In der 18. Kalenderwoche 2024 ging Schulen im Zuständigkeitsbereich der Bezirksregierung Arnsberg ein Schreiben zu, welches dort für sehr viel Kopfzerbrechen sorgte. Das Schreiben ist die späte Folge eines Falles, bei welchem ein Vater gegen die Nutzung von Google Workspace for Education an einem Dortmunder Gymnasium geklagt hatte und damit durch alle Instanzen bis vor das Oberverwaltungsgericht NRW gegangen war. Das Verfahren endete im Juli 2023 mit einer Selbstverpflichtung der BR Arnsberg, der betreffenden Schule die Nutzung der Plattform zu untersagen. Schon zu der Zeit machte man sich bei der BR Arnsberg Gedanken, welche Konsequenzen der Beschluss des Senats aus drei Richtern über die eine Schule hinaus haben könnte oder auch müsste.
Das Verfahren vor dem OVG
Zur Erinnerung: die Richter hatten sich nicht mit der möglicherweise nicht bestehenden DS-GVO Konformität von Google Workspace for Education befasst, die Klagegrund des Vaters gewesen war, sondern zogen sich auf Verwaltungsrecht zurück und stellten fest, dass die Schule die Plattform gar nicht hätte nutzen dürfen, da sie ihr nicht gem. § 79 SchulG NRW vom Schulträger zur Verfügung gestellt worden war und die Schule dem Schulträger auch nicht die Datenschutzkonformität nachgewiesen hatte. Damit war der Fall für die drei Richter erledigt. Sie hatten bei ihren Überlegungen auch festgestellt, dass der Schulträger bei der Auswahl einer Plattform dafür Sorge tragen muss, dass sie datenschutzkonform nutzbar ist. Sollten Schüler oder Eltern Zweifel an der Datenschutzkonformität hegen, müsse der Schulträger den Nachweis führen. Letzteres sorgte in der Fachwelt für Aufsehen, da die Richter hier dem Schulträger eine Verantwortung zusprachen, welche laut Schulgesetz NRW bei der Schulleitung liegt.1“Die hier von dem OVG NRW vertretene Ansicht dürfte daher in der Praxis deutliche Probleme bei den Schulträgern bzw. deren behördlichen Datenschutzbeauftragten auslösen. Wenn man der Auffassung des Gerichts konsequent folgen würde, so würde die Grenze der datenschutzrechtlichen Verantwortlichkeit an der Schnittstelle zwischen innerer und äußerer Schulangelegenheit verwischen.” – (ZD 2023, 627, beck-online) Interessanterweise hatte das OVG aber auch beschrieben, dass die Schule bzw. Schulleitung es versäumt hatte, dem Datenschutzbeauftragten des Schulträgers “den mit Google konkret abgeschlossenen „Vertrag zur Auftragsbearbeitung“ und das „Verzeichnis der Verarbeitungstätigkeiten“ zur Prüfung vorzulegen, um die Datenschutzkonformität nachzuweisen.2Die Schule selbst widerspricht dieser Aussage. Entsprechende Unterlagen hätten “nachweislich sowohl den Datenschutzbeauftragten der Dortmunder Schulen als auch der Bezirksregierung Arnsberg” vorgelegen. Im Verfahren sei dies jedoch nicht klargestellt worden von Seiten der Bezirksregierung.
Das Schreiben der BR Arnsberg
Das Schreiben vom 02.05.2024 richtet sich an die Schulleitungen der öffentlichen Schulen im Regierungsbezirk Arnsberg und hat den Betreff Nutzung von Lehr- und Lernmanagementsystemen sowie Arbeits- und Kommunikationsplattformen in digitaler Form. Es wird auf das 16. Schulrechtsänderungsgesetz verwiesen, sowie § 8 Abs. 2 SchulG NRW sowie § 79 SchulG NRW. Aus diesen beiden folge:
“Die Einführung und Nutzung anderer als von dem Schulträger bereitgestellter digitaler Lehr- und Lernmanagementsystemen sowie Arbeits- und Kommunikationsplattformen widerspricht den schulrechtlichen Vorschriften und ist somit rechtswidrig.”
Und dieses gelte auch für Lehr- und Lernmanagementsystemen sowie Arbeits- und Kommunikationsplattformen, die bereits vor März 2022 “eigenständig von der Schule eingeführt” worden seien, da die Einführung der neuen Regelung in § 8 Abs. 2 SchulG NRW “lediglich eine klarstellende Funktion” habe.
Die Bezirksregierung begründet ihr Vorgehen damit, dass “die Umstellung […] zur rechtlichen Absicherung der bisherigen Praxis und zur Erfüllung des Bildungsauftrags zwingend notwendig” sei.
Es erfolgt dann noch einmal klar und deutlich, welche Konsequenz sich für Schulen daraus ergibt: “Ich weise darauf hin, dass die Nutzung anderer als vom Schulträger bereitgestellten digitalen Lehr- und Lernmanagementsysteme sowie Arbeits- und Kommunikationsplattformen einzustellen ist und ein Wechsel zu den bereitgestellten Systemen und Plattformen des Schulträgers oder zu LOGINEO NRW zu erfolgen hat.”
Es wird dann eine Frist zum Umstellung auf vom Schulträger bereitgestellte Plattformen gesetzt, die zu Beginn des Schuljahres 2024/25 endet. Um Härten zu vermeiden, soll “Schülern sowie den Lehrkräften jedoch ein Zugriff auf die Daten in den bisher genutzten Lehr- und Lernmanagementsysteme bzw. Arbeits- und Kommunikationsplattformen bis zum Ende des Schuljahres 2024/2025 ermöglicht werden.”
Was bedeutet das für die Praxis?
Das Schreiben hat, wenn Schulen es konsequent umsetzen, enorme Folgen. Das sieht man auch bei der Bezirksregierung: “Mir ist bewusst, dass diese Umstellung mit einem erheblichen Arbeitsaufwand und weitreichenden Veränderungen der innerschulischen Organisation verbunden sein kann.”
Es stellt sich jedoch eine Frage: Schießt die Bezirksregierung hier nicht deutlich über das Ziel hinaus?
Schaut man sich das 16. Schulrechtsänderungsgesetz und die Begründungen zum Entwurf dazu an, dann geht dort aus keiner Formulierung hervor, dass man im MSB mit der Ergänzung von § 8 Abs. 2 SchulG NRW eine Klarstellung bezüglich zuvor eingeführter Plattformen beabsichtigte. Vielmehr ging es dem Land darum, den schulischen Einsatz digitaler Lehr- und Lernsysteme sowie digitaler Arbeits- und Kommunikationsplattformen gesetzlich zu verankern. Durch die Ergänzung von § 65 Abs. 2 Nr. 6 und § 120 Abs. 5 Satz 2 wurde dann aufbauend auf dieser Rechtsnorm die Möglichkeit geschaffen, vom Schulträger vorgeschlagene Lehr- und Lernsysteme sowie digitale Arbeits- und Kommunikationsplattformen zu einer verpflichtenden Nutzung an der Schule einzuführen. In der Erläuterung hob der Gesetzgeber hervor, dass diese Entscheidungsbefugnis der Schulkonferenz sich nicht auf vor Inkrafttreten des 16. Schulrechtsänderungsgesetzes eingeführte Plattformen erstreckte.
Auf den Punkt gebracht, ging es dem Gesetzgeber beim 16. Schulrechtsänderungsgesetz mit Blick auf Digitalisierung vor allem um eines:
Den Erfordernissen der Zeit folgend, auch mit Blick auf die Erfahrungen während der Corona Pandemie, wollte man Schulen eine Rechtsgrundlage geben, welche ihnen die Möglichkeit gibt, zwei der wichtigsten Kategorien von digitalen Plattformen zukünftig auch ohne die rechtlich ohnehin umstrittenen Einwilligungen3(in die dazu erforderliche Verarbeitung von personenbezogenen Daten zu unterrichtlichen Zwecken bzw. zur Erfüllung des Bildungs- und Erziehungsauftrags) zu nutzen.
Weder im 16. Schulrechtsänderungsgesetz noch in den Begründungen zum Entwurf des Gesetzes findet sich irgendein Hinweis darauf, dass man damit die Nutzung von zuvor eigenständig beschafften Plattformen für illegal erklären wollte. Es wurde lediglich deutlich gemacht, dass die Entscheidungsbefugnis der Schulkonferenz sich zum einen nur auf Plattformen der genannten Kategorien beschränkt, welche vom Schulträger zur Nutzung vorgeschlagen wurden, und dass sie sich nicht auf zuvor angeschaffte Plattformen erstreckt. Eine “klarstellende Funktion“, welche die Bezirksregierung Arnsberg in der Aufnahme der neuen Regelungen ins Schulgesetz sieht, ist aus keiner Formulierung in den Begründung zum Entwurf des Schulrechtsänderungsgesetzes herleitbar.
Der Senat des OVG hatte extra ausgeführt, dass die Schule dem Schulträger bzw. seinem Datenschutzbeauftragten die Datenschutzkonformität nicht durch Vorlage eines Verfahrensverzeichnisses und des Vertrags zur Auftragsverarbeitung mit Google nachgewiesen hatte.4Was so sachlich nicht korrekt ist. Siehe Fußnote 1 oben. Warum wurde das von den Richtern aufgenommen? Wäre die Nutzung durch die Schule rechtmäßig gewesen, hätten sie dem Schulträger die Datenschutzkonformität nachgewiesen? Möglicherweise sahen die Richter dies als eine Option, wie der Schulträger seiner ihm vom Senat zugeschriebenen Verantwortung bezüglich der Datenschutzkonformität von in der Schule genutzten Plattformen nachkommen und damit in die Bereitstellung eingebunden werden kann.
In der Bezirksregierung Arnsberg hatte man nach dem Verfahren vor dem OVG NRW festgestellt, dass auch die Beantragung von Logineo NRW nicht mit dem Schulgesetz vereinbar sei, da hier die Schule die Beauftragung starte und den Schulträger in diesem Prozess informieren muss. Dies, so die BR Arnsberg müsse genau anders herum sein. Folgt man der Argumentation der Bezirksregierung in ihrem Schreiben an die Schulleitungen, müssen diese auch die Nutzung von Logineo NRW in der gesetzten Frist einstellen, da sie rechtswidrig ist. Oder ist durch die Einbindung des Schulträgers die Einführung dann nicht mehr “eigenständig“? Und welche Rolle spielt es, dass die Plattform der Schule genau genommen durch das Land zur Verfügung gestellt wird?
Schulen nutzen heute viele Plattformen und Apps, die je nach Nutzungsszenario auch personenbezogene Daten verarbeiten können. Dazu gehören auch kostenlose Apps und Plattformen. Einige der kostenlosen Plattformen werden von Anbietern mit eingeschränkten Funktionen zur Verfügung gestellt. Einen Vertrag zur Auftragsverarbeitung können Schulen aber trotzdem abschließen. Die Finanzmittel des Schulträgers braucht es hier nicht. Mitunter finanziert der Förderverein der Schule eine Plattform, da der Schulträger die Mittel nicht hat, oder eine Firma sponsert die Schule. Einige Schulen nutzen von Firmen gespendete Hardware, etwa Laptops oder Tablets.
An vielen Schulen erfolgt der Kauf von Apps für iPads im VPP Store durch Lehrkräfte, da man so schnell und unbürokratisch entscheiden kann. Gibt es Angebote, die nur einen Tag gültig sind, kann so schnell gehandelt werden. Das Budget für den VPP Store stellt der Schulträger bereit. Eine Kontrolle, welche Apps erworben werden, findet nicht statt. Kaufen die Schulen damit die Apps “eigenständig” oder nicht?
Was können Schulen tun?
In der Regel stimmen sich Schulen mit ihrem Schulträger ab, bevor sie aus ihrem eigenen Etat eine digitale Plattform beschaffen. Das ist sinnvoll, da viele Schulen auf technische und administrative Unterstützung durch den Schulträger oder einen beauftragten Dienstleister angewiesen sind. Selbst wenn die Schule die Administration selbst übernimmt, ist der Schulträger in den meisten Fällen im Bild. Das gilt auch, wenn der Förderverein oder ein Sponsor der Schule Hardware oder eine Plattform zur Verfügung stellt. Mitunter kann ein Schulträger seinen Schulen keine zusätzlichen Finanzmittel für die Beschaffung einer Plattform bereitstellen und gibt der Schule zu verstehen, dass sie das aus eigenen Mitteln leisten muss. Das Geld der Schule stammt ohnehin vom Schulträger und wurde der Schule als Etat zugewiesen. Auch wenn bei Schulen immer noch eine Trennung über innere und äußere Angelegenheiten erfolgt, ist der Schulträger letztlich Eigentümer, auch von Dingen, welche eine Schule aus ihrem Etat bezahlt hat. Zusammenfassend kann man feststellen, dass Schulen nur selten “eigenständig” handeln, wenn sie eine Plattform oder ein System aus ihrem Etat beschaffen oder von anderer Seite zur Verfügung gestellt bekommen. Der Schulträger ist nahezu immer zumindest informiert, häufig aber auch beteiligt. Von daher kann man davon ausgehen, dass Schulen, wenn überhaupt, nur sehr wenige Systeme oder Plattformen tatsächlich eigenständig eingeführt haben und nutzen. Zudem kann man davon ausgehen, dass solange ein Schulträger informiert war und anschließend keine Einwände äußerte, er damit der Schule seine stillschweigende Zustimmung erteilt hat.
Damit war die Einführung und ist die Nutzung der meisten Systeme und Plattformen auch nicht rechtswidrig im Sinne der Auffassung der BR Arnsberg, und sie fallen somit auch nicht unter die im Schreiben gesetzte Frist.
Wie schon im Beitrag zum 16. Schulrechtsänderungsgesetz erläutert, kann die Schulkonferenz erst seit Inkrafttreten der neuen gesetzlichen Regelung in § 65 Abs. 2 Nr. 6 über vom Schulträger vorgeschlagene Systeme und Plattformen entscheiden. Über bereits vorher eingeführte Systeme und Plattformen kann die Schulkonferenz nicht entscheiden. Entsprechend heißt es in den Erläuterungen zum Entwurf des 16. Schulrechtsänderungsgesetzes bezüglich des Rahmens, in welchem die Schulkonferenz über vom Schulträger vorgeschlagene Systeme entscheiden kann: “Die Schulkonferenz kann allerdings nur in dem Rahmen entscheiden, den der Schulträger bereitstellt. Dabei wirkt die Schulkonferenz an der Entscheidung mit, wenn ein Vorschlag seitens des Schulträgers unterbreitet wird, d.h. neue Systeme und Plattformen eingeführt oder wesentlich verändert werden. Auf bisher existierende und bereits genutzte Systeme und Plattformen erstreckt sich die Entscheidungsbefugnis nicht.”
Das ist mit Blick auf bereits vorher eingeführte Systeme und Plattformen ungünstig, vor allem wenn diese sonst alle Voraussetzungen mitbringen und man ihre Nutzung gerne verpflichtend machen möchte. Die Logineo NRW Plattformen sind ein gutes Beispiel dafür. Aufgrund der Dienstvereinbarungen mit den Hauptpersonalräten ist ihre Nutzung bisher nur mit Einwilligung, d.h. auf freiwilliger Basis möglich. Diese Regelung wird aber ziemlich sicher irgendwann, wenn MSB und Hauptpersonalräte sich einigen können, entfallen. Wie im Zitat aus der Begründung zum Gesetzesentwurf deutlich wird, war sich der Gesetzgeber bewusst, dass es eine Möglichkeit geben muss, § 65 Abs. 2 Nr. 6 auch auf bereits bestehende Plattformen (wie Logineo NRW) anwenden zu können. Diese Möglichkeit eröffnet sich durch die wesentliche Veränderung.
Eine wesentliche Veränderung kann bei einem System oder einer Plattform sein, wenn Funktionen hinzukommen oder entfallen, es ein größeres Update gibt, durch welches sich die Funktionsweise der Plattform verändert, der Anbieter die Nutzungsbedingungen und/ oder Datenschutzbestimmungen verändert, sich die Art der Nutzung verändert, neue Nutzergruppen hinzukommen und ähnlich.
Fazit
Das Schreiben der BR Arnsberg vertritt eine Auslegung der Regelungen, welche mit dem 16. Schulrechtsänderungsgesetz eingeführt wurden, die extrem restriktiv ist und deren Herleitung für den Autoren dieser Seite nicht nachvollziehbar ist. In seinen Formulierungen ist das Schreiben nicht weit von einer dienstlichen Anweisung entfernt. Stattdessen wird darauf hingewiesen, “dass die Nutzung anderer als vom Schulträger bereitgestellten digitalen Lehr- und Lernmanagementsysteme sowie Arbeits- und Kommunikationsplattformen einzustellen ist und ein Wechsel zu den bereitgestellten Systemen und Plattformen des Schulträgers oder zu LOGINEO NRW zu erfolgen hat.”
Blickt man genauer auf die in Schulen aktuell genutzten Systeme und Plattformen, welche eine Schule nicht unmittelbar vom Schulträger zur Verfügung gestellt wurden, so kann man davon ausgehen, dass diese nur selten tatsächlich eigenständig von den Schulen eingeführt wurden. Darüber hinaus besteht die Möglichkeit, die Schulkonferenz entscheiden zu lassen, wenn es an einem bereits genutzten System oder einer bereits genutzten Plattform zu wesentlichen Veränderungen kommt. Der Schulträger muss der Schulkonferenz dann einen entsprechenden Vorschlag zur Nutzung unterbreiten.
Anlage: Vorschlag zur Nutzung digitaler Plattformen und Software gemäß Schulgesetz NRW.docx5Hinweis: Dieses Muster ist ein Vorschlag, wie ein entsprechende Schreiben des Schulträgers an die Schulkonferenz aussehen könnte.
Was heißt das alles jetzt eigentlich für den Schulträger?
Müssen Schulträger jetzt für jede App und Plattform, welche sie einer ihrer Schulen zur Nutzung vorschlagen wollen, eine umfangreiche Datenschutzprüfung in Auftrag geben? Davon ist ziemlich sicher nicht auszugehen. Es sollte reichen, wenn sich die behördlich bestellten schulischen Datenschutzbeauftragten die Plattform ansehen und eine einfache Bewertung vornehmen. Mit Recherche findet man oftmals bereits Hinweise aus anderen Quellen, ob eine Plattform datenschutzfreundlich nutzbar ist oder nicht. Wenn ein anderes Bundesland eine Plattform offiziell seinen Schulen bereitstellt, wie etwa itslearning in Baden Württemberg, HPI Schul-Cloud in Brandenburg, fobizz in Rheinland-Pfalz, Mecklenburg-Vorpommern und Sachsen oder bettermarks in Rheinland-Pfalz, Niedersachsen, Berlin und Bremen, kann man sich als Schulträger daran orientieren. Handelt es sich um eine Plattform, die über Vidis vermittelt wird, kann sich der Schulträger darauf verlassen, dass eine Datenschutzprüfung vor Aufnahme erfolgt ist. Zu den Informationen, welche ausgewertet werden sollten, gehören natürlich auch die Dokumentation des Anbieters und seine Zusicherung der DS-GVO Konformität. Bezüglich dieser Aussagen eines Anbieters kann man dann auf das OLG Karlsruhe, Beschluss vom 07.09.2022 – 15 Verg 8/22 verweisen. Der Beschluss sagt, dass solange es keine konkreten Anhaltspunkte dafür gibt, dass die vertraglichen Zusagen des Anbieters zweifelhaft sind, ein öffentlicher Auftragsgeber auch nicht gehalten ist, durch Einholung ergänzende Informationen die Erfüllbarkeit des Leistungsversprechens beziehungsweise die hinreichende Leistungsfähigkeit des Bieters (meint hier einen Anbieter, der einen Auftrag zur Bereitstellung einer Plattform haben will) zu prüfen. Zu dem Leistungsversprechen gehört auch die Zusage, dass man DS-GVO konform sei. – https://openjur.de/u/2449559.html. Mancher Schulträger mag sich an der Stelle vielleicht fragen, ob er Garantien für den Datenschutz übernimmt? Angenommen es kommt erneut zu einem Fall, der dem vor dem OVG vergleichbar ist, und der Schulträger müsste darlegen, ob und wie er vorab oder auch im Nachhinein geprüft hat, ob die Plattform datenschutzrechtlich unbedenklich ist. Das Gericht muss letztlich akzeptieren, was der Schulträger angibt, wenn dieser vorgegangen ist, wie zuvor beschrieben, zumal weder das Schulgesetz noch ein anderes Recht dem Schulträger konkret eine datenschutzrechtliche Verantwortung zuschreibt, wie dieses die Richter des Senats des OVG getan haben.