Schlagwort: personenbezogene Daten

Folgende Frage wurde gestellt:

“Angenommen eine Kollegin lässt im EDV-Unterricht eine Excel-Tabelle als Leistungsüberprüfung (z.B. Klassenarbeit) erstellen. Diese werden von den SuS im pädagogischen Netz gespeichtert. Da die Kollegin keinen schulischen Arbeitsplatz zur Verfügung hat, möchte sie die Excel-Tabellen gerne am privaten PC bewerten. Darf sie das?”

Wie in der Anfrage bereits festgestellt, werden Klassenarbeiten nicht in der Genehmigung für die Verarbeitung personenbezogener Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken … aufgeführt.

Anlage 3 der VO-DV I führt tatsächlich nur “Leistungsbewertung in den Fächern, in denen die Lehrkraft die Schülerinnen und Schüler unterrichtet” als zum Datensatz gehörig auf, den Lehrerinnen und Lehrer mit Genehmigung verarbeiten dürfen. Klassenarbeiten selbst gehören in NRW nicht einmal zum Datenbestand der Schule selbst, sondern nur die Noten daraus und die Bewertungen.¹ Anders als bei Unterlagen zum sonderpädagogischen Förderbedarf, wo ausdrücklich nur das Ergebnis der Entscheidung verarbeitet werden darf, nicht aber beispielsweise die zugrundeliegenden Gutachten, werden Klassenarbeiten auch an keiner Stelle von der Verarbeitung ausgeschlossen. ²    In Schleswig Holstein zählen Klassenarbeiten zu den von der Schule geführten Akten, die gesondert von der Schülerakte geführt werden. (Siehe dazu §8 “Landesverordnung über die Verarbeitung personenbezogener Daten an öffentlichen Schulen (Schul-Datenschutzverordnung – SchulDSVO)“) 

Für den Fragesteller ergibt sich deshalb die Frage, ob

“Leistungsüberprüfungen überhaupt als personenbezogene Daten im Sinne der Datenschutzgesetzgebung anzusehen sind?”

Gehören die Inhalte von Leistungsüberprüfungen zu den personenbezogenen Daten?

Leistungsüberprüfungen enthalten mit der Namensangabe automatisch personenbezogene Daten, außer sie werden anonym verfasst, etwa um einen allgemeinen Eindruck vom Stand der Lerngruppe zu erhalten. Dem Datum Name lassen sich dann weitere Daten aus dem Inhalt der Leistungsüberprüfung zuordnen: richtig, falsch, Anzahl richtig und falsch, vollständig, unvollständig, ausführlich, knapp, Aufgabe missverstanden, Fehlertypen, usw.. Je nach Aufgabenstellung können etwa auch Meinungen enthalten sein.

Personenbezogene Daten umfassen, laut Artikel 4 DS-GVO und Kommentaren dazu, ohne Einschränkung “alle Informationen”, die sich auf eine Person beziehen und der Begriff ist von daher grundsätzlich weit zu verstehen.³Siehe dazu Klar/Kühling in Kühling/Buchner, Art. 4 Nr. 1 DS-GVO Rn. 8 So fallen darunter auch innere Zustände. Eine Klassenarbeit kann als Ausdruck eines inneren Zustandes gesehen werden. Schüler X verfügt über folgende Kompetenzen/ verweigert die Leistung/hat die Aufgabenstellung nicht verstanden/ lehnt es ab, Tiere zu töten, ….

Das gilt für analoge Klassenarbeiten, wo es noch das zusätzliche Merkmal Handschrift gibt oder vielleicht den typischen Geruch des Heftes (Raucher, Parfüm, ….) wie auch für digitale Klassenarbeiten. Bei digitalen Daten und digitale Klassenarbeiten fallen darunter, ist die DS-GVO noch einmal kritischer. Wenn es um automatisierte Datenverarbeitung geht, worunter schon das bloße Speichern fällt, gibt es kein belangloses Datum.⁴Siehe dazu Klar/Kühling in Kühling/Buchner, Art. 4 Nr. 1 DS-GVO Rn. 9

Digitale Klassenarbeiten lassen sich darüber hinaus auch digital aus- und mittels entsprechender Algorithmen bewerten, ähnlich wie Daten in einer Lernplattform. Rein technisch gesehen liefert eine Klassenarbeit wie alle von Schülern angefertigten Arbeiten, wie ihr Verhalten, ihre Mitarbeit, … (personenbezogene) Rohdaten, welche Lehrkräfte auswerten und den Schülern zugeordnet in Noten fassen, wodurch sie neue personenbezogene Daten generieren.

In Abgrenzung zu den Sachdaten liegt bei einer Klassenarbeit ein Zweckelement vor, da es möglich ist, die Informationen darin zur Beurteilung einer Person zu nutzen.

Was bedeutet das nun für die Kollegin?

Die Bewertung der gesamten Situation wird, wie oben dargestellt, deutlich erschwert durch das Fehlen jeglicher Regelungen bezüglich der Verarbeitung von derartigen personenbezogenen Daten. Auf der sicheren Seite ist man deshalb eigentlich nur, wenn man die bestehenden Vorgaben restriktiv auslegt. Damit darf die Kollegin, wenn sie sich an die Vorgaben der VO-DV I hält, die von den Schülern bearbeiteten Excel Tabellen nicht auf ihrem privaten Endgerät speichern.

Wie kann man das Problem lösen?

Zwei Möglichkeiten sind denkbar.

1. Arbeitet die Schule offiziell mit einer Plattform wie Moodle, Office 365 oder ähnlich⁵        Dazu würde in NRW auch Logineo NRW zählen. und es ist dadurch möglich, die Dateien über Zugriff auf die Plattform von zu Hause aus innerhalb der Plattform anzuzeigen, in einem in die Plattform integrierten Datei Viewer oder im Fall von Office 365 über die Browser Version von Excel, dann ist dieses mit den Vorgaben der VO-DV I vereinbar. Die vorübergehende Speicherung im Cache des Browsers zur Anzeige stellt keine Speicherung bzw. Verarbeitung auf dem Gerät selbst im Sinne der DS-GVO⁶        Siehe dazu Eßer in Eßer/Kramer/ v. Lewinski Art. 4 Nr. 2 DS-GVO Rn. 43 und Herbst in Kühling/Buchner, Art. 4 Nr. 2 DS-GVO Rn. 24 dar. Die Lehrkraft ist damit nicht der Beschränkung auf die in VO-DV I Anlage 3 aufgeführten personenbezogenen Daten unterworfen.⁷       Der Lehrkraft sollte eine Genehmigung der Schulleitung zur Verarbeitung personenbezogener Daten aus der Schule vorliegen.
2. Stellt die Schule USB Sticks⁸         Diese USB Sticks sollten geschützt sein. Siehe dazu auch den Themen Beitrag: USB Sticks und Datensicherheit zur Verfügung, man speichert die Dateien der Schüler auf diesem USB Stick und öffnet sie von dort aus (also ohne sie auf den Rechner zu kopieren) mit einem kompatiblen Tabellenkalkulationsprogramm, dann ist auch das mit den Vorgaben der VO-DV I vereinbar. Die temporäre Arbeitskopie, wie beispielsweise Excel sie anlegt, wenn man die Datei vom USB Stick öffnet, fällt nicht unter den Begriff der Speicherung⁹         Siehe dazu ebenfalls Eßer in Eßer/Kramer/ v. Lewinski Art. 4 Nr. 2 DS-GVO Rn. 43 Herbst in Kühling/Buchner, Art. 4 Nr. 2 DS-GVO Rn. 24, die ihrerseits eine Form der Verarbeitung ist. Somit kann man auch auf diesem Wege die Beschränkung auf die in VO-DV I Anlage 3 gelisteten personenbezogenen Daten umgehen, da die Verarbeitung nicht auf dem Gerät selbst stattfindet.¹⁰        Der Lehrkraft sollte trotzdem eine Genehmigung der Schulleitung zur Verarbeitung personenbezogener Daten aus der Schule vorliegen.

Die beiden vorgeschlagenen Lösungen lassen sich aktuell so aus datenschutzrechtlicher Sicht nicht umsetzen. Um den Zeitpunkt als der Beitrag entstand, ging man im Schulministerium NRW noch davon aus, dass es mit Genehmigung für private Endgeräte durch die Schulleitung Lehrkräften möglich ist, nicht in Anlage 3 aufgeführte personenbezogene Daten aus der Schule mit Vorliegen der Genehmigung für private Endgeräte in einer virtuellen Umgebung wie Logineo NRW zu verarbeiten. Das war auch der Gedanke bei der Nutzung des sogenannten Daten-Safe. Mittlerweile musste das MSB hier seine Position korrigieren. Wie im Beitrag Verarbeiten – Speichern – Unterricht – Lehrergeräte ausführlich dargestellt, fällt bereits die Anzeige von personenbezogenen Daten am Bildschirm unter den Begriff der Verarbeitung. Das bedeutet für die Praxis:

Die Kollegin kann nach aktueller Rechtslage die Excel-Tabellen nur an einem Schulrechner bewerten oder sie muss sie ausdrucken. In Papierform kann sie sie mitnehmen wie jedes Arbeitsmaterial. Diese Antwort ist natürlich unbefriedigend und jeder muss für sich entscheiden, was man daraus macht.

Übertragen bedeutet das

Es ist zur Beweissicherung auch nicht zulässig, Klassenarbeiten abzufotografieren oder zu Hause einzuscannen, etwa wenn Schüler immer wieder die zurückgegebene, bewertete Arbeiten manipulierten, um der Lehrkraft Fehler zu unterstellen mit dem Ziel, eine bessere Note zu bekommen. Hier bleibt dann nur die Kopie am Kopierer oder das Einscannen über einen schulischen Dokumentenscanner.

überarbeitet mit Stand 05/2019