Auskunftsrecht und die Monatsfrist

Lesezeit: 8 Minuten

Die DS-GVO sichert Betroffenen mit Art. 15 das Recht zu, von Verantwortlichen jederzeit eine Bestätigung darüber zu verlangen, ob diese ihre Daten verarbeiten. Ist dies der Fall, steht den Betroffenen eine detaillierte Auskunft über die Verarbeitung ihrer personenbezogenen Daten sowie die Ausfertigung einer Datenkopie zu. Wie die Erfahrung vieler Schulen und auch Berichte in der Fachpresse zeigen, machen Betroffene zunehmend von diesem Recht Gebrauch.

Hintergrund des Auskunftsrechts ist es, Betroffenen eine Möglichkeit zu geben, ihr Recht auf informationelle Selbstbestimmung auszuüben. Können Betroffene sich einen Überblick über die Verarbeitung ihrer Daten verschaffen, dann haben sie in der Folge nicht nur die Möglichkeit die Rechtmäßigkeit der Verarbeitung zu überprüfen, sondern auch, von weiteren Betroffenenrechten Gebrauch zu machen – etwa eine Löschung, Berichtigung oder Einschränkung der Verarbeitung zu beantragen, einer Verarbeitung zu widersprechen, eine Einwilligung ganz oder in Teilen zu widerrufen oder sich bei einer Aufsichtsbehörde zu beschweren.

Machen Betroffene von ihrem Recht auf Auskunft Gebrauch, dann, so zeigt die Erfahrung ebenfalls, geht es im schulischen Alltag sehr oft weniger um das eigentliche Recht auf informationelle Selbstbestimmung. Häufig steht das Auskunftsbegehren im Kontext von tiefergehenden Auseinandersetzungen mit den Verantwortlichen, die völlig andere Hintergründe haben. Dies ändert aber nichts an der Tatsache, dass Verantwortliche dem Auskunftsbegehren nachkommen müssen.

Für Schulen ist die Beantwortung von Auskunftsersuchen keinesfalls eine Routineaufgabe. In der Regel müssen mehrere Personen eingebunden werden, um alle Bereiche der schulischen Datenverarbeitung lückenlos zu erfassen. Aus Unkenntnis der rechtlichen Vorgaben werden dabei häufig Fehler bei der Beantwortung gemacht.

Werden Anfragen in der Ferienzeit oder kurz davor gestellt, ist es für Schulen personell und organisatorisch kaum möglich, diese zeitnah und in vollem Umfang zu bearbeiten. Betroffene, die Auskunftsanfragen nutzen, um Schulen als Revanche für ein nach ihrem Empfinden erlittenes Unrecht unter Druck zu setzen, legen häufig besonderen Wert auf die strikte Einhaltung von Fristen. Manche setzen sogar eigenmächtig kürzere Fristen, wie dem Verfasser bekannte Fälle zeigen.

Ist das Verhältnis zwischen den Betroffenen und der Schule ohnehin schon angespannt, eskaliert die Situation durch eine solche Auskunftsanfrage schnell. Betroffene suchen dann häufig Unterstützung bei der zuständigen Aufsichtsbehörde. Diese fordert die Schule in der Folge zu einer Stellungnahme auf – insbesondere dazu, warum gesetzliche Fristen versäumt wurden und/oder warum die erteilte Auskunft unvollständig ist.

Und damit kommen wir zu den Fristen, um die es in diesem Beitrag gehen soll. Sehr häufig liest man, dass die Auskunftsanfrage innerhalb einer Monatsfrist beantwortet werden muss, beantwortet im Sinne von Auskunft erteilen gemäß Art. 15 DS-GVO.

Bei der LDI NRW geht man, wie einem Schreiben an eine Schule zu entnehmen ist, davon aus, dass Verantwortliche

“personelle und organisatorische Maßnahmen [ergreifen], die eine zügige Bearbeitung entsprechender Anträge ermöglichen, und [es ermöglichen, dass] Auskunftsansprüche betroffener Personen innerhalb der in Art. 12 Abs. 3 DS-GVO genannten Frist erfüllt werden.”

Auch auf der von der intersoft consulting betriebenen Website dsgvo-gesetz.de findet sich unter
Themen > Auskunftsrecht der betroffenen Person eine inhaltlich ähnliche Formulierung:

“Auskunftserteilungen müssen nach Art. 12 Abs. 3 DSGVO unverzüglich erfolgen, spätestens aber innerhalb eines Monats. Nur in begründeten Ausnahmefällen darf die Monatsfrist überschritten werden.”

Demnach müssen Verantwortliche innerhalb einer Frist von einem Monat eine Auskunftsanfrage nicht nur beantworten, sondern auch erfüllen, indem die angefragte Auskunft vollständig erteilt wird. Der oder die Betroffene erhält dabei alle Informationen gemäß Artikel 15 Abs. 1 DS-GVO sowie die dazugehörige Datenkopie.

Vergleichbare Aussagen zum Auskunftsrecht finden sich an sehr vielen anderen Stellen. Auch in den führenden Kommentaren zu Art. 12 Abs. 3 DS-GVO. In einem der Standardwerke grenzt man das Recht auf Auskunft (sowie das Recht auf Datenübertragbarkeit) bezüglich der Fristenumsetzung sogar ausdrücklich von den übrigen Betroffenenrechten ab:

“Bei den Auskunftsansprüchen der betroffenen Person aus Art. 15 und bei dem Recht auf Datenübertragbarkeit aus Art. 20 besteht die Positivantwort darin, dass der Verantwortliche der betroffenen Person die begehrten Informationen mitteilt bzw. Daten herausgibt. Bei den anderen Betroffenenrechten muss der Verantwortliche die betroffene Person darüber informieren, welche Maßnahmen er auf ihren Antrag hin ergriffen hat.”1Kühling/Buchner/Bäcker, 4. Aufl. 2024, DS-GVO Art. 12 Rn. 32, beck-online

Eine „Positivantwort“ meint in diesem Kontext, dass tatsächlich Daten zur betroffenen Person vorliegen und dem Auskunftsersuchen folglich inhaltlich nachgekommen werden muss. Der Kommentar verschärft diese Pflicht im nächsten Textabschnitt sogar noch weiter:

“Die Pflicht zur unverzüglichen Positivantwort impliziert, dass der Verantwortliche das Betroffenenrecht selbst gleichfalls unverzüglich zu erfüllen hat.”2Kühling/Buchner/Bäcker, 4. Aufl. 2024, DS-GVO Art. 12 Rn. 33, beck-online

Schaut man direkt in den angeführten Art. 12 Abs. 3 DS-GVO, dann findet sich dort besagte Monatsfrist mit der Möglichkeit, diese unter bestimmten Bedingungen zu verlängern. Art. 12 bezieht sich allgemein auf die Modalitäten für die Ausübung der Rechte der betroffenen Person. Es geht an dieser Stelle also nicht exklusiv um das Recht auf Auskunft, sondern um alle Betroffenenrechte. Für die Umsetzung der Rechte aus den Artikeln 15 bis 22 setzt die DS-GVO den Verantwortlichen eine feste zeitliche Frist und bildet damit eine einheitliche Klammer für alle Betroffenenrechte, egal ob Auskunft, Löschung oder Berichtigung.

“Der Verantwortliche stellt der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.”

Man findet innerhalb der in der Praxis regelmäßig referenzierten Vorgabe von Art. 12 Abs. 3 DS-GVO bei genauem Hinsehen keinen expliziten Hinweis darauf, dass innerhalb dieser Frist der Antrag der betroffenen Person bereits vollständig umgesetzt und final erfüllt sein muss. Die Vorgabe beschränkt sich laut Wortlaut auf eine reine Information über die ergriffenen Maßnahmen.

Im konkreten Fall eines Auskunftsersuchens könnte dies beispielsweise die Information an die betroffene Person sein, dass die entsprechenden Lehrkräfte oder Abteilungen mit der Zusammenstellung der Übersicht gemäß Art. 15 Abs. 1 DS-GVO beauftragt, die Vorbereitung der Datenkopie in die Wege geleitet sowie etwaige externe Auftragsverarbeiter (wie z. B. die Betreiber von Schulplattformen) für die Bereitstellung von Datenexporten kontaktiert wurden.

Das Auskunftsrecht beschäftigt nicht nur die Schulen und im Falle von Beschwerden auch die Aufsichtsbehörden. Es sorgt vielmehr auch für eine stetig wachsende Zahl von Verfahren vor den Gerichten, wobei das Auskunftsrecht, dies sei nebenbei bemerkt, auch hier von den betroffenen Personen häufig zweckentfremdet eingesetzt wird.

Anders als Aufsichtsbehörden haben Gerichte in Streitfällen das letzte Wort. Während in der Vergangenheit Gerichte bezüglich der zeitlichen Umsetzung des Auskunftsrechts überwiegend die Rechtsauffassung der Aufsichtsbehörden und Fachkommentare vertraten, gibt es mittlerweile auch Gerichte, welche näher am Wortlaut der DS-GVO entscheiden. Exemplarisch sollen hierzu ein Gerichtsurteil und ein Beschluss zum Auskunftsrecht wiedergegeben werden.

Das Verwaltungsgericht Osnabrück setzt sich in seinem Urteil vom 13.01.2026 – 7 A 6/24 detailliert mit der Frage der Fristen auseinander. Wie die Entscheidung deutlich macht, bricht das Gericht hier mit der oben beschriebenen Praxis der Aufsichtsbehörden. In der Urteilsbegründung heißt es:

“Nach Art. 12 Abs. 3 DS-GVO stellt der Verantwortliche (hier: die Beklagte) der betroffenen Person (hier: dem Kläger) Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.”

Damit wird der Wortlaut des Gesetzestextes von Art. 12 Abs. 3 DS-GVO unmittelbar wiedergegeben. Die Frist beginnt laut Urteilsbegründung mit dem Eingang des Antrags des Betroffenen beim Verantwortlichen. Muss der Verantwortliche erst die Identität des Betroffenen feststellen, beginnt die Frist, sobald diese zweifelsfrei festgestellt ist.

Lässt sich der Betroffene anwaltlich vertreten, was im Fall des Auskunftsrechts auch bei Schulen vorkommt, wie dem Verfasser bekannte Fälle belegen, dann beginnt die Frist, sobald die Originalvollmacht vorliegt, sofern der Verantwortliche eine solche verlangt.

Eine vergleichbare Auffassung vertritt auch das Verwaltungsgericht Düsseldorf in seinem Beschluss vom 5.9.2025 (29 K 6375/25). Die einmonatige Frist in Art. 12 Abs. 3 Satz 1 DS‑GVO betrifft nach Auffassung der Richter ausschließlich die Mitteilung über den Stand bzw. die ergriffenen Maßnahmen auf Antrag, nicht jedoch die tatsächliche Erfüllung der in den Art. 15 bis 22 DS‑GVO geregelten Rechte oder Ansprüche der betroffenen Person. Hierbei beruft es sich auf eine Reihe aktueller DS-GVO-Kommentare. 3Siehe auch https://beck-online.beck.de/Bcid/Y-300-Z-ZD-B-2026-S-116-N-1 (Link hinter Bezahlschranke)4 Hinweis: In früheren Auflagen einzelner der genannten DS‑GVO‑Kommentarwerke wird die vom Arbeitsgericht Duisburg vertretene Auffassung wiedergegeben Wortwörtlich heißt es so im Urteil:

Gemäß Art. 12 Abs. 3 Satz 1 DSGVO stellt der Verantwortliche der betroffenen Person Informationen über die auf Antrag gemäß den Artikeln 15 bis 22 ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung. Die Frist in Art. 12 Abs. 3 Satz 1 DSGVO bezieht sich lediglich auf die Statusmeldung über die auf Antrag ergriffenen Maßnahmen. Nicht normiert ist dadurch eine Frist zur Erfüllung der in Art. 15-22 DSGVO verankerten Rechte bzw. Ansprüche der betroffenen Person.

Wie kommt es zu den beiden unterschiedlichen Auslegungen?

Die Antwort liegt in der unterschiedlichen Herangehensweise an den Gesetzestext. Bei der Interpretation von Gesetzen nutzen Juristen verschiedene Auslegungsmethoden. Sie betrachten den reinen Wortlaut, den Sinn und Zweck einer Regelung, den geschichtlichen Hintergrund oder den systematischen Aufbau des Gesetzes. Der Unterschied in den Ergebnissen entsteht dadurch, welche dieser Methoden stärker gewichtet wird.

Die LDI NRW wie auch andere Aufsichtsbehörden und der oben zitierte Fachkommentar gewichten vor allem den Sinn und Zweck (die sogenannte teleologische Auslegung) am höchsten: Für sie steht der effektive und zügige Schutz der Betroffenen im Vordergrund. Wenn eine betroffene Person monatelang auf ihre Daten warten müsste, würde das Recht auf Auskunft in der Praxis entwertet. Daher argumentiert der Verfasser des oben zitierten Fachkommentars mit dem „Beantwortungs- und Beschleunigungsgebot“, welches sich aus der Zusammenschau von Art. 12 Abs. 3 und Abs. 4 DS-GVO ergibt. Ein Antrag darf demnach weder liegengelassen noch das Verfahren künstlich verzögert werden.

Die Verwaltungsgerichte hingegen legen in ihren aktuellen Entscheidungen das Hauptgewicht auf den exakten Wortlaut und die Systematik des Gesetzes. Die Grenze jeder richterlichen Interpretation ist im Rechtsstaat der geschriebene Text. Und der Text von Art. 12 Abs. 3 DS-GVO spricht nun einmal explizit von der Unterrichtung über die „ergriffenen Maßnahmen“ und nicht von der finalen „Erfüllung“. Die Gerichte trennen daher strikt zwischen der verfahrensrechtlichen Pflicht (der Statusmeldung innerhalb eines Monats) und der materiellen Pflicht (der tatsächlichen Herausgabe der Datenkopie), für die das Gesetz an dieser Stelle keine starre Frist nennt.

Fazit und Handlungsempfehlungen für Schulleitungen

Was bedeutet das nun für die schulische Praxis, wenn eine Auskunftsanfrage kurz vor den Ferien eingeht, man sich vielleicht mitten in der heißen Phase der Zeugniserstellung befindet und die Zeit ohnehin knapp ist?

Die Schule sollte den Eingang der Anfrage in jedem Fall unmittelbar, spätestens jedoch innerhalb der gesetzlichen Monatsfrist, schriftlich bestätigen. In diesem Schreiben gilt es,5vorausgesetzt, es bestehen keine Zweifel bezüglich der Identität des Betroffenen und es soll auch keine Negativauskunft erteilt werden. der betroffenen Person zumindest erste Informationen über die bereits ergriffenen oder konkret geplanten Maßnahmen zur Erfüllung der Auskunft zukommen zu lassen.

Sollte es der Schule in dieser Zeit gar nicht möglich sein, bereits konkrete Maßnahmen zu benennen, etwa weil Schlüsselpersonen mit dem nötigen Spezialwissen (wie das Sekretariat, IT-Koordinatoren oder Lehrkräfte, die schulische Plattformen administrieren) in den Ferien schlichtweg nicht erreichbar sind, kann und sollte direkt innerhalb des ersten Monats formell eine begründete Fristverlängerung mitgeteilt werden. Im schulischen Kontext lässt sich hierbei sehr gut mit der Komplexität der Datenzusammenführung über verschiedene Systeme hinweg (z.B. Schulverwaltung, Lernplattformen, Arbeits- und Kommunikationsplattform, Geräteverwaltung, …) argumentieren. Damit demonstriert die Schule ein datenschutzkonformes sowie strukturiertes Vorgehen und agiert rechtlich auf der sicheren Seite.

Auch wenn die jüngere Rechtsprechung der Verwaltungsgerichte Osnabrück und Düsseldorf den Schulen bei kurzfristigen und komplexen Anfragen eine spürbare organisatorische Entlastung bringt, bleibt die Praxis im datenschutzrechtlichen Alltag von gegensätzlichen Erwartungen geprägt. Während die Gerichte, vor denen Auskunftsverfahren meist erst bei maximaler Eskalation landen, dazu tendieren, die Monatsfrist als reine „Statusmeldung“ zu interpretieren, fordern die Aufsichtsbehörden, die von Betroffenen in der ersten Eskalationsstufe angerufen werden, in ihren Schreiben weiterhin die vollständige Datenherausgabe innerhalb eines Monats.

Um in verfahrenen Konfliktsituationen die typische Eskalationsspirale zu bremsen und der Aufsichtsbehörde im Falle einer Beschwerde keine Angriffsfläche zu bieten, empfiehlt sich für Schulleitungen im Alltag die Berücksichtigung der folgenden Punkte:

  • Voraussetzungen prüfen: Es besteht das Recht, bei Vertretung durch Anwälte unverzüglich die Originalvollmacht einzufordern und bei begründeten Zweifeln oder falls die Person die Schule vor langer Zeit verlassen hat, Identitätsnachweise anzufordern. Solange diese Dokumente nicht vorliegen, beginnt die gesetzliche Monatsfrist überhaupt erst gar nicht zu laufen. Die Schule gewinnt so völlig legal wertvolle Zeit, noch bevor die rechtliche Uhr tickt.
  • Zwischenbescheid inhaltlich füllen: Wenn das oben beschriebene Schreiben aufgesetzt wird, sollten darin transparent die ersten (geplanten) Schritte aufgelistet werden. Sinnvoll ist beispielsweise die Nennung der notwendigen Abfrage bei den Lehrkräften nach Notenlisten, das Einholen von Datenexporten digitaler Lernplattformen oder die Kontaktaufnahme mit externen Auftragsverarbeitern. Je konkreter die “ergriffenen Maßnahmen” benannt werden, desto eher entspricht das Schreiben den Anforderungen von Art. 12 Abs. 3 DS-GVO. Wichtig: In jedem Schreiben im Kontext eines Auskunftverfahrens muss seitens der Schule zwingend auf die Möglichkeit hingewiesen werden, Beschwerde bei der zuständigen Datenschutzbehörde des jeweiligen Bundeslandes einzulegen.
  • Die Bearbeitung nicht grundlos aufschieben: Die durch den Zwischenbescheid oder die Fristverlängerung gewonnene Zeit ist kein Freibrief für Untätigkeit. Die DS-GVO verlangt grundsätzlich eine unverzügliche Bearbeitung. Die Atempause sollte daher genutzt werden, um nach der Rückkehr der Schlüsselpersonen eine fehlerfreie, gründliche und vollständige Zusammenstellung der Auskunft sowie der Datenkopie vorzubereiten.

Die Praxis zeigt, wer von vornherein zeitnah und transparent kommuniziert und Zwischenbescheide sachgerecht einsetzt, hält sich in arbeitsintensiven Phasen wie der Zeugniserstellung den Rücken frei und gewinnt den nötigen zeitlichen Puffer, um das Auskunftsverfahren danach rechtssicher und ohne Hektik zu erledigen. In vielen Fällen sollte es so auch möglich sein, Beschwerden durch die Betroffenen bei der Aufsichtsbehörde zu vermeiden, denn auch deren Bearbeitung kostet eine Schule Zeit. Auch wenn die beiden Gerichtsdokumente derzeit noch eher eine Minderheitsmeinung repräsentieren, bieten sie eine wichtige Absicherung. Sollten Schulen durch eine unspezifizierte und umfangreiche Auskunftsanfrage – oder Forderungen weit über Art. 15 hinaus – trotz guter Vorarbeit arg unter Druck geraten, kann man sich auf die Aussagen dieser Gerichte berufen, um sich zu entlasten. Sie entbinden Schulen zwar nicht von ihrer Pflicht zur fortlaufend zügigen Bearbeitung der Auskunft, sie nehmen jedoch spürbaren Druck aus der organisatorischen Umsetzung im Schulbetrieb.

Weiterlesen

Unter dem Schlagwort Art. 15 finden sich auf dieser Website vertiefende Informationen samt Musterschreiben zum gesamten Auskunftsverfahren.

Smartglasses in der Schule

Lesezeit: 8 Minuten

Smartglasses, die Hightech Brillen, sind kein neues Thema, denn es gibt sie schon seit Jahren. Was mit Google Glass 2014 begann, hat sich stark weiterentwickelt und ist spätestens mit der Markteinführung der Ray-Ban Meta Display-Brille im Herbst 2025 alltagstauglich geworden. Die unter Eigenmarke und in Kooperation mit Ray Ban und Oakly angebotenen Modelle gehen in ihren Funktionen über die ersten Smartglasses deutlich hinaus und integrieren, wie der Name deutlich macht, auch KI-Funktionen. Anders als die ersten Smartglasses, sind moderne Vertreter der Gerätekategorie von “normalen” Brillen optisch kaum noch zu unterscheiden. Allen gemein ist, dass sie Rahmen und Bügel haben, die eher denen von Sonnen- und Sportbrillen – wie u.a. denen von Ray Ban und Oakly – entsprechen. Meta, der Mutterkonzern von Facebook, Instagram und WhatsApp bietet seine Smartglasses im Mai 2026 als AI Glasses mit Preisen ab 247 € an. Das ist eine Preisklasse, die auch für Schülerinnen und Schüler erschwinglich ist und spätestens damit werden Smartglasses auch für Schulen relevant.

Was man sehr vereinfacht zu den Funktionen von Smartglasses wissen sollte, ist, dass sie meist mit Kameras ausgestattet sind, die Bilder und Videos aufnehmen können. Außerdem verfügen sie über Mikrofone, die nicht nur Sprachbefehle des Trägers erfassen, sondern auch Umgebungsgeräusche wie Gespräche. Ergänzt werden diese Funktionen durch kleine Lautsprecher, über die Antworten eines verbundenen Assistenten ausgegeben werden können. Einige Modelle besitzen zusätzlich eine Anzeige, die Informationen direkt ins Sichtfeld einblendet. Aufnahmen können häufig über eine begleitende Smartphone-App nachträglich übertragen und synchronisiert werden. Viele Smartglasses sind dauerhaft mit dem Smartphone gekoppelt und können so auch außerhalb eines gemeinsamen WLANs online Funktionen nutzen.

Smartglasses im Schulalltag

Bisher ging es in Schulen bei der von Schülerinnen und Schülern mitgebrachten Technik vor allem um Smartphones, Smartwatches und kleine In-Ear Kopfhörer und deren Potential für eine missbräuchliche Nutzung. Thema waren dabei unerlaubte Aufnahmen anderer Personen oder von nicht-öffentlichen Dokumenten, heimliche Mitschnitte von Gesprächen und Unterricht und die Nutzung zum Betrug in Prüfungssituationen. Ein weiteres Thema waren die sogenannten Kinderuhren (mit Abhörfunktion), die es Eltern erlaubten, im Unterricht mitzuhören. Für alle dieses Technologien gibt es mittlerweile Regelungen an allen Schulen. Smartphones müssen ausgeschaltet in der Schultasche bleiben und Smartwatches dürfen bei Prüfungen genauso wenig mitgeführt werden wie die kleinen unauffälligen Kopfhörer. Kinderuhren mit Abhörfunktion sind in Schulen grundsätzlich verboten.

Den Autor des Beitrages erreichten jetzt erste Anfragen zum Thema Smartglasses und dabei ging es erstaunlicherweise nicht nur um deren Nutzung durch Schülerinnen und Schüler, sondern auch um die Nutzung durch Lehrkräfte und sogar die durch Eltern. Dürfen Lehrkräfte in der Schule Smartglasses tragen? Was, wenn die Schulleitung in einem Elterngespräch den Verdacht hat, Eltern zeichnen des Gespräch mit Smartglasses auf?

Smartglasses als rechtliches Problem in den Medien

In den Medien sind Smartglasses bereits seit einiger Zeit als rechtliches Problem ein Thema, wie etwa der Beitrag Smart Glasses Datenschutz: Risiken von KI-Brillen im Überblick auf Datenschutz-Ticker zeigt.  Das Portal Futurezone aus Österreich beschreibt im Beitrag Schummeln 2.0: Wie Schüler ihre Lehrer mit KI austricksen wie Smartglasses und andere Technologien mit KI in Schulen als heimliche Hilfe in Prüfungen genutzt werden. Andere Fachbeiträge setzen sich mit Smartglasses sowohl im Kontext von Datenschutz, der Geheimhaltung in der Arbeitswelt als auch im Umfeld universitärer Bildung und der Prüfungssicherheit auseinander.

Das Thema Smartglasses beschäftigt auch Behörden. Im US-Bundesstaat Texas ermittelt, wie der Fachjurist Dr. Thomas Schwenke auf LinkedIn mit Bezug auf einen US Beitrag berichtet, der Generalstaatsanwalt gegen Meta wegen der mit KI-Funktion ausgestatteten Ray-Ban Meta-Smartglasses und es geht dabei um den Datenschutz. Meta wird vorgeworfen, gegen geltendes Recht zu verstoßen, da die AI Glasses sowohl die Privatsphäre der Nutzer seiner AI Glasses als auch die von unbeteiligten Dritten verletzen. Die Leuchtdiode, welche aktive Aufnahmen anzeigen soll, lasse sich leicht überdecken, bemängelt die US Behörde. Meta wird zudem vorgeworfen, dass die AI Glasses im vom Nutzer aktivierbaren Dauerbetrieb („always enabled“) ihre Leuchtdiode nicht einschalten und fortlaufend Videodaten als Trainingsdaten an die Meta-KI übermitteln. Bemängelt wird im Zusammenhang mit den AI Glasses außerdem, dass bei Videodaten, die zur Verschlagwortung für das KI-Training an einen Unterauftragnehmer in Kenia übermittelt werden, die automatische Gesichtsverpixelung unzuverlässig funktioniere. Zudem soll es wiederholt vorgekommen sein, dass Mitarbeitende Zugriff auf Videoinhalte mit intimen Aufnahmen erhalten haben. Gegenstand der Ermittlungen ist auch eine von Meta geplante und laut New York Times intern als “Name Tag” bezeichnete Gesichtserkennungsfunktion, welche es Meta erlaubt, die individuelle Gesichtsgeometrie ahnungsloser Personen durch die unauffällige Kamera in den AI Glasses zu sammeln.1Laut einem Bericht auf Wired vom 08.06.2026 soll Meta die Funktion aus der neuesten Version der Software entfernt haben.

Dass Smartglasses auch für Schulen rechtliche wie auch pädagogische Herausforderungen mit sich bringen, beleuchtet Christoph Hipp im Medienzeit-Elternblog am 19. Mai 2026  in einem Gastbeitrag mit dem Titel “Smartglasses: Sechs Risiken, die noch kaum jemand auf dem Schirm hat“. Der Autor weist zu Beginn darauf hin, dass viele Schulen das Thema Smartphones im schulischen Alltag mittlerweile umfassend geregelt haben, sie aber beim Thema Smartglasses wie so oft hinterherhinken.

“Die Geräte sind im Massenmarkt angekommen, erschwinglich und unauffällig. Das Bewusstsein dafür, was sie können und was sie ermöglichen, hinkt weit hinterher.”

Laut dem Autoren gibt es bereits erste Schulen, die Smartglasses ausschließen, doch den meisten Schulen wäre das Thema nicht als solches bewusst. Das größte Problem für ihn ist die Unsichtbarkeit der Geräte. Für Dritte sei das Auslösen einer Aufnahme oftmals nicht erkennbar, egal ob der Träger kurz an den Bügel der Brille fasse oder nahezu lautlos den Sprachbefehl zur Aufnahme gebe. Aufnahmen könnten später leicht über das zugehörige App am Smartphone geteilt oder sonst wie verbreitet werden. Die Aufnahme-LED “an” könne durch einfaches Überkleben aber auch durch andere Lösungen überlistet werden. Zudem hänge die Erkennbarkeit der aktiven LED stark vom Umgebungslicht ab und sei bei Gegenlicht oder hellem Sonnenlicht kaum gegeben. Er rät deshalb zu einem grundsätzlichen Misstrauen. Mit Verweis auf Sicherheitsprobleme in Unternehmen – die dort entstehen, weil Smartglasses, anders als andere digitale Aufnahmegeräte, oft nicht als Sicherheitsrisiko erkannt werden – lenkt der Autor den Blick auf Schulen. Dort könnten “Prüfungen, Gespräche, Konflikte oder vertrauliche Situationen […] dokumentiert werden, ohne dass es jemand bemerkt.” Er fordert deshalb, Smartglasses wegen ihrer Aufnahmefunktionen ausdrücklich mit in das schulische Regelwerk aufzunehmen. Datenschutzrechtliche Risiken sieht Christoph Hipp vor allem in der Anbindung von Smartglasses an ein Anbieterkonto, durch das Aufnahmen auf Server desselben Anbieters übertragen werden. Aufgrund der Unauffälligkeit der Aufnahmen, die bei Tonaufnahmen über die integrierten Mikrofone oft einen Radius von mehreren Metern hätten, könnten Betroffene ihre Rechte kaum wahrnehmen. Für ihn bedeutet das eine Sensibilisierung von Schülerinnen und Schülern bezüglich des Rechtes am eigenen Bild. Das gelte auch für die Aufnahmefunktion von Smartglasses, die aus der Ich-Perspektive aufzeichnen. Im letzten Punkt zur Erklärung von Smartglasses geht der Autor auf die Gesichtserkennungsfunktionen ein, die selbst dann möglich sind, wenn sie nicht direkt in die Smartglasses integriert sind, sondern über eine Verknüpfung mit anderen Anwendungen.

Für Christoph Hipp ist klar, was das Thema Smartglasses im Schulalltag bedeutet. Sie müssen in die Schulordnung aufgenommen werden und zwar bereits jetzt, denn

“Smartglasses werden zunehmend verbreitet sein. Umso wichtiger ist es, jetzt klare Regeln zu schaffen. Nicht aus Ablehnung gegenüber Technologie, sondern um geschützte Räume zu erhalten.”

Wie sollten Schulen mit dem Thema Smartglasses umgehen?

Der rechtliche Hintergrund

Während man sich an den Universitäten und Hochschulen schon seit einiger Zeit mit Smartglasses im Kontext von Täuschungsversuchen bei Prüfungen befasst, sind Smartglasses für Schulen eine neue Herausforderung, vor allem, weil sie auf den ersten Blick nicht als solche bzw. als Aufnahmegeräte erkennbar sind. Die rechtlichen Fragen, die sich aus ihrer Nutzung im Schulkontext ergeben, sind dem Grunde nach nicht neu. Wie bei heimlichen Aufnahmen mit Smartphoes geht es in erster Linie um den Schutz der Vertraulichkeit des Wortes, das Recht auf informationelle Selbstbestimmung und das Recht am eigenen Bild. Da die Nutzung von Smartglasses nicht nur die Rechte anderer Personen berührt, sondern auch Täuschungsversuche in Prüfungssituationen erleichtern kann, stellt sich zudem die Frage nach der rechtlichen Handhabe in Prüfungen.

Die Vertraulichkeit des Wortes (§ 201 StGB (Verletzung der Vertraulichkeit des Wortes)) schützt nichtöffentlich gesprochene Äußerungen vor unbefugter Aufnahme oder Weitergabe. Sie gilt im Unterricht ebenso wie bei Besprechungen, Konferenzen und Beratungsgesprächen.

Das Recht auf informationelle Selbstbestimmung (als spezifische Ausprägung des allgemeinen Persönlichkeitsrechts – abgeleitet aus dem Grundgesetz in Verbindung mit der DSGVO und der Europäischen Menschenrechtskonvention), das gegenüber der Schule beispielsweise bei der Anfertigung und Veröffentlichung von Fotos gilt, besteht auch gegenüber Mitschülerinnen und Mitschülern. Auch Lehrkräfte und Schulleitungen können sich gegenüber anderen Personen, etwa Eltern, auf dieses Recht berufen. Die Anfertigung und Weitergabe von Aufnahmen ohne Rechtsgrundlage oder wirksame Einwilligung kann dieses Recht verletzen.

Unabhängig davon schützt das Recht am eigenen Bild (§ 22 Kunsturherrechtsgesetz) vor der unbefugten Anfertigung und Verbreitung erkennbarer Bildaufnahmen von Personen. Auch hier sind Aufnahmen ohne Einwilligung oder Rechtsgrundlage regelmäßig problematisch.

Das Thema Täuschungshandlungen beziehungsweise Täuschungsversuche ist unter anderem in den allgemeinen Prüfungs- und Ausbildungsordnungen der jeweiligen Bildungsgänge geregelt.

Aufklärung und Sensibilisierung

Im Rahmen ihres Bildungs- und Erziehungsauftrags vermitteln Schulen auch Medienkompetenz. Diese hat sich im Laufe der Jahre erweitert, zuletzt um KI-Kompetenz (AI Literacy). Datenschutz gehört schon lange dazu, wie u.a. auch im Medienkompetenzrahmen NRW unter 1.4 Datenschutz und Informationssicherheit und 4.4. Rechtliche Grundlagen (Rechtliche Grundlagen des Persönlichkeitsrechts […] überprüfen, beachten und bewerten) festgeschrieben. Smartglasses, ihre Funktionen und Möglichkeiten sollten im Rahmen der Vermittlung von Medienkompetenz gemeinsam mit den Risiken besprochen werden, die sich aus ihrer Nutzung ergeben können.

Nutzungsordnung

Schulen verfügen in der Regel als Bestandteil ihrer Schulordnung auch über eine Mediennutzungsordnung, in der der Umgang mit der digitalen Ausstattung der Schule sowie die Nutzung des Internets geregelt sind. Das Thema Smartphones ist dort häufig in einer eigenen Handyordnung verankert, die in der Regel auch Smartwatches einbezieht. Siehe dazu auch “Nutzung von Handys und Smartwatches in der Schule” (MSB NRW). Schulen sollten sich daher möglichst zeitnah auch mit Smartglasses befassen, hierfür geeignete Regelungen entwickeln und diese über die schulischen Mitbestimmungsgremien verabschieden. Wie Regelungen zu Smartphones und Smartwatches sind auch Regelungen zu Smartglasses als Teil der Schulordnung auszugestalten und müssen verhältnismäßig sowie pädagogisch begründet sein. Dabei ist zu berücksichtigen, dass Smartglasses unauffällig getragen werden können und dadurch besondere Risiken für den Schutz der Persönlichkeitsrechte, der Vertraulichkeit des Wortes und des Rechts am eigenen Bild entstehen.“

Eine mögliche Formulierung für eine restriktive, pädagogisch begründete Handhabung des Themas könnte etwa sein2Hinweis: Es handelt sich um einen Vorschlag des Verfassers des Beitrags, der nicht juristisch geprüft wurde.:

Smartglasses sowie vergleichbare tragbare Geräte mit Aufnahme-, Übertragungs- oder Assistenzfunktionen sind auf dem Schulgelände, in schulischen Veranstaltungen und bei sonstigen schulischen Tätigkeiten grundsätzlich verboten, da ihre Nutzung für andere Personen nicht oder nur schwer erkennbar ist und besondere Risiken für die Persönlichkeitsrechte, die Vertraulichkeit des Wortes und das Recht am eigenen Bild mit sich bringt. Sie dürfen nur nach vorheriger ausdrücklicher Genehmigung der Schulleitung im Einzelfall verwendet werden. Jegliche Anfertigung, Speicherung, Übertragung oder Weitergabe von Bild-, Ton- oder Videoaufnahmen ist ohne gesonderte Einwilligung der betroffenen Personen untersagt. Zuwiderhandlungen können schulordnungsrechtliche Maßnahmen sowie gegebenenfalls weitergehende rechtliche Schritte durch betroffene Personen nach sich ziehen.

Prüfungen

Smartglasses eignen sich sehr gut, um zu schummeln, vor allem wenn sie über ein Display verfügen und Lösungen direkt anzeigen können. Aber selbst wenn sie Lösungen oder Hilfen nur über die Lautsprecher geben, verschaffen sie Prüflingen verbotene Vorteile. In Prüfungssituationen sollten Smartglasses deshalb identisch zu anderen digitalen Endgeräten reglementiert werden, beispielsweise indem sie, sofern sie in die Schule mitgebracht wurden, ausgeschaltet in die Box gelegt werden, in welcher auch Smartphones gesammelt werden/ausgeschaltet in der Schultasche vor der Tafel deponiert werden.

Elterngespräche

Haben Lehrkräfte oder Schulleitungen in einem Elterngespräch die Vermutung, dass Eltern Smartglasses tragen und das Gespräch möglicherweise aufzeichnen, so können sie letztlich nur auf die geltende Rechtslage aufmerksam machen, etwa wie folgt:

“Wir wissen, dass einige Eltern im Alltag Smartglasses nutzen. Uns ist wichtig, dass wir Elterngespräche offen und vertrauensvoll führen können. Deshalb möchten wir Sie darauf hinweisen, dass Bild- und Tonaufnahmen ohne vorherige Einwilligung der betroffenen Personen oder ohne sonstige rechtliche Grundlage unzulässig sind und im Falle einer rechtswidrigen Aufnahme rechtliche Folgen haben können, insbesondere im Hinblick auf die Verletzung der Vertraulichkeit des Wortes gemäß § 201 StGB.”

Anlassbezogen könnte eine Schulleitung das Thema auch in einem Elternschreiben aufgreifen.

Lehrerkollegien

Für viele Lehrkräfte werden Smartglasses Neuland sein. Deshalb ist es wichtig, sie für das Thema zu sensibilisieren, damit sie die Geräte erkennen und wissen, wie sie damit umgehen. Zudem müssen sie in die Lage versetzt werden, ihre Schülerinnen und Schüler entsprechend zu informieren und zu sensibilisieren. Zugleich sollte experimentierfreudigen Lehrkräften deutlich sein, dass sie ihre Smartglasses in der Schule grundsätzlich nicht nutzen dürfen, außer gegebenenfalls zu Demonstrationszwecken und dann nur ohne Aufnahmen von Schülerinnen und Schülern, weder in Bild noch in Ton.

Smartglasses als assistive Technologie

Es ist zu erwarten, dass in absehbarer Zeit auch Anbieter assistiver Technologien spezialisierte Smartglasses für Schülerinnen und Schüler auf den Markt bringen werden. Inwieweit deren Einsatz im Unterricht für Schülerinnen und Schüler mit Beeinträchtigungen möglich ist, wird davon abhängen, wie die Geräte konkret funktionieren, welche Daten erfasst werden und wo sowie zu welchem Zweck diese verarbeitet werden. Auch Meta bewirbt seine AI Glasses als assistive Technologie. Für den schulischen Einsatz dürften diese Brillen in Deutschland jedoch angesichts der mit ihrem Funktionsumfang verbundenen datenschutzrechtlichen Risiken in der Regel nicht geeignet sein.

Hintergrundinformationen zu Smartglasses

Ein guter Beitrag von ARD team recherche befasst sich im Beitrag Heimlich gefilmt: Warum Du jetzt nirgends mehr sicher bist | Doku ausführlich mit der Technologie und den Problemen, die für Menschen, die heimlich gefilmt werden, daraus entstehen können. Auch wenn es hier nicht um Smartglasses in der Schule geht, erhält man einen guten Eindruck von der Technologie und ihren Risiken.

Stand 06/2026

Rechtsgrundlage der Nutzung von ais.chat (ehem. telli – KI Chat)

Lesezeit: 3 Minuten

ais.chat, die im Auftrag der Länder entwickelte KI Plattform, steht Schulen in NRW seit geraumer Zeit zur Verfügung. Schulleitungen erhielten in einem gestaffelten Rollout spezielle Administrations-Zugänge, über welche sie ihre Lehrkräfte als Nutzer in die Plattform einpflegen können. Lehrkräfte selbst können ais.chat dann ihren Schülern im Unterricht über Links und QR Codes zur Nutzung zur Verfügung stellen.

Vor dem Beginn des Rollouts gab es eine Informationsveranstaltung für Schulleitungen1Link zur Videoaufzeichnung: https://player.vimeo.com/video/1145629909?h=a8c8beea9a&amp, bei welcher ais.chat in seinen Funktionen sowie der Administration vorgestellt und Fragen beantwortet wurden. Im Video wurde auch erklärt, dass es für die Einführung der Plattform weder einen Schulkonferenzbeschluss noch eine Einwilligung der Lehrkräfte braucht.

Nicht jeder wird alle Informationen zu ais.chat kennen und deshalb besteht vermutlich an einigen Stellen ein Klärungsbedarf, was bei der Nutzung der Plattform in rechtlicher Hinsicht zu beachten ist.

⚖️ Was ist die rechtliche Grundlage für die Nutzung von ais.chat?

Wie Logineo NRW wird ais.chat Schulen direkt durch das Land bzw. das Ministerium für Schule und Bildung (MSB) bereitgestellt. Anders jedoch als bei Logineo NRW setzt die Nutzung von ais.chat durch Lehrkräfte sowie Schülerinnen und Schüler keine Einwilligung voraus. Auch ais.chat ist mitbestimmt durch die Hauptpersonalräte, die hier aber – anders als bei Logineo NRW – nicht auf einer freiwilligen Nutzung durch Lehrkräfte und andere Nutzer bestanden.

Durch diesen kleinen aber entscheidenden Unterschied erfolgt die Verarbeitung der personenbezogenen Daten von Lehrkräften wie auch Schülerinnen und Schülern bei der Nutzung von ais.chat auf der Grundlage der Generalklauseln von § 121 Satz 1 repektive § 120 Satz 1 SchulG NRW in Verbindung mit Art. 6 Abs. 1 lit. e DS-GVO. Dies wird so auch in der Datenschutzerklärung zu telli angeführt:

4. Rechtsgrundlage
Art. 6 Abs. 1 lit. e DSGVO i. V. m. den jeweiligen Schulgesetzen (Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse – staatlicher Bildungs- und Erziehungsauftrag)

Eine Einwilligung ist hierfür nicht erforderlich.

🏫 Was bedeutet das in der Praxis?

Schulleitungen schalten ais.chat im Vidis Portal frei und zeichnen dabei den Vertrag zur Auftragsverarbeitung. Anschließend pflegen sie ihre Lehrkräfte im System ein, um ihnen Nutzerzugänge zur Verfügung stellen zu können.

Die Nutzung von ais.chat durch Lehrkräfte wie auch Schülerinnen und Schüler erfolgt danach ohne Einwilligung.

Lehrkräfte wie auch Schülerinnen und Schüler sind zur Nutzung von ais.chat verpflichtet, auch ohne Beschluss der Schulkonferenz. Voraussetzung dafür ist aber immer, dass:

  • die Nutzung zur Erfüllung des Bildungs- und Erziehungsauftrages der Schule erforderlich ist und
  • sie über ein von der Schule oder dem Schulträger zur Verfügung gestelltes Endgerät möglich ist.

Eine Nutzung über private Endgeräte ist immer freiwillig.

Hinweis: … zur Nutzung von ais.chat verpflichtet … bedeutet hier keine generelle Verpflichtung im Sinne von, das Land NRW schreibt Schulen die Nutzung von ais.chat vor. Für Schulen ist die Nutzung von ais.chat optional. Es steht ihnen frei, auch die KI-Plattformen anderer Anbieter zu nutzen, sofern diese die dafür erforderlichen Voraussetzungen erfüllen. Eine Verpflichtung bezüglich der Nutzung von ais.chat greift für Lehrkräfte in dem Moment, in welchem beispielsweise eine Fachschaft sich im Rahmen einer Unterrichtsreihe einigt, dass dabei mit einem in ais.chat bereitgestellten Lernszenario gearbeitet wird, oder die Schule ais.chat im Medienkonzept festschreibt. Entsprechend sind dann auch Schülerinnen und Schüler zur Nutzung von ais.chat verpflichtet.

Welche datenschutzrechtlichen Vorgaben müssen Schulen bei der Nutzung von ais.chat einhalten?

Auch wenn die Nutzung von ais.chat keine Einwilligung erfordert, so bedarf es jedoch einer Information über die Datenverarbeitung gem. Art. 13 DS-GVO, denn eine Verarbeitung von personenbezogenen oder -beziehbaren Daten findet – auch wenn Schüler und Lehrkräfte gegenüber den KI-Modellen in ais.chat anonym bleiben – in den meisten Fällen statt.

Wie jeder Verarbeitungsvorgang in einer Schule muss die Verarbeitung von personenbezogenen Daten bei der Nutzung von ais.chat in das Verzeichnis der Verarbeitungstätigkeiten der Schule aufgenommen werden.

Auch wenn der Zugang zu ais.chat DS-GVO konform ist, alle genutzten KI-Modelle in der EU betrieben und keine Eingaben von Nutzern (Prompts) zu Trainingszwecken genutzt werden, sind persönliche Inhalte in Prompts nicht erlaubt. Das gilt für Lehrkräfte wie auch Schülerinnen und Schüler. Auf der Informationsseite Zugang zu ais.chat heißt es entsprechend:

Für eine Nutzung für Schulverwaltungsaufgaben, die eine Eingabe von personenbezogenen Daten beinhaltet, ist „ais.chat“ nicht geeignet, da in das System über den Prompt keine personenbezogenen Daten eingegeben werden dürfen.

Personenbezogene Daten (Lehrkräfte)

Lehrkräfte sind in ais.chat mit ihrer dienstlichen E-Mail, Vor- und Nachnamen sowie einer elfstelligen Lehrer-ID angelegt. Verknüpft fallen Daten an, wenn sie mit einer KI chatten, Assistenten anlegen oder Lernszenarien bereitstellen.

Personenbezogene Daten (Schüler)

Beim Zugriff mit personalisierten schulischen Endgeräten und vor allem bei Nutzung von privaten Endgeräten werden technische Daten verarbeitet, die theoretisch eine Zuordnung ermöglichen könnten.

Gibt es weitere rechtliche Vorgaben?

Ja, die gibt es. Es geht um die Vorgaben der KI-Verordnung. Diese verlangt von Schulen als sogenannten Betreibern von KI-Systemen Maßnahmen, mit denen sichergestellt wird, dass die Nutzenden eines KI-Systems “über ein ausreichendes Maß an KI‑Kompetenz verfügen2Siehe Art. 4 KI-VO.

Gegenüber Schülerinnen und Schülern ist die Schule zur Transparenz verpflichtet. Sie müssen darüber informiert werden, dass sie mit einem KI-System interagieren. So darf z.B. bei der Nutzung eines Dialogpartners nicht der Eindruck entstehen, man kommuniziere mit einem echten Menschen.

📋 Nutzungsordnung

Es empfiehlt sich für Schulen, bestehende Nutzungsordnungen für IT-Räume und digitale Medien um einen von den Mitwirkungsgremien der Schule beschlossenen Zusatz zur KI-Nutzung zu ergänzen. In diesem sollten die Do’s and Don’ts festgehalten werden, etwa:

  • das Verbot der Eingabe von privaten Details oder Daten Dritter,
  • das Verbot missbräuchlicher Prompts,
  • die Pflicht zur Kennzeichnung KI-erstellter Inhalte,

Schulische Datenübermittlung an die Bundesagentur für Arbeit

Lesezeit: 3 Minuten

Schulen in NRW arbeiten im Rahmen der Berufswahlvorbereitung eng mit der Bundesagentur für Arbeit zusammen. Berufsberaterinnen und Berufsberater kommen regelmäßig in die Schulen, um Schülerinnen und Schülern sowie deren Eltern Beratung und Unterstützung bei der Berufswahl anzubieten. Auf den Seiten des BO-Tool NRW (Digitales Online Instrumentarium zur Beruflichen Orientierung) informiert das Ministerium für Schule und Bildung (MSB) auch über die dabei stattfindende Datenverarbeitung und die dazu gehörigen Rechtsgrundlagen.

Bislang war es so, dass Schulen die Daten von Schülerinnen und Schülern nicht ohne deren Einwilligung an die Agentur für Arbeit bzw. die dort tätigen Berufsberaterinnen und Berufsberater weitergeben durften. Grundsätzlich gilt dieses auch weiterhin so, wie in der Schrift Informationen zum Datenschutz und zur Datenverarbeitung bei Beratungsgesprächen der Berufsberatung im Rahmen der „Lebensbegleitenden Berufsberatung vor dem Erwerbsleben“ erklärt wird.

Kommen die Berufsberater zu Beratungsgesprächen an die Schule, so darf die Schule den in der Schule befindlichen Berufsberaterinnen und Berufsberatern Namen und Uhrzeiten zum Zweck der Termingestaltung und Anwesenheitskontrolle geben. Weitere Daten der Schülerinnen und Schüler darf die Schule nur mit deren ausdrücklicher Einwilligung oder mit der der Erziehungsberechtigten an die Agentur für Arbeit weitergeben. Grundsätzlich können dabei Schülerinnen und Schüler ab 14 Jahren selbst der Verarbeitung ihrer Daten zustimmen; falls jedoch Unsicherheiten hinsichtlich ihrer Einwilligungsfähigkeit bestehen, ist die Zustimmung der Erziehungsberechtigten erforderlich. Wenn Eltern nicht möchten, dass ihr Kind an einem Beratungsgespräch teilnimmt, und der bereits durch ihr Kind erteilten Einwilligung bei der Agentur für Arbeit widersprechen, werden sämtliche Daten bei der Agentur gelöscht und das Beratungsgespräch entfällt. Der Widerruf muss gegenüber der Agentur für Arbeit erklärt werden, nicht gegenüber der Schule.

Entsprechend liegt auch die Information bezüglich der Verarbeitung der personenbezogenen Daten der Schülerinnen und Schüler durch die Agentur für Arbeit selbst. Jugendliche und ihre Erziehungsberechtigten erhalten mit der schriftlichen Einladung von der Agentur für Arbeit Informationen zum Datenschutz; die Schule informiert dazu nicht. Nehmen Minderjährige in der Schule spontan und selbständig eine Beratung in Anspruch, werden die Eltern durch die Agentur für Arbeit informiert und können der weiteren Datenverarbeitung widersprechen, woraufhin die Agentur die Daten löscht.

Die Schule informiert Schülerinnen, Schüler und Erziehungsberechtigte idealerweise vor dem ersten Kontakt mit der Berufsberatung über die Angebote und die datenschutzrechtlichen Modalitäten der Beratung. Dazu lädt sie die Berufsberatung zu Elternveranstaltungen (z. B. „Kick-Off“ im KAoA-Prozess, Jahrgangsstufe 8) ein, damit diese den Beratungsprozess und Datenschutz erläutert. Außerdem verteilt die Schule einen Informationsflyer zu den Beratungsleistungen und dem Datenschutz per Schulpost oder E-Mail an alle Erziehungsberechtigten, um Transparenz sicherzustellen.

Da die Schule eine zentrale Rolle bei der Vorbereitung der Jugendlichen auf die Berufswahl einnimmt, ist es sinnvoll, die individuellen Beratungsergebnisse mit der Agentur für Arbeit auszutauschen. Dieser Austausch, der eine bessere Abstimmung und gemeinsame Planung der beruflichen Orientierung ermöglicht, darf jedoch nur mit der ausdrücklichen Einwilligung der Jugendlichen erfolgen.

Ausnahme Beendigung der Schule ohne konkrete berufliche Anschlussperspektive

Seit April 2025 gibt es den Erlass zum Verfahren der Übermittlung von Daten nach Maßgabe des Schülerinnen- und Schülerdatenübermittlungsgesetzes NRW. Dieser ermöglicht es Schulen, die “personenbezogene Daten von Schülerinnen und Schülern, die voraussichtlich bei Beendigung der Schule über keine
konkrete berufliche Anschlussperspektive im Sinne des § 31a Absatz 1 SGB III
verfügen, über die jeweils zuständigen Bezirksregierungen an die Bundesagentur für Arbeit zu übermitteln, so dass diese die Schülerinnen und Schüler gemäß
§ 1 Absatz 1 Satz 2 Schülerinnen- und Schülerdatenübermittlungsgesetz NRW
kontaktieren kann.”

Dieses Schülerinnen- und Schülerdatenübermittlgungsgesetz NRW, mit langem Namen auch “Gesetz zur Übermittlung von Schülerinnen- und Schülerdaten
am Übergang von der Schule in den Beruf
” von Oktober 2023 und geändert im Juli 2025 schafft die Rechtsgrundlage, auf welcher Schulen einen Datensatz bestehend aus:

  1. Vor- und Familienname,
  2. Geburtsdatum,
  3. Geschlecht,
  4. Wohnanschrift,
  5. voraussichtlich beendeter Schulform und
  6. voraussichtlich erreichtem Abschluss.

übermitteln darf bzw. muss.

Gemäß Erlass übermitteln Berufskollegs “zusätzlich den jeweils besuchten Bildungsgang mittels der in Anlage 1 ausgewiesenen Schulgliederungsschlüssel.

Die Schule muss vorab jedoch genau prüfen, auf welche Schülerinnen und Schüler der Erlass bzw. das Gesetz anzuwenden sind. Schülerinnen und Schüler, die über eine konkrete, im Erlass näher beschriebene Anschlussperspektive verfügen, sind von der Regelung ausgenommen. Gemäß Erlass übermittelt die Schule den Datensatz über das BAN-Portal an die zuständige Bezirksregierung. Auch wenn das dem Erlass zugrundeliegende Gesetz Schulen die Möglichkeit eröffnet, den Datensatz direkt an die Agentur für Arbeit zu übermitteln,

Die personenbezogenen Daten der Schülerinnen und Schüler sind spätestens bis vier Wochen zum Ende eines Schuljahres je nach Übermittlungsweg entweder an die örtlich zuständige Agentur für Arbeit oder über die Bezirksregierung an die Bundesagentur für Arbeit zu übermitteln.”

hat hier für Schulen die Vorgabe des Erlass Vorrang. Die Übermittlung der von den Schulen im BAN-Portal hinterlegten Daten an die Bundesagentur für Arbeit erfolgt durch die jeweils zuständigen Bezirksregierungen. Diese laden bis zu einem im Erlass vorgegebenen Stichtag eine CSV-Datei mit den gesammelten Schülerdaten aus dem BAN-Portal herunter und übertragen sie anschließend über die SDN-Weboberfläche der Bundesagentur für Arbeit. Für die sichere Authentifizierung und Datenübertragung nutzen die Bezirksregierungen dabei ein von der Bundesagentur für Arbeit ausgestelltes Zertifikat.

Bild- und Tonaufnahmen im Rahmen der Lehrerausbildung

Lesezeit: 4 Minuten

Im Rahmen der Lehrerausbildung kann es hilfreich sein, Unterrichtsstunden aufzuzeichnen, um anschließend den Verlauf Stunde und das unterrichtliche Handeln zu reflektieren. Eine Videoaufzeichnung ist dazu besonders geeignet. Es gilt dabei jedoch die rechtlichen Vorgaben des Schulgesetzes NRW zu beachten. Da diese sich schon vor einiger Zeit geändert haben, dieses aber nicht jedem bekannt scheint, wurde um einen entsprechenden, die aktuelle Rechtslage erläuternden Beitrag gebeten.

Zusammenfassung/ Abstract

Mit dem 15. Schulrechtsänderungsgesetz NRW (Mai 2020) wurde die Rechtslage zu Bild- und Tonaufnahmen im Unterricht grundlegend geändert. Die bisherige Regelung (§ 120 Abs. 3 Satz 2 SchulG NRW), die ministeriell genehmigte Aufnahmen mit Widerspruchsmöglichkeit erlaubte, wurde aufgehoben, da sie als bürokratisch und missverständlich galt. Seitdem ist für jede Bild- und Tonaufnahme im Unterricht oder bei verbindlichen Schulveranstaltungen eine freiwillige, anlassbezogene Einwilligung aller betroffenen Personen erforderlich; dies gilt gleichermaßen für Schülerinnen und Schüler wie für Lehrkräfte. Die Einwilligung muss klar den Anlass, den Zweck, die Empfänger, die Speicher- und Löschfristen sowie die Betroffenenrechte benennen und gegenüber der Schulleitung abgegeben werden. Eine Verweigerung darf keine Nachteile nach sich ziehen; Alternativen (z. B. Teilnahme am Unterricht in einer Parallelklasse) müssen angeboten werden. Bereits vorliegende Einwilligungen für andere Zwecke sind nicht übertragbar. Die Aufnahmen dürfen ausschließlich dem angegebenen Personenkreis und nur zu den beschriebenen Zwecken zugänglich gemacht werden und sind nach Zweckerfüllung zu löschen. Aufzeichnungsgeräte sollten möglichst von der Schule gestellt werden; bei Nutzung privater Geräte ist besondere Sorgfalt hinsichtlich Datenschutz und Datenspeicherung (keine Cloud-Synchronisation) erforderlich.1Abstract erstellt mit Hilfe von Perplexity.ai

Rechtslage bis zum 15. Schulrechtsänderungsgesetz im Mai 2020

Es galt gem. § 120 Abs. 3 Satz 2 SchulG NRW:

Für Zwecke der Lehrerbildung sowie der Qualitätsentwicklung und Qualitätssicherung dürfen vom Ministerium genehmigte Bild- und Tonaufzeichnungen des Unterrichts erfolgen, wenn die Betroffenen rechtzeitig über die beabsichtigte Aufzeichnung und den Aufzeichnungszweck informiert worden sind und nicht widersprochen haben.”

Rechtslage seit dem 15. Schulrechtsänderungsgesetz im Mai 2020

§ 120 Abs. 3 Satz 2 wurde gestrichen. § 120 Abs. 6 wurde ergänzt und regelt damit nun auch Bild- und Tonaufzeichnungen zum Zweck der Lehrerbildung.

“(6) Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen bedürfen der Einwilligung der betroffenen Personen. Die Einwilligung muss freiwillig erteilt werden. Den betroffenen Personen dürfen keine Nachteile entstehen, wenn sie eine Einwilligung nicht erteilen.”

Begründung zum Wegfall der bisherigen Regelung und Klarstellung in einem neuen Absatz

Zu Absatz 3
Die Regelung des bisherigen Absatzes 3 Satz 2 hat sich in der Anwendung als nicht praktikabel erwiesen und wird daher aufgehoben. Sie verfolgte ursprünglich das Ziel, für bestimmte Zwecke die Anfertigung von Bild- und Tonaufzeichnungen des Unterrichts zu erleichtern, indem die erforderliche datenschutzrechtliche Einwilligung der betroffenen Schülerinnen und Schüler durch eine ministerielle Genehmigung ersetzt werden kann und den Betroffenen lediglich eine Widerspruchsmöglichkeit zusteht. In der Praxis wird die Regelung von den Personen, die die Genehmigung der Aufzeichnungen beim Ministerium beantragen, jedoch überwiegend dahingehend missverstanden, dass zusätzlich zu den in vielen Fällen bereits vorliegenden Einwilligungen der betroffenen Schülerinnen und Schüler auch noch eine Genehmigung der Aufzeichnung durch das Ministerium erforderlich ist; sie wird demnach als zusätzliche bürokratische Anforderung wahrgenommen. Mit der Aufhebung der Regelung wird dieses Missverständnis beseitigt.
Die Rechtmäßigkeit der Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen ist an das Vorliegen der allgemeinen datenschutzrechtlichen Voraussetzungen, d.h. an die Einwilligung der Betroffenen gekoppelt. Das Erfordernis der Einwilligung für Bild- und Tonaufzeichnungen wird nochmals explizit zur Klarstellung im neuen Absatz 6 aufgenommen. Die datenschutzrechtliche Situation der Schülerinnen und Schüler wird dadurch verbessert.”

Zu Absatz 6
In Satz 1 wird klarstellend aufgenommen, dass Bild- und Tonaufnahmen des Unterrichts oder sonstiger verpflichtender Schulveranstaltungen der Einwilligung der betroffenen Personen bedürfen und die Einwilligung freiwillig erfolgen muss (siehe auch Begründung zu den Absätzen 2 und 3). Die Klarstellung der aus der DSGVO folgenden Freiwilligkeit einer Einwilligung erfolgt auf Anregung der LDI.

Eine § 120 Abs. 6 entsprechende Regelung findet sich die Lehrkräfte betreffend in § 121 Abs. 1 Satz 2.

Die Begründung für die Änderung von § 121 Abs. 1 Satz 2

“Mit der Neufassung des Satzes 2 wird die Entscheidung über Bild- und Tonaufnahmen des Unterrichts oder sonstiger verpflichtender Schulveranstaltungen zur Verbesserung der Datenschutzrechte der Lehrkräfte auch von deren Einwilligung abhängig gemacht. Dies entspricht der neuen Regelung für die Schülerinnen und Schüler in § 120 Absatz 5 SchulG. Die Klarstellung der aus der DSGVO folgenden Freiwilligkeit einer Einwilligung erfolgt auf Anregung der LDI.”2https://www.landtag.nrw.de/portal/WWW/dokumentenarchiv/Dokument/MMD17-7770.pdf

Was bedeutet das für die Praxis der Lehrkräfteausbildung?

Die Anfertigung von Bild- und Tonaufnahmen oder auch nur Tonaufnahmen einer Unterrichtsstunde oder von Ausschnitten daraus, erfordert immer eine vorherige Einwilligung der betroffenen Personen, hier der Schülerinnen und Schüler und gegebenenfalls auch anwesender Lehrkräfte. Diese Einwilligung ist freiwillig. Das bedeutet, Schülerinnen und Schülern, welche die Einwilligung nicht erteilen wollen, darf aus der Nichteinwilligung kein Nachteil entstehen. Um die Freiwilligkeit zu gewährleisten, kann Schülerinnen und Schülern während der Anfertigung von Bild- und Tonaufnahmen die Teilnahme am Unterricht einer Parallelklasse angeboten werden. Dabei ist sicherzustellen, dass ihnen kein Lernstoff entgeht.

Aus der Einwilligung muss eindeutig hervorgehen,

  • für welche konkrete(n) Unterrichtsstunde(n) sie erteilt wird,
  • zu welchem Zweck die Bild- und Tonaufnahmen angefertigt werden,
  • wer Zugriff auf die Aufnahmen erhält,
  • wie lange die Aufnahmen gespeichert und wann sie gelöscht werden,
  • sowie, welche Rechte den betroffenen Personen zustehen.

Die Einwilligung ist – wie üblich – gegenüber der Schulleitung abzugeben.

Bereits vorliegende Einwilligungen für Bild- und Tonaufnahmen können in der Regel nicht verwendet werden, da sie meist andere Verarbeitungszwecke betreffen (beispielsweise die Erstellung von Erklärvideos, Aufnahmen im Sportunterricht zur Bewegungsanalyse oder das Training von Bewerbungsgesprächen).

Einwilligungen, die im Rahmen der Lehrkräfteausbildung für Bild- und Tonaufnahmen eingeholt werden, sind daher stets als sogenannte anlassbezogene Einwilligungen zu verstehen.

Beispiele, wie der Zweck beschrieben werden kann:

  • zur Nachbesprechung im Fachseminar, d.h. mit anderen Lehramtsanwärterinnen und -anwärtern.
  • zur Nachbesprechung mit dem Fachleiter und/ oder Hauptseminarleiter
  • zur Auswertung der Unterrichtsstunde für die Staatsarbeit mit Entnahme von Einzelbildern zur Illustration

Formulierungen bezüglich einer Veröffentlichung

Die Aufnahmen werden nur dem beschriebenen Personenkreis zu den genannten Zwecken zugänglich gemacht. Diese Personen werden vorab auf ihre Verschwiegenheitspflicht hingewiesen. Eine Veröffentlichung in anderer Form wird nicht erfolgen.
Beispielformulierungen bezüglich der Löschung/ Aufbewahrung
Die angefertigten Aufnahmen werden nur solange aufbewahrt, bis der Verarbeitungszweck erreicht ist. Danach werden die Aufnahmen vollständig gelöscht.

Hinweise zu den Aufnahmegeräten

Aufzeichnungen sollten nach Möglichkeit mit von der Schule gestellten Endgeräten vorgenommen werden. Sollen Aufnahmen mit privaten Endgeräten erfolgen oder mit Geräten des ZfSL, so ist dafür vorab eine Genehmigung der Schulleitung einzuholen, sofern es sich dabei um Datenverarbeitungsgeräte (Tablet, Smartphone, …) handelt. Bei Camcordern, Digitalkameras mit Videofunktion, Audiorekordern, die nicht mit Online-Funktionen des Herstellers zur Datenspeicherung oder Nachbearbeitung gekoppelt sind, braucht es diese Genehmigung nicht. Wird ein privates oder ZfSL eigenes digitales Endgerät für die Anfertigung der Bild- und Tonaufnahmen genutzt, ist sicherzustellen, dass die Aufnahmen nicht in eine Cloud synchronisiert/ gesichert werden, die nicht von der Schule zu diesem Zweck bereitgestellt wird.

Vorlage für eine Einwilligung

Die folgende Vorlage geht davon aus, dass eine Einwilligung für Videoaufnahmen im Unterricht eines/ einer Lehramtsanwärter/in eingeholt werden soll. Sie gilt für ein Schuljahr, eine Person und ein Fach und ist in einfacher Sprache gehalten.3Es wäre prinzipiell möglich, eine solche Einwilligung auch allgemeiner zu gestalten, wenn derartige Aufnahmen sehr regelmäßig vorkommen. Da dieses aber selten der Fall ist, wurde diese Einwilligung anlassbezogen gestaltet.

Stand 07/2025

Ist die Nutzung von nicht vom Schulträger zur Verfügung gestellten Plattformen illegal?

Lesezeit: 8 Minuten

In der 18. Kalenderwoche 2024 ging Schulen im Zuständigkeitsbereich der Bezirksregierung Arnsberg ein Schreiben zu, welches dort für sehr viel Kopfzerbrechen sorgte. Das Schreiben ist die späte Folge eines Falles, bei welchem ein Vater gegen die Nutzung von Google Workspace for Education an einem Dortmunder Gymnasium geklagt hatte und damit durch alle Instanzen bis vor das Oberverwaltungsgericht NRW gegangen war. Das Verfahren endete im Juli 2023 mit einer Selbstverpflichtung der BR Arnsberg, der betreffenden Schule die Nutzung der Plattform zu untersagen. Schon zu der Zeit machte man sich bei der BR Arnsberg Gedanken, welche Konsequenzen der Beschluss des Senats aus drei Richtern über die eine Schule hinaus haben könnte oder auch müsste.

Das Verfahren vor dem OVG

Zur Erinnerung: die Richter hatten sich nicht mit der möglicherweise nicht bestehenden DS-GVO Konformität von Google Workspace for Education befasst, die Klagegrund des Vaters gewesen war, sondern zogen sich auf Verwaltungsrecht zurück und stellten fest, dass die Schule die Plattform gar nicht hätte nutzen dürfen, da sie ihr nicht gem. § 79 SchulG NRW vom Schulträger zur Verfügung gestellt worden war und die Schule dem Schulträger auch nicht die Datenschutzkonformität nachgewiesen hatte. Damit war der Fall für die drei Richter erledigt. Sie hatten bei ihren Überlegungen auch festgestellt, dass der Schulträger bei der Auswahl einer Plattform dafür Sorge tragen muss, dass sie datenschutzkonform nutzbar ist. Sollten Schüler oder Eltern Zweifel an der Datenschutzkonformität hegen, müsse der Schulträger den Nachweis führen. Letzteres sorgte in der Fachwelt für Aufsehen, da die Richter hier dem Schulträger eine Verantwortung zusprachen, welche laut Schulgesetz NRW bei der Schulleitung liegt.1Die hier von dem OVG NRW vertretene Ansicht dürfte daher in der Praxis deutliche Probleme bei den Schulträgern bzw. deren behördlichen Datenschutzbeauftragten auslösen. Wenn man der Auffassung des Gerichts konsequent folgen würde, so würde die Grenze der datenschutzrechtlichen Verantwortlichkeit an der Schnittstelle zwischen innerer und äußerer Schulangelegenheit verwischen.” – (ZD 2023, 627, beck-online) Interessanterweise hatte das OVG aber auch beschrieben, dass die Schule bzw. Schulleitung es versäumt hatte, dem Datenschutzbeauftragten des Schulträgers “den mit Google konkret abgeschlossenen „Vertrag zur Auftragsbearbeitung“ und das „Verzeichnis der Verarbeitungstätigkeiten“ zur Prüfung vorzulegen, um die Datenschutzkonformität nachzuweisen.2Die Schule selbst widerspricht dieser Aussage. Entsprechende Unterlagen hätten “nachweislich sowohl den Datenschutzbeauftragten der Dortmunder Schulen als auch der Bezirksregierung Arnsberg” vorgelegen. Im Verfahren sei dies jedoch nicht klargestellt worden von Seiten der Bezirksregierung.

Das Schreiben der BR Arnsberg

Das Schreiben vom 02.05.2024 richtet sich an die Schulleitungen der öffentlichen Schulen im Regierungsbezirk Arnsberg und hat den Betreff Nutzung von Lehr- und Lernmanagementsystemen sowie Arbeits- und Kommunikationsplattformen in digitaler Form. Es wird auf das 16. Schulrechtsänderungsgesetz verwiesen, sowie § 8 Abs. 2 SchulG NRW sowie § 79 SchulG NRW. Aus diesen beiden folge:

Die Einführung und Nutzung anderer als von dem Schulträger bereitgestellter digitaler Lehr- und Lernmanagementsystemen sowie Arbeits- und Kommunikationsplattformen widerspricht den schulrechtlichen Vorschriften und ist somit rechtswidrig.

Und dieses gelte auch für Lehr- und Lernmanagementsystemen sowie Arbeits- und Kommunikationsplattformen, die bereits vor März 2022 “eigenständig von der Schule eingeführt” worden seien, da die Einführung der neuen Regelung in § 8 Abs. 2 SchulG NRW “lediglich eine klarstellende Funktion” habe.

Die Bezirksregierung begründet ihr Vorgehen damit, dass “die Umstellung […] zur rechtlichen Absicherung der bisherigen Praxis und zur Erfüllung des Bildungsauftrags zwingend notwendig” sei.

Es erfolgt dann noch einmal klar und deutlich, welche Konsequenz sich für Schulen daraus ergibt: “Ich weise darauf hin, dass die Nutzung anderer als vom Schulträger bereitgestellten digitalen Lehr- und Lernmanagementsysteme sowie Arbeits- und Kommunikationsplattformen einzustellen ist und ein Wechsel zu den bereitgestellten Systemen und Plattformen des Schulträgers oder zu LOGINEO NRW zu erfolgen hat.

Es wird dann eine Frist zum Umstellung auf vom Schulträger bereitgestellte Plattformen gesetzt, die zu Beginn des Schuljahres 2024/25 endet. Um Härten zu vermeiden, soll “Schülern sowie den Lehrkräften jedoch ein Zugriff auf die Daten in den bisher genutzten Lehr- und Lernmanagementsysteme bzw. Arbeits- und Kommunikationsplattformen bis zum Ende des Schuljahres 2024/2025 ermöglicht werden.

Was bedeutet das für die Praxis?

Das Schreiben hat, wenn Schulen es konsequent umsetzen, enorme Folgen. Das sieht man auch bei der Bezirksregierung: “Mir ist bewusst, dass diese Umstellung mit einem erheblichen Arbeitsaufwand und weitreichenden Veränderungen der innerschulischen Organisation verbunden sein kann.”

Es stellt sich jedoch eine Frage: Schießt die Bezirksregierung hier nicht deutlich über das Ziel hinaus?

Schaut man sich das 16. Schulrechtsänderungsgesetz und die Begründungen zum Entwurf dazu an, dann geht dort aus keiner Formulierung hervor, dass man im MSB mit der Ergänzung von § 8 Abs. 2 SchulG NRW  eine Klarstellung bezüglich zuvor eingeführter Plattformen beabsichtigte. Vielmehr ging es dem Land darum, den schulischen Einsatz digitaler Lehr- und Lernsysteme sowie digitaler Arbeits- und Kommunikationsplattformen gesetzlich zu verankern. Durch die Ergänzung von § 65 Abs. 2 Nr. 6 und § 120 Abs. 5 Satz 2 wurde dann aufbauend auf dieser Rechtsnorm die Möglichkeit geschaffen, vom Schulträger vorgeschlagene Lehr- und Lernsysteme sowie digitale Arbeits- und Kommunikationsplattformen zu einer verpflichtenden Nutzung an der Schule einzuführen. In der Erläuterung hob der Gesetzgeber hervor, dass diese Entscheidungsbefugnis der Schulkonferenz sich nicht auf vor Inkrafttreten des 16. Schulrechtsänderungsgesetzes eingeführte Plattformen erstreckte.

Auf den Punkt gebracht, ging es dem Gesetzgeber beim 16. Schulrechtsänderungsgesetz mit Blick auf Digitalisierung vor allem um eines:

Den Erfordernissen der Zeit folgend, auch mit Blick auf die Erfahrungen während der Corona Pandemie, wollte man Schulen eine Rechtsgrundlage geben, welche ihnen die Möglichkeit gibt, zwei der wichtigsten Kategorien von digitalen Plattformen zukünftig auch ohne die rechtlich ohnehin umstrittenen Einwilligungen3(in die dazu erforderliche Verarbeitung von personenbezogenen Daten zu unterrichtlichen Zwecken bzw. zur Erfüllung des Bildungs- und Erziehungsauftrags) zu nutzen.

Weder im 16. Schulrechtsänderungsgesetz noch in den Begründungen zum Entwurf des Gesetzes findet sich irgendein Hinweis darauf, dass man damit die Nutzung von zuvor eigenständig beschafften Plattformen für illegal erklären wollte. Es wurde lediglich deutlich gemacht, dass die Entscheidungsbefugnis der Schulkonferenz sich zum einen nur auf Plattformen der genannten Kategorien beschränkt, welche vom Schulträger zur Nutzung vorgeschlagen wurden, und dass sie sich nicht auf zuvor angeschaffte Plattformen erstreckt. Eine “klarstellende Funktion“, welche die Bezirksregierung Arnsberg in der Aufnahme der neuen Regelungen ins Schulgesetz sieht, ist aus keiner Formulierung in den Begründung zum Entwurf des Schulrechtsänderungsgesetzes herleitbar.

Der Senat des OVG hatte extra ausgeführt, dass die Schule dem Schulträger bzw. seinem Datenschutzbeauftragten die Datenschutzkonformität nicht durch Vorlage eines Verfahrensverzeichnisses und des Vertrags zur Auftragsverarbeitung mit Google nachgewiesen hatte.4Was so sachlich nicht korrekt ist. Siehe Fußnote 1 oben. Warum wurde das von den Richtern aufgenommen? Wäre die Nutzung durch die Schule rechtmäßig gewesen, hätten sie dem Schulträger die Datenschutzkonformität nachgewiesen? Möglicherweise sahen die Richter dies als eine Option, wie der Schulträger seiner ihm vom Senat zugeschriebenen Verantwortung bezüglich der Datenschutzkonformität von in der Schule genutzten Plattformen nachkommen und damit in die Bereitstellung eingebunden werden kann.

In der Bezirksregierung Arnsberg hatte man nach dem Verfahren vor dem OVG NRW festgestellt, dass auch die Beantragung von Logineo NRW nicht mit dem Schulgesetz vereinbar sei, da hier die Schule die Beauftragung starte und den Schulträger in diesem Prozess informieren muss. Dies, so die BR Arnsberg müsse genau anders herum sein. Folgt man der Argumentation der Bezirksregierung in ihrem Schreiben an die Schulleitungen, müssen diese auch die Nutzung von Logineo NRW in der gesetzten Frist einstellen, da sie rechtswidrig ist. Oder ist durch die Einbindung des Schulträgers die Einführung dann nicht mehr “eigenständig“? Und welche Rolle spielt es, dass die Plattform  der Schule genau genommen durch das Land zur Verfügung gestellt wird?

Schulen nutzen heute viele Plattformen und Apps, die je nach Nutzungsszenario auch personenbezogene Daten verarbeiten können. Dazu gehören auch kostenlose Apps und Plattformen. Einige der kostenlosen Plattformen werden von Anbietern mit eingeschränkten Funktionen zur Verfügung gestellt. Einen Vertrag zur Auftragsverarbeitung können Schulen aber trotzdem abschließen. Die Finanzmittel des Schulträgers braucht es hier nicht. Mitunter finanziert der Förderverein der Schule eine Plattform, da der Schulträger die Mittel nicht hat, oder eine Firma sponsert die Schule. Einige Schulen nutzen von Firmen gespendete Hardware, etwa Laptops oder Tablets.

An vielen Schulen erfolgt der Kauf von Apps für iPads im VPP Store durch Lehrkräfte, da man so schnell und unbürokratisch entscheiden kann. Gibt es Angebote, die nur einen Tag gültig sind, kann so schnell gehandelt werden. Das Budget für den VPP Store stellt der Schulträger bereit. Eine Kontrolle, welche Apps erworben werden, findet nicht statt. Kaufen die Schulen damit die Apps “eigenständig” oder nicht?

Was können Schulen tun?

In der Regel stimmen sich Schulen mit ihrem Schulträger ab, bevor sie aus ihrem eigenen Etat eine digitale Plattform beschaffen. Das ist sinnvoll, da viele Schulen auf technische und administrative Unterstützung durch den Schulträger oder einen beauftragten Dienstleister angewiesen sind. Selbst wenn die Schule die Administration selbst übernimmt, ist der Schulträger in den meisten Fällen im Bild. Das gilt auch, wenn der Förderverein oder ein Sponsor der Schule Hardware oder eine Plattform zur Verfügung stellt. Mitunter kann ein Schulträger seinen Schulen keine zusätzlichen Finanzmittel für die Beschaffung einer Plattform bereitstellen und gibt der Schule zu verstehen, dass sie das aus eigenen Mitteln leisten muss. Das Geld der Schule stammt ohnehin vom Schulträger und wurde der Schule als Etat zugewiesen. Auch wenn bei Schulen immer noch eine Trennung über innere und äußere Angelegenheiten erfolgt, ist der Schulträger letztlich Eigentümer, auch von Dingen, welche eine Schule aus ihrem Etat bezahlt hat. Zusammenfassend kann man feststellen, dass Schulen nur selten “eigenständig” handeln, wenn sie eine Plattform oder ein System aus ihrem Etat beschaffen oder von anderer Seite zur Verfügung gestellt bekommen. Der Schulträger ist nahezu immer zumindest informiert, häufig aber auch beteiligt. Von daher kann man davon ausgehen, dass Schulen, wenn überhaupt, nur sehr wenige Systeme oder Plattformen tatsächlich eigenständig eingeführt haben und nutzen. Zudem kann man davon ausgehen, dass solange ein Schulträger informiert war und anschließend keine Einwände äußerte, er damit der Schule seine stillschweigende Zustimmung erteilt hat.

Damit war die Einführung und ist die Nutzung der meisten Systeme und Plattformen auch nicht rechtswidrig im Sinne der Auffassung der BR Arnsberg, und sie fallen somit auch nicht unter die im Schreiben gesetzte Frist.

Wie schon im Beitrag zum 16. Schulrechtsänderungsgesetz erläutert, kann die Schulkonferenz erst seit Inkrafttreten der neuen gesetzlichen Regelung in § 65 Abs. 2 Nr. 6 über vom Schulträger vorgeschlagene Systeme und Plattformen entscheiden. Über bereits vorher eingeführte Systeme und Plattformen kann die Schulkonferenz nicht entscheiden. Entsprechend heißt es in den Erläuterungen zum Entwurf des 16. Schulrechtsänderungsgesetzes bezüglich des Rahmens, in welchem die Schulkonferenz über vom Schulträger vorgeschlagene Systeme entscheiden kann: “Die Schulkonferenz kann allerdings nur in dem Rahmen entscheiden, den der Schulträger bereitstellt. Dabei wirkt die Schulkonferenz an der Entscheidung mit, wenn ein Vorschlag seitens des Schulträgers unterbreitet wird, d.h. neue Systeme und Plattformen eingeführt oder wesentlich verändert werden. Auf bisher existierende und bereits genutzte Systeme und Plattformen erstreckt sich die Entscheidungsbefugnis nicht.

Das ist mit Blick auf bereits vorher eingeführte Systeme und Plattformen ungünstig, vor allem wenn diese sonst alle Voraussetzungen mitbringen und man ihre Nutzung gerne verpflichtend machen möchte. Die Logineo NRW Plattformen sind ein gutes Beispiel dafür. Aufgrund der Dienstvereinbarungen mit den Hauptpersonalräten ist ihre Nutzung bisher nur mit Einwilligung, d.h. auf freiwilliger Basis möglich. Diese Regelung wird aber ziemlich sicher irgendwann, wenn MSB und Hauptpersonalräte sich einigen können, entfallen. Wie im Zitat aus der Begründung zum Gesetzesentwurf deutlich wird, war sich der Gesetzgeber bewusst, dass es eine Möglichkeit geben muss, § 65 Abs. 2 Nr. 6 auch auf bereits bestehende Plattformen (wie Logineo NRW) anwenden zu können. Diese Möglichkeit eröffnet sich durch die wesentliche Veränderung.

Eine wesentliche Veränderung kann bei einem System oder einer Plattform sein, wenn Funktionen hinzukommen oder entfallen, es ein größeres Update gibt, durch welches sich die Funktionsweise der Plattform verändert, der Anbieter die Nutzungsbedingungen und/ oder Datenschutzbestimmungen verändert, sich die Art der Nutzung verändert, neue Nutzergruppen hinzukommen und ähnlich.

Fazit

Das Schreiben der BR Arnsberg vertritt eine Auslegung der Regelungen, welche mit dem 16. Schulrechtsänderungsgesetz eingeführt wurden, die extrem restriktiv ist und deren Herleitung für den Autoren dieser Seite nicht nachvollziehbar ist. In seinen Formulierungen ist das Schreiben nicht weit von einer dienstlichen Anweisung entfernt. Stattdessen wird darauf hingewiesen, “dass die Nutzung anderer als vom Schulträger bereitgestellten digitalen Lehr- und Lernmanagementsysteme sowie Arbeits- und Kommunikationsplattformen einzustellen ist und ein Wechsel zu den bereitgestellten Systemen und Plattformen des Schulträgers oder zu LOGINEO NRW zu erfolgen hat.

Blickt man genauer auf die in Schulen aktuell genutzten Systeme und Plattformen, welche eine Schule nicht unmittelbar vom Schulträger zur Verfügung gestellt wurden, so kann man davon ausgehen, dass diese nur selten tatsächlich eigenständig von den Schulen eingeführt wurden. Darüber hinaus besteht die Möglichkeit, die Schulkonferenz entscheiden zu lassen, wenn es an einem bereits genutzten System oder einer bereits genutzten Plattform zu wesentlichen Veränderungen kommt. Der Schulträger muss der Schulkonferenz dann einen entsprechenden Vorschlag zur Nutzung unterbreiten.

Anlage: Vorschlag zur Nutzung digitaler Plattformen und Software gemäß Schulgesetz NRW.docx5Hinweis: Dieses Muster ist ein Vorschlag, wie ein entsprechende Schreiben des Schulträgers an die Schulkonferenz aussehen könnte.

Was heißt das alles jetzt eigentlich für den Schulträger?

Müssen Schulträger jetzt für jede App und Plattform, welche sie einer ihrer Schulen zur Nutzung vorschlagen wollen, eine umfangreiche Datenschutzprüfung in Auftrag geben? Davon ist ziemlich sicher nicht auszugehen. Es sollte reichen, wenn sich die behördlich bestellten schulischen Datenschutzbeauftragten die Plattform ansehen und eine einfache Bewertung vornehmen. Mit Recherche findet man oftmals bereits Hinweise aus anderen Quellen, ob eine Plattform datenschutzfreundlich nutzbar ist oder nicht. Wenn ein anderes Bundesland eine Plattform offiziell seinen Schulen bereitstellt, wie etwa itslearning in Baden Württemberg, HPI Schul-Cloud in Brandenburg, fobizz in Rheinland-Pfalz, Mecklenburg-Vorpommern und Sachsen oder bettermarks in Rheinland-Pfalz, Niedersachsen, Berlin und Bremen, kann man sich als Schulträger daran orientieren. Handelt es sich um eine Plattform, die über Vidis vermittelt wird, kann sich der Schulträger darauf verlassen, dass eine Datenschutzprüfung vor Aufnahme erfolgt ist. Zu den Informationen, welche ausgewertet werden sollten, gehören natürlich auch die Dokumentation des Anbieters und seine Zusicherung der DS-GVO Konformität. Bezüglich dieser Aussagen eines Anbieters kann man dann auf das OLG Karlsruhe, Beschluss vom 07.09.2022 – 15 Verg 8/22 verweisen. Der Beschluss sagt, dass solange es keine konkreten Anhaltspunkte dafür gibt, dass die vertraglichen Zusagen des Anbieters zweifelhaft sind, ein öffentlicher Auftragsgeber auch nicht gehalten ist, durch Einholung ergänzende Informationen die Erfüllbarkeit des Leistungsversprechens beziehungsweise die hinreichende Leistungsfähigkeit des Bieters (meint hier einen Anbieter, der einen Auftrag zur Bereitstellung einer Plattform haben will)  zu prüfen. Zu dem Leistungsversprechen gehört auch die Zusage, dass man DS-GVO konform sei. – https://openjur.de/u/2449559.html. Mancher Schulträger mag sich an der Stelle vielleicht fragen, ob er Garantien für den Datenschutz übernimmt? Angenommen es kommt erneut zu einem Fall, der dem vor dem OVG vergleichbar ist, und der Schulträger müsste darlegen, ob und wie er vorab oder auch im Nachhinein geprüft hat, ob die Plattform datenschutzrechtlich unbedenklich ist. Das Gericht muss letztlich akzeptieren, was der Schulträger angibt, wenn dieser vorgegangen ist, wie zuvor beschrieben, zumal weder das Schulgesetz noch ein anderes Recht dem Schulträger konkret eine datenschutzrechtliche Verantwortung zuschreibt, wie dieses die Richter des Senats des OVG getan haben.

Erprobungsstufenkonferenz

Lesezeit: 2 Minuten

In Grundschulen kommt immer wieder die Frage auf, welche Informationen weiterführenden Schulen über die ehemaligen Schülerinnen und Schüler gegeben werden dürfen.

Es gilt wie überall die Grundregel, dass eine Schule die personenbezogenen Daten der Schülerinnen und Schüler nur Personen zugänglich machen darf, sofern es dafür eine Rechtsgrundlage im Schulgesetz NRW gibt oder die Betroffenen, hier die Eltern der Grundschülerinnen und Schüler, der Übermittlung zuvor zugestimmt haben.

Für die Weitergabe an weiterführende Schulen gibt es eine wichtige Rechtsgrundlage, die es Grundschulen erlaubt, Daten ihrer ehemaligen Schülerinnen und Schüler preiszugeben. Das ist § 10 Abs. 4 Ausbildungs- und Prüfungsordnung Sekundarstufe I – APO-S I (BASS 13-21 Nr. 1.1):

“Für Zusammensetzung, Stimmberechtigung und Verfahren der Erprobungsstufenkonferenzen gilt § 50 Absatz 2 Schulgesetz NRW. Den Vorsitz führt die Schulleiterin oder der Schulleiter oder eine mit Koordinierungsaufgaben beauftragte Lehrkraft. Die Lehrkräfte, die die Schülerin oder den Schüler in der Grundschule unterrichtet haben, können an den Erprobungsstufenkonferenzen teilnehmen.”

Während der zweijährigen Erprobungsstufe, Klasse 5 und 6, finden gem. § 10 Abs. 3 APO-SI jährlich drei sogenannte Erprobungsstufenkonferenzen statt. In diesen wird “über die individuelle Entwicklung der Schülerin oder des Schülers, über etwaige Schwierigkeiten, deren Ursachen und mögliche Wege zu ihrer Überwindung und über besondere Fördermöglichkeiten beraten.

Um hier optimal beraten zu können, werden zu einer der ersten Erprobungsstufenkonferenzen in der Regel auch die ehemaligen Lehrerinnen und Lehrer der Schülerinnen und Schüler an der Grundschule eingeladen, denn diese kennen die Kinder meist schon über einen längeren Zeitraum. Auf der Grundlage von § 10 Abs. 4 APO-SI könnten sich die Lehrkräfte der weiterführenden Schule deshalb mit ihren Kolleginnen und Kollegen aus der Grundschule über die einzelnen Kinder austauschen, soweit es um Noten, konkrete Probleme, bewährte Strategien, ein Kind zu unterstützen und ähnlich geht. Die Grenzen des Austauschs setzt wie immer auch hier § 120 Abs. 1 Satz 2 SchulG NRW, wonach die gespeicherten personenbezogenen Daten in der Schule nur den Personen zugänglich gemacht werden dürfen, die sie für die Erfüllung ihrer Aufgaben benötigen. Hier geht es dann konkret um die Aufgabenerfüllung der Erprobungsstufenkonferenz. Entsprechend heißt es im Wingen Kommentar zu Schulgesetz:

Die Grundschullehrkräfte dürfen personenbezogenen Angaben ihrer früheren Schülerin oder ihres ehemaligen Schülers in der Erprobungsstufenkonferenz an die anderen Mitglieder (nur) übermitteln, soweit diese Angaben zur Aufgabenerfüllung der Konferenz erforderlich sind.14. Erg.-Lfg., SchulG NRW – Kommentar, März 2008, Katernberg

Streng genommen bedeutet das auch, dass bei Anwesenheit von Lehrkräften verschiedener Grundschulen in einer Erprobungsstufenkonferenz kein Austausch über einzelne Schülerinnen und Schüler zulässig ist. Es kann dann nur über allgemeine Probleme und Maßnahmen gesprochen werden. Soll über einzelne Schülerinnen und Schüler gesprochen werden, müssen die Gespräche auf die zuständigen Personen begrenzt werden. In einem größeren Raum lässt sich dieses beispielsweise umsetzen, in dem die Grundschullehrkräfte einzelne Tische erhalten und dort dann von den Lehrkräften der weiterführenden Schule, die nun die ehemaligen Schülerinnen und Schüler unterrichten, besucht werden können.

Die Beschränkung des Austauschs über Kinder auf die zur Aufgabenerfüllung der Konferenz erforderlichen Daten bedeutet darüber hinaus, dass es über Kinder, die in der Erprobungsstufe keine Probleme haben, diesen Austausch eben nicht gibt.

Dass auch die Grundschullehrkräfte bei der Teilnahme an der Erprobungsstufe Informationen über ihre ehemaligen Schülerinnen und Schüler erhalten, liegt in der Natur der Sache.

Stand 08/2023

LDI NRW Schrift zu Unterricht und Datenschutz – Oktober 2022

Lesezeit: 10 Minuten

Die Schrift Digitaler Unterricht in Schulen – Der Grundstein ist gelegt der LDI NRW ist ein wichtiges Dokument für Schulen, da es nicht nur den aktuellen Rechtsrahmen für die Verarbeitung von personenbezogenen Daten von Schülern und Lehrkräften im Unterricht und die rechtlichen Zuständigkeiten der verschiedenen beteiligten Stellen beschreibt, sondern auch, weil es eine Kommentierung einschließt. Angesprochen wird auch die Nutzung von Online-Plattformen wie Microsoft 365.

Datenverarbeitung durch den Schulträger

Im ersten Teil der Schrift werden die verschiedenen Zuständigkeiten der mit dem System Schule und der dort stattfindenden Datenverarbeitung befassten Stellen beschrieben, beginnend mit der Schulleitung und den schulischen Datenschutzbeauftragten, fortgeführt mit der Zuständigkeit des Schulträgers und des Schulministeriums und abschließend mit der eigenen Rolle, die der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW (LDI NRW) hierzu kommt. Von besonderem Interesse ist in diesem Abschnitt die Stelle, in welcher es um den Schulträger geht. Dieser ist, im Gegensatz zur Schulleitung, die für innere Angelegenheiten zuständig ist, und damit Verantwortlicher für die Verarbeitung von personenbezogenen Daten in der Schule selbst, für die äußeren Angelegenheiten zuständig. Bezüglich des Schulträgers und seiner Zuständigkeit für die Verarbeitung von personenbezogenen Daten im Zusammenhang mit Schule, stellt die Aufsichtsbehörde fest:

“Soweit die Schulträger im Zusammenhang mit diesen äußeren Schulangelegenheiten personenbezogene Daten verarbeiten, sind sie als datenschutzrechtlich Verantwortliche anzusehen.

… diesen äußeren Schulangelegtenheiten” bezieht sich hier auf § 79 Abs. 1 SchulG NRW.

„Die Schulträger sind verpflichtet, die für einen ordnungsgemäßen Unterricht erforderlichen Schulanlagen, Gebäude, Einrichtungen und Lehrmittel bereitzustellen und zu unterhalten sowie das für die Schulverwaltung notwendige Personal und eine am allgemeinen Stand der Technik und Informationstechnologie orientierte Sachausstattung zur Verfügung zu stellen.“ 

Das heißt, der Schulträger darf personenbezogene Daten im Zusammenhang mit diesen äußeren Angelegenheiten verarbeiten und gilt dann als Verantwortlicher. In den meisten Fällen tritt der Schulträger eher als Auftragsverarbeiter auf, etwa wenn er administrative Aufgaben für die Schule in einer schulischen Plattform übernimmt oder bei Support- und Wartungsaufgaben durch kommunale Mitarbeiter, bei denen diese mit Plattformen oder Hardware zu tun haben, mit welchen personenbezogene Daten der Schule verarbeitet werden oder auch durch die Bereitstellung einer Person, die in kommunalen Diensten steht, für das Schulsekretariat.

Ein Fall, in welchem der Schulträger selbst Verantwortlicher sein kann, wäre beispielsweise der Verleih von Dienstgeräten an Lehrkräfte im Rahmen der Ausstattungsinitiative des Bundes und des Landes. In der Richtlinie über die Förderung von dienstlichen Endgeräten für Lehrkräfte an Schulen in Nordrhein-Westfalen wird beispielsweise geschrieben, dass der Schulträger die Geräte entsprechend verwalten muss.

Die Einwilligung im Zusammenhang mit Unterricht

Im zweiten großen Abschnitt geht es um die rechtlichen Rahmenbedingungen der Datenverarbeitung durch die Schule als verantwortlicher Stelle. Hier sind neben den Rechtsgrundlagen aus der DS-GVO und dem DSG NRW vor allem die spezialgesetzlichen Regelungen des Schulgesetzes NRW und die anhängigen Verordnungen zur Datenverarbeitung relevant. Die Schrift geht an dieser Stelle auch auf die Problematik der Einwilligung im Zusammenhang mit dem Unterricht ein und kommt zu dem Schluss:

Für Schulen kann die Einwilligung im Zusammenhang mit dem Unterrichtsgeschehen regelmäßig keine Rechtsgrundlage für die Datenverarbeitung bieten. Wesentlich für eine wirksame Einwilligung ist, dass sie freiwillig erteilt wird. Diese Freiwilligkeit ist in aller Regel bei Datenverarbeitungen, die
den digitalen Unterricht ermöglichen sollen, nicht gegeben, weil die Schüler*innen
am Unterricht teilnehmen müssen und keine freie Wahl haben.” 

Diese drei Sätze sagen mehr, als auf den ersten Blick offensichtlich. Es wird damit nicht gesagt, dass die Verarbeitung von personenbezogenen Daten im Zusammenhang mit dem Unterrichtsgeschehen nicht auch auf der Rechtsgrundlage eine Einwilligung erfolgen kann. Die Einwilligung ist jedoch je nach Zusammenhang problematisch, da sie nur dann rechtswirksam ist, wenn sie freiwillig erteilt wird und das ist sehr häufig (“in aller Regel”) nicht der Fall, da Schüler verpflichtet sind, am Unterricht teilzunehmen. Wenn im Unterricht beispielsweise eine Plattform genutzt werden soll, über welche Schülerinnen und Schüler zusammenarbeiten, ihre Aufgaben erhalten und Lernprodukte erstellen und abgeben, und zur Nutzung dieser Plattform eine Einwilligung erforderlich ist, dann kann davon ausgegangen werden, dass eine Freiwilligkeit hier nicht mehr gegeben ist. Eine Freiwilligkeit würde gleichwertige Alternativen voraussetzen. Diese im Fall einer solchen Plattform zu schaffen, ist so gut wie unmöglich. Das gleiche wäre der Fall, wenn die Klasse an einem Online-Tool , dessen Nutzung eine Einwilligung voraussetzt, gemeinsam ein Wissensnetzwerk erstellen soll. Alle Schüler sollen einen Beitrag erstellen und mit anderen Beiträgen vernetzen. Die Lehrkraft will anschließend die Beiträge bewerten. Von Freiwilligkeit kann hier zumindest im Sinne von Datenschutzrecht nicht mehr ausgegangen werden. Entsprechend heißt es in der Schrift etwas weiter im Text:

Werden Daten von Schüler*innen im Zusammenhang mit digitalem Unterricht erhoben, ist es den Schüler*innen oder deren Eltern in aller Regel nicht möglich, sich frei und ohne Nachteile für die Schüler*innen gegen die Verarbeitung ihrer Daten zu entscheiden, weil sie ansonsten von der Nutzung der konkreten Anwendung und damit zumindest teilweise vom Unterricht ausgeschlossen wären.” Auch hier wird noch einmal ausgedrückt, dass eine freie Entscheidung in sehr vielen Fällen (“in aller Regel”) nicht möglich sein wird.

Anders gestaltet sich das jedoch, wenn die Nutzung einer Plattform oder die Aufnahme und Verwendung von Medien eine Option ist, um im Unterricht an einem Projekt zu arbeiten. Dann haben Schülerinnen und Schüler die Möglichkeit zu wählen und sind nicht gezwungen, eine Plattform zu nutzen oder beispielsweise Tonaufnahmen von sich selbst anzufertigen. Das bedeutet letztlich, man muss im Zusammenhang mit Unterricht sehr genau überlegen, ob eine Einwilligung möglich ist. Die Landesplattform Logineo NRW LMS setzt mit Stand von Oktober 2022 eine Einwilligung zwingend voraus. Das bedeutet, es ist schwierig, Unterricht auf dieser Plattform abzubilden und Schulen stoßen dann an ihre Grenzen, wenn einzelne Mitglieder in der Lerngruppe hier Ihre Einwilligung verweigern oder widerrufen.

Was für die Einwilligung für Schülerinnen und Schüler gilt, das gilt selbstredend auch für Lehrkräfte in gleicher Weise. Abschließend fasst die Schrift zum Thema Einwilligung kurz zusammen, unter welchen Voraussetzungen die Einwilligung als Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten in der Schule genutzt werden kann.

Eine Einwilligung kann nur dann eine Rechtsgrundlage für die Datenverarbeitung sein, wenn sich die Betroffenen frei von sozialem Druck oder Zwang für oder gegen die Verarbeitung ihrer personenbezogenen Daten entscheiden können.” Bei der Verarbeitung von personenbezogenen Daten etwa zur Öffentlichkeitsarbeit oder in anderen Zusammenhängen außerhalb des Unterrichts kann die Einwilligung durchaus ein Rechtsgrundlage bieten.

Datenverarbeitung zur Aufgabenerfüllung

Der Teil der Schrift, welcher sich mit den Rechtsgrundlagen zur Datenverarbeitung durch die Schule auseinandersetzt, welche sich aus der DS-GVO und dem nationalen Recht ergeben, endet mit einem Hinweis darauf, dass ich die Datenverarbeitung für den Einsatz digitaler Unterrichtsanwendungen an der Erfordernis zur Aufgabenerfüllung der Schule orientieren muss.

Schulen müssen immer betrachten, welche Aufgabe sie zu erfüllen haben und welche Datenverarbeitungen dafür erforderlich sind. Schwierigkeiten bereiten in der Regel Anwendungen, die neben den für schulische Zwecke erforderlichen Datenverarbeitungen von den Anbietern voreingestellte Datenverarbeitungen vorsehen, die nicht den schulischen Zwecken dienen. Lassen sich diese Voreinstellungen nicht durch die Schule abstellen, sind diese Anwendungen für den digitalen Unterricht nicht geeignet.

Nicht zur Aufgabenerfüllung erforderliche Datenverarbeitungen in einer unterrichtlich genutzten Plattform sind vielfach problematisch und können, wenn sie sich nicht innerhalb der Plattform deaktivieren lassen, dazu führen, dass eine solche Plattform im Unterricht nicht genutzt werden kann. Zu den nicht für schulische Zwecke erforderlichen Datenverarbeitungen könnten beispielsweise Telemetriedaten zählen, welche personenbezogene oder -beziehbare Daten beinhalten. In einer Plattform wie der Offline Version von Microsoft Office lassen sich diese beispielsweise durch einen Administrator komplett deaktivieren, wie auch weitere Datenflüsse zu Servern von Microsoft. In der Open Source Videokonferenz Plattform BigBlueButton gibt es mittlerweile eine Funktion zur Überwachung der Aktivität von Teilnehmern an einer Videokonferenz. Die Nutzung davon ist nicht für die Aufgabenerfüllung der Schule erforderlich. Sie kann deaktiviert werden, wodurch die Plattform weiterhin für die Anwendung im Unterricht geeignet ist.

Auftragsverarbeitung und Drittstaatentransfer

Diese beiden Anforderungen werden recht kurz und knapp unter den weiteren Anforderungen behandelt, welche von Schulen bei der Verarbeitung von personenbezogenen Daten beachtet werden müssen. Bei Auftragsverarbeitern muss die Schule sicherstellen, dass personenbezogenen Daten nur auf ihre Weisung und zu ihren Zwecken verarbeitet werden und die Vertraulichkeit im Zusammenhang mit der Verarbeitung sichergestellt ist. Dieses ist bisher gerade im Zusammenhang mit der Nutzung von Microsoft 365 nach Einschätzung der Aufsichtsbehörden ein Problem gewesen, da Microsoft sich in den Vertragsbedingungen das Recht einräumte, personenbezogene oder -beziehbare Daten auch zu eigenen Zwecken (interne Abrechnungszwecke) zu verarbeiten. Das Thema Drittstaatentransfer wird nur kurz umrissen und es wird auf weitere Schriften der Aufsichtsbehörde verwiesen. Nach Einschätzung der Aufsichtsbehörde liegt ein Drittstaatentransfer nicht nur dann vor, wenn der Auftragsverarbeiter oder Produkthersteller personenbezogene Daten in Drittländer übermittelt, etwa zu Wartungs- oder Support-Zwecken, sondern auch “wenn der Dienstleister oder dessen Auftragnehmer aus dem Drittland heraus auf in der EU gehaltene Daten zugreift.” Bei großen US-amerikanischen Anbietern ist dieses über viele Jahre gängige Praxis gewesen. Einige Anbieter sind mittlerweile dabei, dieses zu ändern.1In der Fachwelt gab es in diesem Zusammenhang unterschiedliche Ansichten, wie die Möglichkeit einzuschätzen ist, dass ein US-Anbieter auf die Daten in der EU zugreifen könnte. Liegt dadurch bereits ein Drittstaatentransfer vor oder nicht?

Datenschutzbeauftragte und Personalvertretung

Einen kurzen Hinweis gibt es bezüglich der Verarbeitung der personenbezogenen Daten von Lehrkräften, wenn dabei Rückschlüsse auf das Verhalten und die Leistung der Lehrkräfte möglich ist. In einem solchen Fall sind die behördlichen Datenschutzbeauftragten wie auch die Personalvertretung mit einzubeziehen, um den Rechten der Lehrkräfte Rechnung zu tragen.

Lehrer- und Schülergeräte

Hier greift die Schrift die Regelungen zu Dienstgeräten und Ausnahmen für die Nutzung von privaten Endgeräten für die Verarbeitung von personenbezogenen Daten aus der Schule auf, welche auf die Anregungen der Aufsichtsbehörde selbst zurückgehen und diese weitestgehend umsetzen. Bezüglich der Nutzung von digitalen Endgeräten durch Schülerinnen und Schüler für Unterrichtszwecke kommt man bei der Aufsichtsbehörde zum Schluss, dass verpflichtende Regelungen zur Nutzung digitaler Endgeräte nur möglich sind, wenn Schülerinnen und Schüler mit diesen ausgestattet werden und keine privaten Geräte zum Einsatz kommen.

Ein Punkt, der etwas ausführlicher behandelt wird, ist die Möglichkeit zur Überwachung der Bildschirme von Schüler Geräten. Nach Einschätzung der Aufsichtsbehörde ist solches durchaus zulässig, auch die Aufnahme des Bildschirm Inhaltes in Form eines Screenrecording, wenn dieses “zur Wahrnehmung ihres Bildungs- und Erziehungsauftrags erforderlich ist,” und “beispielsweise zum Nachweis einer unzulässigen Nutzung des Geräts im Unterricht” dient. Betroffene müssen über das Bestehen dieser Möglichkeiten vorab informiert werden. [Etwas problematisch an dieser Stelle ist, dass diese Funktionen Mobile Device Management Systemen (MDM) zugeschrieben werden, was sachlich so nicht korrekt ist, da diese Systeme zur Verwaltung von Endgeräten derartige Funktionen nicht beinhalten. Bei iOS lassen sich derartige Funktionen nur über Apple Classroom nutzen. Intune das MDM von Microsoft benötigt für eine solche Funktion die Integration eines zusätzlichen Dienstes wie TeamViewer.]2Ich gehe davon aus, dass die Aufsichtsbehörde hier die Wortwahl noch anpassen wird.

Digitale Systeme für den Unterricht

Dieser dritte große Teil der Schrift ist besonders interessant, weil hier auch Neuerungen im Datenschutzrecht beschrieben werden. Zunächst einmal wird darauf hingewiesen, dass Betroffenen immer klar sein muss, ob die Nutzung einer Plattform für sie verpflichtend oder freiwillig ist. Wie zuvor an verschiedenen Stellen beschrieben dürfen Schulen zur Verarbeitung von personenbezogenen Daten nur Produkte einsetzen, die sich datenschutzkonform, auch in Bezug auf die Sicherheit der Verarbeitung, nutzen lassen. Hier ist die Schule nun in der Pflicht, dieses zu prüfen. Schulen, die diesen recht hohen Aufwand nicht erbringen können, werden auf die Angebote des Landes verwiesen.

Rechtliche Änderungen gibt es bei der Nutzung von Videokonferenz Plattformen. Seit Inkrafttreten des Telekommunikationsgesetzes (TKG) und Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) Ende 2021 gelten “gegen Entgelt erbrachte Videokonferenzsysteme grundsätzlich als Tele- kommunikationsdienste.” Dadurch verändern sich rechtliche Verantwortlichkeiten. War die Schule bisher auch für die Verarbeitung von Metadaten wie der IP Adressen, Browserdaten, die übertragenen Datenmengen und Betriebssysteminformationen von Teilnehmern verantwortliche Stelle, so geht hier jetzt die Verantwortung auf den Anbieter der Videokonferenz Plattform über. Geschäftsmäßig erbrachte Videokonferenz Dienste unterliegen hier dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Inhalte von Videokonferenzen, Daten für Nutzerkonten oder die Einladung von Teilnehmern via E-Mail, in einer Videokonferenz mitlaufende Chats und gemeinsam bearbeitete Online Whiteboards, die Speicherung von Chats oder sonstige Verarbeitung, datenschutzfreundliche Voreinstellungen und ähnlich unterliegen wie bisher der Verantwortung der Schule. Zuständig ist hier in Bezug auf die Datenschutzkontrolle auch weiterhin die LDI NRW.

Im Folgenden beschreibt die Schrift dann den rechtlichen Rahmen für die Nutzung von Videokonferenz Plattformen, wie er sich auf dem SchulG NRW ergibt. Dabei geht es auch um die Unzulässigkeit der Teilnahme von Dritten, etwa Familienangehörigen, am Unterrichtsgeschehen per Videokonferenz, und der Aufzeichnung von Unterricht auf diesem Wege ohne eine vorliegende Einwilligung der Betroffenen. Kurz beschrieben werden auch die Bedingungen für die Verpflichtung von Schülern, die Kamera während einer Videokonferenz einzuschalten, das Streamen von Unterricht und der Einsatz sogenannter Telepräsenzroboter. Letzteren widmet die Schrift fast zwei ganze Seiten, um den Einsatz dieser Systeme rechtlich einzuordnen und Schulen Handlungsempfehlungen zu geben. Bevor es dann um datenschutzfreundliche Voreinstellungen für Videokonferenz Plattformen geht, werden noch Elternsprechtage per Videokonferenz in einem Exkurs behandelt. Da es aus dem Schulgesetz NRW keine Rechtsgrundlage für die Verarbeitung der dafür erforderlichen personenbezogenen Daten gibt, braucht es hier von Seiten der Eltern eine Einwilligung. Bei dieser sieht die Aufsichtsbehörde keine Bedenken, da sie nicht im Zusammenhang mit dem Unterrichtsgeschehen steht und Eltern immer auch die Alternative haben, zu telefonieren und oder persönlich in die Schule zu kommen.

Der letzte Abschnitt des dritten Teils der Schrift behandelt Messenger. Auch diese fallen wie gegen Entgelt erbrachte Videokonferenz Dienste unter Telekommunikationsdienste und entsprechend fallen hier die Metadaten unter die Verantwortlichkeit der Anbieter und die Inhalte sowie die zur Herstellung einer Verbindung erforderlichen Daten in die Zuständigkeit der Schule. “Messengerdienste, die im Zusammenhang mit der Herstellung der Kommunikation Daten verarbeiten, die für die Erbringung der Telekommunikationsleistung nicht erforderlich sind, sind für den Einsatz in Schulen nicht geeignet.” ist eine klare Ansage, durch welche etwa Messenger Dienste wie WhatsApp, welche die Adressbuchdaten der Teilnehmer mit den Servern des Anbieters abgleichen und dabei Daten unbeteiligter Dritter ohne deren Einwilligung übermitteln, für eine schulische Nutzung ausscheiden, “da die Schule ansonsten die Verarbeitung von personenbezogenen Daten veranlasst, die über das für ihre Aufgabenwahrnehmung erforderliche Maß im Sinne von §§ 120 Abs. 5, 121 Abs. 1 Satz 1 SchulG hinausgeht.”3Es ist möglich, diesen Adressbuchabgleich zu unterbinden. Das setzt jedoch entsprechende Kenntnisse voraus, die nicht von jedem Nutzer erwartet werden können.

Die Schrift schließt mit einem Ausblick und Erwartungen für die Zukunft. Besonders interessant ist dabei der Teil, in welchem es um die aktuell von vielen Schulen genutzten Plattformen großer US-amerikanischer Anbieter geht. Auch wenn im Text keine Produktnamen genannt werden, ist klar, dass es vor allem um Microsoft 365 geht. Was gesagt wird, gilt jedoch auch für Google Workspace for Education und vergleichbare Produkte.

In der pandemiebedingten Ausnahmesituation eingesetzte Lösungen, die nicht datenschutzkonform waren, sind nun von den Verantwortlichen anzupassen oder auszutauschen, wenn sie dauerhaft zum Einsatz kommen. Hier sind die Verantwortlichen gefordert, sobald wie möglich ein den aktuellen Umständen angemessenes Schutzniveau zu gewährleisten. Die LDI NRW setzt hierbei schwerpunktmäßig auf Überzeugungsarbeit bei den Verantwortlichen, nicht auf Untersagungen und Verbote. Selbstverständlich behalten wir uns vor, in Einzelfällen auch prüfend und kontrollierend tätig zu werden.

Die Aufsichtsbehörde erwartet von den Schulen, dass sie die während der Notsituation in der Pandemie kurzfristig beschafften Lösungen wie Microsoft 365 und Teams entweder so anpassen, dass die Verarbeitung von personenbezogenen Daten mit einem angemessene Schutzniveau erfolgt oder, wenn ihnen dieses nicht möglich ist die Nutzung dieser Plattformen einstellen. Dabei räumt sie den Verantwortlichen in Schule ein wenig Spielraum ein. Einmal wird eine zeitliche Vorgabe gemacht, “sobald wie möglich” und dann wird die Angemessenheit des Schutzniveaus an den “aktuellen Umständen” orientiert. Letzteres heißt aber auch, wenn man davon ausgeht, dass die Umstände sich mittlerweile weitestgehend normalisiert haben, dass dann auch beim Schutzniveau keine Abstriche mehr gemacht werden sollten. Anders als einige andere Aufsichtsbehörden setzt die LDI NRW weniger auf Druck durch Untersagungen und Verbote als auf “Überzeugungsarbeit bei den Verantwortlichen.” Wie diese genau aussehen wird, bleibt dabei offen. Es ist zu erwarten, dass die Aufsichtsbehörde sich in Kürze zu Microsoft 365 und der Nutzung für den Unterricht äußern wird. Das dürfte frühestens im November erfolgen, wenn die Arbeitsgruppe der Datenschutzkonferenz erneut darüber abstimmen wird, ob die Plattform bezüglich des von Microsoft bereitgestellten Vertragswerks datenschutzkonform genutzt werden kann. Auch wenn die Aufsichtsbehörde Veränderungen durch Überzeugungsarbeit erreichen möchte, so behält sie sich Prüfungen und Kontrollen vor. Diese sollen jedoch auf Einzelfälle beschränkt bleiben. Darin unterscheidet sie sich nicht von den anderen Aufsichtsbehörden, die ebenfalls angekündigt haben, bei Beschwerden tätig werden.

Mit Blick auf die Zukunft schaut die Schrift auf Projekte, welche an datenschutzrechtlichen Zertifizierungen für Plattformanbieter im Bildungsbereich arbeiten. Derartige Zertifizierung sollten Verantwortlichen zukünftig eine Entlastung bescheren, da sie dann nicht selbst vor der Herausforderung stehen, Plattformen beurteilen zu müssen.

Fazit

Mit der Schrift Digitaler Unterricht in Schulen – Der Grundstein ist gelegt hat die Aufsichtsbehörde eine für Schulen hilfreiche Zusammenstellung der datenschutzrechtlichen Grundlagen für die Arbeit mit digitalen Plattformen im Unterricht und darüber hinaus geschaffen. Sie greift dabei die entscheidenden Passagen aus den zugrunde liegenden Rechtstexten auf und erläutert diese näher. Lesern sollte klar sein, dass es sich dabei um die Lesart der Aufsichtsbehörde handelt. Andere Lesarten können durchaus möglich sein. orientiert man sich an dir der Aufsichtsbehörde, ist man jedoch in der Regel auf der sicheren Seite. Mit dem zweiten Teil des Titels “Der Grundstein ist gelegt” macht die Aufsichtsbehörde klar, dass mit den neu geschaffenen datenschutzrechtlichen Regelungen im Schulgesetz und den anhängigen Verordnungen nun ein Fundament umgelegt ist, auf welchem man zukünftig aufbauen kann. Vor den Beteiligten liegt also noch einige Arbeit. Das schließt auch den Gesetzgeber mit ein, denn es ist, wie Beispiele aus anderen Bundesländern zeigen, durchaus möglich, die Erfordernis für Einwilligungen durch zusätzliche Rechtsgrundlagen weiter zu reduzieren. Ein Beispiel hierfür wäre die pädagogische Nutzung von Bild und Tonaufnahmen für den Unterricht.

Stand 10/2022

Entschuldigungen – Aufbewahrungspflicht

Lesezeit: 3 Minuten

Personenbezogene Daten, welche in der Schule verarbeitet werden, unterliegen Aufbewahrungs- und Löschpflichten. Diese sind in § 9 VO-DV I (BASS 10-44 Nr. 2.1), die Schülerinnen und Schüler und Erziehungsberechtigten betreffend geregelt und in § 9 VO-DV II (10 – 41 Nr. 6.1), die Lehrkräfte betreffend.

Vertiefende Informationen zum Thema Aufbewahrungs- und Löschfristen, einschließlich eines Löschkonzeptes, finden sich im Beitrag “Aufbewahrungsfrist abgelaufen – und jetzt?

Im § 9 Abs. 1 Nr. 4 VO-DV I findet sich der folgende Eintrag

4. alle übrigen Daten 5 Jahre

Während unter den Nummern 1 – 3 die Datenkategorien, um die es geht, genau bezeichnet sind, heißt es in Nr. 4 einfach nur “alle übrigen Daten.” Das meint dann alle Daten, die nicht unter den Nummern 1 – 3 aufgeführt worden sind. Doch bedeutet “alle” wirklich alle?

Die Antwort lautet, ja. Sofern es sich nicht um Kopien handelt, sind auch Daten, die nicht zu den Kategorien der Nummern 1 – 3 gehören, aufzubewahren, dann jedoch nur 5 Jahre, gerechnet ab Ende des Kalenderjahres, in welchem die “Akten oder Dateien abgeschlossen worden sind jedoch nicht vor Ablauf des Kalenderjahres, in dem die Schulpflicht endet, sofern nichts anderes bestimmt ist.

Entschuldigungen

Fehlt ein Kind in der Schule aus Krankheitsgründen, sind die Eltern gem. BASS 12-51 Nr. 1 Nr. 2.2 verpflichtet, dieses schriftlich zu entschuldigen. Gibt es von Seiten der Schule begründete Zweifel, kann diese ein ärztliches Attest einfordern.1“2.2 Schulversäumnisse aus Krankheitsgründen sind von den Eltern schriftlich zu entschuldigen. Bei begründeten Zweifeln kann die Schule ein ärztliches Attest verlangen.”

Doch gehören Entschuldigungen und Atteste zu “alle übrigen Daten”? An verschiedenen Stellen wird die Ansicht vertreten, dass dem nicht so ist. Fehlzeiten werden von der Schule mit entschuldigt/ unentschuldigt im Klassen- oder Kursbuch dokumentiert und dann gem. § 49 SchulG NRW als entschuldigte und unentschuldigte Fehlzeiten im Zeugnis zum Halbjahr und zum Schuljahresende aufgenommen. Sobald nach 30 Tagen die Widerspruchsfrist endet, so die von diesen Stellen vertretene Ansicht, können die Entschuldigungen vernichtet werden.

Das ist so nicht richtig. Entschuldigungen gehören zu Nr. 4 “alle übrigen Daten”, wie in BASS 12-51 Nr. 5 Überwachung der Schulpflicht unter Nr. 3 nachzulesen ist. Dort heißt es:

Fehlzeiten sind als Organisations- bzw. Schullaufbahndaten sowie als Leistungsdaten in das Schülerstammblatt aufzunehmen (§ 4 Absatz 2 in Verbindung mit Anlage 1 VO-DV I). Fehlzeiten sind zudem in Klassenbüchern und Kursheften anzugeben, die gemäß § 4 Absatz 5 VO-DV I in Verbindung mit Anlage 2 als obligatorische Dokumentation zum sonstigen Datenbestand zählen. Dies gilt auch für schriftliche Entschuldigungen und vorgelegte Atteste als Teil der Schülerakte (Schülerbegleitmappe). Schriftliche Entschuldigungen und Atteste sind übrige Daten im Sinne von § 9 Absatz 1 Nummer 4 VO-DV I. Die Aufbewahrungsfrist beträgt 5 Jahre.

Entschuldigungen und Atteste müssen also aufbewahrt werden. Zumindest Entschuldigungen können jedoch digitalisiert und in Form einer PDF Datei aufbewahrt werden. Für Atteste besteht diese Möglichkeit nicht, da sie von digitalen Verarbeitung gem. VO-DV I ausgenommen sind.2siehe hierzu die Fußnoten zu VO-DV I Anlage I, II und III “Medizinische Gutachten und Atteste sind hiervon ausgenommen und dürfen nicht automatisiert verarbeitet werden.

Berechnung der Aufbewahrungsfristen

Bei korrekter Umsetzung der Aufbewahrungsfristen für “alle übrigen Daten” gem. § 9 Nr. 1 Satz 2 “Die Aufbewahrungsfristen beginnen mit Ablauf des Kalenderjahres, in dem die Akten oder Dateien abgeschlossen worden sind, jedoch nicht vor Ablauf des Kalenderjahres, in dem die Schulpflicht endet, sofern nichts anderes bestimmt ist.” bewahrt eine Grundschule Entschuldigungen und Atteste dann 13 – 15 Jahre auf. Ein Beispiel:

Schüler A verlässt die Grundschule nach 4 Jahren Schulbesuch im Sommer 2022. Die Schulpflicht beträgt in der Primarstufe und der Sekundarstufe I (Vollzeitschulpflicht) gem. § 37 SchulG NRW in der Regel zehn Schuljahre.3Abweichungen können sich ergeben durch den Besuch eines Gymnasiums mit achtjährigem Bildungsgang. Dort beträgt die Schulpflicht von Primarstufe und der Sekundarstufe I nur 9 Jahre. Weitere Details entnehmen Sie bitte § 37 SchulG NRW. Da man in der Grundschule nie erfährt, ob sich bei einer Schülerin oder einem Schüler die Schulpflicht durch in § 37 dargestellte Fälle verkürzt, ist die Grundschule immer auf der sicheren Seite, wenn von 10 Pflichtschuljahren ausgegangen wird. Die Grundschule rechnet nun 6 Jahre hinzu und kommt so auf den Sommer 2028, in welchem die Schulpflicht von Schüler A endet. Die Aufbewahrungsfrist von 5 Jahren beginnt jedoch erst nach Ende des Kalenderjahres, in dem die Schulpflicht endet, in diesem Fall also ab dem 01.01.2029. Damit muss die Grundschule die Entschuldigungen und Atteste von Schüler A bis zum Ende des Kalenderjahres 2033 Aufbewahren und kann sie dann im Januar 2034 datenschutzgerecht löschen bzw. vernichten.

Austausch Grundschule und Kinderarzt

Lesezeit: < 1 Minute

Liegen bei Schülerinnen und Schülern gesundheitliche Beeinträchtigungen vor, welche die schulische Entwicklung des Kindes unter Umständen beeinträchtigen, kann es sinnvoll sein, wenn die Grundschule eine Möglichkeit erhält, sich mit dem das Kind behandelnden Kinderarzt bzw. seiner Kinderärztin auszutauschen, um das pädagogische Handeln abzustimmen.

Beide Seiten, Schule wie auch Kinderärzte, sind jedoch der Schweigepflicht unterworfen und dürfen keine Informationen miteinander austauschen, auch wenn das sinnvoll und im Sinne des Kindes wäre. Die rechtliche Grundlage für einen Informationsaustausch ist eine Schweigepflichtentbindung durch die Erziehungsberechtigten. Sie ermöglicht, falls gewünscht, den Austausch in beide Richtungen. Die folgende Vorlage ist hierfür gedacht und entsprechend anpassbar.

Weitere Informationen zum Thema Schweigepflicht im Gegensatz zu Datenschutz finde sich im Beitrag Datenschutz und Schweigepflicht.