Datenschutz-Folgenabschätzung durchführen

Lesezeit: 10 Minuten

Bisher hatten Schulen mit dem Thema Datenschutz-Folgenabschätzung (DSFA) eher nichts zu tun. Mit der zunehmenden Nutzung von digitalen Medien und dabei vor allem Online-Plattformen wird sich dieses für Schulen vermutlich ändern.

Worum geht es bei einer DSFA?

Wie der Name vermuten lässt, geht es um die Abschätzung der möglichen Folgen einer Verarbeitung von personenbezogenen Daten. Der Fokus liegt dabei jedoch nicht auf dem, der diese Daten verarbeitet, sondern auf den Betroffenen. Folgen meint hier die Auswirkung auf die Rechte und Freiheiten der betroffenen Personen. Die DSFA “kann als ein Instrument verstanden werden, durch welches das durch die Verarbeitung personenbezogener Daten verursachte Risiko für die Rechten und Interessen der betroffenen Person erkannt und bewertet wird.1Karg in Simitis, Hornung, Spieker Art. 35 Rn 9, Datenschutzrecht Ziel ist dabei, dass daraus abgeleitet wirksame Schutzmaßnahmen ergriffen werden, um die Risiken zu minimieren.

“Die Datenschutz-Folgenabschätzung ist somit eine umfassende technische, organisatorische und rechtliche Überprüfung und Bewertung der Verfahren und Grundlage für die daraufhin zu ergreifenden Risikominimierungsmaßnahmen”2Karg in Simitis, Hornung, Spieker Art. 35 Rn 12, Datenschutzrecht

In nicht deutschsprachigen europäischen Ländern wird für DSFA unter anderem der Begriff Privacy-Impact Assessment (PIA) verwendet. Beachten sollte man dabei, dass es diese Begrifflichkeit auch außerhalb der EU gibt. Im anglo-amerikanischen Sprachraum wird damit ein der DSFA ähnliches Verfahren bezeichnet, für das es auch Beispiele im Bildungsbereich gibt. Nach Einschätzung von Autoren wie Karg3in Simitis, Hornung, Spieker Art. 35 Rn 10, Datenschutzrecht sind beide jedoch kaum vergleichbar, da beim PIA die Thematik vor allem aus der technischen und organisatorischen Perspektive betrachtet wird, während die DSFA einen vorrangig rechtlich orientierten Abwägungsprozess definiert. Trotzdem kann man dort für eine DSFA zu großen US Plattformen wie Office 365 und Google Workspace for Education nützliche Informationen finden.

Wann ist eine DSFA erforderlich?

Nicht jede Datenverarbeitung stellt automatisch ein Risiko für die Rechte und Freiheiten der Betroffenen im Sinne von Art. 35 dar. Die Erfordernis für eine DSFA ergibt sich nur dann, wenn eine Form der Verarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung ein voraussichtlich hohes Risiko für die Rechte und Freiheiten der Betroffenen darstellt4siehe dazu auch Jandt in Kühling, Buchner Art. 35 Rn. 7. Drei verschiedene Beispiele werden in Art. 35 Abs. 3 genannt, bei denen man von einem voraussichtlich hohen Risiko ausgehen muss. Auf Schule bezogen kann man diese wie folgt beschreiben.

Bewertung persönlicher Aspekte der Betroffenen

Es findet eine systematische und umfassende Bewertung von persönlichen Aspekten von Schülern, Lehrern und Eltern auf der Grundlage von automatisierten Entscheidungen oder der Bildung von Profilen statt, die ihrerseits die Grundlage für Entscheidungen über die Personen dienen, und eine Rechtswirkung haben oder zu vergleichbaren Folgen führen können. Beispiele dafür könnten Programme sein, welche auf der Grundlage von dort eingetragenen Informationen zur Leistung und zum Verhalten von Schülern automatisiert eine Einteilung in ein Kurssystem vornehmen oder eine Schulempfehlung abgeben und darüber hinaus auch noch eine Bewertung der Lehrkräfte für eine Gehaltseinstufung abgeben. Eine Lernplattform, die mittels Learning Analytics Förderprofile erstellen soll, wäre ebenfalls ein Beispiel.

Umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten

Schulverwaltungsprogramme verarbeiten besondere Kategorien von personenbezogenen Daten entsprechend Art. 9 DS-GVO. Dazu gehören Angaben zur ethnischen Herkunft, zu religiösen Überzeugungen, Gesundheitsdaten (jedoch nur mit Einschränkungen5In NRW dürfen viele Gesundheitsdaten grundsätzlich nicht automatisiert verarbeitet werden. Darunter fallen laut VO-DV I Anlage I Abschnitt B, Fn. 2 z.B. Medizinische Gutachten und Atteste) und zur sexuellen Orientierung.6Die Verarbeitung dieser Daten ist nach Art. 9 Abs. 1 grundsätzlich untersagt. Art. 9 Abs. 2 lit. g. schafft hier jedoch eine Ausnahme. Allerdings erfolgt die Verarbeitung solcher personenbezogener Daten dort nicht umfangreich.

Systematische Überwachung öffentlicher Bereiche

Hier geht es vor allem um Videoüberwachung. Es sind aber auch andere elektronische Formen der Überwachung denkbar. Eine Videokamera, welche die Zugänge zu den Toiletten überwacht und dazu genutzt werden soll, um zu kontrollieren, wer, wann, wie lange und wie oft zur Toilette geht, würde unter eine systematische Überwachung fallen. In Schulen ist Videoüberwachung ohnehin ein sehr heikles Thema, auch ohne eine systematische Überwachung im Sinne der Verordnung.

Die drei in Art. 9 Abs. 3 genannten Regelbeispiele schließen andere mögliche Konstellationen, bei welchen sich die Pflicht zur Durchführung einer DSFA ergeben könnte, nicht aus.

Jedes Bundesland anders

Auch wenn mit Art. 35 DS-GVO die Rechtsgrundlage die gleiche ist, hängt es maßgeblich von der Einschätzung der jeweils zuständigen Aufsichtsbehörde bzw. dem Schulministerium ab, ob Schulen vor der Einführung einer neuen Technologie eine DSFA durchführen müssen. Die einzelnen Bundesländer kommen dabei zu unterschiedlichen Einschätzungen. Während einige Bundesländer im Bereich Bildung durchaus DSFAs vorsehen, geht man in NRW aktuell davon aus, dass es eine solche Erfordernis in der Regel nicht gibt7“Nach den Regelbeispielen im Verordnungstext ist dies insbesondere bei der Verwendung neuer Technologien und nur für Verarbeitungen vorgesehen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (z. B. systematisches Profiling; kommunale Meldedaten; umfangreiche behördliche Erhebungen im Zuge der Bewilligung von Sozialleistungen).

Daher besteht für die Verarbeitung von personenbezogenen Lehrer- und Schülerdaten für schulische Zwecke, über die auf Ebene einer Einzelschule üblicherweise entschieden wird, nach hiesiger Einschätzung in der Regel keine Verpflichtung der Schulleitung, eine DSFA durchzuführen.” FAQ Datenschutzrecht an Schulen, Medienberatung NRW, Stand 05/2019
. Mit der Formulierung “in der Regel” schließt man in NRW jedoch nicht aus, dass es Fälle geben kann, in welchen eine eine Schulleitung dann doch zu einer DSFA verpflichtet ist. Die Orientierungshilfe Online-Lernplattformen im Schulunterricht der Datenschutzkonferenz (DSK), an der alle Bundesländer beteiligt sind, nimmt an, dass “aufgrund der Art, der Umstände und der Zwecke der Verarbeitung bei einer Online-Lernplattform in aller Regel” davon auszugehen ist, dass diese “voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen (Schüler, Lehrer, Eltern) zur Folge hat.”

Was meint Risiko im Zusammenhang mit der DSFA?

Die DS-GVO liefert weder eine Definition des Begriffs selbst noch eine Skala, an welcher die Höhe des Risikos abzulesen ist. Grundlage für die Abschätzung des Risikos ist eine Prognoseentscheidung, bei welcher der Verantwortliche versucht, den Eintritt eines möglichen Schadens abzuschätzen und vorherzusagen. Dazu muss die Bewertung zwei Faktoren berücksichtigen:

  • die Eintrittswahrscheinlichkeit des befürchteten Schadens und
  • die Schwere des Schadens

Aus dem Verhältnis zwischen den beiden Faktoren ergibt sich dann das Gesamtrisiko.8Karg in Simitis, Hornung, Spieker Art. 35 Rn 22ff, Datenschutzrecht [

Was meint Schaden im Zusammenhang mit der DSFA?

Mit Schaden sind hier solche physischer, materieller oder immaterieller Art gemeint9Siehe auch Erwägungsgrund 75. In Schule dürfte im Zusammenhang mit der Verarbeitung von personenbezogenen Daten wohl vor allem um mögliche materielle oder immaterielle Schäden gehen, also beispielsweise um eine aus der Verarbeitung resultierende Diskriminierung, eine Rufschädigung, einen finanziellen Verlust oder einen Identitätsdiebstahl.

Welche Vorgaben muss eine DSFA erfüllen?

Die wichtigsten Aussagen zu den allgemeinen Anforderungen und der Vorgehensweise für eine DSFA finden sich in Art. 35 Abs. 7 lit. a bis d DS-GVO. Demnach muss eine DSFA inhaltlich zumindest vier Elemente aufweisen. Bezogen auf Schule kann man diese wie folgt beschreiben:

  • (a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung,
  • (b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge bezogen auf den Zweck,
  • (c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen (Schüler, Lehrkräfte, Eltern)
  • (d) eine Beschreibung der geplanten Maßnahmen, mit denen der Schutz der personenbezogenen Daten sichergestellt werden soll und ein Nachweis, dass die Vorgaben der DS-GVO unter Wahrung der Interessen und Rechte der Betroffenen eingehalten werden.

Aus diesen inhaltlichen Mindestanforderungen lässt sich eine dreischrittige Vorgehensweise  für eine DSFA ableiten10Jandt in Kühling, Buchner Art. 35 Rn. 33, eine Vorbereitungsphase (a), eine Bewertungsphase (b, c) und eine Maßnahmenphase (d). 

Das Kurzpapier Nr. 5 der Datenschutzkonferenz untergliedert den Prozess der DSFA in 10 Schritte bis zum Abfassen des Berichtes, an welche sich dann noch sechs weitere Schritte anschließen, in welchen die Maßnahmen, welche das Risiko vermindern sollen, umgesetzt und auf ihre Wirksamkeit geprüft werden, die Einhaltung der DS-GVO dokumentiert und das Verfahren freigegeben wird. Damit endet der Prozess jedoch nicht. Gegebenenfalls wird die DSFA überprüft und fortgeschrieben.

Vorbereitungsphase

  • Zusammenstellung der Personen, welche an der DSFA beteiligt sind. Dazu wird auf jeden Fall jemand gehören, der im Fall von Schule die Plattform oder Software ausreichend gut kennt, jemand, der eine Vorstellung davon hat, wie die Nutzung erfolgen soll und beratend eventuell auch ein Datenschutzbeauftragter.
  • Erstellung eines Prüfplans. Je komplexer eine Plattform oder Software ist und je umfangreicher die Auseinandersetzung damit, umso besser muss das Vorgehen geplant und abgestimmt werden.
  • Festlegung des Beurteilungsumfangs (Scope). Hier wird festgelegt, um welche konkreten Verarbeitungsvorgänge es bei der geplanten Nutzung der Plattform bzw. Software geht, welche Datenflüsse es dabei gibt und welches die Verarbeitungszwecke sind. Dabei geht es auch um die eingesetzte Technik und eine Erläuterung von Art, Umfang und Umständen der Verarbeitung von personenbezogenen Daten.
  • Identifikation und Einbindung von Akteuren und betroffenen Personen. Um in später die Risiken abschätzen zu können, müssen die Personen benannt werden, welche mit dem Verarbeitungsprozess zu tun haben, als Betroffene, also Schüler, Lehrkräfte, Eltern und eventuell andere Personen, und als Akteure wie z.B. IT Administratoren, Auftragsverarbeiter und ähnlich. Bei den Betroffenen wird je nach Verarbeitungsprozesse auch deren Meinung eingeholt.

Bewertungsphase

  • Bewertung der Notwendigkeit/Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf ihren Zweck. Die in den vorherigen Schritten ermittelten Verarbeitungsvorgänge werden bezogen auf die beschriebenen Verarbeitungszwecke auf ihre Verhältnismäßigkeit hin bezüglich der Auswirkungen auf die Rechte und Freiheiten der Betroffenen, also der Schüler, Lehrkräfte und Eltern hin bewertet. Je nach Ergebnis wird geschaut, ob sich Alternativen anbieten, deren Auswirkungen für die Betroffenen geringer sind. Entsprechend werden dann unter Umständen Verarbeitungsprozesse angepasst, hinsichtlich der genutzten Technik, der verwendeten Daten oder der beteiligten Akteure.
  • Identifikation der Rechtsgrundlagen. Wenn klar ist, welche Verarbeitungsvorgänge in Frage kommen und mit welchen Auswirkungen auf die betroffenen Personen, werden die Rechtsgrundlagen dafür ermittelt und dokumentiert sein. In der Schule kommen hier in der Regel nur wenige Möglichkeiten in Frage, die Verarbeitung auf der Grundlage eines Gesetzes oder auf der Grundlage einer Einwilligung der Betroffenen.
  • Modellierung der Risikoquellen. In diesem Teil soll ermittelt werden, woraus sich bei der Verarbeitung von personenbezogenen Daten Risiken für die Betroffenen ergeben können. Es wird unterschieden zwischen internen und externen Quellen, also von innerhalb und von außerhalb der Schule, sowie zwischen menschlichen (z.B. Personen in der Schule) und nichtmenschlichen Quellen (z.B. Hardwareversagen). Dabei wird auch die mögliche Motivation betrachtet, sofern es sich um eine menschliche Quelle handelt. Unterschieden wird dabei zwischen unbeabsichtigt (z.B. Bedienfehler) und vorsätzlich (z.B. Hacking).
  • Risikobeurteilung  Unter Berücksichtigung der Umstände und der Zwecke der geplanten Verarbeitung von personenbezogenen Daten wird abgeschätzt, wie hoch das Risiko für die Rechte und Freiheiten der Benutzer, Schüler und Lehrkräften, ausfällt. Dabei geht es um mögliche materielle wie auch immaterielle Schäden. Materielle Schäden können beispielsweise der Verlust einer Ausbildungsstelle sein. Rufschädigung wäre ein möglicher immaterieller Schaden. Beurteilt wird so, wie wahrscheinlich es ist, dass ein Risiko eintritt und wie schwer der voraussichtliche Schaden ist, der für die betroffene Person daraus entstehen kann. Berücksichtigt werden dazu auch die Maßnahmen, welche verhindern sollen, dass das Risiko eintritt. Das meint die technischen und organisatorischen Maßnahmen auf Seiten der Schule selbst wie auch durch den Betreiber der Online Plattform oder die Hersteller der Software, deren Nutzung geplant ist. Das Ergebnis der Risikobewertung bzw. -beurteilung kann in einer Matrix abgetragen werden, die auf der einen Achse, die Schwere des möglichen Schadens und auf der anderen die Eintrittswahrscheinlichkeit darstellt.

Maßnahmenphase

  • Auswahl geeigneter Abhilfemaßnahmen Entsprechend dem Ergebnis der Bewertungsphase werden in diesem Schritt technische und organisatorische Maßnahmen zusammengestellt, welche geeignet sind, die ermittelten Risiken auszuschließen oder zumindest bezüglich ihrer Eintrittswahrscheinlichkeit zu reduzieren. Es kann sich eine erneute Risikobewertung (Restrisikoanalyse) anschließen, um zu ermitteln, in wie weit sich dadurch die Sicherheit des Systems erhöht und damit das Risiko für die Betroffenen reduziert hat.
  • Erstellung des DSFA-Berichts Die DSFA schließt mit einem Bericht ab, der Verschriftlichung der verschiedenen Stufen der DSFA.

Tipps

  • Für die eigentliche Beurteilung der Risiken gibt es mehrere Verfahren. Im Musterbeispiel zur Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO in Anlehnung an die ISO/IEC 29134 greift man dafür auf ISO 31000 zurück. Für Schulen scheidet dieser Weg eher aus, da die Dokumentationen zu den ISO Normen nur kostenpflichtig erhältlich sind. 11ISO/IEC 29134 kostet aktuell als Epub und PDF etwa 140 € Erläuterungen zu den Normen geben die Normen selbst in der Regel nur auszugsweise wieder. Man kann sich zumindest in Teilen an Muster DSFAs orientieren. Mit Schule haben die gegenwärtigen Muster und Beschreibungen leider alle nichts zu tun. Etwas einfacher ist das Vorgehen entsprechend dem PIA Tool der französischen Aufsichtsbehörde, da dieses über das Tool selbst dokumentiert ist. Dieses Tool kann man auf einem Windows System installieren und es führt Schritt für Schritt durch eine DSFA. Am Ende wird ein Bericht ausgegeben. Etwas Hintergrundwissen oder Fachliteratur kann beim Ausfüllen der verschiedenen Abfragen im PIA Tool sehr hilfreich sein.

Download

Diese Datenschutz-Folgenabschätzung betrachtet die möglichen Risiken, welche sich mit einer Nutzung der Google Workspace  for Education im Unterricht und zu Zwecken der Teamarbeit im Kollegium und Bereitstellung von Informationen durch die Schulverwaltung für die Rechte und Freiheiten der Betroffenen ergeben können und mit welchen Maßnahmen entsprechend der Befunde eine Risikoeindämmung vorgenommen werden kann.

Hinweis: Diese DSFA erhebt keinen Anspruch auf Vollständigkeit oder Richtigkeit. Auch wenn es das Ziel ist, anhand von objektiven Kriterien zu einer begründeten Bewertung zu kommen, so gibt es Bereiche, wo man mit Vermutungen arbeiten muss und vielleicht falsch liegt. Darüber hinaus ist auch die Struktur in Teilen noch verbesserungswürdig. Der endgültige Bericht muss nicht alle Punkte einschließen, welche in der Vorlage erfasst sind.12Zur Orientierung, was der Bericht selbst umfassen sollte, siehe S. 25 in Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO in Anlehnung an die ISO/IEC 29134, Musterbeispiel, Bayerisches Landesamt für Datenschutzaufsicht Im März 2021 veröffentlichte die Privacy Company aus den Niederlanden eine DSFA zu Google Workspace Enterprise, die sehr viel umfangreicher ausfällt als das Beispiel hier und auch andere Aspekte wie z.B. Telemetriedaten berücksichtigt. Die im Auftrag des Niederländischen Justizministeriums angefertigte DSFA wurde im Vorjahr durchgeführt und die Ergebnisse finden sich unter Google Workspace DPIA for Dutch DPA und gelten auch für Google Workspace Enterprise for Education. Eine kurze Zusammenfassung des Ergebnis findet sich unter Privacy assessment Google Workspace (G Suite) Enterprise : Dutch government consults Dutch Data Protection Authority on high privacy risks (engl. Sprache).

Um die Objektivität und Richtigkeit der dargestellten Sachverhalte zu gewährleisten, sollte eine DSFA immer von mehreren Personen erstellt werden. Dabei kann die grundlegende Vorarbeit durchaus von einer einzelnen Person geleistet werden. Andere Personen sollten jedoch in den weiteren Phasen beteiligt werden.

Wer als Schule eine DSFA durchführen muss, kann sich an dieser Vorlage durchaus orientieren, auch wenn es nicht um Google Workspace for Education geht. Die Vorlage lässt sich problemlos auf andere Anwendungen und Plattformen übertragen.

Wichtig! Schulen, die zufälligerweise eine DSFA für Google Workspace  for Education durchführen, sollten die Vorlage oben nicht einfach blind kopieren und fertig. Man sollte sich intensiv mit dem Thema auseinandersetzen. Vielleicht kommt man zu einem völlig anderen Schluss. Schulen, die nicht in NRW sind, müssen außerdem die Verweise auf das Schulgesetz NRW auf ihr Bundesland anpassen. Auch wenn es kein Muss ist, sollte man die SV und den Lehrerrat (oder vielleicht sogar den örtlichen Personalrat) mit einbeziehen und um Stellungnahme bitten. Die Stellungnahmen können wichtige Aufschlüsse bringen, wo die Betroffenen für sich Risiken vermuten. Diese sollten in die Betrachtung und Bewertung der Risiken mit einfließen. Vielleicht hilft die DSFA in ihrem Ergebnis, die Befürchtungen der Betroffenen zu entkräften.

Die wichtigste Orientierung bei der Erstellung dieser DSFA waren das Kurzpapier Nr. 5, das Musterbeispiel des Bayerisches Landesamt für Datenschutzaufsicht und das PIA Tool der Französischen Aufsichtsbehörde.

Beispiel Office 365

Im Zusammenhang mit Office 365 sind 2018 und 2019 mehrere DSFA entstanden. Das niederländische Justizministerium hatte bei einer Firma, Privacy Company, eine DSFA in Auftrag gegeben, um zu ermitteln, ob der Einsatz von Office 365 in Regierungsbehörden datenschutzkonform möglich ist. Die DSFA sind öffentlich zugänglich in englischer und niederländischer Sprache. Damit erhält man ein sehr gutes Beispiel, wie eine DSFA aussehen und vor allem, welchen Umfang sie haben kann. Auch zu erkennen ist an dem Beispiel, wie viel Expertise erforderlich ist, um eine DSFA von einem so komplexen Produkt wie Office 365 zu erstellen.

Beispiel elektronisches Klassenbuch und Videoüberwachung – Niedersachsen

Anders als in NRW gibt es in Niedersachsen konkretere Vorgaben13siehe https://www.landesschulbehoerde-niedersachsen.de/themen/schulorganisation/datenschutz/dsgvo/datenschutzfolgeabschaetzung , wann eine DSFA durchzuführen ist. Die genannten Beispiele sind nicht abschließend.

“Im schulischen Kontext bedarf es einer Datenschutz-Folgenabschätzung beispielsweise bei der Einführung eines elektronischen Klassenbuches, der Verarbeitung personenbezogener Schülerdaten durch Lernplattformen oder der Einführung von Tablet-Klassen.”

Zwei Vorlagen werden als PDF zum Download angeboten, für die Einführung eines elektronischen Klassenbuches und eine Videoüberwachung.

Hilfreiche Informationen zur DSFA

Art. 35 der DS-GVO und die zugehörigen Erwägungsgründe 75 – 93 reichen definitiv nicht aus, um eine DSFA durchführen zu können, da dort vertiefende und erklärende Informationen fehlen. Die oben an verschiedenen Stellen zitierten Kommentierungen der DS-GVO können helfen, die Vorgaben aus der DS-GVO besser zu verstehen. Für Schulen, die sich mit einer DSFA befassen, dürften aber die meisten der hier gelisteten Schriften deutlich hilfreicher sein.

Dokumente

Buch

Software

Stand 04/2021

Datenschutz & Mitbestimmung

Lesezeit: 4 Minuten

Auch wenn man es auf den ersten Blick nicht erwartet, Datenschutz und Mitbestimmung haben Schnittpunkte. Das Thema Mitbestimmung ist geregelt im Personalvertretungsgesetz für das Land Nordrhein-Westfalen (LPVG), welches vergleichbar ist dem Betriebsverfassungsgesetz (BetrVG) für Arbeitnehmer in Unternehmen1Da beide Regelungen viele Ähnlichkeiten aufweisen, kann man sich bezüglich des LPVG auch an entsprechenden Kommentierungen zum BetrVG orientieren. . Von Bedeutung für Schulen und das Thema digitale Plattformen ist dort der §72, denn dort sind mitbestimmungspflichtige Angelegenheiten geregelt.

(3) Der Personalrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, mitzubestimmen in Rationalisierungs-, Technologie– und Organisationsangelegenheiten bei

1. Einführung, Anwendung, wesentlicher Änderung oder wesentlicher Erweiterung von automatisierter Verarbeitung personenbezogener Daten der Beschäftigten außerhalb von Besoldungs-, Gehalts-, Lohn-, Versorgungs- und Beihilfeleistungen sowie Jubiläumszuwendungen,

2. Einführung, Anwendung und Erweiterung technischer Einrichtungen, es sei denn, dass deren Eignung zur Überwachung des Verhaltens oder der Leistung der Beschäftigten ausgeschlossen ist,

3. Einführung grundlegend neuer, wesentlicher Änderung und wesentlicher Ausweitung von Arbeitsmethoden,

4. Maßnahmen, die die Hebung der Arbeitsleistung oder Erleichterungen des Arbeitsablaufs zur Folge haben sowie Maßnahmen der Änderung der Arbeitsorganisation,

5. Einführung, wesentlicher Änderung oder wesentlicher Ausweitung betrieblicher Informations- und Kommunikationsnetze,

“(4) Der Personalrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, mitzubestimmen über

1. Beginn und Ende der täglichen Arbeitszeit und der Pausen sowie Verteilung der Arbeitszeit auf die einzelnen Wochentage, Einführung, Ausgestaltung und Aufhebung der gleitenden Arbeitszeit,”

In Bezug auf Datenschutz ist vor allem Nr. 2 von Interesse. Auch wenn im Gesetzestext hier das Wort Datenschutz selbst nicht einmal vorkommt, so geht es doch genau um diesen, da Überwachung datenschutzrechtliche Implikationen hat. Werden an einer Schule also technische Einrichtungen eingeführt oder erweitert, bei welchen eine Eignung zur Überwachung des Verhaltens oder der Leistung der Beschäftigten nicht ausgeschlossen ist, so ist diese Angelegenheit mitbestimmungspflichtig.2“Maßgeblich für die Eignung zur Überwachung ist, ob durch die technische Einrichtung anonym, d.h. ohne dass die Beschäftigten sich dem entziehen können, Daten erzeugt, erhoben oder ausgewertet werden können, die einen unmittelbaren Rückschluss auf ihr Verhalten oder ihre Leistung zulassen. Der seit dem 16.07.2011 geltende – also aktuelle – Gesetzeswortlaut des § 72 Abs. 3 Nr. 2 LPVG ist insofern eindeutig: Das Mitbestimmungsrecht wird bereits dadurch ausgelöst, dass die einzuführende technische Einrichtung zur Überwachung oder Leistungskontrolle in technischer Hinsicht geeignet ist.”, Leitfaden zur Mitbestimmung nach LPVG NRW bei der Umsetzung der Open.NRW Strategie.pdf von Open.NRW unter CC BY 4.0  Technische Einrichtungen meint auch digitale Plattformen, egal ob lokal betrieben oder in einer Cloud.3Einführung und Anwendung technischer Einrichtungen, § 87 Abs. 1 Nr. 6 BetrVG

Eine Vielzahl EDV-gestützter Anwendungen ist dazu geeignet, Mitarbeiterverhalten am Arbeitsplatz zu beobachten. Der weite Anwendungsbereich dieses Mitbestimmungsrechts führt zu einem Beteiligungsrecht des Betriebsrats bei einer Vielzahl von IT-Sicherheitsfragen.” heißt es in einer Kommentierung zur durch Paul Voigt in IT-Sicherheitsrecht: Wann ist der Betriebsrat einzubeziehen?
 Nicht ausgeschlossen heißt, es ist ausreichend, dass die Möglichkeit besteht, selbst wenn eine Überwachung nicht geplant ist.4Ob eine Nutzung der Überwachungs- und Kontrollfunktionen auch beabsichtigt ist oder tatsächlich stattfindet, spielt keine Rolle. Im Ergebnis muss deshalb in aller Regel von einer Überwachungsmöglichkeit und damit der Einschlägigkeit des § 72 Abs. 3 Nr. 2, PVG NRW ausgegangen werden. Anders ist dies nur dann, wenn diese Möglichkeit definitiv -der Nachweis wäre aber in diesem Falle von der Dienststelle zu führen – ausgeschlossen ist”, Leitfaden zur Mitbestimmung nach LPVG NRW bei der Umsetzung der Open.NRW Strategie on Open.NRW unter CC BY 4.0  Die Einführung einer Plattform, welche von der Schulleitung dazu genutzt werden könnte, Rückschlüsse auf das Nutzerverhalten und die Leistungen von Lehrkräften zu ziehen, hat damit immer auch datenschutzrechtliche Implikationen. Es geht dabei um das Risiko, welches durch eine Zweckentfremdung von personenbezogenen Daten, hier Daten, die einen Aufschluss über das Nutzerverhalten geben, zu einem Schaden für die Betroffenen führen könnte.

Genau dieses Risiko greift die Orientierungshilfe Online-Lernplattformen der Datenschutzkonferenz auf, die sich mit den datenschutzrechtlichen Aspekten der Einführung und Nutzung solcher Plattformen beschäftigt. Die Orientierungshilfe geht davon aus, dass die Verarbeitung von personenbezogenen Daten in einer solchen Online-Lernplattform in aller Regel

“ein voraussichtlich hohes Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen (Schüler, Lehrer, Eltern) zur Folge“ haben wird.”

Sobald dieses der Fall ist, hat der “Verantwortliche vorab eine Datenschutz-Folgenabschätzung nach Art. 35 Datenschutz-Grundverordnung durchzuführen“. Zu einer solchen gehört, wie im Kurzpapier Nr. 5 Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO ausgeführt, die “Identifikation und Einbindung von Akteuren und betroffenen Personen.“

“Ggf. holt der Verantwortliche den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung ein (Art. 35 Abs. 9 DS-GVO). Dies umfasst beispielsweise die Einbindung von Gremien der Mitbestimmung, z. B. von Betriebsräten.”

Der Wortlaut der Empfehlung im Kurzpapier entspricht fast der Formulierung in Art. 35 Abs. 9 DS-GVO.

“Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.”

Unklar bleibt in dieser Formulierung mit gegebenenfalls, unter welchen Umständen der Standpunkt der Betroffenen oder ihrer Vertreter einzuholen ist. Jandt geht in Kühling, Buchner Art. 35 DS-GVO Rn. 57 davon aus, dass sich aus der Forderung nach Einholung des Standpunktes eine Informationspflicht der Betroffenen oder ihrer Vertreter logisch ergeben müsste. Wer mit Vertreter gemeint ist, wird nicht explizit genannt. Man kann aber davon ausgehen, dass hier Vertreter nach den Regeln der betrieblichen bzw. behördlichen Mitbestimmung gemeint sind “oder anderer Personengruppen wie Eltern- oder Schülervertreter”5Karg in Simitis, Hornung, Spieker, Art. 35 Rn 69 .

Was bedeutet das für die Praxis?

Wenn an einer Schule eine Plattform eingeführt oder eine bestehende in ihrer Funktion deutlich ausgeweitet werden soll und diese Plattform soll durch alle Lehrkräfte genutzt werden, dann ist die Mitbestimmung mit großer Wahrscheinlichkeit mit einzubeziehen. Der Grund dafür muss nicht einmal ein datenschutzrechtlicher Belang sein. Geht es beispielsweise darum, ab welcher Uhrzeit E-Mails an Arbeitstagen abgerufen oder der digitale Vertretungsplan eingesehen werden muss, so fällt dieses unter die Regelungen von §72 LPVG, da es zumindest die Arbeitszeiten betrifft. Eröffnet eine Plattform die Möglichkeit, das Verhalten der Nutzer in der Plattform zu überwachen, etwa durch Protokolldateien, die Logins und Logouts oder wann in der Plattform der Unterricht gestartet und beendet wurde zeigen, dann ist dieses auf jeden Fall mitbestimmungspflichtig. Die Mitbestimmungspflicht ist hier auch ein Datenschutzthema, da personenbezogene Daten von Lehrkräften anders genutzt werden (können) als es dem Verarbeitungszweck der Plattform entspricht, etwa Durchführung von Unterricht oder Führen eines digitalen Klassenbuches. Ob und welche Risiken eine Verarbeitung von personenbezogenen Daten etwa durch eine Online-Lernplattform oder ein digitales Klassenbuch für die betroffenen Lehrkräfte bedeuten kann und durch welche Maßnahmen diese Risiken reduziert werden können, ist Gegenstand der Datenschutz-Folgenabschätzung. Anders als durch §72 Abs. 3 LPVG ergibt sich aus Art. 35 Abs. 9 DS-GVO jedoch keine Verpflichtung, die Mitbestimmung im Rahmen der Datenschutz-Folgenabschätzung einzuholen.

Die Einbeziehung der Mitbestimmung sollte es ermöglichen, im Endergebnis zu einer für alle Betroffenen verträglichen Lösung zu kommen. Diese kann dann beispielsweise in einer Dienstvereinbarung festgehalten werden, in welcher Regeln bezüglich der Nutzung der Plattform und Maßnahmen zum Schutz der personenbezogenen Daten der Betroffenen, auch vor unrechtmäßiger Überwachung durch die Schulleitung, vereinbart sind. Welche Gremien der Mitbestimmung beteiligt werden, hängt vom jeweiligen Fall ab. Je umfangreicher der Regelungsbedarf, desto wahrscheinlicher ist es, dass man sich nicht nur auf die schulinternen Vertretungsgremien beschränken, sondern auch den örtlichen Personalrat mit einbeziehen sollte. Dort findet man in der Regel eine entsprechende Kompetenz, die Tragweite von möglichen Risiken zu beurteilen, die mit der Einführung einer Plattform für die Betroffenen einhergehen können.

Ist man zu einer verträglichen Regelung gekommen, haben Lehrkräfte jedoch weiterhin die Möglichkeit, ihre Einwilligung in die erforderliche Verarbeitung von personenbezogenen Daten zu verweigern, solange die Nutzung der Plattform nicht durch ein Gesetz oder eine andere rechtliche Grundlage verbindlich vorgeschrieben ist.6Beispiel Logineo NRW: Dort heißt es in der Dienstvereibarung:

Für die Bereitstellung von LOGINEO NRW für Teile oder das gesamte in der Schule tätige Personal ist ein Beschluss der Lehrerkonferenz erforderlich.
Für die Bereitstellung von LOGINEO NRW für Schülerinnen und Schüler sowie für Eltern, die Mitglieder von Mitwirkungsorganen sind, ist ein Beschluss der Schulkonferenz erforderlich.
Die Nutzung von LOGINEO NRW ist freiwillig und setzt eine Einwilligungserklärung der jeweiligen Nutzerin/des jeweiligen Nutzers bzw. deren/dessen gesetzlicher Vertretung voraus.”

Diese Beschreibung der Mitbestimmung aus Sicht des Datenschutz hatte vor allem die Lehrkräfte an den Schulen im Blick. Mitbestimmung gibt es natürlich auch für alle anderen Betroffenen in Schule. Schüler und Eltern sind, je nach Fall, über ihre Gremien, die SV und die Elternpflegschaft, ebenfalls zu beteiligen.

Stand 05/2019