Kategorie: Schule NRW

Verarbeitung von personenbezogenen Daten auf dienstlichen und privaten Endgeräten – VO-DV II

Lesezeit: 9 Minuten

Mit Datum vom 13. Dezember 2021 wurden die VO-DV I und VO-DV II durch die Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten geändert. Die Änderungen in den beiden Verordnungen wirken sich sehr deutlich auf die Arbeit der an den Schulen und ZfsL tätigen Personen aus, so dass man hier von einer Zäsur sprechen kann.

Bisher konnten Lehrkräfte und andere mit der Ausbildung beauftragte Personen private Endgeräte mit Genehmigung der Schulleitung zur Verarbeitung von personenbezogenen Daten der auszubildenden Personen im Rahmen der Vorgaben der VO-DV II nutzen. Das war richtig und sinnvoll, da an Schulen selten ausreichend viele für Verwaltungsarbeiten eingerichtete Lehrerarbeitsplätze wie auch mobile Endgeräte für den Einsatz bei Unterrichtsbesuchen und die Arbeit zu Hause zur Verfügung standen. An vielen ZfsL dürfte der Mangel an Endgeräten noch größter gewesen sein. Doch spätestens seit Lehrkräfte an Schulen über Förderprogramme des Bundes und des Landes mit Dienstgeräten ausgestattet werden und das Land auch die Seminar- und Fachleitungen an den ZsfL aus Landesmitteln mit Dienstgeräten versorgt, haben sich die Rahmenbedingungen geändert.

Darauf hat der Gesetzgeber mit den angepassten Regelungen zur Nutzung von Privatgeräten reagiert. In der Neufassung der VO-DV II geht der Gesetzgeber nun davon aus, dass die Verarbeitung von personenbezogenen Daten der in Ausbildung befindlichen Personen auf Dienstgeräten die Regel darstellt und die Verarbeitung auf Privatgeräten die Ausnahme. Entsprechend wurden die Möglichkeiten, weiterhin private Endgeräte für die dienstliche Verarbeitung von personenbezogenen Daten stark eingegrenzt. Schulleitungen und Leitungen von ZfsL verfügen weiterhin über die Möglichkeit, mit der Ausbildung beauftragen Personen, eine Genehmigung zu erteilen. Diese ist jedoch jedoch stark eingeschränkt, auf Personen, denen noch kein Dienstgerät zur Verfügung steht, deren Dienstgerät verlustig gegangen oder defekt ist, ohne dass Ersatz gestellt werden kann, und auf eine begrenzte Zahl von Ausnahmefällen.

Im Folgenden geht es ausschließlich um die neue Fassung der VO-DV II, soweit sie die Nutzung von privaten Endgeräten zur Verarbeitung von personenbezogenen Daten von an Schulen und ZfsL in Ausbildung befindlichen Personen durch die damit beauftragten Personen betrifft. Im Beitrag Verarbeitung von personenbezogenen Daten auf dienstlichen und privaten Endgeräten – VO-DV I  werden die entsprechenden Neuregelungen in der VO-DV I erläutert.

Die Änderungen im Detail

§ 2 Abs. 4 VO-DV II regelt die Nutzung von Privat- und Dienstgeräten zur Verarbeitung von personenbezogenen Daten von an Schulen und ZfsL in Ausbildung befindlichen Personen durch die damit beauftragten Personen.

(1) Die Verarbeitung personenbezogener Daten von Personen, die an Zentren für schulpraktische Lehrerausbildung oder an Schulen ausgebildet werden, auf privaten digitalen Geräten der mit der Ausbildung beauftragten Personen bedarf der schriftlichen, ein Verzeichnis der Verarbeitungstätigkeiten gemäß Artikel 30 der Datenschutz-Grundverordnung enthaltenden Genehmigung. (2) Die Genehmigung für Seminarausbilderinnen und Seminarausbilder erteilt die Leiterin oder der Leiter des Zentrums für schulpraktische Lehrerausbildung. (3) Für Ausbildungslehrerinnen und Ausbildungslehrer an Schulen erfolgt dies durch die Schulleiterin oder den Schulleiter. (4) Die Genehmigung darf nur erteilt werden, wenn die Verarbeitung der Daten nach Art und Umfang für die Ausbildung erforderlich ist und ein angemessener technischer Zugangsschutz nachgewiesen wird. (5) Die für die Verarbeitung zugelassenen Daten ergeben sich aus der Anlage 6.”

Kreis der von der Verarbeitung Betroffenen

Entsprechend sind auch die von der Verarbeitung betroffenen Personen nicht nicht die gleichen. In § 2 Abs. 4 Satz (1) wird hier von “Personen, die an Zentren für schulpraktische Lehrerausbildung oder an Schulen ausgebildet werden” gesprochen. Wer unter diesen Personen zu verstehen ist, wird unter § 1 Abs. 1 Nr. 2 definiert.

“2. der Lehramtsanwärterinnen und Lehramtsanwärter sowie der Lehrkräfte und sonstigen Personen in Ausbildung,”

Neben den personenbezogenen Daten von Lehramtsanwärterinnen und Lehramtsanwärter sowie der Lehrkräften in Ausbildung fallen mit sonstigen Personen in Ausbildung unter die Regelung dann beispielsweise auch  Praxissemesterstudierende und Studierende im Eignungs- und Orientierungspraktikum. Wie aus den Erläuterungen zu den Änderungen (S. 17) hervorgeht, ist für das MSB denkbar, dass zukünftig auch Seiteneinsteiger in Sondermaßnahmen zur Qualifizierung unter die Regelung fallen können. 1In Nr. 2 erfolgt die Klarstellung, dass sämtliche Personen, die am ZfsL und an den Schulen ausgebildet werden, erfasst sind (z.B. Praxissemesterstudierende, Studierende im Eignungs- und Orientierungspraktikum; auch sind perspektivisch Sondermaßnahmen zur Qualifizierung von Seiteneinsteigem denkbar).”

Kreis der zur Verarbeitung Berechtigten

Wie in Satz (1) beschrieben, geht es um die “mit der Ausbildung beauftragten Personen“, die dann in den folgenden Sätzen als Seminarausbilderinnen und Seminarausbilder an den ZfsL (2) und Ausbildungslehrerinnen und Ausbildungslehrer an Schulen (3) beschrieben werden.

Wer erteilt wem die Genehmigung?

In dem mit der Dienstanweisung für die automatisierte Verarbeitung von personenbezogenen Daten in der Schule (10-41 Nr. 4) im Februar veröffentlichten Formular für die Erteilung von Genehmigungen waren die Zuständigkeiten nicht korrekt ausgewiesen. Dieses wird nun mit den Sätzen (2) und (3) behoben.

  • Die Leitung eines ZfsL erteilt den Seminarausbilderinnen und Seminarausbildern, d.h. Seminarleitungen, Fachleitungen und vorübergehend mit Ausbildungsaufgaben an ihrem ZfsL beauftragten Lehrkräften die Genehmigung zur Verarbeitung von personenbezogenen Daten der am ZfsL in Ausbildung befindlichen Personen.
  • Die Leitung einer Schule erteilt den Ausbildungslehrerinnen und Ausbildungslehrern an ihrer Schule, d.h. Lehrkräften, die an dieser Ausbildungsschule zur Mitwirkung an der Ausbildung verpflichtet werden (§10 Absatz 5 Allgemeine Dienstordnung – ADO), die Genehmigung zur Verarbeitung der personenbezogenen Daten von Personen, die an ihrer Schule ausgebildet werden.

Zur Erteilung von Genehmigungen steht Schulleitungen und Leitungen von ZfsL aktuell nur das bekannte Formular zur Verfügung, welches Teil der Dienstanweisung für die automatisierte Verarbeitung von personenbezogenen Daten in der Schule (10-41 Nr. 4) und am 19.01.2018 in einem Runderlass veröffentlicht wurde. Dieses Genehmigungsformular berücksichtigt von daher die neue Rechtslage noch nicht. Auch eine Anpassung an die DS-GVO fehlt noch. Wann mit einer Neufassung zu rechnen ist, bleibt abzuwarten. Bis dahin wird man Genehmigungen behelfsmäßig wohl noch auf der Grundlage des veralteten Formulars erteilen können/ müssen.

Welche Daten dürfen auf Privatgeräten verarbeitet werden?

In Anlage 6 gab es nur kleinere formale Anpassungen. Die personenbezogenen Daten, deren Verarbeitung nach “Art und Umfang für die Ausbildung erforderlich” und auf Privatgeräten mit Genehmigung zulässig ist, bleibt weiterhin auf

  • Name, Vorname
  • E-Mail (Soweit im Einzelfall nicht erforderlich, ist die Angabe freiwillig und jederzeit widerrufbar.)
  • Beurteilung der Leistungen der Personen in Ausbildung, und
  • Dienstliche E-Mail-Adresse

beschränkt.

Wegfall der Genehmigung

Mit § 2 Abs. 4 Satz 6 – 8 ist die VO-DV II nun um eine Regelung ergänzt, welche die Möglichkeiten der Schulleitung sowie der Leitung des ZfsL einschränkt, den zuvor beschriebenen Personen eine Genehmigung zu erteilen. Außerdem ist geregelt, wann bereits erteilte Genehmigungen ihre Gültigkeit verlieren. Die Regelung erfolgt analog zu der in § 2 Abs. 2 Satz 4 – 6 VO-DV I.

(6) Die Genehmigung darf nicht erteilt werden, wenn ein persönliches dienstliches digitales Gerät für dienstliche Zwecke zur Verfügung gestellt wird. (7) Eine bereits erteilte Genehmigung erlischt mit Aushändigung eines solchen Gerätes. (8) Übergangsweise ist die weitere Nutzung des Privatgeräts für die Dauer von höchstens vier Wochen zulässig, soweit dies zur Übertragung der personenbezogenen Daten auf das dienstliche Gerät erforderlich ist.”

Es gibt jedoch einen kleinen aber nicht unwichtigen Unterschied. Während in der VO-DV I vom Zurverfügungstellen eines Dienstgerätes für schulische Zwecke gesprochen wird, geht es in der VO-DV II um dienstliche Zwecke.

Hinweis: Bis auf wenige Unterschiede sind die Regelungen von § 2 Abs. 4 Satz 6 – 8, sehr ähnlich zu denen in der VO-DV I. Wer den Beitrag Verarbeitung von personenbezogenen Daten auf dienstlichen und privaten Endgeräten – VO-DV I wird deshalb in den folgen Abschnitten bis zum Beginn des Abschnitts “Ausnahme von der Genehmigungspflicht !” nur wenig Neues finden, abgesehen von Anpassungen an den veränderten Kreis der von der Regelung betroffenen Personen.

Ausnahmeregelung

Der Gesetzgeber erkennt an, dass es Ausnahmen geben kann, die es erforderlich machen, eine Nutzung von Privatgeräten entgegen der vorherigen Regelung zuzulassen. In § 2 Abs. 4 Satz 9 VO-DV II heißt es deshalb:

(9) Unabhängig davon kann die Schulleitung ausnahmsweise in begründeten, von ihr zu dokumentierenden Einzelfällen die Nutzung von Privatgeräten vorübergehend zulassen, soweit dies zur vollumfänglichen schulischen2Interessant ist an dieser Stelle, dass hier nicht die Rede ist von “dienstlicher” Verarbeitung …, um in der Systematik zu bleiben Verarbeitung personenbezogener Daten erforderlich und die datenschutzgerechte Verarbeitung entsprechend der für die Nutzung von Privatgeräten geltenden Standards gewährleistet ist.”

Sobald einer der zuvor beschrieben Personen (Seminarausbilderinnen und Seminarausbilder an den ZfsL und Ausbildungslehrerinnen und Ausbildungslehrer an Schulen) ein persönliches dienstliches Gerät zur Verfügung gestellt wird, darf ihr keine Genehmigung für ein privates Endgerät erteilt werden. Hatte die Person bereits eine Genehmigung, so verliert diese automatisch ihre Gültigkeit. Das bedeutet, die Schulleitung bzw. Leitung des ZsfL muss die Genehmigung nicht aktiv widerrufen.

Geht ein zur Verfügung gestelltes Dienstgerät defekt oder verlustig und es gibt keinen Ersatz, erfüllt die Person die Voraussetzungen für die Erteilung einer Genehmigung. Auch wenn ein Gerät für einen Zeitraum in Reparatur ist, sollte es möglich sein, für diese Zeit eine Genehmigung zur Nutzung eines Privatgerätes zu erteilen, sofern kein Ersatzgerät gestellt werden kann.

PERSÖNLICHES DIENSTLICHES DIGITALES GERÄT

Wichtig ist an diesem Abschnitt, dass es sich bei dem dienstlichen Gerät um ein persönliches dienstliches digitales Gerät handelt. Ein persönliches dienstliches digitales Gerät setzt voraus, dass dieses der Person ausdrücklich als ein solches zugewiesen wurde und sie es alleine nutzt. Dieses geht in der Regel mit einer Nutzungsvereinbarung einher, wie sie beispielsweise im Rahmen der Richtlinie über die Förderung von dienstlichen Endgeräten für Lehrkräfte an Schulen in Nordrhein-Westfalen erforderlich ist. Auch bei den über das Land beschafften Geräten für die ZfsL dürfte es solche Nutzungsvereinbarungen geben.

ZUR VERFÜGUNG STELLEN – AUSHÄNDIGUNG

In Satz 6 und 7 heißt es, die Genehmigung darf nicht erteilt werden, wenn ein Dienstgerät “zur Verfügung gestellt wird” bzw. eine bereits erteilte Genehmigung erlischt “mit Aushändigung eines solchen Gerätes“.

In dieser Stelle werden sicherlich einige Personen eine Möglichkeit sehen, weiterhin mit einem privaten Endgerät mit Genehmigung der Schulleitung bzw. des ZfsL zu arbeiten. Reicht es die Annahme eines Dienstgerätes zu verweigern? Kann man gezwungen werden, ein Dienstgerät anzunehmen?

Für die Möglichkeit, die Annahme eines Dienstgerätes verweigern zu können, spricht bei Lehrkräften Regelung in der Richtlinie über die Förderung von dienstlichen Endgeräten für Lehrkräfte an Schulen in Nordrhein-Westfalen zur Annahme der Nutzungsbedingungen durch die Lehrkräfte. Dort heißt es in Abs. 6.3:

““Der Schulträger stellt den Lehrkräften die digitalen Endgeräte für eine unentgeltliche Nutzung zur Verfügung. Die Nutzungsbedingungen für die digitalen Endgeräte sind durch den Schulträger festzulegen. Die Zustimmung der Lehrkräfte zu den Nutzungsbedingungen ist sicherzustellen.

Ohne Annahme der Nutzungsbedingungen, darf ein Schulträger das Dienstgerät nicht an die Lehrkraft aushändigen. Genauso könnte eine Lehrkraft auch die Einwilligung in die zur Verwaltung der Dienstgeräte erforderliche Datenverarbeitung verweigern oder für eine von beiden die Zustimmung bzw. Einwilligung widerrufen.

Daraus ergibt sich ein Widerspruch zwischen den Regelungen der Verordnung und der Richtlinie.

Auf der anderen Seite wird vermutlich auf die Formulierung “zur Verfügung gestellt wird” verwiesen werden. Die Frage ist hier, was genau man darunter verstehen kann bzw. will. Reicht es bereits aus, wenn der Schulträger ein Gerät für die Lehrkraft beschafft, bzw. das Land für eine Person, die als Seminarausbilder:in tätig ist, es für sie einrichtet und ihr einen Termin gibt zur Übernahme, um von “zur Verfügung stellen” zu sprechen? Würde man sich dieser Argumentation anschließen, müsste man auch in Kauf nehmen, dass die Einwilligung der betreffenden Person in die Nutzungsbedingungen dann nicht mehr freiwillig erfolgen kann.

Es bleibt abzuwarten, wie dieser Widerspruch sich in der Praxis auflöst. Von Seiten des MSB und eventuell auch einzelnen Bezirksregierungen oder deren Mitarbeitern dürfte hier am ehesten ein Hinweis zu erwarten sein, dass die Verordnung Vorrang hat und durchzusetzen ist.

📍Ausnahme von der Genehmigungspflicht📍

Neu hinzugekommen ist mit der Änderung der VO-DV II eine Regelung, welche eine eingeschränkte Verarbeitung von personenbezogenen Daten auf privaten Endgeräten erlaubt, auch wenn hierfür keine Genehmigung vorliegt, etwa weil ein Dienstgerät zur Verfügung gestellt wurde. Diese außergewöhnliche Regelung findet sich in § 2 Abs. 5

“(5) Sofern dienstliche Dokumente auf privaten digitalen Geräten verarbeitet werden, ist die Verarbeitung personenbezogener Daten von Lehrkräften, anderem Personal der Schule und Personen in Ausbildung zulässig, soweit es sich um in der Schule oder im Zentrum für schulpraktische Lehrerausbildung dienstlich bekannte Daten und Kontaktdaten handelt, die Nennung für die Aufgabenerledigung erforderlich ist und ein angemessener technischer Zugangsschutz gewährleistet wird.”

Das bedeutet, Lehrkräfte an Schulen dürfen auf einem privaten Endgerät personenbezogene Daten auch ohne eine Genehmigung verarbeiten, sofern alle die folgenden fünf Voraussetzungen erfüllt sind:

  1. Es geht um dienstliche Dokumente.
  2. Es handelt sich um die Daten von Lehrkräften, anderem Personal an Schule oder von Personen in Ausbildung (Lehramtsanwärter, Lehrkräften in Ausbildung, Praxissemesterstudierende und Studierende im Eignungs- und Orientierungspraktikum).
  3. Es handelt sich ausschließlich um dienstlich bekannte Daten und Kontaktdaten.
  4. Die Nennung ist für die Aufgabenerledigung erforderlich.
  5. Ein angemessener technischer Zugangsschutz wird gewährleistet.

Welchen Hintergrund diese Regelung hat, beschreibt das MSB in den Erläuterungen zu den Änderungen (S. 19f). Bei den dienstlich bekannten Daten und Kontaktdaten handelt es um “bekannte Daten als Amtsträger in Bezug auf ihre Funktion in der Schule.” Darunter zu verstehen sind “Namen, Kontaktdaten und Unterrichtsfächer des Personals.” Diese unterliegen § 9 Abs. 3 Informationsfreiheitsgesetz und erfordern von daher einen geringeren Schutz. Liegt also eine dienstliche Erfordernis zu Verarbeitung vor und ein angemessener Zugangsschutz, im weitesten vergleichbar dem bei der Erteilung einer Genehmigung geforderten, dann können diese beiden Kategorien von personenbezogenen Daten auch ohne eine Genehmigung auf privaten Endgeräten verarbeitet werden. Diese Regelung dürfte vor allem vielen Lehrkräften entgegen kommen, denn hier geht es um das Erstellen, Übermitteln oder Empfangen von Dokumenten wie Protokollen über Konferenzen, Unterrichts-/Vertretungsplänen, Ausbildungs-Stundenplänen, Aufsichtsplänen und Sprechstundenlisten. Auch Personen, die an den ZsfL mit der Ausbildung betraut sind, profitieren von dieser Regelung.

Was bedeutet das für die Praxis?

Mit Blick auf Lehrkräfte bedeutet dieses: auch wenn ihnen ein Dienstgerät zur Verfügung gestellt oder keine Genehmigung für das Gerät erteilt wurde, können sie auf privaten Smartphones nun

  • über Browser oder App Unterrichts-, Vertretungs- und Aufsichtspläne wie auch Sprechstundenlisten des Kollegiums abrufen,
  • Raum- und Ressourcen-Buchungs-Systeme nutzen,
  • die Namen und dienstlichen Rufnummern von Kolleginnen und Kollegen speichern und verwalten3, solange sie sicherstellen können, dass diese nicht bei WhatsApp oder in anderen nicht-schulischen Clouds landen.

Auf einem privaten Laptop können sie so beispielsweise

  • Protokolle von Lehrer- und Fachkonferenzen schreiben4sofern dabei keine personenbezogenen Daten verwendet werden, die über die dienstlich bekannten Daten hinausgehen,
  • Protokolle von Lehrer- und Fachkonferenzen gelesen und kommentiert werden, und
  • Unterrichts-, Vertretungs- und Aufsichtspläne erstellen und an Kolleginnen und Kollegen versenden.

An seine Grenzen dürfte die Regelung kommen, wenn zum Abruf eines digitalen Stunden- und Vertretungsplans an einer Schule ein App oder eine Online-Plattform genutzt wird, die neben der Stunden- und Vertretungsplan-Funktion noch einen Messenger beinhaltet und eine Dateiablage oder ein digitales Klassenbuch mit Absenzen-Verwaltung, durch die dann auch personenbezogene Daten verarbeitet, welche über die dienstlich bekannten Daten und Kontaktdaten hinausgehen.

Nicht verarbeitet werden können auf einem privaten Endgerät ohne Genehmigung Dokumente, welche personenbezogenen Daten enthalten, welche über die oben beschriebenen dienstlich bekannten Daten und Kontaktdaten von anderen Lehrkräften, anderem Personal der Schule und Personen in Ausbildung hinausgehen. Dazu zählen dann beispielsweise Protokolle über Klassenkonferenzen und über Teilkonferenzen Ordnungsmaßnahmen.

Sonderregelung Schulleitung und Leitung ZfsL

Die Schulleitung wie auch die Leitung des ZfsL sind von der Regelung zum Wegfall der Genehmigung ausgenommen, da sie sich selbst keine Genehmigung erteilen können. Dazu heißt es in § 2 Abs. 6

“(6) Wenn die Leiterin oder der Leiter einer Schule oder eines Zentrums für schulpraktische Lehrerausbildung personenbezogene Daten von Beschäftigten auf privaten digitalen Geräten verarbeitet, ist dies nur für die in Absatz 5 und Anlage 6 genannten Daten zulässig, soweit die Verarbeitung der Daten zur Aufgabenerfüllung erforderlich ist und der erforderliche Schutz der Daten technisch sichergestellt wird.”

Damit können die genannten Personen also weiterhin ein privates Endgerät zur Verarbeitung von personenbezogenen Daten der an ihrer Schule bzw. in ihrem ZfsL tätigen Personen verarbeiten. Sie sind dabei jedoch bezüglich der mit der Ausbildung beauftragten Personen an ihrer Institution auf die “dienstlich bekannten Daten und Kontaktdaten” aus Absatz 5 und bezüglich der Personen, die dort ausgebildet werden auf die in Anlage 6 aufgeführten Daten (Name, Vorname, E-Mail, Beurteilung der Leistungen der Personen in Ausbildung und dienstliche E-Mail-Adresse) beschränkt.

In der Kommentierung zum Entwurf der Änderung (S. 20) heißt es dehalb: “Mit dem neu eingefügten Absatz 6 wird klargestellt, dass auch Schulleitungen und ZfsL-Leitungen auf privaten digitalen Geräten personenbezogene Beschäftigtendaten nur in dem genannten begrenzten Umfang verarbeiten dürfen. Die Klarstellung ist erforderlich, weil die vorstehenden Regelungen zur Genehmigungspflicht nach Abs. 4 nicht gelten, soweit sie selber Privatgeräte nutzen.”

FAQ

  • Kann eine Lehrkraft, welche die Genehmigung zur Nutzung eines Privatgerätes im Sinne von § 2 Abs. 2 VO-DV I hat, dieses Gerät auch nutzen, um Beurteilungen der Leistung eines Lehramtsanwärters darauf zu schreiben?
    • Ja, das ist möglich, sie muss dafür jedoch von ihrer Schulleitung zusätzlich eine Genehmigung gem. § 2 Abs. 4 VO-DV II einholen. Das ist eine weitere Unterschrift auf einer anderen Seite des aktuell noch gültigen Formulars.
  • Ich bin Fachleitung und habe ein Dienstgerät aus der Schule und eines vom ZsfL. Ist es möglich, dass ich auch die Arbeit für das ZfsL auf dem schulischen Dienstgerät erledige, um nicht ständig zwei Geräte mit mir herumzuschleppen?
  • Am ZfsL habe ich als Fachleitung einen dienstlichen Laptop erhalten. Für Lehrkräfte an meiner Schule gab es als Dienstgerät nur ein iPad. Darf ich auf dem Laptop die Zeugnisnoten für die Schule im externen Notenmodul eingeben?
    • Das sind kniffelige Fragen. Die Schule ist mit Unterstützung des Schulträgers verantwortlich für die sichere Verarbeitung von personenbezogenen Daten aus der Schule auf dem schulischen Dienstgerät. Kommt es zu einem totalen Datenverlust, etwa weil das Dienstgerät durch den Schulträger falsch konfiguriert wurde und es befanden sich personenbezogene Daten darauf, welche zu Personen gehörten, die die Lehrkraft als Fachleitung an anderen Schulen betreute, läge dieses in der Verantwortung der Schule. Anders ausgedrückt – verarbeitet eine Fachleitung die personenbezogenen Daten von Personen, die sie für das ZfsL an anderen Schulen als der eigenen betreut, auf einem schulischen Dienstgerät, dann verarbeitet streng genommen die eigene Schule die Daten von Personen, für deren Verarbeitung sie keine rechtliche Befugnis hat. Schließt man sich dieser engen Auslegung der datenschutzrechtlichen Regelungen an, bleibt in solch einem Fall nur die Nutzung von zwei verschiedenen Dienstgeräten, um die Datenverarbeitung sauber, gemäß der Zuständigkeiten/ Verantwortlichkeiten zu trennen.
    • Geht es nur um das externe Notenmodul könnte man eine Nutzung für Daten der Schule sicher noch vertreten. Was aber wäre, wenn über dieses Laptop bei der Übermittlung der ausgefüllten Notendatei ein Virus ins System der Schule gelangte und die Ursache wäre eine veralteter Virenschutz, der durch die Systembetreuung des ZfsL verursacht wurde?
  • Weder an meiner Schule noch am ZfsL, wo ich als Fachleitung tätig bin, habe ich aktuell ein Dienstgerät. Darf ich auf meinem Privatgerät mit Genehmigung sowohl Daten meiner Schüler wie auch die meiner für das ZfsL betreuten Personen in Ausbildung verarbeiten?
    • Das sollte möglich sein. Es braucht dazu sowohl die Genehmigung der Schulleitung wie auch die der Leitung des ZfsL.

Stand Januar 2022

Veröffentlicht am

Gemeinsame und schuleigene Datenschutzbeauftrage – VO-DV II

Lesezeit: 5 Minuten

Mit Datum vom 13. Dezember 2021 wurden die VO-DV I und VO-DV II durch die Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten geändert. Deutliche Veränderungen ergeben sich durch die Änderungen auch für die Bestellung von Datenschutzbeauftragten für die Schulen in öffentlicher Trägerschaft. Regelungen wurden auch für die ZfSL geschaffen.

In §1 Abs. 6 der alten Fassung der VO-DV II war die Regelung zur Bestellung von Datenschutzbeauftragten nur sehr knapp gefasst.

(6) Die in Absatz 1 genannten Behörden oder Einrichtungen bestellen behördliche Datenschutzbeauftragte gemäß § 32a DSG NRW. Mehrere Stellen können gemeinsam einen behördlichen Datenschutzbeauftragten bestellen, wenn dadurch die Erfüllung seiner Aufgaben nicht beeinträchtigt wird. Für Schulen in kommunaler und staatlicher Trägerschaft bestellt das Schulamt eine Person, die die Aufgaben gemäß § 32a DSG NRW wahrnimmt.

Die neue Fassung fällt deutlich umfangreicher aus, da Zuständigkeiten für die Bestellung neu zugewiesen werden, um personalvertretungsrechtliche Belange zu berücksichtigen, und auch die Möglichkeiten zur Bestellung erweitert werden.

“(6) (1)Die in Absatz 1 genannten Behörden oder Einrichtungen benennen behördliche Datenschutzbeauftragte gemäß Artikel 37 der Datenschutz-Grundverordnung. (2) Mehrere Stellen können gemeinsam eine Person benennen, wenn dadurch die Erfüllung ihrer Aufgaben nicht beeinträchtigt wird. (3) Abweichend von Satz 1 wählen für Schulen in kommunaler und staatlicher Trägerschaft die Schulämter Personen aus, die in ihrem Bezirk die Aufgaben gemäß Artikel 39 der Datenschutz-Grundverordnung wahrnehmen sollen. (4) Zur Wahrung personalvertretungsrechtlicher Interessen werden diese Personen nach Artikel 37 Absatz 3 der Datenschutz-Grundverordnung von den Bezirksregierungen benannt und an das jeweilige Schulamt anteilig zur Wahrnehmung der Funktion abgeordnet. (5) Schulen können stattdessen eine schuleigene Datenschutzbeauftragte oder einen schuleigenen Datenschutzbeauftragten benennen. (6) Sofern für Zentren für schulpraktische Lehrerausbildung nach Artikel 37 Absatz 3 der Datenschutz-Grundverordnung gemeinsame Datenschutzbeauftragte benannt werden sollen, erfolgt ihre Benennung zur Wahrung personalvertretungsrechtlicher Interessen durch die Bezirksregierungen.”

Eigene Datenschutzbeauftragte

Die bisherigen Regelungen zur Bestellung von Datenschutzbeauftragten sah nur die Möglichkeit vor, diese Personen für mehrere Stellen gemeinsam zu benennen. Entsprechend wurden für jeden Kreis und jede kreisfreie Stadt bis zu zwei Personen zu behördlichen Datenschutzbeauftragten bestellt. Diese sind dem Schulamt zugeordnet und für alle Schulen in öffentlicher Trägerschaft des jeweiligen Kreises bzw. der jeweiligen kreisfreien Stadt zuständig. Diese Möglichkeit besteht mit Satz (3) auch weiterhin unverändert fort.

Satz (5) der Verordnung Schulen lässt Schulen nun jedoch die Wahl. Sie können wie bisher die Dienste der bereits bestellen behördlich Datenschutzbeauftragten in Anspruch nehmen, oder nun selbst eine Person für ihre Schule benennen, welche diese Funktion übernehmen soll. Den Erläuterungen des MSB im Entwurf einer Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten ist zu entnehmen, dass diese Änderung auf eine Anregung der LDI NRW zurückgeht und diese Möglichkeit vor allem “bei großen oder besonders technisierten Schulen zweckmäßig sein könnte.

Damit besteht ab sofort für jede Schule in öffentlicher Trägerschaft die Möglichkeit, einen bzw. eine schuleigene/n Datenschutzbeauftragte/n zu benennen. § 1 Abs. 5 schränkt diese Option dabei in keiner Weise ein, weder auf Schulformen noch die Größe von Schulen.

Benennung

Während die behördlich bestellten schulischen Datenschutzbeauftragten nach der neuen Regelung von den Schulämtern ausgewählt und vorgeschlagen und dann von den Bezirksregierungen unter Beteiligung der Personalvertretung benannt werden, können dem Wortlauf von Satz (5) nach Schulen die Person eigenständig benennen.1Die Formulierung in Satz (4) “diese Personen” bezieht sich grammatikalisch auf die in Satz (3) beschriebenen von den Schulämtern ausgewählten Personen. Demnach können die in Satz (5) beschriebenen Personen nicht unter die Regelung von Satz (4) fallen. Entsprechend wird es dort auch keine Teilabordnungen durch die Bezirksregierungen an die Schulämter geben.

Es wird aber zumindest erforderlich sein, diese Benennungen an die Schulämter zu melden, damit diese ihrerseits die behördlich bestellten schulischen Datenschutzbeauftragten in Kenntnis setzen können. Ob auch eine Meldung an die Bezirksregierungen notwendig wird, bleibt abzuwarten.

Thema Zuständigkeiten

Hat eine Schule einen schuleigenen Datenschutzbeauftragten benannt, nimmt diese Person für die Schule alle Aufgaben gemäß  Art. 39 DS-GVO wahr. Die Zuständigkeit der behördlich bestellten dem Schulamt zugeordneten schulischen Datenschutzbeauftragten endet damit für diese Schule. 2Ergänzend ist anzumerken, dass gerade dieser Punkt bei einen behördlich bestellten Datenschutzbeauftragten (bDSB) sehr umstritten ist. Nach ihrer Ansicht geht mit der Benennung eines schulischen Datenschutzbeauftragten nicht ein Wechsel der Zuständigkeiten einher. Sie gehen davon aus, dass dieses sonst eine Abberufung von der konkreten Schule gegen den Willen des bDSB darstellt, für die sie jedoch keine Rechtsgrundlage sehen. – Sollte ein von einer Schule benannter schulischer Datenschutzbeauftragter sich gegen die Einmischung eines bDSB in seinen Tätigkeitsbereich an seiner Schule verwehren und der bDSB sieht sich hier in der Ausübung seiner Tätigkeit behindert, muss im Zweifelsfall ein Verwaltungsgericht für Klärung sorgen.

Meldung bei der Aufsichtsbehörde

Mit der Benennung eines schuleigenen Datenschutzbeauftragten geht auch die Verpflichtung einher, diese Person gem. Art. 37 Abs. 7 DS-GVO bei der LDI NRW zu melden. Die Meldung erfolgt im Meldeportal der Aufsichtsbehörde nach vorheriger Registrierung auf der Seite.

Veröffentlichung der Kontaktdaten

Gem. Art. 37 Abs. 7 DS-GVO muss die Schule auch die Kontaktdaten der zum Datenschutzbeauftragten bestellten Person veröffentlichen. Das betrifft einige Stellen, von der Schulhomepage bis zu Datenschutzinformationen für Schülern, Eltern und Lehrkräfte gem. Art. 13 und Art. 14 DS-GVO.

Entlastung – Freistellung

Für die behördlich bestellten dem Schulamt zugeordneten schulischen Datenschutzbeauftragten hat das Land Stundenkontingente zur Verfügung gestellt, die es ermöglichen, diese Personen von ihren Schulen mit einer Stundenzahl abzuordnen.

Es ist zu erwarten, dass Schulen, die eine Person für die Funktion des schuleigenen Datenschutzbeauftragten benennen, diese Person aus eigenen Mitteln entlasten müssen. Größere Systeme haben hier vermutlich die Möglichkeit, die Aufgaben des/ der schuleigenen Datenschutzbeauftragten an eine Funktionsstelle zu koppeln.

Welche Personen kommen in Frage?

Wer die Funktion als schuleigenen Datenschutzbeauftragte/r übernehmen möchte, sollte die Bereitschaft mitbringen, sich fachlich zu qualifizieren und sollte ausreichend Einblicke in die Datenverarbeitungsabläufe einer Schule erhalten und sich damit vertraut machen.

Die Person sollte gem. Art. 38 Abs. 6 nicht durch andere schulische Funktionen und Aufgabenbereiche in eine Konfliktsituation mit der Funktion als Datenschutzbeauftragte/r kommen. Damit scheiden Personen, welche selbst große Mengen von personenbezogenen Daten in der schulinternen Verwaltung verarbeiten oder Zugriff darauf haben für die Funktion aus. Das wären beispielsweise Lehrkräfte, welche auch Administratoren für schulische Plattformen wie LMS oder Arbeits- und Kommunikationsplattformen sind. Auch bei Mitgliedern der erweiterten Schulleitung könnten solche Interessenkonflikte bestehen. Die Schulleitung als Verantwortlicher kann definitiv nicht gleichzeitig schuleigene/r Datenschutzbeauftragte/r sein.

Weisungsfrei

Die behördlich bestellten schulischen Datenschutzbeauftragten haben überwiegend nicht mit ihren eigenen Schulen zu tun. An den meisten Schulen in ihrer Zuständigkeit sind sie deshalb externe Personen. Schulische Datenschutzbeauftragte im Sinne von Satz (5) sind an ihrer Schule gem. Art. 38 Abs. 3 weisungsfrei bezüglich der Ausübung ihrer Funktion. Das bedeutet auch, sie müssen gegebenenfalls Dinge sagen, etwa wenn sie Betroffene beraten, die den Interessen der Schule zuwider laufen. Daran dürfen sie nicht gehindert werden. Es dürfen ihnen aus ihrem Handeln in der Funktion als schulischer Datenschutzbeauftragter auch keine Nachteile entstehen.

Verantwortung

Selbstredend bleibt die Schulleitung weiterhin Verantwortlicher im Sinne der DS-GVO und des Schulgesetzes NRW. Diese Verantwortung kann eine Schulleitung nicht delegieren. Die Aufgaben eines Datenschutzbeauftragten sind in Art. 39 DS-GVO klar definiert. Darüber hinaus steht es natürlich jeder Schule frei, den schuleigenen Datenschutzbeauftragten bzw. die schuleigene Datenschutzbeauftragte mit der Erstellung und Pflege der Dokumentation (Verfahrensverzeichnis, Einwilligungen, Informationen gem. Art. 12 DS-GVO, …) zu betrauen.

Schulung

Gem. Art. 39 Abs. 2 ist der Verantwortliche verantwortlich, dem Datenschutzbeauftragten “die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen […] sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung” zu stellen. Während bei den behördlich bestellten schulischen Datenschutzbeauftragten die Schulämter die Ausstattung etwa in Form von Dienstgeräten, Büros und Fachliteratur bereitstellen und die Bezirksregierung3zumindest auf die BR Arnsberg zutreffend für die Kostenfür Ausbildung und Schulung aufkommen, ist zu erwarten, dass Schulen im Falle der Benennung eines schuleigenen Datenschutzbeauftragten für diese Kosten selbst aufkommen müssen.

Wo und wie die schulischen Datenschutzbeauftragten sich selbst aus- bzw. fortbilden können, ist offen. Die behördlich bestellten schulischen Datenschutzbeauftragten können die Dienste der Fortbildungsakademie Mont Cenis hier in Anspruch nehmen. Dort finden regelmäßig Schulungen statt, die einen Einstieg in die Thematik bieten, jedoch eher auf kommunale Behörden abzielen. Darüber hinaus bieten unzählige Dienstleister Ausbildungen an, die aber sämtlich kostenpflichtig sind. Fakt ist, es kann keine Schule erwarten, dass ihre benannten schuleigenen Datenschutzbeauftragten diese Kosten aus eigener Tasche zahlen, wie dieses bei Lehrkräften so oft der Fall ist.

Geänderte Zuständigkeiten für die Benennung der behördlich bestellen schulischen Datenschutzbeauftragten

Wie oben schon kurz beschrieben, haben sich die Zuständigkeiten bei der Benennung der behördlich bestellen schulischen Datenschutzbeauftragten verändert. Wurden sie bisher von den Schulämtern ausgewählt und benannt, so wurde jetzt mit Satz (4) die Zuständigkeit für die Benennung der schulischen Datenschutzbeauftragten auf die Bezirksregierungen übertragen.

Geänderte Zuständigkeiten für die Benennung der gemeinsamen Datenschutzbeauftragten für ZfsL

Zentren für schulpraktische Lehrerausbildung konnten schon immer im Rahmen der bisherigen Regelungen von §1 Abs. 6 VO-DV I eigene oder gemeinsame Datenschutzbeauftragte benennen. Hier ist jetzt mit Satz (6) eine Zuweisung von Zuständigkeiten für den Fall, dass mehrere ZfsL gemeinsame Datenschutzbeauftragte benennen wollen, erfolgt. Die eigentliche Benennung erfolgt nun durch die Bezirksregierungen, um dadurch eine Beteiligung der Personalvertretungen zu ermöglichen.

Stand 01/2022

Thema Videokonferenzen

Lesezeit: < 1 Minute

Bisher waren hier viele Beiträge aufgeführt, welche sich mit datenschutzrechtlichen Fragen zur Nutzung von Videokonferenz Plattformen zur Erteilung von Distanzunterricht, zur Teilnahme von Schülerinnen und Schülern am Unterricht von zu Hause aus und von Notenkonferenzen via Videokonferenz Plattformen und ähnlich befassen. Sie haben sich mit den durch das 16. Schulrechtsänderungsgesetz einführten neuen Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten beim Einsatz von Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen weitestgehend überholt und wurden deshalb aus der Seite entfernt.

Im folgenden Beitrag werden diese neuen Möglichkeiten, welche sich für dein Einsatz von Videokonferenz Plattformen zur Erfüllung des Bildungs- und Erziehungsauftrags für Schulen in NRW seit Februar 2022 ergeben, ausführlich erläutert und auch die Grenzen aufgezeigt.

16. Schulrechtsänderungsgesetz und Datenschutz 🔗

Ältere Beiträge, die aber noch Relevanz haben.

⇨ Videokonferenzen – eine Plattform auswählen 🔗
Hier geht es konkret um die Auswahl eines geeigneten Videokonferenz Tools und welche Kriterien man dabei im Auge behalten sollte. Dieser Beitrag ist weiterhin aktuell.

Videokonferenz Plattformen in Schule nutzen 🔗
Es geht hier um grundsätzliche Fragen des Einsatzes von Videokonferenz Tools in Schule und Fragen, die eine Schule sich vor dem Einsatz stellen sollte, mit Handlungsempfehlungen.

 

Stand 03/2022

Logineo NRW

Lesezeit: 6 Minuten

Hinter dem Label Logineo NRW verbergen sich die verschiedenen Module der Landesplattform für Schulen und ZfSL, die aktuell unabhängig von einander genutzt werden können. Es gibt die

Mitbestimmung

Was mit den Plattformen möglich ist und wo die Grenzen sind, auch mit Blick auf Datenschutz, ist in zwei Dokumenten geregelt, welche durch die Hauptpersonalräte und Hauptschwerbehindertenvertretungen mitbestimmt wurden:

Letzteres Dokument wird durch schulinterne Regelungen, soweit sie im Rahmen der Vorgaben des Dokumentes möglich sind, ergänzt.

Einwilligung und Informationen zur Datenverarbeitung

Die Nutzung aller drei Logineo NRW Plattformen ist freiwillig. Niemand, weder Lehrkräfte noch Schüler oder andere Personen, die für eine Nutzung in Frage kommen, kann zur Nutzung der Plattformen verpflichtet werden. Aus einer Nichteinwilligung dürfen den Betroffenen keine Nachteile entstehen. Alle drei Plattformen und die zugehörige Dokumentation wurde mitbestimmt.1Die Mitbestimmung wurde 2021 abgeschlossen.

Alles digital

Wie bei jeder in Schule genutzten Plattform sind auch zur Nutzung den Logineo NRW Plattformen Informationen zur Datenverarbeitung gemäß Art. 13/ 14 DS-GVO erforderlich. Diese Informationen finden sich jeweils an zwei Stellen.

Sie finden sich einmal bei jeweiligen Aktivierungsdialog der Plattformen. Bei allen drei Plattformen wird die Einwilligung in die Verarbeitung von personenbezogenen Daten bei Nutzung der Plattformen in elektronischer Form erteilt. Es braucht also kein Papierdokument mit einer Unterschrift!

Informationen zur Datenverarbeitung

Die Informationen zur Datenverarbeitung kann man auch außerhalb dieses Dialogs einsehen. Sie finden sich unter:

Elternanschreiben (mit Einwilligung)

Die Einwilligung kann elektronisch durch Setzen eines Häkchens erteilt werden. Bei jüngeren Schülern geht dieses jedoch nicht ohne die Erziehungsberechtigten. Damit hier alles korrekt abläuft, gibt es Elternanschreiben, die man zuvor ausgibt, bzw. verschickt und dann wieder einsammelt:

Schülergerechte Informationen zum Datenschutz

Die meisten Informationen, welche auf den Produktseiten der Logineo NRW Familie zur Verfügung gestellt werden, richten sich an Erwachsene. Aber es gibt auch Informationen auf einem für Schüler angemessenen Niveau:

Vertrag zur Auftragsverarbeitung

Schulen benötigen bei der Nutzung der Logineo NRW Plattformen gemäß Art. 28 DS-GVO und SchulG NRW einen Vertrag zur Auftragsverarbeitung, den sie mit dem Anbieter abschließen. Da die drei Plattformen von drei verschiedenen Anbietern bereitgestellt werden, braucht es auch drei solche Verträge. Sie finden sich unter:

und werden abgeschlossen wie dort beschrieben.

Die Logineo NRW Plattformen werden an den meisten Schulen von einer Lehrkraft administriert. Manchmal sind es auch zwei Personen und gelegentlich auch die Schulleitung selbst. Damit diese Tätigkeit datenschutzrechtlich abgesichert ist, sollte mit dem bzw. den Administratoren eine sogenannte Administratorenverpflichtung abgeschlossen werden. Diese gilt dann für alle administrativen Tätigkeiten, welche die Personen ausüben, muss aber entsprechend erweitert werden, wenn es um mehr als eine Plattform geht.

Fragen und Antworten zu Logineo NRW und Datenschutz

Auch wenn eigentlich alles in den Dokumenten zu den drei Plattformen von Logineo NRW steht, was man zum Datenschutz wissen sollte, hier noch einmal die wichtigsten Punkte als FAQ:

  • Kann man zur Nutzung der Logineo NRW Plattformen gezwungen werden?
    • Nein, die Nutzung ist freiwillig. Die Einwilligung wird bei der ersten Anmeldung am System, der Account Aktivierung gegeben. Sie kann jederzeit widerrufen werden.
  • Muss zur Nutzung der Logineo NRW Plattformen eine Einwilligung in die Verarbeitung von personenbezogenen Daten gegeben werden?
    • Ja, das ist erforderlich. Ohne geht es nicht. Aber niemand kann zur Einwilligung gezwungen werden.
  • Können Kinder eigenständig in die Nutzung der Logineo NRW Plattformen einwilligen?
    • Nein, bei Kindern und Jugendlichen ist eine Einwilligung der Erziehungsberechtigten erforderlich. Etwa ab dem Alter von 15 oder 16 Jahren sind Jugendliche aber in der Lage die Folgen und Tragweite ihrer Entscheidung abzuschätzen und die Einwilligung eigenständig zu erteilen. Die Eltern sollten trotzdem zumindest informiert werden.
  • Können Kinder eigenständig in die Einwilligung widerrufen?
    • Das können sie durchaus, vor allem wenn es um das Videokonferenz Tool geht. Wenn sie die Kamera nicht einschalten, widerrufen sie zumindest für den Augenblick ihre Einwilligung und das ist zu akzeptieren.
  • Ich habe eingewilligt. Muss ich dann auch mit meinem privaten Endgerät damit arbeiten?
    • Nein, die Nutzung der Plattformen mit privaten Endgeräten ist freiwillig. Lehrkräfte benötigen hierzu außerdem auch eine Genehmigung der Schulleitung für ihr privates Endgerät.
  • Muss ich bei der Nutzung der Videokonferenz Komponente, die Kamera einschalten?
    • Nein, das ist eine Entscheidung im Rahmen des Rechts auf informationelle Selbstbestimmung. Ich kann die Kamera jederzeit ausschalten. Gleiches gilt auch für den Ton. Auch das Mikrofon kann jederzeit deaktiviert werden.
  • Entstehen mir keine Nachteile, wenn ich keine Einwilligung erteile?
    • Es dürfen bei einer nicht-Einwilligung keine Nachteile entstehen. Die Schule muss dann dafür sorgen, dass wichtige Information diese Personen auf alternativen Wegen erreichen.2In der Praxis kann das eine Schule jedoch schon vor enorme Herausforderungen stellen.
  • Welche Daten dürfen in der Bildungscloud von Logineo NRW gespeichert werden?
    • Die Bildungscloud ist für pädagogische Daten gedacht, nicht für pädagogische Dokumentation oder personenbezogene Daten aus der schulinternen Verwaltung. Hierfür gibt es die Verwaltungscloud.
  • Welche Daten dürfen in Logineo NRW LMS gespeichert werden?
    • Das Landes Moodle ist ausschließlich für die Verarbeitung von pädagogischen Daten vorgesehen. Entsprechend ist es auch im Vertrag zur Auftragsverarbeitung festgehalten.3Verarbeitung von Daten im Rahmen einer Aufgabenerfüllung
      Schülerinnen und Schüler, Eltern:
      ▪ Stammdaten
      ▪ pädagogische Inhaltsdaten (z. B. personalisierte Arbeitsergebnisse, …)
      ▪ Stand des Lernprozesses
      ▪ private E-Mail-Adresse
      authentifizierte Nutzerinnen und Nutzer:
      Nutzungsdaten:
      ▪ freiwillig bereitgestellte
      Dokumente, Dateien und Daten
      ▪ Kommunikationsinhalte
       Pädagogische Daten meint hier die von zugeteilten und bearbeiteten Aufgaben, Feedback und Bewertungen, von den Schülern erstellte Artefakte, Kommunikationsinhalte, Umfragebeiträge usw.
    • Es gibt auch noch das von QUA-LIS entwickelte Modul zur digitalen Lern- und Entwicklungsplanung in Logineo NRW LMS. Diese Inhalte im LMS des Landes zu verarbeiten, widerspricht den im Vertrag zur Auftragsverarbeitung vorgesehen Daten. Schulen, welche dieses Modul nutzen, verarbeiten die dabei anfallenden personenbezogenen Daten, die durchaus zu den sogenannten besonderen Kategorien nach Art. 9 DS-GVO gehören können, außerhalb des Vertragsverhältnisses. Das MSB sieht darin, wie sich aus Rückfragen ergab, scheinbar kein Problem. Von QUA-LIS selbst heißt es: “Für sensible personenbezogene Daten ist die Ablage im LOGINEO NRW Datensafe vorgesehen.
      Zur Ausarbeitung der individuellen Förderpläne wird den Lehrkräften in dem Modul zur Lern- und Entwicklungsplanung dazu ein Template zur Verfügung gestellt, das die Ausarbeitung eines Förderplanes vorstrukturiert. Inhaltliche Arbeitsvorschläge finden die Lehrkräfte In der entsprechenden Arbeitshilfe Praxisbeispiele: https://www.schulentwicklung.nrw.de/q/upload/Inklu- sion/Ueberarbeitung_LEP/QUA-LiS_NRW_Arbeitshilfe_LEP.pdf4In der Arbeitshilfe finden sich Beispiele für Einträge, die den Charakter von medizinischen Diagnosen haben und ganz sicher nicht im LMS verarbeitet werden sollten unter den aktuellen Voraussetzungen..
  • Welche Daten dürfen in Logineo NRW Messenger verarbeitet werden?
    • Der Messenger ist vor allem zur Kommunikation im Unterricht gedacht. Entsprechend dürfen dort pädagogische Inhalte kommuniziert werden. Gleiches gilt auch für das Videokonferenz Tool. Es geht um kurzfristige Kommunikation von Inhalten.5“Die Nutzung des Messengers dient kurzfristigen Kommunikationszwecken wie beispielsweise organisatorischen Absprachen oder dem Bündeln von Arbeitsergebnissen.” Rahmenmediennutzungsordnung Auch Lehrkräfte können untereinander über die Plattformen kommunizieren. Ausgeschlossen von der Verarbeitung im Messenger sind jedoch Dokumente mit sensibleren personenbezogenen Daten wie Notenlisten oder Fördergutachten.6“Die Speicherung oder der Austausch von Dokumenten mit sensiblen personenbezogenen Daten wie beispielsweise Notenlisten oder Fördergutachten sind untersagt.” Rahmenmediennutzungsordnung. Auch wenn der Messenger als sehr sicher gilt, würde es durch solch einen Austausch zu unkontrollierten Speicherungen dieser Daten kommen. Die ausgetauschten Daten verblieben solange auf den Servern des Messengers gespeichert, bis der Chatraum gelöscht wird.
  • Wo in Logineo NRW dürfen personenbezogene Daten der pädagogischen Dokumentation und der schulinternen Verwaltung verarbeitet werden?
    •  Dafür gibt es die Verwaltungscloud von Logineo NRW (Basis Plattform). Wichtig ist, dass besonders sensible Dokumente wie Fördergutachten, Beurteilungen und ähnlich nur im Daten-Safe gespeichert und verarbeitet werden?
  • Kann Logineo NRW zur Datensicherung verwendet werden?
    • Logineo NRW kann zur vorübergehenden Sicherung von personenbezogenen Daten von dienstlichen Endgeräten genutzt werden. Die Plattform ist jedoch nicht für Archiv Zwecke eingerichtet.7“LOGINEO NRW ist nicht für eine Langzeitdatenspeicherung ausgelegt.” Rahmenmediennutzungsordnung Für eine dauerhafte Sicherung von personenbezogenen Daten müssen Server der Schule genutzt werden, die für die Speicherung dieser Arten von Daten eingerichtet sind.
  • Darf die Schulleitung Logineo NRW Messenger mit Video Tool zur Leistungs-und Verhaltenskontrolle von Lehrkräften nutzen?
    • Nein, das ist nicht zulässig. Eine Ausnahme gibt es jedoch bei Hospitationen im Rahmen der Wahrnehmung von Führungsaufgaben bei der Beschaffung von Informationen und Eindrücken zur Unterrichts-und Schulkonzeptentwicklungoder bei dienstlichen Beurteilungen. Hier gelten die normalen Regeln wie auch im Unterricht. Entsprechend den Vereinbarungen der Schule sind Lehrkräfte vorab zu informieren.
    • Auch die anderen Logineo NRW Plattformen dürfen nicht zur Leistungs-und Verhaltenskontrolle von Lehrkräften genutzt werden.
  • Darf die Schulleitung gleichzeitig Administrator einer Logineo NRW Plattform sein?
    • Es gibt kein absolutes Vorbot, welches es Schulleitungen untersagt, die Funktion des Administrators an der eigenen Schule auszuüben, doch es sollte nach Möglichkeit die Ausnahme sein. In der Rahmendienstvereinbarung zwischen dem MSB und den Hauptpersonalräten heißt es hierzu: “Grundsätzlich ist die LOGINEO NRW Administration nicht durch die Schulleitung vorzunehmen, Ausnahmen erfordern das Einvernehmen mit dem Lehrerrat. Alle Personen, die diese Tätigkeiten übernehmen, sind über eine Administratorenverpflichtung auf Ihre Rechte und Pflichten hinzuweisen.” Vor alle an kleinen Schulen dürften die beiden Rollen auf eine Person fallen. Wichtig ist, dass es ein Vertrauensverhältnis gibt zwischen Schulleitung und Lehrkräften. Zur Absicherung gibt es eine Protokollierung aller Administrationstätigkeiten in Logineo NRW. Mit dieser ließe sich nachverfolgen, ob eine Schulleitung sich mit den Administratorrechten unbefugt Zugriff auf ein Nutzerkonto und seine Inhalte verschafft hat.
  • Darf die Schulleitung in mein E-Mail Konto hineinschauen?
    • Nein, das ist nicht zulässig. Es gibt aber eine Ausnahme, die entsprechend in der Rahmenmediennutzungsordnung beschrieben wird: “Wenn in Ausnahmesituationen, die keinen Aufschub dulden, Inhalte eines LOGINEO NRW-Postfachs für dienstliche Zwecke benötigt werden, kann der Zugriff auf das E-Mail-Postfach einer Benutzerin oder eines Benutzers auf Anweisung des oder der Vorgesetzten und nur unter Hinzuziehung eines Mitglieds des Lehrerrats bzw. der Personalvertretung im Vier-Augen-Prinzip durchgeführt werden. Der oder die Betroffene ist über den Zugriff unverzüglich zu unterrichten.”

Stand 12/2022

Veröffentlicht am

Verarbeitung von Gesundheitsdaten durch Schulen – Coronaselbsttests

Lesezeit: 3 Minuten
Einen Tag, nachdem dieser Beitrag online ging, erschien eine aktualisierte Fassung der Schrift der LDI NRW. Der Beitrag ist entsprechend angepasst.

Die Corona Pandemie stellt Schulen auch in Bezug auf Datenschutz vor manche Herausforderung. Welche Informationen darf eine Schule über die Anzahl von Infektionen an der Schule und in einzelnen Klassen weitergeben? Ist es zulässig, die Namen von Infizierten Personen in der Klasse selbst bekannt zu machen? Zu einigen Unsicherheiten trug das Ministerium für Schule und Bildung nicht unwesentlich durch seine Vorgaben bei. Dabei ging es vor allem um die Selbsttestungen bis zu den Osterferien, für die es nach Informationen des Ministeriums möglich sein sollte, auf eine Einwilligung zu verzichten. Stattdessen setzte man auf eine Widerrufslösung in Kombination mit einer Einwilligung durch eine einwilligende Handlung durch Teilnahme am Selbsttest.1“Auf Basis dieser Verfahrensvorgaben ist festzustellen, dass datenschutzrechtlich eine Einwilligung nach Art. 7 DS-GVO zur Erhebung der Gesundheitsdaten (= Testergebnis) in der Schule vorliegt. Diese datenschutzrechtliche Einwilligung muss nicht zwingend schriftlich erklärt werden, sondern mit der eigenen aktiven Teilnahme am Test, ohne Handlung einer anderen Person, bei gleichzeitigem Verzicht auf eine Widerspruchserklärung ist eine Einwilligung in die Erhebung des Testergebnisses erteilt. Über die Umstände der Testungen wurde auch informiert. Dem steht auch nicht der Erwägungsgrund 32 zur DS-GVO entgegen. Danach sollen Stillschweigen oder Untätigkeit der betroffenen Person keine Einwilligung darstellen. Ein solcher Fall ist hier jedoch nicht gegeben, denn mit dem vg. Verhalten ist in diesem Kontext das Einverständnis durch eindeutige bestätigende Handlung klar signalisiert.” Schreiben des MSB, Referat 212, vom 26.03.2021

Mittlerweile hat sich die Sachlage geändert. Mit der Wiederaufnahme des Unterrichtsbetriebs nach den Osterferien trat die geänderte Coronabetreuungsverordnung (CoronaBetrVO) in Kraft und aus den freiwilligen Selbsttests wurden verpflichtende Selbsttests.

Nachdem wohl vor allem vor den Osterferien sehr viele Anfragen bei der Aufsichtsbehörde des Landes NRW eingegangen waren, veröffentlichte diese zum 20.04.2020 die Schrift Coronaselbsttests – Verarbeitung von Gesundheitsdaten durch Schulen.pdf, in welcher sie sich mit den datenschutzrechtlichen Grundsätzen, Voraussetzungen und Grenzen der Verarbeitung von personenbezogenen Daten durch Schulen im Rahmen der Selbsttestungen auseinandersetzt. Am 28.04.2021 erschien die aktualisierte Fassung Coronaselbsttests – Verarbeitung von Gesundheitsdaten durch Schulen.pdf

Darin geht die Aufsichtsbehörde auch auf das Verfahren vor den Osterferien ein und es wird deutlich, dass sie die rechtliche Einschätzung des Ministerium für Schule und Bildung nicht uneingeschränkt teilt. Personen, die schon zuvor an der Rechtmäßigkeit des vom Land gewählten Verfahrens zweifelten, werden sich dadurch bestätigt sehen.

Die Aufsichtsbehörde befasst sich dann mit der aktuell geltenden Situation und bewertet die rechtlichen Vorgaben aus der überarbeiteten CoronaBetrVO in Bezug auf ihre Verhältnismäßigkeit. Nach einer Bewertung der Geeignetheit, Erforderlichkeit und Angemessenheit der getroffenen Regelungen, kommt sie zu dem Schluss, dass die Verhältnismäßigkeit gewahrt ist. Im letzten Teil der Schrift betrachtet die Aufsichtsbehörde die Verantwortlichkeit für die Gewährleistung des Datenschutzes an der Schule, erläutert die Verpflichtung der Schule und der beteiligten Personen, die Vertraulichkeit der Testergebnisse zu wahren, bevor es dann um die Dokumentation der Testergebnisse geht und die Übermittlung derselben an Dritte.

Gerade bei der Übermittlung der personenbezogenen Daten von Personen mit positivem Selbsttest sah man in der Aufsichtsbehörde noch einen deutlichen Klärungsbedarf und wollte nun vom Ministerium für Schule und Bildung wissen “ob, unter welchen Voraussetzungen und gegebenenfalls auf welcher Rechtsgrundlage eine Übermittlung der Testergebnisse unter dem Gesichtspunkt des Gesundheitsschutzes und der Pandemiebekämpfung an andere Personen
und/oder Stellen vorgesehen ist und zulässig sein soll.

Das Land kam dieser Aufforderung nach mit der Präzisierung einiger Vorschriften in der CoronaBetrVO.

Schulen sollten beim Umgang mit positiven Ergebnissen von Selbsttests folgende Regel beachten:

  • Das Ergebnis des eine konkrete Schülerin oder einen konkreten Schüler betreffenden Selbsttests darf unmittelbar nur dieser oder diesem bzw. den jeweiligen Erziehungsberechtigten bekanntgegeben werden.
  • Dieses muss so erfolgen, dass Dritte dabei nichts mitbekommen.
  • Bei der Herausnahme der betroffenen Person aus dem Unterricht sollte  nicht direkt offensichtlich werden, dass diese einen positiven Selbsttest hatte.
  • Bei einer positiven Selbsttestung informiert die Schule das zuständige Gesundheitsamt.
  • Eine Übermittlung der positiven Testergebnisse von Selbsttests an andere Personen oder Stellen über das Gesundheitsamt hinaus, ist nicht zulässig.
  • Die Ergebnisse der durchgeführten Selbsttests oder vorgelegten Testnachweise werden von der Schule erfasst, dokumentiert und nach 14 Tagen vernichtet.
  • Diese Daten dürfen nur den Personen zugänglich gemacht werden, die sie zur Erfüllung ihrer Aufgaben benötigen.
  • Bei einem positiven Selbsttest werden die direkten Sitznachbar*innen bzw. engen Kontaktpersonen (sog. „social bubble“) bis zum Vorliegen eines PCR-Testergebnisses des Verdachtsfalls aufgefordert, nicht nur strikt die Infektions- und Hygienemaßnahmen einzuhalten, sondern auch nicht notwendige Kontakte in der Schule zu vermeiden.
  • Die Schule darf die betroffenen Personen aus dem Umfeld des Verdachtsfalls nicht selbst über den Verdachtsfall informieren.

Letzteres müsste dann wohl das Gesundheitsamt übernehmen.

Veröffentlicht am

Neue Veröffentlichung der LDI NRW – zum Thema Verarbeitung von Gesundheitsdaten durch Schulen

Lesezeit: < 1 Minute

Mit Datum vom 22.03. 2021 hat die LDI NRW eine neue Schrift veröffentlicht, um Klarheit beim Thema Verarbeitung von Gesundheitsdaten in der Schule zu schaffen, hier bezogen auf das Thema Nichtteilnahme am Präsenzunterricht zum Schutz vorerkrankter Angehöriger – Verarbeitung von Gesundheitsdaten durch Schulen.pdf

Im PDF wird gut erklärt, welche Gesundheitsdaten eine Schule in welcher Art und Weise im Zusammenhang mit der Nichtteilnahme von Schülern am Präsenzunterricht zum Schutz vorerkrankter Angehöriger überhaupt erheben darf. Wann darf sie ein ärztliches Attest einfordern und wann ein amtsärztliches Gutachten? Es geht darüber hinaus auch um die oft gestellte Frage, ob die Schule zum Zwecke der Einholung eines amtsärztlichen Gutachtens Daten an das Gesundheitsamt weiterleiten darf. Die Antwort lautet: die Schule benötigt hierfür immer eine Einwilligung der Betroffenen, da es keine Rechtsgrundlage dafür gibt, wie in der Schrift ausführlich erläutert wird.

Die Schrift knüpft an an die im November 2020 erschienene Schrift Maskenpflicht und Masernschutz – Verarbeitung von Gesundheitsdaten durch
Schulen.pdf, welche Schulleitungen rechtliche Hilfestellungen gibt, wenn es um die Verarbeitung von personenbezogenen Daten in den im Titel genannten Zusammenhängen geht. Die Schrift erklärt am Beispiel von verschiedenen Fallkonstellationen, wo die datenschutzrechtlichen Grenzen und Möglichkeiten für das Handeln der Schulleitungen liegen.

Veröffentlicht am

Eltern zu einer Besprechung per Videokonferenz einladen

Lesezeit: 2 Minuten

In Zeiten von Corona möchten viele Schulen gerne Elterngespräche in Form von Videokonferenzen anbieten. Es geht dabei sowohl um Elterngespräche in Format 1 zu 1 wie auch Informationsabende, bei denen Eltern über die Arbeit der Schule informiert werden sollen. Auch hierbei ist das Thema Datenschutz zu beachten. Eltern müssen über die zur Teilnahme an einer Videokonferenz erforderliche Datenverarbeitung gemäß Art. 13 DS-GVO informiert werden und dann eine Einwilligung erteilen. Das ist auch der Fall, wenn sie zur Teilnahme an einer Videokonferenz ein bestehendes schulisches Konto ihres Kindes nutzen, da die Einwilligung in die Verarbeitung von personenbezogenen Daten bei der Nutzung dieses Kontos das Kind betraf, nicht aber die Eltern selbst.

Da es sich bei den Teilnehmern um Erwachsene handelt und die Videokonferenzen nur einzelne oder gelegentliche Veranstaltungen sind, kann die Einwilligung durch die Eltern hier auch durch sogenanntes konkludentes Handeln1“Im Zivilrecht spricht man von einer konkludenten Willenserklärung, wenn sie ohne ausdrückliche Erklärung durch schlüssiges Verhalten abgegeben wird. D.h. die Willenserklärung wird aus den Handlungen des Erklärenden abgeleitet.” Quelle Wiktionary gegeben werden. Die Eltern willigen in die Datenverarbeitung ein, indem sie an der Videokonferenz teilnehmen. Schalten sie dazu beispielsweise die Kamera ein, willigen sie in die Verarbeitung des Bildsignals ein.

Praktische Umsetzung

Die Schule übermittelt den Eltern eine Einladung, in welcher die Informationen zur Datenverarbeitung gegeben werden wie auch die Einwilligungserklärung, letztere jedoch ohne Unterschriftenfeld. Wichtig wie immer bei der Einwilligung ist das Angebot einer Alternative für Eltern, die nicht an einer Videokonferenz teilnehmen möchten.

Beispiel Elterngespräch
Beispiel Informationen über die Schule
Beispiel Elterngespräch

Die Vorlage geht davon aus, dass die Eltern den Zugang des Kindes zu Logineo NRW Messenger für die Videokonferenz mit den Lehrkräften der Schule nutzen.

Hinweis

Bitte achten Sie darauf, dass für Videokonferenzen, in welchen es um vertrauliche oder sensible Inhalte gehen soll, sichere und vertrauenswürdige Anbieter genutzt werden. Ein Vertrag zur Auftragsverarbeitung zwischen Schule und Anbieter sollte vorliegen.

03/2021

Veröffentlicht am

Vorlagen für IServ

Lesezeit: < 1 Minute

IServ ist ein mittlerweile gut etablierter deutscher Schulserver der vor allem damit glänzen kann, dass er komplett auf nicht-EU Dienste verzichtet. Er setzt sehr stark auf Open-Source Komponenten1BigBlueButton (Videokonferenzen), DAViCal (Kalender-Backend), Etherpad Lite (Texte), FullCalendar (Kalender-Frontend), LibreOffice Online (Office), Matrix (Messenger-Backend), opsi (Softwareverteilung), Symfony (Grundsystem), … Quelle: IServ-Dokumentation.pdf , besteht aber auch aus proprietären Eigenentwicklungen.2Die FOOS Community würde gerne den kompletten IServ “befreit” sehen.

IServ ist ein modulares Server Produkt, welches neben einer lokalen Nutzung auch einen Zugriff über ein Webportal erlaubt. Über die unterrichtliche Nutzung bietet der Server noch Funktionen zur Verwaltung von Geräten und des schulischen Netzwerks. Mittlerweile wird der Server auch als SAAS komplett Cloud basiert angeboten. Auch ein Videokonferenz Modul auf Basis von BigBlueButton ist im Angebot.

Auch wenn IServ spezielle Module wie die Raumbuchung, Curriculum, Kurswahlen, Vertretungs- und Mensa-Pläne und mehr anbietet, ist die Plattform in erster Linie ein Server für die pädagogische Arbeit. Das heißt, es ist nicht möglich, auf einem einzigen IServ sowohl Unterricht als auch schulinterne Verwaltung abzubilden. Wer das tun möchte, braucht eine zweite, kostenpflichtige Instanz. Diese kann durchaus auf dem selben Server betrieben werden, wenn beide Instanzen logisch voneinander getrennt sind, etwa durch Betrieb auf zwei virtuellen Servern. Aber auch hier gibt es Grenzen, die mit dem Sicherheitskonzept des IServ zu tun haben3Im Handbuch heißt es unter 9.5.6 Verschlüsselung – “Die Datenübertragung beim Zugriff auf die IServ Weboberfläche erfolgt immer verschlüsselt. Gespeichert werden die Daten auf den Festplatten des Servers jedoch unverschlüsselt, damit die Benutzer jederzeit von überall aus auf ihre Daten zugreifen können und der Server auch bei einem Stromausfall ohne Eingriff eines Administrators starten kann. Zusätzlich besteht die Möglichkeit, Daten mit erhöhtem Schutzniveau auf dem Server abzulegen, falls diese vor der Übertragung mit einer geeigneten Software verschlüsselt werden. Dazu können beispielsweise passwortgeschützte Zip-Archive oder verschlüsselte Container-Dateien genutzt werden.”.

IServ hält unter https://iserv.eu/downloads/privacy/ zahlreiche Dokumente bereit, welche von Schulen bei der Einführung des Schulservers genutzt werden können. Sehr umfangreiche Informationen zum Datenschutz finden sich auch in der jeweils aktuellsten Version des Handbuches.

Da öfter angefragt, gibt es hier eine kombinierte Nutzungsvereinbarung mit Informationen zur Datenverarbeitung und Einwilligung, einmal in einer Version für Schüler und dann, da die Zahl der genutzten Funktionen hier größer, für Lehrkräfte.

Veröffentlicht am

DEMAT – HSP+ – Einwilligung erforderlich?

Lesezeit: 2 Minuten

Einwilligungen der Betroffenen werden an so vielen Stellen im Schulalltag benötigt. Doch es gibt auch Bereiche, wo nicht immer klar ist, ob es eine Einwilligung braucht oder nicht. Deshalb kommt auch immer wieder die Frage auf, ob bei der Durchführung von HSP+ und DEMAT eine solche erforderlich ist. Beide Tests werden beispielsweise an weiterführenden Schulen oft eingesetzt bei den neuen Schülerinnen und Schüler im 5. Schuljahr, um zu ermitteln, wo die Kinder stehen. Später werden die Tests dann wiederholt, um zu überprüfen, ob die Fördermaßnahmen im Unterricht zu einer Verbesserung geführt haben.

Ob es nun eine Einwilligung braucht oder nicht, hängt davon ab, ob sich aus dem Schulgesetz NRW oder Erlassen eine Rechtsgrundlage ableiten lässt, welche eine Durchführung legitimiert oder ob es eine solche nicht gibt. Der entscheidende Passus im SchulG NRW ist §120 Abs. 3.

(3) Standardisierte Tests und schriftliche Befragungen von Schulanfängerinnen und -anfängern (§ 36) und Schülerinnen und Schülern dürfen in der Schule nur durchgeführt werden, soweit dies für die Feststellung der Schulfähigkeit oder des Sprachstandes, für eine sonderpädagogische Förderung oder für Maßnahmen zur Qualitätsentwicklung und Qualitätssicherung geeignet und erforderlich ist. Die Schülerinnen und Schüler sowie die Eltern sind über die wesentlichen Ergebnisse zu informieren. Aus Tests und schriftlichen Befragungen zur Feststellung der Schulfähigkeit und des sonderpädagogischen Förderbedarfs dürfen nur die Ergebnisse und der festgestellte Förderbedarf an andere Schulen übermittelt werden.”

Darüber hinaus gibt es noch Abs. 4, bei dem es um wissenschaftliche Untersuchungen, Tests und Befragungen geht.

Die Frage ist dann, fallen HSP+ und DEMAT unter wissenschaftliche Tests oder nicht? Schaut man sich BASS 10-45 Nr. 2 Wissenschaftliche Untersuchungen,
Tests und Befragungen an Schulen gemäß § 120 Abs. 4 SchulG an, sollten HSP+ und DEMAT ziemlich sicher nicht unter die Regelungen von Abs. 4 fallen.

Als Rechtsgrundlage von Interesse sein könnte auch noch BASS 14-01 Förderung von Schülerinnen und Schülern bei besonderen Schwierigkeiten im Erlernen des Lesens und Rechtschreibens (LRS). Dort findet man unter 2.1 Analyse der Lernsituation als eine Aufgabe der Schule definiert “- kognitive (z.B. Stand der Lese- und Schreibentwicklung, Denkstrategie, Wahrnehmung, Sprache),” Damit zu argumentieren, dass HSP+ unter dieser Regelung gefasst werden könnte, wäre möglich, wenn er als Teil einer LRS Diagnose genutzt würde. Zur Legitimierung des DEMAT eignet sich diese Rechtsgrundlage allerdings nicht.

Passender ist hier, wenn man sich auf §120 Abs. 3 beruft, denn HSP+ und DEMAT sind definitiv standardisierte Tests, und argumentiert, dass man die beiden Tests im Rahmen der Qualitätsentwicklung und Qualitätssicherung durchführt. Vorab werden die Eltern über die Durchführung der Tests und die erforderliche Datenverarbeitung informiert.1Anzugeben sind, welche Daten, zu welchem Zweck auf welcher Rechtsgrundlage – SchulG NRW – verarbeitet werden, wer davon betroffen ist, an wen Daten übermittelt werden – hier in pseudonymisierter Form – bzw. wer Zugriff auf die Daten hat – hier die Lehrkräfte -, wie lange die Daten gespeichert werden und welche Rechte die Betroffenen haben – hier z.B. Recht auf Auskunft. Nach Durchführung der Tests werden sie über die Ergebnisse in Kenntnis gesetzt. Nutzt man die Online Auswertung mittels HSP+, dann werden dort keine Schülernamen verwendet, sondern nur Codes. Für die Schule selbst handelt es sich bei diesen Pseudonymen um personenbezogene Daten, für den Anbieter sind sie anonym. Eine Einwilligung für die Online Auswertung sollte damit nicht erforderlich sein. Die Durchführung im Rahmen der Qualitätsentwicklung und Qualitätssicherung liefert eine plausible Rechtsgrundlage, wenn man später noch einmal testet, um zu sehen, ob die individuellen Fördermaßnahmen im Unterricht die Kinder in ihrer Entwicklung in Rechtschreibung und Mathematik weitergebracht haben oder nicht.

Veröffentlicht am

Bedarfsabfragen zur Versorgung der Schülerinnen und Schüler mit digitalen Endgeräten

Lesezeit: < 1 Minute

Im Juli 2020 legte die Landesregierung NRW ein Programm zur Sofortausstattung von Schülerinnen und Schüler mit digitalen Endgeräten auf1Es handelt sich um die “Richtlinie über die Förderung von digitalen Sofortausstattungen (Zusatzvereinbarung zur Verwaltungsvereinbarung DigitalPakt Schule 2019 bis 2024 – Sofortausstattungsprogramm) an Schulen
und in Regionen in Nordrhein-Westfalen”; RdErl. d. Ministeriums für Schule und Bildung v. 21.07.2020 – 411. Es ist nun an den Schulen, festzustellen, welche Schülerinnen und Schüler im Falle einer Schulschließung oder Quarantäne ein Leihgerät benötigen. Das MSB hat beispielhaft einige Fragen zur Abfrage der Voraussetzungen zu Hauseveröffentlicht – Beispielfragen: Ist-Zustand der Schülerinnen und Schüler.pdf

Hinweis: Es gibt von Seiten des Ministeriums für Schule und Bildung NRW keine Vorgabe, dass Schulen Bedarfe bei Schülern durch Fragebogen ermitteln müssen. Viele Schulen scheinen jedoch den Fragebogen als ein praktikables Mittel einzuschätzen und planen solche Abfragen oder führen sie bereits durch.

Nicht vergessen werden sollte, dass es sich bei dieser Abfrage um eine Datenerhebung handelt. Auch wenn die Beantwortung der Abfrage auf Freiwilligkeit beruht, ist eine Information über die Datenverarbeitung gemäß Art. 13 DS-GVO erforderlich. Bei der Abfrage sollte außerdem darauf geachtet werden, nur die Daten zu erheben, welche tatsächlich erforderlich sind, um zu beurteilen, ob Schüler ein Leihgerät benötigen, falls sie in den Distanzunterricht gehen. Es ist durchaus möglich, auch weitere Informationen abzufragen, etwa ob ein Internetzugang vorhanden ist oder ein Arbeitsplatz, an dem in Ruhe gearbeitet werden kann.

Vorlage für eine Abfrage mit Datenschutzinformationen

Stand 08/2020

Mit Stolz präsentiert von WordPress