Endlich klare Aussagen vom MSB NRW zu datenschutzrechtlichen Fragen

Lesezeit: 1 Minute

Es hat lange gedauert bis sich das Ministerium für Schule und Bildung NRW einmal umfänglich zu datenschutzrechtlichen Fragen im Zusammenhang mit der umstrittenen Genehmigung zur Verarbeitung von personenbezogenen Daten aus der Schule auf privaten Endgeräten von Lehrkräften äußert. Was geht und was geht nicht, wie sieht es mit Haftungsfragen aus? Antworten kommen auch zu vielen anderen Fragen: z.B. E-Mail Kommunikation mit Eltern über dienstliche und private E-Mail Adressen, Speicherung von Fotos von Schülern auf dem Smartphone, Nutzung von privaten Smartphones für Kommunikation mit Eltern, Fragen zu zulässigen Anwendungen, Zugriff auf Webanwendungen und die Genehmigung, und die Zulässigkeit von WhatsApp, Telegram und iMessage auf privaten Geräten, wenn sie dienstlich genutzt werden. Zu finden ist dieses unter

Da es an Schulen nicht nur viele Fragen zur Genehmigung gibt, sondern auch zu anderen Bereichen, wurden in einer zweiten Sammlung weitere Fragen zum Thema Datenschutz an der Schule aufgegriffen. Hier geht es um die Aufgaben von Datenschutzbeauftragten, Notelisten in Papierform am heimischen Arbeitsplatz, die Übermittlung von Elterndaten an die Schulpflegschaft, Office 365 im schulischen Einsatz, Videoüberwachung und elektronische Schließanlagen an der Schule.

Sicherlich werden verschiedene Akteure im Bereich Schule die Antworten unterschiedlich beurteilen. Es bleiben definitiv auch noch Fragen offen, doch es ist gut, dass das Ministerium zu den meisten Fragen sehr eindeutig Stellung bezogen hat. Mit diesen Antworten kann man planen und Entscheidungen fällen.

Auch zum Thema Schulhomepage gibt es einige (wenige) datenschutzrechtliche Aussagen vom Ministerium.

Vorabkontrolle der Genehmigungen für Lehrer in NRW durch schulische DSB entfällt

Lesezeit: 2 Minuten

Als das Ministerium für Schule und Bildung Anfang des Jahres den neuen Genehmigungsvordruck zu Nutzung privater Endgeräte zur Verarbeitung personenbezogener Daten aus der Schule per Erlass einführte, war dort noch eine Vorabkontrolle durch die behördlich bestellten schulischen Datenschutzbeauftragten (DSB) verbindlich vorgesehen. Diese sollten jeden Genehmigungsantrag von Lehrkräften prüfen, bevor die Schulleitung dann die Genehmigung erteilte. Mit Beginn der Umsetzung der Datenschutz Grundverordnung (DS-GVO), nur wenige Monate nach Einführung der Genehmigung ist die Vorgabe zur Kontrolle durch die schulischen nicht länger erforderlich. Dieses hängt mit einer Veränderung der Aufgabenbeschreibung von Datenschutzbeauftragten zusammen, die sich mit der DS-GVO gegenüber dem alten Bundesdatenschutz Gesetz ergeben hat.

In einem Schreiben des MSB, Ref. 212 von Mai 2018 heißt es entsprechend,

„Die bisherige Pflicht gem. §§ 8, 10 DSG, ein Verfahrensverzeichnis zur Führung und Einsichtnahme bei den behördlichen Datenschutz- beauftragten zu erstellen und ihnen das Verzeichnis zur Vorabkontrolle vorzulegen, entfällt.
[…] Zwar sind die Datenschutzbeauftragten zur Vorabkontrolle des Verzeichnisses nicht mehr konkret gesetzlich verpflichtet. Gleichwohl wird den Schulleitungen dringend empfohlen, sie weiterhin um Prüfung neuer Dokumentationen zu bitten. Dies unterfällt dem Beratungsrecht der Schulleitungen bzw. der korrespondierenden Pflicht der Datenschutzbeauftragten.

Entsprechendes gilt für die Genehmigung zur Nutzung von privaten ADV-Geräten der Lehrkräfte:

Der Genehmigungsvordruck, der mit der Dienstanweisung (BASS 10-41 Nr. 4) zur Verfügung gestellt worden ist, sieht die Dokumentation der Vorabkontrolle nach bislang geltender Rechtslage vor. Hierzu wird ebenfalls empfohlen, die Datenschutzbeauftragten weiterhin im Wege der Beratung einzubeziehen und dies vom Verantwortlichen (Schulleitung oder ZfsL-Leitung) entsprechend dort im Vordruck zu vermerken.

Die bzw. der Datenschutzbeauftragte ist nicht mehr zur schriftlichen Prüfungsbestätigung verpflichtet.“

Auch eine Vorabkontrolle der Verfahrensverzeichnisse  jetzt Verzeichnisse von Verarbeitungstätigkeiten ist nicht länger verbindlich vorgeschrieben, wird jedoch empfohlen, wie den Ausführungen des MSB zu entnehmen ist.

Schulleitungen entscheiden also selbst, ob sie ihren zuständigen DSB beratend hinzuziehen möchten, bevor sie ihren Lehrkräften eine Genehmigung erteilen. Eine Verpflichtung dazu besteht nicht.

TeacherTool zeigt, Datenschutz kann einfach sein

Lesezeit: 2 Minuten

Es tut gut, wenn man sieht, dass es Softwareentwickler gibt, die mitdenken. Privacy by Design und Privacy by Default1Siehe dazu Privacy by Design gehören nach Art. 25 DS-GVO zu Grundprinzipien des Datenschutzes. Wer ein Softwareprodukt oder einen Online Dienst entwickelt, sollte entsprechend direkt bei der Entwicklung Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen berücksichtigen. TeacherTool, ein iOS App für die Schülerverwaltung, macht genau dieses schon seit Jahren auf vorbildliche Art und Weise. Der Entwickler der Software kennt die Nöte seiner Kunden, die vor allem in NRW seit der neuen Genehmigung eher zugenommen haben, wenn es um die dienstlichen Vorgaben zur Nutzung von Privatgeräten von Lehrkräften zur Verarbeitung von personenbezogenen Daten aus der Schule geht. Das App, welches Lehrkräften die Verwaltung von Schülerdaten (Noten, Fehlzeiten, Bemerkungen, …) erleichtert und auch die Führung eines Kursbuchs zur Planung des Unterrichts beinhaltet, dürfte von Lehrkräften überwiegend auf Privatgeräte genutzt werden. Und das geht ohne Genehmigung nicht. Strenge technische und organisatorische Vorgaben sind einzuhalten, um das Gerät sicher zu machen. iOS Geräte sind an sich schon sehr sicher, wenn man die vom System angebotenen Sicherheitseinstellungen nutzt. Teachertool packt seine eigenen Sicherheitsfeatures noch oben drauf, um Lehrern die Einhaltung datenschutzrechtlicher Vorgaben zu erleichtern. Das App lässt sich mit einer Zugangssperre versehen, die Datenbanken mit Passwort sichern und der Versand von Kursbüchern per E-Mail, um sie am Rechner zu sichern, erfolgt immer verschlüsselt und passwortgesichert.

Als zusätzlichen Service bietet der Entwickler des Programms auf seiner Website umfängliche Informationen zur sicheren Arbeit mit personenbezogenen Daten von Schülern in TeacherTool. Neben zahlreichen Hilfen auf der Website selbst, stehen aktuell zwei Downloads zur Verfügung. „Informationen zu Datenschutzfragen“ geht auf die verschiedenen datenschutzrechtlichen Aspekte bei der Nutzung des Apps und der Desktopsoftware ein, erläutert, welche Daten überhaupt verarbeitet werden sowie relevante technische Aspekte bei der Nutzung und gibt Hinweise, wie man mit maximaler Sicherheit arbeitet. „TeacherTool und die DSGVO“ beschäftigt sich speziell mit den Vorgaben der Datenschutz Grundverordnung, gibt aber auch noch weitere hinausgehende Informationen zum Thema.

Gerade für Lehrkräfte in NRW, die mit iOS Geräten arbeiten, ist TeacherTool ideal. Wer sich bei der Verarbeitung von personenbezogene Daten von Schülern auf einem iOS Gerät auf den Einsatz von TeacherTool beschränkt, und dabei sowohl die Sicherheitseinstellungen des Systems wie auch von TeacherTool vollumfänglich einsetzt, der kann den Antrag zur Genehmigung ohne Bedenken unterschreiben. Genauso sollte eine Schulleitung hier ohne Bedenken eine Genehmigung erteilen, denn sicherer geht es nicht.2Ich würde hierzu gegenenfalls das Genehmigungsformular um einen Passus ergänzen, welcher die Genehmigung zur Verarbeitung von personenbezogenen Daten von Schülerinnen und Schülern auf dem iOS Gerät, für welches eine Genehmigung eingeholt werden soll, auf TeacherTool beschränkt. Je nach Situation kann das eine Lösung sein, auch wenn sie nicht ideal ist, da so andere Verarbeitungsmöglichkeiten ausgeschlossen werden. Die Sicherungsdateien sollten dann auf einen schulischen Verwaltungsrechner geschickt und dort gespeichert werden.3So braucht es keine zusätzliche Genehmigung für ein weiteres privates Endgerät. Ausdrucken kann man entweder vom iOS Gerät per WLAN zu Hause oder in der Schule aus der übermittelten Datei.

Als schulischer Datenschutzbeauftragter kann ich für TeacherTool eine uneingeschränkte Empfehlung abgeben.

Schulen, die ihren Lehrer iPads stellen und diese über ein MDM verwalten, können darüber auch Voreinstellungen zur Datenverarbeitung für die Nutzung des TeacherTool App konfigurieren. So kann Schule sicherstellen, dass auch auf dienstlichen iPad im App nur zulässige personenbezogene Daten von Schülern verarbeitet werden.

Dürfen digitale Klassenarbeiten auf privaten Lehrerendgeräten gespeichert werden?

Lesezeit: 3 Minuten

Folgende Frage wurde gestellt:

„Angenommen eine Kollegin lässt im EDV-Unterricht eine Excel-Tabelle als Leistungsüberprüfung (z.B. Klassenarbeit) erstellen. Diese werden von den SuS im pädagogischen Netz gespeichtert. Da die Kollegin keinen schulischen Arbeitsplatz zur Verfügung hat, möchte sie die Excel-Tabellen gerne am privaten PC bewerten. Darf sie das?“

Wie in der Anfrage bereits festgestellt, werden Klassenarbeiten nicht in der Genehmigung für die Verarbeitung personenbezogener Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken … aufgeführt.

Anlage 3 der VO-DV I führt tatsächlich nur „Leistungsbewertung in den Fächern, in denen die Lehrkraft die Schülerinnen und Schüler unterrichtet“ als zum Datensatz gehörig auf, den Lehrerinnen und Lehrer mit Genehmigung verarbeiten dürfen. Klassenarbeiten selbst gehören in NRW nicht einmal zum Datenbestand der Schule selbst, sondern nur die Noten daraus und die Bewertungen.4 Anders als bei Unterlagen zum sonderpädagogischen Förderbedarf, wo ausdrücklich nur das Ergebnis der Entscheidung verarbeitet werden darf, nicht aber beispielsweise die zugrundeliegenden Gutachten, werden Klassenarbeiten auch an keiner Stelle von der Verarbeitung ausgeschlossen. 5    In Schleswig Holstein zählen Klassenarbeiten zu den von der Schule geführten Akten, die gesondert von der Schülerakte geführt werden. (Siehe dazu §8 „Landesverordnung über die Verarbeitung personenbezogener Daten an öffentlichen Schulen (Schul-Datenschutzverordnung – SchulDSVO)„) 

Für den Fragesteller ergibt sich deshalb die Frage, ob

„Leistungsüberprüfungen überhaupt als personenbezogene Daten im Sinne der Datenschutzgesetzgebung anzusehen sind?“

Gehören die Inhalte von Leistungsüberprüfungen zu den personenbezogenen Daten?

Leistungsüberprüfungen enthalten mit der Namensangabe automatisch personenbezogene Daten, außer sie werden anonym verfasst, etwa um einen allgemeinen Eindruck vom Stand der Lerngruppe zu erhalten. Dem Datum Name lassen sich dann weitere Daten aus dem Inhalt der Leistungsüberprüfung zuordnen: richtig, falsch, Anzahl richtig und falsch, vollständig, unvollständig, ausführlich, knapp, Aufgabe missverstanden, Fehlertypen, usw.. Je nach Aufgabenstellung können etwa auch Meinungen enthalten sein.

Personenbezogene Daten umfassen, laut Artikel 4 DS-GVO und Kommentaren dazu, ohne Einschränkung „alle Informationen“, die sich auf eine Person beziehen und der Begriff ist von daher grundsätzlich weit zu verstehen.6Siehe dazu Klar/Kühling in Kühling/Buchner, Art. 4 Nr. 1 DS-GVO Rn. 8 So fallen darunter auch innere Zustände. Eine Klassenarbeit kann als Ausdruck eines inneren Zustandes gesehen werden. Schüler X verfügt über folgende Kompetenzen/ verweigert die Leistung/hat die Aufgabenstellung nicht verstanden/ lehnt es ab, Tiere zu töten, ….

Das gilt für analoge Klassenarbeiten, wo es noch das zusätzliche Merkmal Handschrift gibt oder vielleicht den typischen Geruch des Heftes (Raucher, Parfüm, ….) wie auch für digitale Klassenarbeiten. Bei digitalen Daten und digitale Klassenarbeiten fallen darunter, ist die DS-GVO noch einmal kritischer. Wenn es um automatisierte Datenverarbeitung geht, worunter schon das bloße Speichern fällt, gibt es kein belangloses Datum.7Siehe dazu Klar/Kühling in Kühling/Buchner, Art. 4 Nr. 1 DS-GVO Rn. 9

Digitale Klassenarbeiten lassen sich darüber hinaus auch digital aus- und mittels entsprechender Algorithmen bewerten, ähnlich wie Daten in einer Lernplattform. Rein technisch gesehen liefert eine Klassenarbeit wie alle von Schülern angefertigten Arbeiten, wie ihr Verhalten, ihre Mitarbeit, … (personenbezogene) Rohdaten, welche Lehrkräfte auswerten und den Schülern zugeordnet in Noten fassen, wodurch sie neue personenbezogene Daten generieren.

In Abgrenzung zu den Sachdaten liegt bei einer Klassenarbeit ein Zweckelement vor, da es möglich ist, die Informationen darin zur Beurteilung einer Person zu nutzen.

Was bedeutet das nun für die Kollegin?

Sie darf, wenn sie sich an die Vorgaben der VO-DV I hält, die von den Schülern bearbeiteten Excel Tabellen nicht auf ihrem privaten Endgerät speichern.

Wie kann man das Problem lösen?

Zwei Möglichkeiten sind denkbar.

  1. Arbeitet die Schule offiziell mit einer Plattform wie Moodle, Office 365 oder ähnlich8        Dazu würde in NRW auch Logineo NRW zählen. und es ist dadurch möglich, die Dateien über Zugriff auf die Plattform von zu Hause aus innerhalb der Plattform anzuzeigen, in einem in die Plattform integrierten Datei Viewer oder im Fall von Office 365 über die Browser Version von Excel, dann ist dieses mit den Vorgaben der VO-DV I vereinbar. Die vorübergehende Speicherung im Cache des Browsers zur Anzeige stellt keine Speicherung bzw. Verarbeitung auf dem Gerät selbst im Sinne der DS-GVO9        Siehe dazu Eßer in Eßer/Kramer/ v. Lewinski Art. 4 Nr. 2 DS-GVO Rn. 43 und Herbst in Kühling/Buchner, Art. 4 Nr. 2 DS-GVO Rn. 24 dar. Die Lehrkraft ist damit nicht der Beschränkung auf die in VO-DV I Anlage 3 aufgeführten personenbezogenen Daten unterworfen.10       Der Lehrkraft sollte eine Genehmigung der Schulleitung zur Verarbeitung personenbezogener Daten aus der Schule vorliegen.
  2. Stellt die Schule USB Sticks11         Diese USB Sticks sollten geschützt sein. Siehe dazu auch den Themen Beitrag: USB Sticks und Datensicherheit zur Verfügung, man speichert die Dateien der Schüler auf diesem USB Stick und öffnet sie von dort aus (also ohne sie auf den Rechner zu kopieren) mit einem kompatiblen Tabellenkalkulationsprogramm, dann ist auch das mit den Vorgaben der VO-DV I vereinbar. Die temporäre Arbeitskopie, wie beispielsweise Excel sie anlegt, wenn man die Datei vom USB Stick öffnet, fällt nicht unter den Begriff der Speicherung12         Siehe dazu ebenfalls Eßer in Eßer/Kramer/ v. Lewinski Art. 4 Nr. 2 DS-GVO Rn. 43 Herbst in Kühling/Buchner, Art. 4 Nr. 2 DS-GVO Rn. 24, die ihrerseits eine Form der Verarbeitung ist. Somit kann man auch auf diesem Wege die Beschränkung auf die in VO-DV I Anlage 3 gelisteten personenbezogenen Daten umgehen, da die Verarbeitung nicht auf dem Gerät selbst stattfindet.13        Der Lehrkraft sollte trotzdem eine Genehmigung der Schulleitung zur Verarbeitung personenbezogener Daten aus der Schule vorliegen.

Übertragen bedeutet das

Es ist zur Beweissicherung auch nicht zulässig, Klassenarbeiten abzufotografieren oder zu Hause einzuscannen, etwa wenn Schüler immer wieder die zurückgegebene, bewertete Arbeiten manipulierten, um der Lehrkraft Fehler zu unterstellen mit dem Ziel, eine bessere Note zu bekommen. Hier bleibt dann nur die Kopie am Kopierer oder das Einscannen über einen schulischen Dokumentenscanner.

Genehmigung private Endgeräte Lehrkräfte

Lesezeit: 1 Minute

Genehmigung Lehrkräfte Nutzung private Endgeräte (NRW)

Seit Februar 2018 gilt in NRW die nicht ganz unumstrittene Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gem. § 2 Abs.2 VO-DV I / § 2 Abs.4 VO-DV II).

Leider hat sich auch nach einem Austausch mit dem Staatssekretär Richter im April 2018 nichts wirklich geändert.14Siehe: Nicht wirklich Neues in Bezug auf die Genehmigung für Privatgeräte in NRW Die Genehmigung ist verbindlich vorgeschrieben, bisher bestehende Genehmigungen können, sofern sie den Vorgaben der VO-DV I entsprechen weiter genutzt werden.15Siehe Das MSB NRW kommt Schulen bei Genehmigung für Privatgeräte entgegen Auch an der Position der LDI NRW, die Schulleitungen empfahl, die Genehmigung nicht zu unterschreiben, hat sich nichts bewegt. Eine Ausstattung aller Lehrkräfte mit Dienstgeräten, ist vermutlich auf absehbare Zeit ebenfalls nicht zu erwarten.

Wer als Lehrkraft keine alte, gültige Genehmigung hat oder die Schule wechselt und eine neue benötigt, kommt nicht umhin, die technischen Vorgaben aus Teil B zum Schutz der Daten zu erfüllen, um die Genehmigung zu erhalten.

Die Vorgaben der Genehmigung im Teil B lassen sich durchaus erfüllen, wenngleich nicht jeder persönlich in der Lage sein wird, die Vorgaben mit seinem Gerät umzusetzen.

Als Hilfe für die Umsetzung gibt es eine umfangreiche Hilfestellung, für alle großen Systeme: Windows, Mac OS, Linux, iOS und Android. Ergänzt wird diese durch eine Sammlung von Fragen und Antworten zu dieser schwierigen Thematik.

Wenn eine Schule, wie in den Tipps vorgeschlagen, ihren Lehrkräften verschlüsselte USB-Sticks ausgibt, auf welchen personenbezogene Daten aus der Schule gespeichert und verarbeitet werden, um sie vom privaten Rechner zu halten, dann bietet den Lehrkräften das Blatt „Datenschutz leichter durch sicheren USB-Stick“ Informationen zur Nutzung.

Tipps zur Genehmigung für Lehrkräfte zur Nutzung von Privatgeräten auf neuesten Stand gebracht

Lesezeit: 1 Minute

Sehr viel Neues gibt es nicht zur Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gem. § 2 Abs.2 VO-DV I / § 2 Abs.4 VO-DV II).

Die Tipps, wie man die Vorgaben einhalten kann, sind auf den neuesten Stand gebracht. Ergänzt ist als Thema Verschlüsselung für Geräte selbst und externe Medien wie USB Sticks, Festplatten etc.. Außerdem gibt es einen Hinweis auf eine Alternative zum Anlegen eines 2. dienstlichen Nutzers auf dem Rechner.

Tipps und Antworten für die Praxis – Genehmigung private Endgeräte (Google Doc – view only)

Nicht wirklich Neues in Bezug auf die Genehmigung für Privatgeräte in NRW

Lesezeit: 3 Minuten

Heute fanden die Schulen in NRW das angekündigte E-Mail von Staatssekretär Richter in ihren Postfächern. Wirklich Neues bringt dieses Mail nicht. Im Wesentlichen gibt es das wieder, was am 24.04.2018 gesagt wurde. Das E-Mail, welches unter [02.05.2018] Dienstanweisung für die automatisierte Verarbeitung von personen-bezogenen Daten in der Schule – BASS 10-41 Nr.4 nachzulesen ist, greift noch einmal die verschiedenen Punkte auf und spielt dabei die mit der Genehmigung verbundenen Probleme für Lehrkräfte etwas herunter. Entsprechend heißt es:

„Ich möchte Ihnen gegenüber versichern, dass die DA ADV keine neuen Standards setzt. Sie begründet keine neuen rechtlichen Verpflichtungen oder gar Verschärfungen im Datenschutz, sie gibt lediglich die aktuelle Rechtslage wieder. Die neugefasste DA ADV soll erklären und unterstützen.“

An anderer Stelle heißt es dann „der Genehmigungsvordruck ist eine Hilfestellung„. Von vielen Lehrkräften wird das nicht so empfunden. Sicher ist es richtig, dass Vorgaben vom Datenschutz einzuhalten sind, doch als Hilfe lässt sich die Genehmigung schwer verstehen, vor allem nicht, wenn von der Erfüllung der Vorgaben und dem Nachweis dessen abhängt, ob Land oder Lehrer haftet.

Interessant ist folgender Passus bezüglich der Kontrollfunktion der Schulleitung:

„Die geregelten Nachweispflichten beinhalten selbstverständlich nicht die Verpflichtung der Schulleitung, die privaten Endgeräte jeder einzelnen Lehrkraft persönlich zu überprüfen. Das wäre gar nicht leistbar.“

Das klang zeitweise anders. Stattdessen wird wieder auf die schulischen Datenschutzbeauftragten (DSB) verwiesen:

„Die dokumentierten Angaben sind zudem von der bzw. von dem zuständigen behördlichen Datenschutzbeauftragten an Schulen zu prüfen, insbesondere daraufhin, ob zu den erforderlichen Maßnahmen zur Datensicherheit abweichende Angaben erfolgt sind, die einer Genehmigung entgegen stehen könnten.“

Abweichende Angaben zu den erforderlichen Maßnahmen zur Datensicherheit, die sollen die DSB prüfen und feststellen, ob sie einer Genehmigung entgegenstehen. Auch für DSB ist eine solche Beurteilung schwierig, vor allem wenn sich die Angaben im Formular zum Gerät, für welches eine Genehmigung eingeholt werden soll, auf Seriennummer und Gerätename beschränken. Für eine solche Prüfung ist mehr erforderlich, z.B. der genaue Gerätetyp, am besten mit Modelljahr (vor allem bei Android Geräten wichtig) und die OS Version. Nach der Handreichung zur Genehmigung sind bei bestimmten Gerätetypen Abweichungen von den Vorgaben der Genehmigung in Teil B möglich, etwa weil sich bei iOS kein zweiter Nutzer einrichten lässt oder dort kein Virenschutz erforderlich ist.

Alte Genehmigungen gelten weiterhin,

„Ausdrücklich darauf hinweisen möchte ich, dass in der Vergangenheit erteilte Genehmigungen weiterhin Bestand haben. Die Neufassung der DA ADV löst keinen neuen Handlungsdruck aus.“

An den verschiedenen Schulen sind über die Jahre höchst unterschiedliche Genehmigungsformulare unterwegs gewesen. Viele dürften in ihrer Anlage weit von den Vorgaben entfernt sein, welche die neue Genehmigung verbindlich vorgibt.

In der VO-DV I, §2 Abs. (2) heißt es zu den Voraussetzungen für eine Genehmigung,

„bedarf der schriftlichen, ein Verfahrensverzeichnis gemäß § 8 DSG NRW enthaltenden Genehmigung […] Die Genehmigung darf nur erteilt werden, wenn […] ein angemessener technischer Zugangsschutz nachgewiesen wird.“

Was das MSB sich unter einem angemessenen technischen Zugangsschutz vorstellt, ist nicht weiter präzisiert und lässt so Spielraum für Interpretation. Für ein Verfahrensverzeichnis sind im DSG NRW Vorgaben gemacht, was enthalten sein sollte. Aber auch da ist ein gewisser Spielraum, wie genau dieses ausgestaltet ist. Das sieht man am alten vom LDI NRW erstellten Genehmigungsformular wie an der neuen Genehmigung.

Die alten Genehmigungen dürfen somit unbegrenzt weiter genutzt werden. Was die Schulleitung unter einem angemessenen technischen Zugangsschutz versteht, bleibt dem eigenen Gutdünken der jeweiligen Schulleitung überlassen. Wer eine Genehmigung hat, darf sich also freuen. Lehrkräfte, die neu an eine Schule kommen, müssen leider das neue Formular nutzen.

An der Haftungsfrage, welche sich für Lehrkräfte mit dieser Genehmigung verbindet, hat sich leider auch mit diesem E-Mail nichts geändert. Schade.

Für die Lehrkräfte und Schulleitungen, welche nun mit der neuen Genehmigung arbeiten müssen, verspricht der Staatssekretär weitere Information auf der Plattform des Landes.

Auch mit dem Thema Dienstgeräte will man sich von Seiten des Landes auseinandersetzen. Das Feld ist schwierig und man wird sehen, was sich daraus ergibt.

Mehr Erfolg werden vermutlich Bemühungen der Landesregierung NRW haben, wenn es um die Ausstattung mit weiteren Verwaltungsrechnern für die Schulen geht, an welchen Lehrkräfte arbeiten können.

Genehmigung Lehrkräfte Privatgeräte kann auch entspannter gehen – siehe BaWü

Lesezeit: 2 Minuten

In NRW hat man von Seiten der Landesregierung in einem Gespräch am 24.04.2018 versucht, die Wogen zu glätten, was die umstrittene Genehmigung 16Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gemäß § 2 Absatz 2 VO-DV I/§ 2 Absatz 4 VO-DV II angeht, welche Lehrkräfte benötigen, um personenbezogene Daten aus der Schule auf privaten Geräten verarbeiten zu dürfen. Ein für „in einigen Tagen“ versprochenes Dienst E-Mail mit weiteren Informationen lässt derweil auf sich warten.

Dass es auch ganz anders gehen kann, zeigt das Beispiel Baden Württemberg. Unter „Private Datenverarbeitungsgeräte (PC, Mac, Smartphones, Tablets, etc.)“ wird dort ganz aktuell, mit Bezug auf die DS-GVO erklärt, welche Vorgaben zu erfüllen sind. In 9 kurzen, leicht verständlichen Absätzen werden dort verschiedene Maßnahmen erklärt. Nummer 2 ist dabei besonders interessant:

Am besten ist es, wenn sämtliche dienstlichen personenbezogenen Daten nur auf einem USB-Stick gespeichert werden. Dieser USB-Stick muss in jedem Fall verschlüsselt sein.

Man rät den Lehrkräften in BaWü, die personenbezogenen Daten aus der Schule nie auf dem privaten Gerät selbst zu speichern, sondern immer auf einem USB-Stick, der verschlüsselt sein muss.

Ergänzt werden diese Vorgaben noch einmal durch eine Anlage „Datenschutzrechtliche Hinweise für den Gebrauch privater Datenverarbeitungsgeräte durch Lehrkräfte zur Verarbeitung personenbezogener Daten„, die ausführlichere Erläuterungen gibt.

In einer FAQ erklärt man dann auch, warum es von Vorteil ist, die Daten auf einem USB-Stick zu speichern:

Indem Sie sämtliche personenbezogenen Daten ausschließlich auf einem USB- Stick abspeichern und diesen USB-Stick verschlüsseln, z.B. mittels der Software VeraCrypt, verringern Sie Ihren Aufwand erheblich. Dadurch wird z.B. wirksam ein unbefugter Zugriff auf die Daten verhindert, sie müssen also keine aufwändigen Berechtigungsstrukturen hinterlegen. Ferner können Sie auf diese Weise leicht dem Auskunftsanspruch Ihrer Schulleitung oder des Landesbeauftragten für den Datenschutz nachkommen, da Sie dann nur den USB-Stick – und nicht den ganzen Computer, auf dem sich u.U. auch private Daten befinden – vorweisen müssen. Bitte denken Sie auch an die Sicherungskopie auf einem weiteren USB-Stick.

Auch in Baden Württemberg nimmt man es mit dem Datenschutz in Bezug auf die Verarbeitung personenbezogener Daten auf Privatgeräten von Lehrkräften ernst. Und selbstverständlich geht auch hier ohne Vorgaben und eine Genehmigung nichts. Allerdings sind die Hürden deutlich niedriger. Arbeitet man als Lehrkraft mit einem verschlüsselten USB-Stick, erleichtert man sich die Trennung von Privat und Beruflich. Darüber hinaus lässt sich so der technische Aufwand zur Sicherstellung des Datenschutz auf dem privaten Gerät deutlich leichter einhalten, auch für technisch weniger versierte Lehrkräfte.

In Haftung werden die Lehrkräfte übrigens durch ihre Unterschrift auch nicht genommen.

Das MSB NRW kommt Schulen bei Genehmigung für Privatgeräte entgegen

Lesezeit: 2 Minuten

Die Genehmigung mit dem langen Namen17Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gemäß § 2 Absatz 2 VO-DV I/§ 2 Absatz 4 VO-DV II hatte in der Zeit nach der Veröffentlichung im Februar 2018 für eine Menge Verunsicherung und Unmut in den Schulen gesorgt. Nachdem das Ministerium lange kein Problem in der Genehmigung sehen wollte, gab es nun am 24.04.2018 ein Gespräch des Schulministeriums mit Lehrerverbänden, Gewerkschaft und Schulleitervereinigungen. Thema war „Datenverarbeitung in Schulen“.

In der Dienstanweisung heißt es:

„Die Verarbeitung personenbezogener Daten für dienstliche Zwecke auf privaten ADV-Anlagen von Lehrkräften ist nur mit schriftlicher Genehmigung der Schulleiterin oder des Schulleiters zulässig. Es gilt § 2 Absatz 2 mit Anlage 3 der VO-DV I. Für die Genehmigung ist der als Anlage beigefügte Genehmigungsvordruck zu verwenden.“18Dienstanweisung für die automatisierte Verarbeitung
von personenbezogenen Daten in der Schule

Das wurde mehrheitlich so verstanden, dass die alten Genehmigungen nicht länger Gültigkeit besitzen. Anders als in den alten Genehmigungen, sind in der neuen sehr deutliche Vorgaben gemacht, was Lehrkräfte leisten müssen, um die Sicherheit der verarbeiteten Daten auf ihren privaten Geräten zu gewährleisten. Dazu kam noch die Frage der Haftung.

„Sofern Sie die hier aufgeführten Maßnahmen zum Schutz der Daten einhalten, ist eine Haftung für Sie ausgeschlossen.“

Für viele war das dann der Punkt, die Unterschrift zu verweigern. Selbst die LDI NRW riet den Schulleitungen davon ab, den Lehrkräften die Genehmigung zu erteilen, da sie eine Beurteilung, ob eine Genehmigung aufgrund der von der Lehrkraft gemachten Angaben, nicht leisten könne.

Das Gespräch sorgte dann am 24.04.2018 für Entspannung. Der Philologen-Verband NRW hat die Ergebnisse zusammengefasst. Drei Informationen sind bezüglich der Genehmigung dabei von Bedeutung:

  1. Es gibt keine Frist, bis wann Lehrkräfte die Genehmigungen unterzeichnen müssen.
  2. Die alten Genehmigungen behalten weiter ihre Gültigkeit (und müssen demnach nicht durch die neue ersetzt werden).
  3. In den letzten 30 Jahren wurde laut MSB in NRW keine Lehrkraft wegen unsachgemäßen Umgangs belangt wurde.

Das MSB sieht die Haftungsfrage der Genehmigung scheinbar sehr entspannt, weil man mit Blick auf die Vergangenheit mit keinen Problemen durch Datenschutzverletzungen rechnet. Man darf sich dann aber die Frage stellen, warum man die Haftung überhaupt in die Genehmigung aufgenommen hat.

In Österreich brauchen sich Schulen als öffentliche Stellen in Bezug auf das Thema Haftung übrigens vorerst keine Sorgen machen, denn dort wurde jetzt in einer Gesetzesnovelle beschlossen, dass gegen Behörden und öffentliche Stellen keine Geldbußen verhängt werden können.19Keine Strafen: Österreich zieht neuem Datenschutz die Zähne

Interessant im Zusammenhang mit der Genehmigung ist noch der letzte Punkt in der Zusammenfassung des Philologenverbandes:

„Gegebenenfalls wird zum Umgang mit der Dienstanweisung die für Ende Mai 2018 zu erwartende Europäische Datenschutzverordnung einbezogen.“

Hier muss man nun abwarten, ob sich durch die Umsetzung der DS-GVO noch etwas ändern wird beim Umgang mit der Dienstanweisung.

Ein Dienstmail soll, laut Staatsekretär Richter im WDR20WDR 5 Westblick 24.04.2018, den Schulen in NRW am 25.04. 21Das war dann wohl nichts. Aus dem 25.04. wurde nichts. In einem anderen Interview sprach Staatssekretär Richter dann auf einmal von „in einigen Tagen“detaillierte Informationen dazu geben, was die Anwendung der Genehmigung betrifft und wie sie zu verstehen ist. Fakt ist aber, die Dienstanweisung gilt, die Schulen erhalten im Umgang mit der Genehmigung jedoch mehr Handlungsspielraum.

Update

Mittlerweile hat sich auch der VBE zum Treffen vom 24.04.2018 geäußert. Im Wesentlichen gibt man im Rundmail an die Mitglieder das wieder, was auch der Philologen-Verband NRW aufgeführt hatte. Ganz in meinem Sinne ist am Ende die Forderung

Die unterstützende Nutzung privater Endgeräte muss über ein pragmatisches datenschutzkonformes Verfahren erlaubt werden. Eine allgemeine Verpflichtungserklärung zur Einhaltung des Datenschutzes sollte ausreichen.

Vor allem der zweite Satz ist dabei wichtig. Die Haftung kann weg.

Eine FAQ zur DS-GVO für Schulen aus Niedersachsen

Lesezeit: 2 Minuten

Von Seiten der Niedersächsischen Landesschulbehörde hat man eine Sammlung von Fragen und Antworten zum Thema Datenschutz Grundverordnung, soweit sie Schulen betrifft, zusammengestellt.

  • Demnach müssen Schulen nach dem 25.05.2018 bei einem Verstoß gegen die DS-GVO nicht mit der Verhängung von Bußgeldern rechnen, da dieses nur für Unternehmen gilt, die am Wettbewerb teilnehmen.
  • Einen Fortbildungsbedarf für die Datenschutzbeauftragten in Schulen mit Bezug auf die Änderungen durch die DS-GVO  sieht man in Niedersachsen nicht.
  • Als wichtigste Schritte bei der Umsetzung der Vorgaben der DS-GVO sieht man:
    • die Bestellung einer oder eines Datenschutzbeauftragten
    • die Erstellung des in Art. 30 DS-GVO geforderten Verzeichnis der Verarbeitungstätigkeiten
    • die Überprüfung der Schulhomepage auf die Erfordernisse der DS-GVO und die Anpassung der Datenschutzerklärung an die DS-GVO
  • Aussagen werden auch zu den Haftungsrisiken der behördliche Datenschutzbeauftragten in Schulen durch die DS-GVO gemacht. Nach Auffassung der Landesschulbehörde ändert sich hier nichts wesentlich.
    • Die Schulleitung trägt weiterhin die rechtliche Verantwortung in Bezug auf den Datenschutz, der oder die Datenschutzbeauftragte berät die Schulleitung und weißt auf mögliche Verstöße hin.
    • Eine Haftung kommt nur bei grober Fahrlässigkeit oder Vorsatz in Frage. Außerdem kommt es bei Datenschutzverstößen nur selten zu Vermögensschäden.
    • Es sind eher atypische Ausnahmefälle in Bezug auf eine fehlerhafte datenschutzrechtliche Beratung, dass einer als Datenschutzbeauftragter tätigen Lehrkraft der Vorwurf der groben Fahrlässigkeit gemacht werden kann.
  • Anders als viele Unternehmen brauchen sich Schulen nach Ansicht der Landesschulbehörde wegen der DS-GVO keine Sorgen machen, da ihnen keine Bußgelder verhängt werden.

Mir neu war bei diesen FAQ, dass Schulen bei Datenschutzverstößen nicht mit der Verhängung von Bußgeldern rechnen müssen. Zu klären wäre nun, ob dieses eine langespezifische Regelung aus Niedersachsen ist oder ob dieses auf alle Bundeslänger übertragen werden kann.

Nicht ganz teilen kann ich die Einschätzung bezüglich der Vermögensschäden. Wenn ein Schüler durch einen Datenschutzverstoß z.B. nachweislich einen Ausbildungsplatz nicht erhält, könnte dafür vermutlich schon ein Vermögensschaden geltend gemacht werden. Außerdem können nach der DS-GVO auch immaterielle Schäden geltend gemacht werden. Das wäre der Fall, wenn ein Schüler durch ein in einem Datenschutzverstoß öffentlich gewordenes Fördergutachten oder Zeugnis unter dem Gehänsel der Mitschüler leidet.

Nicht ganz passt die Frage des Haftungsrisiko auch zur Haftung, in welche eine Lehrkraft in NRW genommen wird, wenn sie die Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gem. § 2 Abs.2 VO-DV I / § 2 Abs.4 VO-DV II unterschreibt. Ginge man im MSB NRW von einer gleichen Einschätzung bezüglich der Haftungsrisiken aus wie in Niedersachsen, bräuchte sich im Prinzip niemand Sorgen machen wegen der Unterschrift. Falls dem so wäre, sollte dieses vom MSB NRW jedoch auch für alle Lehrkräfte des Landes klargestellt werden, falls man bei der Haftung bleiben will. Andererseits ergibt eine generelle Haftung der Lehrkräfte, wie die Genehmigung sie vorsieht, keinen Sinn, wenn es ohnehin kein erhöhtes Haftungsrisko im Vergleich zu vorher gibt.