Schule NRW – Seite 3 – datenschutz-schule.info

Februar 19, 2020Dezember 3, 2021

Lehrer Apps und Cloud Speicher

Lesezeit: 7 Minuten

Viele Lehrkräfte nutzen schon seit Jahren Computer zur Vorbereitung von Unterricht wie auch zur Verwaltung von Noten. Excel Tabellen und analoge Lehrerkalender mit Notenteil werden heute zunehmend durch Apps auf Mobilgeräten abgelöst. Neben den großen Plattformen für die digitale Organisation des Schulalltags mit digitalem Klassenbuch, Stunden- und Vertretungsplan, Absenzenverwaltung u.s.w. gibt noch einen Markt für Apps und Plattformen, die sich an Einzelnutzer richten. Diese Angebote richten sich vor allem an Lehrkräfte, an deren Schulen es noch keine große Plattform gibt oder wo eine solche aus anderen Gründen nicht eingeführt werden kann oder soll. Apps und Plattformen für Einzelnutzer gibt es heute für alle Desktop und mobilen Betriebssysteme. Um diese soll es im Folgenden gehen. Die meisten Aussagen lassen sich jedoch auch auf die großen Plattformen übertragen, die für eine schulweite Nutzung konzipiert sind.

Mangels Dienstgeräten nutzen Lehrkräfte Apps zur Verwaltung von Noten, Absenzen, Versäumnislisten und ähnlich momentan überwiegend auf ihren privaten Endgeräten, d.h. Tablets, Smartphones, Notebooks oder auch stationären Rechnern. Wie die Anbieter für die großen Schulplattformen werben auch die Anbieter von Apps und Plattformen für Einzelnutzer mit Sicherheit und Einhaltung der DS-GVO. Trotzdem sollten Lehrkräfte bei der Auswahl eines Anbieters sehr genau hinsehen, ob sie bei der Nutzung der Plattform die rechtlichen Vorgaben aus der Schul- und Datenschutzgesetzgebung einhalten können, denn hier geht es um personenbezogene Daten von Schülerinnen und Schülern.

Genehmigung

In der Regel setzt die Verarbeitung von personenbezogenen Daten aus der Schule auf einem privaten Endgerät eine Genehmigung der Schulleitung voraus. Das ist streng genommen auch der Fall, wenn die Daten pseudonymisiert in das digitale Notenbuch eingetragen werden, denn auch dann handelt es sich noch immer um personenbezogene Daten¹, und diese unterliegen den Vorschriften aus den schul- und datenschutzrechtlichen Vorgaben des jeweiligen Bundeslandes.

Speicherort der Daten

Beim Speicherort hängt viel davon ab, wo genau die personenbezogenen Daten abgelegt werden. Speichert das App oder Programm die Daten lokal auf dem Gerät selbst oder erfolgt die Speicherung der Daten in eine Cloud? Letztere Möglichkeit nutzen einige Anbieter, um Lehrkräften einen einfachen und komfortablen Weg zu bieten, die im App eingetragenen Daten zu sichern und bei Nutzung des Apps auf mehreren Geräten die Daten zwischen den Geräten zu synchronisieren. Manche Anbieter ermöglichen damit zusätzlich einen Zugriff über ein Webinterface, welches mit einem Browser von einem beliebigen Rechner aus angesteuert wird. Was bei den großen Schulplattformen in der Regel kein rechtliches Problem darstellt, kann bei Apps und Plattformen, die sich an Einzelnutzer richten, durchaus zu einem werden. Wann das der Fall ist, ist das Hauptanliegen dieses Beitrags und das wird im Folgenden erklärt.

Lokale Speicherung

Solange ein App Daten nur lokal ablegt und die Sicherheit der verarbeiteten Daten auf dem Endgerät durch entsprechende technische Maßnahmen des App Anbieters, Sicherheitseinstellungen auf dem Gerät, Backups und verantwortungsvolles Handeln des Nutzers gewährleistet ist, ist die Nutzung aus Sicht des Datenschutzes eher unbedenklich.² Zu berücksichtigen ist für eine Bewertung jedoch auch noch das für eine Datensicherung genutzte Verfahren. Dazu mehr weiter unten.

Cloud Speicherung

Sobald eine Cloud an der Speicherung von personenbezogenen Daten aus dem App beteiligt ist, wird es aus Sicht des Datenschutz deutlich enger. Die externe Speicherung von personenbezogenen Daten aus der Schule setzt immer einen Vertrag zur Auftragsdatenverarbeitung (AVV) zwischen Schule und Anbieter voraus, sofern es sich nicht um eine von der Schule selbst betriebene Lösung handelt³. Es macht auch keinen Unterschied, wenn die App die Nutzung von nicht vom Anbieter betriebenen Cloud Diensten zulässt, etwa in Google Drive, iCloud, Dropbox, OneDrive oder NextCloud. Solange es von Seiten der Schule mit dem Anbieter des Cloud Dienstes keinen AVV gibt, ist eine Nutzung zur Sicherung oder Synchronisierung von personenbezogenen Daten durch Lehrkräfte nicht zulässig, egal um welche Art von genutztem App es sich dabei handelt.

Zu den nicht zulässigen Cloud Speichern zählen auch die Clouds der Anbieter der Hardware oder des Betriebssystem. Das ist bei iOS Geräten und Macs beispielsweise die iCloud, bei Android Geräten kann es Google Drive oder je nach Hersteller eine eigene Lösung sein, wie etwa bei Samsung. Je nach Einrichtung kann unter Windows z.B. OneDrive ein solcher Cloud Speicher sein. Egal, welcher Cloud Speicher auf einem Endgerät läuft, ob ein System- oder Hersteller-eigener oder ein anderer, wie Dropbox, solange es sich nicht um einen von der Schule offiziell genutzten Cloud Speicher handelt, müssen jegliches automatische Backup und jede Synchronisationsfunktion für die in der Lehrer App verarbeiteten personenbezogenen Daten deaktiviert werden.

Die Erfordernis zum Abschluss eines AVV besteht nach Ansicht vieler Fachleute selbst dann, wenn die Übertragung dieser Daten zwischen App und Cloud Ende-zu-Ende verschlüsselt ist, die Speicherung auf dem Server verschlüsselt erfolgt und der Schlüssel zur Entschlüsselung nur auf dem Endgerät des Nutzers hinterlegt ist⁴ Cryptomator , der Anbieter einer Open Source Verschlüsselungsplattform, beschreibt die Möglichkeit, vertrauliche Daten verschlüsselt über einen Cloud Dienst mit einem Team zu nutzen:

“DSGVO-konform über die Cloud mit deinem ganzen Team synchronisieren
Beim Einsatz von Cryptomator und einem Cloud-Service mit entsprechendem AVV kannst du Daten DSGVO-konform über die Cloud synchronisieren und mit einem ganzen Team nutzen.”

Die andere Meinung – verschlüsselte Daten sind keine personenbezogenen Daten

In diesem Beitrag wird davon ausgegangen, dass die Speicherung von personenbezogenen Daten aus der Schule in einer Cloud auch dann einen AVV braucht, wenn sie dort in verschlüsselter Form abgelegt werden und der Anbieter keine Möglichkeit hat, die Daten zu entschlüsseln. Das wäre beispielsweise der Fall, wenn die Daten mit BoxCryptor oder Cryptomator verschlüsselt werden. Der Schlüssel liegt dabei nie in der Cloud. Für den Anbieter der Cloud handelt es sich nur um nicht lesbare Daten.

Verschlüsselung ist ein gängiges Verfahren, um die verarbeiteten personenbezogenen Daten vor unbefugtem Zugriff zu schützen, auch durch den Auftragsverarbeiter. Es ist vermutlich die Mehrheit der Fachleute, die davon ausgeht, dass es sich auch mit Verschlüsselung weiterhin um personenbezogene Daten handelt.

“Die umgesetzten Schutzmaßnahmen entscheiden nicht darüber, ob es sich um eine Auftragsverarbeitung handelt oder nicht.
Wenn in Ihrem Fall der Dienst, den Sie als Unternehmen anbieten, personenbezogene Daten verarbeitet (selbst, wenn nur Ihr Kunde diese eingibt und sehen kann), sind Sie trotzdem Auftragsverarbeiter.”

meint etwa die Fachfrau Regina Stoiber auf eine Nachfrage unter einem Beitrag auf ihrer Seite.

An verschiedenen Stellen wird auf eine Aussage der bayrischen Aufsichtsbehörde verwiesen, um zu begründen, warum es sich bei verschlüsselten Daten nicht länger um personenbezogene Daten handelt. Man sollte dabei jedoch berücksichtigen, dass dieser Tätigkeitsbereicht, in welchem sich folgende Aussage findet, wie Frau Stoiber in einem Kommetar unter diesem Beitrag anmerkt, von 2013/14 stammt, also deutlich vor Beginn der Umsetzung der DS-GVO:

“Ein Teil der deutschen Datenschutzaufsichtsbehörden hält personenbezogene Daten, die mit einem starken kryptografischen Verfahren nach dem aktuellen Stand der Technik sicher verschlüsselt sind, bei einem Dienstleister für nicht personenbezogen, da er sie nicht zur Kenntnis nehmen könne. Zu dieser Gruppe der Aufsichtsbehörden gehören auch wir.”

Durch die DS-GVO dürfte diese Aussage überholt sein und wird so vermutlich auch nicht mehr von der bayrischen Aufsichtsbehörde vertreten.

Diese alte Aussage bezog sich auf Archive. Das App Lehrmeister (digitales Notenbuch), bei welcher die Daten fortlaufend verschlüsselt mit der Cloud des Anbieters abgeglichen werden und sogar der Schlüssel hinterlegt werden kann, ist mit einer Speicherung im Sinne einer Archivierung nicht vergleichbar. Der Anbieter sieht das anders.⁵ Will eine Lehrkraft dieses App nutzen, sollte sich vorher mit der Schulleitung abstimmen. Diese muss letztlich entscheiden. Ohne das Einverständnis der Schulleitung sollte man Lehrmeister oder vergleichbare Apps nicht nutzen.

Es gab vor Beginn der Umsetzung der DS-GVO zwei Meinungen bezüglich der Verarbeitung von verschlüsselten Daten und gibt sie auch heute noch. Selbst für Fachleute, die ähnlicher Meinung sind wie die bayrische Aufsichtsbehörde seinerzeit, ist aber immer eines klar:

auch wenn personenbezogene Daten so verschlüsselt sind, dass der Cloud Anbieter sie nicht zur Kenntnis nehmen kann, so kann man sie deshalb nicht wahllos jedem x-beliebigen Anbieter anvertrauen.

Ein Anbieter muss vertrauenswürdig sein, dass dort verarbeitete Daten jederzeit verfügbar sind und vertraulich bleiben. Außerdem muss die Verschlüsselung dem Stand der Technik entsprechen und gegebenfalls mit der Zeit aktualisiert werden. ⁶

Sicherung der Daten

Apps, die nicht mit einer Cloud verbunden sind, benötigen ebenfalls Möglichkeiten, die dort gespeicherten Daten regelmäßig zu sichern. Dazu sind verschiedene Verfahren üblich. Der einfachste Weg ist ein Ausdruck auf Papier. Einige Apps lassen Exporte in verschlüsselte Tabellen, PDF oder Archiv Dateien zu, die dann entweder im Dateisystem abgelegt werden oder sich per E-Mail vom Gerät aus an ein anderes Gerät senden lassen, wo sie dann gespeichert werden. Sobald E-Mail zur Übermittlung genutzt wird, kommt dafür nur ein dienstliches E-Mail Konto in Frage. Auch E-Mail Dienste laufen über externe Server und nur das dienstliche E-Mail Konto erfüllt die Anforderungen, welche Schul- und Datenschutzrecht voraussetzen. Eine Übermittlung über ein privates E-Mail Konto ist nicht zulässig, auch wenn die Übermittlung verschlüsselt erfolgt.

Fazit

Nutzen Lehrkräfte Apps zur Verarbeitung von personenbezogenen Daten von Schülern, dann ist dieses aus datenschutzrechtlicher Sicht am wenigsten probematisch, wenn es dazu keine Speicherung in einer Cloud des Anbieters braucht. Ist das App mit einer Cloud des Anbieters verbunden, dann sollte dafür nach Möglichkeit ein Vertrag zur Auftragsverarbeitung mit dem Anbieter abgeschlossen werden. Diesen kann nicht die Lehrkraft abschließen, er muss zwischen Schulleitung und Anbieter abgeschossen werden.

Vertritt man die oben beschriebene Ansicht, dass die Speicherung der Daten verschlüsselt erfolgt und der Anbieter keine Möglichkeit hat in Kenntnis der Daten zu kommen und sie damit nicht personenbezogen sind, so könnten Lehrkräfte personenbezogene Daten von Schülern auch in Apps verarbeiten, die mit einer Anbieter Cloud gekoppelt sind, für welche der Anbieter keinen Vertrag zur Auftragsverarbeitung anbietet. Das Gesagte ließe sich auch auf die Nutzung eines privaten E-Mail Kontos zur Übermittlung einer verschlüsselten Sicherungsdatei übertragen. Wichtig ist hierbei eines – es geht bei der Entscheidung, ob die Nutzung eines solchen Anbieters zulässig ist oder nicht – nicht um die der einzelnen Lehrkraft, sondern die der Schulleitung. Lehrkräfte, die hier eigenmächtig entscheiden und einen solchen Anbieter nutzen, müssen im Fall der Fälle mit Rechtsfolgen rechnen.

Stand 02/2021

Februar 15, 2020Januar 7, 2021

Signal Messenger in der Schule – Möglichkeiten und Grenzen

Lesezeit: 4 Minuten

Geht es in Schule um das Thema Messenger, ist damit meist WhatsApp gemeint. Selbst wenn eine Nutzung in Schule für die informelle Kommunikation zwischen Eltern, Schülern und Lehrkräften oder von Lehrkräften untereinander geduldet ist, heißt das nicht, dass dieser Messenger eine gute Wahl darstellt. Der Austausch von Nachrichten ist zwar Ende-zu-Ende verschlüsselt, doch Facebook, zu dem WhatsApp gehört, erhält trotzdem noch immer eine Fülle an wertvollen Meta-Informationen über die Nutzer, die sich gewinnbringend verwerten lassen, demnächst auch für die gezielte Anzeige von Werbung im Messenger. Nicht umsonst gehen einige Bundesländer soweit, Lehrkräften die Nutzung von WhatsApp in Schule komplett zu untersagen.

Eine Alternative, die in der Diskussion um WhatsApp immer wieder genannt wird, ist Signal.¹

“Edward Snowden empfiehlt Signal. Der Quellcode ist Open Source, die Verschlüsselung also nachvollziehbar (gut).
An meiner Schule sind alle bei Signal, weil der Datenschutzbeauftragte da nicht locker gelassen hat.”

Signal nutzt ein Open Source Protokoll, ist sehr sicher und ganz gewiss eine gute Alternative zu WhatApp. Trotzdem sind den Nutzungsmöglichkeiten von Signal an einer Schule Grenzen gesetzt. Warum?

Voraussetzungen zur Nutzung eines Messengers für eine offizielle Kommunikation in der Schule

Möchte eine Schule eine Messaging Plattform zur offiziellen Kommunikation in der Schule nutzen, so müssen dazu aus Sicht des Datenschutzes einige Bedingungen erfüllt sein.

(1) Vertrag zur Auftragsverarbeitung (AVV) zwischen Schule und Anbieter

Erforderlich ist ein AVV immer dann, wenn in der Schule personenbezogene Daten über einen externen Anbieter verarbeitet werden sollen. Möchte das Kollegium über einen Messenger auch Notenlisten, Informationen über Erkrankungen von Schülern und ähnlich austauschen, setzt dieses einen AVV voraus. Gleiches gilt auch, wenn der Messenger zum Austausch personenbezogener Daten zwischen Lehrkräften und Schülern oder zwischen Lehrkräften und Eltern genutzt werden soll.² Verwaltet die Schule die Nutzerkonten von Schülern, Lehrkräften und eventuell sogar Eltern, setzt dieses immer einen AVV voraus.

(2) Einwilligung in die Verarbeitung von personenbezogenen Daten

Die Verarbeitung von personenbezogenen Daten durch die Schule setzt eine Einwilligung der Betroffenen voraus, sobald sich keine Rechtsgrundlage für diese Verarbeitung aus dem Schulgesetz ergibt. Bezüglich der Nutzung eines Messengers gibt es aktuell wohl in keinem Bundesland entsprechende Rechtsgrundlagen.

(3) Freiwilligkeit der Nutzung

Die Nutzung eines Messengers kann unter den gegebenen rechtlichen Bedingungen nur auf der Basis von Freiwilligkeit erfolgen. Das bedeutet, weder Lehrkräfte, noch Schüler oder Eltern können zu einer Nutzung verpflichtet werden.

(4) Alternative Kanäle

Aus der Freiwilligkeit ergibt sich, dass Personen aus einer Nichtnutzung keine Nachteile entstehen dürfen. Die Schule muss also in der Lage sein, die über den Messenger kommunizierten Informationen immer auch auf alternativen Kanälen anzubieten. Welche dieses sind, hängt vom jeweiligen Setting ab. Es kann die Nachricht in Papierform im Fach der Lehrkraft sein oder als E-Mail, die Elternmitteilung als Brief oder ähnlich.

(5) Sicherheit

Nachrichten sollten mit Ende-zu-Ende Verschlüsselung ausgetauscht und verschlüsselt auf dem Endgerät wie dem Server des Anbieters gespeichert werden. Die Kontoerstellung sollte ohne eine Mobilfunknummer möglich sein. Metadaten sollten in möglichst geringem Umfang gespeichert werden.

(6) Europäische Anbieter und Server in der EU

Von der Möglichkeit einer datenschutzkonformen Nutzung kann am ehesten ausgegangen werden, wenn der Anbieter seinen Sitz in Europa hat, im Idealfall in der EU, im EWR³ oder in einem Land, für welches ein sogenannter Angemessenheitsbeschluss entsprechend Art. 45 DS-GVO vorliegt. Gleiches gilt für die Standorte der Server. Bei Anbietern aus den USA sollte man momentan der Sicherheit halber davon ausgehen, dass diese die Voraussetzungen für eine datenschutzkonforme Nutzung nicht erfüllen können. Dabei macht es keinen Unterschied, ob die Server des Anbieters in seinem Eigentum sind oder in dessen Auftrag betrieben werden, da für diese bei EU Standort der amerikanische CLOUD-Act gilt.⁴

Für eine offizielle Kommunikation ist Signal nicht datenschutzkonform nutzbar

Können bei einer Nutzung von Signal zur offiziellen Kommunikation alle oben genannten Voraussetzungen erfüllt werden? Die Antwort ist, nein. Zwar ist das Risiko bezüglich eines Zugriffs durch US Ermittlungsbehörden für Nutzer trotz Sitz des Anbieters und Server Standort in den USA dank der sehr sicheren Verschlüsselung extrem gering, so dass man Kriterium Nr. 6 hier eventuell vernachlässigen könnte, doch die Betreiber des Signal Messengers stellen keinen Vertrag zur Auftragsverarbeitung zur Verfügung. Und damit ist eine wesentliche Voraussetzung für eine rechtssichere Nutzung von Signal für den Austausch von personenbezogenen Daten für Schulen nicht gegeben. Dabei ist es unerheblich, dass die Schule die Konten der Nutzer nicht verwaltet. Der entscheidende Punkt ist, dass bei Signal personenbezogene Daten aus der Schule von einem externen Anbieter verarbeitet werden.

Wäre eine Nutzung von Signal zur informellen Kommunikation zwischen Lehrkräften und Eltern/ Lehrkräften und Schülern möglich?

In NRW sieht man aktuell keinen Grund, Schulen eine informelle Nutzung von Whatsapp und vergleichbaren Messengern zwischen Lehrkräften und Eltern sowie Schülern zu verbieten, solange dieses im gegenseitigen Einvernehmen geschieht. Selbst wenn dabei personenbezogene Daten ausgetauscht werden, gilt dieses nicht als dienstliche Kommunikation.⁵ Diese informelle Nutzung erfolgt quasi im privaten Bereich. Bei einer informellen Nutzung sollten die oben aufgeführten Kriterien 2 – 6 idealerweise auch erfüllt sein.

Um dienstliche Kommunikation würde es sich in dem Moment handeln, wenn die Messaging Plattform offiziell von der Schule für den Austausch von Informationen eingeführt würde.

Signal ist eindeutig WhatsApp vorzuziehen, wenn es um einen informellen Austausch zwischen Lehrkräften und Eltern sowie Schülern gehen soll, so wie er in NRW momentan zulässig ist.

Wäre es möglich, Signal zur informellen Kommunikation im Kollegium zu nutzen?

Unvorstellbar wäre ein solches Szenario sicherlich nicht, doch wenn Lehrkräfte untereinander kommunizieren, dürfte dieses eher einen überwiegend dienstlichen Charakter haben und damit wäre Signal außen vor. Selbst wenn alle sich fest vornehmen, keine personenbezogenen Daten über den Messenger zu kommunizieren, so dürfte klar sein, dass dieses in Wirklichkeit anders aussehen wird. An vielen Schulen nutzen Lehrkräfte WhatsApp, um schnell und einfach Nachrichten auszutauschen. Und obwohl jeder weiß, dass damit keine personenbezogenen Daten weitergegeben werden dürfen, so geschieht dieses doch immer wieder. Es ist eben der schnellste und einfachste Weg. Von daher kann auch von einer informellen Nutzung innerhalb eines Kollegiums nur abgeraten werden.⁶

Alternativen?

Signal ist zwar eine in Bezug auf Sicherheit sehr überzeugende Messaging Lösung, doch die Möglichkeiten einer Nutzung sind für Schulen begrenzt. Wenn es um eine Messaging Plattform geht, welche als offizieller Informationskanal genutzt werden soll, so gibt es für Schulen bessere Lösungen. Es haben sich mittlerweile eine ganze Reihe Anbieter am Markt platziert, welche Messenger Dienste anbieten, die von Schulen in Einklang mit den Vorgaben aus Schul- und Datenschutzgesetzen genutzt werden können. Die Mehrheit der angebotenen Messenger Dienste sind Bestandteil von Plattformen mit weiteren Schule interessanten Funktionen. Eine Übersicht über Anbieter solcher Plattformen findet sich in einem Padlet mit dem Namen Schulische Plattformen (Kommunikation).

Mitbestimmung

Bei der Einführung eines Messaging Dienstes als offizieller Informationskanal sollte auch das Thema Mitbestimmung berücksichtigt werden. Wie Personen im Privatbereich einen Messenger nutzen, ist ihre Sache. Doch wenn es um offizielle dienstliche Kommunikation geht, sollten Regelungen gefunden werden, welche für alle Beteiligten verträglich sind. Dazu gehören beispielsweise Vereinbarungen, an welchen Tagen und zu welchen Zeiten Nachrichten gelesen werden müssen und wann dieses nicht erwartet werden kann.

Vorlagen

Lehrkräfte, die Signal mit Eltern oder Schülern informell nutzen möchten, sollten dazu eine Einwilligung einholen.

Signal-Eltern-Einwilligung.docx

Januar 29, 2020Januar 29, 2020

Google Analytics und Schulhomepage

Lesezeit: 2 Minuten

Lange Zeit war Google Analytics ein beliebtes Tool für die Betreiber von Websites, Informationen über die Anzahl der täglichen Besucher, besuchte Seiten, verwendete Suchbegriffe und ähnlich zu erhalten. Dass man damit auch Google die Türe öffnete, umfangreich Informationen über die Website Besucher zu sammeln, war dabei nur wenigen bewusst. Auch auf Schulhomepages wurde das kostenlose Tool häufig verwendet, bis zum Beginn der Umsetzung der DS-GVO. Mit der dann einsetzenden Unsicherheit bezüglich der rechtlichen Zulässigkeit einer Nutzung verabschiedeten sich viele Schulen von Google Analytics und wechselten zu datenschutzfreundlicheren Alternativen oder verzichteten komplett auf eine Erhebung und Auswertung der Besucherzahlen.

Mittlerweile haben sich einige Veränderungen ergeben. Google hat nachgebessert bei den Administrationsmöglichkeiten in Google Analytics. Das hat auch Auswirkungen auf die datenschutzrechtliche Zulässigkeit der Nutzung dieses Tools.*

Nach Aussagen des Bayerischen Landesamtes für Datenschutzaufsicht im 9. Tätigkeitsbericht (2019) ist eine Nutzung von Google Analytics durchaus möglich, auch ohne Einwilligung, setzt dann jedoch die richtige Konfiguration des Tools voraus. Entsprechend heißt es im Bericht auf S. 30f:

Google Analytics kann datenschutzkonform eingesetzt werden. Voraussetzung dafür ist aber, dass der Website-Betreiber neben der erforderlichen Information auch die notwendigen Konfigurationen vornimmt.

Schulen, die auf ihrer Homepage noch immer Google Analytics nutzen, sollten also unbedingt prüfen, ob sie das Tool so eingestellt haben, dass keine Daten mit Google geteilt werden. Standardmäßig ist die sogenannte „Datenfreigabe“ an Google durch den Dienst aktiviert. Sie muss durch die Schule deaktiviert werden, um eine datenschutzfreundliche Nutzung zu ermöglichen. Die Einstellungen findet man unter Tab Verwaltung > Kontoeinstellungen > „Einstellungen für die Datenfreigabe“. Wie im Screenshot gezeigt, sollten keine der Optionen ausgewählt sein.

Auch wenn mit diesen Einstellungen keine Einwilligung der Seitenbesucher zur Nutzung von Google Analytics mehr einzuholt werden muss, ist eine Information über den Einsatz des Tools zur Reichweitenmessung in der Datenschutzerklärung der Homepage notwendig.

Nicht zu vergessen ist, dass auch ohne eine Weitergabe der Analytics Daten an Google ein Vertrag zur Auftragsverarbeitung mit Google weiterhin erforderlich ist und auch die IP Nummern der Nutzer nicht vollständig erfasst werden sollten.¹

Mit diesem Beitrag sollen Schulen ausdrücklich nicht motiviert werden, Google Analytics zu nutzen. Es gibt andere Werkzeuge, die aus Sicht des Datenschutz eindeutig sicherer sind. Der Beitrag richtet sich an Schulen, die das Google Tool weiterhin nutzen.

* Der Beitrag stellt die datenschutzrechtliche Lage mit Stand von Januar 2020 dar. Bitte beachten Sie, dass sich durch Änderungen Seitens Google eine neue datenschutzrechtliche Bewertung bezüglich der Zulässigkeit einer Nutzung von Google Analytics ergeben kann.

Januar 20, 2020Oktober 29, 2020

Referenz-Verarbeitungsübersicht der Medienberatung NRW

Lesezeit: 2 Minuten

Bei der Medienberatung NRW ist man schon seit Monaten sehr bemüht, das Unterstützungsangebot für Schulen zum Thema Datenschutz auszubauen. Im Rahmen dieser Arbeiten wurde zum Ende des vergangenen Jahres (2019) eine sogenannte Referenz-Verarbeitungsübersicht veröffentlicht. Das Format ist nicht unbekannt, aber aktuell noch weniger verbreitet. Das gängige Format entspricht eher den Vorlagen, wie sie auf dieser Seite bereitgestellt werden.

Das soll jedoch nicht heißen, dass die Lösung aus der Medienberatung NRW schlechter wäre. Nein, sie ist sogar sehr gut, denn sie ist sehr übersichtlich. Sie besteht aus Tabellen, die mit Tabellenblättern unterteilt sind. Das vorausgefüllte Muster deckt die verschiedenen Verarbeitungstätigkeiten, welche sich an Schulen finden, weitestgehend ab. Schulen brauchen die Vorlage nur noch ergänzen um schulspezifische Informationen und speichern die Verarbeitungsübersicht dann ab. Es ist nicht nötig, einen Ausdruck zu erstellen. Lediglich das Vorblatt mit den Informationen zum Verantwortlichen und dem Feld für eine Unterschrift sollte ausgedruckt und abgelegt werden.

Screenshot Referenz-Verarbeitungsübersicht Schulen NRW — Screenshot Referenz-Verarbeitungsübersicht Schulen der Medienberatung NRW (Link hinter dem Bild führt zur Seite der Medienberatung)

Der Download auf der Seite Referenz-Verzeichnis der Verarbeitungstätigkeiten für Schulen besteht aus zwei Dateien im XLSX Format und lässt sich mit gängigen Tabellenkalkulationsprogrammen bearbeiten.

Es ist möglich, in den Tabellen Angaben zu den technischen und organisatorischen Maßnahmen zum Schutz und zur Sicherheit der Verarbeitung zu machen. Als Ergänzung zum Referenz-Verzeichnis der Verarbeitungstätigkeiten empfehle ich meine Vorlage für ein schulisches Sicherheitskonzept sowie für ein schulisches Löschkonzept zu nutzen. Beide Vorlagen finden sich unter Verzeichnis von Verarbeitungstätigkeiten ganz unten auf der Seite.

Verarbeitungstätigkeiten einer Schule, die sich nicht in die Referenz-Verarbeitungsübersicht einordnen lassen, können problemlos auch mit Vorlagen wie auf meiner Seite bereitgestellt, ergänzt werden. Gleiches gilt auch Beschreibungen von Verarbeitungstätigkeiten, welche beispielsweise von Auftragsverarbeitern teilausgefüllt bereitgestellt werden. Es besteht kein Zwang, alle Verarbeitungstätigkeiten unbedingt in das Muster der Medienberatung zu schreiben. Wenn man sich dazu in der Lage sieht bzw. es möglich ist, dann sollte man das Muster ergänzen und wenn nicht, nutzt man eine der anderen Vorlagen. Solange man alle Verarbeitungstätigkeiten der Schule in irgendeiner Form erfasst hat, ist der Form Genüge getan, um selbst einen Überblick zu haben und im Falle der Fälle der Aufsichtsbehörde etwas vorlegen zu können.

Die Referenz-Verarbeitungsübersicht ist übrigens durchaus auch für Schulen in anderen Bundesländern von Interesse und kann auch von Schulen in kirchlicher Trägerschaft genutzt werden, sofern von dort nicht verpflichtend andere Vorlagen zur Verfügung gestellt werden. Anpassungen sind vor allem bei den genannten Rechtsgrundlagen vorzunehmen und den eingesetzten Anwendungen.

September 29, 2019Oktober 10, 2019

Das Einholen von Einwilligungen attraktiv gestalten

Lesezeit: 2 Minuten

Das Thema Einwilligungen bereitet nahezu jeder Schule Bauchschmerzen. Sämtliche Verarbeitung von personenbezogenen Daten, für die es keine rechtliche Grundlage aus dem Schulgesetz gibt, braucht es die Einwilligung der Betroffenen. Mit zunehmender Digitalisierung von Unterricht nimmt so die Zahl der erforderlichen Einwilligungen zu, zusätzlich zu den bereits seit Jahren erforderlichen für Öffentlichkeitsarbeit über die Homepage der Schule und die lokale Presse. Das Einholen von Einwilligungen bei den Betroffenen ist ein Rechtsakt und die Formulare, welche dafür genutzt werden, sind entsprechend wenig ansprechend.

Gerade wenn es um die schulische Arbeit mit Medien, Apps und Plattformen geht, bietet es sich an, das Einholen der erforderlichen Einwilligungen mit Informationen zu verbinden, welche den Eltern einen lebendigen Eindruck von der Medienarbeit gibt. Man verbindet das Notwendige mit dem Schönen und gibt so dem Thema Datenschutz einen sinnstiftenden Rahmen.

Eine Möglichkeit, dieses umzusetzen bietet sich mit der folgenden Vorlage. Diese ist als ein kleines mehrseitiges Heft gestaltet, welches neben der Medienarbeit im Unterricht auch noch das Thema Öffentlichkeitsarbeit beinhaltet. Im Anhang finden sich umfangreiche Hinweise zur Nutzung und Anpassung. Das Heft ist ausgelegt für Grundschulen und der Einsatz bietet sich vor allem bei der Anmeldung neuer Schüler an, entweder im Rahmen der Anmeldung selbst, bei einem Kennenlernnachmittag oder einem Elternpflegschaftsabend.

DinA4 Version

Beinhaltet: Erstellung und Nutzung von Foto, Video und Audio im Unterricht, Nutzung von Antolin und Anton, Vorführung und Weitergabe von Medienprodukten aus dem Unterricht, Veröffentlichungen auf der Schulhomepage und in der Presse.

Datenschutz Einwilligung Sammlung.docx
Datenschutz Einwilligung Sammlung.odt
Datenschutz Einwilligung Sammlung.pdf (zum Ansehen, mit Markierungen, wo Anpassungen/ Ergänzungen)

DinA5 Version

Für diese Version wurde das Layout von Steffie Maurer auf A5 so angepasst, dass die Seiten auf A4 gedruckt und dann geheftet werden können. Die Seiten für die gesammelten Entscheidungen und die eigentliche Einwilligung kann man den obigen DinA4 Versionen entnehmen. (Auch im PDF könnte man mit einem geeigneten Programm die eigene Schule, den Namen der Schulleitung, den Datenschützer und die Anschrift der Schule ergänzen.)

allgemein Datenschutz Broschüre.pdf

Swift Publisher Version (DinA5)

Datenschutz Broschüre allgemein.spub.zip

September 7, 2019März 22, 2023

Austausch von Grundschule und Kita

Lesezeit: < 1 Minute

Zwischen Grundschule und weiterführenden Schulen findet ein regelmäßiger Austausch statt. Es geht darum, dass Lehrkräfte der Grundschulen ihren Kolleginnen und Kollegen an den aufnehmenden weiterführenden Schulen hilfreiche Informationen zu den ehemaligen Grundschülern geben. Dieses findet im Rahmen von Erprobungsstufenkonferenzen statt und ist durch § 10 Abs. 4 BASS 13-21 Nr. 1.1 legitimiert. Dort heißt es

(4) Für Zusammensetzung, Stimmberechtigung und Verfahren der Erprobungsstufenkonferenzen gilt § 50 Absatz 2 Schulgesetz NRW. Den Vorsitz führt die Schulleiterin oder der Schulleiter oder eine mit Koordinierungsaufgaben beauftragte Lehrkraft. Die Lehrkräfte, die die Schülerin oder den Schüler in der Grundschule unterrichtet haben, können an den Erprobungsstufenkonferenzen teilnehmen.

Es braucht also keine Einwilligung der Erziehungsberechtigten.

Anders sieht dies aus, wenn Informationen zwischen Kita und Grundschule ausgetauscht werden sollen. Möchte die Kita der Grundschule schriftliche Unterlagen aus ihrer Dokumentation an die Grundschule übergeben, so braucht es dazu eine Einwilligung der Erziehungsberechtigten in die Übermittlung von personenbezogenen Daten. Diese muss gegenüber der Kita abgegeben werden, da sie in diesem Fall die Daten verarbeitende Stelle und damit verantwortlich ist.

Geht es nur um einen mündlichen Austausch, so reicht dafür eine Entbindung von der Schweigepflicht. Diese kann auch von Seiten der Grundschule eingeholt werden. Die Vorlage ist entsprechend ausgelegt. Nach den Hinweisen zur Nutzung folgt eine Alternativversion mit einer kleinen Abänderung bezüglich der Angabe der Kita. Statt einer handschriftlichen Eintragung durch die Eltern, kann die Schule hier eine Liste der infrage kommenden Kitas anlegen und die Eltern kreuzen dort die Kita ihres Kindes an.

Entbindung von der Schweigepflicht – Kita.docx

Benötigt die Schule eine Entbindung von der Schweigepflicht für einen Facharzt oder eine andere Person oder Stelle, dann empfiehlt es sich, ein anderes Formular zu nutzen oder das obige entsprechend abzuwandeln.

Juli 3, 2019Mai 19, 2022

NextCloud – Plattform – Datenschutz für Schulen mit Open Source

Lesezeit: 2 Minuten

NextCloud ist eine Open Source Plattform, die für Schulen gut geeignet ist, für Teamarbeit im Kollegium, zur Abbildung von schulischen Organisationsstrukturen und -abläufen und zur Durchführung von Unterricht. Die Plattform zeichnet sich durch Flexibilität aus, einfache Bedienung und sehr gute Sicherheitsmerkmale¹. Eine Dateiablage, ein ausgefeiltes Rechte- und Rollenmanagement für Nutzer und Ressourcen, Kollaborationswerkzeuge wie ein OnlineOffice, ein Messenger, ein Kalender, Verschlüsselung, 2-Faktor-Authentifizierung und weitere Module ermöglichen eine sichere Nutzung für Schüler und Lehrkräfte. Man kann die kostenlose Plattform als Schule selbst aufsetzen, durch den Schulträger oder einen von diesem beauftragten Dienstleister betreiben lassen oder man nimmt die Dienste eines anderen Anbieters in Anspruch. Neben diversen großen Webspace Anbietern gibt es auch Anbieter, die sich auf den Bereich Schule spezialisiert haben. Einer von diesen ist beispielsweise EduDocs aus Lübeck. Dort hat man die Möglichkeit, die schulische NextCloud so einzurichten, dass sie den datenschutzrechtlichen Vorgaben aus Nordrhein Westfalen entspricht.² Anders als bei großen internationalen Anbietern von Plattformen braucht eine Schule sich mit einer in Deutschland betriebenen NextCloud keine Sorgen machen wegen einer Verarbeitung von personenbezogenen Daten auf Servern außerhalb der EU und den damit einhergehenden datenschutzrechtlichen Problemen.

Die Nutzung einer schulischen NextCloud bedeutet auch immer, es werden personenbezogene Daten von Schülern und Lehrkräften verarbeitet. Dafür braucht es eine Einwilligung. In die Vorlage integriert sind eine Nutzungsvereinbarung und Informationen zur Datenverarbeitung in der NextCloud. Da sich die Nutzung für Schüler und Lehrkräfte deutlich unterscheidet, gibt es zwei Vorlagen.³ Die Vorlage für Schüler ist zusätzlich in vereinfachter Sprache abgefasst, so dass auch Schüler und Personen mit geringeren Deutschkenntnissen die Informationen verstehen können.

Mai 19, 2019Mai 24, 2019

Datenübermittlung an den Schulträger zur Feststellung des Bedürfnisses?

Lesezeit: 2 Minuten

Ein Schulträger bittet eine Grundschule um die Übermittlung einer Liste mit den Namen der Schüler, den von der Schule ausgesprochenen Empfehlungen (für eine weiterführende Schule) und der tatsächlichen Schulwahl.

Darf bzw. muss die Schule dem Schulträger diese personenbezogenen Daten übermitteln?

Grundsätzlich gilt nach §120 Abs. 5 Satz 1 – SchulG NRW

„(5) Die in Absatz 1 Satz 1 genannten Daten dürfen einer Schule, der Schulaufsichtsbehörde, dem Schulträger, der unteren Gesundheitsbehörde, dem Jugendamt, dem Landesjugendamt, den Ämtern für Ausbildungsförderung, dem Landesamt für Ausbildungsförderung sowie den Ausbildungsbetrieben der Schülerinnen und Schüler an Berufskollegs nur übermittelt werden, soweit sie von diesen Stellen zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben benötigt werden.“

Da der Schulträger für äußere Schulangelegenheiten zuständig ist, ist bei der gestellten Anfrage zweifelhaft, auf welcher Rechtsgrundlage diese erfolgen soll.¹

Es ist zu vermuten, dass die Anfrage des Schulträger im Zusammenhang mit der Feststellung des Bedürfnisses nach §78 Abs. 5 – SchulG NRW erfolgt ist.

“(5) Die Entwicklung des Schüleraufkommens und der Wille der Eltern sind bei der Feststellung des Bedürfnisses zu berücksichtigen.”

Entsprechend Abs. 2.1 Abschnitt c Satz 4 des Runderlasses zur Einrichtung und Auflösung von weiterführenden allgemeinbildenden Schulen und Berufskollegs kann der Schulträger zur Feststellung des Bedürfnisses eine Befragung vornehmen.

“Ein geheimes Verfahren im strengen Sinne ist nicht zwingend erforderlich; es muss aber gewährleistet sein, dass Namen und Votum der einzelnen Erziehungsberechtigten vertraulich behandelt und dienstlich geheim gehalten werden.“

Der Schulträger darf also im Rahmen seiner Aufgabenerfüllung nach §78 SchulG NRW Namen der Eltern und Votum als Ausdruck des Elternwillens in Erfahrung bringen. Allerdings setzt diese eine durch den Schulträger selbst durchgeführte Erhebung bzw. Befragung voraus und es geht um die Erziehungsberechtigten, nicht die Kinder. Es gibt in §78 keine Stelle, aus welcher sich ableiten lässt, dass der Schulträger einen rechtlichen Anspruch auf die tatsächliche Schulwahl einzelner Kinder und die von der Schule abgegebene Empfehlung hat.

Der Schulträger benötigt die von ihm angefragten personenbezogenen Daten eindeutig nicht, um seiner Aufgabenerfüllung nach §78 SchulG NRW nachzukommen. Hier würde auch eine anonymisierte Statistik der Schule ausreichen. Alleine dass die vom Schulträger angefragten personenbezogenen Daten der Schüler diesem dienlich oder nützlich sind, reicht als Rechtsgrundlage nicht für eine Übermittlung durch die Schule aus.²

Wäre die Schule Willens, die angefragten Daten an den Schulträger zu übermitteln, so wäre dieses in diesem Falle nur auf der Grundlage einer Einwilligung der Betroffenen möglich.

Bleibt der Schulträger trotz allem der Meinung, dass die Schule ihm gegenüber verpflichtet ist, die gewünschten personenbezogenen Daten zu übermitteln, so muss er in der Lage sein, eine rechtliche Begründung zu liefern.³

Dass der Schulträger dazu in der Lage sein wird, ist aufgrund der Rechtslage nicht vorstellbar.

Die Antwort kurz gefasst:

Der Schulträger hat keinen aus dem Schulgesetz NRW ableitbaren rechtlichen Anspruch auf die Übermittlung der von ihm angefragten personenbezogenen Daten von Schülerinnen und Schülern der Schule.

Mai 11, 2019Juni 23, 2019

Antolin & Datenschutz

Lesezeit: 2 Minuten

Antolin Raabe

Vor allem an Grundschulen beliebt ist die Online Plattform zur Förderung der Lesekompetenz, Antolin. Betrieben wird die Plattform von der Westermann Verlagsgruppe, und da auf der Plattform Nutzerdaten von Schülern und Lehrkräften erhoben und verarbeitet werden, wird entsprechend Art. 28 DS-GVO ein Vertrag zur Auftragsverarbeitung (AVV)¹ angeboten. Diesen müssen Schulen mit Westermann abschließen, um das Angebot datenschutzkonform an der Schule nutzen zu können. Oftmals erwerben Schulträger eine Lizenz für alle ihre Grundschulen. Damit sind sie Vertragspartner/ Lizenznehmer von Westermann. Trotzdem muss jede Schule einen eigenen AVV mit Westermann abschließen.

Wichtig ist dabei, dass die Schulleitung in Person den AVV abschließt und selbst unterschreibt. Dieses kann nicht von Lehrkräften übernommen werden!

Der unterschriebene AVV wird dann an Westermann geschickt, dort gegengezeichnet und ist damit gültig. Die Kopie, welche man zurück erhält, gehört zur Dokumentation des Verfahrens im Verzeichnis der Verarbeitungstätigkeiten. Für dieses braucht die Schule eine Beschreibung der Verarbeitungstätigkeit Antolin.

Außerdem ist es erforderlich, die Einwilligungen der Betroffenen einzuholen, da mit der Nutzung von Antolin personenbezogene Daten verarbeitet werden, deren Verarbeitung nicht auf der Grundlage des Schulgesetzes entsprechend Art. 6 lit. e legitimiert ist. Einwilligen müssen nicht nur die Schüler, sondern auch die Lehrkräfte, da auch deren Daten in Antolin verarbeitet werden, wenn sie als Nutzer dort angelegt werden und anschließend ihre Schüler in der Plattform betreuen. Sie kommentieren, stellen Quiz-Fragen und es fallen Nutzungsdaten an.

Als Hilfe gibt es für Schulen, die Antolin nutzen drei Vorlagen. Diese finden sich sonst auch im Bereich der Downloads.

Schulen, die andere Angebote von Westermann nutzen wie z.B. Zahlenzorro, Bumblebee oder Grundschuldiagnose können diese Vorlagen leicht anpassen.

Mai 1, 2019April 7, 2021

Datenschutz & Mitbestimmung

Lesezeit: 4 Minuten

Auch wenn man es auf den ersten Blick nicht erwartet, Datenschutz und Mitbestimmung haben Schnittpunkte. Das Thema Mitbestimmung ist geregelt im Personalvertretungsgesetz für das Land Nordrhein-Westfalen (LPVG), welches vergleichbar ist dem Betriebsverfassungsgesetz (BetrVG) für Arbeitnehmer in Unternehmen¹. Von Bedeutung für Schulen und das Thema digitale Plattformen ist dort der §72, denn dort sind mitbestimmungspflichtige Angelegenheiten geregelt.

(3) Der Personalrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, mitzubestimmen in Rationalisierungs-, Technologie– und Organisationsangelegenheiten bei

1. Einführung, Anwendung, wesentlicher Änderung oder wesentlicher Erweiterung von automatisierter Verarbeitung personenbezogener Daten der Beschäftigten außerhalb von Besoldungs-, Gehalts-, Lohn-, Versorgungs- und Beihilfeleistungen sowie Jubiläumszuwendungen,

2. Einführung, Anwendung und Erweiterung technischer Einrichtungen, es sei denn, dass deren Eignung zur Überwachung des Verhaltens oder der Leistung der Beschäftigten ausgeschlossen ist,

3. Einführung grundlegend neuer, wesentlicher Änderung und wesentlicher Ausweitung von Arbeitsmethoden,

4. Maßnahmen, die die Hebung der Arbeitsleistung oder Erleichterungen des Arbeitsablaufs zur Folge haben sowie Maßnahmen der Änderung der Arbeitsorganisation,

5. Einführung, wesentlicher Änderung oder wesentlicher Ausweitung betrieblicher Informations- und Kommunikationsnetze,

“(4) Der Personalrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, mitzubestimmen über

1. Beginn und Ende der täglichen Arbeitszeit und der Pausen sowie Verteilung der Arbeitszeit auf die einzelnen Wochentage, Einführung, Ausgestaltung und Aufhebung der gleitenden Arbeitszeit,”

In Bezug auf Datenschutz ist vor allem Nr. 2 von Interesse. Auch wenn im Gesetzestext hier das Wort Datenschutz selbst nicht einmal vorkommt, so geht es doch genau um diesen, da Überwachung datenschutzrechtliche Implikationen hat. Werden an einer Schule also technische Einrichtungen eingeführt oder erweitert, bei welchen eine Eignung zur Überwachung des Verhaltens oder der Leistung der Beschäftigten nicht ausgeschlossen ist, so ist diese Angelegenheit mitbestimmungspflichtig.² Technische Einrichtungen meint auch digitale Plattformen, egal ob lokal betrieben oder in einer Cloud.³ Nicht ausgeschlossen heißt, es ist ausreichend, dass die Möglichkeit besteht, selbst wenn eine Überwachung nicht geplant ist.⁴ Die Einführung einer Plattform, welche von der Schulleitung dazu genutzt werden könnte, Rückschlüsse auf das Nutzerverhalten und die Leistungen von Lehrkräften zu ziehen, hat damit immer auch datenschutzrechtliche Implikationen. Es geht dabei um das Risiko, welches durch eine Zweckentfremdung von personenbezogenen Daten, hier Daten, die einen Aufschluss über das Nutzerverhalten geben, zu einem Schaden für die Betroffenen führen könnte.

Genau dieses Risiko greift die Orientierungshilfe Online-Lernplattformen der Datenschutzkonferenz auf, die sich mit den datenschutzrechtlichen Aspekten der Einführung und Nutzung solcher Plattformen beschäftigt. Die Orientierungshilfe geht davon aus, dass die Verarbeitung von personenbezogenen Daten in einer solchen Online-Lernplattform in aller Regel

“ein voraussichtlich hohes Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen (Schüler, Lehrer, Eltern) zur Folge“ haben wird.”

Sobald dieses der Fall ist, hat der “Verantwortliche vorab eine Datenschutz-Folgenabschätzung nach Art. 35 Datenschutz-Grundverordnung durchzuführen“. Zu einer solchen gehört, wie im Kurzpapier Nr. 5 Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO ausgeführt, die “Identifikation und Einbindung von Akteuren und betroffenen Personen.“

“Ggf. holt der Verantwortliche den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung ein (Art. 35 Abs. 9 DS-GVO). Dies umfasst beispielsweise die Einbindung von Gremien der Mitbestimmung, z. B. von Betriebsräten.”

Der Wortlaut der Empfehlung im Kurzpapier entspricht fast der Formulierung in Art. 35 Abs. 9 DS-GVO.

“Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.”

Unklar bleibt in dieser Formulierung mit gegebenenfalls, unter welchen Umständen der Standpunkt der Betroffenen oder ihrer Vertreter einzuholen ist. Jandt geht in Kühling, Buchner Art. 35 DS-GVO Rn. 57 davon aus, dass sich aus der Forderung nach Einholung des Standpunktes eine Informationspflicht der Betroffenen oder ihrer Vertreter logisch ergeben müsste. Wer mit Vertreter gemeint ist, wird nicht explizit genannt. Man kann aber davon ausgehen, dass hier Vertreter nach den Regeln der betrieblichen bzw. behördlichen Mitbestimmung gemeint sind “oder anderer Personengruppen wie Eltern- oder Schülervertreter”⁵.

Was bedeutet das für die Praxis?

Wenn an einer Schule eine Plattform eingeführt oder eine bestehende in ihrer Funktion deutlich ausgeweitet werden soll und diese Plattform soll durch alle Lehrkräfte genutzt werden, dann ist die Mitbestimmung mit großer Wahrscheinlichkeit mit einzubeziehen. Der Grund dafür muss nicht einmal ein datenschutzrechtlicher Belang sein. Geht es beispielsweise darum, ab welcher Uhrzeit E-Mails an Arbeitstagen abgerufen oder der digitale Vertretungsplan eingesehen werden muss, so fällt dieses unter die Regelungen von §72 LPVG, da es zumindest die Arbeitszeiten betrifft. Eröffnet eine Plattform die Möglichkeit, das Verhalten der Nutzer in der Plattform zu überwachen, etwa durch Protokolldateien, die Logins und Logouts oder wann in der Plattform der Unterricht gestartet und beendet wurde zeigen, dann ist dieses auf jeden Fall mitbestimmungspflichtig. Die Mitbestimmungspflicht ist hier auch ein Datenschutzthema, da personenbezogene Daten von Lehrkräften anders genutzt werden (können) als es dem Verarbeitungszweck der Plattform entspricht, etwa Durchführung von Unterricht oder Führen eines digitalen Klassenbuches. Ob und welche Risiken eine Verarbeitung von personenbezogenen Daten etwa durch eine Online-Lernplattform oder ein digitales Klassenbuch für die betroffenen Lehrkräfte bedeuten kann und durch welche Maßnahmen diese Risiken reduziert werden können, ist Gegenstand der Datenschutz-Folgenabschätzung. Anders als durch §72 Abs. 3 LPVG ergibt sich aus Art. 35 Abs. 9 DS-GVO jedoch keine Verpflichtung, die Mitbestimmung im Rahmen der Datenschutz-Folgenabschätzung einzuholen.

Die Einbeziehung der Mitbestimmung sollte es ermöglichen, im Endergebnis zu einer für alle Betroffenen verträglichen Lösung zu kommen. Diese kann dann beispielsweise in einer Dienstvereinbarung festgehalten werden, in welcher Regeln bezüglich der Nutzung der Plattform und Maßnahmen zum Schutz der personenbezogenen Daten der Betroffenen, auch vor unrechtmäßiger Überwachung durch die Schulleitung, vereinbart sind. Welche Gremien der Mitbestimmung beteiligt werden, hängt vom jeweiligen Fall ab. Je umfangreicher der Regelungsbedarf, desto wahrscheinlicher ist es, dass man sich nicht nur auf die schulinternen Vertretungsgremien beschränken, sondern auch den örtlichen Personalrat mit einbeziehen sollte. Dort findet man in der Regel eine entsprechende Kompetenz, die Tragweite von möglichen Risiken zu beurteilen, die mit der Einführung einer Plattform für die Betroffenen einhergehen können.

Ist man zu einer verträglichen Regelung gekommen, haben Lehrkräfte jedoch weiterhin die Möglichkeit, ihre Einwilligung in die erforderliche Verarbeitung von personenbezogenen Daten zu verweigern, solange die Nutzung der Plattform nicht durch ein Gesetz oder eine andere rechtliche Grundlage verbindlich vorgeschrieben ist.⁶

Diese Beschreibung der Mitbestimmung aus Sicht des Datenschutz hatte vor allem die Lehrkräfte an den Schulen im Blick. Mitbestimmung gibt es natürlich auch für alle anderen Betroffenen in Schule. Schüler und Eltern sind, je nach Fall, über ihre Gremien, die SV und die Elternpflegschaft, ebenfalls zu beteiligen.

Stand 05/2019