Schule NRW – datenschutz-schule.info

Juli 31, 2025

Schulische Datenübermittlung an die Bundesagentur für Arbeit

Lesezeit: 3 Minuten

Schulen in NRW arbeiten im Rahmen der Berufswahlvorbereitung eng mit der Bundesagentur für Arbeit zusammen. Berufsberaterinnen und Berufsberater kommen regelmäßig in die Schulen, um Schülerinnen und Schülern sowie deren Eltern Beratung und Unterstützung bei der Berufswahl anzubieten. Auf den Seiten des BO-Tool NRW (Digitales Online Instrumentarium zur Beruflichen Orientierung) informiert das Ministerium für Schule und Bildung (MSB) auch über die dabei stattfindende Datenverarbeitung und die dazu gehörigen Rechtsgrundlagen.

Bislang war es so, dass Schulen die Daten von Schülerinnen und Schülern nicht ohne deren Einwilligung an die Agentur für Arbeit bzw. die dort tätigen Berufsberaterinnen und Berufsberater weitergeben durften. Grundsätzlich gilt dieses auch weiterhin so, wie in der Schrift Informationen zum Datenschutz und zur Datenverarbeitung bei Beratungsgesprächen der Berufsberatung im Rahmen der „Lebensbegleitenden Berufsberatung vor dem Erwerbsleben“ erklärt wird.

Kommen die Berufsberater zu Beratungsgesprächen an die Schule, so darf die Schule den in der Schule befindlichen Berufsberaterinnen und Berufsberatern Namen und Uhrzeiten zum Zweck der Termingestaltung und Anwesenheitskontrolle geben. Weitere Daten der Schülerinnen und Schüler darf die Schule nur mit deren ausdrücklicher Einwilligung oder mit der der Erziehungsberechtigten an die Agentur für Arbeit weitergeben. Grundsätzlich können dabei Schülerinnen und Schüler ab 14 Jahren selbst der Verarbeitung ihrer Daten zustimmen; falls jedoch Unsicherheiten hinsichtlich ihrer Einwilligungsfähigkeit bestehen, ist die Zustimmung der Erziehungsberechtigten erforderlich. Wenn Eltern nicht möchten, dass ihr Kind an einem Beratungsgespräch teilnimmt, und der bereits durch ihr Kind erteilten Einwilligung bei der Agentur für Arbeit widersprechen, werden sämtliche Daten bei der Agentur gelöscht und das Beratungsgespräch entfällt. Der Widerruf muss gegenüber der Agentur für Arbeit erklärt werden, nicht gegenüber der Schule.

Entsprechend liegt auch die Information bezüglich der Verarbeitung der personenbezogenen Daten der Schülerinnen und Schüler durch die Agentur für Arbeit selbst. Jugendliche und ihre Erziehungsberechtigten erhalten mit der schriftlichen Einladung von der Agentur für Arbeit Informationen zum Datenschutz; die Schule informiert dazu nicht. Nehmen Minderjährige in der Schule spontan und selbständig eine Beratung in Anspruch, werden die Eltern durch die Agentur für Arbeit informiert und können der weiteren Datenverarbeitung widersprechen, woraufhin die Agentur die Daten löscht.

Die Schule informiert Schülerinnen, Schüler und Erziehungsberechtigte idealerweise vor dem ersten Kontakt mit der Berufsberatung über die Angebote und die datenschutzrechtlichen Modalitäten der Beratung. Dazu lädt sie die Berufsberatung zu Elternveranstaltungen (z. B. „Kick-Off“ im KAoA-Prozess, Jahrgangsstufe 8) ein, damit diese den Beratungsprozess und Datenschutz erläutert. Außerdem verteilt die Schule einen Informationsflyer zu den Beratungsleistungen und dem Datenschutz per Schulpost oder E-Mail an alle Erziehungsberechtigten, um Transparenz sicherzustellen.

Da die Schule eine zentrale Rolle bei der Vorbereitung der Jugendlichen auf die Berufswahl einnimmt, ist es sinnvoll, die individuellen Beratungsergebnisse mit der Agentur für Arbeit auszutauschen. Dieser Austausch, der eine bessere Abstimmung und gemeinsame Planung der beruflichen Orientierung ermöglicht, darf jedoch nur mit der ausdrücklichen Einwilligung der Jugendlichen erfolgen.

Ausnahme Beendigung der Schule ohne konkrete berufliche Anschlussperspektive

Seit April 2025 gibt es den Erlass zum Verfahren der Übermittlung von Daten nach Maßgabe des Schülerinnen- und Schülerdatenübermittlungsgesetzes NRW. Dieser ermöglicht es Schulen, die “personenbezogene Daten von Schülerinnen und Schülern, die voraussichtlich bei Beendigung der Schule über keine
konkrete berufliche Anschlussperspektive im Sinne des § 31a Absatz 1 SGB III verfügen, über die jeweils zuständigen Bezirksregierungen an die Bundesagentur für Arbeit zu übermitteln, so dass diese die Schülerinnen und Schüler gemäß
§ 1 Absatz 1 Satz 2 Schülerinnen- und Schülerdatenübermittlungsgesetz NRW
kontaktieren kann.”

Dieses Schülerinnen- und Schülerdatenübermittlgungsgesetz NRW, mit langem Namen auch “Gesetz zur Übermittlung von Schülerinnen- und Schülerdaten
am Übergang von der Schule in den Beruf” von Oktober 2023 und geändert im Juli 2025 schafft die Rechtsgrundlage, auf welcher Schulen einen Datensatz bestehend aus:

Vor- und Familienname,
Geburtsdatum,
Geschlecht,
Wohnanschrift,
voraussichtlich beendeter Schulform und
voraussichtlich erreichtem Abschluss.

übermitteln darf bzw. muss.

Gemäß Erlass übermitteln Berufskollegs “zusätzlich den jeweils besuchten Bildungsgang mittels der in Anlage 1 ausgewiesenen Schulgliederungsschlüssel.”

Die Schule muss vorab jedoch genau prüfen, auf welche Schülerinnen und Schüler der Erlass bzw. das Gesetz anzuwenden sind. Schülerinnen und Schüler, die über eine konkrete, im Erlass näher beschriebene Anschlussperspektive verfügen, sind von der Regelung ausgenommen. Gemäß Erlass übermittelt die Schule den Datensatz über das BAN-Portal an die zuständige Bezirksregierung. Auch wenn das dem Erlass zugrundeliegende Gesetz Schulen die Möglichkeit eröffnet, den Datensatz direkt an die Agentur für Arbeit zu übermitteln,

“Die personenbezogenen Daten der Schülerinnen und Schüler sind spätestens bis vier Wochen zum Ende eines Schuljahres je nach Übermittlungsweg entweder an die örtlich zuständige Agentur für Arbeit oder über die Bezirksregierung an die Bundesagentur für Arbeit zu übermitteln.”

hat hier für Schulen die Vorgabe des Erlass Vorrang. Die Übermittlung der von den Schulen im BAN-Portal hinterlegten Daten an die Bundesagentur für Arbeit erfolgt durch die jeweils zuständigen Bezirksregierungen. Diese laden bis zu einem im Erlass vorgegebenen Stichtag eine CSV-Datei mit den gesammelten Schülerdaten aus dem BAN-Portal herunter und übertragen sie anschließend über die SDN-Weboberfläche der Bundesagentur für Arbeit. Für die sichere Authentifizierung und Datenübertragung nutzen die Bezirksregierungen dabei ein von der Bundesagentur für Arbeit ausgestelltes Zertifikat.

Juli 25, 2025Juli 25, 2025

Bild- und Tonaufnahmen im Rahmen der Lehrerausbildung

Lesezeit: 4 Minuten

Im Rahmen der Lehrerausbildung kann es hilfreich sein, Unterrichtsstunden aufzuzeichnen, um anschließend den Verlauf Stunde und das unterrichtliche Handeln zu reflektieren. Eine Videoaufzeichnung ist dazu besonders geeignet. Es gilt dabei jedoch die rechtlichen Vorgaben des Schulgesetzes NRW zu beachten. Da diese sich schon vor einiger Zeit geändert haben, dieses aber nicht jedem bekannt scheint, wurde um einen entsprechenden, die aktuelle Rechtslage erläuternden Beitrag gebeten.

Zusammenfassung/ Abstract

Mit dem 15. Schulrechtsänderungsgesetz NRW (Mai 2020) wurde die Rechtslage zu Bild- und Tonaufnahmen im Unterricht grundlegend geändert. Die bisherige Regelung (§ 120 Abs. 3 Satz 2 SchulG NRW), die ministeriell genehmigte Aufnahmen mit Widerspruchsmöglichkeit erlaubte, wurde aufgehoben, da sie als bürokratisch und missverständlich galt. Seitdem ist für jede Bild- und Tonaufnahme im Unterricht oder bei verbindlichen Schulveranstaltungen eine freiwillige, anlassbezogene Einwilligung aller betroffenen Personen erforderlich; dies gilt gleichermaßen für Schülerinnen und Schüler wie für Lehrkräfte. Die Einwilligung muss klar den Anlass, den Zweck, die Empfänger, die Speicher- und Löschfristen sowie die Betroffenenrechte benennen und gegenüber der Schulleitung abgegeben werden. Eine Verweigerung darf keine Nachteile nach sich ziehen; Alternativen (z. B. Teilnahme am Unterricht in einer Parallelklasse) müssen angeboten werden. Bereits vorliegende Einwilligungen für andere Zwecke sind nicht übertragbar. Die Aufnahmen dürfen ausschließlich dem angegebenen Personenkreis und nur zu den beschriebenen Zwecken zugänglich gemacht werden und sind nach Zweckerfüllung zu löschen. Aufzeichnungsgeräte sollten möglichst von der Schule gestellt werden; bei Nutzung privater Geräte ist besondere Sorgfalt hinsichtlich Datenschutz und Datenspeicherung (keine Cloud-Synchronisation) erforderlich.¹

Rechtslage bis zum 15. Schulrechtsänderungsgesetz im Mai 2020

Es galt gem. § 120 Abs. 3 Satz 2 SchulG NRW:

“Für Zwecke der Lehrerbildung sowie der Qualitätsentwicklung und Qualitätssicherung dürfen vom Ministerium genehmigte Bild- und Tonaufzeichnungen des Unterrichts erfolgen, wenn die Betroffenen rechtzeitig über die beabsichtigte Aufzeichnung und den Aufzeichnungszweck informiert worden sind und nicht widersprochen haben.”

Rechtslage seit dem 15. Schulrechtsänderungsgesetz im Mai 2020

§ 120 Abs. 3 Satz 2 wurde gestrichen. § 120 Abs. 6 wurde ergänzt und regelt damit nun auch Bild- und Tonaufzeichnungen zum Zweck der Lehrerbildung.

“(6) Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen bedürfen der Einwilligung der betroffenen Personen. Die Einwilligung muss freiwillig erteilt werden. Den betroffenen Personen dürfen keine Nachteile entstehen, wenn sie eine Einwilligung nicht erteilen.”

Begründung zum Wegfall der bisherigen Regelung und Klarstellung in einem neuen Absatz

“Zu Absatz 3
Die Regelung des bisherigen Absatzes 3 Satz 2 hat sich in der Anwendung als nicht praktikabel erwiesen und wird daher aufgehoben. Sie verfolgte ursprünglich das Ziel, für bestimmte Zwecke die Anfertigung von Bild- und Tonaufzeichnungen des Unterrichts zu erleichtern, indem die erforderliche datenschutzrechtliche Einwilligung der betroffenen Schülerinnen und Schüler durch eine ministerielle Genehmigung ersetzt werden kann und den Betroffenen lediglich eine Widerspruchsmöglichkeit zusteht. In der Praxis wird die Regelung von den Personen, die die Genehmigung der Aufzeichnungen beim Ministerium beantragen, jedoch überwiegend dahingehend missverstanden, dass zusätzlich zu den in vielen Fällen bereits vorliegenden Einwilligungen der betroffenen Schülerinnen und Schüler auch noch eine Genehmigung der Aufzeichnung durch das Ministerium erforderlich ist; sie wird demnach als zusätzliche bürokratische Anforderung wahrgenommen. Mit der Aufhebung der Regelung wird dieses Missverständnis beseitigt.
Die Rechtmäßigkeit der Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen ist an das Vorliegen der allgemeinen datenschutzrechtlichen Voraussetzungen, d.h. an die Einwilligung der Betroffenen gekoppelt. Das Erfordernis der Einwilligung für Bild- und Tonaufzeichnungen wird nochmals explizit zur Klarstellung im neuen Absatz 6 aufgenommen. Die datenschutzrechtliche Situation der Schülerinnen und Schüler wird dadurch verbessert.”

“Zu Absatz 6
In Satz 1 wird klarstellend aufgenommen, dass Bild- und Tonaufnahmen des Unterrichts oder sonstiger verpflichtender Schulveranstaltungen der Einwilligung der betroffenen Personen bedürfen und die Einwilligung freiwillig erfolgen muss (siehe auch Begründung zu den Absätzen 2 und 3). Die Klarstellung der aus der DSGVO folgenden Freiwilligkeit einer Einwilligung erfolgt auf Anregung der LDI.”

Eine § 120 Abs. 6 entsprechende Regelung findet sich die Lehrkräfte betreffend in § 121 Abs. 1 Satz 2.

Die Begründung für die Änderung von § 121 Abs. 1 Satz 2

“Mit der Neufassung des Satzes 2 wird die Entscheidung über Bild- und Tonaufnahmen des Unterrichts oder sonstiger verpflichtender Schulveranstaltungen zur Verbesserung der Datenschutzrechte der Lehrkräfte auch von deren Einwilligung abhängig gemacht. Dies entspricht der neuen Regelung für die Schülerinnen und Schüler in § 120 Absatz 5 SchulG. Die Klarstellung der aus der DSGVO folgenden Freiwilligkeit einer Einwilligung erfolgt auf Anregung der LDI.”²

Was bedeutet das für die Praxis der Lehrkräfteausbildung?

Die Anfertigung von Bild- und Tonaufnahmen oder auch nur Tonaufnahmen einer Unterrichtsstunde oder von Ausschnitten daraus, erfordert immer eine vorherige Einwilligung der betroffenen Personen, hier der Schülerinnen und Schüler und gegebenenfalls auch anwesender Lehrkräfte. Diese Einwilligung ist freiwillig. Das bedeutet, Schülerinnen und Schülern, welche die Einwilligung nicht erteilen wollen, darf aus der Nichteinwilligung kein Nachteil entstehen. Um die Freiwilligkeit zu gewährleisten, kann Schülerinnen und Schülern während der Anfertigung von Bild- und Tonaufnahmen die Teilnahme am Unterricht einer Parallelklasse angeboten werden. Dabei ist sicherzustellen, dass ihnen kein Lernstoff entgeht.

Aus der Einwilligung muss eindeutig hervorgehen,

für welche konkrete(n) Unterrichtsstunde(n) sie erteilt wird,
zu welchem Zweck die Bild- und Tonaufnahmen angefertigt werden,
wer Zugriff auf die Aufnahmen erhält,
wie lange die Aufnahmen gespeichert und wann sie gelöscht werden,
sowie, welche Rechte den betroffenen Personen zustehen.

Die Einwilligung ist – wie üblich – gegenüber der Schulleitung abzugeben.

Bereits vorliegende Einwilligungen für Bild- und Tonaufnahmen können in der Regel nicht verwendet werden, da sie meist andere Verarbeitungszwecke betreffen (beispielsweise die Erstellung von Erklärvideos, Aufnahmen im Sportunterricht zur Bewegungsanalyse oder das Training von Bewerbungsgesprächen).

Einwilligungen, die im Rahmen der Lehrkräfteausbildung für Bild- und Tonaufnahmen eingeholt werden, sind daher stets als sogenannte anlassbezogene Einwilligungen zu verstehen.

Beispiele, wie der Zweck beschrieben werden kann:

zur Nachbesprechung im Fachseminar, d.h. mit anderen Lehramtsanwärterinnen und -anwärtern.
zur Nachbesprechung mit dem Fachleiter und/ oder Hauptseminarleiter
zur Auswertung der Unterrichtsstunde für die Staatsarbeit mit Entnahme von Einzelbildern zur Illustration

Formulierungen bezüglich einer Veröffentlichung

Die Aufnahmen werden nur dem beschriebenen Personenkreis zu den genannten Zwecken zugänglich gemacht. Diese Personen werden vorab auf ihre Verschwiegenheitspflicht hingewiesen. Eine Veröffentlichung in anderer Form wird nicht erfolgen.
Beispielformulierungen bezüglich der Löschung/ Aufbewahrung
Die angefertigten Aufnahmen werden nur solange aufbewahrt, bis der Verarbeitungszweck erreicht ist. Danach werden die Aufnahmen vollständig gelöscht.

Hinweise zu den Aufnahmegeräten

Aufzeichnungen sollten nach Möglichkeit mit von der Schule gestellten Endgeräten vorgenommen werden. Sollen Aufnahmen mit privaten Endgeräten erfolgen oder mit Geräten des ZfSL, so ist dafür vorab eine Genehmigung der Schulleitung einzuholen, sofern es sich dabei um Datenverarbeitungsgeräte (Tablet, Smartphone, …) handelt. Bei Camcordern, Digitalkameras mit Videofunktion, Audiorekordern, die nicht mit Online-Funktionen des Herstellers zur Datenspeicherung oder Nachbearbeitung gekoppelt sind, braucht es diese Genehmigung nicht. Wird ein privates oder ZfSL eigenes digitales Endgerät für die Anfertigung der Bild- und Tonaufnahmen genutzt, ist sicherzustellen, dass die Aufnahmen nicht in eine Cloud synchronisiert/ gesichert werden, die nicht von der Schule zu diesem Zweck bereitgestellt wird.

Vorlage für eine Einwilligung

Die folgende Vorlage geht davon aus, dass eine Einwilligung für Videoaufnahmen im Unterricht eines/ einer Lehramtsanwärter/in eingeholt werden soll. Sie gilt für ein Schuljahr, eine Person und ein Fach und ist in einfacher Sprache gehalten.³

Einwilligung Schüler – einfache Sprache – Videos – Lehrkräfteausbildung.docx

Stand 07/2025

Ist die Nutzung von nicht vom Schulträger zur Verfügung gestellten Plattformen illegal?

Lesezeit: 8 Minuten

In der 18. Kalenderwoche 2024 ging Schulen im Zuständigkeitsbereich der Bezirksregierung Arnsberg ein Schreiben zu, welches dort für sehr viel Kopfzerbrechen sorgte. Das Schreiben ist die späte Folge eines Falles, bei welchem ein Vater gegen die Nutzung von Google Workspace for Education an einem Dortmunder Gymnasium geklagt hatte und damit durch alle Instanzen bis vor das Oberverwaltungsgericht NRW gegangen war. Das Verfahren endete im Juli 2023 mit einer Selbstverpflichtung der BR Arnsberg, der betreffenden Schule die Nutzung der Plattform zu untersagen. Schon zu der Zeit machte man sich bei der BR Arnsberg Gedanken, welche Konsequenzen der Beschluss des Senats aus drei Richtern über die eine Schule hinaus haben könnte oder auch müsste.

Das Verfahren vor dem OVG

Zur Erinnerung: die Richter hatten sich nicht mit der möglicherweise nicht bestehenden DS-GVO Konformität von Google Workspace for Education befasst, die Klagegrund des Vaters gewesen war, sondern zogen sich auf Verwaltungsrecht zurück und stellten fest, dass die Schule die Plattform gar nicht hätte nutzen dürfen, da sie ihr nicht gem. § 79 SchulG NRW vom Schulträger zur Verfügung gestellt worden war und die Schule dem Schulträger auch nicht die Datenschutzkonformität nachgewiesen hatte. Damit war der Fall für die drei Richter erledigt. Sie hatten bei ihren Überlegungen auch festgestellt, dass der Schulträger bei der Auswahl einer Plattform dafür Sorge tragen muss, dass sie datenschutzkonform nutzbar ist. Sollten Schüler oder Eltern Zweifel an der Datenschutzkonformität hegen, müsse der Schulträger den Nachweis führen. Letzteres sorgte in der Fachwelt für Aufsehen, da die Richter hier dem Schulträger eine Verantwortung zusprachen, welche laut Schulgesetz NRW bei der Schulleitung liegt.¹ Interessanterweise hatte das OVG aber auch beschrieben, dass die Schule bzw. Schulleitung es versäumt hatte, dem Datenschutzbeauftragten des Schulträgers “den mit Google konkret abgeschlossenen „Vertrag zur Auftragsbearbeitung“ und das „Verzeichnis der Verarbeitungstätigkeiten“ zur Prüfung vorzulegen, um die Datenschutzkonformität nachzuweisen.²

Das Schreiben der BR Arnsberg

Das Schreiben vom 02.05.2024 richtet sich an die Schulleitungen der öffentlichen Schulen im Regierungsbezirk Arnsberg und hat den Betreff Nutzung von Lehr- und Lernmanagementsystemen sowie Arbeits- und Kommunikationsplattformen in digitaler Form. Es wird auf das 16. Schulrechtsänderungsgesetz verwiesen, sowie § 8 Abs. 2 SchulG NRW sowie § 79 SchulG NRW. Aus diesen beiden folge:

“Die Einführung und Nutzung anderer als von dem Schulträger bereitgestellter digitaler Lehr- und Lernmanagementsystemen sowie Arbeits- und Kommunikationsplattformen widerspricht den schulrechtlichen Vorschriften und ist somit rechtswidrig.”

Und dieses gelte auch für Lehr- und Lernmanagementsystemen sowie Arbeits- und Kommunikationsplattformen, die bereits vor März 2022 “eigenständig von der Schule eingeführt” worden seien, da die Einführung der neuen Regelung in § 8 Abs. 2 SchulG NRW “lediglich eine klarstellende Funktion” habe.

Die Bezirksregierung begründet ihr Vorgehen damit, dass “die Umstellung […] zur rechtlichen Absicherung der bisherigen Praxis und zur Erfüllung des Bildungsauftrags zwingend notwendig” sei.

Es erfolgt dann noch einmal klar und deutlich, welche Konsequenz sich für Schulen daraus ergibt: “Ich weise darauf hin, dass die Nutzung anderer als vom Schulträger bereitgestellten digitalen Lehr- und Lernmanagementsysteme sowie Arbeits- und Kommunikationsplattformen einzustellen ist und ein Wechsel zu den bereitgestellten Systemen und Plattformen des Schulträgers oder zu LOGINEO NRW zu erfolgen hat.”

Es wird dann eine Frist zum Umstellung auf vom Schulträger bereitgestellte Plattformen gesetzt, die zu Beginn des Schuljahres 2024/25 endet. Um Härten zu vermeiden, soll “Schülern sowie den Lehrkräften jedoch ein Zugriff auf die Daten in den bisher genutzten Lehr- und Lernmanagementsysteme bzw. Arbeits- und Kommunikationsplattformen bis zum Ende des Schuljahres 2024/2025 ermöglicht werden.”

Was bedeutet das für die Praxis?

Das Schreiben hat, wenn Schulen es konsequent umsetzen, enorme Folgen. Das sieht man auch bei der Bezirksregierung: “Mir ist bewusst, dass diese Umstellung mit einem erheblichen Arbeitsaufwand und weitreichenden Veränderungen der innerschulischen Organisation verbunden sein kann.”

Es stellt sich jedoch eine Frage: Schießt die Bezirksregierung hier nicht deutlich über das Ziel hinaus?

Schaut man sich das 16. Schulrechtsänderungsgesetz und die Begründungen zum Entwurf dazu an, dann geht dort aus keiner Formulierung hervor, dass man im MSB mit der Ergänzung von § 8 Abs. 2 SchulG NRW eine Klarstellung bezüglich zuvor eingeführter Plattformen beabsichtigte. Vielmehr ging es dem Land darum, den schulischen Einsatz digitaler Lehr- und Lernsysteme sowie digitaler Arbeits- und Kommunikationsplattformen gesetzlich zu verankern. Durch die Ergänzung von § 65 Abs. 2 Nr. 6 und § 120 Abs. 5 Satz 2 wurde dann aufbauend auf dieser Rechtsnorm die Möglichkeit geschaffen, vom Schulträger vorgeschlagene Lehr- und Lernsysteme sowie digitale Arbeits- und Kommunikationsplattformen zu einer verpflichtenden Nutzung an der Schule einzuführen. In der Erläuterung hob der Gesetzgeber hervor, dass diese Entscheidungsbefugnis der Schulkonferenz sich nicht auf vor Inkrafttreten des 16. Schulrechtsänderungsgesetzes eingeführte Plattformen erstreckte.

Auf den Punkt gebracht, ging es dem Gesetzgeber beim 16. Schulrechtsänderungsgesetz mit Blick auf Digitalisierung vor allem um eines:

Den Erfordernissen der Zeit folgend, auch mit Blick auf die Erfahrungen während der Corona Pandemie, wollte man Schulen eine Rechtsgrundlage geben, welche ihnen die Möglichkeit gibt, zwei der wichtigsten Kategorien von digitalen Plattformen zukünftig auch ohne die rechtlich ohnehin umstrittenen Einwilligungen³zu nutzen.

Weder im 16. Schulrechtsänderungsgesetz noch in den Begründungen zum Entwurf des Gesetzes findet sich irgendein Hinweis darauf, dass man damit die Nutzung von zuvor eigenständig beschafften Plattformen für illegal erklären wollte. Es wurde lediglich deutlich gemacht, dass die Entscheidungsbefugnis der Schulkonferenz sich zum einen nur auf Plattformen der genannten Kategorien beschränkt, welche vom Schulträger zur Nutzung vorgeschlagen wurden, und dass sie sich nicht auf zuvor angeschaffte Plattformen erstreckt. Eine “klarstellende Funktion“, welche die Bezirksregierung Arnsberg in der Aufnahme der neuen Regelungen ins Schulgesetz sieht, ist aus keiner Formulierung in den Begründung zum Entwurf des Schulrechtsänderungsgesetzes herleitbar.

Der Senat des OVG hatte extra ausgeführt, dass die Schule dem Schulträger bzw. seinem Datenschutzbeauftragten die Datenschutzkonformität nicht durch Vorlage eines Verfahrensverzeichnisses und des Vertrags zur Auftragsverarbeitung mit Google nachgewiesen hatte.⁴ Warum wurde das von den Richtern aufgenommen? Wäre die Nutzung durch die Schule rechtmäßig gewesen, hätten sie dem Schulträger die Datenschutzkonformität nachgewiesen? Möglicherweise sahen die Richter dies als eine Option, wie der Schulträger seiner ihm vom Senat zugeschriebenen Verantwortung bezüglich der Datenschutzkonformität von in der Schule genutzten Plattformen nachkommen und damit in die Bereitstellung eingebunden werden kann.

In der Bezirksregierung Arnsberg hatte man nach dem Verfahren vor dem OVG NRW festgestellt, dass auch die Beantragung von Logineo NRW nicht mit dem Schulgesetz vereinbar sei, da hier die Schule die Beauftragung starte und den Schulträger in diesem Prozess informieren muss. Dies, so die BR Arnsberg müsse genau anders herum sein. Folgt man der Argumentation der Bezirksregierung in ihrem Schreiben an die Schulleitungen, müssen diese auch die Nutzung von Logineo NRW in der gesetzten Frist einstellen, da sie rechtswidrig ist. Oder ist durch die Einbindung des Schulträgers die Einführung dann nicht mehr “eigenständig“? Und welche Rolle spielt es, dass die Plattform der Schule genau genommen durch das Land zur Verfügung gestellt wird?

Schulen nutzen heute viele Plattformen und Apps, die je nach Nutzungsszenario auch personenbezogene Daten verarbeiten können. Dazu gehören auch kostenlose Apps und Plattformen. Einige der kostenlosen Plattformen werden von Anbietern mit eingeschränkten Funktionen zur Verfügung gestellt. Einen Vertrag zur Auftragsverarbeitung können Schulen aber trotzdem abschließen. Die Finanzmittel des Schulträgers braucht es hier nicht. Mitunter finanziert der Förderverein der Schule eine Plattform, da der Schulträger die Mittel nicht hat, oder eine Firma sponsert die Schule. Einige Schulen nutzen von Firmen gespendete Hardware, etwa Laptops oder Tablets.

An vielen Schulen erfolgt der Kauf von Apps für iPads im VPP Store durch Lehrkräfte, da man so schnell und unbürokratisch entscheiden kann. Gibt es Angebote, die nur einen Tag gültig sind, kann so schnell gehandelt werden. Das Budget für den VPP Store stellt der Schulträger bereit. Eine Kontrolle, welche Apps erworben werden, findet nicht statt. Kaufen die Schulen damit die Apps “eigenständig” oder nicht?

Was können Schulen tun?

In der Regel stimmen sich Schulen mit ihrem Schulträger ab, bevor sie aus ihrem eigenen Etat eine digitale Plattform beschaffen. Das ist sinnvoll, da viele Schulen auf technische und administrative Unterstützung durch den Schulträger oder einen beauftragten Dienstleister angewiesen sind. Selbst wenn die Schule die Administration selbst übernimmt, ist der Schulträger in den meisten Fällen im Bild. Das gilt auch, wenn der Förderverein oder ein Sponsor der Schule Hardware oder eine Plattform zur Verfügung stellt. Mitunter kann ein Schulträger seinen Schulen keine zusätzlichen Finanzmittel für die Beschaffung einer Plattform bereitstellen und gibt der Schule zu verstehen, dass sie das aus eigenen Mitteln leisten muss. Das Geld der Schule stammt ohnehin vom Schulträger und wurde der Schule als Etat zugewiesen. Auch wenn bei Schulen immer noch eine Trennung über innere und äußere Angelegenheiten erfolgt, ist der Schulträger letztlich Eigentümer, auch von Dingen, welche eine Schule aus ihrem Etat bezahlt hat. Zusammenfassend kann man feststellen, dass Schulen nur selten “eigenständig” handeln, wenn sie eine Plattform oder ein System aus ihrem Etat beschaffen oder von anderer Seite zur Verfügung gestellt bekommen. Der Schulträger ist nahezu immer zumindest informiert, häufig aber auch beteiligt. Von daher kann man davon ausgehen, dass Schulen, wenn überhaupt, nur sehr wenige Systeme oder Plattformen tatsächlich eigenständig eingeführt haben und nutzen. Zudem kann man davon ausgehen, dass solange ein Schulträger informiert war und anschließend keine Einwände äußerte, er damit der Schule seine stillschweigende Zustimmung erteilt hat.

Damit war die Einführung und ist die Nutzung der meisten Systeme und Plattformen auch nicht rechtswidrig im Sinne der Auffassung der BR Arnsberg, und sie fallen somit auch nicht unter die im Schreiben gesetzte Frist.

Wie schon im Beitrag zum 16. Schulrechtsänderungsgesetz erläutert, kann die Schulkonferenz erst seit Inkrafttreten der neuen gesetzlichen Regelung in § 65 Abs. 2 Nr. 6 über vom Schulträger vorgeschlagene Systeme und Plattformen entscheiden. Über bereits vorher eingeführte Systeme und Plattformen kann die Schulkonferenz nicht entscheiden. Entsprechend heißt es in den Erläuterungen zum Entwurf des 16. Schulrechtsänderungsgesetzes bezüglich des Rahmens, in welchem die Schulkonferenz über vom Schulträger vorgeschlagene Systeme entscheiden kann: “Die Schulkonferenz kann allerdings nur in dem Rahmen entscheiden, den der Schulträger bereitstellt. Dabei wirkt die Schulkonferenz an der Entscheidung mit, wenn ein Vorschlag seitens des Schulträgers unterbreitet wird, d.h. neue Systeme und Plattformen eingeführt oder wesentlich verändert werden. Auf bisher existierende und bereits genutzte Systeme und Plattformen erstreckt sich die Entscheidungsbefugnis nicht.”

Das ist mit Blick auf bereits vorher eingeführte Systeme und Plattformen ungünstig, vor allem wenn diese sonst alle Voraussetzungen mitbringen und man ihre Nutzung gerne verpflichtend machen möchte. Die Logineo NRW Plattformen sind ein gutes Beispiel dafür. Aufgrund der Dienstvereinbarungen mit den Hauptpersonalräten ist ihre Nutzung bisher nur mit Einwilligung, d.h. auf freiwilliger Basis möglich. Diese Regelung wird aber ziemlich sicher irgendwann, wenn MSB und Hauptpersonalräte sich einigen können, entfallen. Wie im Zitat aus der Begründung zum Gesetzesentwurf deutlich wird, war sich der Gesetzgeber bewusst, dass es eine Möglichkeit geben muss, § 65 Abs. 2 Nr. 6 auch auf bereits bestehende Plattformen (wie Logineo NRW) anwenden zu können. Diese Möglichkeit eröffnet sich durch die wesentliche Veränderung.

Eine wesentliche Veränderung kann bei einem System oder einer Plattform sein, wenn Funktionen hinzukommen oder entfallen, es ein größeres Update gibt, durch welches sich die Funktionsweise der Plattform verändert, der Anbieter die Nutzungsbedingungen und/ oder Datenschutzbestimmungen verändert, sich die Art der Nutzung verändert, neue Nutzergruppen hinzukommen und ähnlich.

Fazit

Das Schreiben der BR Arnsberg vertritt eine Auslegung der Regelungen, welche mit dem 16. Schulrechtsänderungsgesetz eingeführt wurden, die extrem restriktiv ist und deren Herleitung für den Autoren dieser Seite nicht nachvollziehbar ist. In seinen Formulierungen ist das Schreiben nicht weit von einer dienstlichen Anweisung entfernt. Stattdessen wird darauf hingewiesen, “dass die Nutzung anderer als vom Schulträger bereitgestellten digitalen Lehr- und Lernmanagementsysteme sowie Arbeits- und Kommunikationsplattformen einzustellen ist und ein Wechsel zu den bereitgestellten Systemen und Plattformen des Schulträgers oder zu LOGINEO NRW zu erfolgen hat.”

Blickt man genauer auf die in Schulen aktuell genutzten Systeme und Plattformen, welche eine Schule nicht unmittelbar vom Schulträger zur Verfügung gestellt wurden, so kann man davon ausgehen, dass diese nur selten tatsächlich eigenständig von den Schulen eingeführt wurden. Darüber hinaus besteht die Möglichkeit, die Schulkonferenz entscheiden zu lassen, wenn es an einem bereits genutzten System oder einer bereits genutzten Plattform zu wesentlichen Veränderungen kommt. Der Schulträger muss der Schulkonferenz dann einen entsprechenden Vorschlag zur Nutzung unterbreiten.

Anlage: Vorschlag zur Nutzung digitaler Plattformen und Software gemäß Schulgesetz NRW.docx⁵

Was heißt das alles jetzt eigentlich für den Schulträger?

Müssen Schulträger jetzt für jede App und Plattform, welche sie einer ihrer Schulen zur Nutzung vorschlagen wollen, eine umfangreiche Datenschutzprüfung in Auftrag geben? Davon ist ziemlich sicher nicht auszugehen. Es sollte reichen, wenn sich die behördlich bestellten schulischen Datenschutzbeauftragten die Plattform ansehen und eine einfache Bewertung vornehmen. Mit Recherche findet man oftmals bereits Hinweise aus anderen Quellen, ob eine Plattform datenschutzfreundlich nutzbar ist oder nicht. Wenn ein anderes Bundesland eine Plattform offiziell seinen Schulen bereitstellt, wie etwa itslearning in Baden Württemberg, HPI Schul-Cloud in Brandenburg, fobizz in Rheinland-Pfalz, Mecklenburg-Vorpommern und Sachsen oder bettermarks in Rheinland-Pfalz, Niedersachsen, Berlin und Bremen, kann man sich als Schulträger daran orientieren. Handelt es sich um eine Plattform, die über Vidis vermittelt wird, kann sich der Schulträger darauf verlassen, dass eine Datenschutzprüfung vor Aufnahme erfolgt ist. Zu den Informationen, welche ausgewertet werden sollten, gehören natürlich auch die Dokumentation des Anbieters und seine Zusicherung der DS-GVO Konformität. Bezüglich dieser Aussagen eines Anbieters kann man dann auf das OLG Karlsruhe, Beschluss vom 07.09.2022 – 15 Verg 8/22 verweisen. Der Beschluss sagt, dass solange es keine konkreten Anhaltspunkte dafür gibt, dass die vertraglichen Zusagen des Anbieters zweifelhaft sind, ein öffentlicher Auftragsgeber auch nicht gehalten ist, durch Einholung ergänzende Informationen die Erfüllbarkeit des Leistungsversprechens beziehungsweise die hinreichende Leistungsfähigkeit des Bieters (meint hier einen Anbieter, der einen Auftrag zur Bereitstellung einer Plattform haben will) zu prüfen. Zu dem Leistungsversprechen gehört auch die Zusage, dass man DS-GVO konform sei. – https://openjur.de/u/2449559.html. Mancher Schulträger mag sich an der Stelle vielleicht fragen, ob er Garantien für den Datenschutz übernimmt? Angenommen es kommt erneut zu einem Fall, der dem vor dem OVG vergleichbar ist, und der Schulträger müsste darlegen, ob und wie er vorab oder auch im Nachhinein geprüft hat, ob die Plattform datenschutzrechtlich unbedenklich ist. Das Gericht muss letztlich akzeptieren, was der Schulträger angibt, wenn dieser vorgegangen ist, wie zuvor beschrieben, zumal weder das Schulgesetz noch ein anderes Recht dem Schulträger konkret eine datenschutzrechtliche Verantwortung zuschreibt, wie dieses die Richter des Senats des OVG getan haben.

August 7, 2023

Erprobungsstufenkonferenz

Lesezeit: 2 Minuten

In Grundschulen kommt immer wieder die Frage auf, welche Informationen weiterführenden Schulen über die ehemaligen Schülerinnen und Schüler gegeben werden dürfen.

Es gilt wie überall die Grundregel, dass eine Schule die personenbezogenen Daten der Schülerinnen und Schüler nur Personen zugänglich machen darf, sofern es dafür eine Rechtsgrundlage im Schulgesetz NRW gibt oder die Betroffenen, hier die Eltern der Grundschülerinnen und Schüler, der Übermittlung zuvor zugestimmt haben.

Für die Weitergabe an weiterführende Schulen gibt es eine wichtige Rechtsgrundlage, die es Grundschulen erlaubt, Daten ihrer ehemaligen Schülerinnen und Schüler preiszugeben. Das ist § 10 Abs. 4 Ausbildungs- und Prüfungsordnung Sekundarstufe I – APO-S I (BASS 13-21 Nr. 1.1):

“Für Zusammensetzung, Stimmberechtigung und Verfahren der Erprobungsstufenkonferenzen gilt § 50 Absatz 2 Schulgesetz NRW. Den Vorsitz führt die Schulleiterin oder der Schulleiter oder eine mit Koordinierungsaufgaben beauftragte Lehrkraft. Die Lehrkräfte, die die Schülerin oder den Schüler in der Grundschule unterrichtet haben, können an den Erprobungsstufenkonferenzen teilnehmen.”

Während der zweijährigen Erprobungsstufe, Klasse 5 und 6, finden gem. § 10 Abs. 3 APO-SI jährlich drei sogenannte Erprobungsstufenkonferenzen statt. In diesen wird “über die individuelle Entwicklung der Schülerin oder des Schülers, über etwaige Schwierigkeiten, deren Ursachen und mögliche Wege zu ihrer Überwindung und über besondere Fördermöglichkeiten beraten.”

Um hier optimal beraten zu können, werden zu einer der ersten Erprobungsstufenkonferenzen in der Regel auch die ehemaligen Lehrerinnen und Lehrer der Schülerinnen und Schüler an der Grundschule eingeladen, denn diese kennen die Kinder meist schon über einen längeren Zeitraum. Auf der Grundlage von § 10 Abs. 4 APO-SI könnten sich die Lehrkräfte der weiterführenden Schule deshalb mit ihren Kolleginnen und Kollegen aus der Grundschule über die einzelnen Kinder austauschen, soweit es um Noten, konkrete Probleme, bewährte Strategien, ein Kind zu unterstützen und ähnlich geht. Die Grenzen des Austauschs setzt wie immer auch hier § 120 Abs. 1 Satz 2 SchulG NRW, wonach die gespeicherten personenbezogenen Daten in der Schule nur den Personen zugänglich gemacht werden dürfen, die sie für die Erfüllung ihrer Aufgaben benötigen. Hier geht es dann konkret um die Aufgabenerfüllung der Erprobungsstufenkonferenz. Entsprechend heißt es im Wingen Kommentar zu Schulgesetz:

“Die Grundschullehrkräfte dürfen personenbezogenen Angaben ihrer früheren Schülerin oder ihres ehemaligen Schülers in der Erprobungsstufenkonferenz an die anderen Mitglieder (nur) übermitteln, soweit diese Angaben zur Aufgabenerfüllung der Konferenz erforderlich sind.”¹

Streng genommen bedeutet das auch, dass bei Anwesenheit von Lehrkräften verschiedener Grundschulen in einer Erprobungsstufenkonferenz kein Austausch über einzelne Schülerinnen und Schüler zulässig ist. Es kann dann nur über allgemeine Probleme und Maßnahmen gesprochen werden. Soll über einzelne Schülerinnen und Schüler gesprochen werden, müssen die Gespräche auf die zuständigen Personen begrenzt werden. In einem größeren Raum lässt sich dieses beispielsweise umsetzen, in dem die Grundschullehrkräfte einzelne Tische erhalten und dort dann von den Lehrkräften der weiterführenden Schule, die nun die ehemaligen Schülerinnen und Schüler unterrichten, besucht werden können.

Die Beschränkung des Austauschs über Kinder auf die zur Aufgabenerfüllung der Konferenz erforderlichen Daten bedeutet darüber hinaus, dass es über Kinder, die in der Erprobungsstufe keine Probleme haben, diesen Austausch eben nicht gibt.

Dass auch die Grundschullehrkräfte bei der Teilnahme an der Erprobungsstufe Informationen über ihre ehemaligen Schülerinnen und Schüler erhalten, liegt in der Natur der Sache.

Stand 08/2023

Oktober 7, 2022Oktober 17, 2022

LDI NRW Schrift zu Unterricht und Datenschutz – Oktober 2022

Lesezeit: 10 Minuten

Die Schrift Digitaler Unterricht in Schulen – Der Grundstein ist gelegt der LDI NRW ist ein wichtiges Dokument für Schulen, da es nicht nur den aktuellen Rechtsrahmen für die Verarbeitung von personenbezogenen Daten von Schülern und Lehrkräften im Unterricht und die rechtlichen Zuständigkeiten der verschiedenen beteiligten Stellen beschreibt, sondern auch, weil es eine Kommentierung einschließt. Angesprochen wird auch die Nutzung von Online-Plattformen wie Microsoft 365.

Datenverarbeitung durch den Schulträger

Im ersten Teil der Schrift werden die verschiedenen Zuständigkeiten der mit dem System Schule und der dort stattfindenden Datenverarbeitung befassten Stellen beschrieben, beginnend mit der Schulleitung und den schulischen Datenschutzbeauftragten, fortgeführt mit der Zuständigkeit des Schulträgers und des Schulministeriums und abschließend mit der eigenen Rolle, die der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW (LDI NRW) hierzu kommt. Von besonderem Interesse ist in diesem Abschnitt die Stelle, in welcher es um den Schulträger geht. Dieser ist, im Gegensatz zur Schulleitung, die für innere Angelegenheiten zuständig ist, und damit Verantwortlicher für die Verarbeitung von personenbezogenen Daten in der Schule selbst, für die äußeren Angelegenheiten zuständig. Bezüglich des Schulträgers und seiner Zuständigkeit für die Verarbeitung von personenbezogenen Daten im Zusammenhang mit Schule, stellt die Aufsichtsbehörde fest:

“Soweit die Schulträger im Zusammenhang mit diesen äußeren Schulangelegenheiten personenbezogene Daten verarbeiten, sind sie als datenschutzrechtlich Verantwortliche anzusehen.”

“… diesen äußeren Schulangelegtenheiten” bezieht sich hier auf § 79 Abs. 1 SchulG NRW.

“„Die Schulträger sind verpflichtet, die für einen ordnungsgemäßen Unterricht erforderlichen Schulanlagen, Gebäude, Einrichtungen und Lehrmittel bereitzustellen und zu unterhalten sowie das für die Schulverwaltung notwendige Personal und eine am allgemeinen Stand der Technik und Informationstechnologie orientierte Sachausstattung zur Verfügung zu stellen.“

Das heißt, der Schulträger darf personenbezogene Daten im Zusammenhang mit diesen äußeren Angelegenheiten verarbeiten und gilt dann als Verantwortlicher. In den meisten Fällen tritt der Schulträger eher als Auftragsverarbeiter auf, etwa wenn er administrative Aufgaben für die Schule in einer schulischen Plattform übernimmt oder bei Support- und Wartungsaufgaben durch kommunale Mitarbeiter, bei denen diese mit Plattformen oder Hardware zu tun haben, mit welchen personenbezogene Daten der Schule verarbeitet werden oder auch durch die Bereitstellung einer Person, die in kommunalen Diensten steht, für das Schulsekretariat.

Ein Fall, in welchem der Schulträger selbst Verantwortlicher sein kann, wäre beispielsweise der Verleih von Dienstgeräten an Lehrkräfte im Rahmen der Ausstattungsinitiative des Bundes und des Landes. In der Richtlinie über die Förderung von dienstlichen Endgeräten für Lehrkräfte an Schulen in Nordrhein-Westfalen wird beispielsweise geschrieben, dass der Schulträger die Geräte entsprechend verwalten muss.

Die Einwilligung im Zusammenhang mit Unterricht

Im zweiten großen Abschnitt geht es um die rechtlichen Rahmenbedingungen der Datenverarbeitung durch die Schule als verantwortlicher Stelle. Hier sind neben den Rechtsgrundlagen aus der DS-GVO und dem DSG NRW vor allem die spezialgesetzlichen Regelungen des Schulgesetzes NRW und die anhängigen Verordnungen zur Datenverarbeitung relevant. Die Schrift geht an dieser Stelle auch auf die Problematik der Einwilligung im Zusammenhang mit dem Unterricht ein und kommt zu dem Schluss:

“Für Schulen kann die Einwilligung im Zusammenhang mit dem Unterrichtsgeschehen regelmäßig keine Rechtsgrundlage für die Datenverarbeitung bieten. Wesentlich für eine wirksame Einwilligung ist, dass sie freiwillig erteilt wird. Diese Freiwilligkeit ist in aller Regel bei Datenverarbeitungen, die
den digitalen Unterricht ermöglichen sollen, nicht gegeben, weil die Schüler*innen
am Unterricht teilnehmen müssen und keine freie Wahl haben.”

Diese drei Sätze sagen mehr, als auf den ersten Blick offensichtlich. Es wird damit nicht gesagt, dass die Verarbeitung von personenbezogenen Daten im Zusammenhang mit dem Unterrichtsgeschehen nicht auch auf der Rechtsgrundlage eine Einwilligung erfolgen kann. Die Einwilligung ist jedoch je nach Zusammenhang problematisch, da sie nur dann rechtswirksam ist, wenn sie freiwillig erteilt wird und das ist sehr häufig (“in aller Regel”) nicht der Fall, da Schüler verpflichtet sind, am Unterricht teilzunehmen. Wenn im Unterricht beispielsweise eine Plattform genutzt werden soll, über welche Schülerinnen und Schüler zusammenarbeiten, ihre Aufgaben erhalten und Lernprodukte erstellen und abgeben, und zur Nutzung dieser Plattform eine Einwilligung erforderlich ist, dann kann davon ausgegangen werden, dass eine Freiwilligkeit hier nicht mehr gegeben ist. Eine Freiwilligkeit würde gleichwertige Alternativen voraussetzen. Diese im Fall einer solchen Plattform zu schaffen, ist so gut wie unmöglich. Das gleiche wäre der Fall, wenn die Klasse an einem Online-Tool , dessen Nutzung eine Einwilligung voraussetzt, gemeinsam ein Wissensnetzwerk erstellen soll. Alle Schüler sollen einen Beitrag erstellen und mit anderen Beiträgen vernetzen. Die Lehrkraft will anschließend die Beiträge bewerten. Von Freiwilligkeit kann hier zumindest im Sinne von Datenschutzrecht nicht mehr ausgegangen werden. Entsprechend heißt es in der Schrift etwas weiter im Text:

“Werden Daten von Schüler*innen im Zusammenhang mit digitalem Unterricht erhoben, ist es den Schüler*innen oder deren Eltern in aller Regel nicht möglich, sich frei und ohne Nachteile für die Schüler*innen gegen die Verarbeitung ihrer Daten zu entscheiden, weil sie ansonsten von der Nutzung der konkreten Anwendung und damit zumindest teilweise vom Unterricht ausgeschlossen wären.” Auch hier wird noch einmal ausgedrückt, dass eine freie Entscheidung in sehr vielen Fällen (“in aller Regel”) nicht möglich sein wird.

Anders gestaltet sich das jedoch, wenn die Nutzung einer Plattform oder die Aufnahme und Verwendung von Medien eine Option ist, um im Unterricht an einem Projekt zu arbeiten. Dann haben Schülerinnen und Schüler die Möglichkeit zu wählen und sind nicht gezwungen, eine Plattform zu nutzen oder beispielsweise Tonaufnahmen von sich selbst anzufertigen. Das bedeutet letztlich, man muss im Zusammenhang mit Unterricht sehr genau überlegen, ob eine Einwilligung möglich ist. Die Landesplattform Logineo NRW LMS setzt mit Stand von Oktober 2022 eine Einwilligung zwingend voraus. Das bedeutet, es ist schwierig, Unterricht auf dieser Plattform abzubilden und Schulen stoßen dann an ihre Grenzen, wenn einzelne Mitglieder in der Lerngruppe hier Ihre Einwilligung verweigern oder widerrufen.

Was für die Einwilligung für Schülerinnen und Schüler gilt, das gilt selbstredend auch für Lehrkräfte in gleicher Weise. Abschließend fasst die Schrift zum Thema Einwilligung kurz zusammen, unter welchen Voraussetzungen die Einwilligung als Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten in der Schule genutzt werden kann.

“Eine Einwilligung kann nur dann eine Rechtsgrundlage für die Datenverarbeitung sein, wenn sich die Betroffenen frei von sozialem Druck oder Zwang für oder gegen die Verarbeitung ihrer personenbezogenen Daten entscheiden können.” Bei der Verarbeitung von personenbezogenen Daten etwa zur Öffentlichkeitsarbeit oder in anderen Zusammenhängen außerhalb des Unterrichts kann die Einwilligung durchaus ein Rechtsgrundlage bieten.

Datenverarbeitung zur Aufgabenerfüllung

Der Teil der Schrift, welcher sich mit den Rechtsgrundlagen zur Datenverarbeitung durch die Schule auseinandersetzt, welche sich aus der DS-GVO und dem nationalen Recht ergeben, endet mit einem Hinweis darauf, dass ich die Datenverarbeitung für den Einsatz digitaler Unterrichtsanwendungen an der Erfordernis zur Aufgabenerfüllung der Schule orientieren muss.

“Schulen müssen immer betrachten, welche Aufgabe sie zu erfüllen haben und welche Datenverarbeitungen dafür erforderlich sind. Schwierigkeiten bereiten in der Regel Anwendungen, die neben den für schulische Zwecke erforderlichen Datenverarbeitungen von den Anbietern voreingestellte Datenverarbeitungen vorsehen, die nicht den schulischen Zwecken dienen. Lassen sich diese Voreinstellungen nicht durch die Schule abstellen, sind diese Anwendungen für den digitalen Unterricht nicht geeignet.”

Nicht zur Aufgabenerfüllung erforderliche Datenverarbeitungen in einer unterrichtlich genutzten Plattform sind vielfach problematisch und können, wenn sie sich nicht innerhalb der Plattform deaktivieren lassen, dazu führen, dass eine solche Plattform im Unterricht nicht genutzt werden kann. Zu den nicht für schulische Zwecke erforderlichen Datenverarbeitungen könnten beispielsweise Telemetriedaten zählen, welche personenbezogene oder -beziehbare Daten beinhalten. In einer Plattform wie der Offline Version von Microsoft Office lassen sich diese beispielsweise durch einen Administrator komplett deaktivieren, wie auch weitere Datenflüsse zu Servern von Microsoft. In der Open Source Videokonferenz Plattform BigBlueButton gibt es mittlerweile eine Funktion zur Überwachung der Aktivität von Teilnehmern an einer Videokonferenz. Die Nutzung davon ist nicht für die Aufgabenerfüllung der Schule erforderlich. Sie kann deaktiviert werden, wodurch die Plattform weiterhin für die Anwendung im Unterricht geeignet ist.

Auftragsverarbeitung und Drittstaatentransfer

Diese beiden Anforderungen werden recht kurz und knapp unter den weiteren Anforderungen behandelt, welche von Schulen bei der Verarbeitung von personenbezogenen Daten beachtet werden müssen. Bei Auftragsverarbeitern muss die Schule sicherstellen, dass personenbezogenen Daten nur auf ihre Weisung und zu ihren Zwecken verarbeitet werden und die Vertraulichkeit im Zusammenhang mit der Verarbeitung sichergestellt ist. Dieses ist bisher gerade im Zusammenhang mit der Nutzung von Microsoft 365 nach Einschätzung der Aufsichtsbehörden ein Problem gewesen, da Microsoft sich in den Vertragsbedingungen das Recht einräumte, personenbezogene oder -beziehbare Daten auch zu eigenen Zwecken (interne Abrechnungszwecke) zu verarbeiten. Das Thema Drittstaatentransfer wird nur kurz umrissen und es wird auf weitere Schriften der Aufsichtsbehörde verwiesen. Nach Einschätzung der Aufsichtsbehörde liegt ein Drittstaatentransfer nicht nur dann vor, wenn der Auftragsverarbeiter oder Produkthersteller personenbezogene Daten in Drittländer übermittelt, etwa zu Wartungs- oder Support-Zwecken, sondern auch “wenn der Dienstleister oder dessen Auftragnehmer aus dem Drittland heraus auf in der EU gehaltene Daten zugreift.” Bei großen US-amerikanischen Anbietern ist dieses über viele Jahre gängige Praxis gewesen. Einige Anbieter sind mittlerweile dabei, dieses zu ändern.¹

Datenschutzbeauftragte und Personalvertretung

Einen kurzen Hinweis gibt es bezüglich der Verarbeitung der personenbezogenen Daten von Lehrkräften, wenn dabei Rückschlüsse auf das Verhalten und die Leistung der Lehrkräfte möglich ist. In einem solchen Fall sind die behördlichen Datenschutzbeauftragten wie auch die Personalvertretung mit einzubeziehen, um den Rechten der Lehrkräfte Rechnung zu tragen.

Lehrer- und Schülergeräte

Hier greift die Schrift die Regelungen zu Dienstgeräten und Ausnahmen für die Nutzung von privaten Endgeräten für die Verarbeitung von personenbezogenen Daten aus der Schule auf, welche auf die Anregungen der Aufsichtsbehörde selbst zurückgehen und diese weitestgehend umsetzen. Bezüglich der Nutzung von digitalen Endgeräten durch Schülerinnen und Schüler für Unterrichtszwecke kommt man bei der Aufsichtsbehörde zum Schluss, dass verpflichtende Regelungen zur Nutzung digitaler Endgeräte nur möglich sind, wenn Schülerinnen und Schüler mit diesen ausgestattet werden und keine privaten Geräte zum Einsatz kommen.

Ein Punkt, der etwas ausführlicher behandelt wird, ist die Möglichkeit zur Überwachung der Bildschirme von Schüler Geräten. Nach Einschätzung der Aufsichtsbehörde ist solches durchaus zulässig, auch die Aufnahme des Bildschirm Inhaltes in Form eines Screenrecording, wenn dieses “zur Wahrnehmung ihres Bildungs- und Erziehungsauftrags erforderlich ist,” und “beispielsweise zum Nachweis einer unzulässigen Nutzung des Geräts im Unterricht” dient. Betroffene müssen über das Bestehen dieser Möglichkeiten vorab informiert werden. [Etwas problematisch an dieser Stelle ist, dass diese Funktionen Mobile Device Management Systemen (MDM) zugeschrieben werden, was sachlich so nicht korrekt ist, da diese Systeme zur Verwaltung von Endgeräten derartige Funktionen nicht beinhalten. Bei iOS lassen sich derartige Funktionen nur über Apple Classroom nutzen. Intune das MDM von Microsoft benötigt für eine solche Funktion die Integration eines zusätzlichen Dienstes wie TeamViewer.]²

Digitale Systeme für den Unterricht

Dieser dritte große Teil der Schrift ist besonders interessant, weil hier auch Neuerungen im Datenschutzrecht beschrieben werden. Zunächst einmal wird darauf hingewiesen, dass Betroffenen immer klar sein muss, ob die Nutzung einer Plattform für sie verpflichtend oder freiwillig ist. Wie zuvor an verschiedenen Stellen beschrieben dürfen Schulen zur Verarbeitung von personenbezogenen Daten nur Produkte einsetzen, die sich datenschutzkonform, auch in Bezug auf die Sicherheit der Verarbeitung, nutzen lassen. Hier ist die Schule nun in der Pflicht, dieses zu prüfen. Schulen, die diesen recht hohen Aufwand nicht erbringen können, werden auf die Angebote des Landes verwiesen.

Rechtliche Änderungen gibt es bei der Nutzung von Videokonferenz Plattformen. Seit Inkrafttreten des Telekommunikationsgesetzes (TKG) und Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) Ende 2021 gelten “gegen Entgelt erbrachte Videokonferenzsysteme grundsätzlich als Tele- kommunikationsdienste.” Dadurch verändern sich rechtliche Verantwortlichkeiten. War die Schule bisher auch für die Verarbeitung von Metadaten wie der IP Adressen, Browserdaten, die übertragenen Datenmengen und Betriebssysteminformationen von Teilnehmern verantwortliche Stelle, so geht hier jetzt die Verantwortung auf den Anbieter der Videokonferenz Plattform über. Geschäftsmäßig erbrachte Videokonferenz Dienste unterliegen hier dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Inhalte von Videokonferenzen, Daten für Nutzerkonten oder die Einladung von Teilnehmern via E-Mail, in einer Videokonferenz mitlaufende Chats und gemeinsam bearbeitete Online Whiteboards, die Speicherung von Chats oder sonstige Verarbeitung, datenschutzfreundliche Voreinstellungen und ähnlich unterliegen wie bisher der Verantwortung der Schule. Zuständig ist hier in Bezug auf die Datenschutzkontrolle auch weiterhin die LDI NRW.

Im Folgenden beschreibt die Schrift dann den rechtlichen Rahmen für die Nutzung von Videokonferenz Plattformen, wie er sich auf dem SchulG NRW ergibt. Dabei geht es auch um die Unzulässigkeit der Teilnahme von Dritten, etwa Familienangehörigen, am Unterrichtsgeschehen per Videokonferenz, und der Aufzeichnung von Unterricht auf diesem Wege ohne eine vorliegende Einwilligung der Betroffenen. Kurz beschrieben werden auch die Bedingungen für die Verpflichtung von Schülern, die Kamera während einer Videokonferenz einzuschalten, das Streamen von Unterricht und der Einsatz sogenannter Telepräsenzroboter. Letzteren widmet die Schrift fast zwei ganze Seiten, um den Einsatz dieser Systeme rechtlich einzuordnen und Schulen Handlungsempfehlungen zu geben. Bevor es dann um datenschutzfreundliche Voreinstellungen für Videokonferenz Plattformen geht, werden noch Elternsprechtage per Videokonferenz in einem Exkurs behandelt. Da es aus dem Schulgesetz NRW keine Rechtsgrundlage für die Verarbeitung der dafür erforderlichen personenbezogenen Daten gibt, braucht es hier von Seiten der Eltern eine Einwilligung. Bei dieser sieht die Aufsichtsbehörde keine Bedenken, da sie nicht im Zusammenhang mit dem Unterrichtsgeschehen steht und Eltern immer auch die Alternative haben, zu telefonieren und oder persönlich in die Schule zu kommen.

Der letzte Abschnitt des dritten Teils der Schrift behandelt Messenger. Auch diese fallen wie gegen Entgelt erbrachte Videokonferenz Dienste unter Telekommunikationsdienste und entsprechend fallen hier die Metadaten unter die Verantwortlichkeit der Anbieter und die Inhalte sowie die zur Herstellung einer Verbindung erforderlichen Daten in die Zuständigkeit der Schule. “Messengerdienste, die im Zusammenhang mit der Herstellung der Kommunikation Daten verarbeiten, die für die Erbringung der Telekommunikationsleistung nicht erforderlich sind, sind für den Einsatz in Schulen nicht geeignet.” ist eine klare Ansage, durch welche etwa Messenger Dienste wie WhatsApp, welche die Adressbuchdaten der Teilnehmer mit den Servern des Anbieters abgleichen und dabei Daten unbeteiligter Dritter ohne deren Einwilligung übermitteln, für eine schulische Nutzung ausscheiden, “da die Schule ansonsten die Verarbeitung von personenbezogenen Daten veranlasst, die über das für ihre Aufgabenwahrnehmung erforderliche Maß im Sinne von §§ 120 Abs. 5, 121 Abs. 1 Satz 1 SchulG hinausgeht.”³

Die Schrift schließt mit einem Ausblick und Erwartungen für die Zukunft. Besonders interessant ist dabei der Teil, in welchem es um die aktuell von vielen Schulen genutzten Plattformen großer US-amerikanischer Anbieter geht. Auch wenn im Text keine Produktnamen genannt werden, ist klar, dass es vor allem um Microsoft 365 geht. Was gesagt wird, gilt jedoch auch für Google Workspace for Education und vergleichbare Produkte.

“In der pandemiebedingten Ausnahmesituation eingesetzte Lösungen, die nicht datenschutzkonform waren, sind nun von den Verantwortlichen anzupassen oder auszutauschen, wenn sie dauerhaft zum Einsatz kommen. Hier sind die Verantwortlichen gefordert, sobald wie möglich ein den aktuellen Umständen angemessenes Schutzniveau zu gewährleisten. Die LDI NRW setzt hierbei schwerpunktmäßig auf Überzeugungsarbeit bei den Verantwortlichen, nicht auf Untersagungen und Verbote. Selbstverständlich behalten wir uns vor, in Einzelfällen auch prüfend und kontrollierend tätig zu werden.”

Die Aufsichtsbehörde erwartet von den Schulen, dass sie die während der Notsituation in der Pandemie kurzfristig beschafften Lösungen wie Microsoft 365 und Teams entweder so anpassen, dass die Verarbeitung von personenbezogenen Daten mit einem angemessene Schutzniveau erfolgt oder, wenn ihnen dieses nicht möglich ist die Nutzung dieser Plattformen einstellen. Dabei räumt sie den Verantwortlichen in Schule ein wenig Spielraum ein. Einmal wird eine zeitliche Vorgabe gemacht, “sobald wie möglich” und dann wird die Angemessenheit des Schutzniveaus an den “aktuellen Umständen” orientiert. Letzteres heißt aber auch, wenn man davon ausgeht, dass die Umstände sich mittlerweile weitestgehend normalisiert haben, dass dann auch beim Schutzniveau keine Abstriche mehr gemacht werden sollten. Anders als einige andere Aufsichtsbehörden setzt die LDI NRW weniger auf Druck durch Untersagungen und Verbote als auf “Überzeugungsarbeit bei den Verantwortlichen.” Wie diese genau aussehen wird, bleibt dabei offen. Es ist zu erwarten, dass die Aufsichtsbehörde sich in Kürze zu Microsoft 365 und der Nutzung für den Unterricht äußern wird. Das dürfte frühestens im November erfolgen, wenn die Arbeitsgruppe der Datenschutzkonferenz erneut darüber abstimmen wird, ob die Plattform bezüglich des von Microsoft bereitgestellten Vertragswerks datenschutzkonform genutzt werden kann. Auch wenn die Aufsichtsbehörde Veränderungen durch Überzeugungsarbeit erreichen möchte, so behält sie sich Prüfungen und Kontrollen vor. Diese sollen jedoch auf Einzelfälle beschränkt bleiben. Darin unterscheidet sie sich nicht von den anderen Aufsichtsbehörden, die ebenfalls angekündigt haben, bei Beschwerden tätig werden.

Mit Blick auf die Zukunft schaut die Schrift auf Projekte, welche an datenschutzrechtlichen Zertifizierungen für Plattformanbieter im Bildungsbereich arbeiten. Derartige Zertifizierung sollten Verantwortlichen zukünftig eine Entlastung bescheren, da sie dann nicht selbst vor der Herausforderung stehen, Plattformen beurteilen zu müssen.

Fazit

Mit der Schrift Digitaler Unterricht in Schulen – Der Grundstein ist gelegt hat die Aufsichtsbehörde eine für Schulen hilfreiche Zusammenstellung der datenschutzrechtlichen Grundlagen für die Arbeit mit digitalen Plattformen im Unterricht und darüber hinaus geschaffen. Sie greift dabei die entscheidenden Passagen aus den zugrunde liegenden Rechtstexten auf und erläutert diese näher. Lesern sollte klar sein, dass es sich dabei um die Lesart der Aufsichtsbehörde handelt. Andere Lesarten können durchaus möglich sein. orientiert man sich an dir der Aufsichtsbehörde, ist man jedoch in der Regel auf der sicheren Seite. Mit dem zweiten Teil des Titels “Der Grundstein ist gelegt” macht die Aufsichtsbehörde klar, dass mit den neu geschaffenen datenschutzrechtlichen Regelungen im Schulgesetz und den anhängigen Verordnungen nun ein Fundament umgelegt ist, auf welchem man zukünftig aufbauen kann. Vor den Beteiligten liegt also noch einige Arbeit. Das schließt auch den Gesetzgeber mit ein, denn es ist, wie Beispiele aus anderen Bundesländern zeigen, durchaus möglich, die Erfordernis für Einwilligungen durch zusätzliche Rechtsgrundlagen weiter zu reduzieren. Ein Beispiel hierfür wäre die pädagogische Nutzung von Bild und Tonaufnahmen für den Unterricht.

Stand 10/2022

September 12, 2022September 13, 2022

Entschuldigungen – Aufbewahrungspflicht

Lesezeit: 3 Minuten

Personenbezogene Daten, welche in der Schule verarbeitet werden, unterliegen Aufbewahrungs- und Löschpflichten. Diese sind in § 9 VO-DV I (BASS 10-44 Nr. 2.1), die Schülerinnen und Schüler und Erziehungsberechtigten betreffend geregelt und in § 9 VO-DV II (10 – 41 Nr. 6.1), die Lehrkräfte betreffend.

Vertiefende Informationen zum Thema Aufbewahrungs- und Löschfristen, einschließlich eines Löschkonzeptes, finden sich im Beitrag “Aufbewahrungsfrist abgelaufen – und jetzt?“

Im § 9 Abs. 1 Nr. 4 VO-DV I findet sich der folgende Eintrag

4. alle übrigen Daten

5 Jahre

Während unter den Nummern 1 – 3 die Datenkategorien, um die es geht, genau bezeichnet sind, heißt es in Nr. 4 einfach nur “alle übrigen Daten.” Das meint dann alle Daten, die nicht unter den Nummern 1 – 3 aufgeführt worden sind. Doch bedeutet “alle” wirklich alle?

Die Antwort lautet, ja. Sofern es sich nicht um Kopien handelt, sind auch Daten, die nicht zu den Kategorien der Nummern 1 – 3 gehören, aufzubewahren, dann jedoch nur 5 Jahre, gerechnet ab Ende des Kalenderjahres, in welchem die “Akten oder Dateien abgeschlossen worden sind jedoch nicht vor Ablauf des Kalenderjahres, in dem die Schulpflicht endet, sofern nichts anderes bestimmt ist.”

Entschuldigungen

Fehlt ein Kind in der Schule aus Krankheitsgründen, sind die Eltern gem. BASS 12-51 Nr. 1 Nr. 2.2 verpflichtet, dieses schriftlich zu entschuldigen. Gibt es von Seiten der Schule begründete Zweifel, kann diese ein ärztliches Attest einfordern.¹

Doch gehören Entschuldigungen und Atteste zu “alle übrigen Daten”? An verschiedenen Stellen wird die Ansicht vertreten, dass dem nicht so ist. Fehlzeiten werden von der Schule mit entschuldigt/ unentschuldigt im Klassen- oder Kursbuch dokumentiert und dann gem. § 49 SchulG NRW als entschuldigte und unentschuldigte Fehlzeiten im Zeugnis zum Halbjahr und zum Schuljahresende aufgenommen. Sobald nach 30 Tagen die Widerspruchsfrist endet, so die von diesen Stellen vertretene Ansicht, können die Entschuldigungen vernichtet werden.

Das ist so nicht richtig. Entschuldigungen gehören zu Nr. 4 “alle übrigen Daten”, wie in BASS 12-51 Nr. 5 Überwachung der Schulpflicht unter Nr. 3 nachzulesen ist. Dort heißt es:

“Fehlzeiten sind als Organisations- bzw. Schullaufbahndaten sowie als Leistungsdaten in das Schülerstammblatt aufzunehmen (§ 4 Absatz 2 in Verbindung mit Anlage 1 VO-DV I). Fehlzeiten sind zudem in Klassenbüchern und Kursheften anzugeben, die gemäß § 4 Absatz 5 VO-DV I in Verbindung mit Anlage 2 als obligatorische Dokumentation zum sonstigen Datenbestand zählen. Dies gilt auch für schriftliche Entschuldigungen und vorgelegte Atteste als Teil der Schülerakte (Schülerbegleitmappe). Schriftliche Entschuldigungen und Atteste sind übrige Daten im Sinne von § 9 Absatz 1 Nummer 4 VO-DV I. Die Aufbewahrungsfrist beträgt 5 Jahre.“

Entschuldigungen und Atteste müssen also aufbewahrt werden. Zumindest Entschuldigungen können jedoch digitalisiert und in Form einer PDF Datei aufbewahrt werden. Für Atteste besteht diese Möglichkeit nicht, da sie von digitalen Verarbeitung gem. VO-DV I ausgenommen sind.²

Berechnung der Aufbewahrungsfristen

Bei korrekter Umsetzung der Aufbewahrungsfristen für “alle übrigen Daten” gem. § 9 Nr. 1 Satz 2 “Die Aufbewahrungsfristen beginnen mit Ablauf des Kalenderjahres, in dem die Akten oder Dateien abgeschlossen worden sind, jedoch nicht vor Ablauf des Kalenderjahres, in dem die Schulpflicht endet, sofern nichts anderes bestimmt ist.” bewahrt eine Grundschule Entschuldigungen und Atteste dann 13 – 15 Jahre auf. Ein Beispiel:

Schüler A verlässt die Grundschule nach 4 Jahren Schulbesuch im Sommer 2022. Die Schulpflicht beträgt in der Primarstufe und der Sekundarstufe I (Vollzeitschulpflicht) gem. § 37 SchulG NRW in der Regel zehn Schuljahre.³ Die Grundschule rechnet nun 6 Jahre hinzu und kommt so auf den Sommer 2028, in welchem die Schulpflicht von Schüler A endet. Die Aufbewahrungsfrist von 5 Jahren beginnt jedoch erst nach Ende des Kalenderjahres, in dem die Schulpflicht endet, in diesem Fall also ab dem 01.01.2029. Damit muss die Grundschule die Entschuldigungen und Atteste von Schüler A bis zum Ende des Kalenderjahres 2033 Aufbewahren und kann sie dann im Januar 2034 datenschutzgerecht löschen bzw. vernichten.

April 8, 2022

Austausch Grundschule und Kinderarzt

Lesezeit: < 1 Minute

Liegen bei Schülerinnen und Schülern gesundheitliche Beeinträchtigungen vor, welche die schulische Entwicklung des Kindes unter Umständen beeinträchtigen, kann es sinnvoll sein, wenn die Grundschule eine Möglichkeit erhält, sich mit dem das Kind behandelnden Kinderarzt bzw. seiner Kinderärztin auszutauschen, um das pädagogische Handeln abzustimmen.

Beide Seiten, Schule wie auch Kinderärzte, sind jedoch der Schweigepflicht unterworfen und dürfen keine Informationen miteinander austauschen, auch wenn das sinnvoll und im Sinne des Kindes wäre. Die rechtliche Grundlage für einen Informationsaustausch ist eine Schweigepflichtentbindung durch die Erziehungsberechtigten. Sie ermöglicht, falls gewünscht, den Austausch in beide Richtungen. Die folgende Vorlage ist hierfür gedacht und entsprechend anpassbar.

Entbindung von der Schweigepflicht – Kinderarzt.docx

Weitere Informationen zum Thema Schweigepflicht im Gegensatz zu Datenschutz finde sich im Beitrag Datenschutz und Schweigepflicht.

März 28, 2022März 22, 2023

FAQ – Einsatz von digitalen Plattformen ab März 2022

Lesezeit: 7 Minuten

Mit dem 16. Schulrechtsänderungsgesetz von Februar 2022 haben sich bezüglich des Einsatzes von digitalen Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen zur Erfüllung des Bildungs- und Erziehungsauftrags an Schulen in NRW grundlegend verändert. Im Beitrag 16. Schulrechtsänderungsgesetz und Datenschutz werden diese Möglichkeiten ausführlich erläutert. Einige Fragen werden nach der Lektüre dieses Beitrags offen bleiben. In dieser FAQ sollen häufige Fragen deshalb beantwortet werden. Viele Fragen der praktischen Umsetzung werden sich vermutlich erst mit der Zeit klären. An einigen Stellen werden möglicherweise ergänzende Erlasse oder sogar Entscheidungen von Verwaltungsgerichten für Klärung sorgen müssen.

Ist bei jeder Einführung einer digitalen Plattform im Sinne von § 8 Satz 2 eine Beteiligung gemäß LPVG erforderlich?

Im LPVG NRW heißt es in § 72 Satz 3 Nr. 2 “(3) Der Personalrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, mitzubestimmen in Rationalisierungs-, Technologie- und Organisationsangelegenheiten bei
1. …
2. Einführung, Anwendung und Erweiterung technischer Einrichtungen, es sei denn, dass deren Eignung zur Überwachung des Verhaltens oder der Leistung der Beschäftigten ausgeschlossen ist,”

Es hängt demnach von der jeweiligen Plattform ab, ob diese mitbestimmungspflichtig durch den Personalrat ist. Sind deren Funktionen nicht geeignet Verhalten oder Leistung von Lehrkräften zu überwachen, unterliegt die Plattform nicht der Mitbestimmung gem. LPVG. Die Logineo NRW Plattformen sind mitbestimmt, da sie viele solche Möglichkeiten bieten. Man wird davon ausgehen können, dass vor allem große Plattformen wie eine NextCloud oder IServ mitbestimmungspflichtig sind, vor allem wenn sie auch für Abbildung schulinterner Organisationsabläufe genutzt werden. Hingegen sollten Plattformen wie Antolin oder Anton, die unter Lehr und Lernsysteme gem. § 8 Satz 2 SchulG NRW fallen sollten, keine Möglichkeiten bieten, Aufschluss über das Nutzerverhalten von Lehrkräften zu gewinnen. Gleiches sollte auch für ein TaskCards gelten. Die Frage ist hier jedoch immer auch, wie weit man “Eignung zur Überwachung des Verhaltens oder der Leistung” fasst. Reicht es, wenn die Schulleitung die Anzahl der durch eine Lehrkraft erstellten Taskcards einsehen kann?

Man kann als Faustregel für die Abschätzung, ob eine Mitbestimmungspflicht vorliegt oder nicht, nehmen: je komplexer eine Plattform ist, desto wahrscheinlicher ist es, dass sie mitbestimmungspflichtig ist. Gleiches gilt auch, wenn sie für die Abbildung schulinterner Verwaltungs- und Organisationsprozesse durch Lehrkräfte genutzt wird. Einfachere Plattformen, in denen vor allem die Schülerinnen und Schüler im Mittelpunkt stehen, sollten tendenziell seltener der Mitbestimmungspflicht unterliegen.

Siehe auch Datenschutz & Mitbestimmung.

Können auch Microsoft 365 und Teams auf der neuen Rechtsgrundlage eingeführt werden?

Diese Frage dürfte viele Schulen bewegen. Mit Stand von November 2022 wird die DS-GVO Konformität von Microsoft 365 von den Aufsichtsbehörden angezweifelt. Die kurze Antwort ist deshalb: solange eine Schule nicht in der Lage ist nachzuweisen, dass die Verarbeitung von personenbezogenen Daten bei der Nutzung von Microsoft 365 durch Schüler und Lehrkräfte DS-GVO konform möglich ist, ist auch eine Nutzung auf der Grundlage von § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW nicht möglich. Die Verarbeitung von personenbezogenen Daten setzt deshalb weiterhin eine Einwilligung der Betroffenen voraus.¹

Das Thema Microsoft 365 ist in Bewegung. Sogar die Kultusminister Konferenz engagiert sich jetzt mit Unterstützung einer Arbeitsgruppe der Datenschutzkonferenz. Bis Ende 2022 wird Microsoft alle Telemetriedaten ausschließlich in der EU Verarbeiten. Aber noch gibt es den CLOUD-Act, der kritisch gesehen wird, und Microsoft räumt sich in den Datenschutzbestimmungen das Recht ein, einige personenbezogene oder -beziehbare Daten für eigene Zwecke zu verarbeiten. Das wird von Aufsichtsbehörden als nicht DS-GVO konform eingestuft. Das heißt Abwarten – noch ist nichts verloren.

Die Aussagen zu Microsoft 365 lassen sich auch auf Google Workspace for Education übertragen. In den Niederlanden ist eine datenschutzkonforme Nutzung an Schulen mit Billigung der dortigen obersten Aufsichtsbehörde bereits möglich. Hier müssen Aufsichtsbehörden von Schulen erst noch davon überzeugt werden.

Was gilt für MNSPro Cloud?

MNSpro Cloud von der Firma AIXConcept besteht aus zwei Teilen, MNSpro und Microsoft 365. Für beide werden getrennte Verträge zur Auftragsverarbeitung abgeschlossen. Während man das von AIXConcept erstellte und betriebene MNSpro auf der Rechtsgrundlage der neuen Regelungen einführen können sollte, gilt für die angedockten Microsoft 365 Tenant, was zuvor schon für Microsoft 365 gesagt wurde.

Was ist bei IServ zu beachten?

IServ ist ein deutscher Anbieter und die Plattform lässt sich DS-GVO konform nutzen, egal ob es sich um die klassische on premise Lösung mit Server im Schulkeller oder beim Schulträger handelt oder um die vom Anbieter gehostete “Cloud” Version. Die Plattform bringt damit alle Voraussetzungen für eine verpflichtende Nutzung mit. Zu regeln ist die Nutzung des Profils, denn hier können schulische Nutzer persönliche Informationen einstellen, die über für den Unterricht erforderliche Daten hinausgehen. Die einfachste Lösung für Schulen ist die komplette Deaktivierung des Profils. Möchte eine Schule die Nutzung des Profils zulassen, sollte eine Nutzungsvereinbarung erstellt werden, welche das Füllen des Profils davon abhängig macht, ob Nutzer zuvor eine Einwilligung in die Verarbeitung der dort eingetragenen Daten erteilt haben. Die im Download Bereich zur Verfügung gestellte Einwilligung mit Informationen zur Datenverarbeitung gem. Art. 13 DS-GVO für IServ kann eine verpflichtende Nutzung umgearbeitet werden.

Wie sieht es mit itslearning aus?

Die aus Norwegen kommenden Plattform, sollte bezüglich der eigentlichen Kernplattform im Sinne der neuen Regelungen des SchulG NRW nutzbar sein. In Bremen ist itslearning sogar mitbestimmt (siehe Dienstvereinbarung zu der Lernplattform „itslearning“). Ein Problem stellt jedoch das integrierte Microsoft Office dar. Dieses Office speichert zwar die erstellten Word, Excel und PowerPoint Dokumente auf den itslearning Servern, braucht jedoch zur Bearbeitung in der Plattform die Online-Office Dienste von Microsoft, und deren DS-GVO Konformität wird angezweifelt. In Baden Württemberg, erhalten Schulen itslearning über das Schulministerium, aus den genannten Gründen allerdings ohne Freischaltung der (Microsoft) Office Komponente, wie im 21. Tätigkeitsbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden Württemberg nachzulesen ist. Integriert man stattdessen ein im Auftrag betriebenes Collabora Office oder Only Office, sollte eine Nutzung von itslearning komplett nach den neuen Regelungen möglich sein.

Kann Moodle auf der neuen Rechtsgrundlage verpflichtend genutzt werden?

Anders als zur Zeit bei Logineo NRW LMS, dem Landes Moodle, steht einer Nutzung von Moodle außerhalb der Landeslösung nichts entgegen. Da Logineo NRW LMS mitbestimmt ist, sollte eine Mitbestimmung gem. LPVG NRW leicht zu erreichen sein. Das ist vor allem dann der Fall, wenn die Konfiguration sich an der der Landeslösung orientiert und keine zusätzlichen Plugins genutzt werden, welche ihrerseits durch ihre Funktionen mitbestimmungspflichtig sind.

Wie geht man mit den freiwillig eingebrachten Nutzerdaten um?

Hier gibt es nur eine sinnvolle Lösung. Per Nutzungsordnung muss die Nutzung für Inhalte, die in keinem Zusammenhang mit dem Unterricht bzw. bei Lehrkräften mit der Erfüllung der Aufgaben und der Durchführung von Unterricht stehen, untersagt werden. Diese Nutzungsordnung müssen Nutzer dann zur Kenntnis nehmen. Die Kenntnisnahme kann in verschiedener Form erfolgen. Bei Schülerinnen und Schülern wie auch Lehrkräften kann das eine Belehrung sein mit Hinweis, wo die Nutzungsordnung in schriftlicher Form nachzulesen ist. Es muss keine Online-Nutzungsordnung sein, die vor Freischaltung des Nutzerkontos per Setzen eines Häkchens zu quittieren ist.

Alternativ wäre vorstellbar, dass eine Plattform so eingestellt wird, dass Nutzer die Möglichkeit haben, in die Verarbeitung von personenbezogenen Daten, die über Unterricht bzw. bei Lehrkräften die Erfüllung der Aufgaben und die Durchführung von Unterricht hinausgehen, innerhalb der Plattform in den Nutzereinstellungen einzuwilligen. Zusätzliche Funktionen, etwa zum Anlegen eines Nutzerprofils erscheinen nach er Einwilligung. Der Widerruf der Einwilligung und das Löschen der dort hinterlegten Daten sollten dort dann ebenfalls möglich sein.

Ist auch eine verpflichtende Nutzung von personenbezogenen Daten in einer digitalen Plattform möglich, die vor März 2022 an der Schule eingeführt wurde?

Wie aus den Erläuterungen im Gesetzesentwurf zum 16. Schulrechtsänderungsgesetz hervorgeht, lassen sich die neuen Regelungen auch auf bereits eingeführte Plattformen anwenden: “Dies schließt alle Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen im Sinne des § 8 Absatz 2 ein, die die Schule zur Erfüllung ihres Bildungs- und Erziehungsauftrags nutzt.” Auch die Formulierungen in § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW nehmen hier keine Eingrenzung auf Plattformen vor, die ausdrücklich auf der Grundlage § 8 Abs. 2 SchulG NRW einführt wurden. Bereits an Schulen genutzte Plattformen können, sofern sie die Vorgaben des SchulG NRW und der DS-GVO erfüllen, ebenfalls auf der Grundlage von § 120 Abs. 5 Satz 2 und 121 Abs. 1 Satz 2 SchulG NRW in Verbindung mit § 8 Abs. 2 genutzt werden.

Auch eine verpflichtende Nutzung ist möglich. Diese setzt einen Beschluss der Schulkonferenz gemäß § 65 Abs. 2 Nr. 6 voraus. Im Gesetzesentwurf weist das MSB darauf hin, dass die der Schulkonferenz dort eingeräumte Entscheidungsbefugnis nicht für bereits vor Inkrafttreten des 16. Schulrechtsänderungsgesetzes existierende und genutzte Systeme und Plattformen gilt. Das bedeutet, Schulen können nicht nachträglich über bereits genutzte Plattformen und Systeme entscheiden, sondern müssen einen Umweg gehen. Dafür bitten sie den Schulträger, der Schulkonferenz gegenüber zu erklären, dass er der Schule die jeweilige Plattform bzw. das jeweilige System bereitstellen möchte und zur Nutzung vorschlägt. Daraufhin entscheidet die Schulkonferenz über diesen Vorschlag zur Nutzung.

Eine Grundschule, die bereits LeseLudi, Antolin, ZahlenZorro oder ähnlich im Sinne des § 8 Absatz 2 nutzt, könnte die Nutzung dann umstellen und auf das Einholen einer Einwilligung zukünftig verzichten. Informationen gem. Art. 13 DS-GVO über die Datenverarbeitung bei der Nutzung sind jedoch weiterhin erforderlich.

Was, wenn für eine Plattform bereits Einwilligungen eingeholt/ erteilt wurden?

Verfügt eine Schule über eine Plattform, die sie bereits vor dem 16. Schulrechtsänderungsgesetz zur Erfüllung des Bildungs- und Erziehungsauftrags einsetzte, so dürften für die Verarbeitung von personenbezogenen Daten Einwilligungen von Schülern und Lehrkräften vorliegen. Die Schule kann Einwilligungen nicht von ihrer Seite aus aufheben. Sie haben also weiterhin Gültigkeit. Widerrufen Betroffene ihre Einwilligung, müssen der Zugang und die mit der Nutzung angefallenen personenbezogenen Daten der betroffenen Person gelöscht werden, da diese auf der Rechtsgrundlage Einwilligung verarbeitet wurden. Es könnte im Anschluss jedoch direkt ein neues Nutzerkonto erstellt werden, wenn die Schule die Plattform jetzt auf der Grundlage der neuen Regelungen nutzt. Die betroffene Person wäre dann sogar zu dessen Nutzung verpflichtet, wenn die dafür erforderlichen Voraussetzungen wie die Ausstattung mit einem Endgerät stimmen.

Können Schüler und Lehrkräfte zur Nutzung der Online Tools von kits.blog verpflichtet werden?

Leider ist das nicht möglich. Auch wenn die Tools des Niedersächsischen Landesinstituts für schulische Qualitätsentwicklung (NLQ) sehr datenschutzfreundlich sind, erfüllen sie die Vorgaben des SchulG NRW nicht, da mit dem NLQ kein Vertrag zur Auftragsverarbeitung abgeschlossen werden kann. Gleiches gilt auch für vergleichbare Plattformen, etwa von ZUM oder von eBildungslabor und ähnlich.

Wir haben keine 1:1 Ausstattung. Ist eine verpflichtende Nutzung damit unmöglich?

Nein, sie kann durchaus möglich sein. Es muss nur jedem Nutzer ein schulisches Endgerät zur Verfügung stehen. Das können auch die Tablets aus dem Tablet Koffer sein, den die Lerngruppe sich für ein Unterrichtsprojekt ausleiht. Viele Schulen haben noch PC Räume. Auch dort ist eine verpflichtende Nutzung durchaus umsetzbar. Weder in den neuen Regelungen des SchulG NRW, noch in den Erläuterungen zum Gesetzesentwurf gibt es Hinweise, dass die verpflichtende Nutzung ein persönliches digitales Endgerät voraussetzt.

Sollte es von Seiten der Leser Fragen geben, so schreiben Sie diese gerne in die Kommentare.

Februar 27, 2022Februar 27, 2022

Schulchronik – Änderungen VO-DV I & II

Lesezeit: 2 Minuten

Schulen in NRW führen in der Regel eine Schulchronik, in welcher Daten zur Schulgeschichte festgehalten werden. Welche Daten dazu unbefristet verarbeitet werden dürfen, regelten bisher § 9 Abs. 4 VO-DV I (Schüler:innen) und § 9 Abs. 5 VO-DV II (Lehrkräfte, Lehramtsanwärter:innen und sonstiges an Schulen tätiges Personal).

Aus der Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten vom Dezember 2021 ergeben sich auch wichtige Änderungen der zum Führen einer Schulchronik zulässigen personenbezogenen Daten. Da diese Änderungen zu einer starken Einschränkung der zulässigen Daten führen, entstand auch ein Regelungsbedarf bezüglich bereits bestehender historischer Schulchroniken.

Änderungen die Schüler:innen betreffend

Bezüglich der Schüler:innen ergibt sich durch die Änderung der Norm eine starke Einschränkung der zum Führen der Schulchronik zulässigen Daten. Außerdem wurde durch den Zusatz “nicht öffentlich” klargestellt, dass die Schulchronik ein internes Dokument ist.

Alte Fassung
§ 9 Abs. 4 VO-DV I
(4) Zur Führung der Schulchronik (Daten zur Schulgeschichte) dürfen Schulen die folgenden personenbezogenen Daten von Schülerinnen und Schülern zeitlich unbefristet verwenden:
1. Name, Geburtsname, Vorname, Geschlecht,
2. Geburtsdatum, Geburtsort, Geburtsland,
3. Anschrift,
4. Daten über die Dauer des Besuchs der Schule.

Neue Fassung
§ 9 Abs. 5 VO-DV I
(5) Zur Führung der nicht öffentlichen Schulchronik (Daten zur Schulgeschichte) dürfen Schulen die folgenden personenbezogenen Daten von Schülerinnen und Schülern zeitlich unbefristet verwenden:
1. Name, Vorname und
2. Jahr der Beendigung des Schulverhältnisses.“

Änderungen die Lehrkräfte betreffend

Bei den Lehrkräften, Lehramtsanwärtern und sonstigem an Schulen tätigen Personal fielen die Änderungen entsprechend aus. Auch hier wurden die zur Führung einer Schulchronik zulässigen personenbezogenen Daten deutlich eingeschränkt und der Zusatz “nicht öffentlich” ergänzt.

Alte Fassung
§ 9 Abs. 5 VO-DV II
(5) Zur Führung einer Schulchronik (Daten zur Schulgeschichte) dürfen Schulen die folgenden personenbezogenen Daten des Personenkreises nach § 1 Absatz 1 Nummer 1 bis 3 zeitlich unbefristet verwenden:
1. Name(n), Geburtsname, Vorname(n), Geschlecht,
2. Geburtsdatum, Geburtsort, Geburtsland,
3. Anschrift,
4. Daten über Art und Dauer der Beschäftigung an der Schule.

Neue Fassung
§ 9 Abs. 6 VO-DV II
(6) Zur Führung einer nicht öffentlichen Schulchronik (Daten zur Schulgeschichte) dürfen Schulen die folgenden personenbezogenen Daten des Personenkreises nach § 1 Absatz 1 Nummer 1 bis 3 zeitlich unbefristet verwenden:
1. Name(n), Vorname(n)
2. Daten über Art und Dauer der Beschäftigung an der Schule.

Wie aus der Kommentierung im Entwurf einer Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten auf den Seiten 15 und 23 zu entnehmen, gehen die Änderungen auf eine Einschätzung der LDI NRW zurück. Die LDI NRW hielt die bisherige Norm für missverständlich und irreführend, da sie Schulen zwar zur Führung der Chronik berechtige, nicht aber zu deren Veröffentlichung oder Einsichtnahme. Außerdem sah sie keinen hinreichenden Grund, dass Schulen auch sensible Daten wie Geburtsdatum, Geburtsort, Geburtsland und Anschrift zur Führung einer Schulchronik dauerhaft speichern. In Folge hatte die LDI NRW sogar angeregt, die Zulässigkeit zum Führen einer Schulchronik ersatzlos zu streichen.

Soweit ging man im MSB nicht. Stattdessen wurde der Umfang der zulässigen personenbezogenen Daten stark reduziert. Da Schulen in NRW bereits seit Jahrzehnten Chroniken führen, und diese Daten enthalten, deren Verarbeitung mit der Änderung von VO-DV I & II nicht mehr zulässig ist, entstand zusätzlicher Regelungsbedarf.

Für den Umgang mit den historischen Schulchroniken wurde in § 11 VO-DV I und § 11 VO-DV II eine jeweils wortgleiche Übergangsvorschrift geschaffen.

“Schulchroniken, die bei Inkrafttreten dieser Verordnung bereits bestehen, können mit den bisherigen Inhalten für schulinterne Zwecke aufbewahrt werden.”

Damit möchte man nun vermeiden, dass Schulen ihre bereits bestehenden historischen Schulchroniken vernichten oder schwärzen müssen. Die Übergangsregelung gibt Schulen damit die Möglichkeit, ihre bereits bestehenden Schulchroniken weiterhin aufzubewahren. Sie dürfen jedoch nur schulintern aufbewahrt werden. Eine Veröffentlichung ist damit ausgeschlossen. Wie aus der Kommentierung im Entwurf einer Verordnung zur Änderung von Verordnungen hervorgeht, ist man sich im MSB bewusst, dass diese Übergangsregelung mit Blick auf die Anregung der LDI NRW datenschutzrechtlich nicht unbedenklich ist. Entsprechend ist fraglich, ob diese Regelung auf Dauer Bestand haben wird. Vorstellbar wäre, dass Schulen in einer kommenden Änderung der Verordnungen zur Datenverarbeitung auch die Möglichkeit zur schulinternen Aufbewahrung genommen wird und sie dann nur noch die Wahl haben, die historischen Chroniken dem Archiv ihrer Kommune oder Stadt zu übergeben oder sie zu vernichten.

Januar 30, 2022Januar 30, 2022

Auswirkungen der geänderten VO-DV II auf Nutzung Privatgeräte

Lesezeit: < 1 Minute

Nicht nur durch die Änderung der VO-DV I ergeben sich Änderungen für die Nutzung von privaten Endgeräten zur Verarbeitung von personenbezogenen Daten aus der Schule zu dienstlichen Zwecken, sondern auch aus der Änderung der VO-DV II. Hier betreffen die Neuregelungen jedoch nicht Lehrkräfte generell, sondern nur die Personen, welche an Schulen und an den ZfsL Lehramtsanwärterinnen und Lehramtsanwärter sowie der Lehrkräfte und sonstigen Personen in Ausbildung betreuen und dabei deren personenbezogenen Daten verarbeiten. Ähnlich wie durch die Neuregelungen in der VO-DV I wird die Nutzung von Privatgeräten für diese Zwecke nun deutlich eingeschränkt, sobald ein Dienstgerät zur Verfügung gestellt bzw. ausgehändigt wurde. Aber die Regelungen geben auch Freiräume für begrenzte Ausnahmen. Als Bonbon findet sich in der VO-DV II sogar eine eingeschränkte Möglichkeit, wie Lehrkräfte dienstlich bekannte Daten von Lehrkräften, anderem Personal an Schule oder von Personen in Ausbildung ohne Genehmigung auf Privatgeräten verarbeiten dürfen. Details hierzu werden genauer erläutert unter Verarbeitung von personenbezogenen Daten auf dienstlichen und privaten Endgeräten – VO-DV II.