schülern. Das betrifft die möglichen Empfänger wie auch die Verfahren. §120 Abs. 5 Satz 1 SchulG NRW lässt eine Übermittlung unter folgenden Bedingungen zu:

Die in Absatz 1 Satz 1 genannten Daten dürfen einer Schule, […] nur übermittelt werden, soweit sie von diesen Stellen zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben benötigt werden.

Es muss also eine durch eine Rechtsvorschrift übertragene Aufgabe vorliegen, zu deren Erfüllung die personenbezogenen Daten von Schülern erforderlich sind, damit Daten übermittelt werden dürfen. Ein Kommentar zum SchulG NRW päzisiert dieses.

“Nur wenn die konkrete Form der Kooperation eine Übermittlung von personenbezogenen Daten erforderlich macht, beispielsweise weil gemeinsame Unterrichtsveranstaltungen im Sinne des § 4 Abs. 3 Satz 2 SchulG stattfinden, ist ein solcher Transfer nach Maßgabe des § 120 Abs. 5 Satz 1 SchulG zulässig. Insoweit findet dann die Regelung des § 6 Abs. 1 Satz 2 VO-DV I Anwendung.”1Katernberg in SchulG NRW – Kommentar, März 2008

In § 6 Abs. 1 Satz 2 VO-DV I2Satz 2 = Hervorhebung heißt es:

1) Bei einem Schulwechsel übermittelt die abgebende Schule der aufnehmenden Schule personenbezogene Daten aus dem Schülerstammblatt und dem sonstigen Datenbestand, soweit die Daten für die weitere Schulausbildung der Schülerin oder des Schülers erforderlich sind. Entsprechendes gilt bei der Kooperation von Schulen. Die Unterlagen selbst verbleiben bei der abgebenden Schule.

Die rechtliche Grundlage für die Übermittlung von personenbezogenen Daten der Schüler, welche an der Kooperationsschule unterrichtet werden, ist damit gegeben. Klar ist dabei jedoch auch, dass nur die Daten übermittelt werden dürfen, welche für die Erteilung des Unterrichts an der anderen Schule von dieser benötigt werden.3Alle anderen Daten dürfen nur auf der Grundlage einer Einwilligung der Betroffenen übermittelt werden. Beispiel: die andere Schule möchte wissen, ob unter den Schülern, die am Unterricht teilnehmen werden, Vegetarier sind, da man die eigene Mensa informieren möchte. (Es besteht hier keine Erforderlichkeit, die sich aus der Erfüllung einer Rechtsvorschrift ergibt.) In SchiLD NRW werden dazu nur die erforderlichen personenbezogenen Daten exportiert.

Übermittlungsverfahren

Eine Übermittlung von personenbezogenen Daten muss entsprechend dem Stand der Technik gesichert erfolgen. Die VO-DV I macht hier in §5 Absatz 2 entsprechende Vorgaben:

“Die Datenübermittlung kann schriftlich, mündlich, automatisiert oder auf Datenträgern erfolgen. Datenträger, die versandt werden, dürfen personenbezogene Daten nur enthalten, soweit diese für die Empfängerin oder den Empfänger bestimmt sind. Eine automatisierte Datenübermittlung kann auch über eine gemeinsam genutzte informationstechnische Basis-Infrastruktur erfolgen, sofern die technischen und organisatorischen Sicherheitsanforderungen des § 10 des Datenschutzgesetzes NordrheinWestfalen erfüllt werden. Eine Datenübermittlung auf Datenträgern bedarf einer Verschlüsselung nach dem aktuellen Stand der Technik. Automatisierte Verfahren, die die Übermittlung personenbezogener Daten durch Abruf ermöglichen, sind unzulässig.”

Der letzte Satz hat es in sich, denn einige Verfahren werden hier grundsätzlich ausgeschlossen. Gemeint sind dabei solche Verfahren,

“die die Übermittlung personenbezogener Daten durch Abruf einer anderen Stelle ermöglichen, bei denen also eine Übermittlung stattfindet, ohne dass die speichernde bzw. übermittelnde Stelle davon Kenntnis hat und verantwortlich entscheidet, ob eine Übermittlung erfolgen darf.”4Katernberg in SchulG NRW – Kommenfar, März 2015

Dieses wäre beispielsweise der Fall, wenn ein Freigabeordner in einer Cloud eingerichtet würde und dem Empfänger würden der Link und das Passwort dazu mitgeteilt. Die übermittelnde Stelle hätte keinerlei Kontrolle darüber, ob die Daten abgerufen werden und wer sie abruft.5Die Informationen zum Zugang könnten in falsche Hände geraten, zufällig gefunden werden, durch einen Fehler offenbar werden und ähnlich.

Darf der SchiLD NRW Export per E-Mail an die Kooperationsschule übertragen werden?

Unter den bei den meisten Schulen in NRW akutell gegeben Bedingungen ist von einer Übertragung per E-Mail dringend abzuraten. Es gibt jedoch Ausnahmen. Nutzen beide Schulen in einer Kommune oder Stadt den gleichen kommunalen/städtischen E-Mail Dienst und sind in der Lage, ihre E-Mails zu verschlüsseln, spricht nichts gegen eine Übermittlung per E-Mail. Sobald Logineo NRW zur Verfügung steht und von beiden Schulen genutzt wird, kann auch dessen E-Mail Funktionalität genutzt werden. Aber auch hier empfiehlt es sich, die E-Mails mit den sensiblen Schülerdaten zu verschlüsseln.

Es gibt Schulen, die Anbieter wie T-Online, Web.de oder GMX nutzen. Eine Übermittlung per E-Mail über diese oder vergleichbare E-Mail Anbieter, so wie man sie im Privatbereich nutzt, ist nicht zu empfehlen, auch nicht wenn die E-Mails verschlüsselt sind. In der Regel liegen E-Mails zumindest einige Tage auf dem E-Mail Server des Absenders, oft auch des Empfängers. Wird einer dieser Server gehackt und die Daten entwendet, ist nie sicher, was mit den Daten passiert. Selbst eine Verschlüsselung, die heute als sicher gilt, könnte in einigen Jahren zu knacken sein6siehe Quantum Computing, Künstliche Intelligenz und zu Problemen für die Betroffenen führen.

Siehe auch “E-Mail Kommunikation sicher nutzen

Lösungen

Auch wenn eine Übermittlung per E-Mail in den meisten Fällen aus Gründen der Sicherheit nicht möglich ist, lassen sich die Daten aus dem SchiLD Export in digitaler Form übermitteln.

Der einfachste Weg wird die Speicherung auf einem verschlüsselten USB Stick sein, der dann persönlich durch eine Lehrkraft an der kooperierenden Schule abgegeben wird. Wenn zwei Schulen kooperieren, werden sie in räumlicher Nähe zueinander liegen und dieser Weg sollte ohne Probleme möglich sein.7Denkbar wäre auch noch der postalische Versand eines verschlüsselten Datenträgers. Vermutlich ist das jedoch aufwändiger als eine persönliche Übergabe, da bei der postalischen Übermittlung das Passwort zum Entschlüsseln getrennt auf einem anderen Wege übermittelt werden müsste.

Nutzen beide Schulen eine sichere Cloud Lösung, über welche sie Daten austauschen können, ist auch dieses eine Möglichkeit.8Google Drive und Microsoft OneDrive wie auch Dropbox und ähnliche Anbieter gehören nicht zu diesen Lösungen, auch wenn sich die Daten dort verschlüsselt ablegen lassen. Die Gründe dafür liegen daran, dass es sich um nicht europäische Anbieter handelt, bei denen ein tatsächliche Einhaltung der DS-GVO nicht zu einhundert Prozent überprüfbar gewährleistet ist. Eine Nutzung für personenbezogene Daten im Rahmen der schulischen Verwaltung ist damit aktuell (November 2018) nicht zulässig.. Logineo NRW könnte in NRW eine solche Cloud Lösung sein. Nutzen beide Schulen eine Plattform wie kommunal/städtisch betriebenes Moodle, wäre auch dieses eine Möglichkeit. Hierbei muss das Verfahren so gestaltet werden, dass kein Konflikt mit der Vorgabe des letzten Satzes von VO-DV I §5 entsteht.9siehe oben

Ein gemeinsames Verzeichnis, auf welches nur die Sekretariate beider Schulen zugriff haben, wäre eine Möglichkeit.

Veröffentlicht am

Gut Ding will Weile haben – Logineo NRW (wohl) kommt doch noch

Lesezeit: < 1 Minute

Logineo NRW sollte die Plattform des Landes werden, mit welcher Schulen eine Cloud Lösung erhalten, welche datenschutzkonformes Arbeiten und Austauschen von Daten erlaubt und durch Single-Sign-On eine datensparsame Nutzung verbundener Plattformen ermöglicht. Schon in diesem Schuljahr sollte der Rollout beginnen. Daraus wurde dann leider nichts, technische Probleme, auch im Zusammenhang mit der Gewährleistung des Datenschutzes, wie man hörte. Wie das Ministerium heute in einer Pressemitteilung verkündete, hat man sich entschlossen, die technischen Probleme zu beheben und danach in eine Pilotierung zu gehen. Verläuft diese erfolgreich, kommt dann der Rollout in die Breite.

Das klingt schon mal ganz gut. Nach den Erfahrungen der vergangenen Jahre mit diversen angekündigten und abgesagten Starttermin, wird man an den Schulen erst mal abwarten. Die Landesregierung NRW hat hier eine Menge Vertrauen verspielt. Sicherlich wird es viele Schulen geben, die mittlerweile das Warten leid sind und andere Lösungen gefunden haben.

Wenn Logineo NRW tatsächlich kommt, wie geplant, kann Schulen dieses tatsächlich einige Vorteile bringen, wenn es um die Einhaltung datenschutzrechtlicher Vorgaben bei der alltäglichen Arbeit geht. An einem Problem ändert die Plattform jedoch nichts. Mit privaten Endgeräten dürfen Lehrkräfte auf Logineo NRW nur zugreifen, wenn sie für die Verarbeitung von personenbezogenen Daten ihrer Schüler eine Genehmigung ihrer Schulleitung haben. Viele Schulen in NRW kämpfen aktuell mit diesem Problem. Lehrkräfte beantragen die Genehmigung nicht, da sie kein Risiko eingehen wollen. Auch Schulleitungen erteilen häufig die Genehmigung grundsätzlich nicht in ihren Kollegien, da sie sich nicht imstande sehen, zu beurteilen, ob sie den Anträgen auf Genehmigung nach den dort gemachten Angaben stattgeben sollen oder nicht.

Stolz präsentiert von WordPress