Ist die Nutzung von nicht vom Schulträger zur Verfügung gestellten Plattformen illegal?

Lesezeit: 8 Minuten

In der 18. Kalenderwoche 2024 ging Schulen im Zuständigkeitsbereich der Bezirksregierung Arnsberg ein Schreiben zu, welches dort für sehr viel Kopfzerbrechen sorgte. Das Schreiben ist die späte Folge eines Falles, bei welchem ein Vater gegen die Nutzung von Google Workspace for Education an einem Dortmunder Gymnasium geklagt hatte und damit durch alle Instanzen bis vor das Oberverwaltungsgericht NRW gegangen war. Das Verfahren endete im Juli 2023 mit einer Selbstverpflichtung der BR Arnsberg, der betreffenden Schule die Nutzung der Plattform zu untersagen. Schon zu der Zeit machte man sich bei der BR Arnsberg Gedanken, welche Konsequenzen der Beschluss des Senats aus drei Richtern über die eine Schule hinaus haben könnte oder auch müsste.

Das Verfahren vor dem OVG

Zur Erinnerung: die Richter hatten sich nicht mit der möglicherweise nicht bestehenden DS-GVO Konformität von Google Workspace for Education befasst, die Klagegrund des Vaters gewesen war, sondern zogen sich auf Verwaltungsrecht zurück und stellten fest, dass die Schule die Plattform gar nicht hätte nutzen dürfen, da sie ihr nicht gem. § 79 SchulG NRW vom Schulträger zur Verfügung gestellt worden war und die Schule dem Schulträger auch nicht die Datenschutzkonformität nachgewiesen hatte. Damit war der Fall für die drei Richter erledigt. Sie hatten bei ihren Überlegungen auch festgestellt, dass der Schulträger bei der Auswahl einer Plattform dafür Sorge tragen muss, dass sie datenschutzkonform nutzbar ist. Sollten Schüler oder Eltern Zweifel an der Datenschutzkonformität hegen, müsse der Schulträger den Nachweis führen. Letzteres sorgte in der Fachwelt für Aufsehen, da die Richter hier dem Schulträger eine Verantwortung zusprachen, welche laut Schulgesetz NRW bei der Schulleitung liegt.1Die hier von dem OVG NRW vertretene Ansicht dürfte daher in der Praxis deutliche Probleme bei den Schulträgern bzw. deren behördlichen Datenschutzbeauftragten auslösen. Wenn man der Auffassung des Gerichts konsequent folgen würde, so würde die Grenze der datenschutzrechtlichen Verantwortlichkeit an der Schnittstelle zwischen innerer und äußerer Schulangelegenheit verwischen.” – (ZD 2023, 627, beck-online) Interessanterweise hatte das OVG aber auch beschrieben, dass die Schule bzw. Schulleitung es versäumt hatte, dem Datenschutzbeauftragten des Schulträgers “den mit Google konkret abgeschlossenen „Vertrag zur Auftragsbearbeitung“ und das „Verzeichnis der Verarbeitungstätigkeiten“ zur Prüfung vorzulegen, um die Datenschutzkonformität nachzuweisen.2Die Schule selbst widerspricht dieser Aussage. Entsprechende Unterlagen hätten “nachweislich sowohl den Datenschutzbeauftragten der Dortmunder Schulen als auch der Bezirksregierung Arnsberg” vorgelegen. Im Verfahren sei dies jedoch nicht klargestellt worden von Seiten der Bezirksregierung.

Das Schreiben der BR Arnsberg

Das Schreiben vom 02.05.2024 richtet sich an die Schulleitungen der öffentlichen Schulen im Regierungsbezirk Arnsberg und hat den Betreff Nutzung von Lehr- und Lernmanagementsystemen sowie Arbeits- und Kommunikationsplattformen in digitaler Form. Es wird auf das 16. Schulrechtsänderungsgesetz verwiesen, sowie § 8 Abs. 2 SchulG NRW sowie § 79 SchulG NRW. Aus diesen beiden folge:

Die Einführung und Nutzung anderer als von dem Schulträger bereitgestellter digitaler Lehr- und Lernmanagementsystemen sowie Arbeits- und Kommunikationsplattformen widerspricht den schulrechtlichen Vorschriften und ist somit rechtswidrig.

Und dieses gelte auch für Lehr- und Lernmanagementsystemen sowie Arbeits- und Kommunikationsplattformen, die bereits vor März 2022 “eigenständig von der Schule eingeführt” worden seien, da die Einführung der neuen Regelung in § 8 Abs. 2 SchulG NRW “lediglich eine klarstellende Funktion” habe.

Die Bezirksregierung begründet ihr Vorgehen damit, dass “die Umstellung […] zur rechtlichen Absicherung der bisherigen Praxis und zur Erfüllung des Bildungsauftrags zwingend notwendig” sei.

Es erfolgt dann noch einmal klar und deutlich, welche Konsequenz sich für Schulen daraus ergibt: “Ich weise darauf hin, dass die Nutzung anderer als vom Schulträger bereitgestellten digitalen Lehr- und Lernmanagementsysteme sowie Arbeits- und Kommunikationsplattformen einzustellen ist und ein Wechsel zu den bereitgestellten Systemen und Plattformen des Schulträgers oder zu LOGINEO NRW zu erfolgen hat.

Es wird dann eine Frist zum Umstellung auf vom Schulträger bereitgestellte Plattformen gesetzt, die zu Beginn des Schuljahres 2024/25 endet. Um Härten zu vermeiden, soll “Schülern sowie den Lehrkräften jedoch ein Zugriff auf die Daten in den bisher genutzten Lehr- und Lernmanagementsysteme bzw. Arbeits- und Kommunikationsplattformen bis zum Ende des Schuljahres 2024/2025 ermöglicht werden.

Was bedeutet das für die Praxis?

Das Schreiben hat, wenn Schulen es konsequent umsetzen, enorme Folgen. Das sieht man auch bei der Bezirksregierung: “Mir ist bewusst, dass diese Umstellung mit einem erheblichen Arbeitsaufwand und weitreichenden Veränderungen der innerschulischen Organisation verbunden sein kann.”

Es stellt sich jedoch eine Frage: Schießt die Bezirksregierung hier nicht deutlich über das Ziel hinaus?

Schaut man sich das 16. Schulrechtsänderungsgesetz und die Begründungen zum Entwurf dazu an, dann geht dort aus keiner Formulierung hervor, dass man im MSB mit der Ergänzung von § 8 Abs. 2 SchulG NRW  eine Klarstellung bezüglich zuvor eingeführter Plattformen beabsichtigte. Vielmehr ging es dem Land darum, den schulischen Einsatz digitaler Lehr- und Lernsysteme sowie digitaler Arbeits- und Kommunikationsplattformen gesetzlich zu verankern. Durch die Ergänzung von § 65 Abs. 2 Nr. 6 und § 120 Abs. 5 Satz 2 wurde dann aufbauend auf dieser Rechtsnorm die Möglichkeit geschaffen, vom Schulträger vorgeschlagene Lehr- und Lernsysteme sowie digitale Arbeits- und Kommunikationsplattformen zu einer verpflichtenden Nutzung an der Schule einzuführen. In der Erläuterung hob der Gesetzgeber hervor, dass diese Entscheidungsbefugnis der Schulkonferenz sich nicht auf vor Inkrafttreten des 16. Schulrechtsänderungsgesetzes eingeführte Plattformen erstreckte.

Auf den Punkt gebracht, ging es dem Gesetzgeber beim 16. Schulrechtsänderungsgesetz mit Blick auf Digitalisierung vor allem um eines:

Den Erfordernissen der Zeit folgend, auch mit Blick auf die Erfahrungen während der Corona Pandemie, wollte man Schulen eine Rechtsgrundlage geben, welche ihnen die Möglichkeit gibt, zwei der wichtigsten Kategorien von digitalen Plattformen zukünftig auch ohne die rechtlich ohnehin umstrittenen Einwilligungen3(in die dazu erforderliche Verarbeitung von personenbezogenen Daten zu unterrichtlichen Zwecken bzw. zur Erfüllung des Bildungs- und Erziehungsauftrags) zu nutzen.

Weder im 16. Schulrechtsänderungsgesetz noch in den Begründungen zum Entwurf des Gesetzes findet sich irgendein Hinweis darauf, dass man damit die Nutzung von zuvor eigenständig beschafften Plattformen für illegal erklären wollte. Es wurde lediglich deutlich gemacht, dass die Entscheidungsbefugnis der Schulkonferenz sich zum einen nur auf Plattformen der genannten Kategorien beschränkt, welche vom Schulträger zur Nutzung vorgeschlagen wurden, und dass sie sich nicht auf zuvor angeschaffte Plattformen erstreckt. Eine “klarstellende Funktion“, welche die Bezirksregierung Arnsberg in der Aufnahme der neuen Regelungen ins Schulgesetz sieht, ist aus keiner Formulierung in den Begründung zum Entwurf des Schulrechtsänderungsgesetzes herleitbar.

Der Senat des OVG hatte extra ausgeführt, dass die Schule dem Schulträger bzw. seinem Datenschutzbeauftragten die Datenschutzkonformität nicht durch Vorlage eines Verfahrensverzeichnisses und des Vertrags zur Auftragsverarbeitung mit Google nachgewiesen hatte.4Was so sachlich nicht korrekt ist. Siehe Fußnote 1 oben. Warum wurde das von den Richtern aufgenommen? Wäre die Nutzung durch die Schule rechtmäßig gewesen, hätten sie dem Schulträger die Datenschutzkonformität nachgewiesen? Möglicherweise sahen die Richter dies als eine Option, wie der Schulträger seiner ihm vom Senat zugeschriebenen Verantwortung bezüglich der Datenschutzkonformität von in der Schule genutzten Plattformen nachkommen und damit in die Bereitstellung eingebunden werden kann.

In der Bezirksregierung Arnsberg hatte man nach dem Verfahren vor dem OVG NRW festgestellt, dass auch die Beantragung von Logineo NRW nicht mit dem Schulgesetz vereinbar sei, da hier die Schule die Beauftragung starte und den Schulträger in diesem Prozess informieren muss. Dies, so die BR Arnsberg müsse genau anders herum sein. Folgt man der Argumentation der Bezirksregierung in ihrem Schreiben an die Schulleitungen, müssen diese auch die Nutzung von Logineo NRW in der gesetzten Frist einstellen, da sie rechtswidrig ist. Oder ist durch die Einbindung des Schulträgers die Einführung dann nicht mehr “eigenständig“? Und welche Rolle spielt es, dass die Plattform  der Schule genau genommen durch das Land zur Verfügung gestellt wird?

Schulen nutzen heute viele Plattformen und Apps, die je nach Nutzungsszenario auch personenbezogene Daten verarbeiten können. Dazu gehören auch kostenlose Apps und Plattformen. Einige der kostenlosen Plattformen werden von Anbietern mit eingeschränkten Funktionen zur Verfügung gestellt. Einen Vertrag zur Auftragsverarbeitung können Schulen aber trotzdem abschließen. Die Finanzmittel des Schulträgers braucht es hier nicht. Mitunter finanziert der Förderverein der Schule eine Plattform, da der Schulträger die Mittel nicht hat, oder eine Firma sponsert die Schule. Einige Schulen nutzen von Firmen gespendete Hardware, etwa Laptops oder Tablets.

An vielen Schulen erfolgt der Kauf von Apps für iPads im VPP Store durch Lehrkräfte, da man so schnell und unbürokratisch entscheiden kann. Gibt es Angebote, die nur einen Tag gültig sind, kann so schnell gehandelt werden. Das Budget für den VPP Store stellt der Schulträger bereit. Eine Kontrolle, welche Apps erworben werden, findet nicht statt. Kaufen die Schulen damit die Apps “eigenständig” oder nicht?

Was können Schulen tun?

In der Regel stimmen sich Schulen mit ihrem Schulträger ab, bevor sie aus ihrem eigenen Etat eine digitale Plattform beschaffen. Das ist sinnvoll, da viele Schulen auf technische und administrative Unterstützung durch den Schulträger oder einen beauftragten Dienstleister angewiesen sind. Selbst wenn die Schule die Administration selbst übernimmt, ist der Schulträger in den meisten Fällen im Bild. Das gilt auch, wenn der Förderverein oder ein Sponsor der Schule Hardware oder eine Plattform zur Verfügung stellt. Mitunter kann ein Schulträger seinen Schulen keine zusätzlichen Finanzmittel für die Beschaffung einer Plattform bereitstellen und gibt der Schule zu verstehen, dass sie das aus eigenen Mitteln leisten muss. Das Geld der Schule stammt ohnehin vom Schulträger und wurde der Schule als Etat zugewiesen. Auch wenn bei Schulen immer noch eine Trennung über innere und äußere Angelegenheiten erfolgt, ist der Schulträger letztlich Eigentümer, auch von Dingen, welche eine Schule aus ihrem Etat bezahlt hat. Zusammenfassend kann man feststellen, dass Schulen nur selten “eigenständig” handeln, wenn sie eine Plattform oder ein System aus ihrem Etat beschaffen oder von anderer Seite zur Verfügung gestellt bekommen. Der Schulträger ist nahezu immer zumindest informiert, häufig aber auch beteiligt. Von daher kann man davon ausgehen, dass Schulen, wenn überhaupt, nur sehr wenige Systeme oder Plattformen tatsächlich eigenständig eingeführt haben und nutzen. Zudem kann man davon ausgehen, dass solange ein Schulträger informiert war und anschließend keine Einwände äußerte, er damit der Schule seine stillschweigende Zustimmung erteilt hat.

Damit war die Einführung und ist die Nutzung der meisten Systeme und Plattformen auch nicht rechtswidrig im Sinne der Auffassung der BR Arnsberg, und sie fallen somit auch nicht unter die im Schreiben gesetzte Frist.

Wie schon im Beitrag zum 16. Schulrechtsänderungsgesetz erläutert, kann die Schulkonferenz erst seit Inkrafttreten der neuen gesetzlichen Regelung in § 65 Abs. 2 Nr. 6 über vom Schulträger vorgeschlagene Systeme und Plattformen entscheiden. Über bereits vorher eingeführte Systeme und Plattformen kann die Schulkonferenz nicht entscheiden. Entsprechend heißt es in den Erläuterungen zum Entwurf des 16. Schulrechtsänderungsgesetzes bezüglich des Rahmens, in welchem die Schulkonferenz über vom Schulträger vorgeschlagene Systeme entscheiden kann: “Die Schulkonferenz kann allerdings nur in dem Rahmen entscheiden, den der Schulträger bereitstellt. Dabei wirkt die Schulkonferenz an der Entscheidung mit, wenn ein Vorschlag seitens des Schulträgers unterbreitet wird, d.h. neue Systeme und Plattformen eingeführt oder wesentlich verändert werden. Auf bisher existierende und bereits genutzte Systeme und Plattformen erstreckt sich die Entscheidungsbefugnis nicht.

Das ist mit Blick auf bereits vorher eingeführte Systeme und Plattformen ungünstig, vor allem wenn diese sonst alle Voraussetzungen mitbringen und man ihre Nutzung gerne verpflichtend machen möchte. Die Logineo NRW Plattformen sind ein gutes Beispiel dafür. Aufgrund der Dienstvereinbarungen mit den Hauptpersonalräten ist ihre Nutzung bisher nur mit Einwilligung, d.h. auf freiwilliger Basis möglich. Diese Regelung wird aber ziemlich sicher irgendwann, wenn MSB und Hauptpersonalräte sich einigen können, entfallen. Wie im Zitat aus der Begründung zum Gesetzesentwurf deutlich wird, war sich der Gesetzgeber bewusst, dass es eine Möglichkeit geben muss, § 65 Abs. 2 Nr. 6 auch auf bereits bestehende Plattformen (wie Logineo NRW) anwenden zu können. Diese Möglichkeit eröffnet sich durch die wesentliche Veränderung.

Eine wesentliche Veränderung kann bei einem System oder einer Plattform sein, wenn Funktionen hinzukommen oder entfallen, es ein größeres Update gibt, durch welches sich die Funktionsweise der Plattform verändert, der Anbieter die Nutzungsbedingungen und/ oder Datenschutzbestimmungen verändert, sich die Art der Nutzung verändert, neue Nutzergruppen hinzukommen und ähnlich.

Fazit

Das Schreiben der BR Arnsberg vertritt eine Auslegung der Regelungen, welche mit dem 16. Schulrechtsänderungsgesetz eingeführt wurden, die extrem restriktiv ist und deren Herleitung für den Autoren dieser Seite nicht nachvollziehbar ist. In seinen Formulierungen ist das Schreiben nicht weit von einer dienstlichen Anweisung entfernt. Stattdessen wird darauf hingewiesen, “dass die Nutzung anderer als vom Schulträger bereitgestellten digitalen Lehr- und Lernmanagementsysteme sowie Arbeits- und Kommunikationsplattformen einzustellen ist und ein Wechsel zu den bereitgestellten Systemen und Plattformen des Schulträgers oder zu LOGINEO NRW zu erfolgen hat.

Blickt man genauer auf die in Schulen aktuell genutzten Systeme und Plattformen, welche eine Schule nicht unmittelbar vom Schulträger zur Verfügung gestellt wurden, so kann man davon ausgehen, dass diese nur selten tatsächlich eigenständig von den Schulen eingeführt wurden. Darüber hinaus besteht die Möglichkeit, die Schulkonferenz entscheiden zu lassen, wenn es an einem bereits genutzten System oder einer bereits genutzten Plattform zu wesentlichen Veränderungen kommt. Der Schulträger muss der Schulkonferenz dann einen entsprechenden Vorschlag zur Nutzung unterbreiten.

Anlage: Vorschlag zur Nutzung digitaler Plattformen und Software gemäß Schulgesetz NRW.docx5Hinweis: Dieses Muster ist ein Vorschlag, wie ein entsprechende Schreiben des Schulträgers an die Schulkonferenz aussehen könnte.

Was heißt das alles jetzt eigentlich für den Schulträger?

Müssen Schulträger jetzt für jede App und Plattform, welche sie einer ihrer Schulen zur Nutzung vorschlagen wollen, eine umfangreiche Datenschutzprüfung in Auftrag geben? Davon ist ziemlich sicher nicht auszugehen. Es sollte reichen, wenn sich die behördlich bestellten schulischen Datenschutzbeauftragten die Plattform ansehen und eine einfache Bewertung vornehmen. Mit Recherche findet man oftmals bereits Hinweise aus anderen Quellen, ob eine Plattform datenschutzfreundlich nutzbar ist oder nicht. Wenn ein anderes Bundesland eine Plattform offiziell seinen Schulen bereitstellt, wie etwa itslearning in Baden Württemberg, HPI Schul-Cloud in Brandenburg, fobizz in Rheinland-Pfalz, Mecklenburg-Vorpommern und Sachsen oder bettermarks in Rheinland-Pfalz, Niedersachsen, Berlin und Bremen, kann man sich als Schulträger daran orientieren. Handelt es sich um eine Plattform, die über Vidis vermittelt wird, kann sich der Schulträger darauf verlassen, dass eine Datenschutzprüfung vor Aufnahme erfolgt ist. Zu den Informationen, welche ausgewertet werden sollten, gehören natürlich auch die Dokumentation des Anbieters und seine Zusicherung der DS-GVO Konformität. Bezüglich dieser Aussagen eines Anbieters kann man dann auf das OLG Karlsruhe, Beschluss vom 07.09.2022 – 15 Verg 8/22 verweisen. Der Beschluss sagt, dass solange es keine konkreten Anhaltspunkte dafür gibt, dass die vertraglichen Zusagen des Anbieters zweifelhaft sind, ein öffentlicher Auftragsgeber auch nicht gehalten ist, durch Einholung ergänzende Informationen die Erfüllbarkeit des Leistungsversprechens beziehungsweise die hinreichende Leistungsfähigkeit des Bieters (meint hier einen Anbieter, der einen Auftrag zur Bereitstellung einer Plattform haben will)  zu prüfen. Zu dem Leistungsversprechen gehört auch die Zusage, dass man DS-GVO konform sei. – https://openjur.de/u/2449559.html. Mancher Schulträger mag sich an der Stelle vielleicht fragen, ob er Garantien für den Datenschutz übernimmt? Angenommen es kommt erneut zu einem Fall, der dem vor dem OVG vergleichbar ist, und der Schulträger müsste darlegen, ob und wie er vorab oder auch im Nachhinein geprüft hat, ob die Plattform datenschutzrechtlich unbedenklich ist. Das Gericht muss letztlich akzeptieren, was der Schulträger angibt, wenn dieser vorgegangen ist, wie zuvor beschrieben, zumal weder das Schulgesetz noch ein anderes Recht dem Schulträger konkret eine datenschutzrechtliche Verantwortung zuschreibt, wie dieses die Richter des Senats des OVG getan haben.

Erprobungsstufenkonferenz

Lesezeit: 2 Minuten

In Grundschulen kommt immer wieder die Frage auf, welche Informationen weiterführenden Schulen über die ehemaligen Schülerinnen und Schüler gegeben werden dürfen.

Es gilt wie überall die Grundregel, dass eine Schule die personenbezogenen Daten der Schülerinnen und Schüler nur Personen zugänglich machen darf, sofern es dafür eine Rechtsgrundlage im Schulgesetz NRW gibt oder die Betroffenen, hier die Eltern der Grundschülerinnen und Schüler, der Übermittlung zuvor zugestimmt haben.

Für die Weitergabe an weiterführende Schulen gibt es eine wichtige Rechtsgrundlage, die es Grundschulen erlaubt, Daten ihrer ehemaligen Schülerinnen und Schüler preiszugeben. Das ist § 10 Abs. 4 Ausbildungs- und Prüfungsordnung Sekundarstufe I – APO-S I (BASS 13-21 Nr. 1.1):

“Für Zusammensetzung, Stimmberechtigung und Verfahren der Erprobungsstufenkonferenzen gilt § 50 Absatz 2 Schulgesetz NRW. Den Vorsitz führt die Schulleiterin oder der Schulleiter oder eine mit Koordinierungsaufgaben beauftragte Lehrkraft. Die Lehrkräfte, die die Schülerin oder den Schüler in der Grundschule unterrichtet haben, können an den Erprobungsstufenkonferenzen teilnehmen.”

Während der zweijährigen Erprobungsstufe, Klasse 5 und 6, finden gem. § 10 Abs. 3 APO-SI jährlich drei sogenannte Erprobungsstufenkonferenzen statt. In diesen wird “über die individuelle Entwicklung der Schülerin oder des Schülers, über etwaige Schwierigkeiten, deren Ursachen und mögliche Wege zu ihrer Überwindung und über besondere Fördermöglichkeiten beraten.

Um hier optimal beraten zu können, werden zu einer der ersten Erprobungsstufenkonferenzen in der Regel auch die ehemaligen Lehrerinnen und Lehrer der Schülerinnen und Schüler an der Grundschule eingeladen, denn diese kennen die Kinder meist schon über einen längeren Zeitraum. Auf der Grundlage von § 10 Abs. 4 APO-SI könnten sich die Lehrkräfte der weiterführenden Schule deshalb mit ihren Kolleginnen und Kollegen aus der Grundschule über die einzelnen Kinder austauschen, soweit es um Noten, konkrete Probleme, bewährte Strategien, ein Kind zu unterstützen und ähnlich geht. Die Grenzen des Austauschs setzt wie immer auch hier § 120 Abs. 1 Satz 2 SchulG NRW, wonach die gespeicherten personenbezogenen Daten in der Schule nur den Personen zugänglich gemacht werden dürfen, die sie für die Erfüllung ihrer Aufgaben benötigen. Hier geht es dann konkret um die Aufgabenerfüllung der Erprobungsstufenkonferenz. Entsprechend heißt es im Wingen Kommentar zu Schulgesetz:

Die Grundschullehrkräfte dürfen personenbezogenen Angaben ihrer früheren Schülerin oder ihres ehemaligen Schülers in der Erprobungsstufenkonferenz an die anderen Mitglieder (nur) übermitteln, soweit diese Angaben zur Aufgabenerfüllung der Konferenz erforderlich sind.14. Erg.-Lfg., SchulG NRW – Kommentar, März 2008, Katernberg

Streng genommen bedeutet das auch, dass bei Anwesenheit von Lehrkräften verschiedener Grundschulen in einer Erprobungsstufenkonferenz kein Austausch über einzelne Schülerinnen und Schüler zulässig ist. Es kann dann nur über allgemeine Probleme und Maßnahmen gesprochen werden. Soll über einzelne Schülerinnen und Schüler gesprochen werden, müssen die Gespräche auf die zuständigen Personen begrenzt werden. In einem größeren Raum lässt sich dieses beispielsweise umsetzen, in dem die Grundschullehrkräfte einzelne Tische erhalten und dort dann von den Lehrkräften der weiterführenden Schule, die nun die ehemaligen Schülerinnen und Schüler unterrichten, besucht werden können.

Die Beschränkung des Austauschs über Kinder auf die zur Aufgabenerfüllung der Konferenz erforderlichen Daten bedeutet darüber hinaus, dass es über Kinder, die in der Erprobungsstufe keine Probleme haben, diesen Austausch eben nicht gibt.

Dass auch die Grundschullehrkräfte bei der Teilnahme an der Erprobungsstufe Informationen über ihre ehemaligen Schülerinnen und Schüler erhalten, liegt in der Natur der Sache.

Stand 08/2023

LDI NRW Schrift zu Unterricht und Datenschutz – Oktober 2022

Lesezeit: 10 Minuten

Die Schrift Digitaler Unterricht in Schulen – Der Grundstein ist gelegt der LDI NRW ist ein wichtiges Dokument für Schulen, da es nicht nur den aktuellen Rechtsrahmen für die Verarbeitung von personenbezogenen Daten von Schülern und Lehrkräften im Unterricht und die rechtlichen Zuständigkeiten der verschiedenen beteiligten Stellen beschreibt, sondern auch, weil es eine Kommentierung einschließt. Angesprochen wird auch die Nutzung von Online-Plattformen wie Microsoft 365.

Datenverarbeitung durch den Schulträger

Im ersten Teil der Schrift werden die verschiedenen Zuständigkeiten der mit dem System Schule und der dort stattfindenden Datenverarbeitung befassten Stellen beschrieben, beginnend mit der Schulleitung und den schulischen Datenschutzbeauftragten, fortgeführt mit der Zuständigkeit des Schulträgers und des Schulministeriums und abschließend mit der eigenen Rolle, die der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW (LDI NRW) hierzu kommt. Von besonderem Interesse ist in diesem Abschnitt die Stelle, in welcher es um den Schulträger geht. Dieser ist, im Gegensatz zur Schulleitung, die für innere Angelegenheiten zuständig ist, und damit Verantwortlicher für die Verarbeitung von personenbezogenen Daten in der Schule selbst, für die äußeren Angelegenheiten zuständig. Bezüglich des Schulträgers und seiner Zuständigkeit für die Verarbeitung von personenbezogenen Daten im Zusammenhang mit Schule, stellt die Aufsichtsbehörde fest:

“Soweit die Schulträger im Zusammenhang mit diesen äußeren Schulangelegenheiten personenbezogene Daten verarbeiten, sind sie als datenschutzrechtlich Verantwortliche anzusehen.

… diesen äußeren Schulangelegtenheiten” bezieht sich hier auf § 79 Abs. 1 SchulG NRW.

„Die Schulträger sind verpflichtet, die für einen ordnungsgemäßen Unterricht erforderlichen Schulanlagen, Gebäude, Einrichtungen und Lehrmittel bereitzustellen und zu unterhalten sowie das für die Schulverwaltung notwendige Personal und eine am allgemeinen Stand der Technik und Informationstechnologie orientierte Sachausstattung zur Verfügung zu stellen.“ 

Das heißt, der Schulträger darf personenbezogene Daten im Zusammenhang mit diesen äußeren Angelegenheiten verarbeiten und gilt dann als Verantwortlicher. In den meisten Fällen tritt der Schulträger eher als Auftragsverarbeiter auf, etwa wenn er administrative Aufgaben für die Schule in einer schulischen Plattform übernimmt oder bei Support- und Wartungsaufgaben durch kommunale Mitarbeiter, bei denen diese mit Plattformen oder Hardware zu tun haben, mit welchen personenbezogene Daten der Schule verarbeitet werden oder auch durch die Bereitstellung einer Person, die in kommunalen Diensten steht, für das Schulsekretariat.

Ein Fall, in welchem der Schulträger selbst Verantwortlicher sein kann, wäre beispielsweise der Verleih von Dienstgeräten an Lehrkräfte im Rahmen der Ausstattungsinitiative des Bundes und des Landes. In der Richtlinie über die Förderung von dienstlichen Endgeräten für Lehrkräfte an Schulen in Nordrhein-Westfalen wird beispielsweise geschrieben, dass der Schulträger die Geräte entsprechend verwalten muss.

Die Einwilligung im Zusammenhang mit Unterricht

Im zweiten großen Abschnitt geht es um die rechtlichen Rahmenbedingungen der Datenverarbeitung durch die Schule als verantwortlicher Stelle. Hier sind neben den Rechtsgrundlagen aus der DS-GVO und dem DSG NRW vor allem die spezialgesetzlichen Regelungen des Schulgesetzes NRW und die anhängigen Verordnungen zur Datenverarbeitung relevant. Die Schrift geht an dieser Stelle auch auf die Problematik der Einwilligung im Zusammenhang mit dem Unterricht ein und kommt zu dem Schluss:

Für Schulen kann die Einwilligung im Zusammenhang mit dem Unterrichtsgeschehen regelmäßig keine Rechtsgrundlage für die Datenverarbeitung bieten. Wesentlich für eine wirksame Einwilligung ist, dass sie freiwillig erteilt wird. Diese Freiwilligkeit ist in aller Regel bei Datenverarbeitungen, die
den digitalen Unterricht ermöglichen sollen, nicht gegeben, weil die Schüler*innen
am Unterricht teilnehmen müssen und keine freie Wahl haben.” 

Diese drei Sätze sagen mehr, als auf den ersten Blick offensichtlich. Es wird damit nicht gesagt, dass die Verarbeitung von personenbezogenen Daten im Zusammenhang mit dem Unterrichtsgeschehen nicht auch auf der Rechtsgrundlage eine Einwilligung erfolgen kann. Die Einwilligung ist jedoch je nach Zusammenhang problematisch, da sie nur dann rechtswirksam ist, wenn sie freiwillig erteilt wird und das ist sehr häufig (“in aller Regel”) nicht der Fall, da Schüler verpflichtet sind, am Unterricht teilzunehmen. Wenn im Unterricht beispielsweise eine Plattform genutzt werden soll, über welche Schülerinnen und Schüler zusammenarbeiten, ihre Aufgaben erhalten und Lernprodukte erstellen und abgeben, und zur Nutzung dieser Plattform eine Einwilligung erforderlich ist, dann kann davon ausgegangen werden, dass eine Freiwilligkeit hier nicht mehr gegeben ist. Eine Freiwilligkeit würde gleichwertige Alternativen voraussetzen. Diese im Fall einer solchen Plattform zu schaffen, ist so gut wie unmöglich. Das gleiche wäre der Fall, wenn die Klasse an einem Online-Tool , dessen Nutzung eine Einwilligung voraussetzt, gemeinsam ein Wissensnetzwerk erstellen soll. Alle Schüler sollen einen Beitrag erstellen und mit anderen Beiträgen vernetzen. Die Lehrkraft will anschließend die Beiträge bewerten. Von Freiwilligkeit kann hier zumindest im Sinne von Datenschutzrecht nicht mehr ausgegangen werden. Entsprechend heißt es in der Schrift etwas weiter im Text:

Werden Daten von Schüler*innen im Zusammenhang mit digitalem Unterricht erhoben, ist es den Schüler*innen oder deren Eltern in aller Regel nicht möglich, sich frei und ohne Nachteile für die Schüler*innen gegen die Verarbeitung ihrer Daten zu entscheiden, weil sie ansonsten von der Nutzung der konkreten Anwendung und damit zumindest teilweise vom Unterricht ausgeschlossen wären.” Auch hier wird noch einmal ausgedrückt, dass eine freie Entscheidung in sehr vielen Fällen (“in aller Regel”) nicht möglich sein wird.

Anders gestaltet sich das jedoch, wenn die Nutzung einer Plattform oder die Aufnahme und Verwendung von Medien eine Option ist, um im Unterricht an einem Projekt zu arbeiten. Dann haben Schülerinnen und Schüler die Möglichkeit zu wählen und sind nicht gezwungen, eine Plattform zu nutzen oder beispielsweise Tonaufnahmen von sich selbst anzufertigen. Das bedeutet letztlich, man muss im Zusammenhang mit Unterricht sehr genau überlegen, ob eine Einwilligung möglich ist. Die Landesplattform Logineo NRW LMS setzt mit Stand von Oktober 2022 eine Einwilligung zwingend voraus. Das bedeutet, es ist schwierig, Unterricht auf dieser Plattform abzubilden und Schulen stoßen dann an ihre Grenzen, wenn einzelne Mitglieder in der Lerngruppe hier Ihre Einwilligung verweigern oder widerrufen.

Was für die Einwilligung für Schülerinnen und Schüler gilt, das gilt selbstredend auch für Lehrkräfte in gleicher Weise. Abschließend fasst die Schrift zum Thema Einwilligung kurz zusammen, unter welchen Voraussetzungen die Einwilligung als Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten in der Schule genutzt werden kann.

Eine Einwilligung kann nur dann eine Rechtsgrundlage für die Datenverarbeitung sein, wenn sich die Betroffenen frei von sozialem Druck oder Zwang für oder gegen die Verarbeitung ihrer personenbezogenen Daten entscheiden können.” Bei der Verarbeitung von personenbezogenen Daten etwa zur Öffentlichkeitsarbeit oder in anderen Zusammenhängen außerhalb des Unterrichts kann die Einwilligung durchaus ein Rechtsgrundlage bieten.

Datenverarbeitung zur Aufgabenerfüllung

Der Teil der Schrift, welcher sich mit den Rechtsgrundlagen zur Datenverarbeitung durch die Schule auseinandersetzt, welche sich aus der DS-GVO und dem nationalen Recht ergeben, endet mit einem Hinweis darauf, dass ich die Datenverarbeitung für den Einsatz digitaler Unterrichtsanwendungen an der Erfordernis zur Aufgabenerfüllung der Schule orientieren muss.

Schulen müssen immer betrachten, welche Aufgabe sie zu erfüllen haben und welche Datenverarbeitungen dafür erforderlich sind. Schwierigkeiten bereiten in der Regel Anwendungen, die neben den für schulische Zwecke erforderlichen Datenverarbeitungen von den Anbietern voreingestellte Datenverarbeitungen vorsehen, die nicht den schulischen Zwecken dienen. Lassen sich diese Voreinstellungen nicht durch die Schule abstellen, sind diese Anwendungen für den digitalen Unterricht nicht geeignet.

Nicht zur Aufgabenerfüllung erforderliche Datenverarbeitungen in einer unterrichtlich genutzten Plattform sind vielfach problematisch und können, wenn sie sich nicht innerhalb der Plattform deaktivieren lassen, dazu führen, dass eine solche Plattform im Unterricht nicht genutzt werden kann. Zu den nicht für schulische Zwecke erforderlichen Datenverarbeitungen könnten beispielsweise Telemetriedaten zählen, welche personenbezogene oder -beziehbare Daten beinhalten. In einer Plattform wie der Offline Version von Microsoft Office lassen sich diese beispielsweise durch einen Administrator komplett deaktivieren, wie auch weitere Datenflüsse zu Servern von Microsoft. In der Open Source Videokonferenz Plattform BigBlueButton gibt es mittlerweile eine Funktion zur Überwachung der Aktivität von Teilnehmern an einer Videokonferenz. Die Nutzung davon ist nicht für die Aufgabenerfüllung der Schule erforderlich. Sie kann deaktiviert werden, wodurch die Plattform weiterhin für die Anwendung im Unterricht geeignet ist.

Auftragsverarbeitung und Drittstaatentransfer

Diese beiden Anforderungen werden recht kurz und knapp unter den weiteren Anforderungen behandelt, welche von Schulen bei der Verarbeitung von personenbezogenen Daten beachtet werden müssen. Bei Auftragsverarbeitern muss die Schule sicherstellen, dass personenbezogenen Daten nur auf ihre Weisung und zu ihren Zwecken verarbeitet werden und die Vertraulichkeit im Zusammenhang mit der Verarbeitung sichergestellt ist. Dieses ist bisher gerade im Zusammenhang mit der Nutzung von Microsoft 365 nach Einschätzung der Aufsichtsbehörden ein Problem gewesen, da Microsoft sich in den Vertragsbedingungen das Recht einräumte, personenbezogene oder -beziehbare Daten auch zu eigenen Zwecken (interne Abrechnungszwecke) zu verarbeiten. Das Thema Drittstaatentransfer wird nur kurz umrissen und es wird auf weitere Schriften der Aufsichtsbehörde verwiesen. Nach Einschätzung der Aufsichtsbehörde liegt ein Drittstaatentransfer nicht nur dann vor, wenn der Auftragsverarbeiter oder Produkthersteller personenbezogene Daten in Drittländer übermittelt, etwa zu Wartungs- oder Support-Zwecken, sondern auch “wenn der Dienstleister oder dessen Auftragnehmer aus dem Drittland heraus auf in der EU gehaltene Daten zugreift.” Bei großen US-amerikanischen Anbietern ist dieses über viele Jahre gängige Praxis gewesen. Einige Anbieter sind mittlerweile dabei, dieses zu ändern.1In der Fachwelt gab es in diesem Zusammenhang unterschiedliche Ansichten, wie die Möglichkeit einzuschätzen ist, dass ein US-Anbieter auf die Daten in der EU zugreifen könnte. Liegt dadurch bereits ein Drittstaatentransfer vor oder nicht?

Datenschutzbeauftragte und Personalvertretung

Einen kurzen Hinweis gibt es bezüglich der Verarbeitung der personenbezogenen Daten von Lehrkräften, wenn dabei Rückschlüsse auf das Verhalten und die Leistung der Lehrkräfte möglich ist. In einem solchen Fall sind die behördlichen Datenschutzbeauftragten wie auch die Personalvertretung mit einzubeziehen, um den Rechten der Lehrkräfte Rechnung zu tragen.

Lehrer- und Schülergeräte

Hier greift die Schrift die Regelungen zu Dienstgeräten und Ausnahmen für die Nutzung von privaten Endgeräten für die Verarbeitung von personenbezogenen Daten aus der Schule auf, welche auf die Anregungen der Aufsichtsbehörde selbst zurückgehen und diese weitestgehend umsetzen. Bezüglich der Nutzung von digitalen Endgeräten durch Schülerinnen und Schüler für Unterrichtszwecke kommt man bei der Aufsichtsbehörde zum Schluss, dass verpflichtende Regelungen zur Nutzung digitaler Endgeräte nur möglich sind, wenn Schülerinnen und Schüler mit diesen ausgestattet werden und keine privaten Geräte zum Einsatz kommen.

Ein Punkt, der etwas ausführlicher behandelt wird, ist die Möglichkeit zur Überwachung der Bildschirme von Schüler Geräten. Nach Einschätzung der Aufsichtsbehörde ist solches durchaus zulässig, auch die Aufnahme des Bildschirm Inhaltes in Form eines Screenrecording, wenn dieses “zur Wahrnehmung ihres Bildungs- und Erziehungsauftrags erforderlich ist,” und “beispielsweise zum Nachweis einer unzulässigen Nutzung des Geräts im Unterricht” dient. Betroffene müssen über das Bestehen dieser Möglichkeiten vorab informiert werden. [Etwas problematisch an dieser Stelle ist, dass diese Funktionen Mobile Device Management Systemen (MDM) zugeschrieben werden, was sachlich so nicht korrekt ist, da diese Systeme zur Verwaltung von Endgeräten derartige Funktionen nicht beinhalten. Bei iOS lassen sich derartige Funktionen nur über Apple Classroom nutzen. Intune das MDM von Microsoft benötigt für eine solche Funktion die Integration eines zusätzlichen Dienstes wie TeamViewer.]2Ich gehe davon aus, dass die Aufsichtsbehörde hier die Wortwahl noch anpassen wird.

Digitale Systeme für den Unterricht

Dieser dritte große Teil der Schrift ist besonders interessant, weil hier auch Neuerungen im Datenschutzrecht beschrieben werden. Zunächst einmal wird darauf hingewiesen, dass Betroffenen immer klar sein muss, ob die Nutzung einer Plattform für sie verpflichtend oder freiwillig ist. Wie zuvor an verschiedenen Stellen beschrieben dürfen Schulen zur Verarbeitung von personenbezogenen Daten nur Produkte einsetzen, die sich datenschutzkonform, auch in Bezug auf die Sicherheit der Verarbeitung, nutzen lassen. Hier ist die Schule nun in der Pflicht, dieses zu prüfen. Schulen, die diesen recht hohen Aufwand nicht erbringen können, werden auf die Angebote des Landes verwiesen.

Rechtliche Änderungen gibt es bei der Nutzung von Videokonferenz Plattformen. Seit Inkrafttreten des Telekommunikationsgesetzes (TKG) und Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) Ende 2021 gelten “gegen Entgelt erbrachte Videokonferenzsysteme grundsätzlich als Tele- kommunikationsdienste.” Dadurch verändern sich rechtliche Verantwortlichkeiten. War die Schule bisher auch für die Verarbeitung von Metadaten wie der IP Adressen, Browserdaten, die übertragenen Datenmengen und Betriebssysteminformationen von Teilnehmern verantwortliche Stelle, so geht hier jetzt die Verantwortung auf den Anbieter der Videokonferenz Plattform über. Geschäftsmäßig erbrachte Videokonferenz Dienste unterliegen hier dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Inhalte von Videokonferenzen, Daten für Nutzerkonten oder die Einladung von Teilnehmern via E-Mail, in einer Videokonferenz mitlaufende Chats und gemeinsam bearbeitete Online Whiteboards, die Speicherung von Chats oder sonstige Verarbeitung, datenschutzfreundliche Voreinstellungen und ähnlich unterliegen wie bisher der Verantwortung der Schule. Zuständig ist hier in Bezug auf die Datenschutzkontrolle auch weiterhin die LDI NRW.

Im Folgenden beschreibt die Schrift dann den rechtlichen Rahmen für die Nutzung von Videokonferenz Plattformen, wie er sich auf dem SchulG NRW ergibt. Dabei geht es auch um die Unzulässigkeit der Teilnahme von Dritten, etwa Familienangehörigen, am Unterrichtsgeschehen per Videokonferenz, und der Aufzeichnung von Unterricht auf diesem Wege ohne eine vorliegende Einwilligung der Betroffenen. Kurz beschrieben werden auch die Bedingungen für die Verpflichtung von Schülern, die Kamera während einer Videokonferenz einzuschalten, das Streamen von Unterricht und der Einsatz sogenannter Telepräsenzroboter. Letzteren widmet die Schrift fast zwei ganze Seiten, um den Einsatz dieser Systeme rechtlich einzuordnen und Schulen Handlungsempfehlungen zu geben. Bevor es dann um datenschutzfreundliche Voreinstellungen für Videokonferenz Plattformen geht, werden noch Elternsprechtage per Videokonferenz in einem Exkurs behandelt. Da es aus dem Schulgesetz NRW keine Rechtsgrundlage für die Verarbeitung der dafür erforderlichen personenbezogenen Daten gibt, braucht es hier von Seiten der Eltern eine Einwilligung. Bei dieser sieht die Aufsichtsbehörde keine Bedenken, da sie nicht im Zusammenhang mit dem Unterrichtsgeschehen steht und Eltern immer auch die Alternative haben, zu telefonieren und oder persönlich in die Schule zu kommen.

Der letzte Abschnitt des dritten Teils der Schrift behandelt Messenger. Auch diese fallen wie gegen Entgelt erbrachte Videokonferenz Dienste unter Telekommunikationsdienste und entsprechend fallen hier die Metadaten unter die Verantwortlichkeit der Anbieter und die Inhalte sowie die zur Herstellung einer Verbindung erforderlichen Daten in die Zuständigkeit der Schule. “Messengerdienste, die im Zusammenhang mit der Herstellung der Kommunikation Daten verarbeiten, die für die Erbringung der Telekommunikationsleistung nicht erforderlich sind, sind für den Einsatz in Schulen nicht geeignet.” ist eine klare Ansage, durch welche etwa Messenger Dienste wie WhatsApp, welche die Adressbuchdaten der Teilnehmer mit den Servern des Anbieters abgleichen und dabei Daten unbeteiligter Dritter ohne deren Einwilligung übermitteln, für eine schulische Nutzung ausscheiden, “da die Schule ansonsten die Verarbeitung von personenbezogenen Daten veranlasst, die über das für ihre Aufgabenwahrnehmung erforderliche Maß im Sinne von §§ 120 Abs. 5, 121 Abs. 1 Satz 1 SchulG hinausgeht.”3Es ist möglich, diesen Adressbuchabgleich zu unterbinden. Das setzt jedoch entsprechende Kenntnisse voraus, die nicht von jedem Nutzer erwartet werden können.

Die Schrift schließt mit einem Ausblick und Erwartungen für die Zukunft. Besonders interessant ist dabei der Teil, in welchem es um die aktuell von vielen Schulen genutzten Plattformen großer US-amerikanischer Anbieter geht. Auch wenn im Text keine Produktnamen genannt werden, ist klar, dass es vor allem um Microsoft 365 geht. Was gesagt wird, gilt jedoch auch für Google Workspace for Education und vergleichbare Produkte.

In der pandemiebedingten Ausnahmesituation eingesetzte Lösungen, die nicht datenschutzkonform waren, sind nun von den Verantwortlichen anzupassen oder auszutauschen, wenn sie dauerhaft zum Einsatz kommen. Hier sind die Verantwortlichen gefordert, sobald wie möglich ein den aktuellen Umständen angemessenes Schutzniveau zu gewährleisten. Die LDI NRW setzt hierbei schwerpunktmäßig auf Überzeugungsarbeit bei den Verantwortlichen, nicht auf Untersagungen und Verbote. Selbstverständlich behalten wir uns vor, in Einzelfällen auch prüfend und kontrollierend tätig zu werden.

Die Aufsichtsbehörde erwartet von den Schulen, dass sie die während der Notsituation in der Pandemie kurzfristig beschafften Lösungen wie Microsoft 365 und Teams entweder so anpassen, dass die Verarbeitung von personenbezogenen Daten mit einem angemessene Schutzniveau erfolgt oder, wenn ihnen dieses nicht möglich ist die Nutzung dieser Plattformen einstellen. Dabei räumt sie den Verantwortlichen in Schule ein wenig Spielraum ein. Einmal wird eine zeitliche Vorgabe gemacht, “sobald wie möglich” und dann wird die Angemessenheit des Schutzniveaus an den “aktuellen Umständen” orientiert. Letzteres heißt aber auch, wenn man davon ausgeht, dass die Umstände sich mittlerweile weitestgehend normalisiert haben, dass dann auch beim Schutzniveau keine Abstriche mehr gemacht werden sollten. Anders als einige andere Aufsichtsbehörden setzt die LDI NRW weniger auf Druck durch Untersagungen und Verbote als auf “Überzeugungsarbeit bei den Verantwortlichen.” Wie diese genau aussehen wird, bleibt dabei offen. Es ist zu erwarten, dass die Aufsichtsbehörde sich in Kürze zu Microsoft 365 und der Nutzung für den Unterricht äußern wird. Das dürfte frühestens im November erfolgen, wenn die Arbeitsgruppe der Datenschutzkonferenz erneut darüber abstimmen wird, ob die Plattform bezüglich des von Microsoft bereitgestellten Vertragswerks datenschutzkonform genutzt werden kann. Auch wenn die Aufsichtsbehörde Veränderungen durch Überzeugungsarbeit erreichen möchte, so behält sie sich Prüfungen und Kontrollen vor. Diese sollen jedoch auf Einzelfälle beschränkt bleiben. Darin unterscheidet sie sich nicht von den anderen Aufsichtsbehörden, die ebenfalls angekündigt haben, bei Beschwerden tätig werden.

Mit Blick auf die Zukunft schaut die Schrift auf Projekte, welche an datenschutzrechtlichen Zertifizierungen für Plattformanbieter im Bildungsbereich arbeiten. Derartige Zertifizierung sollten Verantwortlichen zukünftig eine Entlastung bescheren, da sie dann nicht selbst vor der Herausforderung stehen, Plattformen beurteilen zu müssen.

Fazit

Mit der Schrift Digitaler Unterricht in Schulen – Der Grundstein ist gelegt hat die Aufsichtsbehörde eine für Schulen hilfreiche Zusammenstellung der datenschutzrechtlichen Grundlagen für die Arbeit mit digitalen Plattformen im Unterricht und darüber hinaus geschaffen. Sie greift dabei die entscheidenden Passagen aus den zugrunde liegenden Rechtstexten auf und erläutert diese näher. Lesern sollte klar sein, dass es sich dabei um die Lesart der Aufsichtsbehörde handelt. Andere Lesarten können durchaus möglich sein. orientiert man sich an dir der Aufsichtsbehörde, ist man jedoch in der Regel auf der sicheren Seite. Mit dem zweiten Teil des Titels “Der Grundstein ist gelegt” macht die Aufsichtsbehörde klar, dass mit den neu geschaffenen datenschutzrechtlichen Regelungen im Schulgesetz und den anhängigen Verordnungen nun ein Fundament umgelegt ist, auf welchem man zukünftig aufbauen kann. Vor den Beteiligten liegt also noch einige Arbeit. Das schließt auch den Gesetzgeber mit ein, denn es ist, wie Beispiele aus anderen Bundesländern zeigen, durchaus möglich, die Erfordernis für Einwilligungen durch zusätzliche Rechtsgrundlagen weiter zu reduzieren. Ein Beispiel hierfür wäre die pädagogische Nutzung von Bild und Tonaufnahmen für den Unterricht.

Stand 10/2022

Entschuldigungen – Aufbewahrungspflicht

Lesezeit: 3 Minuten

Personenbezogene Daten, welche in der Schule verarbeitet werden, unterliegen Aufbewahrungs- und Löschpflichten. Diese sind in § 9 VO-DV I (BASS 10-44 Nr. 2.1), die Schülerinnen und Schüler und Erziehungsberechtigten betreffend geregelt und in § 9 VO-DV II (10 – 41 Nr. 6.1), die Lehrkräfte betreffend.

Vertiefende Informationen zum Thema Aufbewahrungs- und Löschfristen, einschließlich eines Löschkonzeptes, finden sich im Beitrag “Aufbewahrungsfrist abgelaufen – und jetzt?

Im § 9 Abs. 1 Nr. 4 VO-DV I findet sich der folgende Eintrag

4. alle übrigen Daten 5 Jahre

Während unter den Nummern 1 – 3 die Datenkategorien, um die es geht, genau bezeichnet sind, heißt es in Nr. 4 einfach nur “alle übrigen Daten.” Das meint dann alle Daten, die nicht unter den Nummern 1 – 3 aufgeführt worden sind. Doch bedeutet “alle” wirklich alle?

Die Antwort lautet, ja. Sofern es sich nicht um Kopien handelt, sind auch Daten, die nicht zu den Kategorien der Nummern 1 – 3 gehören, aufzubewahren, dann jedoch nur 5 Jahre, gerechnet ab Ende des Kalenderjahres, in welchem die “Akten oder Dateien abgeschlossen worden sind jedoch nicht vor Ablauf des Kalenderjahres, in dem die Schulpflicht endet, sofern nichts anderes bestimmt ist.

Entschuldigungen

Fehlt ein Kind in der Schule aus Krankheitsgründen, sind die Eltern gem. BASS 12-51 Nr. 1 Nr. 2.2 verpflichtet, dieses schriftlich zu entschuldigen. Gibt es von Seiten der Schule begründete Zweifel, kann diese ein ärztliches Attest einfordern.1“2.2 Schulversäumnisse aus Krankheitsgründen sind von den Eltern schriftlich zu entschuldigen. Bei begründeten Zweifeln kann die Schule ein ärztliches Attest verlangen.”

Doch gehören Entschuldigungen und Atteste zu “alle übrigen Daten”? An verschiedenen Stellen wird die Ansicht vertreten, dass dem nicht so ist. Fehlzeiten werden von der Schule mit entschuldigt/ unentschuldigt im Klassen- oder Kursbuch dokumentiert und dann gem. § 49 SchulG NRW als entschuldigte und unentschuldigte Fehlzeiten im Zeugnis zum Halbjahr und zum Schuljahresende aufgenommen. Sobald nach 30 Tagen die Widerspruchsfrist endet, so die von diesen Stellen vertretene Ansicht, können die Entschuldigungen vernichtet werden.

Das ist so nicht richtig. Entschuldigungen gehören zu Nr. 4 “alle übrigen Daten”, wie in BASS 12-51 Nr. 5 Überwachung der Schulpflicht unter Nr. 3 nachzulesen ist. Dort heißt es:

Fehlzeiten sind als Organisations- bzw. Schullaufbahndaten sowie als Leistungsdaten in das Schülerstammblatt aufzunehmen (§ 4 Absatz 2 in Verbindung mit Anlage 1 VO-DV I). Fehlzeiten sind zudem in Klassenbüchern und Kursheften anzugeben, die gemäß § 4 Absatz 5 VO-DV I in Verbindung mit Anlage 2 als obligatorische Dokumentation zum sonstigen Datenbestand zählen. Dies gilt auch für schriftliche Entschuldigungen und vorgelegte Atteste als Teil der Schülerakte (Schülerbegleitmappe). Schriftliche Entschuldigungen und Atteste sind übrige Daten im Sinne von § 9 Absatz 1 Nummer 4 VO-DV I. Die Aufbewahrungsfrist beträgt 5 Jahre.

Entschuldigungen und Atteste müssen also aufbewahrt werden. Zumindest Entschuldigungen können jedoch digitalisiert und in Form einer PDF Datei aufbewahrt werden. Für Atteste besteht diese Möglichkeit nicht, da sie von digitalen Verarbeitung gem. VO-DV I ausgenommen sind.2siehe hierzu die Fußnoten zu VO-DV I Anlage I, II und III “Medizinische Gutachten und Atteste sind hiervon ausgenommen und dürfen nicht automatisiert verarbeitet werden.

Berechnung der Aufbewahrungsfristen

Bei korrekter Umsetzung der Aufbewahrungsfristen für “alle übrigen Daten” gem. § 9 Nr. 1 Satz 2 “Die Aufbewahrungsfristen beginnen mit Ablauf des Kalenderjahres, in dem die Akten oder Dateien abgeschlossen worden sind, jedoch nicht vor Ablauf des Kalenderjahres, in dem die Schulpflicht endet, sofern nichts anderes bestimmt ist.” bewahrt eine Grundschule Entschuldigungen und Atteste dann 13 – 15 Jahre auf. Ein Beispiel:

Schüler A verlässt die Grundschule nach 4 Jahren Schulbesuch im Sommer 2022. Die Schulpflicht beträgt in der Primarstufe und der Sekundarstufe I (Vollzeitschulpflicht) gem. § 37 SchulG NRW in der Regel zehn Schuljahre.3Abweichungen können sich ergeben durch den Besuch eines Gymnasiums mit achtjährigem Bildungsgang. Dort beträgt die Schulpflicht von Primarstufe und der Sekundarstufe I nur 9 Jahre. Weitere Details entnehmen Sie bitte § 37 SchulG NRW. Da man in der Grundschule nie erfährt, ob sich bei einer Schülerin oder einem Schüler die Schulpflicht durch in § 37 dargestellte Fälle verkürzt, ist die Grundschule immer auf der sicheren Seite, wenn von 10 Pflichtschuljahren ausgegangen wird. Die Grundschule rechnet nun 6 Jahre hinzu und kommt so auf den Sommer 2028, in welchem die Schulpflicht von Schüler A endet. Die Aufbewahrungsfrist von 5 Jahren beginnt jedoch erst nach Ende des Kalenderjahres, in dem die Schulpflicht endet, in diesem Fall also ab dem 01.01.2029. Damit muss die Grundschule die Entschuldigungen und Atteste von Schüler A bis zum Ende des Kalenderjahres 2033 Aufbewahren und kann sie dann im Januar 2034 datenschutzgerecht löschen bzw. vernichten.

Austausch Grundschule und Kinderarzt

Lesezeit: < 1 Minute

Liegen bei Schülerinnen und Schülern gesundheitliche Beeinträchtigungen vor, welche die schulische Entwicklung des Kindes unter Umständen beeinträchtigen, kann es sinnvoll sein, wenn die Grundschule eine Möglichkeit erhält, sich mit dem das Kind behandelnden Kinderarzt bzw. seiner Kinderärztin auszutauschen, um das pädagogische Handeln abzustimmen.

Beide Seiten, Schule wie auch Kinderärzte, sind jedoch der Schweigepflicht unterworfen und dürfen keine Informationen miteinander austauschen, auch wenn das sinnvoll und im Sinne des Kindes wäre. Die rechtliche Grundlage für einen Informationsaustausch ist eine Schweigepflichtentbindung durch die Erziehungsberechtigten. Sie ermöglicht, falls gewünscht, den Austausch in beide Richtungen. Die folgende Vorlage ist hierfür gedacht und entsprechend anpassbar.

Weitere Informationen zum Thema Schweigepflicht im Gegensatz zu Datenschutz finde sich im Beitrag Datenschutz und Schweigepflicht.

 

FAQ – Einsatz von digitalen Plattformen ab März 2022

Lesezeit: 7 Minuten

Mit dem 16. Schulrechtsänderungsgesetz von Februar 2022 haben sich bezüglich des Einsatzes von digitalen Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen zur Erfüllung des Bildungs- und Erziehungsauftrags an Schulen in NRW grundlegend verändert. Im Beitrag 16. Schulrechtsänderungsgesetz und Datenschutz werden diese Möglichkeiten ausführlich erläutert. Einige Fragen werden nach der Lektüre dieses Beitrags offen bleiben. In dieser FAQ sollen häufige Fragen deshalb beantwortet werden. Viele Fragen der praktischen Umsetzung werden sich vermutlich erst mit der Zeit klären. An einigen Stellen werden möglicherweise ergänzende Erlasse oder sogar Entscheidungen von Verwaltungsgerichten für Klärung sorgen müssen.

Ist bei jeder Einführung einer digitalen Plattform im Sinne von § 8 Satz 2 eine Beteiligung gemäß LPVG erforderlich?

Im LPVG NRW heißt es in § 72 Satz 3 Nr. 2 “(3) Der Personalrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, mitzubestimmen in Rationalisierungs-, Technologie- und Organisationsangelegenheiten bei
1. …
2. Einführung, Anwendung und Erweiterung technischer Einrichtungen, es sei denn, dass deren Eignung zur Überwachung des Verhaltens oder der Leistung der Beschäftigten ausgeschlossen ist,

Es hängt demnach von der jeweiligen Plattform ab, ob diese mitbestimmungspflichtig durch den Personalrat ist. Sind deren Funktionen nicht geeignet Verhalten oder Leistung von Lehrkräften zu überwachen, unterliegt die Plattform nicht der Mitbestimmung gem. LPVG. Die Logineo NRW Plattformen sind mitbestimmt, da sie viele solche Möglichkeiten bieten. Man wird davon ausgehen können, dass vor allem große Plattformen wie eine NextCloud oder IServ mitbestimmungspflichtig sind, vor allem wenn sie auch für Abbildung schulinterner Organisationsabläufe genutzt werden. Hingegen sollten Plattformen wie Antolin oder Anton, die unter Lehr und Lernsysteme gem. § 8 Satz 2 SchulG NRW fallen sollten, keine Möglichkeiten bieten, Aufschluss über das Nutzerverhalten von Lehrkräften zu gewinnen. Gleiches sollte auch für ein TaskCards gelten. Die Frage ist hier jedoch immer auch, wie weit man “Eignung zur Überwachung des Verhaltens oder der Leistung” fasst. Reicht es, wenn die Schulleitung die Anzahl der durch eine Lehrkraft erstellten Taskcards einsehen kann?

Man kann als Faustregel für die Abschätzung, ob eine Mitbestimmungspflicht vorliegt oder nicht, nehmen: je komplexer eine Plattform ist, desto wahrscheinlicher ist es, dass sie mitbestimmungspflichtig ist. Gleiches gilt auch, wenn sie für die Abbildung schulinterner Verwaltungs- und Organisationsprozesse durch Lehrkräfte genutzt wird. Einfachere Plattformen, in denen vor allem die Schülerinnen und Schüler im Mittelpunkt stehen, sollten tendenziell seltener der Mitbestimmungspflicht unterliegen.

Siehe auch Datenschutz & Mitbestimmung.

Können auch Microsoft 365 und Teams auf der neuen Rechtsgrundlage eingeführt werden?

Diese Frage dürfte viele Schulen bewegen.  Mit Stand von November 2022 wird die DS-GVO Konformität von Microsoft 365 von den Aufsichtsbehörden angezweifelt. Die kurze Antwort ist deshalb: solange eine Schule nicht in der Lage ist nachzuweisen, dass die Verarbeitung von personenbezogenen Daten bei der Nutzung von Microsoft 365 durch Schüler und Lehrkräfte DS-GVO konform möglich ist, ist auch eine Nutzung auf der Grundlage von § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW nicht möglich. Die Verarbeitung von personenbezogenen Daten setzt deshalb weiterhin eine Einwilligung der Betroffenen voraus.1Hinweis: Die Nutzung von Einwilligungen im Zusammenhang mit Unterricht wird von Aufsichtsbehörden äußerst kritisch gesehen. Die LDI NRW geht davon aus, dass die unterrichtliche Nutzung einer Plattform auf der Grundlage einer Einwilligung in der Regel nicht möglich ist. Das bedeutet, es kann durchaus Ausnahmen geben, doch überwiegend kann man davon ausgehen, dass eine Einwilligung als Rechtsgrundlage für die Nutzung ausscheidet.

Das Thema Microsoft 365 ist in Bewegung. Sogar die Kultusminister Konferenz engagiert sich jetzt mit Unterstützung einer Arbeitsgruppe der Datenschutzkonferenz. Bis Ende 2022 wird Microsoft alle Telemetriedaten ausschließlich in der EU Verarbeiten. Aber noch gibt es den CLOUD-Act, der kritisch gesehen wird, und Microsoft räumt sich in den Datenschutzbestimmungen das Recht ein, einige personenbezogene oder -beziehbare Daten für eigene Zwecke zu verarbeiten. Das wird von Aufsichtsbehörden als nicht DS-GVO konform eingestuft. Das heißt Abwarten – noch ist nichts verloren.

Die Aussagen zu Microsoft 365 lassen sich auch auf Google Workspace for Education übertragen. In den Niederlanden ist eine datenschutzkonforme Nutzung an Schulen mit Billigung der dortigen obersten Aufsichtsbehörde bereits möglich. Hier müssen Aufsichtsbehörden von Schulen erst noch davon überzeugt werden.

Was gilt für MNSPro Cloud?

MNSpro Cloud  von der Firma AIXConcept besteht aus zwei Teilen, MNSpro und Microsoft 365. Für beide werden getrennte Verträge zur Auftragsverarbeitung abgeschlossen. Während man das von AIXConcept erstellte und betriebene MNSpro auf der Rechtsgrundlage der neuen Regelungen einführen können sollte, gilt für die angedockten Microsoft 365 Tenant, was zuvor schon für Microsoft 365 gesagt wurde.

Was ist bei IServ zu beachten?

IServ ist ein deutscher Anbieter und die Plattform lässt sich DS-GVO konform nutzen, egal ob es sich um die klassische on premise Lösung mit Server im Schulkeller oder beim Schulträger handelt oder um die vom Anbieter gehostete “Cloud” Version. Die Plattform bringt damit alle Voraussetzungen für eine verpflichtende Nutzung mit. Zu regeln ist die Nutzung des Profils, denn hier können schulische Nutzer persönliche Informationen einstellen, die über für den Unterricht erforderliche Daten hinausgehen. Die einfachste Lösung für Schulen ist die komplette Deaktivierung des Profils. Möchte eine Schule die Nutzung des Profils zulassen, sollte eine Nutzungsvereinbarung erstellt werden, welche das Füllen des Profils davon abhängig macht, ob Nutzer zuvor eine Einwilligung in die Verarbeitung der dort eingetragenen Daten erteilt haben. Die im Download Bereich zur Verfügung gestellte Einwilligung mit Informationen zur Datenverarbeitung gem. Art. 13 DS-GVO für IServ kann eine verpflichtende Nutzung umgearbeitet werden.

Wie sieht es mit itslearning aus?

Die aus Norwegen kommenden Plattform, sollte bezüglich der eigentlichen Kernplattform im Sinne der neuen Regelungen des SchulG NRW nutzbar sein. In Bremen ist itslearning sogar mitbestimmt (siehe Dienstvereinbarung zu der Lernplattform „itslearning“). Ein Problem stellt jedoch das integrierte Microsoft Office dar. Dieses Office speichert zwar die erstellten Word, Excel und PowerPoint Dokumente auf den itslearning Servern, braucht jedoch zur Bearbeitung in der Plattform die Online-Office Dienste von Microsoft, und deren DS-GVO Konformität wird angezweifelt. In Baden Württemberg, erhalten Schulen itslearning über das Schulministerium, aus den genannten Gründen allerdings ohne Freischaltung der (Microsoft) Office Komponente, wie im 21. Tätigkeitsbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden Württemberg nachzulesen ist. Integriert man stattdessen ein im Auftrag betriebenes Collabora Office oder Only Office, sollte eine Nutzung von itslearning komplett nach den neuen Regelungen möglich sein.

Kann Moodle auf der neuen Rechtsgrundlage verpflichtend genutzt werden?

Anders als zur Zeit bei Logineo NRW LMS, dem Landes Moodle, steht einer Nutzung von Moodle außerhalb der Landeslösung nichts entgegen. Da Logineo NRW LMS mitbestimmt ist, sollte eine Mitbestimmung gem. LPVG NRW leicht zu erreichen sein. Das ist vor allem dann der Fall, wenn die Konfiguration sich an der der Landeslösung orientiert und keine zusätzlichen Plugins genutzt werden, welche ihrerseits durch ihre Funktionen mitbestimmungspflichtig sind.

Wie geht man mit den freiwillig eingebrachten Nutzerdaten um?

Hier gibt es nur eine sinnvolle Lösung. Per Nutzungsordnung muss die Nutzung für Inhalte, die in keinem Zusammenhang mit dem Unterricht bzw. bei Lehrkräften mit der Erfüllung der Aufgaben und der Durchführung von Unterricht stehen, untersagt werden. Diese Nutzungsordnung müssen Nutzer dann zur Kenntnis nehmen. Die Kenntnisnahme kann in verschiedener Form erfolgen. Bei Schülerinnen und Schülern wie auch Lehrkräften kann das eine Belehrung sein mit Hinweis, wo die Nutzungsordnung in schriftlicher Form nachzulesen ist. Es muss keine Online-Nutzungsordnung sein, die vor Freischaltung des Nutzerkontos per Setzen eines Häkchens zu quittieren ist.

Alternativ wäre vorstellbar, dass eine Plattform so eingestellt wird, dass Nutzer die Möglichkeit haben, in die Verarbeitung von personenbezogenen Daten, die über Unterricht bzw. bei Lehrkräften die Erfüllung der Aufgaben und die Durchführung von Unterricht hinausgehen, innerhalb der Plattform in den Nutzereinstellungen einzuwilligen. Zusätzliche Funktionen, etwa zum Anlegen eines Nutzerprofils erscheinen nach er Einwilligung. Der Widerruf der Einwilligung und das Löschen der dort hinterlegten Daten sollten dort dann ebenfalls möglich sein.

Ist auch eine verpflichtende Nutzung von personenbezogenen Daten in einer digitalen Plattform möglich, die vor März 2022 an der Schule eingeführt wurde?

Wie aus den Erläuterungen im  Gesetzesentwurf zum 16. Schulrechtsänderungsgesetz hervorgeht, lassen sich die neuen Regelungen auch auf bereits eingeführte Plattformen anwenden: “Dies schließt alle Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen im Sinne des § 8 Absatz 2 ein, die die Schule zur Erfüllung ihres Bildungs- und Erziehungsauftrags nutzt.” Auch die Formulierungen in § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW nehmen hier keine Eingrenzung auf Plattformen vor, die ausdrücklich auf der Grundlage § 8 Abs. 2 SchulG NRW einführt wurden. Bereits an Schulen genutzte Plattformen können, sofern sie die Vorgaben des SchulG NRW und der DS-GVO erfüllen, ebenfalls auf der Grundlage von § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW in Verbindung mit § 8 Abs. 2 genutzt werden.

Auch eine verpflichtende Nutzung ist möglich. Diese setzt einen Beschluss der Schulkonferenz gemäß § 65 Abs. 2 Nr. 6 voraus. Im Gesetzesentwurf weist das MSB darauf hin, dass die der Schulkonferenz dort eingeräumte Entscheidungsbefugnis nicht für bereits vor Inkrafttreten des 16. Schulrechtsänderungsgesetzes existierende und genutzte Systeme und Plattformen gilt. Das bedeutet, Schulen können nicht nachträglich über bereits genutzte Plattformen und Systeme entscheiden, sondern müssen einen Umweg gehen. Dafür bitten sie den Schulträger, der Schulkonferenz gegenüber zu erklären, dass er der Schule die jeweilige Plattform bzw. das jeweilige System bereitstellen möchte und zur Nutzung vorschlägt. Daraufhin entscheidet die Schulkonferenz über diesen Vorschlag zur Nutzung.

Eine Grundschule, die bereits LeseLudi, Antolin, ZahlenZorro oder ähnlich im Sinne des § 8 Absatz 2 nutzt, könnte die Nutzung dann umstellen und auf das Einholen einer Einwilligung zukünftig verzichten. Informationen gem. Art. 13 DS-GVO über die Datenverarbeitung bei der Nutzung sind jedoch weiterhin erforderlich.

Was, wenn für eine Plattform bereits Einwilligungen eingeholt/ erteilt wurden?

Verfügt eine Schule über eine Plattform, die sie bereits vor dem 16. Schulrechtsänderungsgesetz zur Erfüllung des Bildungs- und Erziehungsauftrags einsetzte, so dürften für die Verarbeitung von personenbezogenen Daten Einwilligungen von Schülern und Lehrkräften vorliegen. Die Schule kann Einwilligungen nicht von ihrer Seite aus aufheben. Sie haben also weiterhin Gültigkeit. Widerrufen Betroffene ihre Einwilligung, müssen der Zugang und die mit der Nutzung angefallenen personenbezogenen Daten der betroffenen Person gelöscht werden, da diese auf der Rechtsgrundlage Einwilligung verarbeitet wurden. Es könnte im Anschluss jedoch direkt ein neues Nutzerkonto erstellt werden, wenn die Schule die Plattform jetzt auf der Grundlage der neuen Regelungen nutzt. Die betroffene Person wäre dann sogar zu dessen Nutzung verpflichtet, wenn die dafür erforderlichen Voraussetzungen wie die Ausstattung mit einem Endgerät stimmen.

Können Schüler und Lehrkräfte zur Nutzung der Online Tools von kits.blog verpflichtet werden?

Leider ist das nicht möglich. Auch wenn die Tools des Niedersächsischen Landesinstituts für schulische Qualitätsentwicklung (NLQ) sehr datenschutzfreundlich sind, erfüllen sie die Vorgaben des SchulG NRW nicht, da mit dem NLQ kein Vertrag zur Auftragsverarbeitung abgeschlossen werden kann. Gleiches gilt auch für vergleichbare Plattformen, etwa von ZUM oder von eBildungslabor und ähnlich.

Wir haben keine 1:1 Ausstattung. Ist eine verpflichtende Nutzung damit unmöglich?

Nein, sie kann durchaus möglich sein. Es muss nur jedem Nutzer ein schulisches Endgerät zur Verfügung stehen. Das können auch die Tablets aus dem Tablet Koffer sein, den die Lerngruppe sich für ein Unterrichtsprojekt ausleiht. Viele Schulen haben noch PC Räume. Auch dort ist eine verpflichtende Nutzung durchaus umsetzbar. Weder in den neuen Regelungen des SchulG NRW, noch in den Erläuterungen zum Gesetzesentwurf gibt es Hinweise, dass die verpflichtende Nutzung ein persönliches digitales Endgerät voraussetzt.


Sollte es von Seiten der Leser Fragen geben, so schreiben Sie diese gerne in die Kommentare.

Schulchronik – Änderungen VO-DV I & II

Lesezeit: 2 Minuten

Schulen in NRW führen in der Regel eine Schulchronik, in welcher Daten zur Schulgeschichte festgehalten werden. Welche Daten dazu unbefristet verarbeitet werden dürfen, regelten bisher § 9 Abs. 4 VO-DV I (Schüler:innen) und § 9 Abs. 5 VO-DV II (Lehrkräfte, Lehramtsanwärter:innen und sonstiges an Schulen tätiges Personal).

Aus der Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten vom Dezember 2021 ergeben sich auch wichtige Änderungen der zum Führen einer Schulchronik  zulässigen personenbezogenen Daten. Da diese Änderungen zu einer starken Einschränkung der zulässigen Daten führen, entstand auch ein Regelungsbedarf bezüglich bereits bestehender historischer Schulchroniken.

Änderungen die Schüler:innen betreffend

Bezüglich der Schüler:innen ergibt sich durch die Änderung der Norm eine starke Einschränkung der zum Führen der Schulchronik zulässigen Daten. Außerdem wurde durch den Zusatz “nicht öffentlich” klargestellt, dass die Schulchronik ein internes Dokument ist.

Alte Fassung
§ 9 Abs. 4 VO-DV I

(4) Zur Führung der Schulchronik (Daten zur Schulgeschichte) dürfen Schulen die folgenden personenbezogenen Daten von Schülerinnen und Schülern zeitlich unbefristet verwenden:
1. Name, Geburtsname, Vorname, Geschlecht,
2. Geburtsdatum, Geburtsort, Geburtsland,
3. Anschrift,
4. Daten über die Dauer des Besuchs der Schule.
Neue Fassung
§ 9 Abs. 5 VO-DV I
(5) Zur Führung der nicht öffentlichen Schulchronik (Daten zur Schulgeschichte) dürfen Schulen die folgenden personenbezogenen Daten von Schülerinnen und Schülern zeitlich unbefristet verwenden:
1. Name, Vorname und
2. Jahr der Beendigung des Schulverhältnisses.“

Änderungen die Lehrkräfte betreffend

Bei den Lehrkräften, Lehramtsanwärtern und sonstigem an Schulen tätigen Personal fielen die Änderungen entsprechend aus. Auch hier wurden die zur Führung einer Schulchronik zulässigen personenbezogenen Daten deutlich eingeschränkt und der Zusatz “nicht öffentlich” ergänzt.

Alte Fassung
§ 9 Abs. 5 VO-DV II
(5) Zur Führung einer Schulchronik (Daten zur Schulgeschichte) dürfen Schulen die folgenden personenbezogenen Daten des Personenkreises nach § 1 Absatz 1 Nummer 1 bis 3 zeitlich unbefristet verwenden:
1. Name(n), Geburtsname, Vorname(n), Geschlecht,
2. Geburtsdatum, Geburtsort, Geburtsland,
3. Anschrift,
4. Daten über Art und Dauer der Beschäftigung an der Schule.
Neue Fassung
§ 9 Abs. 6 VO-DV II
(6) Zur Führung einer nicht öffentlichen Schulchronik (Daten zur Schulgeschichte) dürfen Schulen die folgenden personenbezogenen Daten des Personenkreises nach § 1 Absatz 1 Nummer 1 bis 3 zeitlich unbefristet verwenden:
1. Name(n), Vorname(n)
2. Daten über Art und Dauer der Beschäftigung an der Schule.

Wie aus der Kommentierung im Entwurf einer Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten auf den Seiten 15 und 23 zu entnehmen, gehen die Änderungen auf eine Einschätzung der LDI NRW zurück. Die LDI NRW hielt die bisherige Norm für missverständlich und irreführend, da sie Schulen zwar zur Führung der Chronik berechtige, nicht aber zu deren Veröffentlichung oder Einsichtnahme. Außerdem sah sie keinen hinreichenden Grund, dass Schulen auch sensible Daten wie Geburtsdatum, Geburtsort, Geburtsland und Anschrift zur Führung einer Schulchronik dauerhaft speichern. In Folge hatte die LDI NRW sogar angeregt, die Zulässigkeit zum Führen einer Schulchronik ersatzlos zu streichen.

Soweit ging man im MSB nicht. Stattdessen wurde der Umfang der zulässigen personenbezogenen Daten stark reduziert. Da Schulen in NRW bereits seit Jahrzehnten Chroniken führen, und diese Daten enthalten, deren Verarbeitung mit der Änderung von VO-DV I & II nicht mehr zulässig ist, entstand zusätzlicher Regelungsbedarf.

Für den Umgang mit den historischen Schulchroniken wurde in § 11 VO-DV I und § 11 VO-DV II eine jeweils wortgleiche Übergangsvorschrift geschaffen.

“Schulchroniken, die bei Inkrafttreten dieser Verordnung bereits bestehen, können mit den bisherigen Inhalten für schulinterne Zwecke aufbewahrt werden.”

Damit möchte man nun vermeiden, dass Schulen ihre bereits bestehenden historischen Schulchroniken vernichten oder schwärzen müssen. Die Übergangsregelung gibt Schulen damit die Möglichkeit, ihre bereits bestehenden Schulchroniken weiterhin aufzubewahren. Sie dürfen jedoch nur schulintern aufbewahrt werden. Eine Veröffentlichung ist damit ausgeschlossen. Wie aus der Kommentierung im Entwurf einer Verordnung zur Änderung von Verordnungen hervorgeht, ist man sich im MSB bewusst, dass diese Übergangsregelung mit Blick auf die Anregung der LDI NRW datenschutzrechtlich nicht unbedenklich ist. Entsprechend ist fraglich, ob diese Regelung auf Dauer Bestand haben wird. Vorstellbar wäre, dass Schulen in einer kommenden Änderung der Verordnungen zur Datenverarbeitung auch die Möglichkeit zur schulinternen Aufbewahrung genommen wird und sie dann nur noch die Wahl haben, die historischen Chroniken dem Archiv ihrer Kommune oder Stadt zu übergeben oder sie zu vernichten.

 

 

 

Auswirkungen der geänderten VO-DV II auf Nutzung Privatgeräte

Lesezeit: < 1 Minute

Nicht nur durch die Änderung der VO-DV I ergeben sich Änderungen für die Nutzung von privaten Endgeräten zur Verarbeitung von personenbezogenen Daten aus der Schule zu dienstlichen Zwecken, sondern auch aus der Änderung der VO-DV II. Hier betreffen die Neuregelungen jedoch nicht Lehrkräfte generell, sondern nur die Personen, welche an Schulen und an den ZfsL Lehramtsanwärterinnen und Lehramtsanwärter sowie der Lehrkräfte und sonstigen Personen in Ausbildung betreuen und dabei deren personenbezogenen Daten verarbeiten. Ähnlich wie durch die Neuregelungen in der VO-DV I wird die Nutzung von Privatgeräten für diese Zwecke nun deutlich eingeschränkt, sobald ein Dienstgerät zur Verfügung gestellt bzw. ausgehändigt wurde. Aber die Regelungen geben auch Freiräume für begrenzte Ausnahmen. Als Bonbon findet sich in der VO-DV II sogar eine eingeschränkte Möglichkeit, wie Lehrkräfte dienstlich bekannte Daten von Lehrkräften, anderem Personal an Schule oder von Personen in Ausbildung ohne Genehmigung auf Privatgeräten verarbeiten dürfen. Details hierzu werden genauer erläutert unter Verarbeitung von personenbezogenen Daten auf dienstlichen und privaten Endgeräten – VO-DV II.

Verarbeitung von personenbezogenen Daten auf dienstlichen und privaten Endgeräten – VO-DV II

Lesezeit: 9 Minuten

Mit Datum vom 13. Dezember 2021 wurden die VO-DV I und VO-DV II durch die Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten geändert. Die Änderungen in den beiden Verordnungen wirken sich sehr deutlich auf die Arbeit der an den Schulen und ZfsL tätigen Personen aus, so dass man hier von einer Zäsur sprechen kann.

Bisher konnten Lehrkräfte und andere mit der Ausbildung beauftragte Personen private Endgeräte mit Genehmigung der Schulleitung zur Verarbeitung von personenbezogenen Daten der auszubildenden Personen im Rahmen der Vorgaben der VO-DV II nutzen. Das war richtig und sinnvoll, da an Schulen selten ausreichend viele für Verwaltungsarbeiten eingerichtete Lehrerarbeitsplätze wie auch mobile Endgeräte für den Einsatz bei Unterrichtsbesuchen und die Arbeit zu Hause zur Verfügung standen. An vielen ZfsL dürfte der Mangel an Endgeräten noch größter gewesen sein. Doch spätestens seit Lehrkräfte an Schulen über Förderprogramme des Bundes und des Landes mit Dienstgeräten ausgestattet werden und das Land auch die Seminar- und Fachleitungen an den ZsfL aus Landesmitteln mit Dienstgeräten versorgt, haben sich die Rahmenbedingungen geändert.

Darauf hat der Gesetzgeber mit den angepassten Regelungen zur Nutzung von Privatgeräten reagiert. In der Neufassung der VO-DV II geht der Gesetzgeber nun davon aus, dass die Verarbeitung von personenbezogenen Daten der in Ausbildung befindlichen Personen auf Dienstgeräten die Regel darstellt und die Verarbeitung auf Privatgeräten die Ausnahme. Entsprechend wurden die Möglichkeiten, weiterhin private Endgeräte für die dienstliche Verarbeitung von personenbezogenen Daten stark eingegrenzt. Schulleitungen und Leitungen von ZfsL verfügen weiterhin über die Möglichkeit, mit der Ausbildung beauftragen Personen, eine Genehmigung zu erteilen. Diese ist jedoch jedoch stark eingeschränkt, auf Personen, denen noch kein Dienstgerät zur Verfügung steht, deren Dienstgerät verlustig gegangen oder defekt ist, ohne dass Ersatz gestellt werden kann, und auf eine begrenzte Zahl von Ausnahmefällen.

Im Folgenden geht es ausschließlich um die neue Fassung der VO-DV II, soweit sie die Nutzung von privaten Endgeräten zur Verarbeitung von personenbezogenen Daten von an Schulen und ZfsL in Ausbildung befindlichen Personen durch die damit beauftragten Personen betrifft. Im Beitrag Verarbeitung von personenbezogenen Daten auf dienstlichen und privaten Endgeräten – VO-DV I  werden die entsprechenden Neuregelungen in der VO-DV I erläutert.

Die Änderungen im Detail

§ 2 Abs. 4 VO-DV II regelt die Nutzung von Privat- und Dienstgeräten zur Verarbeitung von personenbezogenen Daten von an Schulen und ZfsL in Ausbildung befindlichen Personen durch die damit beauftragten Personen.

(1) Die Verarbeitung personenbezogener Daten von Personen, die an Zentren für schulpraktische Lehrerausbildung oder an Schulen ausgebildet werden, auf privaten digitalen Geräten der mit der Ausbildung beauftragten Personen bedarf der schriftlichen, ein Verzeichnis der Verarbeitungstätigkeiten gemäß Artikel 30 der Datenschutz-Grundverordnung enthaltenden Genehmigung. (2) Die Genehmigung für Seminarausbilderinnen und Seminarausbilder erteilt die Leiterin oder der Leiter des Zentrums für schulpraktische Lehrerausbildung. (3) Für Ausbildungslehrerinnen und Ausbildungslehrer an Schulen erfolgt dies durch die Schulleiterin oder den Schulleiter. (4) Die Genehmigung darf nur erteilt werden, wenn die Verarbeitung der Daten nach Art und Umfang für die Ausbildung erforderlich ist und ein angemessener technischer Zugangsschutz nachgewiesen wird. (5) Die für die Verarbeitung zugelassenen Daten ergeben sich aus der Anlage 6.”

Kreis der von der Verarbeitung Betroffenen

Entsprechend sind auch die von der Verarbeitung betroffenen Personen nicht nicht die gleichen. In § 2 Abs. 4 Satz (1) wird hier von “Personen, die an Zentren für schulpraktische Lehrerausbildung oder an Schulen ausgebildet werden” gesprochen. Wer unter diesen Personen zu verstehen ist, wird unter § 1 Abs. 1 Nr. 2 definiert.

“2. der Lehramtsanwärterinnen und Lehramtsanwärter sowie der Lehrkräfte und sonstigen Personen in Ausbildung,”

Neben den personenbezogenen Daten von Lehramtsanwärterinnen und Lehramtsanwärter sowie der Lehrkräften in Ausbildung fallen mit sonstigen Personen in Ausbildung unter die Regelung dann beispielsweise auch  Praxissemesterstudierende und Studierende im Eignungs- und Orientierungspraktikum. Wie aus den Erläuterungen zu den Änderungen (S. 17) hervorgeht, ist für das MSB denkbar, dass zukünftig auch Seiteneinsteiger in Sondermaßnahmen zur Qualifizierung unter die Regelung fallen können. 1In Nr. 2 erfolgt die Klarstellung, dass sämtliche Personen, die am ZfsL und an den Schulen ausgebildet werden, erfasst sind (z.B. Praxissemesterstudierende, Studierende im Eignungs- und Orientierungspraktikum; auch sind perspektivisch Sondermaßnahmen zur Qualifizierung von Seiteneinsteigem denkbar).”

Kreis der zur Verarbeitung Berechtigten

Wie in Satz (1) beschrieben, geht es um die “mit der Ausbildung beauftragten Personen“, die dann in den folgenden Sätzen als Seminarausbilderinnen und Seminarausbilder an den ZfsL (2) und Ausbildungslehrerinnen und Ausbildungslehrer an Schulen (3) beschrieben werden.

Wer erteilt wem die Genehmigung?

In dem mit der Dienstanweisung für die automatisierte Verarbeitung von personenbezogenen Daten in der Schule (10-41 Nr. 4) im Februar veröffentlichten Formular für die Erteilung von Genehmigungen waren die Zuständigkeiten nicht korrekt ausgewiesen. Dieses wird nun mit den Sätzen (2) und (3) behoben.

  • Die Leitung eines ZfsL erteilt den Seminarausbilderinnen und Seminarausbildern, d.h. Seminarleitungen, Fachleitungen und vorübergehend mit Ausbildungsaufgaben an ihrem ZfsL beauftragten Lehrkräften die Genehmigung zur Verarbeitung von personenbezogenen Daten der am ZfsL in Ausbildung befindlichen Personen.
  • Die Leitung einer Schule erteilt den Ausbildungslehrerinnen und Ausbildungslehrern an ihrer Schule, d.h. Lehrkräften, die an dieser Ausbildungsschule zur Mitwirkung an der Ausbildung verpflichtet werden (§10 Absatz 5 Allgemeine Dienstordnung – ADO), die Genehmigung zur Verarbeitung der personenbezogenen Daten von Personen, die an ihrer Schule ausgebildet werden.

Zur Erteilung von Genehmigungen steht Schulleitungen und Leitungen von ZfsL aktuell nur das bekannte Formular zur Verfügung, welches Teil der Dienstanweisung für die automatisierte Verarbeitung von personenbezogenen Daten in der Schule (10-41 Nr. 4) und am 19.01.2018 in einem Runderlass veröffentlicht wurde. Dieses Genehmigungsformular berücksichtigt von daher die neue Rechtslage noch nicht. Auch eine Anpassung an die DS-GVO fehlt noch. Wann mit einer Neufassung zu rechnen ist, bleibt abzuwarten. Bis dahin wird man Genehmigungen behelfsmäßig wohl noch auf der Grundlage des veralteten Formulars erteilen können/ müssen.

Welche Daten dürfen auf Privatgeräten verarbeitet werden?

In Anlage 6 gab es nur kleinere formale Anpassungen. Die personenbezogenen Daten, deren Verarbeitung nach “Art und Umfang für die Ausbildung erforderlich” und auf Privatgeräten mit Genehmigung zulässig ist, bleibt weiterhin auf

  • Name, Vorname
  • E-Mail (Soweit im Einzelfall nicht erforderlich, ist die Angabe freiwillig und jederzeit widerrufbar.)
  • Beurteilung der Leistungen der Personen in Ausbildung, und
  • Dienstliche E-Mail-Adresse

beschränkt.

Wegfall der Genehmigung

Mit § 2 Abs. 4 Satz 6 – 8 ist die VO-DV II nun um eine Regelung ergänzt, welche die Möglichkeiten der Schulleitung sowie der Leitung des ZfsL einschränkt, den zuvor beschriebenen Personen eine Genehmigung zu erteilen. Außerdem ist geregelt, wann bereits erteilte Genehmigungen ihre Gültigkeit verlieren. Die Regelung erfolgt analog zu der in § 2 Abs. 2 Satz 4 – 6 VO-DV I.

(6) Die Genehmigung darf nicht erteilt werden, wenn ein persönliches dienstliches digitales Gerät für dienstliche Zwecke zur Verfügung gestellt wird. (7) Eine bereits erteilte Genehmigung erlischt mit Aushändigung eines solchen Gerätes. (8) Übergangsweise ist die weitere Nutzung des Privatgeräts für die Dauer von höchstens vier Wochen zulässig, soweit dies zur Übertragung der personenbezogenen Daten auf das dienstliche Gerät erforderlich ist.”

Es gibt jedoch einen kleinen aber nicht unwichtigen Unterschied. Während in der VO-DV I vom Zurverfügungstellen eines Dienstgerätes für schulische Zwecke gesprochen wird, geht es in der VO-DV II um dienstliche Zwecke.

Hinweis: Bis auf wenige Unterschiede sind die Regelungen von § 2 Abs. 4 Satz 6 – 8, sehr ähnlich zu denen in der VO-DV I. Wer den Beitrag Verarbeitung von personenbezogenen Daten auf dienstlichen und privaten Endgeräten – VO-DV I wird deshalb in den folgen Abschnitten bis zum Beginn des Abschnitts “Ausnahme von der Genehmigungspflicht !” nur wenig Neues finden, abgesehen von Anpassungen an den veränderten Kreis der von der Regelung betroffenen Personen.

Ausnahmeregelung

Der Gesetzgeber erkennt an, dass es Ausnahmen geben kann, die es erforderlich machen, eine Nutzung von Privatgeräten entgegen der vorherigen Regelung zuzulassen. In § 2 Abs. 4 Satz 9 VO-DV II heißt es deshalb:

(9) Unabhängig davon kann die Schulleitung ausnahmsweise in begründeten, von ihr zu dokumentierenden Einzelfällen die Nutzung von Privatgeräten vorübergehend zulassen, soweit dies zur vollumfänglichen schulischen2Interessant ist an dieser Stelle, dass hier nicht die Rede ist von “dienstlicher” Verarbeitung …, um in der Systematik zu bleiben Verarbeitung personenbezogener Daten erforderlich und die datenschutzgerechte Verarbeitung entsprechend der für die Nutzung von Privatgeräten geltenden Standards gewährleistet ist.”

Sobald einer der zuvor beschrieben Personen (Seminarausbilderinnen und Seminarausbilder an den ZfsL und Ausbildungslehrerinnen und Ausbildungslehrer an Schulen) ein persönliches dienstliches Gerät zur Verfügung gestellt wird, darf ihr keine Genehmigung für ein privates Endgerät erteilt werden. Hatte die Person bereits eine Genehmigung, so verliert diese automatisch ihre Gültigkeit. Das bedeutet, die Schulleitung bzw. Leitung des ZsfL muss die Genehmigung nicht aktiv widerrufen.

Geht ein zur Verfügung gestelltes Dienstgerät defekt oder verlustig und es gibt keinen Ersatz, erfüllt die Person die Voraussetzungen für die Erteilung einer Genehmigung. Auch wenn ein Gerät für einen Zeitraum in Reparatur ist, sollte es möglich sein, für diese Zeit eine Genehmigung zur Nutzung eines Privatgerätes zu erteilen, sofern kein Ersatzgerät gestellt werden kann.

PERSÖNLICHES DIENSTLICHES DIGITALES GERÄT

Wichtig ist an diesem Abschnitt, dass es sich bei dem dienstlichen Gerät um ein persönliches dienstliches digitales Gerät handelt. Ein persönliches dienstliches digitales Gerät setzt voraus, dass dieses der Person ausdrücklich als ein solches zugewiesen wurde und sie es alleine nutzt. Dieses geht in der Regel mit einer Nutzungsvereinbarung einher, wie sie beispielsweise im Rahmen der Richtlinie über die Förderung von dienstlichen Endgeräten für Lehrkräfte an Schulen in Nordrhein-Westfalen erforderlich ist. Auch bei den über das Land beschafften Geräten für die ZfsL dürfte es solche Nutzungsvereinbarungen geben.

ZUR VERFÜGUNG STELLEN – AUSHÄNDIGUNG

In Satz 6 und 7 heißt es, die Genehmigung darf nicht erteilt werden, wenn ein Dienstgerät “zur Verfügung gestellt wird” bzw. eine bereits erteilte Genehmigung erlischt “mit Aushändigung eines solchen Gerätes“.

In dieser Stelle werden sicherlich einige Personen eine Möglichkeit sehen, weiterhin mit einem privaten Endgerät mit Genehmigung der Schulleitung bzw. des ZfsL zu arbeiten. Reicht es die Annahme eines Dienstgerätes zu verweigern? Kann man gezwungen werden, ein Dienstgerät anzunehmen?

Für die Möglichkeit, die Annahme eines Dienstgerätes verweigern zu können, spricht bei Lehrkräften Regelung in der Richtlinie über die Förderung von dienstlichen Endgeräten für Lehrkräfte an Schulen in Nordrhein-Westfalen zur Annahme der Nutzungsbedingungen durch die Lehrkräfte. Dort heißt es in Abs. 6.3:

““Der Schulträger stellt den Lehrkräften die digitalen Endgeräte für eine unentgeltliche Nutzung zur Verfügung. Die Nutzungsbedingungen für die digitalen Endgeräte sind durch den Schulträger festzulegen. Die Zustimmung der Lehrkräfte zu den Nutzungsbedingungen ist sicherzustellen.

Ohne Annahme der Nutzungsbedingungen, darf ein Schulträger das Dienstgerät nicht an die Lehrkraft aushändigen. Genauso könnte eine Lehrkraft auch die Einwilligung in die zur Verwaltung der Dienstgeräte erforderliche Datenverarbeitung verweigern oder für eine von beiden die Zustimmung bzw. Einwilligung widerrufen.

Daraus ergibt sich ein Widerspruch zwischen den Regelungen der Verordnung und der Richtlinie.

Auf der anderen Seite wird vermutlich auf die Formulierung “zur Verfügung gestellt wird” verwiesen werden. Die Frage ist hier, was genau man darunter verstehen kann bzw. will. Reicht es bereits aus, wenn der Schulträger ein Gerät für die Lehrkraft beschafft, bzw. das Land für eine Person, die als Seminarausbilder:in tätig ist, es für sie einrichtet und ihr einen Termin gibt zur Übernahme, um von “zur Verfügung stellen” zu sprechen? Würde man sich dieser Argumentation anschließen, müsste man auch in Kauf nehmen, dass die Einwilligung der betreffenden Person in die Nutzungsbedingungen dann nicht mehr freiwillig erfolgen kann.

Es bleibt abzuwarten, wie dieser Widerspruch sich in der Praxis auflöst. Von Seiten des MSB und eventuell auch einzelnen Bezirksregierungen oder deren Mitarbeitern dürfte hier am ehesten ein Hinweis zu erwarten sein, dass die Verordnung Vorrang hat und durchzusetzen ist.

📍Ausnahme von der Genehmigungspflicht📍

Neu hinzugekommen ist mit der Änderung der VO-DV II eine Regelung, welche eine eingeschränkte Verarbeitung von personenbezogenen Daten auf privaten Endgeräten erlaubt, auch wenn hierfür keine Genehmigung vorliegt, etwa weil ein Dienstgerät zur Verfügung gestellt wurde. Diese außergewöhnliche Regelung findet sich in § 2 Abs. 5

“(5) Sofern dienstliche Dokumente auf privaten digitalen Geräten verarbeitet werden, ist die Verarbeitung personenbezogener Daten von Lehrkräften, anderem Personal der Schule und Personen in Ausbildung zulässig, soweit es sich um in der Schule oder im Zentrum für schulpraktische Lehrerausbildung dienstlich bekannte Daten und Kontaktdaten handelt, die Nennung für die Aufgabenerledigung erforderlich ist und ein angemessener technischer Zugangsschutz gewährleistet wird.”

Das bedeutet, Lehrkräfte an Schulen dürfen auf einem privaten Endgerät personenbezogene Daten auch ohne eine Genehmigung verarbeiten, sofern alle die folgenden fünf Voraussetzungen erfüllt sind:

  1. Es geht um dienstliche Dokumente.
  2. Es handelt sich um die Daten von Lehrkräften, anderem Personal an Schule oder von Personen in Ausbildung (Lehramtsanwärter, Lehrkräften in Ausbildung, Praxissemesterstudierende und Studierende im Eignungs- und Orientierungspraktikum).
  3. Es handelt sich ausschließlich um dienstlich bekannte Daten und Kontaktdaten.
  4. Die Nennung ist für die Aufgabenerledigung erforderlich.
  5. Ein angemessener technischer Zugangsschutz wird gewährleistet.

Welchen Hintergrund diese Regelung hat, beschreibt das MSB in den Erläuterungen zu den Änderungen (S. 19f). Bei den dienstlich bekannten Daten und Kontaktdaten handelt es um “bekannte Daten als Amtsträger in Bezug auf ihre Funktion in der Schule.” Darunter zu verstehen sind “Namen, Kontaktdaten und Unterrichtsfächer des Personals.” Diese unterliegen § 9 Abs. 3 Informationsfreiheitsgesetz und erfordern von daher einen geringeren Schutz. Liegt also eine dienstliche Erfordernis zu Verarbeitung vor und ein angemessener Zugangsschutz, im weitesten vergleichbar dem bei der Erteilung einer Genehmigung geforderten, dann können diese beiden Kategorien von personenbezogenen Daten auch ohne eine Genehmigung auf privaten Endgeräten verarbeitet werden. Diese Regelung dürfte vor allem vielen Lehrkräften entgegen kommen, denn hier geht es um das Erstellen, Übermitteln oder Empfangen von Dokumenten wie Protokollen über Konferenzen, Unterrichts-/Vertretungsplänen, Ausbildungs-Stundenplänen, Aufsichtsplänen und Sprechstundenlisten. Auch Personen, die an den ZsfL mit der Ausbildung betraut sind, profitieren von dieser Regelung.

Was bedeutet das für die Praxis?

Mit Blick auf Lehrkräfte bedeutet dieses: auch wenn ihnen ein Dienstgerät zur Verfügung gestellt oder keine Genehmigung für das Gerät erteilt wurde, können sie auf privaten Smartphones nun

  • über Browser oder App Unterrichts-, Vertretungs- und Aufsichtspläne wie auch Sprechstundenlisten des Kollegiums abrufen,
  • Raum- und Ressourcen-Buchungs-Systeme nutzen,
  • die Namen und dienstlichen Rufnummern von Kolleginnen und Kollegen speichern und verwalten3, solange sie sicherstellen können, dass diese nicht bei WhatsApp oder in anderen nicht-schulischen Clouds landen.

Auf einem privaten Laptop können sie so beispielsweise

  • Protokolle von Lehrer- und Fachkonferenzen schreiben4sofern dabei keine personenbezogenen Daten verwendet werden, die über die dienstlich bekannten Daten hinausgehen,
  • Protokolle von Lehrer- und Fachkonferenzen gelesen und kommentiert werden, und
  • Unterrichts-, Vertretungs- und Aufsichtspläne erstellen und an Kolleginnen und Kollegen versenden.

An seine Grenzen dürfte die Regelung kommen, wenn zum Abruf eines digitalen Stunden- und Vertretungsplans an einer Schule ein App oder eine Online-Plattform genutzt wird, die neben der Stunden- und Vertretungsplan-Funktion noch einen Messenger beinhaltet und eine Dateiablage oder ein digitales Klassenbuch mit Absenzen-Verwaltung, durch die dann auch personenbezogene Daten verarbeitet, welche über die dienstlich bekannten Daten und Kontaktdaten hinausgehen.

Nicht verarbeitet werden können auf einem privaten Endgerät ohne Genehmigung Dokumente, welche personenbezogenen Daten enthalten, welche über die oben beschriebenen dienstlich bekannten Daten und Kontaktdaten von anderen Lehrkräften, anderem Personal der Schule und Personen in Ausbildung hinausgehen. Dazu zählen dann beispielsweise Protokolle über Klassenkonferenzen und über Teilkonferenzen Ordnungsmaßnahmen.

Sonderregelung Schulleitung und Leitung ZfsL

Die Schulleitung wie auch die Leitung des ZfsL sind von der Regelung zum Wegfall der Genehmigung ausgenommen, da sie sich selbst keine Genehmigung erteilen können. Dazu heißt es in § 2 Abs. 6

“(6) Wenn die Leiterin oder der Leiter einer Schule oder eines Zentrums für schulpraktische Lehrerausbildung personenbezogene Daten von Beschäftigten auf privaten digitalen Geräten verarbeitet, ist dies nur für die in Absatz 5 und Anlage 6 genannten Daten zulässig, soweit die Verarbeitung der Daten zur Aufgabenerfüllung erforderlich ist und der erforderliche Schutz der Daten technisch sichergestellt wird.”

Damit können die genannten Personen also weiterhin ein privates Endgerät zur Verarbeitung von personenbezogenen Daten der an ihrer Schule bzw. in ihrem ZfsL tätigen Personen verarbeiten. Sie sind dabei jedoch bezüglich der mit der Ausbildung beauftragten Personen an ihrer Institution auf die “dienstlich bekannten Daten und Kontaktdaten” aus Absatz 5 und bezüglich der Personen, die dort ausgebildet werden auf die in Anlage 6 aufgeführten Daten (Name, Vorname, E-Mail, Beurteilung der Leistungen der Personen in Ausbildung und dienstliche E-Mail-Adresse) beschränkt.

In der Kommentierung zum Entwurf der Änderung (S. 20) heißt es dehalb: “Mit dem neu eingefügten Absatz 6 wird klargestellt, dass auch Schulleitungen und ZfsL-Leitungen auf privaten digitalen Geräten personenbezogene Beschäftigtendaten nur in dem genannten begrenzten Umfang verarbeiten dürfen. Die Klarstellung ist erforderlich, weil die vorstehenden Regelungen zur Genehmigungspflicht nach Abs. 4 nicht gelten, soweit sie selber Privatgeräte nutzen.”

FAQ

  • Kann eine Lehrkraft, welche die Genehmigung zur Nutzung eines Privatgerätes im Sinne von § 2 Abs. 2 VO-DV I hat, dieses Gerät auch nutzen, um Beurteilungen der Leistung eines Lehramtsanwärters darauf zu schreiben?
    • Ja, das ist möglich, sie muss dafür jedoch von ihrer Schulleitung zusätzlich eine Genehmigung gem. § 2 Abs. 4 VO-DV II einholen. Das ist eine weitere Unterschrift auf einer anderen Seite des aktuell noch gültigen Formulars.
  • Ich bin Fachleitung und habe ein Dienstgerät aus der Schule und eines vom ZsfL. Ist es möglich, dass ich auch die Arbeit für das ZfsL auf dem schulischen Dienstgerät erledige, um nicht ständig zwei Geräte mit mir herumzuschleppen?
  • Am ZfsL habe ich als Fachleitung einen dienstlichen Laptop erhalten. Für Lehrkräfte an meiner Schule gab es als Dienstgerät nur ein iPad. Darf ich auf dem Laptop die Zeugnisnoten für die Schule im externen Notenmodul eingeben?
    • Das sind kniffelige Fragen. Die Schule ist mit Unterstützung des Schulträgers verantwortlich für die sichere Verarbeitung von personenbezogenen Daten aus der Schule auf dem schulischen Dienstgerät. Kommt es zu einem totalen Datenverlust, etwa weil das Dienstgerät durch den Schulträger falsch konfiguriert wurde und es befanden sich personenbezogene Daten darauf, welche zu Personen gehörten, die die Lehrkraft als Fachleitung an anderen Schulen betreute, läge dieses in der Verantwortung der Schule. Anders ausgedrückt – verarbeitet eine Fachleitung die personenbezogenen Daten von Personen, die sie für das ZfsL an anderen Schulen als der eigenen betreut, auf einem schulischen Dienstgerät, dann verarbeitet streng genommen die eigene Schule die Daten von Personen, für deren Verarbeitung sie keine rechtliche Befugnis hat. Schließt man sich dieser engen Auslegung der datenschutzrechtlichen Regelungen an, bleibt in solch einem Fall nur die Nutzung von zwei verschiedenen Dienstgeräten, um die Datenverarbeitung sauber, gemäß der Zuständigkeiten/ Verantwortlichkeiten zu trennen.
    • Geht es nur um das externe Notenmodul könnte man eine Nutzung für Daten der Schule sicher noch vertreten. Was aber wäre, wenn über dieses Laptop bei der Übermittlung der ausgefüllten Notendatei ein Virus ins System der Schule gelangte und die Ursache wäre eine veralteter Virenschutz, der durch die Systembetreuung des ZfsL verursacht wurde?
  • Weder an meiner Schule noch am ZfsL, wo ich als Fachleitung tätig bin, habe ich aktuell ein Dienstgerät. Darf ich auf meinem Privatgerät mit Genehmigung sowohl Daten meiner Schüler wie auch die meiner für das ZfsL betreuten Personen in Ausbildung verarbeiten?
    • Das sollte möglich sein. Es braucht dazu sowohl die Genehmigung der Schulleitung wie auch die der Leitung des ZfsL.

Stand Januar 2022

Gemeinsame und schuleigene Datenschutzbeauftrage – VO-DV II

Lesezeit: 5 Minuten

Mit Datum vom 13. Dezember 2021 wurden die VO-DV I und VO-DV II durch die Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten geändert. Deutliche Veränderungen ergeben sich durch die Änderungen auch für die Bestellung von Datenschutzbeauftragten für die Schulen in öffentlicher Trägerschaft. Regelungen wurden auch für die ZfSL geschaffen.

In §1 Abs. 6 der alten Fassung der VO-DV II war die Regelung zur Bestellung von Datenschutzbeauftragten nur sehr knapp gefasst.

(6) Die in Absatz 1 genannten Behörden oder Einrichtungen bestellen behördliche Datenschutzbeauftragte gemäß § 32a DSG NRW. Mehrere Stellen können gemeinsam einen behördlichen Datenschutzbeauftragten bestellen, wenn dadurch die Erfüllung seiner Aufgaben nicht beeinträchtigt wird. Für Schulen in kommunaler und staatlicher Trägerschaft bestellt das Schulamt eine Person, die die Aufgaben gemäß § 32a DSG NRW wahrnimmt.

Die neue Fassung fällt deutlich umfangreicher aus, da Zuständigkeiten für die Bestellung neu zugewiesen werden, um personalvertretungsrechtliche Belange zu berücksichtigen, und auch die Möglichkeiten zur Bestellung erweitert werden.

“(6) (1)Die in Absatz 1 genannten Behörden oder Einrichtungen benennen behördliche Datenschutzbeauftragte gemäß Artikel 37 der Datenschutz-Grundverordnung. (2) Mehrere Stellen können gemeinsam eine Person benennen, wenn dadurch die Erfüllung ihrer Aufgaben nicht beeinträchtigt wird. (3) Abweichend von Satz 1 wählen für Schulen in kommunaler und staatlicher Trägerschaft die Schulämter Personen aus, die in ihrem Bezirk die Aufgaben gemäß Artikel 39 der Datenschutz-Grundverordnung wahrnehmen sollen. (4) Zur Wahrung personalvertretungsrechtlicher Interessen werden diese Personen nach Artikel 37 Absatz 3 der Datenschutz-Grundverordnung von den Bezirksregierungen benannt und an das jeweilige Schulamt anteilig zur Wahrnehmung der Funktion abgeordnet. (5) Schulen können stattdessen eine schuleigene Datenschutzbeauftragte oder einen schuleigenen Datenschutzbeauftragten benennen. (6) Sofern für Zentren für schulpraktische Lehrerausbildung nach Artikel 37 Absatz 3 der Datenschutz-Grundverordnung gemeinsame Datenschutzbeauftragte benannt werden sollen, erfolgt ihre Benennung zur Wahrung personalvertretungsrechtlicher Interessen durch die Bezirksregierungen.”

Eigene Datenschutzbeauftragte

Die bisherigen Regelungen zur Bestellung von Datenschutzbeauftragten sah nur die Möglichkeit vor, diese Personen für mehrere Stellen gemeinsam zu benennen. Entsprechend wurden für jeden Kreis und jede kreisfreie Stadt bis zu zwei Personen zu behördlichen Datenschutzbeauftragten bestellt. Diese sind dem Schulamt zugeordnet und für alle Schulen in öffentlicher Trägerschaft des jeweiligen Kreises bzw. der jeweiligen kreisfreien Stadt zuständig. Diese Möglichkeit besteht mit Satz (3) auch weiterhin unverändert fort.

Satz (5) der Verordnung Schulen lässt Schulen nun jedoch die Wahl. Sie können wie bisher die Dienste der bereits bestellen behördlich Datenschutzbeauftragten in Anspruch nehmen, oder nun selbst eine Person für ihre Schule benennen, welche diese Funktion übernehmen soll. Den Erläuterungen des MSB im Entwurf einer Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten ist zu entnehmen, dass diese Änderung auf eine Anregung der LDI NRW zurückgeht und diese Möglichkeit vor allem “bei großen oder besonders technisierten Schulen zweckmäßig sein könnte.

Damit besteht ab sofort für jede Schule in öffentlicher Trägerschaft die Möglichkeit, einen bzw. eine schuleigene/n Datenschutzbeauftragte/n zu benennen. § 1 Abs. 5 schränkt diese Option dabei in keiner Weise ein, weder auf Schulformen noch die Größe von Schulen.

Benennung

Während die behördlich bestellten schulischen Datenschutzbeauftragten nach der neuen Regelung von den Schulämtern ausgewählt und vorgeschlagen und dann von den Bezirksregierungen unter Beteiligung der Personalvertretung benannt werden, können dem Wortlauf von Satz (5) nach Schulen die Person eigenständig benennen.1Die Formulierung in Satz (4) “diese Personen” bezieht sich grammatikalisch auf die in Satz (3) beschriebenen von den Schulämtern ausgewählten Personen. Demnach können die in Satz (5) beschriebenen Personen nicht unter die Regelung von Satz (4) fallen. Entsprechend wird es dort auch keine Teilabordnungen durch die Bezirksregierungen an die Schulämter geben.

Es wird aber zumindest erforderlich sein, diese Benennungen an die Schulämter zu melden, damit diese ihrerseits die behördlich bestellten schulischen Datenschutzbeauftragten in Kenntnis setzen können. Ob auch eine Meldung an die Bezirksregierungen notwendig wird, bleibt abzuwarten.

Thema Zuständigkeiten

Hat eine Schule einen schuleigenen Datenschutzbeauftragten benannt, nimmt diese Person für die Schule alle Aufgaben gemäß  Art. 39 DS-GVO wahr. Die Zuständigkeit der behördlich bestellten dem Schulamt zugeordneten schulischen Datenschutzbeauftragten endet damit für diese Schule. 2Ergänzend ist anzumerken, dass gerade dieser Punkt bei einen behördlich bestellten Datenschutzbeauftragten (bDSB) sehr umstritten ist. Nach ihrer Ansicht geht mit der Benennung eines schulischen Datenschutzbeauftragten nicht ein Wechsel der Zuständigkeiten einher. Sie gehen davon aus, dass dieses sonst eine Abberufung von der konkreten Schule gegen den Willen des bDSB darstellt, für die sie jedoch keine Rechtsgrundlage sehen. – Sollte ein von einer Schule benannter schulischer Datenschutzbeauftragter sich gegen die Einmischung eines bDSB in seinen Tätigkeitsbereich an seiner Schule verwehren und der bDSB sieht sich hier in der Ausübung seiner Tätigkeit behindert, muss im Zweifelsfall ein Verwaltungsgericht für Klärung sorgen.

Meldung bei der Aufsichtsbehörde

Mit der Benennung eines schuleigenen Datenschutzbeauftragten geht auch die Verpflichtung einher, diese Person gem. Art. 37 Abs. 7 DS-GVO bei der LDI NRW zu melden. Die Meldung erfolgt im Meldeportal der Aufsichtsbehörde nach vorheriger Registrierung auf der Seite.

Veröffentlichung der Kontaktdaten

Gem. Art. 37 Abs. 7 DS-GVO muss die Schule auch die Kontaktdaten der zum Datenschutzbeauftragten bestellten Person veröffentlichen. Das betrifft einige Stellen, von der Schulhomepage bis zu Datenschutzinformationen für Schülern, Eltern und Lehrkräfte gem. Art. 13 und Art. 14 DS-GVO.

Entlastung – Freistellung

Für die behördlich bestellten dem Schulamt zugeordneten schulischen Datenschutzbeauftragten hat das Land Stundenkontingente zur Verfügung gestellt, die es ermöglichen, diese Personen von ihren Schulen mit einer Stundenzahl abzuordnen.

Es ist zu erwarten, dass Schulen, die eine Person für die Funktion des schuleigenen Datenschutzbeauftragten benennen, diese Person aus eigenen Mitteln entlasten müssen. Größere Systeme haben hier vermutlich die Möglichkeit, die Aufgaben des/ der schuleigenen Datenschutzbeauftragten an eine Funktionsstelle zu koppeln.

Welche Personen kommen in Frage?

Wer die Funktion als schuleigenen Datenschutzbeauftragte/r übernehmen möchte, sollte die Bereitschaft mitbringen, sich fachlich zu qualifizieren und sollte ausreichend Einblicke in die Datenverarbeitungsabläufe einer Schule erhalten und sich damit vertraut machen.

Die Person sollte gem. Art. 38 Abs. 6 nicht durch andere schulische Funktionen und Aufgabenbereiche in eine Konfliktsituation mit der Funktion als Datenschutzbeauftragte/r kommen. Damit scheiden Personen, welche selbst große Mengen von personenbezogenen Daten in der schulinternen Verwaltung verarbeiten oder Zugriff darauf haben für die Funktion aus. Das wären beispielsweise Lehrkräfte, welche auch Administratoren für schulische Plattformen wie LMS oder Arbeits- und Kommunikationsplattformen sind. Auch bei Mitgliedern der erweiterten Schulleitung könnten solche Interessenkonflikte bestehen. Die Schulleitung als Verantwortlicher kann definitiv nicht gleichzeitig schuleigene/r Datenschutzbeauftragte/r sein.

Weisungsfrei

Die behördlich bestellten schulischen Datenschutzbeauftragten haben überwiegend nicht mit ihren eigenen Schulen zu tun. An den meisten Schulen in ihrer Zuständigkeit sind sie deshalb externe Personen. Schulische Datenschutzbeauftragte im Sinne von Satz (5) sind an ihrer Schule gem. Art. 38 Abs. 3 weisungsfrei bezüglich der Ausübung ihrer Funktion. Das bedeutet auch, sie müssen gegebenenfalls Dinge sagen, etwa wenn sie Betroffene beraten, die den Interessen der Schule zuwider laufen. Daran dürfen sie nicht gehindert werden. Es dürfen ihnen aus ihrem Handeln in der Funktion als schulischer Datenschutzbeauftragter auch keine Nachteile entstehen.

Verantwortung

Selbstredend bleibt die Schulleitung weiterhin Verantwortlicher im Sinne der DS-GVO und des Schulgesetzes NRW. Diese Verantwortung kann eine Schulleitung nicht delegieren. Die Aufgaben eines Datenschutzbeauftragten sind in Art. 39 DS-GVO klar definiert. Darüber hinaus steht es natürlich jeder Schule frei, den schuleigenen Datenschutzbeauftragten bzw. die schuleigene Datenschutzbeauftragte mit der Erstellung und Pflege der Dokumentation (Verfahrensverzeichnis, Einwilligungen, Informationen gem. Art. 12 DS-GVO, …) zu betrauen.

Schulung

Gem. Art. 39 Abs. 2 ist der Verantwortliche verantwortlich, dem Datenschutzbeauftragten “die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen […] sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung” zu stellen. Während bei den behördlich bestellten schulischen Datenschutzbeauftragten die Schulämter die Ausstattung etwa in Form von Dienstgeräten, Büros und Fachliteratur bereitstellen und die Bezirksregierung3zumindest auf die BR Arnsberg zutreffend für die Kostenfür Ausbildung und Schulung aufkommen, ist zu erwarten, dass Schulen im Falle der Benennung eines schuleigenen Datenschutzbeauftragten für diese Kosten selbst aufkommen müssen.

Wo und wie die schulischen Datenschutzbeauftragten sich selbst aus- bzw. fortbilden können, ist offen. Die behördlich bestellten schulischen Datenschutzbeauftragten können die Dienste der Fortbildungsakademie Mont Cenis hier in Anspruch nehmen. Dort finden regelmäßig Schulungen statt, die einen Einstieg in die Thematik bieten, jedoch eher auf kommunale Behörden abzielen. Darüber hinaus bieten unzählige Dienstleister Ausbildungen an, die aber sämtlich kostenpflichtig sind. Fakt ist, es kann keine Schule erwarten, dass ihre benannten schuleigenen Datenschutzbeauftragten diese Kosten aus eigener Tasche zahlen, wie dieses bei Lehrkräften so oft der Fall ist.

Geänderte Zuständigkeiten für die Benennung der behördlich bestellen schulischen Datenschutzbeauftragten

Wie oben schon kurz beschrieben, haben sich die Zuständigkeiten bei der Benennung der behördlich bestellen schulischen Datenschutzbeauftragten verändert. Wurden sie bisher von den Schulämtern ausgewählt und benannt, so wurde jetzt mit Satz (4) die Zuständigkeit für die Benennung der schulischen Datenschutzbeauftragten auf die Bezirksregierungen übertragen.

Geänderte Zuständigkeiten für die Benennung der gemeinsamen Datenschutzbeauftragten für ZfsL

Zentren für schulpraktische Lehrerausbildung konnten schon immer im Rahmen der bisherigen Regelungen von §1 Abs. 6 VO-DV I eigene oder gemeinsame Datenschutzbeauftragte benennen. Hier ist jetzt mit Satz (6) eine Zuweisung von Zuständigkeiten für den Fall, dass mehrere ZfsL gemeinsame Datenschutzbeauftragte benennen wollen, erfolgt. Die eigentliche Benennung erfolgt nun durch die Bezirksregierungen, um dadurch eine Beteiligung der Personalvertretungen zu ermöglichen.

Stand 01/2022