Erprobungsstufenkonferenz

Lesezeit: 2 Minuten

In Grundschulen kommt immer wieder die Frage auf, welche Informationen weiterführenden Schulen über die ehemaligen Schülerinnen und Schüler gegeben werden dürfen.

Es gilt wie überall die Grundregel, dass eine Schule die personenbezogenen Daten der Schülerinnen und Schüler nur Personen zugänglich machen darf, sofern es dafür eine Rechtsgrundlage im Schulgesetz NRW gibt oder die Betroffenen, hier die Eltern der Grundschülerinnen und Schüler, der Übermittlung zuvor zugestimmt haben.

Für die Weitergabe an weiterführende Schulen gibt es eine wichtige Rechtsgrundlage, die es Grundschulen erlaubt, Daten ihrer ehemaligen Schülerinnen und Schüler preiszugeben. Das ist § 10 Abs. 4 Ausbildungs- und Prüfungsordnung Sekundarstufe I – APO-S I (BASS 13-21 Nr. 1.1):

“Für Zusammensetzung, Stimmberechtigung und Verfahren der Erprobungsstufenkonferenzen gilt § 50 Absatz 2 Schulgesetz NRW. Den Vorsitz führt die Schulleiterin oder der Schulleiter oder eine mit Koordinierungsaufgaben beauftragte Lehrkraft. Die Lehrkräfte, die die Schülerin oder den Schüler in der Grundschule unterrichtet haben, können an den Erprobungsstufenkonferenzen teilnehmen.”

Während der zweijährigen Erprobungsstufe, Klasse 5 und 6, finden gem. § 10 Abs. 3 APO-SI jährlich drei sogenannte Erprobungsstufenkonferenzen statt. In diesen wird “über die individuelle Entwicklung der Schülerin oder des Schülers, über etwaige Schwierigkeiten, deren Ursachen und mögliche Wege zu ihrer Überwindung und über besondere Fördermöglichkeiten beraten.

Um hier optimal beraten zu können, werden zu einer der ersten Erprobungsstufenkonferenzen in der Regel auch die ehemaligen Lehrerinnen und Lehrer der Schülerinnen und Schüler an der Grundschule eingeladen, denn diese kennen die Kinder meist schon über einen längeren Zeitraum. Auf der Grundlage von § 10 Abs. 4 APO-SI könnten sich die Lehrkräfte der weiterführenden Schule deshalb mit ihren Kolleginnen und Kollegen aus der Grundschule über die einzelnen Kinder austauschen, soweit es um Noten, konkrete Probleme, bewährte Strategien, ein Kind zu unterstützen und ähnlich geht. Die Grenzen des Austauschs setzt wie immer auch hier § 120 Abs. 1 Satz 2 SchulG NRW, wonach die gespeicherten personenbezogenen Daten in der Schule nur den Personen zugänglich gemacht werden dürfen, die sie für die Erfüllung ihrer Aufgaben benötigen. Hier geht es dann konkret um die Aufgabenerfüllung der Erprobungsstufenkonferenz. Entsprechend heißt es im Wingen Kommentar zu Schulgesetz:

Die Grundschullehrkräfte dürfen personenbezogenen Angaben ihrer früheren Schülerin oder ihres ehemaligen Schülers in der Erprobungsstufenkonferenz an die anderen Mitglieder (nur) übermitteln, soweit diese Angaben zur Aufgabenerfüllung der Konferenz erforderlich sind.14. Erg.-Lfg., SchulG NRW – Kommentar, März 2008, Katernberg

Streng genommen bedeutet das auch, dass bei Anwesenheit von Lehrkräften verschiedener Grundschulen in einer Erprobungsstufenkonferenz kein Austausch über einzelne Schülerinnen und Schüler zulässig ist. Es kann dann nur über allgemeine Probleme und Maßnahmen gesprochen werden. Soll über einzelne Schülerinnen und Schüler gesprochen werden, müssen die Gespräche auf die zuständigen Personen begrenzt werden. In einem größeren Raum lässt sich dieses beispielsweise umsetzen, in dem die Grundschullehrkräfte einzelne Tische erhalten und dort dann von den Lehrkräften der weiterführenden Schule, die nun die ehemaligen Schülerinnen und Schüler unterrichten, besucht werden können.

Die Beschränkung des Austauschs über Kinder auf die zur Aufgabenerfüllung der Konferenz erforderlichen Daten bedeutet darüber hinaus, dass es über Kinder, die in der Erprobungsstufe keine Probleme haben, diesen Austausch eben nicht gibt.

Dass auch die Grundschullehrkräfte bei der Teilnahme an der Erprobungsstufe Informationen über ihre ehemaligen Schülerinnen und Schüler erhalten, liegt in der Natur der Sache.

Stand 08/2023

ISY-Schule – Elternkommunikation Grundschule

Lesezeit: 5 Minuten
Hinweis: Der Anbieter hat beim Thema Passwortsicherheit nachgebessert und dieses am 08.08.2022 per E-Mail mitgeteilt. Das System prüft jetzt, Passwörter auf ihre Sicherheit.

Beschreibung

ISY-Schule ist eine Plattform zur Kommunikation mit Eltern an Grundschulen. Der Anbieter selbst beschreibt die Plattform als ein Kommunikationssystem zur Kommunikation und zum Informationsaustausch zwischen Eltern (Erziehungsberechtigten, etc.) sowie Lehrerinnen und Lehrer. Die Plattform bietet dafür eine Anzahl von Funktionen. Dazu gehören Neuigkeiten, ein Buchungssystem für Elternsprechtage, ein Online Fotoalbum, ein Kalender, eine Verwaltung von Abwesenheiten und Krankmeldungen, eine Möglichkeit zum Anlegen von Profilen für jedes Kind der Schule mit Angaben zur Erreichbarkeit und Notfallinformationen und eine Mediathek, in welcher Dateien hinterlegt werden können. Über die Funktionen der Plattform können Eltern informiert werden, lassen sich Übermittagsbetreuung und OGS buchen und Zustimmungen der Eltern digital einholen. Auch Zahlungen können darüber gesteuert werden. Das Modul Website ermöglicht es Schulen, bestimmte Informationen öffentlich, das heißt ohne Login, bereitzustellen. Nutzer werden von der Schule angelegt und über Einladungs-E-Mails eingeladen.

Es handelt sich um eine kostenpflichtige Plattform, die zum Testen zwei Monate lang kostenfrei genutzt werden kann. Der Zugang zur Plattform erfolgt über den Browser. Zusätzlich gibt es Apps für iOS und Android.

Datenschutz, Sicherheit

Serverstandort, Anbieter

Die Server des Anbieters sind in den Niederlanden lokalisiert – server.isy-school.nl – Alfion B.V. (Markt 10, 6019 AV Wessem, Niederlande). Von dort kommt der Anbieter (ISY School B.V., Louis Eijssenweg 2A, 6049 CD Herten). Mit Isy2connect GmbHStadttor 1, 40219 Düsseldorf hat er jedoch auch eine deutsche Niederlassung.

Datenschutzerklärung

Die Datenschutzerklärung für die Schulplattform ist nicht direkt auf der Website einsehbar. Sie kann jedoch beim Anbieter angefordert werden. Laut Anbieter erfolgt sämtliche Verarbeitung von personenbezogenen Daten auf den Servern in den Niederlanden. Zu den in der Plattform verarbeiteten Daten gehören laut Datenschutzerklärung:

  • Vorname und Nachname des Kindes,
  • Gruppenzugehörigkeit des Kindes,
  • Vor- und Nachname der Eltern/Erziehungsberechtigten/Verwandten/Freunde,
  • E-Mail Adresse,
  • Angabe der Beziehung zum Kind,
  • Gründe von Abwesenheit,
  • Telefonnummer, Mobilrufnummer der Eltern/Erziehungsberechtigten,
  • Notfallrufnummern,
  • Angabe des Hausarztes,
  • vermeidbare Produkte,
  • IP-Adresse,
  • Datum und Uhrzeit der Anfrage.

Auch Gesundheitsdaten des Kindes (besondere Kategorien personenbezogener Datengemäß Artikel 9 DS-GVO) gehören, falls angegeben, zu den verarbeiteten Daten. Außerdem fallen bei der Arbeit mit ISY-Schul weitere personenbezogenen oder -beziehbare Daten an. Das sind die Informationen, welche die Lehrkräfte und Eltern bei der Nutzung der Funktionen der Plattform eingeben und übermitteln. Sichtbar in der Plattform sind für Personen mit entsprechender Berechtigung auch Datum und Uhrzeit des letzten Logins eines Nutzers.

In der Datenschutzerklärung wird auch auf bei der Nutzung der mobilen App die anfallenden Cookies hingewiesen und dabei zwischen transienten und persistenten Cookies unterschieden. Um welche Cookies es sich dabei handelt, wird nicht angegeben. Es wird auch nicht differenziert zwischen dem Zugang über den Browser und über die Apps.

Nach Angaben von ISY-Schule verbleiben alle Daten in den Niederlanden. Es werden keine Daten an Dritte verkauft.

Datenflüsse

29 Datenflüsse zu 11 verschiedenen Anbietern lassen sich neben denen zu den Servern des Anbieters nachweisen zu

  • Google (fonts.googleapis.com, fonts.gstatic.com, ajax.googleapis.com) – Stellt Schriftarten zur Verfügung.
  • Google-Analytics – Google Analyse Tool
  • Google Tag Manager – Google Analyse Tool
  • Cloudflare (cdnjs.cloudflare.com) – CDN, über welches Websites und Inhalte von Websites bereitgestellt werden können
  • BootstrapCDN (maxcdn.bootstrapcdn.com) – Plattform zur Bereitstellung von Bootstrap, einem Frontend-CSS-Framework, mit dem Websiten besonders für mobile Darstellung gestaltet werden können.
  • Typekit (use.typekit.net, p.typekit.net) – Plattform von Adobe. Stellt Schriftarten zur Verfügung.
  • UNPKG (unpkg.com) – ein spezialisiertes CDN
  • AddEvent (addevent.com) – Dienst, der es ermöglicht, Kalendereinträge auf Nutzerkalender zu übertragen

In der Regel fließen dabei auch Informationen zurück an die Anbieter. Im Minimum ist das dann die IP Nummer des Nutzers.

Cookies, Tracking

Google-Analytics

Es werden drei Google-Analytics Cookies gesetzt (_ga, _gid, _gat_gtag_UA_12345678_2), von denen eines zwei Jahre gültig ist und das andere einen Tag. Beide sind als 1st party cookies gesetzt, laufen also unter der Domain des Anbieters Der Anbieter hat die IP Anonymisierung aktiviert.

Ob diese korrekt implementiert ist, lässt sich auf diesem Weg nicht überprüfen.

Weitere Cookies

Gesetzt werden außerdem ein Session Cookie (PHPSessionID) und Cookies zur Authentifizierung des Nutzers (LoginToken, LoginEmail), wenn beim Login “Zugangsdaten speichern” ausgewählt wird.

Sicherheit

ISY-Schule gibt an, ein den ISO Standards entsprechend sicheres Rechenzentrum zu nutzen und erklärt im auf Anfrage vorab zur Einsicht erhältlichen Vertrag zur Auftragsverarbeitung, dass Unterauftragnehmer (Subunternehmer) den gleichen datenschutzrechtlichen Verpflichtungen unterliegen, denen er sich selbst im Vertrag zur Auftragsverarbeitung dem Auftraggeber gegenüber verpflichtet. Bei der Beauftragung von Subunternehmern, die aus Drittstaaten kommen oder deren Hauptgeschäftssitz sich außerhalb der EU oder des Euröpäischen Wirtschaftsraums (EWR) befindet, erklärt ISY-Schule “sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist (z. B. durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklauseln).” Ob letzteres im Rahmen der aktuellen Rechtslage nach Schrems II möglich ist, müssen im Zweifelsfall Gerichte entscheiden. Da es bei den oben beschriebenen Datenflüssen sämtlich um US Dienstleister geht, fallen diese unter die vom Anbieter beschriebenen Subunternehmer. Die Risiken sollten für Betroffene allerdings nicht essentiell sein, da diese Drittanbieter zur Bereitstellung ihrer Funktionen keinen Zugriff auf personenbezogene oder -beziehbare Inhalte der Plattform erhalten.

Rechte und Rollen

Um Zugriffe auf Daten innerhalb der Plattform zu steuern, verfügt diese über ein Rechte- und Rollensystem:

  • Verwalter – Volle Kontrolle über Isy
  • Mitarbeiter – Elemente plazieren und den Zugriff auf Schülerinformationen beschränken
  • Elternrat – Verwalten Sie eigene Zahlungsanforderungen</option>
  • Gruppe Eltern – Verwalten Sie die Nachrichten, Agenda, das Fotobuch und die Mediathek
  • Extern – Leserechte für alle Nachrichten und Tagesordnungspunkte</option>
  • Eltern / Erziehungsberechtigte – Leserechte für Gruppen ihrer eigenen Kinder

So kann beispielsweise gesteuert werden, dass nur Lehrkräfte einer Klasse auf die Profile der Schüler mit den dort hinterlegten Informationen zugreifen können. Zusätzliche Einstellungen zu Berechtigungen können durch den Administrator unter Zugangs-Einstellungen vorgenommen werden.

Passwort Sicherheit

Mittlerweile verfügt die Plattform über eine Passwortrichtlinie, die für ausreichend sichere Passwörter der Nutzer sorgt. Damit sind in der Plattform auch sensiblere Informationen in den Kinderprofilen wie möglicherweise geheime Telefonnummern und Adressen von Erziehungsberechtigten oder auch hinterlegte Notfallinformationen und Gesundheitsdaten recht gut abgesichert. Die vorher an dieser Stelle geäußerten Sicherheitsbedenken, sollten damit beseitigt worden sein.

Datenschutz Bewertung Übersicht

ISY-Schule ist eine nützliche Plattform, um den Informationsaustausch und die Organisation von schulischen Abläufen zwischen Grundschulen und Eltern zu organisieren. Sie ist recht einfach zu nutzen und ansprechend gestaltet. Über ein Einladungssystem wird sichergestellt, dass die Schule in der Hand hat, wer sich an der Plattform anmelden kann. Sollen Information für unregistrierte Nutzer zur Verfügung gestellt werden, kann dieses über eine aus der Plattform heraus erzeugbare öffentliche Website erfolgen.

Für Schulen ist die Plattform nützlich, da Eltern hier eigenständig Informationen zur Erreichbarkeit, Notfallinformationen und auch Informationen zur Gesundheit des Kindes hinterlegen können.  ISY-Schule nutzt verschiedene Drittanbieter, etwa um bestimmte Inhalte und Schriftarten in die Plattform einzubinden. Diese erhalten bei der Nutzung der Plattform zumindest die IP Adresse der schulischen Nutzer. Damit können sie unter Umständen Informationen gewinnen, die zu bestehenden von ihnen oder anderen Anbietern erstellten Profilen hinzugefügt werden können. Daraus entstehen für Nutzer keine essentiellen Risiken, doch es wäre sinnvoll, wenn der Anbieter hier nachbessern würde.

Empfehlung

Zur Nutzung der Plattform sollten Schulen Nutzern Informationen zur Datenverarbeitung gemäß Art. 13 DS-GVO zur Verfügung stellen1Dafür können sie die Informationen aus dem Dokument “Datenschutzerklärung zur Verwendung der mobilen App Isy-Schule” nutzen. und eine Einwilligung einholen. Die Einwilligung kann durch die Anmeldung des Zugangs als einwilligende Handlung eingeholt werden. Dieses muss aus dem Einwilligungsschreiben jedoch deutlich hervorgehen.

Stand 08/2022

Austausch von Grundschule und Kita

Lesezeit: < 1 Minute

Zwischen Grundschule und weiterführenden Schulen findet ein regelmäßiger Austausch statt. Es geht darum, dass Lehrkräfte der Grundschulen ihren Kolleginnen und Kollegen an den aufnehmenden weiterführenden Schulen hilfreiche Informationen zu den ehemaligen Grundschülern geben. Dieses findet im Rahmen von Erprobungsstufenkonferenzen statt und ist durch § 10 Abs. 4 BASS 13-21 Nr. 1.1 legitimiert. Dort heißt es

(4) Für Zusammensetzung, Stimmberechtigung und Verfahren der Erprobungsstufenkonferenzen gilt § 50 Absatz 2 Schulgesetz NRW. Den Vorsitz führt die Schulleiterin oder der Schulleiter oder eine mit Koordinierungsaufgaben beauftragte Lehrkraft. Die Lehrkräfte, die die Schülerin oder den Schüler in der Grundschule unterrichtet haben, können an den Erprobungsstufenkonferenzen teilnehmen.

 

Es braucht also keine Einwilligung der Erziehungsberechtigten.

Anders sieht dies aus, wenn Informationen zwischen Kita und Grundschule ausgetauscht werden sollen. Möchte die Kita der Grundschule schriftliche Unterlagen aus ihrer Dokumentation an die Grundschule übergeben, so braucht es dazu eine Einwilligung der Erziehungsberechtigten in die Übermittlung von personenbezogenen Daten. Diese muss gegenüber der Kita abgegeben werden, da sie in diesem Fall die Daten verarbeitende Stelle und damit verantwortlich ist.

Geht es nur um einen mündlichen Austausch, so reicht dafür eine Entbindung von der Schweigepflicht. Diese kann auch von Seiten der Grundschule eingeholt werden. Die Vorlage ist entsprechend ausgelegt. Nach den Hinweisen zur Nutzung folgt eine Alternativversion mit einer kleinen Abänderung bezüglich der Angabe der Kita. Statt einer handschriftlichen Eintragung durch die Eltern, kann die Schule hier eine Liste der infrage kommenden Kitas anlegen und die Eltern kreuzen dort die Kita ihres Kindes an.

Benötigt die Schule eine Entbindung von der Schweigepflicht für einen Facharzt oder eine andere Person oder Stelle, dann empfiehlt es sich, ein anderes Formular zu nutzen oder das obige entsprechend abzuwandeln.

Übermittlung personenbezogene Daten von Schülern an Träger im offenen Ganztag

Lesezeit: < 1 Minute

Vor einem Monat war ich hier im Blog der Frage nachgegangen, ob eine Einwilligung der Erziehungsberechtigten bezüglich Fotos, welche der Schule gegeben wurde, auch auf den Träger im offenen Ganztag übertragbar ist (Offener Ganztag und Datenschutz) und war zu dem Schluss gekommen, dass dieses eher nicht der Fall ist.

Nachtrag Februar 2020

Nachdem sich die Landesregierung im Rahmen einer kleinen Anfrage zu genau diesem Thema geäußert hat, ist nun klar, es braucht keine Einwilligung, damit die Schule sich mit Mitarbeitern des offenen Ganztags bezüglich der individuellen Förderung der Kinder austauschen kann. Warum das so ist, erkläre ich ausführlich unter Schule – Offener Ganztag – Schulsozialarbeit & Datenschutz 

Aufgrund einer Nachfrage habe ich heute eine neue Einwilligung erstellt, die ebenfalls mit Schule und dem Träger zu tun hat. Der offene Ganztag kann nur funktionieren, wenn die Personen, welche die Kinder nach dem Unterricht betreuen, über ausreichende Informationen verfügen, um für die Kinder passgenaue Unterstützungsangebote erstellen zu können. Wenn der offene Ganztag keine reine Hausaufgabenhilfe sein soll, müssen die Mitarbeiter wissen, wo das Kind Förderbedarfe hat, ob es Lernbeeinträchtigungen hat und ähnlich. Die Informationen sollten aktuell sein und die Mitarbeiter des Trägers können sie nur von der Schule erhalten, von den Lehrkräften, welche das Kind unterrichten. Als externer Partner gehören die Träger von offenen Ganztagsangeboten nicht zur Schule.

Da es keine rechtliche Grundlage im Schulgesetz NRW gibt, aufgrund derer die Schule derartige Informationen bzw. personenbezogene Daten an Dritte wie einen Träger (ein Unternehmen) weitergeben darf, kann ein solcher Informationsaustausch nur auf der Basis einer informierten und freiwilligen Einwilligung erfolgen.1Anders als im Bereich der Schulsozialarbeit und dem Informationsaustausch mit Ämtern, Ärzten u. Ä. empfehle ich hier eine datenschutzrechtliche Absicherung durch eine entsprechende Einwilligung und keine Entbindung von der Schweigepflicht.

Die Einwilligung findet sich dauerhaft im Download Bereich unter Einwilligungen Schule (NRW).

Bitte achten Sie als Schule darauf, die Daten Ihrer Schüler an den Träger Ihres offenen Ganztagsangebot nur auf sicheren Wegen zu übermitteln.