Distanzunterricht – Leistungsbewertung – Datenschutz

Lesezeit: 2 Minuten

Mit Bezug auf Distanzunterricht kommt bei Lehrkräften immer wieder die eine Frage auf: „Wie kann man im Distanzunterricht Leistungen bewerten, wenn Schüler sich weigern, die Videokamera einzuschalten?“ „Ich muss Noten im Sportunterricht machen. Wie soll das gehen, wenn ich die Schüler nicht sehe?“ „Wenn ich meine Schüler nicht hören kann, wie soll ich im Fremdsprachunterricht ihr Sprechen bewerten?

Wie im Beitrag Distanzunterricht – rechtliche Vorgaben und Möglichkeiten beschrieben, findet sich weder im SchulG NRW in der aktuellen Fassung noch in  der Zweiten Verordnung zur befristeten Änderung der Ausbildungs- und Prüfungsordnungen gemäß § 52 SchulG  eine Rechtsgrundlage, die es ermöglicht, Schüler zur Nutzung einer Videokonferenzplattform zu verpflichten.

Dieses wurde übrigens auch noch einmal bei der Beantwortung einer kleinen Anfrage (Drucksache 17/12894) im Landtag NRW von der Landesregierung so bestätigt.

„Die Verarbeitung von Audio- und Videodaten mit Personenbezug durch die Schule erfordert die Einwilligung der Betroffenen bzw. deren Erziehungsberechtigten, sofern Minderjährige das 16. Lebensjahr noch nicht vollendet haben.“

Gleichzeitig ist aber auch klar, dass der Distanzunterricht in die Leistungsbewertungen der Unterrichtsfächer mit einfließt. Entsprechend heißt es in §5 der Zweiten Verordnung:

„Sie [die Lehrerinnen und Lehrer] informieren die Schülerinnen und Schüler regelmäßig über die Lern- und Leistungsentwicklung.“

und in §6 Abs. 2:

„Die Leistungsbewertung erstreckt sich auch auf die im Distanzunterricht vermittelten Kenntnisse, Fähigkeiten und Fertigkeiten der Schülerinnen und Schüler. Die im Distanzunterricht erbrachten Leistungen werden in der Regel in die Bewertung der sonstigen Leistungen im Unterricht einbezogen.“

Für die Praxis bedeutet das:

  • wenn Schülerinnen und Schüler auf freiwilliger Basis am Distanzunterricht über eine bestimmte Plattform teilnehmen, werden die dort erbrachten Leistungen entsprechend der Zweiten Verordnung in der Leistungsbewertung berücksichtigt,
  • willigen Schülerinnen und Schüler nicht in die Verarbeitung von personenbezogenen Daten zur Nutzung einer bestimmten Plattform ein und wollen beispielsweise die Kamera nicht einschalten, dann
    • kann dieses nicht als nicht erbrachte Leistung gewertet werden,
    • muss die Lehrkraft Alternativen anbieten wie diese Schülerinnen und Schüler eine vergleichbare Leistung erbringen können.

Die Note in einem Fach setzt sich immer aus verschiedenen Arten von Leistungen zusammen. Wenn es nicht möglich ist, die Durchführung von gymnastischen Übungen zu bewerten, weil der Schüler oder die Schülerin weder bereit ist, diese Übungen vor einer Webcam zu zeigen oder der Lehrkraft ein selbstaufgenommenes Video zur Verfügung zu stellen, muss man alternativ eben einen Aufsatz anfertigen lassen zu einem vergleichbaren Thema. Kann man seine Schüler im Fremdsprachunterricht auf Distanz nicht in einer Video- oder Audiokonferenz sprechen hören, weil sie keine Einwilligung erteilen wollen, könnte man ihnen einen Anruf per Telefon anbieten. Alternativ muss man dann vermutlich auf die Bewertung des Sprechens an sich verzichten und andere Leistungen des Schülers zu Bewertung heranziehen und damit ausgleichen. Das tut man in der Regel auch bei sehr stillen Schülern. Kreativität ist gefragt.

Fazit

Leistungen werden selbstverständlich gemäß der Zweiten Verordnung im Distanzunterricht bewertet, da das schulische Datenschutzrecht jedoch Grenzen setzt, was die Verpflichtung zur Nutzung bestimmter Formate von digitalem Distanzunterricht angeht, muss man hier auf alternative Möglichkeiten ausweichen, mit denen Schülerinnen und Schülern Leistungen erbringen können.

Logineo NRW

Lesezeit: 5 Minuten

Hinter dem Label Logineo NRW verbergen sich die verschiedenen Module der Landesplattform für Schulen und ZfSL, die aktuell unabhängig von einander genutzt werden können. Es gibt die

Mitbestimmung

Was mit den Plattformen möglich ist und wo die Grenzen sind, auch mit Blick auf Datenschutz, ist in zwei Dokumenten geregelt, welche durch die Hauptpersonalräte und Hauptschwerbehindertenvertretungen mitbestimmt wurden:

Letzteres Dokument wird durch schulinterne Regelungen, soweit sie im Rahmen der Vorgaben des Dokumentes möglich sind, ergänzt.

Einwilligung und Informationen zur Datenverarbeitung

Die Nutzung aller drei Logineo NRW Plattformen ist freiwillig. Niemand, weder Lehrkräfte noch Schüler oder andere Personen, die für eine Nutzung in Frage kommen, kann zur Nutzung der Plattformen verpflichtet werden. Aus einer Nichteinwilligung dürfen den Betroffenen keine Nachteile entstehen. Alle drei Plattformen und die zugehörige Dokumentation wurde mitbestimmt.1Die Mitbestimmung wurde 2021 abgeschlossen.

Alles digital

Wie bei jeder in Schule genutzten Plattform sind auch zur Nutzung den Logineo NRW Plattformen Informationen zur Datenverarbeitung gemäß Art. 13/ 14 DS-GVO erforderlich. Diese Informationen finden sich jeweils an zwei Stellen.

Sie finden sich einmal bei jeweiligen Aktivierungsdialog der Plattformen. Bei allen drei Plattformen wird die Einwilligung in die Verarbeitung von personenbezogenen Daten bei Nutzung der Plattformen in elektronischer Form erteilt. Es braucht also kein Papierdokument mit einer Unterschrift!

Informationen zur Datenverarbeitung

Die Informationen zur Datenverarbeitung kann man auch außerhalb dieses Dialogs einsehen. Sie finden sich unter:

Elternanschreiben (mit Einwilligung)

Die Einwilligung kann elektronisch durch Setzen eines Häkchens erteilt werden. Bei jüngeren Schülern geht dieses jedoch nicht ohne die Erziehungsberechtigten. Damit hier alles korrekt abläuft, gibt es Elternanschreiben, die man zuvor ausgibt, bzw. verschickt und dann wieder einsammelt:

Schülergerechte Informationen zum Datenschutz

Die meisten Informationen, welche auf den Produktseiten der Logineo NRW Familie zur Verfügung gestellt werden, richten sich an Erwachsene. Aber es gibt auch Informationen auf einem für Schüler angemessenen Niveau:

Vertrag zur Auftragsverarbeitung

Schulen benötigen bei der Nutzung der Logineo NRW Plattformen gemäß Art. 28 DS-GVO und SchulG NRW einen Vertrag zur Auftragsverarbeitung, den sie mit dem Anbieter abschließen. Da die drei Plattformen von drei verschiedenen Anbietern bereitgestellt werden, braucht es auch drei solche Verträge. Sie finden sich unter:

und werden abgeschlossen wie dort beschrieben.

Die Logineo NRW Plattformen werden an den meisten Schulen von einer Lehrkraft administriert. Manchmal sind es auch zwei Personen und gelegentlich auch die Schulleitung selbst. Damit diese Tätigkeit datenschutzrechtlich abgesichert ist, sollte mit dem bzw. den Administratoren eine sogenannte Administratorenverpflichtung abgeschlossen werden. Diese gilt dann für alle administrativen Tätigkeiten, welche die Personen ausüben, muss aber entsprechend erweitert werden, wenn es um mehr als eine Plattform geht.

Fragen und Antworten zu Logineo NRW und Datenschutz

Auch wenn eigentlich alles in den Dokumenten zu den drei Plattformen von Logineo NRW steht, was man zum Datenschutz wissen sollte, hier noch einmal die wichtigsten Punkte als FAQ:

  • Kann man zur Nutzung der Logineo NRW Plattformen gezwungen werden?
    • Nein, die Nutzung ist freiwillig. Die Einwilligung wird bei der ersten Anmeldung am System, der Account Aktivierung gegeben. Sie kann jederzeit widerrufen werden.
  • Muss zur Nutzung der Logineo NRW Plattformen eine Einwilligung in die Verarbeitung von personenbezogenen Daten gegeben werden?
    • Ja, das ist erforderlich. Ohne geht es nicht. Aber niemand kann zur Einwilligung gezwungen werden.
  • Können Kinder eigenständig in die Nutzung der Logineo NRW Plattformen einwilligen?
    • Nein, bei Kindern und Jugendlichen ist eine Einwilligung der Erziehungsberechtigten erforderlich. Etwa ab dem Alter von 15 oder 16 Jahren sind Jugendliche aber in der Lage die Folgen und Tragweite ihrer Entscheidung abzuschätzen und die Einwilligung eigenständig zu erteilen. Die Eltern sollten trotzdem zumindest informiert werden.
  • Können Kinder eigenständig in die Einwilligung widerrufen?
    • Das können sie durchaus, vor allem wenn es um das Videokonferenz Tool geht. Wenn sie die Kamera nicht einschalten, widerrufen sie zumindest für den Augenblick ihre Einwilligung und das ist zu akzeptieren.
  • Ich habe eingewilligt. Muss ich dann auch mit meinem privaten Endgerät damit arbeiten?
    • Nein, die Nutzung der Plattformen mit privaten Endgeräten ist freiwillig. Lehrkräfte benötigen hierzu außerdem auch eine Genehmigung der Schulleitung für ihr privates Endgerät.
  • Muss ich bei der Nutzung der Videokonferenz Komponente, die Kamera einschalten?
    • Nein, das ist eine Entscheidung im Rahmen des Rechts auf informationelle Selbstbestimmung. Ich kann die Kamera jederzeit ausschalten. Gleiches gilt auch für den Ton. Auch das Mikrofon kann jederzeit deaktiviert werden.
  • Entstehen mir keine Nachteile, wenn ich keine Einwilligung erteile?
    • Es dürfen bei einer nicht-Einwilligung keine Nachteile entstehen. Die Schule muss dann dafür sorgen, dass wichtige Information diese Personen auf alternativen Wegen erreichen.2In der Praxis kann das eine Schule jedoch schon vor enorme Herausforderungen stellen.
  • Welche Daten dürfen in der Bildungscloud von Logineo NRW gespeichert werden?
    • Die Bildungscloud ist für pädagogische Daten gedacht, nicht für pädagogische Dokumentation oder personenbezogene Daten aus der schulinternen Verwaltung. Hierfür gibt es die Verwaltungscloud.
  • Welche Daten dürfen in Logineo NRW LMS gespeichert werden?
    • Das Landes Moodle ist ausschließlich für die Verarbeitung von pädagogischen Daten vorgesehen. Entsprechend ist es auch im Vertrag zur Auftragsverarbeitung festgehalten.3Verarbeitung von Daten im Rahmen einer Aufgabenerfüllung
      Schülerinnen und Schüler, Eltern:
      ▪ Stammdaten
      ▪ pädagogische Inhaltsdaten (z. B. personalisierte Arbeitsergebnisse, …)
      ▪ Stand des Lernprozesses
      ▪ private E-Mail-Adresse
      authentifizierte Nutzerinnen und Nutzer:
      Nutzungsdaten:
      ▪ freiwillig bereitgestellte
      Dokumente, Dateien und Daten
      ▪ Kommunikationsinhalte
      Pädagogische Daten meint hier die von zugeteilten und bearbeiteten Aufgaben, Feedback und Bewertungen, von den Schülern erstellte Artefakte, Kommunikationsinhalte, Umfragebeiträge usw.
    • Es gibt auch noch das von QUALIS entwickelte Modul zur digitalen Lern- und Entwicklungsplanung in Logineo NRW LMS. Diese Inhalte im LMS des Landes zu verarbeiten, widerspricht den im Vertrag zur Auftragsverarbeitung vorgesehen Daten. Schulen, welche dieses Modul nutzen, verarbeiten die dabei anfallenden personenbezogenen Daten, die durchaus zu den sogenannten besonderen Kategorien nach Art. 9 DS-GVO gehören können, außerhalb des Vertragsverhältnisses. Das MSB sieht darin, wie sich aus Rückfragen ergab, scheinbar kein Problem.
  • Welche Daten dürfen in Logineo NRW Messenger verarbeitet werden?
    • Der Messenger ist vor allem zur Kommunikation im Unterricht gedacht. Entsprechend dürfen dort pädagogische Inhalte kommuniziert werden. Gleiches gilt auch für das Videokonferenz Tool. Es geht um kurzfristige Kommunikation von Inhalten.4„Die Nutzung des Messengers dient kurzfristigen Kommunikationszwecken wie beispielsweise organisatorischen Absprachen oder dem Bündeln von Arbeitsergebnissen.“ Rahmenmediennutzungsordnung Auch Lehrkräfte können untereinander über die Plattformen kommunizieren. Ausgeschlossen von der Verarbeitung im Messenger sind jedoch Dokumente mit sensibleren personenbezogenen Daten wie Notenlisten oder Fördergutachten.5„Die Speicherung oder der Austausch von Dokumenten mit sensiblen personenbezogenen Daten wie beispielsweise Notenlisten oder Fördergutachten sind untersagt.“ Rahmenmediennutzungsordnung. Auch wenn der Messenger als sehr sicher gilt, würde es durch solch einen Austausch zu unkontrollierten Speicherungen dieser Daten kommen. Die ausgetauschten Daten verblieben solange auf den Servern des Messengers gespeichert, bis der Chatraum gelöscht wird.
  • Wo in Logineo NRW dürfen personenbezogene Daten der pädagogischen Dokumentation und der schulinternen Verwaltung verarbeitet werden?
    •  Dafür gibt es die Verwaltungscloud von Logineo NRW (Basis Plattform). Wichtig ist, dass besonders sensible Dokumente wie Fördergutachten, Beurteilungen und ähnlich nur im Daten-Safe gespeichert und verarbeitet werden?
  • Kann Logineo NRW zur Datensicherung verwendet werden?
    • Logineo NRW kann zur vorübergehenden Sicherung von personenbezogenen Daten von dienstlichen Endgeräten genutzt werden. Die Plattform ist jedoch nicht für Archiv Zwecke eingerichtet.6„LOGINEO NRW ist nicht für eine Langzeitdatenspeicherung ausgelegt.“ Rahmenmediennutzungsordnung Für eine dauerhafte Sicherung von personenbezogenen Daten müssen Server der Schule genutzt werden, die für die Speicherung dieser Arten von Daten eingerichtet sind.
  • Darf die Schulleitung Logineo NRW Messenger mit Video Tool zur Leistungs-und Verhaltenskontrolle von Lehrkräften nutzen?
    • Nein, das ist nicht zulässig. Eine Ausnahme gibt es jedoch bei Hospitationen im Rahmen der Wahrnehmung von Führungsaufgaben bei der Beschaffung von Informationen und Eindrücken zur Unterrichts-und Schulkonzeptentwicklungoder bei dienstlichen Beurteilungen. Hier gelten die normalen Regeln wie auch im Unterricht. Entsprechend den Vereinbarungen der Schule sind Lehrkräfte vorab zu informieren.
    • Auch die anderen Logineo NRW Plattformen dürfen nicht zur Leistungs-und Verhaltenskontrolle von Lehrkräften genutzt werden.
  • Darf die Schulleitung gleichzeitig Administrator einer Logineo NRW Plattform sein?
    • Es gibt kein Vorbot, welches es Schulleitungen untersagt, die Funktion des Administrators an der eigenen Schule auszuüben. Vor alle an kleinen Schulen düften die beiden Rollen auf eine Person fallen. Wichtig ist, dass es ein Vertrauensverhältnis gibt zwischen Schulleitung und Lehrkräften. Zur Absicherung gibt es eine Protokollierung aller Administrationstätigkeiten in Logineo NRW. Mit dieser ließe sich nachverfolgen, ob eine Schulleitung sich mit den Administratorrechten unbefugt auf ein Nutzerkonto und seine Inhalte verschafft hat.
  • Darf die Schulleitung in mein E-Mail Konto hineinschauen?
    • Nein, das ist nicht zulässig. Es gibt aber eine Ausnahme, die entsprechend in der Rahmenmediennutzungsordnung beschrieben wird: „Wenn in Ausnahmesituationen, die keinen Aufschub dulden, Inhalte eines LOGINEO NRW-Postfachs für dienstliche Zwecke benötigt werden, kann der Zugriff auf das E-Mail-Postfach einer Benutzerin oder eines Benutzers auf Anweisung des oder der Vorgesetzten und nur unter Hinzuziehung eines Mitglieds des Lehrerrats bzw. der Personalvertretung im Vier-Augen-Prinzip durchgeführt werden. Der oder die Betroffene ist über den Zugriff unverzüglich zu unterrichten.“

Stand 05/2021

Verarbeitung von Gesundheitsdaten durch Schulen – Coronaselbsttests

Lesezeit: 3 Minuten
Einen Tag, nachdem dieser Beitrag online ging, erschien eine aktualisierte Fassung der Schrift der LDI NRW. Der Beitrag ist entsprechend angepasst.

Die Corona Pandemie stellt Schulen auch in Bezug auf Datenschutz vor manche Herausforderung. Welche Informationen darf eine Schule über die Anzahl von Infektionen an der Schule und in einzelnen Klassen weitergeben? Ist es zulässig, die Namen von Infizierten Personen in der Klasse selbst bekannt zu machen? Zu einigen Unsicherheiten trug das Ministerium für Schule und Bildung nicht unwesentlich durch seine Vorgaben bei. Dabei ging es vor allem um die Selbsttestungen bis zu den Osterferien, für die es nach Informationen des Ministeriums möglich sein sollte, auf eine Einwilligung zu verzichten. Stattdessen setzte man auf eine Widerrufslösung in Kombination mit einer Einwilligung durch eine einwilligende Handlung durch Teilnahme am Selbsttest.1„Auf Basis dieser Verfahrensvorgaben ist festzustellen, dass datenschutzrechtlich eine Einwilligung nach Art. 7 DS-GVO zur Erhebung der Gesundheitsdaten (= Testergebnis) in der Schule vorliegt. Diese datenschutzrechtliche Einwilligung muss nicht zwingend schriftlich erklärt werden, sondern mit der eigenen aktiven Teilnahme am Test, ohne Handlung einer anderen Person, bei gleichzeitigem Verzicht auf eine Widerspruchserklärung ist eine Einwilligung in die Erhebung des Testergebnisses erteilt. Über die Umstände der Testungen wurde auch informiert. Dem steht auch nicht der Erwägungsgrund 32 zur DS-GVO entgegen. Danach sollen Stillschweigen oder Untätigkeit der betroffenen Person keine Einwilligung darstellen. Ein solcher Fall ist hier jedoch nicht gegeben, denn mit dem vg. Verhalten ist in diesem Kontext das Einverständnis durch eindeutige bestätigende Handlung klar signalisiert.“ Schreiben des MSB, Referat 212, vom 26.03.2021

Mittlerweile hat sich die Sachlage geändert. Mit der Wiederaufnahme des Unterrichtsbetriebs nach den Osterferien trat die geänderte Coronabetreuungsverordnung (CoronaBetrVO) in Kraft und aus den freiwilligen Selbsttests wurden verpflichtende Selbsttests.

Nachdem wohl vor allem vor den Osterferien sehr viele Anfragen bei der Aufsichtsbehörde des Landes NRW eingegangen waren, veröffentlichte diese zum 20.04.2020 die Schrift Coronaselbsttests – Verarbeitung von Gesundheitsdaten durch Schulen.pdf, in welcher sie sich mit den datenschutzrechtlichen Grundsätzen, Voraussetzungen und Grenzen der Verarbeitung von personenbezogenen Daten durch Schulen im Rahmen der Selbsttestungen auseinandersetzt. Am 28.04.2021 erschien die aktualisierte Fassung Coronaselbsttests – Verarbeitung von Gesundheitsdaten durch Schulen.pdf

Darin geht die Aufsichtsbehörde auch auf das Verfahren vor den Osterferien ein und es wird deutlich, dass sie die rechtliche Einschätzung des Ministerium für Schule und Bildung nicht uneingeschränkt teilt. Personen, die schon zuvor an der Rechtmäßigkeit des vom Land gewählten Verfahrens zweifelten, werden sich dadurch bestätigt sehen.

Die Aufsichtsbehörde befasst sich dann mit der aktuell geltenden Situation und bewertet die rechtlichen Vorgaben aus der überarbeiteten CoronaBetrVO in Bezug auf ihre Verhältnismäßigkeit. Nach einer Bewertung der Geeignetheit, Erforderlichkeit und Angemessenheit der getroffenen Regelungen, kommt sie zu dem Schluss, dass die Verhältnismäßigkeit gewahrt ist. Im letzten Teil der Schrift betrachtet die Aufsichtsbehörde die Verantwortlichkeit für die Gewährleistung des Datenschutzes an der Schule, erläutert die Verpflichtung der Schule und der beteiligten Personen, die Vertraulichkeit der Testergebnisse zu wahren, bevor es dann um die Dokumentation der Testergebnisse geht und die Übermittlung derselben an Dritte.

Gerade bei der Übermittlung der personenbezogenen Daten von Personen mit positivem Selbsttest sah man in der Aufsichtsbehörde noch einen deutlichen Klärungsbedarf und wollte nun vom Ministerium für Schule und Bildung wissen „ob, unter welchen Voraussetzungen und gegebenenfalls auf welcher Rechtsgrundlage eine Übermittlung der Testergebnisse unter dem Gesichtspunkt des Gesundheitsschutzes und der Pandemiebekämpfung an andere Personen
und/oder Stellen vorgesehen ist und zulässig sein soll.

Das Land kam dieser Aufforderung nach mit der Präzisierung einiger Vorschriften in der CoronaBetrVO.

Schulen sollten beim Umgang mit positiven Ergebnissen von Selbsttests folgende Regel beachten:

  • Das Ergebnis des eine konkrete Schülerin oder einen konkreten Schüler betreffenden Selbsttests darf unmittelbar nur dieser oder diesem bzw. den jeweiligen Erziehungsberechtigten bekanntgegeben werden.
  • Dieses muss so erfolgen, dass Dritte dabei nichts mitbekommen.
  • Bei der Herausnahme der betroffenen Person aus dem Unterricht sollte  nicht direkt offensichtlich werden, dass diese einen positiven Selbsttest hatte.
  • Bei einer positiven Selbsttestung informiert die Schule das zuständige Gesundheitsamt.
  • Eine Übermittlung der positiven Testergebnisse von Selbsttests an andere Personen oder Stellen über das Gesundheitsamt hinaus, ist nicht zulässig.
  • Die Ergebnisse der durchgeführten Selbsttests oder vorgelegten Testnachweise werden von der Schule erfasst, dokumentiert und nach 14 Tagen vernichtet.
  • Diese Daten dürfen nur den Personen zugänglich gemacht werden, die sie zur Erfüllung ihrer Aufgaben benötigen.
  • Bei einem positiven Selbsttest werden die direkten Sitznachbar*innen bzw. engen Kontaktpersonen (sog. „social bubble“) bis zum Vorliegen eines PCR-Testergebnisses des Verdachtsfalls aufgefordert, nicht nur strikt die Infektions- und Hygienemaßnahmen einzuhalten, sondern auch nicht notwendige Kontakte in der Schule zu vermeiden.
  • Die Schule darf die betroffenen Personen aus dem Umfeld des Verdachtsfalls nicht selbst über den Verdachtsfall informieren.

Letzteres müsste dann wohl das Gesundheitsamt übernehmen.

Weiterhin ungeklärt ist, wie eine Schule verfahren soll, wenn das örtliche Gesundheitsamt die Kontaktdaten (Name, Anschriften, Telefonnummer und eMail Adresse) von Schülerinnen und Schülern einer Lerngruppe anfordert, um eine Clusterquarantäne anzuordnen.

Nach dem aktuellen Stand besteht für eine Übermittlung von Kontaktdaten der ganzen Lerngruppe oder von Teilen einer Lerngruppe, wenn daraus ein einzelner Schüler infiziert ist, an das Gesundheitsamt keine Rechtsgrundlage. Schulleitungen, die dem Wunsch des Gesundheitsamtes nachkommen, setzen sich dem Risiko aus, von Betroffenen, die sich dadurch in ihrem Recht auf informationelle Selbstbestimmung verletzt sehen, verklagt zu werden.

Neue Veröffentlichung der LDI NRW – zum Thema Verarbeitung von Gesundheitsdaten durch Schulen

Lesezeit: < 1 Minute

Mit Datum vom 22.03. 2021 hat die LDI NRW eine neue Schrift veröffentlicht, um Klarheit beim Thema Verarbeitung von Gesundheitsdaten in der Schule zu schaffen, hier bezogen auf das Thema Nichtteilnahme am Präsenzunterricht zum Schutz vorerkrankter Angehöriger – Verarbeitung von Gesundheitsdaten durch Schulen.pdf

Im PDF wird gut erklärt, welche Gesundheitsdaten eine Schule in welcher Art und Weise im Zusammenhang mit der Nichtteilnahme von Schülern am Präsenzunterricht zum Schutz vorerkrankter Angehöriger überhaupt erheben darf. Wann darf sie ein ärztliches Attest einfordern und wann ein amtsärztliches Gutachten? Es geht darüber hinaus auch um die oft gestellte Frage, ob die Schule zum Zwecke der Einholung eines amtsärztlichen Gutachtens Daten an das Gesundheitsamt weiterleiten darf. Die Antwort lautet: die Schule benötigt hierfür immer eine Einwilligung der Betroffenen, da es keine Rechtsgrundlage dafür gibt, wie in der Schrift ausführlich erläutert wird.

Die Schrift knüpft an an die im November 2020 erschienene Schrift Maskenpflicht und Masernschutz – Verarbeitung von Gesundheitsdaten durch
Schulen.pdf, welche Schulleitungen rechtliche Hilfestellungen gibt, wenn es um die Verarbeitung von personenbezogenen Daten in den im Titel genannten Zusammenhängen geht. Die Schrift erklärt am Beispiel von verschiedenen Fallkonstellationen, wo die datenschutzrechtlichen Grenzen und Möglichkeiten für das Handeln der Schulleitungen liegen.

Eltern zu einer Besprechung per Videokonferenz einladen

Lesezeit: 2 Minuten

In Zeiten von Corona möchten viele Schulen gerne Elterngespräche in Form von Videokonferenzen anbieten. Es geht dabei sowohl um Elterngespräche in Format 1 zu 1 wie auch Informationsabende, bei denen Eltern über die Arbeit der Schule informiert werden sollen. Auch hierbei ist das Thema Datenschutz zu beachten. Eltern müssen über die zur Teilnahme an einer Videokonferenz erforderliche Datenverarbeitung gemäß Art. 13 DS-GVO informiert werden und dann eine Einwilligung erteilen. Das ist auch der Fall, wenn sie zur Teilnahme an einer Videokonferenz ein bestehendes schulisches Konto ihres Kindes nutzen, da die Einwilligung in die Verarbeitung von personenbezogenen Daten bei der Nutzung dieses Kontos das Kind betraf, nicht aber die Eltern selbst.

Da es sich bei den Teilnehmern um Erwachsene handelt und die Videokonferenzen nur einzelne oder gelegentliche Veranstaltungen sind, kann die Einwilligung durch die Eltern hier auch durch sogenanntes konkludentes Handeln1„Im Zivilrecht spricht man von einer konkludenten Willenserklärung, wenn sie ohne ausdrückliche Erklärung durch schlüssiges Verhalten abgegeben wird. D.h. die Willenserklärung wird aus den Handlungen des Erklärenden abgeleitet.“ Quelle Wiktionary gegeben werden. Die Eltern willigen in die Datenverarbeitung ein, indem sie an der Videokonferenz teilnehmen. Schalten sie dazu beispielsweise die Kamera ein, willigen sie in die Verarbeitung des Bildsignals ein.

Praktische Umsetzung

Die Schule übermittelt den Eltern eine Einladung, in welcher die Informationen zur Datenverarbeitung gegeben werden wie auch die Einwilligungserklärung, letztere jedoch ohne Unterschriftenfeld. Wichtig wie immer bei der Einwilligung ist das Angebot einer Alternative für Eltern, die nicht an einer Videokonferenz teilnehmen möchten.

Beispiel Elterngespräch
Beispiel Informationen über die Schule
Beispiel Elterngespräch

Die Vorlage geht davon aus, dass die Eltern den Zugang des Kindes zu Logineo NRW Messenger für die Videokonferenz mit den Lehrkräften der Schule nutzen.

Hinweis

Bitte achten Sie darauf, dass für Videokonferenzen, in welchen es um vertrauliche oder sensible Inhalte gehen soll, sichere und vertrauenswürdige Anbieter genutzt werden. Ein Vertrag zur Auftragsverarbeitung zwischen Schule und Anbieter sollte vorliegen.

03/2021

Distanzunterricht – rechtliche Vorgaben und Möglichkeiten

Lesezeit: 10 Minuten

Dieser Beitrag ist eine überarbeitete und auf die aktuelle Rechtslage im Januar 2021 angepasste Version des älteren Beitrags Teilnahme am Unterricht über Video – geht das?

Das Land befindet sich im Lockdown, die Schulen sind weitestgehend geschlossen und Unterricht muss als Distanzunterricht erteilt werden. Für Schulen stellt sich die Frage, wie dieser Distanzunterricht organisiert werden kann. Nahezu jeder denkt dabei an Distanzunterricht über eine Videokonferenz Plattform, zumeist kombiniert mit weiteren Plattformen. In diesem Beitrag soll aus datenschutzrechtlicher Sicht betrachtet werden, welche Möglichkeiten sich aus den verschiedenen Rechtstexten ergeben und wo die Grenzen liegen.

Maßgeblich ist für die Organisation und Erteilung von Distanzunterricht die Zweite Verordnung zur befristeten Änderung der Ausbildungs- und Prüfungsordnungen gemäß § 52 SchulG1https://bass.schul-welt.de/19272.htm. Diese wird ergänzt zur Erläuterungen im Faktenblatt zur Wiederaufnahme eines angepassten Schulbetriebs in Corona-Zeiten zu Beginn des Schuljahres 2020/20212https://www.schulministerium.nrw.de/system/files/media/document/file/Faktenblatt%20angepasster%20Schulbetrieb%20Schuljahresbeginn%202020%2021.pdf.

Es gibt in beiden Dokumenten jeweils einen Satz, der etwas zum digitalen Format des Distanzunterrichts aussagt.

In der ​Zweiten Verordnung zur befristeten Änderung​ ​der Ausbildungs- und Prüfungsordnungen gemäß § 52 SchulG​ heißt es unter §3 Abs. 6

“​Distanzunterricht ​soll​ digital erteilt werden, ​wenn​ die Voraussetzungen dafür erfüllt sind.​”

Dazu findet sich im ​Faktenblatt angepasster Schulunterricht​ auf S. 11 eine Präzisierung.

“Distanzunterricht soll dann digital erteilt werden, wenn die Voraussetzungen hierfür vorliegen, also ​insbesondere eine ausreichende technische Ausstattung der Schülerinnen und Schüler sowie der Lehrkräfte gewährleistet ist​.”

Demnach setzt digitaler Distanzunterricht eine technische Ausstattung der Beteiligten voraus. Was gehört zu einer ausreichenden technischen Ausstattung? Es braucht:

  • digitale Endgeräte bzw. Zugangsgeräte​, die dem Stand der Technik entsprechen. Dazu gehören Tablet, Notebook, Laptop und Computer. Ein Smartphone ist bedingt durch die geringe Bildschirmgröße weniger geeignet (und dürfte von daher eher keine ausreichende technische Ausstattung darstellen) sowie
  • eine ​ausreichende Internetanbindun​g über einen Anschluss zu Hause, in der Schule oder einen Mobilzugang.

Außerdem braucht es von Seiten der Schule:

  • Plattformen, Software, Apps​ – über die der digitale Distanzunterricht organisiert und durchgeführt werden kann. Dazu gehören LMS, Schulserver, Cloud Speicher, Arbeitsplattformen, Videokonferenz Plattformen, Messenger, …

Das heißt, wenn Schülerinnen und Schüler sowie Lehrkräfte über eine ausreichende technische Ausstattung in Form von geeigneten Zugangsgeräten und Internetzugängen verfügen, um am Distanzunterricht teilzunehmen bzw. diesen zu erteilen, dann soll er digital erteilt werden.

In diesem Zusammenhang sind auch die Initiativen des Landes zu sehen, über welche Leihgeräte für bedürftige Schüler und Dienstgeräte für Lehrkräfte an den Schulen zur Verfügung gestellt werden sollen.

Für den Fall, dass die Voraussetzungen nicht erfüllt sind, womit hier jedoch nicht nur eine nicht ausreichende technische Ausstattung gemeint ist, stellt die Schule in Absprache mit dem Schulträger gem. §3 Abs. 7 Schülerinnen und Schülern Räumlichkeiten für die Teilnahme am Distanzunterricht zur Verfügung.

“Soweit nötig, stellt die Schule den Schülerinnen und Schülern zur Sicherung eines chancengerechten und gleichwertigen Lernumfelds im Einvernehmen mit dem Schulträger Räume für den Distanzunterricht zur Verfügung.”

Die Zweite Verordnung und das sie ergänzende Faktenblatt betrachten die Voraussetzungen für die Erteilung bzw. Teilnahme an einem digitalen Distanzunterricht von den materiellen Voraussetzungen her, den Endgeräten, Online-Zugängen und wenn auch nicht direkt genannt, den der Schule zur Verfügung stehenden Plattformen. Es werden dabei jedoch keinerlei Aussagen zur Form des digitalen Distanzunterrichtes gemacht. Die Spanne der vorstellbaren Formen von digitalem Distanzunterricht reicht hier von der Übermittlung und Rückübermittlung von Arbeitsmaterialien per E-Mail bis zur Durchführung des Distanzunterrichts mittels LMS und Videokonferenz Plattform oder einer Arbeits- und Kommunikationsplattform mit integrierter Videokonferenzlösung.

Das Thema Datenschutz beim digitalen Distanzunterricht

Auch wenn an keiner Stelle in der Zweiten Verordnung das Thema Datenschutz erwähnt wird, so ist klar, dass auch dieser bei den Überlegungen zur Form des digitalen Distanzunterrichts eine Rolle spielt.

Um die weiteren Betrachtungen diesbezüglich zu vereinfachen, gehe ich von folgender, idealer Situation aus: die Schule XYZ hat alle Lehrkräfte mit Dienstgeräten und alle Schülerinnen und Schüler mit digitalen Endgeräten ausgestattet. Alle Lehrkräfte und Schüler haben einen guten und zuverlässigen Internetzugang zu Hause und einen Arbeitsplatz, von dem aus sie ungestört arbeiten können. Die Schule nutzt die Landesplattformen Logineo NRW LMS und Messenger sowie ein im Auftrag von einem deutschen Anbieter betriebenes BigBlueButton als Videokonferenzlösung.

Die Schule möchte die Nutzung der drei Plattformen für alle verbindlich, d.h. verpflichtend, vorschreiben. Ein Beschluss der Schulkonferenz wird hierzu herbeigeführt.

Die Schule ist sich sicher, sie ist auf dem richtigen Weg, denn der neue Absatz 5 in §120 SchulG NRW eröffnet Schulen jetzt die Möglichkeit, digitale Lehr- und Lernplattformen verpflichtend einzuführen.

“Die Schule darf für den Einsatz digitaler Lehr- und Lernmittel personenbezogene Daten der Schülerinnen und Schüler und der Eltern verarbeiten, soweit dies für die Aufgaben der Schule erforderlich ist.”

Aber so einfach ist das dann leider doch nicht. Warum?

Keine Verpflichtung bei Einwilligung

Die beiden Landesplattformen Logineo NRW LMS und Logineo NRW Messenger erfordern beide eine Einwilligung der Nutzer in die Verarbeitung von personenbezogenen Daten beim ersten Login. Gemeint sind damit Daten, die freiwillig eingestellt werden und nichts mit Schule und Unterricht zu tun haben, etwa ein persönliches Profil oder eine private Kommunikation. Eine Einwilligung kann nur rechtswirksam sein, wenn sie freiwillig ist. Damit ist eine verpflichtende Nutzung nicht mehr möglich. Die Einwilligung ist nicht zu umgehen und wäre, wenn sie verpflichtend abgegeben werden müsste, nicht mehr freiwillig.

Dieses Problem lässt sich nur dann beseitigen, wenn man in den Logineo NRW Plattformen zukünftig die Erfordernis zur Einwilligung technisch deaktiviert und eine Nutzung mit privaten Daten entweder komplett untersagt oder die Einwilligung für eine Nutzung mit privaten Daten als Option anbietet. Aktuell ist eine solche Änderung der Plattformen nicht absehbar.3Es müsste zudem eine neue Dienstvereinbarung mit den Hauptpersonalräten geben, denn in der bisherigen mit Stand vom 21.10.2020 heißt es ausdrücklich: „Die Nutzung von LOGINEO NRW ist freiwillig und setzt eine Einwilligungserklärung der jeweiligen Nutzerin/des jeweiligen Nutzers bzw. deren/dessen gesetzlicher Vertretung voraus.“ Hinweis: die Dienstvereinbarung bezieht sich aktuell nur auf die Basisplattform Logineo NRW, nicht das LMS und den Messenger. Es ist jedoch zu erwarten, dass unter aktuellen Bedingungen Dienstvereinbarungen bezüglich dieser beiden Plattformen oder eine Erweiterung der bestehenden Vereinbarung um diese Plattformen vergleichbare Regelungen bezüglich der Freiwilligkeit enthielten.

BigBlueButton ist ein Musterbeispiel für eine datenschutzfreundliche Videokonferenz Plattform. Sie ist open source und lässt sich sicher und datensparsam betreiben. Trotzdem ist eine verbindliche Nutzung auch hier momentan nicht möglich. Dafür gibt es mehrere Gründe.

Schulgesetz NRW und Videokonferenzen

Das Thema Videokonferenzen ist ein ungeregelter Bereich, denn im  Schulgesetz NRW finden sich dazu keinerlei konkrete Vorgaben. Aussagen gibt es lediglich zu Aufnahmen des Unterrichts.

In der neuen Fassung des Schulgesetzes von Mai 2020 sind Aufnahmen des Unterrichts gemäß §120 Abs. 6 nur mit Einwilligung der Betroffenen zulässig.

„Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen bedürfen der Einwilligung der betroffenen Personen. Die Einwilligung muss freiwillig erteilt werden. Den betroffenen Personen dürfen keine Nachteile entstehen, wenn sie eine Einwilligung nicht erteilen.“

Ein entsprechender Passus findet sich auch für §121 Abs. 1. Satz 2 bezüglich der Rechte der Lehrkräfte.

Auch wenn Streaming von Bild und Ton im Rahmen einer Video- oder Audiokonferenz keine Aufzeichnung darstellt, könnte man sich an dieser Vorgabe orientieren, denn auch die Teilnahme am Distanzunterricht ist verpflichtend wie die im Präsenzunterricht. Es kommt hinzu, dass vor allem eine Teilnahme an einer Videokonferenz einen deutlichen Eingriff in die Privatsphäre der Teilnehmer darstellt.

Orientiert man sich an den Vorgaben des Schulgesetzes NRW zu Bild- und Tonaufzeichnungen des Unterrichts, so ist kaum vorstellbar, dass für Video- und Audiokonferenzen völlig andere Regelungen gelten, zumal es an keiner Stelle im Schulgesetz, den anhängigen Verordnungen, Erlassen und anderen Schriften des Ministeriums Aussagen gibt, die eine andere Handhabung möglich erscheinen lassen.

Die LDI NRW und Videokonferenzen im Distanzunterricht

In der ursprünglichen Version der Schrift Pandemie und Schule – Datenschutz mit Augenmaß vom Mai 2020 sah die LDI NRW eine Möglichkeit, im Ausnahmefall der Pandemie in sehr engen Grenzen die Nutzung von Videokonferenzplattformen verbindlich vorzuschreiben. „Die Durchführung von Videokonferenzen einschließlich der damit verbundenen erforderlichen Datenverarbeitung könnte temporär auf die o.g. schulrechtlichen in Generalklauseln in § 120 Abs. 1 Satz 1 und 121 Abs. 1 Satz 1 SchulG gestützt werden, soweit es die Schulleitung während der Schulschließungen und der weitgehenden Kontaktverbote zur Aufrechterhaltung des Unterrichts- und Schulbetriebs für erforderlich erachtet, derartige Videokonferenzen durchzuführen.” Im Oktober 2020 erschien eine überarbeitete Fassung der Schrift Pandemie und Schule – Datenschutz mit Augenmaß 4https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Schule_-Videokonferenzsysteme-und-Messenger-Dienste-waehrend-der-Corona-Pandemie/LDI-NRW—Pandemie-und-Schule-20_10_2020.pdf Mit der aktualisierten Fassung wurden die zwischenzeitlich erfolgte Überarbeitung des SchulG NRW mit der Neueinführung von §120 Abs. 5 und §121 Abs. 1 Satz 1 berücksichtigt. Darauf nimmt die LDI NRW nun Bezug.

“Zum anderen besteht durch die oben erwähnten Neuregelungen in §120 Abs. 5 und §121 Abs. 1 Satz 1 SchulG auch die Möglichkeit, die mit der Durchführung von Videokonferenzen verbundene Datenverarbeitung auf diese Erlaubnisnormen zu stützen, soweit sie für die Aufgabenwahrnehmung der Schule erforderlich ist.”

Dabei dürfte aber der Teil „soweit es für die  erforderlich Aufgabenwahrnehmung der Schule erforderlich ist“ in der Praxis anfechtbar sein. Sind Videokonferenzen zwingend erforderlich, um den Unterrichts- und Schulbetrieb aufrecht zu erhalten? Muss dabei auch die Kamera eingeschaltet sein? Diese Schrift erschien nach der Verabschiedung der Zweiten Verordnung zur befristeten Änderung der Ausbildungs- und Prüfungsordnungen gemäß § 52 SchulG, die eine solche Möglichkeit an keiner Stelle erwähnt. Auch das SchulG NRW in der überarbeiteten Version und die bisher bekannte Entwurfsfassungen von VO-DV I und II machen keine Aussagen zum Thema Videokonferenzen.

Selbst wenn man davon ausgeht, dass es der Schulleitung möglich wäre, die Nutzung einer Plattform für Video- und Audiokonferenzen „zur Aufgabenwarnehmung der Schule„, wie von der LDI NRW beschrieben, verpflichtend vorzugeben, so stellt sich die Frage, mit welchen Plattformen dieses überhaupt möglich wäre? In ​Pandemie und Schule​ gibt die LDI NRW Kriterien vor, welche eingehalten werden müssen, wenn eine Schule im Ausnahmefall die Nutzung einer Videokonferenzplattform verpflichtend vorgeben möchte:

“Zum einen ist zu beachten, dass dieser Ansatz überhaupt nur zum Tragen kommen kann, soweit die Verarbeitung der hierfür erforderlichen Daten entsprechend der gesetzlichen Vorschrift im Verantwortungsbereich der Schule erfolgt, d.h. sie selbst die Daten verarbeitet oder durch Regelungen in einem Auftragsverarbeitungsvertrag sichergestellt ist, dass sie „Herrin der Daten“ ist. Zum anderen setzt gerade eine verpflichtende Nutzung voraus, dass gewährleistet ist, dass alle Betroffenen die digitalen Module auch tatsächlich und zudem nur im zulässigen Umfang nutzen können;

Ob die Schule tatsächlich voll und ganz „Herrin der Daten“ ist, dürfte selbst bei Vorliegen eines Vertrag zur Auftragsverarbeitung gerade bei Plattformen von US Anbietern nicht unstrittig sein. Und auch die Nutzung im zulässigen Umfang wird vor allem bei Videokonferenz Plattformen von verschiedenen Seiten stark angezweifelt. Eine Kontrolle, ob Teilnehmer an einer Videokonferenz heimlich Screenshots oder Mitschnitte anfertigen, ist im Anwendungsfall Distanzunterricht kaum möglich. Nutzer können nur zu verantwortungsvollem Verhalten angehalten werden. Eine Verpflichtung, sich an verabredete Regeln zu halten, kann dazu beitragen, und kann der Schule im Fall eines Verstoßes eine rechtliche Handhabe bieten, Sanktionen gegen Schüler einzuleiten, eine missbräuchliche Nutzung verhindern, kann allerdings nichts davon.

Bezüglich der im Schulgesetz NRW beabsichtigten und mittlerweile im oben beschriebenen Abs. 5 § 120 umgesetzten Rechtsvorgabe zur verpflichtenden Einführung von Unterrichtsplattformen mahnt die LDI NRW in der Schrift Pandemie und Schule an, dass in der Überarbeitung von VO-DV I & II eine

“Festschreibung, welche konkreten Daten regelmäßig für den Einsatz der E-Learning-Plattformen verarbeitet werden dürfen.”

erfolgt.

Die LDI NRW deutet an, in welche Richtung dabei gedacht ist.

“Weiterhin ist aus Sicht der LDI NRW bei der Umsetzung insbesondere maßgeblich, dass eine Datenverarbeitung auch tatsächlich nur im Rahmen des Erforderlichen erfolgt. Als ein Beispiel sei die Protokollierung der Systemzugriffe genannt. Diese ist aus datenschutzrechtlicher Sicht erforderlich, um die Sicherheit der Systeme zu gewährleisten; nicht erforderlich und damit unzulässig ist dagegen, dass Lehrkräfte Zugriff auf die Protokolldaten erhalten, um das Arbeitsverhalten ihrer Schülerinnen und Schüler zu kontrollieren.“

Die angemahnte Festschreibung in der Überarbeitung von VO-DV I & II steht aktuell noch aus. In der Entwurfsfassungen von VO-DV I und II findet sich jedoch ein Abschnitt, in welchem die Verarbeitung von Protokolldaten geregelt ist.5„Beim Einsatz digitaler Lehr- und Lernmittel, digitaler Kommunikationsmittel sowie IT-Infrastrukturen ist die Verarbeitung der zum Betrieb erforderlichen Protokolldaten zulässig.“Damit sollte das MSB die Forderung der LDI NRW umgesetzt haben. Noch offen ist momentan, wie weit der Begriff der digitalen Lehr- und Lernmittel, welchen die LDI NRW als E-Learning-Plattformen bezeichnet, zu verstehen ist. Von daher ist gegenwärtig trotz §120 Abs. 5 SchulG NRW noch unsicher, wie sich die dort eröffneten Möglichkeiten zur verpflichtenden Einführung von Unterrichtsplattformen rechtssicher umsetzen lassen.

Was heißt das für die Praxis?

Ist Präsenzunterricht nicht oder nur eingeschränkt möglich, so findet er gemäß der Zweiten Verordnung „mit räumlicher Distanz in engem und planvollem Austausch der Lehrenden und Lernenden statt (Distanzunterricht).“ Sind dabei die Voraussetzungen auf Seiten von Schülern und Lehrkräften vor allem mit Blick auf die technische Ausstattung erfüllt, soll der Distanzunterricht „digital erteilt werden.“ Welches Format der digitale Distanzunterricht dabei hat, ist an keiner Stelle definiert. Die Spannbreite möglicher Formate ist groß.

Digitaler Distanzunterricht ist in seinen Möglichkeiten durch die schulrechtlichen Vorgaben zum Datenschutz und übergeordnete datenschutzrechtliche Regelungen begrenzt. Auch wenn die Teilnahme am Distanzunterricht bzw. dessen Erteilung für Schüler wie Lehrkräfte durch die Vorgaben aus der Zweiten Verordnung zweifelsfrei verpflichtend ist, lässt sich aus dieser Verpflichtung für Schulen keine Berechtigung ableiten, dazu die Nutzung einer digitalen Plattform zwingend vorzugeben, sofern diese nicht den datenschutzrechtlichen Vorgaben, denen Schulen unterliegen, genügt.

Unter der Voraussetzung, dass eine „ausreichende technische Ausstattung der Schülerinnen und Schüler sowie der Lehrkräfte gewährleistet ist„​ müssten aus datenschutzrechtlicher Sicht die folgenden Bedingungen erfüllt sein, um die Nutzung einer bestimmten Plattform im Distanzunterricht verpflichtend vorschreiben zu können:

  • die Plattform müsste von der Schule selbst betrieben oder mit Vertrag zur Auftragsverarbeitung von einem Dienstleister bereitgestellt werden,
  • ihre Nutzung müsste in dem von SchulG NRW und DS-GVO gesteckten Rahmen möglich sein,
  • bei ihrer Nutzung dürften nur personenbezogene Daten im Rahmen des Erforderlichen verarbeitet werden, und
  • sie müsste so angelegt sein oder voreingestellt werden können, dass sie sich von Schülern und Lehrkräften nur im zulässigen Umfang nutzen ließe.

Außerdem wären bei einer verpflichtenden Einführung gegebenenfalls auch die Beteiligungsrechte gemäß LPVG zu berücksichtigen und die Plattform sollte durch Beschluss der Schulkonferenz eingeführt werden.

Es ist an dieser Stelle hoffentlich deutlich geworden, dass es vermutlich nur sehr wenige Plattformen gibt, mit denen sich alle diese Bedingungen zweifelsfrei erfüllen lassen. Dazu könnten beispielsweise ein Moodle zählen, eine NextCloud oder ein Messenger, welche die Schule selbst betreibt oder im Auftrag betreiben lässt, bei denen datenschutzfreundliche Voreinstellungen gewählt sind und bei deren Nutzung es untersagt ist, private Daten einzustellen, sofern für deren Verarbeitung keine gesonderte Einwilligung erteilt wurde. Es wird sicherlich auch andere kommerzielle entwickelte Plattformen geben wie z.B. spezielle Schul Apps, welche die beschrieben Bedingungen erfüllen können. Unter den gegebenen schul- und datenschutzrechtlichen Bedingungen gibt es, wie oben deutlich geworden sein sollte, aktuell keine spezifische Regelung, aus welcher sich eine verpflichtende Nutzung von Videokonferenz Plattformen herleiten lässt. Es bleibt, wenn überhaupt, eine sehr weite Auslegung von §120 Abs. 5 und § 121 Abs. 1 Satz 1, um eine Verpflichtung im Rahmen „der Aufgabenwahrnehmung der Schule“ zu begründen.

Außen vor bleiben für eine verpflichtende Nutzung im Distanzunterricht außerdem alle Plattformen, deren Nutzung eine Einwilligung voraussetzt, wie gegenwärtig die Logineo NRW Plattformen, und Plattformen, deren Nutzung nicht zweifelsfrei DS-GVO konform möglich ist. Solange das Land NRW keine Lösung mit den jeweiligen Anbietern aushandelt, so wie Baden Württemberg dieses aktuell für Office 365 versucht, fallen darunter leider auch Plattformen wie Microsoft Teams, Office 365, G Suite for Education und Apple Classroom.

Angebot statt Verpflichtung

Viele Schulen setzen auf die Plattformen von US Anbietern. Die Gründe dafür sind verschieden und für die weiteren Überlegungen nicht von Bedeutung. Wenn eine Schule z.B. auf MS Teams setzt, um damit den Distanzunterricht im digitalen Format zu erteilen, dann kann dieses immer nur ein Angebot sein. In vielen Fällen werden Lehrkräfte und Schüler bzw. deren Eltern eine Einwilligung erteilen, sei es dass sie von der Plattform überzeugt sind und die Risiken durch eine Nutzung für sich für vertretbar halten oder dass sie in Zeiten von Distanzunterricht Datenschutzbedenken zurückstellen. Es wird jedoch auch immer wieder Lehrkräfte, Schüler und Eltern geben, die nicht bereit sind, sich zur Nutzung der Plattform für sie unkalkulierbaren Risiken auszusetzen. Das ist ihr gutes Recht, solange eine Plattform die oben beschriebenen Bedingungen nicht zweifelsfrei erfüllt oder ihre Nutzung durch eine Rechtsvorgabe es Landes eindeutig vorgeschrieben ist.

Schulen kann nur dringend davon abgeraten werden, Druck auf einzelne Lehrkräfte, Schüler oder Eltern auszuüben, eine Einwilligung zu erteilen und die Plattform zu nutzen. Mir sind Fälle bekannt, in denen Schulen Betroffene, die eine Nutzung der Plattform verweigern, regelrecht schikanieren und ihnen das Leben erschweren. Auch wenn es möglich wäre, Arbeitsmaterialien anstatt über MS Teams per E-Mail zu übermitteln, werden Betroffene genötigt, diese persönlich bei der Schule abzuholen. Schüler werden gedrängt, in MS Teams auch die Kamera einzuschalten, damit man sie sehen kann. So etwas geht nicht und kann für Schulen und hier an erster Stelle die Schulleitung rechtliche Folgen haben, wenn die Betroffenen die Datenschutzaufsicht einschalten oder vor einem Verwaltungsgericht klagen. Dass Eltern hier von ihren Rechten Gebrauch machen werden, ist vor allem dann nicht unwahrscheinlich, wenn ihre Kinder durch eine Nichteinwilligung Nachteile erfahren, die das Lernen beeinträchtigen und zu schlechteren Leistungen führen.

Schulen sollten offen und ehrlich informieren über die Plattformen, welche sie für den Distanzunterricht nutzen möchten und Alternativen vorbereiten, so dass Lehrkräfte, Schüler und Eltern eine echte Wahlmöglichkeit haben und ihnen aus einer Nicht-Einwilligung keine Nachteile entstehen. Das bedeutet für die Schule eventuell zusätzliche Arbeit und Mühe, ist aber der sicherere Weg.

Alle bisherigen Betrachtungen gingen von Schulen mit idealen Voraussetzungen bezüglich der Ausstattung und Internetzugänge aus. Auch wenn in absehbarer Zukunft alle Lehrkräfte in NRW über ein Dienstgerät verfügen sollten, so wird es noch deutlich länger dauern, bis auch Schüler flächendeckend mit Endgeräten und Internetzugängen ausgestattet sind. Schon von daher ist aktuell an vielen Schulen nicht einmal daran zu denken, Distanzunterricht mit einer bestimmten Plattform verpflichtend vorzuschreiben, selbst wenn diese die schul- und datenschutzrechtlichen Bedingungen dafür erfüllen würde.

In Ergänzung siehe auch den Beitrag Distanzunterricht – Leistungsbewertung – Datenschutz

Stand: 06/2021

Die letzte Überarbeitung dieses Beitrags vom 31.01.2021 berücksichtigt die aktualisierte Fassung der Schrift Pandemie und Schule der LDI NRW vom 20.10.2020 und die Entwurfsfassung von VO-DV I & II.

Vorlagen für IServ

Lesezeit: < 1 Minute

IServ ist ein mittlerweile gut etablierter deutscher Schulserver der vor allem damit glänzen kann, dass er komplett auf nicht-EU Dienste verzichtet. Er setzt sehr stark auf Open-Source Komponenten1BigBlueButton (Videokonferenzen), DAViCal (Kalender-Backend), Etherpad Lite (Texte), FullCalendar (Kalender-Frontend), LibreOffice Online (Office), Matrix (Messenger-Backend), opsi (Softwareverteilung), Symfony (Grundsystem), … Quelle: IServ-Dokumentation.pdf , besteht aber auch aus proprietären Eigenentwicklungen.2Die FOOS Community würde gerne den kompletten IServ „befreit“ sehen.

IServ ist ein modulares Server Produkt, welches neben einer lokalen Nutzung auch einen Zugriff über ein Webportal erlaubt. Über die unterrichtliche Nutzung bietet der Server noch Funktionen zur Verwaltung von Geräten und des schulischen Netzwerks. Mittlerweile wird der Server auch als SAAS komplett Cloud basiert angeboten. Auch ein Videokonferenz Modul auf Basis von BigBlueButton ist im Angebot.

Auch wenn IServ spezielle Module wie die Raumbuchung, Curriculum, Kurswahlen, Vertretungs- und Mensa-Pläne und mehr anbietet, ist die Plattform in erster Linie ein Server für die pädagogische Arbeit. Das heißt, es ist nicht möglich, auf einem einzigen IServ sowohl Unterricht als auch schulinterne Verwaltung abzubilden. Wer das tun möchte, braucht eine zweite, kostenpflichtige Instanz. Diese kann durchaus auf dem selben Server betrieben werden, wenn beide Instanzen logisch voneinander getrennt sind, etwa durch Betrieb auf zwei virtuellen Servern. Aber auch hier gibt es Grenzen, die mit dem Sicherheitskonzept des IServ zu tun haben3Im Handbuch heißt es unter 9.5.6 Verschlüsselung – „Die Datenübertragung beim Zugriff auf die IServ Weboberfläche erfolgt immer verschlüsselt. Gespeichert werden die Daten auf den Festplatten des Servers jedoch unverschlüsselt, damit die Benutzer jederzeit von überall aus auf ihre Daten zugreifen können und der Server auch bei einem Stromausfall ohne Eingriff eines Administrators starten kann. Zusätzlich besteht die Möglichkeit, Daten mit erhöhtem Schutzniveau auf dem Server abzulegen, falls diese vor der Übertragung mit einer geeigneten Software verschlüsselt werden. Dazu können beispielsweise passwortgeschützte Zip-Archive oder verschlüsselte Container-Dateien genutzt werden.“.

IServ hält unter https://iserv.eu/downloads/privacy/ zahlreiche Dokumente bereit, welche von Schulen bei der Einführung des Schulservers genutzt werden können. Sehr umfangreiche Informationen zum Datenschutz finden sich auch in der jeweils aktuellsten Version des Handbuches.

Da öfter angefragt, gibt es hier eine kombinierte Nutzungsvereinbarung mit Informationen zur Datenverarbeitung und Einwilligung, einmal in einer Version für Schüler und dann, da die Zahl der genutzten Funktionen hier größer, für Lehrkräfte.

DEMAT – HSP+ – Einwilligung erforderlich?

Lesezeit: 2 Minuten

Einwilligungen der Betroffenen werden an so vielen Stellen im Schulalltag benötigt. Doch es gibt auch Bereiche, wo nicht immer klar ist, ob es eine Einwilligung braucht oder nicht. Deshalb kommt auch immer wieder die Frage auf, ob bei der Durchführung von HSP+ und DEMAT eine solche erforderlich ist. Beide Tests werden beispielsweise an weiterführenden Schulen oft eingesetzt bei den neuen Schülerinnen und Schüler im 5. Schuljahr, um zu ermitteln, wo die Kinder stehen. Später werden die Tests dann wiederholt, um zu überprüfen, ob die Fördermaßnahmen im Unterricht zu einer Verbesserung geführt haben.

Ob es nun eine Einwilligung braucht oder nicht, hängt davon ab, ob sich aus dem Schulgesetz NRW oder Erlassen eine Rechtsgrundlage ableiten lässt, welche eine Durchführung legitimiert oder ob es eine solche nicht gibt. Der entscheidende Passus im SchulG NRW ist §120 Abs. 3.

(3) Standardisierte Tests und schriftliche Befragungen von Schulanfängerinnen und -anfängern (§ 36) und Schülerinnen und Schülern dürfen in der Schule nur durchgeführt werden, soweit dies für die Feststellung der Schulfähigkeit oder des Sprachstandes, für eine sonderpädagogische Förderung oder für Maßnahmen zur Qualitätsentwicklung und Qualitätssicherung geeignet und erforderlich ist. Die Schülerinnen und Schüler sowie die Eltern sind über die wesentlichen Ergebnisse zu informieren. Aus Tests und schriftlichen Befragungen zur Feststellung der Schulfähigkeit und des sonderpädagogischen Förderbedarfs dürfen nur die Ergebnisse und der festgestellte Förderbedarf an andere Schulen übermittelt werden.“

Darüber hinaus gibt es noch Abs. 4, bei dem es um wissenschaftliche Untersuchungen, Tests und Befragungen geht.

Die Frage ist dann, fallen HSP+ und DEMAT unter wissenschaftliche Tests oder nicht? Schaut man sich BASS 10-45 Nr. 2 Wissenschaftliche Untersuchungen,
Tests und Befragungen an Schulen gemäß § 120 Abs. 4 SchulG an, sollten HSP+ und DEMAT ziemlich sicher nicht unter die Regelungen von Abs. 4 fallen.

Als Rechtsgrundlage von Interesse sein könnte auch noch BASS 14-01 Förderung von Schülerinnen und Schülern bei besonderen Schwierigkeiten im Erlernen des Lesens und Rechtschreibens (LRS). Dort findet man unter 2.1 Analyse der Lernsituation als eine Aufgabe der Schule definiert „- kognitive (z.B. Stand der Lese- und Schreibentwicklung, Denkstrategie, Wahrnehmung, Sprache),“ Damit zu argumentieren, dass HSP+ unter dieser Regelung gefasst werden könnte, wäre möglich, wenn er als Teil einer LRS Diagnose genutzt würde. Zur Legitimierung des DEMAT eignet sich diese Rechtsgrundlage allerdings nicht.

Passender ist hier, wenn man sich auf §120 Abs. 3 beruft, denn HSP+ und DEMAT sind definitiv standardisierte Tests, und argumentiert, dass man die beiden Tests im Rahmen der Qualitätsentwicklung und Qualitätssicherung durchführt. Vorab werden die Eltern über die Durchführung der Tests und die erforderliche Datenverarbeitung informiert.1Anzugeben sind, welche Daten, zu welchem Zweck auf welcher Rechtsgrundlage – SchulG NRW – verarbeitet werden, wer davon betroffen ist, an wen Daten übermittelt werden – hier in pseudonymisierter Form – bzw. wer Zugriff auf die Daten hat – hier die Lehrkräfte -, wie lange die Daten gespeichert werden und welche Rechte die Betroffenen haben – hier z.B. Recht auf Auskunft. Nach Durchführung der Tests werden sie über die Ergebnisse in Kenntnis gesetzt. Nutzt man die Online Auswertung mittels HSP+, dann werden dort keine Schülernamen verwendet, sondern nur Codes. Für die Schule selbst handelt es sich bei diesen Pseudonymen um personenbezogene Daten, für den Anbieter sind sie anonym. Eine Einwilligung für die Online Auswertung sollte damit nicht erforderlich sein. Die Durchführung im Rahmen der Qualitätsentwicklung und Qualitätssicherung liefert eine plausible Rechtsgrundlage, wenn man später noch einmal testet, um zu sehen, ob die individuellen Fördermaßnahmen im Unterricht die Kinder in ihrer Entwicklung in Rechtschreibung und Mathematik weitergebracht haben oder nicht.

Bedarfsabfragen zur Versorgung der Schülerinnen und Schüler mit digitalen Endgeräten

Lesezeit: < 1 Minute

Im Juli 2020 legte die Landesregierung NRW ein Programm zur Sofortausstattung von Schülerinnen und Schüler mit digitalen Endgeräten auf1Es handelt sich um die „Richtlinie über die Förderung von digitalen Sofortausstattungen (Zusatzvereinbarung zur Verwaltungsvereinbarung DigitalPakt Schule 2019 bis 2024 – Sofortausstattungsprogramm) an Schulen
und in Regionen in Nordrhein-Westfalen“; RdErl. d. Ministeriums für Schule und Bildung v. 21.07.2020 – 411
. Es ist nun an den Schulen, festzustellen, welche Schülerinnen und Schüler im Falle einer Schulschließung oder Quarantäne ein Leihgerät benötigen. Das MSB hat beispielhaft einige Fragen zur Abfrage der Voraussetzungen zu Hauseveröffentlicht – Beispielfragen: Ist-Zustand der Schülerinnen und Schüler.pdf

Hinweis: Es gibt von Seiten des Ministeriums für Schule und Bildung NRW keine Vorgabe, dass Schulen Bedarfe bei Schülern durch Fragebogen ermitteln müssen. Viele Schulen scheinen jedoch den Fragebogen als ein praktikables Mittel einzuschätzen und planen solche Abfragen oder führen sie bereits durch.

Nicht vergessen werden sollte, dass es sich bei dieser Abfrage um eine Datenerhebung handelt. Auch wenn die Beantwortung der Abfrage auf Freiwilligkeit beruht, ist eine Information über die Datenverarbeitung gemäß Art. 13 DS-GVO erforderlich. Bei der Abfrage sollte außerdem darauf geachtet werden, nur die Daten zu erheben, welche tatsächlich erforderlich sind, um zu beurteilen, ob Schüler ein Leihgerät benötigen, falls sie in den Distanzunterricht gehen. Es ist durchaus möglich, auch weitere Informationen abzufragen, etwa ob ein Internetzugang vorhanden ist oder ein Arbeitsplatz, an dem in Ruhe gearbeitet werden kann.

Vorlage für eine Abfrage mit Datenschutzinformationen

Stand 08/2020

Eltern in NRW sind verpflichtet Schulen E-Mail Adresse zu geben

Lesezeit: < 1 Minute

Normalerweise beruht die Angabe einer privaten E-Mail Adresse von Eltern in NRW auf Freiwilligkeit. Viele Eltern geben zumindest eine E-Mail Adresse bei der Anmeldung des Kindes an der Schule an, aber nicht alle. Das Schulministerium NRW hat eine Corona Virus FAQ veröffentlicht und sich dort zum Thema Angabe einer E-Mail Adresse geäußert.1Das Zitat gibt den Stand vom 19.03.2020 wieder.

„Unter Rückgriff auf die allgemeine Regelung des § 3 Abs. 1 DSG NRW ist es zur Erfüllung des Bildungsauftrags der Schulen datenschutzrechtlich zulässig, in Fällen der längeren Schulschließungen wegen der Corona-Pandemie von den Schülerinnen und Schüler bzw. Eltern die Angabe der privaten E-Mail-Adresse zu fordern und ihnen die Materialien zuzusenden.“

Entsprechend § 3 Abs. 1 DSG NRW kann die Schule nun geltend machen, dass sie die E-Mail Adresse der Eltern einfordert, „wenn sie für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe der verarbeitenden Stellen erforderlich ist oder wenn sie in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.“

Hinweis: Die Verarbeitung der auf dieser Rechtsgrundlage bei den Eltern erhobenen E-Mail-Adressen erfolgt zweckgebunden, um „ihnen die Materialien zuzusenden“. Sobald durch die Aufhebung der Corona Virus bedingten Schulschließungen dieser Verarbeitungszweck entfällt, ist für Schulen eine  weitere Nutzung und Speicherung dieser E-Mail Adressen nicht länger zulässig. 2Bitte beachten Sie, diese Vorgabe gilt nur für die E-Mail Adressen, welche auf der Grundlage von § 3 Abs. 1 DSG NRW erhoben wurden, nicht für solche welche bei den Eltern auf der Grundlage einer Einwilligung erhoben wurden.