Verarbeitung von Gesundheitsdaten durch Schulen – Coronaselbsttests

Lesezeit: 3 Minuten
Einen Tag, nachdem dieser Beitrag online ging, erschien eine aktualisierte Fassung der Schrift der LDI NRW. Der Beitrag ist entsprechend angepasst.

Die Corona Pandemie stellt Schulen auch in Bezug auf Datenschutz vor manche Herausforderung. Welche Informationen darf eine Schule über die Anzahl von Infektionen an der Schule und in einzelnen Klassen weitergeben? Ist es zulässig, die Namen von Infizierten Personen in der Klasse selbst bekannt zu machen? Zu einigen Unsicherheiten trug das Ministerium für Schule und Bildung nicht unwesentlich durch seine Vorgaben bei. Dabei ging es vor allem um die Selbsttestungen bis zu den Osterferien, für die es nach Informationen des Ministeriums möglich sein sollte, auf eine Einwilligung zu verzichten. Stattdessen setzte man auf eine Widerrufslösung in Kombination mit einer Einwilligung durch eine einwilligende Handlung durch Teilnahme am Selbsttest.1„Auf Basis dieser Verfahrensvorgaben ist festzustellen, dass datenschutzrechtlich eine Einwilligung nach Art. 7 DS-GVO zur Erhebung der Gesundheitsdaten (= Testergebnis) in der Schule vorliegt. Diese datenschutzrechtliche Einwilligung muss nicht zwingend schriftlich erklärt werden, sondern mit der eigenen aktiven Teilnahme am Test, ohne Handlung einer anderen Person, bei gleichzeitigem Verzicht auf eine Widerspruchserklärung ist eine Einwilligung in die Erhebung des Testergebnisses erteilt. Über die Umstände der Testungen wurde auch informiert. Dem steht auch nicht der Erwägungsgrund 32 zur DS-GVO entgegen. Danach sollen Stillschweigen oder Untätigkeit der betroffenen Person keine Einwilligung darstellen. Ein solcher Fall ist hier jedoch nicht gegeben, denn mit dem vg. Verhalten ist in diesem Kontext das Einverständnis durch eindeutige bestätigende Handlung klar signalisiert.“ Schreiben des MSB, Referat 212, vom 26.03.2021

Mittlerweile hat sich die Sachlage geändert. Mit der Wiederaufnahme des Unterrichtsbetriebs nach den Osterferien trat die geänderte Coronabetreuungsverordnung (CoronaBetrVO) in Kraft und aus den freiwilligen Selbsttests wurden verpflichtende Selbsttests.

Nachdem wohl vor allem vor den Osterferien sehr viele Anfragen bei der Aufsichtsbehörde des Landes NRW eingegangen waren, veröffentlichte diese zum 20.04.2020 die Schrift Coronaselbsttests – Verarbeitung von Gesundheitsdaten durch Schulen.pdf, in welcher sie sich mit den datenschutzrechtlichen Grundsätzen, Voraussetzungen und Grenzen der Verarbeitung von personenbezogenen Daten durch Schulen im Rahmen der Selbsttestungen auseinandersetzt. Am 28.04.2021 erschien die aktualisierte Fassung Coronaselbsttests – Verarbeitung von Gesundheitsdaten durch Schulen.pdf

Darin geht die Aufsichtsbehörde auch auf das Verfahren vor den Osterferien ein und es wird deutlich, dass sie die rechtliche Einschätzung des Ministerium für Schule und Bildung nicht uneingeschränkt teilt. Personen, die schon zuvor an der Rechtmäßigkeit des vom Land gewählten Verfahrens zweifelten, werden sich dadurch bestätigt sehen.

Die Aufsichtsbehörde befasst sich dann mit der aktuell geltenden Situation und bewertet die rechtlichen Vorgaben aus der überarbeiteten CoronaBetrVO in Bezug auf ihre Verhältnismäßigkeit. Nach einer Bewertung der Geeignetheit, Erforderlichkeit und Angemessenheit der getroffenen Regelungen, kommt sie zu dem Schluss, dass die Verhältnismäßigkeit gewahrt ist. Im letzten Teil der Schrift betrachtet die Aufsichtsbehörde die Verantwortlichkeit für die Gewährleistung des Datenschutzes an der Schule, erläutert die Verpflichtung der Schule und der beteiligten Personen, die Vertraulichkeit der Testergebnisse zu wahren, bevor es dann um die Dokumentation der Testergebnisse geht und die Übermittlung derselben an Dritte.

Gerade bei der Übermittlung der personenbezogenen Daten von Personen mit positivem Selbsttest sah man in der Aufsichtsbehörde noch einen deutlichen Klärungsbedarf und wollte nun vom Ministerium für Schule und Bildung wissen „ob, unter welchen Voraussetzungen und gegebenenfalls auf welcher Rechtsgrundlage eine Übermittlung der Testergebnisse unter dem Gesichtspunkt des Gesundheitsschutzes und der Pandemiebekämpfung an andere Personen
und/oder Stellen vorgesehen ist und zulässig sein soll.

Das Land kam dieser Aufforderung nach mit der Präzisierung einiger Vorschriften in der CoronaBetrVO.

Schulen sollten beim Umgang mit positiven Ergebnissen von Selbsttests folgende Regel beachten:

  • Das Ergebnis des eine konkrete Schülerin oder einen konkreten Schüler betreffenden Selbsttests darf unmittelbar nur dieser oder diesem bzw. den jeweiligen Erziehungsberechtigten bekanntgegeben werden.
  • Dieses muss so erfolgen, dass Dritte dabei nichts mitbekommen.
  • Bei der Herausnahme der betroffenen Person aus dem Unterricht sollte  nicht direkt offensichtlich werden, dass diese einen positiven Selbsttest hatte.
  • Bei einer positiven Selbsttestung informiert die Schule das zuständige Gesundheitsamt.
  • Eine Übermittlung der positiven Testergebnisse von Selbsttests an andere Personen oder Stellen über das Gesundheitsamt hinaus, ist nicht zulässig.
  • Die Ergebnisse der durchgeführten Selbsttests oder vorgelegten Testnachweise werden von der Schule erfasst, dokumentiert und nach 14 Tagen vernichtet.
  • Diese Daten dürfen nur den Personen zugänglich gemacht werden, die sie zur Erfüllung ihrer Aufgaben benötigen.
  • Bei einem positiven Selbsttest werden die direkten Sitznachbar*innen bzw. engen Kontaktpersonen (sog. „social bubble“) bis zum Vorliegen eines PCR-Testergebnisses des Verdachtsfalls aufgefordert, nicht nur strikt die Infektions- und Hygienemaßnahmen einzuhalten, sondern auch nicht notwendige Kontakte in der Schule zu vermeiden.
  • Die Schule darf die betroffenen Personen aus dem Umfeld des Verdachtsfalls nicht selbst über den Verdachtsfall informieren.

Letzteres müsste dann wohl das Gesundheitsamt übernehmen.

Weiterhin ungeklärt ist, wie eine Schule verfahren soll, wenn das örtliche Gesundheitsamt die Kontaktdaten (Name, Anschriften, Telefonnummer und eMail Adresse) von Schülerinnen und Schülern einer Lerngruppe anfordert, um eine Clusterquarantäne anzuordnen.

Nach dem aktuellen Stand besteht für eine Übermittlung von Kontaktdaten der ganzen Lerngruppe oder von Teilen einer Lerngruppe, wenn daraus ein einzelner Schüler infiziert ist, an das Gesundheitsamt keine Rechtsgrundlage. Schulleitungen, die dem Wunsch des Gesundheitsamtes nachkommen, setzen sich dem Risiko aus, von Betroffenen, die sich dadurch in ihrem Recht auf informationelle Selbstbestimmung verletzt sehen, verklagt zu werden.

Neue Veröffentlichung der LDI NRW – zum Thema Verarbeitung von Gesundheitsdaten durch Schulen

Lesezeit: < 1 Minute

Mit Datum vom 22.03. 2021 hat die LDI NRW eine neue Schrift veröffentlicht, um Klarheit beim Thema Verarbeitung von Gesundheitsdaten in der Schule zu schaffen, hier bezogen auf das Thema Nichtteilnahme am Präsenzunterricht zum Schutz vorerkrankter Angehöriger – Verarbeitung von Gesundheitsdaten durch Schulen.pdf

Im PDF wird gut erklärt, welche Gesundheitsdaten eine Schule in welcher Art und Weise im Zusammenhang mit der Nichtteilnahme von Schülern am Präsenzunterricht zum Schutz vorerkrankter Angehöriger überhaupt erheben darf. Wann darf sie ein ärztliches Attest einfordern und wann ein amtsärztliches Gutachten? Es geht darüber hinaus auch um die oft gestellte Frage, ob die Schule zum Zwecke der Einholung eines amtsärztlichen Gutachtens Daten an das Gesundheitsamt weiterleiten darf. Die Antwort lautet: die Schule benötigt hierfür immer eine Einwilligung der Betroffenen, da es keine Rechtsgrundlage dafür gibt, wie in der Schrift ausführlich erläutert wird.

Die Schrift knüpft an an die im November 2020 erschienene Schrift Maskenpflicht und Masernschutz – Verarbeitung von Gesundheitsdaten durch
Schulen.pdf, welche Schulleitungen rechtliche Hilfestellungen gibt, wenn es um die Verarbeitung von personenbezogenen Daten in den im Titel genannten Zusammenhängen geht. Die Schrift erklärt am Beispiel von verschiedenen Fallkonstellationen, wo die datenschutzrechtlichen Grenzen und Möglichkeiten für das Handeln der Schulleitungen liegen.

Eltern zu einer Besprechung per Videokonferenz einladen

Lesezeit: 2 Minuten

In Zeiten von Corona möchten viele Schulen gerne Elterngespräche in Form von Videokonferenzen anbieten. Es geht dabei sowohl um Elterngespräche in Format 1 zu 1 wie auch Informationsabende, bei denen Eltern über die Arbeit der Schule informiert werden sollen. Auch hierbei ist das Thema Datenschutz zu beachten. Eltern müssen über die zur Teilnahme an einer Videokonferenz erforderliche Datenverarbeitung gemäß Art. 13 DS-GVO informiert werden und dann eine Einwilligung erteilen. Das ist auch der Fall, wenn sie zur Teilnahme an einer Videokonferenz ein bestehendes schulisches Konto ihres Kindes nutzen, da die Einwilligung in die Verarbeitung von personenbezogenen Daten bei der Nutzung dieses Kontos das Kind betraf, nicht aber die Eltern selbst.

Da es sich bei den Teilnehmern um Erwachsene handelt und die Videokonferenzen nur einzelne oder gelegentliche Veranstaltungen sind, kann die Einwilligung durch die Eltern hier auch durch sogenanntes konkludentes Handeln1„Im Zivilrecht spricht man von einer konkludenten Willenserklärung, wenn sie ohne ausdrückliche Erklärung durch schlüssiges Verhalten abgegeben wird. D.h. die Willenserklärung wird aus den Handlungen des Erklärenden abgeleitet.“ Quelle Wiktionary gegeben werden. Die Eltern willigen in die Datenverarbeitung ein, indem sie an der Videokonferenz teilnehmen. Schalten sie dazu beispielsweise die Kamera ein, willigen sie in die Verarbeitung des Bildsignals ein.

Praktische Umsetzung

Die Schule übermittelt den Eltern eine Einladung, in welcher die Informationen zur Datenverarbeitung gegeben werden wie auch die Einwilligungserklärung, letztere jedoch ohne Unterschriftenfeld. Wichtig wie immer bei der Einwilligung ist das Angebot einer Alternative für Eltern, die nicht an einer Videokonferenz teilnehmen möchten.

Beispiel Elterngespräch
Beispiel Informationen über die Schule
Beispiel Elterngespräch

Die Vorlage geht davon aus, dass die Eltern den Zugang des Kindes zu Logineo NRW Messenger für die Videokonferenz mit den Lehrkräften der Schule nutzen.

Hinweis

Bitte achten Sie darauf, dass für Videokonferenzen, in welchen es um vertrauliche oder sensible Inhalte gehen soll, sichere und vertrauenswürdige Anbieter genutzt werden. Ein Vertrag zur Auftragsverarbeitung zwischen Schule und Anbieter sollte vorliegen.

03/2021

Distanzunterricht – rechtliche Vorgaben und Möglichkeiten

Lesezeit: 10 Minuten

Dieser Beitrag ist eine überarbeitete und auf die aktuelle Rechtslage im Januar 2021 angepasste Version des älteren Beitrags Teilnahme am Unterricht über Video – geht das?

Das Land befindet sich im Lockdown, die Schulen sind weitestgehend geschlossen und Unterricht muss als Distanzunterricht erteilt werden. Für Schulen stellt sich die Frage, wie dieser Distanzunterricht organisiert werden kann. Nahezu jeder denkt dabei an Distanzunterricht über eine Videokonferenz Plattform, zumeist kombiniert mit weiteren Plattformen. In diesem Beitrag soll aus datenschutzrechtlicher Sicht betrachtet werden, welche Möglichkeiten sich aus den verschiedenen Rechtstexten ergeben und wo die Grenzen liegen.

Maßgeblich ist für die Organisation und Erteilung von Distanzunterricht die Zweite Verordnung zur befristeten Änderung der Ausbildungs- und Prüfungsordnungen gemäß § 52 SchulG1https://bass.schul-welt.de/19272.htm. Diese wird ergänzt zur Erläuterungen im Faktenblatt zur Wiederaufnahme eines angepassten Schulbetriebs in Corona-Zeiten zu Beginn des Schuljahres 2020/20212https://www.schulministerium.nrw.de/system/files/media/document/file/Faktenblatt%20angepasster%20Schulbetrieb%20Schuljahresbeginn%202020%2021.pdf.

Es gibt in beiden Dokumenten jeweils einen Satz, der etwas zum digitalen Format des Distanzunterrichts aussagt.

In der ​Zweiten Verordnung zur befristeten Änderung​ ​der Ausbildungs- und Prüfungsordnungen gemäß § 52 SchulG​ heißt es unter §3 Abs. 6

“​Distanzunterricht ​soll​ digital erteilt werden, ​wenn​ die Voraussetzungen dafür erfüllt sind.​”

Dazu findet sich im ​Faktenblatt angepasster Schulunterricht​ auf S. 11 eine Präzisierung.

“Distanzunterricht soll dann digital erteilt werden, wenn die Voraussetzungen hierfür vorliegen, also ​insbesondere eine ausreichende technische Ausstattung der Schülerinnen und Schüler sowie der Lehrkräfte gewährleistet ist​.”

Demnach setzt digitaler Distanzunterricht eine technische Ausstattung der Beteiligten voraus. Was gehört zu einer ausreichenden technischen Ausstattung? Es braucht:

  • digitale Endgeräte bzw. Zugangsgeräte​, die dem Stand der Technik entsprechen. Dazu gehören Tablet, Notebook, Laptop und Computer. Ein Smartphone ist bedingt durch die geringe Bildschirmgröße weniger geeignet (und dürfte von daher eher keine ausreichende technische Ausstattung darstellen) sowie
  • eine ​ausreichende Internetanbindun​g über einen Anschluss zu Hause, in der Schule oder einen Mobilzugang.

Außerdem braucht es von Seiten der Schule:

  • Plattformen, Software, Apps​ – über die der digitale Distanzunterricht organisiert und durchgeführt werden kann. Dazu gehören LMS, Schulserver, Cloud Speicher, Arbeitsplattformen, Videokonferenz Plattformen, Messenger, …

Das heißt, wenn Schülerinnen und Schüler sowie Lehrkräfte über eine ausreichende technische Ausstattung in Form von geeigneten Zugangsgeräten und Internetzugängen verfügen, um am Distanzunterricht teilzunehmen bzw. diesen zu erteilen, dann soll er digital erteilt werden.

In diesem Zusammenhang sind auch die Initiativen des Landes zu sehen, über welche Leihgeräte für bedürftige Schüler und Dienstgeräte für Lehrkräfte an den Schulen zur Verfügung gestellt werden sollen.

Für den Fall, dass die Voraussetzungen nicht erfüllt sind, womit hier jedoch nicht nur eine nicht ausreichende technische Ausstattung gemeint ist, stellt die Schule in Absprache mit dem Schulträger gem. §3 Abs. 7 Schülerinnen und Schülern Räumlichkeiten für die Teilnahme am Distanzunterricht zur Verfügung.

“Soweit nötig, stellt die Schule den Schülerinnen und Schülern zur Sicherung eines chancengerechten und gleichwertigen Lernumfelds im Einvernehmen mit dem Schulträger Räume für den Distanzunterricht zur Verfügung.”

Die Zweite Verordnung und das sie ergänzende Faktenblatt betrachten die Voraussetzungen für die Erteilung bzw. Teilnahme an einem digitalen Distanzunterricht von den materiellen Voraussetzungen her, den Endgeräten, Online-Zugängen und wenn auch nicht direkt genannt, den der Schule zur Verfügung stehenden Plattformen. Es werden dabei jedoch keinerlei Aussagen zur Form des digitalen Distanzunterrichtes gemacht. Die Spanne der vorstellbaren Formen von digitalem Distanzunterricht reicht hier von der Übermittlung und Rückübermittlung von Arbeitsmaterialien per E-Mail bis zur Durchführung des Distanzunterrichts mittels LMS und Videokonferenz Plattform oder einer Arbeits- und Kommunikationsplattform mit integrierter Videokonferenzlösung.

Das Thema Datenschutz beim digitalen Distanzunterricht

Auch wenn an keiner Stelle in der Zweiten Verordnung das Thema Datenschutz erwähnt wird, so ist klar, dass auch dieser bei den Überlegungen zur Form des digitalen Distanzunterrichts eine Rolle spielt.

Um die weiteren Betrachtungen diesbezüglich zu vereinfachen, gehe ich von folgender, idealer Situation aus: die Schule XYZ hat alle Lehrkräfte mit Dienstgeräten und alle Schülerinnen und Schüler mit digitalen Endgeräten ausgestattet. Alle Lehrkräfte und Schüler haben einen guten und zuverlässigen Internetzugang zu Hause und einen Arbeitsplatz, von dem aus sie ungestört arbeiten können. Die Schule nutzt die Landesplattformen Logineo NRW LMS und Messenger sowie ein im Auftrag von einem deutschen Anbieter betriebenes BigBlueButton als Videokonferenzlösung.

Die Schule möchte die Nutzung der drei Plattformen für alle verbindlich, d.h. verpflichtend, vorschreiben. Ein Beschluss der Schulkonferenz wird hierzu herbeigeführt.

Die Schule ist sich sicher, sie ist auf dem richtigen Weg, denn der neue Absatz 5 in §120 SchulG NRW eröffnet Schulen jetzt die Möglichkeit, digitale Lehr- und Lernplattformen verpflichtend einzuführen.

“Die Schule darf für den Einsatz digitaler Lehr- und Lernmittel personenbezogene Daten der Schülerinnen und Schüler und der Eltern verarbeiten, soweit dies für die Aufgaben der Schule erforderlich ist.”

Aber so einfach ist das dann leider doch nicht. Warum?

Keine Verpflichtung bei Einwilligung

Die beiden Landesplattformen Logineo NRW LMS und Logineo NRW Messenger erfordern beide eine Einwilligung der Nutzer in die Verarbeitung von personenbezogenen Daten beim ersten Login. Gemeint sind damit Daten, die freiwillig eingestellt werden und nichts mit Schule und Unterricht zu tun haben, etwa ein persönliches Profil oder eine private Kommunikation. Eine Einwilligung kann nur rechtswirksam sein, wenn sie freiwillig ist. Damit ist eine verpflichtende Nutzung nicht mehr möglich. Die Einwilligung ist nicht zu umgehen und wäre, wenn sie verpflichtend abgegeben werden müsste, nicht mehr freiwillig.

Dieses Problem lässt sich nur dann beseitigen, wenn man in den Logineo NRW Plattformen zukünftig die Erfordernis zur Einwilligung technisch deaktiviert und eine Nutzung mit privaten Daten entweder komplett untersagt oder die Einwilligung für eine Nutzung mit privaten Daten als Option anbietet. Aktuell ist eine solche Änderung der Plattformen nicht absehbar.3Es müsste zudem eine neue Dienstvereinbarung mit den Hauptpersonalräten geben, denn in der bisherigen mit Stand vom 21.10.2020 heißt es ausdrücklich: „Die Nutzung von LOGINEO NRW ist freiwillig und setzt eine Einwilligungserklärung der jeweiligen Nutzerin/des jeweiligen Nutzers bzw. deren/dessen gesetzlicher Vertretung voraus.“ Hinweis: die Dienstvereinbarung bezieht sich aktuell nur auf die Basisplattform Logineo NRW, nicht das LMS und den Messenger. Es ist jedoch zu erwarten, dass unter aktuellen Bedingungen Dienstvereinbarungen bezüglich dieser beiden Plattformen oder eine Erweiterung der bestehenden Vereinbarung um diese Plattformen vergleichbare Regelungen bezüglich der Freiwilligkeit enthielten.

BigBlueButton ist ein Musterbeispiel für eine datenschutzfreundliche Videokonferenz Plattform. Sie ist open source und lässt sich sicher und datensparsam betreiben. Trotzdem ist eine verbindliche Nutzung auch hier momentan nicht möglich. Dafür gibt es mehrere Gründe.

Schulgesetz NRW und Videokonferenzen

Das Thema Videokonferenzen ist ein ungeregelter Bereich, denn im  Schulgesetz NRW finden sich dazu keinerlei konkrete Vorgaben. Aussagen gibt es lediglich zu Aufnahmen des Unterrichts.

In der neuen Fassung des Schulgesetzes von Mai 2020 sind Aufnahmen des Unterrichts gemäß §120 Abs. 6 nur mit Einwilligung der Betroffenen zulässig.

„Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen bedürfen der Einwilligung der betroffenen Personen. Die Einwilligung muss freiwillig erteilt werden. Den betroffenen Personen dürfen keine Nachteile entstehen, wenn sie eine Einwilligung nicht erteilen.“

Ein entsprechender Passus findet sich auch für §121 Abs. 1. Satz 2 bezüglich der Rechte der Lehrkräfte.

Auch wenn Streaming von Bild und Ton im Rahmen einer Video- oder Audiokonferenz keine Aufzeichnung darstellt, könnte man sich an dieser Vorgabe orientieren, denn auch die Teilnahme am Distanzunterricht ist verpflichtend wie die im Präsenzunterricht. Es kommt hinzu, dass vor allem eine Teilnahme an einer Videokonferenz einen deutlichen Eingriff in die Privatsphäre der Teilnehmer darstellt.

Orientiert man sich an den Vorgaben des Schulgesetzes NRW zu Bild- und Tonaufzeichnungen des Unterrichts, so ist kaum vorstellbar, dass für Video- und Audiokonferenzen völlig andere Regelungen gelten, zumal es an keiner Stelle im Schulgesetz, den anhängigen Verordnungen, Erlassen und anderen Schriften des Ministeriums Aussagen gibt, die eine andere Handhabung möglich erscheinen lassen.

Die LDI NRW und Videokonferenzen im Distanzunterricht

In der ursprünglichen Version der Schrift Pandemie und Schule – Datenschutz mit Augenmaß vom Mai 2020 sah die LDI NRW eine Möglichkeit, im Ausnahmefall der Pandemie in sehr engen Grenzen die Nutzung von Videokonferenzplattformen verbindlich vorzuschreiben. „Die Durchführung von Videokonferenzen einschließlich der damit verbundenen erforderlichen Datenverarbeitung könnte temporär auf die o.g. schulrechtlichen in Generalklauseln in § 120 Abs. 1 Satz 1 und 121 Abs. 1 Satz 1 SchulG gestützt werden, soweit es die Schulleitung während der Schulschließungen und der weitgehenden Kontaktverbote zur Aufrechterhaltung des Unterrichts- und Schulbetriebs für erforderlich erachtet, derartige Videokonferenzen durchzuführen.” Im Oktober 2020 erschien eine überarbeitete Fassung der Schrift Pandemie und Schule – Datenschutz mit Augenmaß 4https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Schule_-Videokonferenzsysteme-und-Messenger-Dienste-waehrend-der-Corona-Pandemie/LDI-NRW—Pandemie-und-Schule-20_10_2020.pdf Mit der aktualisierten Fassung wurden die zwischenzeitlich erfolgte Überarbeitung des SchulG NRW mit der Neueinführung von §120 Abs. 5 und §121 Abs. 1 Satz 1 berücksichtigt. Darauf nimmt die LDI NRW nun Bezug.

“Zum anderen besteht durch die oben erwähnten Neuregelungen in §120 Abs. 5 und §121 Abs. 1 Satz 1 SchulG auch die Möglichkeit, die mit der Durchführung von Videokonferenzen verbundene Datenverarbeitung auf diese Erlaubnisnormen zu stützen, soweit sie für die Aufgabenwahrnehmung der Schule erforderlich ist.”

Dabei dürfte aber der Teil „soweit es für die  erforderlich Aufgabenwahrnehmung der Schule erforderlich ist“ in der Praxis anfechtbar sein. Sind Videokonferenzen zwingend erforderlich, um den Unterrichts- und Schulbetrieb aufrecht zu erhalten? Muss dabei auch die Kamera eingeschaltet sein? Diese Schrift erschien nach der Verabschiedung der Zweiten Verordnung zur befristeten Änderung der Ausbildungs- und Prüfungsordnungen gemäß § 52 SchulG, die eine solche Möglichkeit an keiner Stelle erwähnt. Auch das SchulG NRW in der überarbeiteten Version und die bisher bekannte Entwurfsfassungen von VO-DV I und II machen keine Aussagen zum Thema Videokonferenzen.

Selbst wenn man davon ausgeht, dass es der Schulleitung möglich wäre, die Nutzung einer Plattform für Video- und Audiokonferenzen „zur Aufgabenwarnehmung der Schule„, wie von der LDI NRW beschrieben, verpflichtend vorzugeben, so stellt sich die Frage, mit welchen Plattformen dieses überhaupt möglich wäre? In ​Pandemie und Schule​ gibt die LDI NRW Kriterien vor, welche eingehalten werden müssen, wenn eine Schule im Ausnahmefall die Nutzung einer Videokonferenzplattform verpflichtend vorgeben möchte:

“Zum einen ist zu beachten, dass dieser Ansatz überhaupt nur zum Tragen kommen kann, soweit die Verarbeitung der hierfür erforderlichen Daten entsprechend der gesetzlichen Vorschrift im Verantwortungsbereich der Schule erfolgt, d.h. sie selbst die Daten verarbeitet oder durch Regelungen in einem Auftragsverarbeitungsvertrag sichergestellt ist, dass sie „Herrin der Daten“ ist. Zum anderen setzt gerade eine verpflichtende Nutzung voraus, dass gewährleistet ist, dass alle Betroffenen die digitalen Module auch tatsächlich und zudem nur im zulässigen Umfang nutzen können;

Ob die Schule tatsächlich voll und ganz „Herrin der Daten“ ist, dürfte selbst bei Vorliegen eines Vertrag zur Auftragsverarbeitung gerade bei Plattformen von US Anbietern nicht unstrittig sein. Und auch die Nutzung im zulässigen Umfang wird vor allem bei Videokonferenz Plattformen von verschiedenen Seiten stark angezweifelt. Eine Kontrolle, ob Teilnehmer an einer Videokonferenz heimlich Screenshots oder Mitschnitte anfertigen, ist im Anwendungsfall Distanzunterricht kaum möglich. Nutzer können nur zu verantwortungsvollem Verhalten angehalten werden. Eine Verpflichtung, sich an verabredete Regeln zu halten, kann dazu beitragen, und kann der Schule im Fall eines Verstoßes eine rechtliche Handhabe bieten, Sanktionen gegen Schüler einzuleiten, eine missbräuchliche Nutzung verhindern, kann allerdings nichts davon.

Bezüglich der im Schulgesetz NRW beabsichtigten und mittlerweile im oben beschriebenen Abs. 5 § 120 umgesetzten Rechtsvorgabe zur verpflichtenden Einführung von Unterrichtsplattformen mahnt die LDI NRW in der Schrift Pandemie und Schule an, dass in der Überarbeitung von VO-DV I & II eine

“Festschreibung, welche konkreten Daten regelmäßig für den Einsatz der E-Learning-Plattformen verarbeitet werden dürfen.”

erfolgt.

Die LDI NRW deutet an, in welche Richtung dabei gedacht ist.

“Weiterhin ist aus Sicht der LDI NRW bei der Umsetzung insbesondere maßgeblich, dass eine Datenverarbeitung auch tatsächlich nur im Rahmen des Erforderlichen erfolgt. Als ein Beispiel sei die Protokollierung der Systemzugriffe genannt. Diese ist aus datenschutzrechtlicher Sicht erforderlich, um die Sicherheit der Systeme zu gewährleisten; nicht erforderlich und damit unzulässig ist dagegen, dass Lehrkräfte Zugriff auf die Protokolldaten erhalten, um das Arbeitsverhalten ihrer Schülerinnen und Schüler zu kontrollieren.“

Die angemahnte Festschreibung in der Überarbeitung von VO-DV I & II steht aktuell noch aus. In der Entwurfsfassungen von VO-DV I und II findet sich jedoch ein Abschnitt, in welchem die Verarbeitung von Protokolldaten geregelt ist.5„Beim Einsatz digitaler Lehr- und Lernmittel, digitaler Kommunikationsmittel sowie IT-Infrastrukturen ist die Verarbeitung der zum Betrieb erforderlichen Protokolldaten zulässig.“Damit sollte das MSB die Forderung der LDI NRW umgesetzt haben. Noch offen ist momentan, wie weit der Begriff der digitalen Lehr- und Lernmittel, welchen die LDI NRW als E-Learning-Plattformen bezeichnet, zu verstehen ist. Von daher ist gegenwärtig trotz §120 Abs. 5 SchulG NRW noch unsicher, wie sich die dort eröffneten Möglichkeiten zur verpflichtenden Einführung von Unterrichtsplattformen rechtssicher umsetzen lassen.

Was heißt das für die Praxis?

Ist Präsenzunterricht nicht oder nur eingeschränkt möglich, so findet er gemäß der Zweiten Verordnung „mit räumlicher Distanz in engem und planvollem Austausch der Lehrenden und Lernenden statt (Distanzunterricht).“ Sind dabei die Voraussetzungen auf Seiten von Schülern und Lehrkräften vor allem mit Blick auf die technische Ausstattung erfüllt, soll der Distanzunterricht „digital erteilt werden.“ Welches Format der digitale Distanzunterricht dabei hat, ist an keiner Stelle definiert. Die Spannbreite möglicher Formate ist groß.

Digitaler Distanzunterricht ist in seinen Möglichkeiten durch die schulrechtlichen Vorgaben zum Datenschutz und übergeordnete datenschutzrechtliche Regelungen begrenzt. Auch wenn die Teilnahme am Distanzunterricht bzw. dessen Erteilung für Schüler wie Lehrkräfte durch die Vorgaben aus der Zweiten Verordnung zweifelsfrei verpflichtend ist, lässt sich aus dieser Verpflichtung für Schulen keine Berechtigung ableiten, dazu die Nutzung einer digitalen Plattform zwingend vorzugeben, sofern diese nicht den datenschutzrechtlichen Vorgaben, denen Schulen unterliegen, genügt.

Unter der Voraussetzung, dass eine „ausreichende technische Ausstattung der Schülerinnen und Schüler sowie der Lehrkräfte gewährleistet ist„​ müssten aus datenschutzrechtlicher Sicht die folgenden Bedingungen erfüllt sein, um die Nutzung einer bestimmten Plattform im Distanzunterricht verpflichtend vorschreiben zu können:

  • die Plattform müsste von der Schule selbst betrieben oder mit Vertrag zur Auftragsverarbeitung von einem Dienstleister bereitgestellt werden,
  • ihre Nutzung müsste in dem von SchulG NRW und DS-GVO gesteckten Rahmen möglich sein,
  • bei ihrer Nutzung dürften nur personenbezogene Daten im Rahmen des Erforderlichen verarbeitet werden, und
  • sie müsste so angelegt sein oder voreingestellt werden können, dass sie sich von Schülern und Lehrkräften nur im zulässigen Umfang nutzen ließe.

Außerdem wären bei einer verpflichtenden Einführung gegebenenfalls auch die Beteiligungsrechte gemäß LPVG zu berücksichtigen und die Plattform sollte durch Beschluss der Schulkonferenz eingeführt werden.

Es ist an dieser Stelle hoffentlich deutlich geworden, dass es vermutlich nur sehr wenige Plattformen gibt, mit denen sich alle diese Bedingungen zweifelsfrei erfüllen lassen. Dazu könnten beispielsweise ein Moodle zählen, eine NextCloud oder ein Messenger, welche die Schule selbst betreibt oder im Auftrag betreiben lässt, bei denen datenschutzfreundliche Voreinstellungen gewählt sind und bei deren Nutzung es untersagt ist, private Daten einzustellen, sofern für deren Verarbeitung keine gesonderte Einwilligung erteilt wurde. Es wird sicherlich auch andere kommerzielle entwickelte Plattformen geben wie z.B. spezielle Schul Apps, welche die beschrieben Bedingungen erfüllen können. Unter den gegebenen schul- und datenschutzrechtlichen Bedingungen gibt es, wie oben deutlich geworden sein sollte, aktuell keine spezifische Regelung, aus welcher sich eine verpflichtende Nutzung von Videokonferenz Plattformen herleiten lässt. Es bleibt, wenn überhaupt, eine sehr weite Auslegung von §120 Abs. 5 und § 121 Abs. 1 Satz 1, um eine Verpflichtung im Rahmen „der Aufgabenwahrnehmung der Schule“ zu begründen.

Außen vor bleiben für eine verpflichtende Nutzung im Distanzunterricht außerdem alle Plattformen, deren Nutzung eine Einwilligung voraussetzt, wie gegenwärtig die Logineo NRW Plattformen, und Plattformen, deren Nutzung nicht zweifelsfrei DS-GVO konform möglich ist. Solange das Land NRW keine Lösung mit den jeweiligen Anbietern aushandelt, so wie Baden Württemberg dieses aktuell für Office 365 versucht, fallen darunter leider auch Plattformen wie Microsoft Teams, Office 365, G Suite for Education und Apple Classroom.

Angebot statt Verpflichtung

Viele Schulen setzen auf die Plattformen von US Anbietern. Die Gründe dafür sind verschieden und für die weiteren Überlegungen nicht von Bedeutung. Wenn eine Schule z.B. auf MS Teams setzt, um damit den Distanzunterricht im digitalen Format zu erteilen, dann kann dieses immer nur ein Angebot sein. In vielen Fällen werden Lehrkräfte und Schüler bzw. deren Eltern eine Einwilligung erteilen, sei es dass sie von der Plattform überzeugt sind und die Risiken durch eine Nutzung für sich für vertretbar halten oder dass sie in Zeiten von Distanzunterricht Datenschutzbedenken zurückstellen. Es wird jedoch auch immer wieder Lehrkräfte, Schüler und Eltern geben, die nicht bereit sind, sich zur Nutzung der Plattform für sie unkalkulierbaren Risiken auszusetzen. Das ist ihr gutes Recht, solange eine Plattform die oben beschriebenen Bedingungen nicht zweifelsfrei erfüllt oder ihre Nutzung durch eine Rechtsvorgabe es Landes eindeutig vorgeschrieben ist.

Schulen kann nur dringend davon abgeraten werden, Druck auf einzelne Lehrkräfte, Schüler oder Eltern auszuüben, eine Einwilligung zu erteilen und die Plattform zu nutzen. Mir sind Fälle bekannt, in denen Schulen Betroffene, die eine Nutzung der Plattform verweigern, regelrecht schikanieren und ihnen das Leben erschweren. Auch wenn es möglich wäre, Arbeitsmaterialien anstatt über MS Teams per E-Mail zu übermitteln, werden Betroffene genötigt, diese persönlich bei der Schule abzuholen. Schüler werden gedrängt, in MS Teams auch die Kamera einzuschalten, damit man sie sehen kann. So etwas geht nicht und kann für Schulen und hier an erster Stelle die Schulleitung rechtliche Folgen haben, wenn die Betroffenen die Datenschutzaufsicht einschalten oder vor einem Verwaltungsgericht klagen. Dass Eltern hier von ihren Rechten Gebrauch machen werden, ist vor allem dann nicht unwahrscheinlich, wenn ihre Kinder durch eine Nichteinwilligung Nachteile erfahren, die das Lernen beeinträchtigen und zu schlechteren Leistungen führen.

Schulen sollten offen und ehrlich informieren über die Plattformen, welche sie für den Distanzunterricht nutzen möchten und Alternativen vorbereiten, so dass Lehrkräfte, Schüler und Eltern eine echte Wahlmöglichkeit haben und ihnen aus einer Nicht-Einwilligung keine Nachteile entstehen. Das bedeutet für die Schule eventuell zusätzliche Arbeit und Mühe, ist aber der sicherere Weg.

Alle bisherigen Betrachtungen gingen von Schulen mit idealen Voraussetzungen bezüglich der Ausstattung und Internetzugänge aus. Auch wenn in absehbarer Zukunft alle Lehrkräfte in NRW über ein Dienstgerät verfügen sollten, so wird es noch deutlich länger dauern, bis auch Schüler flächendeckend mit Endgeräten und Internetzugängen ausgestattet sind. Schon von daher ist aktuell an vielen Schulen nicht einmal daran zu denken, Distanzunterricht mit einer bestimmten Plattform verpflichtend vorzuschreiben, selbst wenn diese die schul- und datenschutzrechtlichen Bedingungen dafür erfüllen würde.

Stand: 02/2021

Die letzte Überarbeitung dieses Beitrags vom 31.01.2021 berücksichtigt die aktualisierte Fassung der Schrift Pandemie und Schule der LDI NRW vom 20.10.2020 und die Entwurfsfassung von VO-DV I & II.

Vorlagen für IServ

Lesezeit: < 1 Minute

IServ ist ein mittlerweile gut etablierter deutscher Schulserver der vor allem damit glänzen kann, dass er komplett auf nicht-EU Dienste verzichtet. Er setzt sehr stark auf Open-Source Komponenten1BigBlueButton (Videokonferenzen), DAViCal (Kalender-Backend), Etherpad Lite (Texte), FullCalendar (Kalender-Frontend), LibreOffice Online (Office), Matrix (Messenger-Backend), opsi (Softwareverteilung), Symfony (Grundsystem), … Quelle: IServ-Dokumentation.pdf , besteht aber auch aus proprietären Eigenentwicklungen.2Die FOOS Community würde gerne den kompletten IServ „befreit“ sehen.

IServ ist ein modulares Server Produkt, welches neben einer lokalen Nutzung auch einen Zugriff über ein Webportal erlaubt. Über die unterrichtliche Nutzung bietet der Server noch Funktionen zur Verwaltung von Geräten und des schulischen Netzwerks. Mittlerweile wird der Server auch als SAAS komplett Cloud basiert angeboten. Auch ein Videokonferenz Modul auf Basis von BigBlueButton ist im Angebot.

Auch wenn IServ spezielle Module wie die Raumbuchung, Curriculum, Kurswahlen, Vertretungs- und Mensa-Pläne und mehr anbietet, ist die Plattform in erster Linie ein Server für die pädagogische Arbeit. Das heißt, es ist nicht möglich, auf einem einzigen IServ sowohl Unterricht als auch schulinterne Verwaltung abzubilden. Wer das tun möchte, braucht eine zweite, kostenpflichtige Instanz. Diese kann durchaus auf dem selben Server betrieben werden, wenn beide Instanzen logisch voneinander getrennt sind, etwa durch Betrieb auf zwei virtuellen Servern. Aber auch hier gibt es Grenzen, die mit dem Sicherheitskonzept des IServ zu tun haben3Im Handbuch heißt es unter 9.5.6 Verschlüsselung – „Die Datenübertragung beim Zugriff auf die IServ Weboberfläche erfolgt immer verschlüsselt. Gespeichert werden die Daten auf den Festplatten des Servers jedoch unverschlüsselt, damit die Benutzer jederzeit von überall aus auf ihre Daten zugreifen können und der Server auch bei einem Stromausfall ohne Eingriff eines Administrators starten kann. Zusätzlich besteht die Möglichkeit, Daten mit erhöhtem Schutzniveau auf dem Server abzulegen, falls diese vor der Übertragung mit einer geeigneten Software verschlüsselt werden. Dazu können beispielsweise passwortgeschützte Zip-Archive oder verschlüsselte Container-Dateien genutzt werden.“.

IServ hält unter https://iserv.eu/downloads/privacy/ zahlreiche Dokumente bereit, welche von Schulen bei der Einführung des Schulservers genutzt werden können. Sehr umfangreiche Informationen zum Datenschutz finden sich auch in der jeweils aktuellsten Version des Handbuches.

Da öfter angefragt, gibt es hier eine kombinierte Nutzungsvereinbarung mit Informationen zur Datenverarbeitung und Einwilligung, einmal in einer Version für Schüler und dann, da die Zahl der genutzten Funktionen hier größer, für Lehrkräfte.

DEMAT – HSP+ – Einwilligung erforderlich?

Lesezeit: 2 Minuten

Einwilligungen der Betroffenen werden an so vielen Stellen im Schulalltag benötigt. Doch es gibt auch Bereiche, wo nicht immer klar ist, ob es eine Einwilligung braucht oder nicht. Deshalb kommt auch immer wieder die Frage auf, ob bei der Durchführung von HSP+ und DEMAT eine solche erforderlich ist. Beide Tests werden beispielsweise an weiterführenden Schulen oft eingesetzt bei den neuen Schülerinnen und Schüler im 5. Schuljahr, um zu ermitteln, wo die Kinder stehen. Später werden die Tests dann wiederholt, um zu überprüfen, ob die Fördermaßnahmen im Unterricht zu einer Verbesserung geführt haben.

Ob es nun eine Einwilligung braucht oder nicht, hängt davon ab, ob sich aus dem Schulgesetz NRW oder Erlassen eine Rechtsgrundlage ableiten lässt, welche eine Durchführung legitimiert oder ob es eine solche nicht gibt. Der entscheidende Passus im SchulG NRW ist §120 Abs. 3.

(3) Standardisierte Tests und schriftliche Befragungen von Schulanfängerinnen und -anfängern (§ 36) und Schülerinnen und Schülern dürfen in der Schule nur durchgeführt werden, soweit dies für die Feststellung der Schulfähigkeit oder des Sprachstandes, für eine sonderpädagogische Förderung oder für Maßnahmen zur Qualitätsentwicklung und Qualitätssicherung geeignet und erforderlich ist. Die Schülerinnen und Schüler sowie die Eltern sind über die wesentlichen Ergebnisse zu informieren. Aus Tests und schriftlichen Befragungen zur Feststellung der Schulfähigkeit und des sonderpädagogischen Förderbedarfs dürfen nur die Ergebnisse und der festgestellte Förderbedarf an andere Schulen übermittelt werden.“

Darüber hinaus gibt es noch Abs. 4, bei dem es um wissenschaftliche Untersuchungen, Tests und Befragungen geht.

Die Frage ist dann, fallen HSP+ und DEMAT unter wissenschaftliche Tests oder nicht? Schaut man sich BASS 10-45 Nr. 2 Wissenschaftliche Untersuchungen,
Tests und Befragungen an Schulen gemäß § 120 Abs. 4 SchulG an, sollten HSP+ und DEMAT ziemlich sicher nicht unter die Regelungen von Abs. 4 fallen.

Als Rechtsgrundlage von Interesse sein könnte auch noch BASS 14-01 Förderung von Schülerinnen und Schülern bei besonderen Schwierigkeiten im Erlernen des Lesens und Rechtschreibens (LRS). Dort findet man unter 2.1 Analyse der Lernsituation als eine Aufgabe der Schule definiert „- kognitive (z.B. Stand der Lese- und Schreibentwicklung, Denkstrategie, Wahrnehmung, Sprache),“ Damit zu argumentieren, dass HSP+ unter dieser Regelung gefasst werden könnte, wäre möglich, wenn er als Teil einer LRS Diagnose genutzt würde. Zur Legitimierung des DEMAT eignet sich diese Rechtsgrundlage allerdings nicht.

Passender ist hier, wenn man sich auf §120 Abs. 3 beruft, denn HSP+ und DEMAT sind definitiv standardisierte Tests, und argumentiert, dass man die beiden Tests im Rahmen der Qualitätsentwicklung und Qualitätssicherung durchführt. Vorab werden die Eltern über die Durchführung der Tests und die erforderliche Datenverarbeitung informiert.1Anzugeben sind, welche Daten, zu welchem Zweck auf welcher Rechtsgrundlage – SchulG NRW – verarbeitet werden, wer davon betroffen ist, an wen Daten übermittelt werden – hier in pseudonymisierter Form – bzw. wer Zugriff auf die Daten hat – hier die Lehrkräfte -, wie lange die Daten gespeichert werden und welche Rechte die Betroffenen haben – hier z.B. Recht auf Auskunft. Nach Durchführung der Tests werden sie über die Ergebnisse in Kenntnis gesetzt. Nutzt man die Online Auswertung mittels HSP+, dann werden dort keine Schülernamen verwendet, sondern nur Codes. Für die Schule selbst handelt es sich bei diesen Pseudonymen um personenbezogene Daten, für den Anbieter sind sie anonym. Eine Einwilligung für die Online Auswertung sollte damit nicht erforderlich sein. Die Durchführung im Rahmen der Qualitätsentwicklung und Qualitätssicherung liefert eine plausible Rechtsgrundlage, wenn man später noch einmal testet, um zu sehen, ob die individuellen Fördermaßnahmen im Unterricht die Kinder in ihrer Entwicklung in Rechtschreibung und Mathematik weitergebracht haben oder nicht.

Bedarfsabfragen zur Versorgung der Schülerinnen und Schüler mit digitalen Endgeräten

Lesezeit: < 1 Minute

Im Juli 2020 legte die Landesregierung NRW ein Programm zur Sofortausstattung von Schülerinnen und Schüler mit digitalen Endgeräten auf1Es handelt sich um die „Richtlinie über die Förderung von digitalen Sofortausstattungen (Zusatzvereinbarung zur Verwaltungsvereinbarung DigitalPakt Schule 2019 bis 2024 – Sofortausstattungsprogramm) an Schulen
und in Regionen in Nordrhein-Westfalen“; RdErl. d. Ministeriums für Schule und Bildung v. 21.07.2020 – 411
. Es ist nun an den Schulen, festzustellen, welche Schülerinnen und Schüler im Falle einer Schulschließung oder Quarantäne ein Leihgerät benötigen. Das MSB hat beispielhaft einige Fragen zur Abfrage der Voraussetzungen zu Hauseveröffentlicht – Beispielfragen: Ist-Zustand der Schülerinnen und Schüler.pdf

Hinweis: Es gibt von Seiten des Ministeriums für Schule und Bildung NRW keine Vorgabe, dass Schulen Bedarfe bei Schülern durch Fragebogen ermitteln müssen. Viele Schulen scheinen jedoch den Fragebogen als ein praktikables Mittel einzuschätzen und planen solche Abfragen oder führen sie bereits durch.

Nicht vergessen werden sollte, dass es sich bei dieser Abfrage um eine Datenerhebung handelt. Auch wenn die Beantwortung der Abfrage auf Freiwilligkeit beruht, ist eine Information über die Datenverarbeitung gemäß Art. 13 DS-GVO erforderlich. Bei der Abfrage sollte außerdem darauf geachtet werden, nur die Daten zu erheben, welche tatsächlich erforderlich sind, um zu beurteilen, ob Schüler ein Leihgerät benötigen, falls sie in den Distanzunterricht gehen. Es ist durchaus möglich, auch weitere Informationen abzufragen, etwa ob ein Internetzugang vorhanden ist oder ein Arbeitsplatz, an dem in Ruhe gearbeitet werden kann.

Vorlage für eine Abfrage mit Datenschutzinformationen

Stand 08/2020

Eltern in NRW sind verpflichtet Schulen E-Mail Adresse zu geben

Lesezeit: < 1 Minute

Normalerweise beruht die Angabe einer privaten E-Mail Adresse von Eltern in NRW auf Freiwilligkeit. Viele Eltern geben zumindest eine E-Mail Adresse bei der Anmeldung des Kindes an der Schule an, aber nicht alle. Das Schulministerium NRW hat eine Corona Virus FAQ veröffentlicht und sich dort zum Thema Angabe einer E-Mail Adresse geäußert.1Das Zitat gibt den Stand vom 19.03.2020 wieder.

„Unter Rückgriff auf die allgemeine Regelung des § 3 Abs. 1 DSG NRW ist es zur Erfüllung des Bildungsauftrags der Schulen datenschutzrechtlich zulässig, in Fällen der längeren Schulschließungen wegen der Corona-Pandemie von den Schülerinnen und Schüler bzw. Eltern die Angabe der privaten E-Mail-Adresse zu fordern und ihnen die Materialien zuzusenden.“

Entsprechend § 3 Abs. 1 DSG NRW kann die Schule nun geltend machen, dass sie die E-Mail Adresse der Eltern einfordert, „wenn sie für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe der verarbeitenden Stellen erforderlich ist oder wenn sie in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.“

Hinweis: Die Verarbeitung der auf dieser Rechtsgrundlage bei den Eltern erhobenen E-Mail-Adressen erfolgt zweckgebunden, um „ihnen die Materialien zuzusenden“. Sobald durch die Aufhebung der Corona Virus bedingten Schulschließungen dieser Verarbeitungszweck entfällt, ist für Schulen eine  weitere Nutzung und Speicherung dieser E-Mail Adressen nicht länger zulässig. 2Bitte beachten Sie, diese Vorgabe gilt nur für die E-Mail Adressen, welche auf der Grundlage von § 3 Abs. 1 DSG NRW erhoben wurden, nicht für solche welche bei den Eltern auf der Grundlage einer Einwilligung erhoben wurden.

Einwilligung ohne Papier in Zeiten von Corona

Lesezeit: < 1 Minute

In Zeiten des Corona Virus sind die Schulen geschlossen und trotzdem muss der Unterrichtsbetrieb irgendwie weiterlaufen. Auch die Kommunikation mit Schülern und Erziehungsberechtigten muss möglichst reibungslos und unaufwändig weiterhin möglich sein. Schulen setzen von daher vermehrt auf Online-Plattformen und Apps. Da diese in der Vergangenheit jedoch entweder noch nicht genutzt wurden oder nur von einem Teil der Schülerinnen, Schüler, Lehrkräfte und eventuell auch Eltern, ist es oftmals erforderlich, eine Einwilligung der Betroffenen einzuholen. Wollte man dieses in Papierform erledigen, wäre solches mit sehr viel Aufwand verbunden. Außerdem müsste damit gerechnet werden, dass die Rücklaufquote nicht 100 % ist und je nach Situation sogar extrem gering ausfallen könnte, etwa weil Person das Haus nicht verlassen können.

Was viele nicht bekannt ist, Einwilligungen können durch aus auch elektronisch von den Betroffenen eingeholt werden. Auf welcher  Rechtsgrundlage dieses für Schulen in Nordrhein-Westfalen möglich ist wie man elektronische Einwilligungen umsetzen kann, wird in dem Beitrag Einwilligung einholen ohne Papier ausführlich erklärt.

Lehrer Apps und Cloud Speicher

Lesezeit: 7 Minuten

Viele Lehrkräfte nutzen schon seit Jahren Computer zur Vorbereitung von Unterricht wie auch zur Verwaltung von Noten. Excel Tabellen und analoge Lehrerkalender mit Notenteil werden heute zunehmend durch Apps auf Mobilgeräten abgelöst. Neben den großen Plattformen für die digitale Organisation des Schulalltags mit digitalem Klassenbuch, Stunden- und Vertretungsplan, Absenzenverwaltung u.s.w. gibt noch einen Markt für Apps und Plattformen, die sich an Einzelnutzer richten. Diese Angebote richten sich vor allem an Lehrkräfte, an deren Schulen es noch keine große Plattform gibt oder wo eine solche aus anderen Gründen nicht eingeführt werden kann oder soll. Apps und Plattformen für Einzelnutzer gibt es heute für alle Desktop und mobilen Betriebssysteme. Um diese soll es im Folgenden gehen. Die meisten Aussagen lassen sich jedoch auch auf die großen Plattformen übertragen, die für eine schulweite Nutzung konzipiert sind.

Mangels Dienstgeräten nutzen Lehrkräfte Apps zur Verwaltung von Noten, Absenzen, Versäumnislisten und ähnlich momentan überwiegend auf ihren privaten Endgeräten, d.h. Tablets, Smartphones, Notebooks oder auch stationären Rechnern. Wie die Anbieter für die großen Schulplattformen werben auch die Anbieter von Apps und Plattformen für Einzelnutzer mit Sicherheit und Einhaltung der DS-GVO. Trotzdem sollten Lehrkräfte bei der Auswahl eines Anbieters sehr genau hinsehen, ob sie bei der Nutzung der Plattform die rechtlichen Vorgaben aus der Schul- und Datenschutzgesetzgebung einhalten können, denn hier geht es um personenbezogene Daten von Schülerinnen und Schülern.

Genehmigung

In der Regel setzt die Verarbeitung von personenbezogenen Daten aus der Schule auf einem privaten Endgerät eine Genehmigung der Schulleitung voraus. Das ist streng genommen auch der Fall, wenn die Daten pseudonymisiert in das digitale Notenbuch eingetragen werden, denn auch dann handelt es sich noch immer um personenbezogene Daten1Die Lehrkraft, welche die Daten einträgt, kann sie auch einzelnen Schülern zuordnen., und diese unterliegen den Vorschriften aus den  schul- und datenschutzrechtlichen Vorgaben des jeweiligen Bundeslandes.

Speicherort der Daten

Beim Speicherort hängt viel davon ab, wo genau die personenbezogenen Daten abgelegt werden. Speichert das App oder Programm die Daten lokal auf dem Gerät selbst oder erfolgt die Speicherung der Daten in eine Cloud? Letztere Möglichkeit nutzen einige Anbieter, um Lehrkräften einen einfachen und komfortablen Weg zu bieten, die im App eingetragenen Daten zu sichern und bei Nutzung des Apps auf mehreren Geräten die Daten zwischen den Geräten zu synchronisieren. Manche Anbieter ermöglichen damit zusätzlich einen Zugriff über ein Webinterface, welches mit einem Browser von einem beliebigen Rechner aus angesteuert wird. Was bei den großen Schulplattformen in der Regel kein rechtliches Problem darstellt, kann bei Apps und Plattformen, die sich an Einzelnutzer richten, durchaus zu einem werden. Wann das der Fall ist, ist das Hauptanliegen dieses Beitrags und das wird im Folgenden erklärt.

Lokale Speicherung

Solange ein App Daten nur lokal ablegt und die Sicherheit der verarbeiteten Daten auf dem Endgerät durch entsprechende technische Maßnahmen des App Anbieters, Sicherheitseinstellungen auf dem Gerät, Backups und verantwortungsvolles Handeln des Nutzers gewährleistet ist, ist die Nutzung aus Sicht des Datenschutzes eher unbedenklich.2In NDS schätzt man das anders ein. Dort ist eine lokale Speicherung von personenbezogene Daten auf privaten mobilen Endgeräten (Smartphones und Tablets) seit Anfang 2020 nicht mehr zulässig. Apps, die keine Speicherung in einer offiziellen Cloud zulassen, können damit von Lehrkräften in NDS nicht mehr genutzt werden. Siehe dazu auch RdErl. d. MK v. 1. 1. 2020 – 15-05410/1-8 Abs. 1.1 Satz 4 „Die Speicherung personenbezogener Daten auf dem Festspeicher privater mobiler Endgeräte (Smartphones und Tablets) ist nicht zulässig. Zu berücksichtigen ist für eine Bewertung jedoch auch noch das für eine Datensicherung genutzte Verfahren. Dazu mehr weiter unten.

Cloud Speicherung

Sobald eine Cloud an der Speicherung von personenbezogenen Daten aus dem App beteiligt ist, wird es aus Sicht des Datenschutz deutlich enger. Die externe Speicherung von personenbezogenen Daten aus der Schule setzt immer einen Vertrag zur Auftragsdatenverarbeitung (AVV) zwischen Schule und Anbieter voraus, sofern es sich nicht um eine von der Schule selbst betriebene Lösung handelt3Selbst betrieben meint dabei, dass es sich weder um einen gemieteten Server handelt, noch dass dieser Server von Mitarbeitern des Schulträgers oder eines IT Dienstleisters betreut wird.. Es macht auch keinen Unterschied, wenn die App die Nutzung von nicht vom Anbieter betriebenen Cloud Diensten zulässt, etwa in Google Drive, iCloud, Dropbox, OneDrive oder NextCloud. Solange es von Seiten der Schule mit dem Anbieter des Cloud Dienstes keinen AVV gibt, ist eine Nutzung zur Sicherung oder Synchronisierung von personenbezogenen Daten durch Lehrkräfte nicht zulässig, egal um welche Art von genutztem App es sich dabei handelt.

Zu den nicht zulässigen Cloud Speichern zählen auch die Clouds der Anbieter der Hardware oder des Betriebssystem. Das ist bei iOS Geräten und Macs beispielsweise die iCloud, bei Android Geräten kann es Google Drive oder je nach Hersteller eine eigene Lösung sein, wie etwa bei Samsung. Je nach Einrichtung kann unter Windows z.B. OneDrive ein solcher Cloud Speicher sein. Egal, welcher Cloud Speicher auf einem Endgerät läuft, ob ein System- oder Hersteller-eigener oder ein anderer, wie Dropbox, solange es sich nicht um einen von der Schule offiziell genutzten Cloud Speicher handelt, müssen jegliches automatische Backup und jede Synchronisationsfunktion für die in der Lehrer App verarbeiteten personenbezogenen Daten deaktiviert werden.

Die Erfordernis zum Abschluss eines AVV besteht nach Ansicht vieler Fachleute selbst dann, wenn die Übertragung dieser Daten zwischen App und Cloud Ende-zu-Ende verschlüsselt ist, die Speicherung auf dem Server verschlüsselt erfolgt und der Schlüssel zur Entschlüsselung nur auf dem Endgerät des Nutzers hinterlegt ist4Aus Sicherheitsgründen sollte dieses immer der Fall sein. Cryptomator , der Anbieter einer Open Source Verschlüsselungsplattform, beschreibt die Möglichkeit, vertrauliche Daten verschlüsselt über einen Cloud Dienst mit einem Team zu nutzen:

„DSGVO-konform über die Cloud mit deinem ganzen Team synchronisieren
Beim Einsatz von Cryptomator und einem Cloud-Service mit entsprechendem AVV kannst du Daten DSGVO-konform über die Cloud synchronisieren und mit einem ganzen Team nutzen.“

Die andere Meinung – verschlüsselte Daten sind keine personenbezogenen Daten

In diesem Beitrag wird davon ausgegangen, dass die Speicherung von personenbezogenen Daten aus der Schule in einer Cloud auch dann einen AVV braucht, wenn sie dort in verschlüsselter Form abgelegt werden und der Anbieter keine Möglichkeit hat, die Daten zu entschlüsseln. Das wäre beispielsweise der Fall, wenn die Daten mit BoxCryptor oder Cryptomator verschlüsselt werden. Der Schlüssel liegt dabei nie in der Cloud. Für den Anbieter der Cloud handelt es sich nur um nicht lesbare Daten.

Verschlüsselung ist ein gängiges Verfahren, um die verarbeiteten personenbezogenen Daten vor unbefugtem Zugriff zu schützen, auch durch den Auftragsverarbeiter. Es ist vermutlich die Mehrheit der Fachleute, die davon ausgeht, dass es sich auch mit Verschlüsselung weiterhin um personenbezogene Daten handelt.

„Die umgesetzten Schutzmaßnahmen entscheiden nicht darüber, ob es sich um eine Auftragsverarbeitung handelt oder nicht.
Wenn in Ihrem Fall der Dienst, den Sie als Unternehmen anbieten, personenbezogene Daten verarbeitet (selbst, wenn nur Ihr Kunde diese eingibt und sehen kann), sind Sie trotzdem Auftragsverarbeiter.“

meint etwa die Fachfrau Regina Stoiber auf eine Nachfrage unter einem Beitrag auf ihrer Seite.

An verschiedenen Stellen wird auf eine Aussage der bayrischen Aufsichtsbehörde verwiesen, um zu begründen, warum es sich bei verschlüsselten Daten nicht länger um personenbezogene Daten handelt. Man sollte dabei jedoch berücksichtigen, dass dieser Tätigkeitsbereicht, in welchem sich folgende Aussage findet, wie Frau Stoiber in einem Kommetar unter diesem Beitrag anmerkt, von 2013/14 stammt, also deutlich vor Beginn der Umsetzung der DS-GVO:

Ein Teil der deutschen Datenschutzaufsichtsbehörden hält personenbezogene Daten, die mit einem starken kryptografischen Verfahren nach dem aktuellen Stand der Technik sicher verschlüsselt sind, bei einem Dienstleister für nicht personenbezogen, da er sie nicht zur Kenntnis nehmen könne. Zu dieser Gruppe der Aufsichtsbehörden gehören auch wir.“

Durch die DS-GVO dürfte diese Aussage überholt sein und wird so vermutlich auch nicht mehr von der bayrischen Aufsichtsbehörde vertreten.

Diese alte Aussage bezog sich auf Archive. Das App Lehrmeister (digitales Notenbuch), bei welcher die Daten fortlaufend verschlüsselt mit der Cloud des Anbieters abgeglichen werden und sogar der Schlüssel hinterlegt werden kann, ist mit einer Speicherung im Sinne einer Archivierung nicht vergleichbar.  Der Anbieter sieht das anders.5Siehe Informationen zum Thema Datenschutz und IT-Sicherheit Will eine Lehrkraft dieses App nutzen, sollte sich vorher mit der Schulleitung abstimmen. Diese muss letztlich entscheiden. Ohne das Einverständnis der Schulleitung sollte man Lehrmeister oder vergleichbare Apps nicht nutzen.

Es gab vor Beginn der Umsetzung der DS-GVO zwei Meinungen bezüglich der Verarbeitung von verschlüsselten Daten und gibt sie auch heute noch. Selbst für Fachleute, die ähnlicher Meinung sind wie die bayrische Aufsichtsbehörde seinerzeit, ist aber immer eines klar:

auch wenn personenbezogene Daten so verschlüsselt sind, dass der Cloud Anbieter sie nicht zur Kenntnis nehmen kann, so kann man sie deshalb nicht wahllos jedem x-beliebigen Anbieter anvertrauen.

Ein Anbieter muss vertrauenswürdig sein, dass dort verarbeitete Daten jederzeit verfügbar sind und vertraulich bleiben. Außerdem muss die Verschlüsselung dem Stand der Technik entsprechen und gegebenfalls mit der Zeit aktualisiert werden. 6Von einer Speicherung von personenbezogenen Daten in den Clouds von US Abietern oder von Anbietern, die gängigen Sicherheitsstandards nicht genügen, sollte auch bei einer verschlüsselten Speicherung abgesehen werden. Fallen verschlüsselte Daten Unbefugten in die Hände, können sie auf Dauer eine tickende Bombe sein, denn mit forschreitender Technik gibt es keine Gewähr, dass sie nicht in absehbarer Zeit entschlüsselt werden können.

Sicherung der Daten

Apps, die nicht mit einer Cloud verbunden sind, benötigen ebenfalls Möglichkeiten, die dort gespeicherten Daten regelmäßig zu sichern. Dazu sind verschiedene Verfahren üblich. Der einfachste Weg ist ein Ausdruck auf Papier. Einige Apps lassen Exporte in verschlüsselte Tabellen, PDF oder Archiv Dateien zu, die dann entweder im Dateisystem abgelegt werden oder sich per E-Mail vom Gerät aus an ein anderes Gerät senden lassen, wo sie dann gespeichert werden. Sobald E-Mail zur Übermittlung genutzt wird, kommt dafür nur ein dienstliches E-Mail Konto in Frage. Auch E-Mail Dienste laufen über externe Server und nur das dienstliche E-Mail Konto erfüllt die Anforderungen, welche Schul- und Datenschutzrecht voraussetzen. Eine Übermittlung über ein privates E-Mail Konto ist nicht zulässig, auch wenn die Übermittlung verschlüsselt erfolgt.

Fazit

Nutzen Lehrkräfte Apps zur Verarbeitung von personenbezogenen Daten von Schülern, dann ist dieses aus datenschutzrechtlicher Sicht am wenigsten probematisch, wenn es dazu keine Speicherung in einer Cloud des Anbieters braucht. Ist das App mit einer Cloud des Anbieters verbunden, dann sollte dafür nach Möglichkeit ein Vertrag zur Auftragsverarbeitung mit dem Anbieter abgeschlossen werden. Diesen kann nicht die Lehrkraft abschließen, er muss zwischen Schulleitung und Anbieter abgeschossen werden.

Vertritt man die oben beschriebene Ansicht, dass die Speicherung der Daten verschlüsselt erfolgt und der Anbieter keine Möglichkeit hat in Kenntnis der Daten zu kommen und sie damit nicht personenbezogen sind, so könnten Lehrkräfte personenbezogene Daten von Schülern auch in Apps verarbeiten, die mit einer Anbieter Cloud gekoppelt sind, für welche der Anbieter keinen Vertrag zur Auftragsverarbeitung anbietet. Das Gesagte ließe sich auch auf die Nutzung eines privaten E-Mail Kontos zur Übermittlung einer verschlüsselten Sicherungsdatei übertragen. Wichtig ist hierbei eines – es geht bei der Entscheidung, ob die Nutzung eines solchen Anbieters zulässig ist oder nicht – nicht um die der einzelnen Lehrkraft, sondern die der Schulleitung. Lehrkräfte, die hier eigenmächtig entscheiden und einen solchen Anbieter nutzen, müssen im Fall der Fälle mit Rechtsfolgen rechnen.

Stand 02/2021