Brexit und die Folgen für Schule aus Datenschutzsicht

Lesezeit: 2 Minuten

Großbritannien hat zum 01.02.2020 die EU verlassen. Bis zum 31.12.2020 gilt eine Übergangsfrist, während der die Vereinbarungen und Abkommen der EU weiterhin Bestand haben. Damit hat auch die DS-GVO noch bis Ende diesen Jahres Bestand auf der britischen Insel. Schulen können in dieser Zeit problemlos Apps1Apps meint hier solche, deren Nutzung eine Onlineanbindung an die Server des Anbieters erfordert. und Online-Plattformen britischer Anbieter mit Schülerinnen und Schülern nutzen, wenn deren Einsatz auch bisher den Anforderungen aus Schul- und Datenschutzrecht entsprach.

Sofern britische Anbieter ihre Verarbeitung personenbezogener Daten in diesem Zeitraum jedoch nicht für die Zeit nach Ende der Übergangsfrist umstellen, wird eine Nutzung für Schulen in der EU nicht länger möglich sein. Warum ist das so?

Nach dem Ende der Übergangsfrist gilt in Großbritannien nicht mehr die DS-GVO. Großbritannien gilt dann als ein sogenanntes unsicheres Drittland. Eine Übermittlung bzw. Verarbeitung von personenbezogenen Daten in einem Drittland ist nur möglich, wenn es

  • entweder ein Abkommen zwischen der EU und Großbritannien gibt oder
  • für Großbritannien ein Angemessenheitsbeschluss besteht oder
  • die EU Standardvertragsklauseln angewendet werden können oder
  • man eine Art EU UK Privacy Shield aushandelt, nach welchem Anbieter sich selbst zertifizieren können.

Die Möglichkeit, mit Erlaubnis der Aufsichtsbehörde einen Vertrag mit dem Anbieter abzuschließen, welche die Sicherheit und den Schutz der personenbezogenen Daten garantiert, besteht für Unternehmen und kommt für Schulen wohl eher nicht in Betracht.

Die britische Regierung hat bereits angekündigt, dass man von den Regelungen der DS-GVO abweichen und stattdessen eigenes Datenschutzrecht schaffen will. Das wird es deutlich erschweren, eine zeitnahe Lösung für eine Rechtsgrundlage auszuhandeln, auf welcher personenbezogene Daten aus der EU in Großbritannien verarbeitet werden können.

Das bedeutet

für britische Anbieter von Apps und Online-Plattformen im Bildungsbereich, dass sie andere Lösungen finden müssen, um Schulen in der EU auch nach dem Ende der Übergangsfrist eine datenschutzkonforme Nutzen zu ermöglichen. In der Praxis lässt sich dieses am leichtesten umsetzen, wenn die Verarbeitung und Speicherung der personenbezogenen Daten von Schülerinnen und Schülern aus der EU in ein EU-Land verlegt wird.2Möglich wäre auch die Nutzung eines Serverstandortes in einem Drittland, für welches ein Angemessenheitsbeschluss besteht, die EU Standardvertragsklauseln gelten oder es ein sonstiges Abkommen mit der EU gibt. Ein Serverstandort innerhalb der EU oder des EWR wird jedoch die einfachste und sicherste Lösung sein.

für Schulen hängt die Bedeutung des Endes der Übergangsfrist davon ab, ob der Anbieter eine Lösung gefunden hat, die es ihnen erlaubt, sein Produkt weiterhin datenschutzkonform zu nutzen oder nicht.

  • Schafft es der Anbieter nicht, Schulen nach Ende der Übergangsfrist eine datenschutzkonforme Lösung anzubieten, sind Schulen gezwungen, die Nutzung des Apps bzw. der Plattform mit dem Ende der Übergangsfrist einzustellen. Sämtliche Nutzerkonten sind bis dahin zu löschen. Erstellte digitale Medien sollten, sofern sie personenbezogene oder -beziehbare Daten enthalten, heruntergeladen oder in eine andere Plattform übertragen werden, bevor sie ebenfalls zu löschen sind.
  • Kann der Anbieter eine neue, datenschutzkonforme Lösung anbieten, sind gegebenenfalls bestehende Verträge zur Auftragsverarbeitung zu überprüfen und an die neuen Bedingungen anzupassen.

Nachtrag 28.02.2020

In einem im Februar veröffentlichten Strategiepapier der britischen Regierung „The Future Relationship with the EU – The UK’s Approach to Negotiations“ strebt man einen Angemessenheitsbeschluss an3Data Adequacy

59. The UK will have an independent policy on data protection at the end of the transition period and will remain committed to high data protection standards.
60. To maintain the continued free flow of personal data from the EU to the UK, the UK will seek ‘adequacy decisions’ from the EU under both the General Data Protection Regulation and the Law Enforcement Directive before the end of the transition period. These are separate from the wider future relationship and do not form part of trade agreements. This will allow the continued free flow of personal data from the EEA States to the UK, including for law enforcement purposes. The European Commission has recognised a number of third countries globally as providing adequate levels of data protection.
61. On a transitional basis, the UK has allowed for the continued free flow of personal data from the UK to the EU. The UK will conduct assessments of the EEA States and other countries under an independent international transfer regime.
62. The UK will also seek appropriate arrangements to allow continued cooperation between the UK Information Commissioner’s Office and EU Member State data protection authorities, and a clear, transparent framework to facilitate dialogue on data protection issues in the future.

abgerufen am 28.02.2020 unter https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/868874/The_Future_Relationship_with_the_EU.pdf
. Ob und wann es dazu kommt, ist aktuell nicht abzusehen.

 

Abmahnung & Schulhomepage

Lesezeit: 3 Minuten

Die Umsetzung der Datenschutz Grundverordnung (DS-GVO) steht unmittelbar bevor. Überall im Internet werkeln die Betreiber von Blogs und anderen Internetauftritten an den Einstellungen ihrer Webseiten, um die Erhebung von personenbezogenen Daten bei den Besuchern zu vermeiden oder zumindest zu reduzieren. Mechanismen zur Einholung von Einwilligungen bei Cookies, Kommentaren und dem Abonnement von Newslettern werden eingerichtet. Datenschutzerklärungen werden schnell noch angepasst oder gar erst erstellt, um den Pflichten der DS-GVO nachzukommen. Gleiches ist auch bei den Machern von Schulhomepages zu beobachten.

Alle haben Angst vor der drohenden Abmahnung!!!! 

Das ist es das Unwort, AbMahnung. Muss eine Schule sich hier überhaupt Gedanken machen? Kann eine Schule wegen ihrer Schulhomepage und dort begangenen Rechtsverstößen abgemahnt werden?

Beschäftigt man sich näher mit dem Thema Abmahnung, dann sieht man schnell, dass eine Schule prinzipiell zwar durchaus abgemahnt werden kann wegen Inhalten der Schulhomepage, dass dieses wegen des Thema Datenschutzes jedoch eher unwahrscheinlich ist. Warum?

JuraWiki beschreibt den Begriff Abmahnung wie folgt:

„Allen Abmahnungen gemeinsam ist, dass sie ein bestimmtes Verhalten rügen. Es wird darauf hingewiesen, dass man dies nicht toleriert und bei forgesetztem Fehlverhalten Konsequenzen drohen.“

Abmahnungen sind in verschiedenen Rechtsbereichen vertreten. Arbeitsrecht, Mietrecht und Verwaltungsrecht treffen auf eine Schulhomepage nicht zu. Schulen in öffentlicher Trägerschaft können eindeutig auch nicht vom Wettbewerbsrecht betroffen sein. Es bleiben noch das Urheberrecht, das Markenrecht und das Persönlichkeitsrecht.

Hier können sich tatsächlich Konstellationen in Bezug auf die Homepage ergeben, aus denen Abmahnungen folgen könnten.

Urheberrecht

Finden sich auf einer Schulhomepage urheberrechtlich geschützte Materialien, die ohne Erlaubnis des Rechteinhabers dort genutzt werden, so hat der Rechteinhaber die Möglichkeit, sich über eine Abmahnung dagegen zu wehren. Alternativ werden auch Lizenzkosten erhoben. Fälle, dass dieses sogar mit Creative Commons lizenzierten Bildern geschieht, sind bekannt. Dabei waren dann die Lizenzangaben nicht richtig oder unvollständig gemacht worden.

Markenrecht

Die Nutzung urheberrechtlich geschützter Markenzeichen kann auf einer Schulhomepage, sofern keine Einwilligung des Rechteinhabers vorliegt, eine Abmahnung zur Folge haben. Dazu gehören auch die Logos von Sportmannschaften.

Persönlichkeitsrecht

Auch bei Verletzungen des Persönlichkeitsrechts sind Abmahnungen möglich, auch gegen Schulen. Das könnte der Fall sein, wenn auf einer Schulhomepage über eine Person berichtet wird, so dass das Persönlichkeitsrecht verletzt wird, etwa durch eine grob sachlich falsche oder beleidigende Darstellung einer Person.

An dieser Stelle sind durchaus Überschneidungen mit dem Datenschutzgesetz möglich, etwa wenn Informationen ohne Einwilligung des Betroffenen auf der Schulhomepage veröffentlich werden und diese Informationen rufschädigende Wirkung haben.

Da es bei einer Abmahnung darum geht, jemanden dazuzubringen, ein Verhalten zu unterlassen, und es bei den Inhalten von Schulhomepages in der Regel um Personen geht, die der Schule bekannt sind, muss es schon weit kommen, dass eine Person zur Abmahnung als letztes Mittel greift, wenn es zu einer Verletzung des Persönlichkeitsrechts kommt.

Was ist mit dem Impressum?

Eine Abmahnung wegen fehlenden oder fehlerhafen Impressums ist eine Abmahnung aus dem Bereich des Wettbewerbsrechts. Auf Schulen in öffentlicher Trägerschaft trifft das normalerweise nicht zu.1Ob man einer Schule, die Werbebanner auf ihrer Homepage betreibt und Amazon Affiliate Links nutzt, einen Strick daraus drehen könnte, halte ich für wenig wahrscheinlich. Eine Abmahnung wegen fehlenden Impressums ist von daher auch nicht wirklich möglich. Haben sollten Schulhomepages ein Impressum aber auf jeden Fall.

Gibt es nicht doch Möglichkeiten, wo eine Schule wegen der Schulhomepage in Bezug auf Verletzungen des Datenschutz abgemahnt werden kann?

Schaut man sich die Rechtsbereiche an, bei denen Abmahnungen üblich sind, so ist schnell klar, dass bei Verstößen gegen die Datenschutzgesetzgebung, wenn es um Schulen geht, nicht mit Abmahnungen gerechnet werden muss. Möglich sind in sochen Fällen Beschwerden bei den Aufsichtsbehörden.

Ist eine fehlende oder fehlerhafte Datenschutzerklärung nicht doch ein Abmahnungsgrund?

Nein, auch nicht. Weder nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) noch nach dem Unterlassungsklagengesetz (UKlaG) ist hier eine Abmahnung möglich, denn in beiden Fällen geht es immer um kommerzielle Interessen des Betreibers der Homepage. Das ist bei einer Schule in öffentlicher Trägerschaft eindeutig nicht der Fall. Eine Datenschutzerklärung ist nach der DS-GVO natürlich trotz allem ein verpflichtender Bestandteil der Schulhomepage.

Fazit

Schulen brauchen sich, wenn es um das Thema Datenschutz und DS-GVO geht, bezüglich ihrer Schulhomepage keine Gedanken machen. Die Wahrscheinlichkeit, dass hier ein Abmahnanwalt ein Geschäft wittert, ist eher gering. Um eine Abmahnung erteilen zu können, braucht es eine Rechtsgrundlage und solange auf einer Schulhomepage keine Urheberrechtsverletzung begangen wird oder die Persönlichkeitsrechte einer Person missachtet werden, ist mit einer Abmahnung nicht zu rechnen. Trotzdem gelten auf jeden Fall die Vorgaben der Datenschutzgesetzgebung, die dazu anhalten die Erhebung von personenbezogenen Daten auf ein Minimum zu beschränken und Nutzer über die Erhebung in Kenntnis zu setzen, ihre Einwilligung einzuholen, wo erforderlich und die Datenverarbeitung über die Homepage allgemein mittels einer Datenschutzerklärung zu informieren.

Bitte beachten, für Privatschulen, die kommerziell betrieben werden, gelten obige Aussagen nicht uneingeschränkt.

Siehe auch:

In einer Reihe von Tweets hat die Rechtsanwältin Nina Diercks am 20.05.2018 sehr gut erklärt, wie es mit dem Abmahnrisiko für Websiten in Bezug auf die DS-GVO aussieht.

Link zum ersten Tweet: https://twitter.com/RAinDiercks/status/998079439727661056

Link zum restlichen Thread (11 Tweets): https://twitter.com/RAinDiercks/status/998080633464344576

Krankmeldung über die Schulhomepage

Lesezeit: 4 Minuten

An Schulen kommt von Seiten der Eltern immer wieder der Wunsch auf, Krankmeldungen zu vereinfachen. Was liegt da näher als ein entsprechendes Formular in die Schulhomepage einzubauen. So hat man, besser als bei einer E-Mail, eine standardisierte Krankmeldung mit allen erforderlichen Informationen. Lästige Telefonanrufe im Sekretariat entfallen. Aus rechtlichen Gründen wird die Entschuldigung anschließend auf Papier nachgereicht. Alles gut, oder doch nicht?

Das Beispiel von der Homepage einer Schule zeigt, wie viele personenbezogene Daten in diesem Fall verarbeitet werden. Je nachdem, was Eltern eintragen, können diese Informationen hochsensibel sein. Hinzu kommt noch die IP Adresse, die ebenfalls ein personenbezogenes Datum darstellt. Alle diese Informationen werden, sofern für die Forumular Funktion nicht externe Dienstleister genutzt werden, in der Datenbank der Webseite gespeichert. Je nach Einstellung wird die Schule über den Eintrag per E-Mail informiert.

Die Krankmeldung in dieser Form ist von der Technik her vergleichbar einem Kontaktformular. Welche Vorgaben sich aus der DS-GVO dafür ergeben, wird an vielen Stellen im Netz ausführlich erläutert. Sie heißt es zum Beispiel bei datenschmutz.net.

„Werden mittels Formularen Daten erhoben und gespeichert (zum Beispiel durch ein Formular-Plugin, das alle Einträge auch in der Datenbank speichert), so muss der Nutzer dazu explizit seine Einwilligung erteilen. Eine entsprechende Checkbox zur Einholung der Zustimmung des Nutzers (darf standardmäßig nicht angehakt sein) ist die sicherste Art der Umsetzung.“

erecht24 fragt Achtung Abmahnung: Ist eine Einwilligung bei Kontaktformularen notwendig? und kommt mit Verweis auf ein Urteil des OLG Köln zu dem Schluss, dass es ohne Einwilligung nicht geht und die Datenschutzerklärung einen „Passus zum Umgang mit Daten aus dem Kontaktformular“ enthalten sollte. Unter das Formular sollte eine Checkbox zur Einwilligung eingebunden werden und daneben soltel es einen „Einwilligungstext zum Umgang mit den Daten der Nutzer und Ihr Recht auf Widerspruch“ geben.

Was müssen Schulen bei Online Krankmeldungen in Formularform beachten?

  • Vertrag zur Auftragsverarbeitung (AV Vertrag)
    Schulen können nach VO-DV I §2 Abs 3 externe Anbieter mit der Verarbeitung ihrer Daten beauftragen.1„Die Schulen und Schulaufsichtsbehörden sind berechtigt, unter Beachtung der Voraussetzung des § 11 DSG NRW die Datensicherheit gewährleistende und zuverlässige Institutionen mit der Verarbeitung ihrer Daten zu beauftragen. Die Datenverarbeitung im Auftrag ist nur zulässig nach Weisung der Schule oder der Schulaufsichtsbehörden und ausschließlich für deren Zwecke.“ Wenn die schulische Homepage, wie wohl in den meisten Fällen über einen Hoster (z.B. 1&1, Strato, Kommunales Rechenzentrum, …) betrieben wird, ist dafür ohnehin ein AV Vertrag erforderlich, denn es werden immer personenbezogene Daten von Besuchern der Homepage verarbeitet. Wichtig! Die personenbezogenen Daten, welche über das Formular verarbeitet werden, müssen im AV Vertrag berücksichtigt werden.
  • Als Verarbeiter muss die Schule den Datenschutz sicherstellen. Bei sensiblen Daten wie Gesundheitsdaten ist dieses umso wichtiger. Das bedeutet, die Schule muss sicher sein, dass der gewählte Auftragsverarbeiter das erforderliche Schutzniveau durch technisch organisatorische Maßnahmen (Art 25, 32 DS-GVO) gewährleistet. Ein Severstandort in Deuschland ist zu empfehlen, jedoch kein Muss, da ab dem 25.05.2018 überall in EU Land die gleichen Regeln gelten. Deutsche Anbieter haben allerdings einen Vorteil, die Kommunikation ist einfacher und der AV Vertrag ist in deutscher Sprache. Wer für die Krankmeldung ein Google Formular nutzen möchte (auch schon gesehen), sollte davon besser Abstand nehmen. 
  • Die Schule muss durch die technische Gestaltung des Online Formulars und Informierung der Betroffenen dafür sorgen, dass
    • eine eindeutige Einwilligung der Betroffenen möglich ist und dokumentiert wird, (Häkchen)
    • die Betroffenen über ihre Rechte bezüglich der Verarbeitung der Daten informiert werden (Datenschutzerklärung)
    • die Betroffenen ihre Rechte auf Auskunft, Widerruf, Berichtigung und Löschung wahrnehmen können.
    • die Übermittlung der personenbezogenen Daten sicher abläuft (SSL)
  • Darüber hinaus muss die Schule im Sinne der Datenminimierung dafür sorgen, dass
    • die IP Nummern sobald möglich entweder gelöscht oder pseudonymisiert werden,
    • die Formulardaten in kürzest möglicher Zeit gelöscht werden, bzw. sobald sie nicht mehr erforderlich sind. Das ist in der Regel der Fall, wenn das E-Mail mit dem Inhalt des Formulars an die Schule verschickt worden ist.
    • auch die E-Mails gelöscht werden, sobald sie ihren Zweck erfüllt haben.
  • Zu regeln ist von Seiten der Schule, dass nur Berechtigte Zugriff auf die Daten aus dem Formular haben2VO-DV I §2 Abs 1 „Insbesondere ist sicherzustellen, dass Berechtigte nur Zugang zu personenbezogenen Daten erhalten, die für die jeweilige Aufgabenerfüllung erforderlich sind.“, auf dem Webserver selbst (über die Adminoberfläche der Webseite) und in der Schule, der/die Empfänger der E-Mails.
  • In der Datenschutzerklärung sollte die Schule bezüglich der Online Krankmeldung informieren über:
    • die erhobenen Daten,
    • den Zweck der Verarbeitung,
    • die Art und Weise der Verarbeitung der Formulardaten (und der dabei erhobenen IP Adresse), wozu auch die Übermittlung per E-Mail gehört,
    • die Speicherdauer
    • die Verarbeitung im Auftrag,
    • die Sicherheitsmaßnahmen (SSL, Updates der Software auf der die Website läuft, z.B. WordPress, und der Plugins) und
    • die Kategorien von Zugriffsberechtigten bezüglich der erhobenen Daten (Empfänger)

Empfehlung für einen Text beim Kästchen für die Einwilligung beim Senden Button:

Mit der Nutzung dieser Online Krankmeldung erklärst du dich mit der Speicherung und Verarbeitung deiner Daten durch diese Website einverstanden. Weitere Informationen zu den verarbeiteten personenbezogenen Daten, deinem Recht auf Widerruf, Widerspruch, Auskunft, Berichtigung und Löschung findest du in der Datenschutzerklärung.

Die „Datenschutzerklärung“ ist dabei verlinkt.

Thema Löschen

Je nach der für Plattform, die für den Betrieb der Schulhomepage genutzt wird, könnte es schwierig sein, eine automatische Löschroutine für die gespeicherten Formulareinträge einzurichten. Hier sollte eine Lösung gefunden werden, etwa in der Form, dass die Einträge jede Woche oder jede zweite Woche von Hand gelöscht werden. Entsprechend sollte dieses in der Datenschutzerklärung bei Speicherdauer berücksichtigt werden.

Missbrauch vorbeugen

Formulare für eine Krankmeldung lassen sich leicht missbrauchen. Niemand hindert Personen daran, einen Schüler über das Formular krankzumelden, und diesen dann irgendwo einzusperren. Bis Mittag merkt hier niemand etwas. Solches lässt sich unterbinden, wenn man ein Formular nutzt, welches eine Bestätigung per E-Mail einfordert, indem an die angegebene E-Mail Adresse eine Nachricht mit einem Bestätigungslink gesendet wird. Erst dann wird der Eintrag im Formular gespeichert. Der hierbei entstehende zusätzliche Verarbeitungsschritt ist entsprechend zu dokumentieren. Es muss darauf auch beim Formular selbst hingewiesen werden.

Das MSB NRW kommt Schulen bei Genehmigung für Privatgeräte entgegen

Lesezeit: 2 Minuten

Die Genehmigung mit dem langen Namen1Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gemäß § 2 Absatz 2 VO-DV I/§ 2 Absatz 4 VO-DV II hatte in der Zeit nach der Veröffentlichung im Februar 2018 für eine Menge Verunsicherung und Unmut in den Schulen gesorgt. Nachdem das Ministerium lange kein Problem in der Genehmigung sehen wollte, gab es nun am 24.04.2018 ein Gespräch des Schulministeriums mit Lehrerverbänden, Gewerkschaft und Schulleitervereinigungen. Thema war „Datenverarbeitung in Schulen“.

In der Dienstanweisung heißt es:

„Die Verarbeitung personenbezogener Daten für dienstliche Zwecke auf privaten ADV-Anlagen von Lehrkräften ist nur mit schriftlicher Genehmigung der Schulleiterin oder des Schulleiters zulässig. Es gilt § 2 Absatz 2 mit Anlage 3 der VO-DV I. Für die Genehmigung ist der als Anlage beigefügte Genehmigungsvordruck zu verwenden.“2Dienstanweisung für die automatisierte Verarbeitung
von personenbezogenen Daten in der Schule

Das wurde mehrheitlich so verstanden, dass die alten Genehmigungen nicht länger Gültigkeit besitzen. Anders als in den alten Genehmigungen, sind in der neuen sehr deutliche Vorgaben gemacht, was Lehrkräfte leisten müssen, um die Sicherheit der verarbeiteten Daten auf ihren privaten Geräten zu gewährleisten. Dazu kam noch die Frage der Haftung.

„Sofern Sie die hier aufgeführten Maßnahmen zum Schutz der Daten einhalten, ist eine Haftung für Sie ausgeschlossen.“

Für viele war das dann der Punkt, die Unterschrift zu verweigern. Selbst die LDI NRW riet den Schulleitungen davon ab, den Lehrkräften die Genehmigung zu erteilen, da sie eine Beurteilung, ob eine Genehmigung aufgrund der von der Lehrkraft gemachten Angaben, nicht leisten könne.

Das Gespräch sorgte dann am 24.04.2018 für Entspannung. Der Philologen-Verband NRW hat die Ergebnisse zusammengefasst. Drei Informationen sind bezüglich der Genehmigung dabei von Bedeutung:

  1. Es gibt keine Frist, bis wann Lehrkräfte die Genehmigungen unterzeichnen müssen.
  2. Die alten Genehmigungen behalten weiter ihre Gültigkeit (und müssen demnach nicht durch die neue ersetzt werden).
  3. In den letzten 30 Jahren wurde laut MSB in NRW keine Lehrkraft wegen unsachgemäßen Umgangs belangt wurde.

Das MSB sieht die Haftungsfrage der Genehmigung scheinbar sehr entspannt, weil man mit Blick auf die Vergangenheit mit keinen Problemen durch Datenschutzverletzungen rechnet. Man darf sich dann aber die Frage stellen, warum man die Haftung überhaupt in die Genehmigung aufgenommen hat.

In Österreich brauchen sich Schulen als öffentliche Stellen in Bezug auf das Thema Haftung übrigens vorerst keine Sorgen machen, denn dort wurde jetzt in einer Gesetzesnovelle beschlossen, dass gegen Behörden und öffentliche Stellen keine Geldbußen verhängt werden können.3Keine Strafen: Österreich zieht neuem Datenschutz die Zähne

Interessant im Zusammenhang mit der Genehmigung ist noch der letzte Punkt in der Zusammenfassung des Philologenverbandes:

„Gegebenenfalls wird zum Umgang mit der Dienstanweisung die für Ende Mai 2018 zu erwartende Europäische Datenschutzverordnung einbezogen.“

Hier muss man nun abwarten, ob sich durch die Umsetzung der DS-GVO noch etwas ändern wird beim Umgang mit der Dienstanweisung.

Ein Dienstmail soll, laut Staatsekretär Richter im WDR4WDR 5 Westblick 24.04.2018, den Schulen in NRW am 25.04. 5Das war dann wohl nichts. Aus dem 25.04. wurde nichts. In einem anderen Interview sprach Staatssekretär Richter dann auf einmal von „in einigen Tagen“detaillierte Informationen dazu geben, was die Anwendung der Genehmigung betrifft und wie sie zu verstehen ist. Fakt ist aber, die Dienstanweisung gilt, die Schulen erhalten im Umgang mit der Genehmigung jedoch mehr Handlungsspielraum.

Update

Mittlerweile hat sich auch der VBE zum Treffen vom 24.04.2018 geäußert. Im Wesentlichen gibt man im Rundmail an die Mitglieder das wieder, was auch der Philologen-Verband NRW aufgeführt hatte. Ganz in meinem Sinne ist am Ende die Forderung

Die unterstützende Nutzung privater Endgeräte muss über ein pragmatisches datenschutzkonformes Verfahren erlaubt werden. Eine allgemeine Verpflichtungserklärung zur Einhaltung des Datenschutzes sollte ausreichen.

Vor allem der zweite Satz ist dabei wichtig. Die Haftung kann weg.

BookCreator geht DS-GVO konform

Lesezeit: 2 Minuten

BookCreator ist eine Plattform zur einfachen Erstellung digitaler multimedialer Bücher und vor allem in der iPad Version verbreitet an Schulen. Seit letztem Jahr bietet BookCreator außerdem eine Webplattform für die plattformunabhängige Nutzung mit dem Chrome Browser an, welche die Funktionalitäten der App nahezu gleichwertig abbildet und dazu noch Echtzeit-Kollaboration zulässt. Wer BookCreator nur lokal auf einem iPad nutzt, braucht sich um die Datenschutz Grundverordnung kaum Gedanken machen, solange die Speicherung von Projekten nicht in der iCloud erfolgt1Die iCloud Synchronisation muss zusätzlich deaktiviert werden..

Anders sieht das aus, wenn man die Webplattform nutzt. An diese kann auch das App angebunden werden für den Export von Büchern. Bei der Nutzung der Online Version landen in der Regel personenbezogene Daten von Schülerinnen und Schülern wie auch Lehrkräften in der Cloud. Das ist datenschutzrechtlich nur zulässig, wenn dieses im Auftrag der Schule erfolgt und dafür ist der Abschluss eines Vertrags zur Auftragsverarbeitung (AV Vertrag) zwischen Schule und BookCreator erforderlich. Die Schule ist dabei Auftraggeber (Controller) und BookCreator Auftragnehmer (Processor) und damit weisungsgebunden gegenüber der Schule.

BookCreator nutzt als Online Speicher die Google Cloud in den USA. Google arbeitet hier als Auftragnehmer von BookCreator. Der Vertrag regelt unter anderem, wie in Verträgen dieser Art üblich, dass Google dabei kein Recht hat, die Daten einzusehen. Der AV Vertrag zwischen Schule und BookCreator sollte auch für Nutzer aus Europa kein Problem darstellen, da Google sich dem EU-US Privacy Shield Abkommen verpflichtet hat und zusätzliche EU Modell Vertrags Klauseln unterzeichnet hat.2Weitere Informationen unter <a href=“https://bookcreator.com/gdpr/“>GDPR Compliance</a> BookCreator ist in Großbritannien zu Hause und damit (noch) EU.

Den AV Vertrag kann man laden unter Book Creator Data Processing Addendum.PDF Der gesamte Vertrag ist in englischer Sprache gehalten und bereits unterzeichnet. Schulen müssen ihn nur noch gegenzeichnen und an BookCreator3Der Vertrag wird an folgende E-Mail Adresse geschickt: gdpr@bookcreator.com schicken, damit er gültig ist.

Wird das Angebot nicht vollkommen anonymisiert genutzt, was viele kreative Einschränkungen mit sich bringt, müssen von Schülern und Lehrkräften darüber hinaus Einwilligungen vorliegen für die Nutzung ihrer personenbezogenen Daten auf der BookCreator Plattform.

Für die Nutzung der Online Version über den Chrome Browser müssen Schüler über einen Google Account (in der Regel ein G-Suite for Education Account) oder ein Office 365 Konto verfügen. Auch für die schulische Nutzung dieser beiden Angebote ist übrigens ein AV Vertrag erforderlich.

Die datenschutzfreundlichste Möglichkeit, die online Version von BookCreator mit Schülern zu nutzen besteht darin, anstelle des Chrome Browsers den auf Chrome basierenden Brave Browser4Brave gibt es für alle Betriebssysteme, auch für iOS. zu nutzen, und für den Login der Schüler QR Code Login für diese zu erstellen.

BookCreator hat seinen Sitz in Großbritannien. Das wird Auswirkungen auf die datenschutzrechtlichen Voraussetzungen für die Nutzung der online Version haben. Bis zum Ende des Übergangszeitraum am 31. Dezember 2020 gilt in GB noch die DS-GVO. Danach gilt britisches Datenschutzrecht. Dieses soll deutliche Abweichungen von der DS-GVO haben. Ohne einen sogenannten Angemessenheitsbeschluss der EU können dann dort personenbezogene Daten von EU Bürgern nicht länger ohne zusätzliche Absicherungen DS-GVO konform verarbeitet werden. Für Schulen in der EU wird eine Nutzung der online Version von BookCreator mit personenbezogenen Daten von Schülern ab Januar 2021 damit nicht länger möglich sein. Bereits angelegte Schülerkonten müssen bis dahin gelöscht werden und Projekte, die personenbezogene Daten enthalten, sind zu exportieren und ebenfalls zu löschen. Sollten die Anbieter von BookCreator bis dahin ein DS-GVO konforme Lösung in Form von Servern anbieten, auf welchen die Daten von EU Nutzern verarbeitet und gespeichert werden können, müsste ein entsprechender Wechsel vollzogen werden.

Letzte Bearbeitung 2020-02-22

Viele Schulhomepages laufen über Auftragsdatenverarbeitung

Lesezeit: 2 Minuten

Die meisten Schulhomepages dürften wohl nicht auf Servern laufen, die von der Schule selbst betrieben werden. Stattdessen laufen sie auf Servern, die entweder durch den Schulträger oder einen von ihm beauftragten IT-Dienstleister bereitgestellt werden oder, und das wird bei der überwiegenden Zahl aller Schulhomepages der Fall sein, sie laufen auf dem Server eines Web-Hosters wie 1&1, Strato, Domainfactory, Host Europe o.ä.

In Bezug auf den Datenschutz kann dieses von Bedeutung sein. Vermutlich gibt es kaum eine Schulhomepage, auf der nicht personenbezogene Daten verarbeitet werden. Lehrerinnen und Lehrer werden mit Name, Klasse und Informationen zur dienstlichen Erreichbarkeit aufgeführt und Schülerinnen und Schüler eventuell namentlich genannt bei Berichten über Projekte oder teilnahmen an Wettbewerben.

Trifft dieses zu, gilt Art. 28 Datenschutz Grundverordnung bzw. § 62 BDSG Auftragsverarbeitung. Ein Fall von Auftragsdatenverarbeitung liegt vor.

„Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags1Art. 28 DSGVO Auftragsverarbeiter, Abs. 3

Die Verarbeitung durch einen Auftragsverarbeiter hat auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments zu erfolgen, der oder das den Auftragsverarbeiter an den Verantwortlichen bindet und der oder das den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Rechte und Pflichten des Verantwortlichen festlegt.2§ 62 BDSG Auftragsverarbeitung, Abs. 5

Gegenwärtig dürften wohl nur die wenigsten Schulen einen solchen Vertrag mit dem Betreiber des Servers abgeschlossen haben, auf welchen ihrer Homepage betrieben wird. Ein solcher Vertrag ist nicht erst seit der DS-GVO erforderlich, sondern war auch schon die ganze Zeit durch die Datenschutzgesetzgebung vorgeschrieben. Mit der DS-GVO werden die Rechte der einzelnen Personen jedoch deutlich gestärkt und Schulen sollten aus Eigeninteresse sobald wie möglich einen solchen Vertrag abschließen. Auf den Webseiten der verschiedenen Web-Hoster sind die entsprechenden Unterlagen nicht immer leicht zu finden. Zur Not muss man Kontakt aufnehmen.

Üblicherweise findet man diese Verträge in Form eines PDF und dieses ist von Seiten des Anbieters bereits unterzeichnet. Man trägt in den Vertrag die eigenen Kontaktdaten und die Verantwortlichen ein und macht Angaben zur Art und zum Zweck der Verarbeitung. Häufig gibt es dafür vorgefertigte Listen, wo man entsprechende Angaben durch Ankreuzen machen kann. Der ausgefüllte unterschriebene Vertrag wird anschließend an den Web-Hoster zurückgeschickt. Er ist damit rechtlich gültig.

Liegt die Homepage auf einem Server des Schulträgers (z.B. bei der kommunalen IT im Rathaus) oder eines beauftragten Dienstleisters (zum Beispiel Kommunales Rechenzentrum), muss der entsprechende Vertrag beim Schulträger angefordert werden.

Ist die Schulhomepage auf einem Server untergebracht, der im Schulgebäude steht, ist zumindest das Führen eines Verzeichnisses der Verarbeitungstätigkeiten erforderlich.