Antolin & Datenschutz

Lesezeit: 2 Minuten

Antolin Raabe

Vor allem an Grundschulen beliebt ist die Online Plattform zur Förderung der Lesekompetenz, Antolin. Betrieben wird die Plattform von der Westermann Verlagsgruppe, und da auf der Plattform Nutzerdaten von Schülern und Lehrkräften erhoben und verarbeitet werden, wird entsprechend Art. 28 DS-GVO ein Vertrag zur Auftragsverarbeitung (AVV)1Aktuell (Stand 11.05.2019) finden sich einige kleine Fehler im AVV. So sind dort beispielsweise die Lehrkräfte nicht berücksichtigt und es fehlen Angaben zu den Löschfirsten durch Westermann selbst, nachdem die Schule einen Benutzer gelöscht hat. angeboten. Diesen müssen Schulen mit Westermann abschließen, um das Angebot datenschutzkonform an der Schule nutzen zu können. Oftmals erwerben Schulträger eine Lizenz für alle ihre Grundschulen. Damit sind sie Vertragspartner/ Lizenznehmer von Westermann. Trotzdem muss jede Schule einen eigenen AVV mit Westermann abschließen.

Wichtig ist dabei, dass die Schulleitung in Person den AVV abschließt und selbst unterschreibt. Dieses kann nicht von Lehrkräften übernommen werden!

Der unterschriebene AVV wird dann an Westermann geschickt, dort gegengezeichnet und ist damit gültig. Die Kopie, welche man zurück erhält, gehört zur Dokumentation des Verfahrens im Verzeichnis der Verarbeitungstätigkeiten. Für dieses braucht die Schule eine Beschreibung der Verarbeitungstätigkeit Antolin.

Außerdem ist es erforderlich, die Einwilligungen der Betroffenen einzuholen, da mit der Nutzung von Antolin personenbezogene Daten verarbeitet werden, deren Verarbeitung nicht auf der Grundlage des Schulgesetzes entsprechend Art. 6 lit. e legitimiert ist. Einwilligen müssen nicht nur die Schüler, sondern auch die Lehrkräfte, da auch deren Daten in Antolin verarbeitet werden, wenn sie als Nutzer dort angelegt werden und anschließend ihre Schüler in der Plattform betreuen. Sie kommentieren, stellen Quiz-Fragen und es fallen Nutzungsdaten an.

Als Hilfe gibt es für Schulen, die Antolin nutzen drei Vorlagen. Diese finden sich sonst auch im Bereich der Downloads.

Schulen, die andere Angebote von Westermann nutzen wie z.B. Zahlenzorro,  Bumblebee oder Grundschuldiagnose können diese Vorlagen leicht anpassen.

Verträge mit Dritten

Lesezeit: 1 Minute

Wenn Dritte im Auftrag einer Schule personenbezogene Daten verarbeiten, dann ist das in der Regel ein Auftragsverarbeitung nach Art. 28 DS-GVO und entsprechend ist ein Vertrag nach Abs. 3 fällig, welcher die rechtlichen Verhältnisse festlegt. Viele Auftragsverarbeiter bieten ihren Kunden von sich aus die erforderlichen Verträge an. Ist dieses nicht der Fall, geht es trotzdem nicht ohne, denn die DS-GVO verpflichtet den Verantwortlichen, hier die Schule, mit dem Auftragnehmer einen Vertrag abzuschließen. Das folgende Muster kann dafür genutzt werden. Es stammt aus Sachsen-Anhalt2Quelle: https://datenschutz.sachsen-anhalt.de/service/formulare-und-merkblaetter/formulare-oeffentliche-stellen/ In sehr ähnlicher Form findet sich die Vorlage auch bei anderen Aufsichtsbehörden.  und wurde von mir etwas ergänzt. Das Besondere, es ist, anders als die meisten im Netz verfügbaren Vorlagen, speziell für öffentliche Stellen gedacht.3Es ist auch möglich, andere Auftragsverarbeitungsverträge, die vor allem für die Wirtschaft ausgearbeitet wurden, zu nutzen. Sie sind allerdings in der Regel deutlich umfangreicher und enthalten Elemente, welche für Schulen keine Relevanz haben.

Eine weitere Vorlage, ebenfalls für öffentliche Stellen gedacht, kommt aus Bayern.4Staatsministerium Bayern – Datenschutzreform-Arbeitshilfen

Auftragsverarbeitung

Lesezeit: 2 Minuten

Der Begriff Auftragsverarbeitung ist in Artikel 4 DS-GVO nicht direkt bestimmt. Dort findet sich jedoch der Begriff Auftragsverarbeiter. Darin stecken zwei Begrifflichkeiten Verarbeitung5siehe dazu Verarbeitung und Auftrag. Die Definition der DS-GVO zu Auftragsverarbeiter lautet:

„„Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;“

Für Schule ist Auftragsverarbeitung ein wichtiges Thema, denn sie trifft auf fast jede Schule zu.

Was ist keine Auftragsverarbeitung?

Jegliche Verarbeitung von personenbezogenen Daten, die innerhalb der Schule stattfindet und bei der auch nur IT (Rechner und Server) genutzt werden, die in der Schule stehen, fällt nicht unter den Begriff. Nimmt die Schulleitung ein Notebook mit nach Hause, ist das so wenig Auftragsverarbeitung wie wenn Lehrer mit Genehmigung personenbezogenen Daten aus der Schule auf ihren Privatgeräten verarbeiten.

Wann spricht man von Auftragsverarbeitung?

Immer dann, wenn personenbezogene Daten außer Hauses von Dritten verarbeitet werden, dann ist das Auftragsverarbeitung. Wie die Definition von Verarbeitung zeigt, ist dieser Begriff sehr weit gefasst.

Beispiele

  • Die Schulhomepage liegt auf einem Server außerhalb der Schule, etwa beim Schulträger, einem Rechenzentrum oder einem Webhoster (z.B. 1&1, Strato, T-online, …)
  • SchiLD Zentral – läuft über eine Server, der beim Schulträger oder einem beauftragten IT Dienstleister steht.
  • SchiLD NRW – die Daten liegen auf einem Netzlaufwerk außerhalb der Schule, so dass man auch vom zweiten Standort aus zugreifen kann.
  • Schulverwaltung über eine Citrix Instanz – einige Schulen haben in der Verwaltung nur ein Terminal stehen oder eine Rechner mit Terminal Funktion. Alle Software läuft auf einem Rechner außer Haus. In der Verwaltung ruft man nur den virtuellen Desktop auf.
  • Office365 mit Cloud – der Datenspeicher und Funktionen der Zusammenarbeit laufen über Server außer Hauses6Gilt nur, wenn es um personenbezogenen Daten geht..
  • Schüler Online – das Portal zur online Anmeldung von Schülern am Berufskolleg.
  • Web Untis – die Server stehen nicht in der Schule, der Stundenplan läuft über eine Cloud.
  • Moodle auf Server beim Rechenzentrum – selbsterklärend
  • Logineo NRW – die personenbezogenen Daten, und wenn es nur Klarnamen als Benutzernamen sind, liegen auf Servern des KRZN
  • Apple iCloud – Server stehen nicht in der Schule, sondern in von Apple genutzten Rechenzentren
  • ZuluDesk – das MDM läuft komplett über die Cloud. Die Server stehen in Deutschland.
  • Jamf – das US MDM läuft, wenn es nicht auf dem Server im Schulkeller installiert ist, über die Cloud des Anbieters oder ist beim Schulträger oder einem Dienstleister installiert.
  • LearningApps – läuft über die Cloud und braucht einen AVV, wenn Schülerkonten mit zuordenbaren Namen angelegt werden.

Rechtliche Stellung Verantwortlicher – Auftragsverarbeiter

Wie die Definition des Begriffs Auftragsverarbeiter deutlich macht, verarbeitet der Auftragsverarbeiter personenbezogenen Daten aus der Zuständigkeit des Verantworlichen in dessen Auftrag. Das bedeutet, die Verantwortung liegt weiterhin beim Verantwortlichen. Der Auftragsverarbeiter ist an die Weisungen des Verantwortlichen gebunden und dieses muss durch einen entsprechenden Vertrag zur Auftragsverarbeitung (auch Auftragsverarbeitungsvertrag = AVV) rechtlich dokumentiert werden.

Gerade in Schule ist das nicht immer ein leichtes Thema, da Schulträger sich oft als die Zuständigen sehen und Entscheidungen treffen, ohne die Schulleitung miteinzubeziehen. Zwar ist der Schulträger sächlich zuständig, in Bezug auf den Datenschutz trägt jedoch die Schulleitung die alleinige Verantwortung und muss von daher auch entscheiden können, wer als Auftragsverarbeiter genutzt wird.

Bei Anbietern von außerhalb der EU oder des EWR, wie z.B. Microsoft, Apple und Google spricht man in der Regel nicht mehr von Verträgen zur Auftragsverarbeitung. Hier sind andere Vertragsformen möglich. Mehr dazu unter Auftragsverarbeitung und die Form des Vertragsschlusses.

Auftragsverarbeitung und die Form des Vertragsschlusses

Lesezeit: 4 Minuten

Viele Schulen sind erst durch die Datenschutz Grundverordnung darauf aufmerksam geworden, dass sie in Bezug auf die Dokumentation zum Datenschutz etwas tun müssen. Es reicht dabei allerdings nicht aus, lediglich ein Verzeichnis von Verarbeitungstätigkeiten anzulegen, sondern es müssen auch Verträge zur Auftragsverarbeitung (AV Verträge) abgeschlossen werden, wenn die Verarbeitung personenbezogener Daten außerhalb der schuleigenen IT Systeme erfolgt. Damit ergeben sich jedoch gleich neue noch komplexere Probleme – wo und wie schließt man die Verträge zur Auftragsverarbeitung ab?

Schulträger/ kommunales Rechenzentrum/ regionale Dienstleister

Relativ unproblematisch ist der Abschluss von Verträgen zur Auftragsbearbeitung, wenn die Dienste eines kommunalen Rechenzentrums genutzt werden, da diese in der Regel von sich aus entsprechende Verträge anbieten. Ähnliches gilt für Dienstleister im deutschsprachigen Raum, die Softwareprodukte für Online Klassenbücher, digitale Schwarze Bretter, Classroom Management Systeme, Lernplattformen und ähnlich anbieten. Schwieriger wird es schon, wenn ein solcher Vertrag mit dem Schulträger abgeschlossen werden muss, wobei das kommunale Rechenzentrum oder ein anderer Dienstleister nur Unterauftragnehmer ist. Das liegt daran, dass Schulträger sich häufig nicht als Auftragnehmer begreifen, wenn es um schulische Datenverarbeitung geht.

Hoster für Schulhomepage

Auftragsbearbeitung liegt auch vor, wenn für den Betrieb der Schulhomepage ein Hoster genutzt wird. Bei den meisten Schulhomepages dürfte dieses der Fall sein. Teilweise machen die Anbieter ihre Kunden von sich aus auf die Möglichkeit, einen entsprechenden Vertrag abzuschließen, aufmerksam. In der Regel liegt dieser als vom Hoster vorunterzeichneter Vertrag in Form einer PDF Datei vor. Die Schule druckt diese Datei aus, füllt den Kopfteil aus, unterzeichnet, scannt das Dokument ein und sendet es per E-Mail an den Hoster zurück. Der bestätigt den Eingang.

Genau genommen war der Vertrag zur Auftragsverarbeitung schon in dem Moment gültig, wo die Schule ihn für sich ausgefüllt und unterzeichnet hat. Von Seiten des Hosters lag bereits mit dem zum Download bereitgestellten, unterzeichneten Vertrag eine Willenserklärung vor.7Was damit gemeint ist, wird unten erklärt.. Man sollte den Vertrag totzde zurücksenden, denn erst dadurch erlangt der Hoster Kenntnis von der Zeichnung des Vertrags.

Große internationale Dienstleister

Schwieriger kann es werden, wenn es um Verträge mit internationalen Dienstleistern in der Branche geht. Nicht alle bieten einen downloadbaren vorunterzeichneten Vertrag an wie die Firma Apple für den Apple School Manager (ASM) oder Microsoft für Office 365. Apple bietet für die Nutzung des ASM einen vorunterzeichneten Vertrag im PDF Format an8Der Vertrag, das „Apple School Manager Agreement“ ist im ersten Teil in englischer Sprache gefasst. Im zweiten Teil sind deutschsprachige Teile, die unterzeichnet werden müssen, um Gültigkeit zu erlangen.. Bei Microsoft ist der vorunterzeichnete Vertrag im Docx Format gehalten9Es geht hier um dem OST Vertrag. Man wählt die Sprache, lädt ihn herunter, druckt ihn aus und unterzeichnet auf der vorletzten Seite. Soll der Vertrag digitalisiert verwahrt werden, empfiehlt es sich, das PDF Format zu wählen.10Für die Office 365 mit der MS Cloud Deutschland wird der AV Vertrag mit der Telekom abgeschlossen, die Datentreuhänder ist für Microsoft..

Was ist, wenn der Dienstleister keinen Vertrag in der oben beschrieben Form anbietet, sondern lediglich eine Möglichkeit, eine Webseite durchzulesen und den Vertrag mit dem Bestätigen einer Checkbox abzuschließen?

Bei Google heißt es an der Stelle, wo es bisher einen Vertrag zum Download gab,

Stattdessen steht ab diesem Zeitpunkt ein Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO zur Verfügung, den Sie elektronisch abschließen können (vgl. Sie bitte Art. 28 Abs. 9 DSGVO zur Möglichkeit, Auftragsverarbeitungsverträge auch in ‘elektronischer Form’ abzufassen).11https://static.googleusercontent.com/media/www.google.de/de/de/analytics/terms/de.pdf

Einen AV Vertrag elektronisch abschließen – geht das?

Das Thema ist nicht ganz einfach. Zwar sagt Art. 28 Abs. 9 DS-GVO, dass die Abfassung des Vertrags auch „in einem elektronischen Format erfolgen kann„, doch wie dieses elektronische Format genau auszusehen hat, darüber herrscht keine absolute Einigkeit unter den Experten.

Dass es der Papierform für einen Vertrag nicht mehr bedarf und man stattdessen mit digitalen Dokumenten in Word- oder  PDF-Format arbeiten kann, daran besteht wenig Zweifel. Das entscheidende Kriterium ist hier, dass das gewählte Format sicherstellt, dass nachträgliche Änderungen technisch unmöglich ist. In der Fachliteratur findet man dazu folgende Ausführung.

Vielmehr ist es nach Art. 28 Abs. 9 DS-GVO ausreichend, dass der Auftragsverarbeitungsvertrag durch zwei gegenseitige Willenserklärungen i. S. v. §§ 145 ff. BGB geschlossen und zumindest elektronisch „abgefasst“ wird. Entscheidend ist, dass der Vertragsschluss in irgendeiner Form dokumentiert wird. Einer Verkörperung, z. B. als Ausdruck, bedarf es zwar nicht, jedoch muss das gewählte Format sicherstellen, dass nachträgliche Änderungen technisch unmöglich sind und ersichtlich bleibt, dass zwei kongruente Willenserklärungen vorlagen. 12Koreng/Lachenmann DatenschutzR-FormHdB, 1. Vergleich Auftragsverarbeitung nach dem BDSG und der DS-GVO Rn. 1. – 7., beck-online

Der Punkt ist nun, wie man die beiderseitige Willenerklärung dokumentiert. Einige Experten sind der Ansicht, es bedürfe dazu einer elektronischen Signatur. Allerdings geben andere europäische Rechtsnormen keinen Hinweis darauf, dass dieses erforderlich ist13Kühling/Buchner/Hartung, DS-GVO, Art. 28 Rn. 94 ff.. Nach Koreng/Lachmann sollte es möglich sein, dass

bei einem Onlinevertragsschluss der Vertrag über die Auftragsverarbeitung digital bereitgestellt werden kann.

Dann wiederum sollte es ausreichen, wenn der Kunde mit dem Bestätigen einer Checkbox ein

ein rechtswirksames Angebot auf einen bereitgestellten Vertrag abgeben kann, das der Vertragspartner sodann mit dem Hauptvertrag annimmt, wenn der Vertrag speicher- und druckbar ist.

Letzteres ist von Bedeutung, um den Vertragsabschluss auch auf Seiten der Schule zu dokumentieren. Es empfiehlt sich, die eigene Willensbekundung zum Abschluss des AV Vertrags, wenn sie nur durch Bestätigen einer Checkbox möglich ist, ebenfalls zu dokumentieren. In der Regel sollte die Annahme des Vertrags zur Auftragsverarbeitung in der Online Vertragsverwaltung an irgendeiner Stelle angezeigt werden. Diese Seite sollte man dann ausdrucken. Der Anbieter hat seine Willensbekundung bereits mit der Bereitstellung des Vertrags auf seinem Portal getätigt. Im folgende Beispiel sieht man, wie so etwas aussehen könnte.

Wenn es kein PDF gibt

Bietet der Dienstleister, so wie Google bei Google Analytics oder der G-Suite for Education keinen AV Vertrag als PDF zum Download an, empfehle ich folgendes Vorgehen, um den Abschluss eines AV Vertrages zu dokumentieren.

  • Wenn bei Anbieter im Kontobereich/Vertragsverwaltungsbereich des Nutzungsvertrages die erfolgte Zeichnung des AV Vertrags angezeigt wird, wie im folgenden Beispiel bei G-Suite for Education, dann sollte man diese Seite als PDF sichern oder ausdrucken.14Die Namen sind hier aus Gründen des Datenschutz herausgelöscht.
  • Den eigentlichen Vertrag und zugehörige Bestandteile (bei Google beispielsweise die Standardvertragsklauseln) sollte man ebenfalls als PDF abspeichern.

Auf diese Art und Weise kann man erstens die Willensbekundung der Schule dokumentieren, den Vertrag einzugehen, und zweitens der Erfordernis nachkommen, den Vertrag in einem Format zu sichern, welches eine nachträgliche Änderung technisch unmöglich macht15Natürlich kann man auch ein PDF verändern, doch es geht hier weniger darum, dass die Schule den AV Vertrag ändern könnte, sondern der Auftragnehmer, etwa Google..

Fazit

Noch herrscht einige Unsicherheit, selbst unter Experten, wie genau der Abschluss eines Vertrags zur Auftragsverarbeitung in elektronischer Form aussehen sollte. Weder Experten noch Anbieter sind hier einer Meinung, wie bei letzteren die unterschiedlichen Formen, AV Verträge bereitzustellen zeigen. Grundsätzlich empfiehlt es sich, mit einem Vertrag in Form eines vorunterzeichneten PDF zu arbeiten, wenn dieses möglich ist. Bei Anbietern, die diesen Weg nicht anbieten, sollte man den Vertragsabschluss möglichst gut dokumentieren und den Vertrag selbst in einem sicheren Format speichern oder auch ausdrucken.

Es ist zu erwarten, dass die Zukunft Rechtssicherheit bringen wird, was genau unter einem elektronischen Format nach Art. 28 Abs. 9 DS-GVO zu verstehen ist. Entsprechende Nachsteuerungen durch den Gesetzgeber oder Urteile von Gerichten werden dafür sorgen. Bis dahin sollte man einen der oben beschriebenen Wege nutzen.

Weitere Informationen

BookCreator geht DS-GVO konform

Lesezeit: 2 Minuten

BookCreator ist eine Plattform zur einfachen Erstellung digitaler multimedialer Bücher und vor allem in der iPad Version verbreitet an Schulen. Seit letztem Jahr bietet BookCreator außerdem eine Webplattform für die plattformunabhängige Nutzung mit dem Chrome Browser an, welche die Funktionalitäten des App nahezu gleichwertig abbildet und dazu noch Echtzeit-Kollaboration zulässt. Wer BookCreator nur lokal auf einem iPad nutzt, braucht sich um die Datenschutz Grundverordnung kaum Gedanken machen, solange die iCloud nicht ins Spiel kommt.

Anders sieht das aus, wenn man die Webplattform nutzt. An diese kann auch das App angebunden werden für den Export von Büchern. Bei der Nutzung der Online Version landen in der Regel personenbezogene Daten von Schülerinnen und Schülern wie auch Lehrkräften in der Cloud. Das ist datenschutzrechtlich nur zulässig, wenn dieses im Auftrag der Schule erfolgt und dafür ist der Abschluss eines Vertrags zur Auftragsverarbeitung (AV Vertrag) zwischen Schule und BookCreator erforderlich. Die Schule ist dabei Auftraggeber (Controller) und BookCreator Auftragnehmer (Processor) und damit weisungsgebunden gegenüber der Schule.

BookCreator nutzt als Online Speicher die Google Cloud in den USA. Google arbeitet hier als Auftragnehmer von BookCreator. Der Vertrag regelt unter anderem, wie in Verträgen dieser Art üblich, dass Google dabei kein Recht hat, die Daten einzusehen. Der AV Vertrag zwischen Schule und BookCreator sollte auch für Nutzer aus Europa kein Problem darstellen, da Google sich dem EU-US Privacy Shield Abkommen verpflichtet hat und zusätzliche EU Modell Vertrags Klauseln unterzeichnet hat.16Weitere Informationen unter <a href=“https://bookcreator.com/gdpr/“>GDPR Compliance</a> BookCreator ist in Großbritannien zu Hause und damit (noch) EU.

Den AV Vertrag kann man laden unter Book Creator Data Processing Addendum.PDF Der gesamte Vertrag ist in englischer Sprache gehalten und bereits unterzeichnet. Schulen müssen ihn nur noch gegenzeichnen und an BookCreator schicken, damit er gültig ist.

Wird das Angebot nicht vollkommen anonymisiert genutzt, was viele kreative Einschränkungen mit sich bringt, müssen von Schülern und Lehrkräften darüber hinaus Einwilligungen vorliegen für die Nutzung ihrer personenbezogenen Daten auf der BookCreator Plattform.

Für die Nutzung der Online Version über den Chromebrowser müssen Schüler über einen Google Account (in der Regel ein G-Suite for Education Account) oder ein Office 365 Konto verfügen. Auch für die schulische Nutzung dieser beiden Angebote ist übrigens ein AV Vertrag erforderlich.