Das Einholen von Einwilligungen attraktiv gestalten

Lesezeit: 2 Minuten

Das Thema Einwilligungen bereitet nahezu jeder Schule Bauchschmerzen. Sämtliche Verarbeitung von personenbezogenen Daten, für die es keine rechtliche Grundlage aus dem Schulgesetz gibt, braucht es die Einwilligung der Betroffenen. Mit zunehmender Digitalisierung von Unterricht nimmt so die Zahl der erforderlichen Einwilligungen zu, zusätzlich zu den bereits seit Jahren erforderlichen für Öffentlichkeitsarbeit über die Homepage der Schule und die lokale Presse. Das Einholen von Einwilligungen bei den Betroffenen ist ein Rechtsakt und die Formulare, welche dafür genutzt werden, sind entsprechend wenig ansprechend.

Gerade wenn es um die schulische Arbeit mit Medien, Apps und Plattformen geht, bietet es sich an, das Einholen der erforderlichen Einwilligungen mit Informationen zu verbinden, welche den Eltern einen lebendigen Eindruck von der Medienarbeit gibt. Man verbindet das Notwendige mit dem Schönen und gibt so dem Thema Datenschutz einen sinnstiftenden Rahmen.

Eine Möglichkeit, dieses umzusetzen bietet sich mit der folgenden Vorlage. Diese ist als ein kleines mehrseitiges Heft gestaltet, welches neben der Medienarbeit im Unterricht auch noch das Thema Öffentlichkeitsarbeit beinhaltet. Im Anhang finden sich umfangreiche Hinweise zur Nutzung und Anpassung. Das Heft ist ausgelegt für Grundschulen und der Einsatz bietet sich vor allem bei der Anmeldung neuer Schüler an, entweder im Rahmen der Anmeldung selbst, bei einem Kennenlernnachmittag oder einem Elternpflegschaftsabend.

DinA4 Version

Beinhaltet: Erstellung und Nutzung von Foto, Video und Audio im Unterricht, Nutzung von Antolin und Anton, Vorführung und Weitergabe von Medienprodukten aus dem Unterricht, Veröffentlichungen auf der Schulhomepage und in der Presse.

DinA5 Version

Für diese Version wurde das Layout von Steffie Maurer auf A5 so angepasst, dass die Seiten auf A4 gedruckt und dann geheftet werden können. Die Seiten für die gesammelten Entscheidungen und die eigentliche Einwilligung kann man den obigen DinA4 Versionen entnehmen. (Auch im PDF könnte man mit einem geeigneten Programm die eigene Schule, den Namen der Schulleitung, den Datenschützer und die Anschrift der Schule ergänzen.)

Swift Publisher Version (DinA5)

Austausch von Grundschule und Kita

Lesezeit: < 1 Minute

Zwischen Grundschule und weiterführenden Schulen findet ein regelmäßiger Austausch statt. Es geht darum, dass Lehrkräfte der Grundschulen ihren Kolleginnen und Kollegen an den aufnehmenden weiterführenden Schulen hilfreiche Informationen zu den ehemaligen Grundschülern geben. Dieses findet im Rahmen von Erprobungsstufenkonferenzen statt und ist durch § 120 Abs. 5 Satz 1 SchulG NRW legitimiert. Es braucht also keine Einwilligung der Erziehungsberechtigten.

Anders sieht dies aus, wenn Informationen zwischen Kita und Grundschule ausgetauscht werden sollen. Möchte die Kita der Grundschule schriftliche Unterlagen aus ihrer Dokumentation an die Grundschule übergeben, so braucht es dazu eine Einwilligung der Erziehungsberechtigten in die Übermittlung von personenbezogenen Daten. Diese muss gegenüber der Kita abgegeben werden, da sie in diesem Fall die Daten verarbeitende Stelle und damit verantwortlich ist.

Geht es nur um einen mündlichen Austausch, so reicht dafür eine Entbindung von der Schweigepflicht. Diese kann auch von Seiten der Grundschule eingeholt werden. Die Vorlage ist entsprechend ausgelegt. Nach den Hinweisen zur Nutzung folgt eine Alternativversion mit einer kleinen Abänderung bezüglich der Angabe der Kita. Statt einer handschriftlichen Eintragung durch die Eltern, kann die Schule hier eine Liste der infrage kommenden Kitas anlegen und die Eltern kreuzen dort die Kita ihres Kindes an.

Benötigt die Schule eine Entbindung von der Schweigepflicht für einen Facharzt oder eine andere Person oder Stelle, dann empfiehlt es sich, ein anderes Formular zu nutzen oder das obige entsprechend abzuwandeln.

NextCloud – Plattform – Datenschutz für Schulen mit Open Source

Lesezeit: 2 Minuten

NextCloud ist eine Open Source Plattform, die für Schulen gut geeignet ist, für Teamarbeit im Kollegium, zur Abbildung von schulischen Organisationsstrukturen und -abläufen und zur Durchführung von Unterricht. Die Plattform zeichnet sich durch Flexibilität aus, einfache Bedienung und sehr gute Sicherheitsmerkmale1300.000 Bedienstete der Bundesverwaltung nutzen die NextCloud statt Dropbox oder Google Drive.. Eine Dateiablage, ein ausgefeiltes Rechte- und Rollenmanagement für Nutzer und Ressourcen, Kollaborationswerkzeuge wie ein OnlineOffice, ein Messenger, ein Kalender, Verschlüsselung, 2-Faktor-Authentifizierung und weitere Module ermöglichen eine sichere Nutzung für Schüler und Lehrkräfte. Man kann die kostenlose Plattform als Schule selbst aufsetzen, durch den Schulträger oder einen von diesem beauftragten Dienstleister betreiben lassen oder man nimmt die Dienste eines anderen Anbieters in Anspruch. Neben diversen großen Webspace Anbietern gibt es auch Anbieter, die sich auf den Bereich Schule spezialisiert haben. Einer von diesen ist beispielsweise EduDocs aus Lübeck. Dort hat man die Möglichkeit, die schulische NextCloud so einzurichten, dass sie den datenschutzrechtlichen Vorgaben aus Westfalen entspricht.2Wer hier mehr Informationen haben möchte, kann mich gerne kontaktieren.  Da ich immer auf der Suche nach guten, datenschutzkonformen Lösungen bin, habe ich den Anbieter bei der Konzeption einer Lösung für Schulen in NRW, die sich ein wenig an Logineo NRW orientiert, in meiner Freizeit beraten. Disclaimer: Meine Beratung erfolgte rein idealistisch. Ich habe keinerlei finanzielle Vorteile von einer Nennung des Anbieters. Anders als bei großen internationalen Anbietern von Plattformen braucht eine Schule sich mit einer in Deutschland betriebenen NextCloud keine Sorgen machen wegen einer Verarbeitung von personenbezogenen Daten auf Servern außerhalb der EU und den damit einhergehenden datenschutzrechtlichen Problemen.

Die Nutzung einer schulischen NextCloud bedeutet auch immer, es werden personenbezogene Daten von Schülern und Lehrkräften verarbeitet. Dafür braucht es eine Einwilligung. In die Vorlage integriert sind eine Nutzungsvereinbarung und Informationen zur Datenverarbeitung in der NextCloud. Da sich die Nutzung für Schüler und Lehrkräfte deutlich unterscheidet, gibt es zwei Vorlagen.3Als Zugabe gibt es noch eine Vorlage für ein Nutzungskonzept Nutzungskonzept für NextCloud – EduDocs.docx Die Vorlage für Schüler ist zusätzlich in vereinfachter Sprache abgefasst, so dass auch Schüler und Personen mit geringeren Deutschkenntnissen die Informationen verstehen können.

Datenübermittlung an den Schulträger zur Feststellung des Bedürfnisses?

Lesezeit: 2 Minuten

Ein Schulträger bittet eine Grundschule um die Übermittlung einer Liste mit den Namen der Schüler, den von der Schule ausgesprochenen Empfehlungen (für eine weiterführende Schule) und der tatsächlichen Schulwahl.

Darf bzw. muss die Schule dem Schulträger diese personenbezogenen Daten übermitteln?

Grundsätzlich gilt nach §120 Abs. 5 Satz 1 – SchulG NRW

„(5) Die in Absatz 1 Satz 1 genannten Daten dürfen einer Schule, der Schulaufsichtsbehörde, dem Schulträger, der unteren Gesundheitsbehörde, dem Jugendamt, dem Landesjugendamt, den Ämtern für Ausbildungsförderung, dem Landesamt für Ausbildungsförderung sowie den Ausbildungsbetrieben der Schülerinnen und Schüler an Berufskollegs nur übermittelt werden, soweit sie von diesen Stellen zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben benötigt werden.“

Da der Schulträger für äußere Schulangelegenheiten zuständig ist, ist bei der gestellten Anfrage zweifelhaft, auf welcher Rechtsgrundlage diese erfolgen soll.1„Außerhalb des Auftragsverhältnisses fragt sich, zur Wahrnehmung welcher konkreten Aufgaben des Schulträgers es ggf. überhaupt einer personenbezogenen Übermittlung durch Schulen und Schulaufsichtsbehörden bedarf. Dem Schulträger obliegt nach Maßgabe der §§ 78 ff. SchulG die Wahrnehmung der äußeren Schulangelegenheiten.“ – Wingen SchulG NRW-Kommentar, März 2015, Katernberg, zu §120 Abs. 5 Satz 1

Es ist zu vermuten, dass die Anfrage des Schulträger im Zusammenhang mit der Feststellung des Bedürfnisses nach §78 Abs. 5 – SchulG NRW erfolgt ist.

“(5) Die Entwicklung des Schüleraufkommens und der Wille der Eltern sind bei der Feststellung des Bedürfnisses zu berücksichtigen.”

Entsprechend Abs. 2.1 Abschnitt c Satz 4 des Runderlasses  zur Einrichtung und Auflösung von weiterführenden allgemeinbildenden Schulen und Berufskollegs kann der Schulträger zur Feststellung des Bedürfnisses eine Befragung vornehmen.

“Ein geheimes Verfahren im strengen Sinne ist nicht zwingend erforderlich; es muss aber gewährleistet sein, dass Namen und Votum der einzelnen Erziehungsberechtigten vertraulich behandelt und dienstlich geheim gehalten werden.“

Der Schulträger darf also im Rahmen seiner Aufgabenerfüllung nach §78 SchulG NRW Namen der Eltern und Votum als Ausdruck des Elternwillens in Erfahrung bringen. Allerdings setzt diese eine durch den Schulträger selbst durchgeführte Erhebung bzw. Befragung voraus und es geht um die Erziehungsberechtigten, nicht die Kinder. Es gibt in §78 keine Stelle, aus welcher sich ableiten lässt, dass der Schulträger einen rechtlichen Anspruch auf die tatsächliche Schulwahl einzelner Kinder und die von der Schule abgegebene Empfehlung hat.

Der Schulträger benötigt die von ihm angefragten personenbezogenen Daten eindeutig nicht, um seiner Aufgabenerfüllung nach §78 SchulG NRW nachzukommen. Hier würde auch eine anonymisierte Statistik der Schule ausreichen. Alleine dass die vom Schulträger angefragten personenbezogenen Daten der Schüler diesem dienlich oder nützlich sind, reicht als Rechtsgrundlage nicht für eine Übermittlung durch die Schule aus.2„… ist der Datentransfer zur Aufgabenerfüllung der Empfängerin oder des Empfängers nicht erforderlich, sondern lediglich dienlich oder nützlich, dürfen die Daten nur auf der Grundlage wirksamer Einwilligungen der Betroffenen (vgl. unter Erl. 2.2 und 2.3 zu § 120 SchulG) transferiert werden.” – Wingen SchulG NRW-Kommentar, März 2015, Katernberg, zu §120 Abs. 5 Satz 1

Wäre die Schule Willens, die angefragten Daten an den Schulträger zu übermitteln, so wäre dieses in diesem Falle nur auf der Grundlage einer Einwilligung der Betroffenen möglich.

Bleibt der Schulträger trotz allem der Meinung, dass die Schule ihm gegenüber verpflichtet ist, die gewünschten personenbezogenen Daten zu übermitteln, so muss er in der Lage sein, eine rechtliche Begründung zu liefern.3„Wenn der Schulträger die Übermittlung von personenbezogenen Daten der Schülerinnen, Schüler und /oder Eltern von der Schule beansprucht, ist es im Übrigen grundsätzlich an ihm, der Schule gegenüber darzulegen und zu begründen, warum er im konkreten Fall bestimmte Daten mit Personenbezug zu seiner Aufgabenerfüllung benötigt.“ – Wingen SchulG NRW-Kommentar, März 2015, Katernberg, zu §120 Abs. 5 Satz 1

Dass der Schulträger dazu in der Lage sein wird, ist aufgrund der Rechtslage nicht vorstellbar.

Die Antwort kurz gefasst:

Der Schulträger hat keinen aus dem Schulgesetz NRW ableitbaren rechtlichen Anspruch auf die Übermittlung der von ihm angefragten personenbezogenen Daten von Schülerinnen und Schülern der Schule.

Antolin & Datenschutz

Lesezeit: 2 Minuten

Antolin Raabe

Vor allem an Grundschulen beliebt ist die Online Plattform zur Förderung der Lesekompetenz, Antolin. Betrieben wird die Plattform von der Westermann Verlagsgruppe, und da auf der Plattform Nutzerdaten von Schülern und Lehrkräften erhoben und verarbeitet werden, wird entsprechend Art. 28 DS-GVO ein Vertrag zur Auftragsverarbeitung (AVV)1Aktuell (Stand 11.05.2019) finden sich einige kleine Fehler im AVV. So sind dort beispielsweise die Lehrkräfte nicht berücksichtigt und es fehlen Angaben zu den Löschfirsten durch Westermann selbst, nachdem die Schule einen Benutzer gelöscht hat. angeboten. Diesen müssen Schulen mit Westermann abschließen, um das Angebot datenschutzkonform an der Schule nutzen zu können. Oftmals erwerben Schulträger eine Lizenz für alle ihre Grundschulen. Damit sind sie Vertragspartner/ Lizenznehmer von Westermann. Trotzdem muss jede Schule einen eigenen AVV mit Westermann abschließen.

Wichtig ist dabei, dass die Schulleitung in Person den AVV abschließt und selbst unterschreibt. Dieses kann nicht von Lehrkräften übernommen werden!

Der unterschriebene AVV wird dann an Westermann geschickt, dort gegengezeichnet und ist damit gültig. Die Kopie, welche man zurück erhält, gehört zur Dokumentation des Verfahrens im Verzeichnis der Verarbeitungstätigkeiten. Für dieses braucht die Schule eine Beschreibung der Verarbeitungstätigkeit Antolin.

Außerdem ist es erforderlich, die Einwilligungen der Betroffenen einzuholen, da mit der Nutzung von Antolin personenbezogene Daten verarbeitet werden, deren Verarbeitung nicht auf der Grundlage des Schulgesetzes entsprechend Art. 6 lit. e legitimiert ist. Einwilligen müssen nicht nur die Schüler, sondern auch die Lehrkräfte, da auch deren Daten in Antolin verarbeitet werden, wenn sie als Nutzer dort angelegt werden und anschließend ihre Schüler in der Plattform betreuen. Sie kommentieren, stellen Quiz-Fragen und es fallen Nutzungsdaten an.

Als Hilfe gibt es für Schulen, die Antolin nutzen drei Vorlagen. Diese finden sich sonst auch im Bereich der Downloads.

Schulen, die andere Angebote von Westermann nutzen wie z.B. Zahlenzorro,  Bumblebee oder Grundschuldiagnose können diese Vorlagen leicht anpassen.

Datenschutz & Mitbestimmung

Lesezeit: 4 Minuten

Auch wenn man es auf den ersten Blick nicht erwartet, Datenschutz und Mitbestimmung haben Schnittpunkte. Das Thema Mitbestimmung ist geregelt im Personalvertretungsgesetz für das Land Nordrhein-Westfalen (LPVG), welches vergleichbar ist dem Betriebsverfassungsgesetz (BetrVG) für Arbeitnehmer in Unternehmen1Da beide Regelungen viele Ähnlichkeiten aufweisen, kann man sich bezüglich des LPVG auch an entsprechenden Kommentierungen zum BetrVG orientieren. . Von Bedeutung für Schulen und das Thema digitale Plattformen ist dort der §72, denn dort sind mitbestimmungspflichtige Angelegenheiten geregelt.

(3) Der Personalrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, mitzubestimmen in Rationalisierungs-, Technologie– und Organisationsangelegenheiten bei

1. Einführung, Anwendung, wesentlicher Änderung oder wesentlicher Erweiterung von automatisierter Verarbeitung personenbezogener Daten der Beschäftigten außerhalb von Besoldungs-, Gehalts-, Lohn-, Versorgungs- und Beihilfeleistungen sowie Jubiläumszuwendungen,

2. Einführung, Anwendung und Erweiterung technischer Einrichtungen, es sei denn, dass deren Eignung zur Überwachung des Verhaltens oder der Leistung der Beschäftigten ausgeschlossen ist,

3. Einführung grundlegend neuer, wesentlicher Änderung und wesentlicher Ausweitung von Arbeitsmethoden,

4. Maßnahmen, die die Hebung der Arbeitsleistung oder Erleichterungen des Arbeitsablaufs zur Folge haben sowie Maßnahmen der Änderung der Arbeitsorganisation,

5. Einführung, wesentlicher Änderung oder wesentlicher Ausweitung betrieblicher Informations- und Kommunikationsnetze,

“(4) Der Personalrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, mitzubestimmen über

1. Beginn und Ende der täglichen Arbeitszeit und der Pausen sowie Verteilung der Arbeitszeit auf die einzelnen Wochentage, Einführung, Ausgestaltung und Aufhebung der gleitenden Arbeitszeit,”

In Bezug auf Datenschutz ist vor allem Nr. 2 von Interesse. Auch wenn im Gesetzestext hier das Wort Datenschutz selbst nicht einmal vorkommt, so geht es doch genau um diesen, da Überwachung datenschutzrechtliche Implikationen hat. Werden an einer Schule also technische Einrichtungen eingeführt oder erweitert, bei welchen eine Eignung zur Überwachung des Verhaltens oder der Leistung der Beschäftigten nicht ausgeschlossen ist, so ist diese Angelegenheit mitbestimmungspflichtig.2„Maßgeblich für die Eignung zur Überwachung ist, ob durch die technische Einrichtung anonym, d.h. ohne dass die Beschäftigten sich dem entziehen können, Daten erzeugt, erhoben oder ausgewertet werden können, die einen unmittelbaren Rückschluss auf ihr Verhalten oder ihre Leistung zulassen. Der seit dem 16.07.2011 geltende – also aktuelle – Gesetzeswortlaut des § 72 Abs. 3 Nr. 2 LPVG ist insofern eindeutig: Das Mitbestimmungsrecht wird bereits dadurch ausgelöst, dass die einzuführende technische Einrichtung zur Überwachung oder Leistungskontrolle in technischer Hinsicht geeignet ist.“, Leitfaden zur Mitbestimmung nach LPVG NRW bei der Umsetzung der Open.NRW Strategie Technische Einrichtungen meint auch digitale Plattformen, egal ob lokal betrieben oder in einer Cloud.3Einführung und Anwendung technischer Einrichtungen, § 87 Abs. 1 Nr. 6 BetrVG

Eine Vielzahl EDV-gestützter Anwendungen ist dazu geeignet, Mitarbeiterverhalten am Arbeitsplatz zu beobachten. Der weite Anwendungsbereich dieses Mitbestimmungsrechts führt zu einem Beteiligungsrecht des Betriebsrats bei einer Vielzahl von IT-Sicherheitsfragen.“ heißt es in einer Kommentierung zur durch Paul Voigt in IT-Sicherheitsrecht: Wann ist der Betriebsrat einzubeziehen?
 Nicht ausgeschlossen heißt, es ist ausreichend, dass die Möglichkeit besteht, selbst wenn eine Überwachung nicht geplant ist.4Ob eine Nutzung der Überwachungs- und Kontrollfunktionen auch beabsichtigt ist oder tatsächlich stattfindet, spielt keine Rolle. Im Ergebnis muss deshalb in aller Regel von einer Überwachungsmöglichkeit und damit der Einschlägigkeit des § 72 Abs. 3 Nr. 2, PVG NRW ausgegangen werden. Anders ist dies nur dann, wenn diese Möglichkeit definitiv -der Nachweis wäre aber in diesem Falle von der Dienststelle zu führen – ausgeschlossen ist“, Leitfaden zur Mitbestimmung nach LPVG NRW bei der Umsetzung der Open.NRW Strategie Die Einführung einer Plattform, welche von der Schulleitung dazu genutzt werden könnte, Rückschlüsse auf das Nutzerverhalten und die Leistungen von Lehrkräften zu ziehen, hat damit immer auch datenschutzrechtliche Implikationen. Es geht dabei um das Risiko, welches durch eine Zweckentfremdung von personenbezogenen Daten, hier Daten, die einen Aufschluss über das Nutzerverhalten geben, zu einem Schaden für die Betroffenen führen könnte.

Genau dieses Risiko greift die Orientierungshilfe Online-Lernplattformen der Datenschutzkonferenz auf, die sich mit den datenschutzrechtlichen Aspekten der Einführung und Nutzung solcher Plattformen beschäftigt. Die Orientierungshilfe geht davon aus, dass die Verarbeitung von personenbezogenen Daten in einer solchen Online-Lernplattform in aller Regel

„ein voraussichtlich hohes Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen (Schüler, Lehrer, Eltern) zur Folge“ haben wird.“

Sobald dieses der Fall ist, hat der “Verantwortliche vorab eine Datenschutz-Folgenabschätzung nach Art. 35 Datenschutz-Grundverordnung durchzuführen“. Zu einer solchen gehört, wie im Kurzpapier Nr. 5 Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO ausgeführt, die “Identifikation und Einbindung von Akteuren und betroffenen Personen.“

„Ggf. holt der Verantwortliche den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung ein (Art. 35 Abs. 9 DS-GVO). Dies umfasst beispielsweise die Einbindung von Gremien der Mitbestimmung, z. B. von Betriebsräten.“

Der Wortlaut der Empfehlung im Kurzpapier entspricht fast der Formulierung in Art. 35 Abs. 9 DS-GVO.

“Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.”

Unklar bleibt in dieser Formulierung mit gegebenenfalls, unter welchen Umständen der Standpunkt der Betroffenen oder ihrer Vertreter einzuholen ist. Jandt geht in Kühling, Buchner Art. 35 DS-GVO Rn. 57 davon aus, dass sich aus der Forderung nach Einholung des Standpunktes eine Informationspflicht der Betroffenen oder ihrer Vertreter logisch ergeben müsste. Wer mit Vertreter gemeint ist, wird nicht explizit genannt. Man kann aber davon ausgehen, dass hier Vertreter nach den Regeln der betrieblichen bzw. behördlichen Mitbestimmung gemeint sind “oder anderer Personengruppen wie Eltern- oder Schülervertreter”5Karg in Simitis, Hornung, Spieker, Art. 35 Rn 69 .

Was bedeutet das für die Praxis?

Wenn an einer Schule eine Plattform eingeführt oder eine bestehende in ihrer Funktion deutlich ausgeweitet werden soll und diese Plattform soll durch alle Lehrkräfte genutzt werden, dann ist die Mitbestimmung mit großer Wahrscheinlichkeit mit einzubeziehen. Der Grund dafür muss nicht einmal ein datenschutzrechtlicher Belang sein. Geht es beispielsweise darum, ab welcher Uhrzeit E-Mails an Arbeitstagen abgerufen oder der digitale Vertretungsplan eingesehen werden muss, so fällt dieses unter die Regelungen von §72 LPVG, da es zumindest die Arbeitszeiten betrifft. Eröffnet eine Plattform die Möglichkeit, das Verhalten der Nutzer in der Plattform zu überwachen, etwa durch Protokolldateien, die Logins und Logouts oder wann in der Plattform der Unterricht gestartet und beendet wurde zeigen, dann ist dieses auf jeden Fall mitbestimmungspflichtig. Die Mitbestimmungspflicht ist hier auch ein Datenschutzthema, da personenbezogene Daten von Lehrkräften anders genutzt werden (können) als es dem Verarbeitungszweck der Plattform entspricht, etwa Durchführung von Unterricht oder Führen eines digitalen Klassenbuches. Ob und welche Risiken eine Verarbeitung von personenbezogenen Daten etwa durch eine Online-Lernplattform oder ein digitales Klassenbuch für die betroffenen Lehrkräfte bedeuten kann und durch welche Maßnahmen diese Risiken reduziert werden können, ist Gegenstand der Datenschutz-Folgenabschätzung. Anders als durch §72 Abs. 3 LPVG ergibt sich aus Art. 35 Abs. 9 DS-GVO jedoch keine Verpflichtung, die Mitbestimmung im Rahmen der Datenschutz-Folgenabschätzung einzuholen.

Die Einbeziehung der Mitbestimmung sollte es ermöglichen, im Endergebnis zu einer für alle Betroffenen verträglichen Lösung zu kommen. Diese kann dann beispielsweise in einer Dienstvereinbarung festgehalten werden, in welcher Regeln bezüglich der Nutzung der Plattform und Maßnahmen zum Schutz der personenbezogenen Daten der Betroffenen, auch vor unrechtmäßiger Überwachung durch die Schulleitung, vereinbart sind. Welche Gremien der Mitbestimmung beteiligt werden, hängt vom jeweiligen Fall ab. Je umfangreicher der Regelungsbedarf, desto wahrscheinlicher ist es, dass man sich nicht nur auf die schulinternen Vertretungsgremien beschränken, sondern auch den örtlichen Personalrat mit einbeziehen sollte. Dort findet man in der Regel eine entsprechende Kompetenz, die Tragweite von möglichen Risiken zu beurteilen, die mit der Einführung einer Plattform für die Betroffenen einhergehen können.

Ist man zu einer verträglichen Regelung gekommen, haben Lehrkräfte jedoch weiterhin die Möglichkeit, ihre Einwilligung in die erforderliche Verarbeitung von personenbezogenen Daten zu verweigern, solange die Nutzung der Plattform nicht durch ein Gesetz oder eine andere rechtliche Grundlage verbindlich vorgeschrieben ist.6Beispiel Logineo NRW: Dort heißt es in der Dienstvereibarung:

Für die Bereitstellung von LOGINEO NRW für Teile oder das gesamte in der Schule tätige Personal ist ein Beschluss der Lehrerkonferenz erforderlich.
Für die Bereitstellung von LOGINEO NRW für Schülerinnen und Schüler sowie für Eltern, die Mitglieder von Mitwirkungsorganen sind, ist ein Beschluss der Schulkonferenz erforderlich.
Die Nutzung von LOGINEO NRW ist freiwillig und setzt eine Einwilligungserklärung der jeweiligen Nutzerin/des jeweiligen Nutzers bzw. deren/dessen gesetzlicher Vertretung voraus.“

Diese Beschreibung der Mitbestimmung aus Sicht des Datenschutz hatte vor allem die Lehrkräfte an den Schulen im Blick. Mitbestimmung gibt es natürlich auch für alle anderen Betroffenen in Schule. Schüler und Eltern sind, je nach Fall, über ihre Gremien, die SV und die Elternpflegschaft, ebenfalls zu beteiligen.

Stand 05/2019

Verarbeiten – Speichern – Unterricht – Lehrergeräte

Lesezeit: 3 Minuten
„Die für die Verarbeitung zugelassenen Daten ergeben sich aus der Anlage 3.“1§2 Satz 3 VO-DV I

Welche personenbezogenen Daten Lehrkräfte in NRW mit Genehmigung der Schulleitung auf ihren privaten Endgeräten verarbeiten dürfen, ist durch Anlage 3 der VO-DV I recht genau eingegrenzt.

Datensatz bei Genehmigung der Verarbeitung personenbezogener Schülerinnen- und Schülerdaten auf privaten ADV-Anlagen der die Schülerinnen und Schüler unterrichtenden Lehrerinnen und Lehrer“2Satz 1 Anlage 3 VO-DV I

Anders als bei den personenbezogenen Daten, welche in der Verwaltung verarbeitet werden dürfen, sind die hier zugelassenen Daten eng begrenzt. Es wird von einem Datensatz gesprochen, der verarbeitet werden darf. Im Kommentar zum Schulgesetz von 2015 wird davon gesprochen, dass durch die Regelung in der VO-DV I ein Export  in die privaten Endgeräte der Lehrkräfte ermöglicht wird.

„… besonderen Regelung, damit bestimmte Daten in einem begrenzten Umfang für dienstliche Zwecke aus der Schule exportiert und in privaten ADV-Anlagen der Lehrkräfte verarbeitet werden dürfen.“3 SchulG NRW-Kommentar, März 2015, Katernberg

Nicht mehr zeitgemäß

An der Stelle wird deutlich, dass die Vorgaben des Schulgesetzes NRW und der anhängigen Verordnungen in diesem Bereich längst nicht mehr zeitgemäß sind. Warum?

Die Vorgaben in der VO-DV I sollen sicherstellen, dass die personenbezogenen Daten von Schülern und Eltern ausreichend geschützt sind und dass Lehrkräfte deshalb nicht alle nach dem Schulgesetz NRW für eine Verarbeitung zugelassenen personenbezogenen Daten auf ihren privaten Endgeräten verarbeiten und dadurch einem zusätzlichen Risiko aussetzen. Beim Begriff Verarbeiten hat der Gesetzgeber hierbei jedoch wohl vor allem an eine Speicherung auf den Geräten gedacht. Darauf deuten auch die Löschfristen hin, welche für personenbezogene Daten aus der Schule auf privaten Endgeräten deutlich eingeschränkt sind. Sie dürfen dort nur maximal ein Jahr gespeichert werden, gerechnet ab dem Ende des Kalenderjahres, nachdem eine Lehrkraft einen Schüler zuletzt unterrichtet hat. Die Schule hingegen bewahrt die Daten von Schülern 5 Jahre und länger auf.

Verarbeitung ist der Sammelbegriff für sämtliche Vorgänge, die mit oder ohne automatisierte Verfahren mit personenbezogenen Daten erfolgen4Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;“ Art. 4 Nr. 2 . Wie der Beitrag Verarbeitung, Bearbeitung, Speicherung, Bildschirmanzeige und Logineo NRW hoffentlich zeigen konnte, macht die Verwendung dieses Begriffes schon Probleme, wenn es um die Nutzung des Date-Safe von Logineo NRW mit personenbezogenen Daten geht, welche nicht in Anlage 3 aufgeführt sind. Sie dürften dem Wortlaut der VO-DV I nach zur Zeit auch von privaten Endgeräten aus nicht im Daten-Safe verarbeitet werden, da bereits die Bildschirmanzeige ein Verarbeitung im Sinne von Art. 4 Nr. 2 DS-GVO darstellt.

Das Schulgesetz NRW und die VO-DV I tragen der Tatsache, dass heute zunehmend online gearbeitet wird, noch keine Rechnung. Anders als vor wenigen Jahren können Dokumente mittlerweile online bearbeitet werden. Sie müssen dazu nicht länger auf dem Endgerät gespeichert werden, wie das z.B. bei lo-net oder anderen einfachen Plattformen der Fall war. Dort musste eine Datei zunächst auf den Rechner heruntergeladen werden, um sie anzusehen und zu bearbeiten, bevor sie dann wieder in der bearbeiteten Version hochgeladen wurde. Moderne Plattformen erlauben sowohl die Anzeige wie auch die Verarbeitung online. Wenn dieses im Browser erfolgt, findet nur eine temporäre Speicherung im Arbeitsspeicher statt. Diese stellt jedoch keine dauerhafte Speicherung im Sinne der DS-GVO dar.5Siehe dazu ebenfalls Eßer in Eßer/Kramer/ v. Lewinski Art. 4 Nr. 2 DS-GVO Rn. 43 Herbst in Kühling/Buchner, Art. 4 Nr. 2 DS-GVO Rn. 24

Dem muss die Schulgesetzgebung Rechnung tragen. Sie muss deutlich unterscheiden zwischen personenbezogenen Daten aus der Schule, welche mit Genehmigung durch die Schulleitung auf privaten Endgeräten verarbeitet werden dürfen, einschließlich einer Speicherung auf dem Gerät, und solchen, welche verarbeitet werden dürfen, jedoch unter Ausschluss einer Speicherung.

Was ist zu tun?

Der bisher in Anlage 3 aufgeführte Datensatz wird unverändert beibehalten für eine uneingeschränkte Verarbeitung einschließlich einer Speicherung auf dem Gerät. Zusätzlich aufgenommen werden sollten in die VO-DV I jedoch weitere Daten bzw. Kategorien von Daten, für welche eine eingeschränkte Verarbeitung, welche eine Speicherung auf dem Endgerät ausdrücklich ausschließt, über den Browser zulässig ist.6Neben dem Zugriff über einen Browser könnten auch Software und Apps zuässig sein, welche keine Daten lokal ablegen können. Dazu gehören würden Daten, für welche schon jetzt eine Bearbeitung im Daten-Safe von Logineo NRW vorgesehen ist. Mit aufgenommen werden müssten unbedingt auch sämtliche personenbezogenen Daten, welche zur Nutzung von Lern Management Systemen (LMS), Lernplattformen und Classroom Management Systemen (CMS) erforderlich sind.7Welche personenbezogenen Daten dort verarbeitet werden dürfen, ist dann Bestandteil anderer Regelungen. Dieses ist dringend erforderlich, um der Tatsache Rechnung zu tragen, dass im Unterricht zunehmend Online-Plattformen genutzt werden. Dort erfolgt sämtliches Lernen und Arbeiten online über den Browser und es ist erforderlich, dass Lehrkräfte die Möglichkeit erhalten, in der Plattform von Schülern erarbeitete Materialien einzusehen, um Feedback zu geben und Bewertungen vorzunehmen, oder um durchgeführte Abfragen auszuwerten. So wie traditionell Lehrkräfte die Hefte von Schülern mit nach Hause nehmen, macht es die Arbeit mit Online-Plattformen erforderlich, die von Schülern bearbeiteten Materialien auch zu Hause in der Plattform durchsehen zu können. Das alles ist, momentan von privaten Endgeräten aus rein rechtlich nicht möglich, da diese Daten nicht zu dem in Anlage 3 detaillierten Datensatz gehören.

Mit Dienstgeräten würde sich die beschriebene Erfordernis einer zeitgemäßen Anpassung der schulischen Gesetzgebung nicht ergeben. Da es gegenwärtig illusorisch ist, mit einer zeitnahen Ausstattung aller Lehrkräfte mit Dienstgeräten zu rechnen, sich nun aber immer mehr Schulen und Lehrkräfte auf den Weg machen, digitale Medien in den Unterricht zu integrieren, was vor allem in weiterführenden Schulen den Einsatz von Online-Plattformen einschließt, braucht es die beschriebene Anpassung der datenschutzrechtlichen Vorgaben im Schulgesetz und anhängigen Verordnungen zur Datenverarbeitung. Auch die Verarbeitung von personenbezogenen Daten, welche nicht auf privaten Endgeräten gespeichert werden dürfen, macht diese Änderung deshalb erforderlich.

 

Der Privatbereich von Schülern im Unterricht

Lesezeit: 3 Minuten

Dieser Tweet einer Mutter erregte jetzt bei Twitter die Gemüter, wurde mehr als dreihundertmal kommentiert, retweeted, und von knapp 2.000 anderen Nutzern mit einem Like versehen.

Kann man als Lehrkraft im Unterricht bei Schülerinnen und Schülern eine derartige Abfrage durchführen? Wie verträgt sich das mit dem Datenschutz?

Das Thema ist schwierig und es ist nicht einfach, eine pauschale Aussage zu treffen. Die Biologie Lehrkraft meint es sicherlich gut, wenn man sich in der Klasse mit dem Thema „Gesunde Ernährung“ auseinandersetzt und die Kinder dafür sensibilisiert. Allerdings sind Ernährungsgewohnheiten schon eine sehr persönliche Angelegenheit, die Aufschluss über weitaus mehr zulassen. Ob eine Familie Bio Produkte kauft oder nicht, muss nichts mit einem vorhandenen oder mangelnden Bewusstsein für gesunde und nachhaltige Ernährung zu tun haben, sondern kann auch mit der finanziellen Situation zusammenhängen. Als Lehrer oder Lehrerin möchte man gerne Lernanlässe mit lebensweltlichen Bezügen gestalten. Macht doch mal ein Foto von eurem Zimmer. Erzählt doch mal von den Berufen eurer Eltern. Manche scheinbar belanglose Frage kann ein Kind dazu nötigen, Dinge aus dem Privatbereich der Familie zu offenbaren, die es selbst bloßstellen oder den Eltern nicht recht sind, aus welche Gründen auch immer.

Man braucht bezüglich der mit solchen Abfragen verbundenen Problematik nicht einmal auf die Europäische Datenschutz Grundverordnung (DS-GVO) schauen, wie dies in einigen kommentierenden Tweets geschah. Auch das Schulgesetz NRW äußert sich zu einer solchen Erhebung von Daten.1In den Schulgesetzen der anderen Bundesländer werden sich entsprechende Formulierungen finden.

In §2 Abs. 2 der VO-DV I heißt es:

„(2) Nicht in den Anlagen aufgeführte Daten dürfen nur erhoben werden, wenn die oder der Betroffene eingewilligt hat. […] Auch mit Einwilligung dürfen unzumutbare, nicht zweckdienliche oder sachfremde Angaben nicht erhoben werden.“

Wenn es um die Ernährung und den Einkauf von Bio Produkten geht, dann betrifft dieses auch die Eltern. Man sollte sich in Schule grundsätzlich davor hüten, Abfragen bei Schülern zu machen, welche die Eltern betreffen, egal ob es dabei um das Alter der Eltern geht, ob und warum sie arbeitslos sind, oder welche Eltern getrennt leben. Im Fall der geplanten Beratung zur Ernährung werden einige Eltern die eingeforderten Informationen als unzumutbar empfinden. Dieses Recht haben sie. Fraglich ist zudem, ob die Informationen wirklich zweckdienlich sind? Um beim Beispiel zu bleiben. Es wäre auch möglich, im Biologieunterricht ein Beratungsschema zu erarbeiten, mit welchem die Schüler zu Hause die Ernährung in ihrer Familie unter die Lupe nehmen können, um die Eltern hinterher zu beraten. Das Ziel, die Kinder für eine gesunde und nachhaltige Ernährung zu sensibilisieren, wäre auch hiermit erreicht.

Obige Abfrage aus dem Biologieunterricht ist nicht nur problematisch, weil sie die Verhältnisse im Elternhaus betrifft und für einige Eltern nicht zumutbar ist, sondern auch, weil es sich um eine verbindliche Abfrage handelt, eine Hausaufgabe, bei welcher der Schüler möglicherweise noch sanktioniert wird, wenn zur nächsten Stunde keine Liste vorgezeigt wird. In einem Kommentar zum SchulG NRW wird folgende Empfehlung gegeben:

„Insgesamt haben die Lehrkräfte dafür Sorge zu tragen, dass personenbezogene Daten im Unterricht nur im Rahmen des Erforderlichen verarbeitet und ansonsten vermieden werden. Hier ist neben dem notwendigen pädagogischen Fingerspitzengefühl auch eine besondere datenschutzrechtliche Sensibilität geboten. Im Zweifel sollten die Eltern in der Klassenpflegschaftssitzung und/ oder durch Elternbriefe über möglicherweise datenschutzrelevante Inhalte einer geplanten Unterrichtseinheit oder -reihe informiert werden, so dass sie die Möglichkeit haben, etwaige Einwände rechtzeitig vorzutragen.“2Quelle: Wingen, SchulG NRW-Kommentar, März 2015, Katernberg

Es wäre sicherlich übertrieben, wenn man den Privatbereich von Schülerinnen und Schülern komplett aus dem Unterricht ausklammern würde. Wenn Schüler von sich aus Informationen aus dem Privatbereich im Unterricht offenbaren, ist das etwas Anderes, als wenn sie durch eine Hausaufgabe oder Antwortkette, zu der jeder etwas beitragen muss, zur Preisgabe von solchen Informationen genötigt werden. Vor allem ältere Schüler können recht gut einschätzen, ob und was sie von sich preisgeben wollen. Solange klar ist, dass alles auf Freiwilligkeit und ohne Nachteile bei Nichtbeantwortung abläuft und das Kind über den Umfang der Informationen selbst entscheidet, die es preisgeben möchte, kann man informell im Klassengespräch über eher allgemeine Dinge reden wie Hobbys, Lieblingssportler, Vorlieben und Freizeiterlebnisse und ähnlich. Bei jüngeren Schülern, vor allem in der Grundschule, fehlt dieses Urteilsvermögen oft noch völlig. Lehrkräfte müssen deshalb hier wesentlich umsichtiger handeln. Schriftliche Befragungen sollten besonders vorsichtig angegangen werden, etwa durch eine vorherige Absprache mit den Eltern und eine Anonymisierung der Abfrage. Grundsätzlich sollte man immer überlegen, ob es nicht andere Wege gibt, um zum gleichen Ziel zu gelangen. Sensible Bereiche aus dem Privatleben sollten im Unterricht besser meiden.

Schule und Schulträger – Verantwortung beim Datenschutz

Lesezeit: 4 Minuten

Das Verhältnis von Schule und Schulträger ist nicht immer einfach. Oft ist man beim Schulträger der Meinung, wo das Geld ist, wird entschieden. Das betrifft die IT Ausstattung, von der Hardware bis zur Software. Schulträger entscheiden in vielen Bereichen und immer wieder über Schule anstatt mit Schule. Verwaltung und pädagogisches Netz werden mal eben mit Office 365 ausgestattet, die Kameras in iPads werden deaktiviert, die Nutzung bestimmter Internet-Dienste gesperrt, Dienstleister mit Support und Administration beauftragt und Schule hat das zu nehmen wie es ist. Kann ein Schulträger das mal eben alles so entscheiden?

Grundsätzlich sollten Entscheidungen, die eine Schule betreffen immer im Einvernehmen zwischen Schulträger und Schule getroffen werden.

Manchmal ist es für beide Seiten hilfreich, wenn man sich die rechtlichen Grundlagen vor Augen führt.

Schulträger als Sachaufwandsträger

Nach §79 SchulG NRW1§ 79 Bereitstellung und Unterhaltung der Schulanlage und Schulgebäude Die Schulträger sind verpflichtet, die für einen ordnungsgemäßen Unterricht erforderlichen Schulanlagen, Gebäude, Einrichtungen und Lehrmittel bereitzustellen und zu unterhalten sowie das für die Schulverwaltung notwendige Personal und eine am allgemeinen Stand der Technik und Informationstechnologie orientierte Sachausstattung zur Verfügung zu stellen. sind Schulträger als Aufwandsträger für die sächliche Ausstattung verantwortlich. Allerdings ist die  Schule gemäß §76 SchulG NRW vom Schulträger bei Entscheidungen zu beteiligen2Die Schule ist vom Schulträger in den für sie bedeutsamen Angelegenheiten rechtzeitig zu beteiligen. Hierzu gehören insbesondere […] 4. räumliche Unterbringung und Ausstattung der Schule sowie schulische Baumaßnahmen,.

Schule und innere Angelegenheiten

Anders als bei den äußeren Angelegenheiten ist die Schule in Bezug auf die inneren Angelegenheiten nach §3 SchulG NRW eigenverantwortlich3verwaltet und organisiert ihre inneren Angelegenheiten selbstständig. Unter die inneren Angelegenheiten fällt auch die Verarbeitung von personenbezogenen Daten. Entsprechend liegt die Verantwortung für die Einhaltung der datenschutzrechtlichen Vorgaben des Schulgesetzes nach §1 Abs. 3 VO-DV I bei der Schulleitung.

„(3) Für die Schule stellt die Schulleiterin oder der Schulleiter, […] durch technische oder organisatorische Maßnahmen sicher, dass der Schutz der verarbeiteten Daten gemäß § 10 DSG NRW gewährleistet ist und die Löschungsbestimmungen eingehalten werden.“

Das bedeutet, die Schule ist bei sämtlicher Verarbeitung von personenbezogenen Daten von Schülern, Lehrkräften und Erziehungsberechtigten, soweit sie innere Angelegenheiten betreffen, Verantwortlicher im Sinne von Art. 4 Nr. 7 DS-GVO.

Verhältnisse klarstellen

Wenn ein Schulträger, egal ob es das Schulamt ist, der kommunale oder städtische Datenschutzbeauftragte, die IT Abteilung im Rathaus oder ein vom Schulträger beauftragter IT Dienstleister, mit Vorgaben, Anordnungen, Konfigurationen schulischer Soft- und Hardware oder Verboten in Prozesse der Datenverarbeitung in Schule eingreift, dann ist dieses sicherlich in den meisten Fällen wohlwollend gemeint, überschreitet jedoch eindeutig die rechtlichen Zuständigkeiten dieser Stellen. Genau genommen können derartige Eingriffe in die datenschutzrechtlichen Angelegenheiten einer Schule sogar als Verstöße gegen geltendes Datenschutzrecht, vom Schulrecht über Landes- und Bundesdatenschutzgesetzgebung bis zur Europäischen Datenschutz Grundverordnung bewertet werden. Schulen sind in Bezug auf das Datenschutzrecht einzig ihren vorgesetzten Dienststellen, sofern diesbezüglich weisungsberechtigt, und der zuständigen Aufsichtsbehörde gegenüber weisungsgebunden.

Schulträgern und den Personen, Stellen und Dienstleistern, welche für sie tätig sind, ist dieser Sachverhalt oftmals nicht einmal klar.

Es gibt für Schulen hier einen einfachen Weg, um Abhilfe zu schaffen, ein Weg, mit dem eine Schule in den meisten Fällen auch einer datenschutzrechtlichen Pflicht nachkommt. Nach §2 Abs. 3 VO-DV I gilt:

„(3) Die Schulen […] sind berechtigt, unter Beachtung der Voraussetzung des § 11 DSG NRW die Datensicherheit gewährleistende und zuverlässige Institutionen mit der Verarbeitung ihrer Daten zu beauftragen. Die Datenverarbeitung im Auftrag ist nur zulässig nach Weisung der Schule […] und ausschließlich für deren Zwecke.“

In der Mehrheit aller Schulen ist der Schulträger mittels seiner eigenen IT Abteilung oder durch einen beauftragten IT Dienstleister mit Support und administrativen Aufgaben für die schulische IT beauftragt.

Immer wenn dabei auch ein Zugriff auf personenbezogene Daten aus der Schule erforderlich oder möglich ist, muss nach Art. 28 Nr. 3 DS-GVO ein Vertrag zur Auftragsverarbeitung geschlossen werden. In diesem sind die Zuständigkeiten zwischen dem Verantwortlichen, hier der Schule als Auftraggeber, und dem Auftragnehmer (Auftragsverarbeiter), eindeutig geregelt. Dazu gehört, dass der Auftragnehmer gegenüber dem Auftraggeber weisungsgebunden ist. Selbiges gilt auch, wenn schulische IT aus dem Schulgebäude ausgelagert betrieben wird. Das ist beispielsweise der Fall, wenn ein Schulverwaltungsprogramm wie SchiLD NRW zentral auf einem Server des Schulträgers oder beauftragten IT Dienstleisters betrieben wird.

Handlungsempfehlung

Letztlich geht es also nur darum, dem Schulträger deutlich zu machen, dass eine Schule bzw. eine Schulleitung ihrer datenschutzrechtlichen Verantwortung nur gerecht werden kann, wenn der Schulträger Eingriffe in die Schulische IT, sofern sie Datenverarbeitungsprozesse oder die technischen und organisatorischen Maßnahmen zum Schutz der verarbeiteten Daten betreffen, in Abstimmung mit der Schule vornimmt.4Das gilt natürlich auch in die umgekehrte Richtung, wie die Dienstanweisung für die automatisierte Verarbeitung von personenbezogenen Daten in der Schule unter 11.6 deutlich macht „Die Schulleiterin oder der Schulleiter hat im Einvernehmen mit dem Schulträger durch organisatorische Maßnahmen den Datenschutz sicherzustellen.

Schulträger verstehen dieses oft besser, wenn man den verantwortlichen Personen vor Augen führt, dass sich datenschutzrechtlich auch die kommunale bzw. städtische Verwaltung in einer vergleichbaren Situation befindet. Auch dort würde man keine Einmischung oder Bevormundung durch externe Stellen oder Personen zulassen (dürfen).

Mit einem zusätzlichen Hinweis auf die Vorgaben aus der Schulgesetzgebung und dem Abschluss der erforderlichen Verträge zur Auftragsverarbeitung sollte dann für alle Beteiligten klar sein, wie es mit der rechtlichen Stellung und den daraus resultierenden Verantwortlichkeiten im Verhältnis von Schule und Schulträger bestellt ist. Verantwortliche aus kommunaler bzw. städtischer Verwaltung verstehen die Sprache von Gesetzen und Verordnungen aus ihrem Berufsalltag sehr gut und bringen, wenn sie um die rechtlichen Verhältnisse wissen, auch mehr Verständnis für die Zuständigkeiten  für schulinterne Datenverarbeitungsprozesse auf.

Auf dieser Basis, sollte eine vertrauensvolle Zusammenarbeit von beiden Seiten aus gut möglich sein. Eine Schule kann auf dieser Grundlage dann auch besser argumentieren, wenn der Schulträger

  • eine Software, die seit Jahren essentiell für interne Abläufe ist, nicht mehr unterstützen möchte und keine Alternative bietet,
  • die Schulverwaltung von einem Server in der Schule auf einen Server im Rathaus umstellen will,
  • Verarbeitungsprozesse an einen Dienstleister auslagern will,
  • für alle sicheren, schuleigenen USB Sticks der Lehrkräfte ein einziges Passwort vorschreibt,
  • alle Schulen auf ein einheitliches Schulverwaltungsprogramm umstellen möchte,
  • im Internetzugang der Schule Ports gesperrt werden, die zur Nutzung eines Online-Angebotes, erforderlich sind,
  • die Kameras in iPads deaktiviert werden,
  • die Mitarbeiter des IT Dienstleisters mitten im Schulbetrieb für Wartungszwecke das schulische Netzwerk lahmlegen,
  • man für die sichere Aufbewahrung von Datenträgern und Festplatten zur Sicherung von Daten nach Jahren noch immer keinen (feuersicheren) Safe erhalten hat,

und dabei die entscheidet als hätte die Schule hier nichts zu sagen.

 

In Sachen Datenverarbeitung ist der Schulträger somit Auftragsverarbeiter und gegenüber der Schule weisungsgebunden. Das bedeutet:

  • Ohne entsprechende Verträge zur Auftragsverarbeitung geht gar nichts.

Datenschutzverstöße und mögliche rechtliche Folgen für eine Schule

Lesezeit: < 1 Minute

Es wird immer wieder gefragt, welche rechtlichen Folgen es haben kann, wenn es in der Schule zu einem Datenschutzverstoß kommt oder Vorgaben der DS-GVO bezüglich der Schulhomepage nicht eingehalten wurden. Der Beitrag Mögliche rechtliche Folgen eines Datenschutzverstoß für Schulen schaut deshalb auf die rechtlichen Möglichkeiten, welche für die Aufsichtsbehörde und die Betroffenen bestehen. Wie man dabei sieht, wird die Aufsichtsbehörde kein Bußgeld gegen eine Schule in öffentlicher Trägerschaft verhängen. Das bedeutet aber nicht, dass in der Schule tätige Personen nicht mit rechtlichen Konsequenzen rechnen müssen, vor allem wenn sie vorsätzlich gehandelt haben. Aber auch Unwissenheit schützt vor Strafe nicht und so können auch aus Nichtwissen oder Nachlässigkeit begangene Verstöße gegen das Datenschutzrecht durchaus rechtliche Konsequenzen nach sich ziehen, wenn den Betroffenen ein Schaden hierdurch entstanden ist, und dieser kann auch immaterieller Natur sein.