Auswirkungen der geänderten VO-DV II auf Nutzung Privatgeräte

Lesezeit: < 1 Minute

Nicht nur durch die Änderung der VO-DV I ergeben sich Änderungen für die Nutzung von privaten Endgeräten zur Verarbeitung von personenbezogenen Daten aus der Schule zu dienstlichen Zwecken, sondern auch aus der Änderung der VO-DV II. Hier betreffen die Neuregelungen jedoch nicht Lehrkräfte generell, sondern nur die Personen, welche an Schulen und an den ZfsL Lehramtsanwärterinnen und Lehramtsanwärter sowie der Lehrkräfte und sonstigen Personen in Ausbildung betreuen und dabei deren personenbezogenen Daten verarbeiten. Ähnlich wie durch die Neuregelungen in der VO-DV I wird die Nutzung von Privatgeräten für diese Zwecke nun deutlich eingeschränkt, sobald ein Dienstgerät zur Verfügung gestellt bzw. ausgehändigt wurde. Aber die Regelungen geben auch Freiräume für begrenzte Ausnahmen. Als Bonbon findet sich in der VO-DV II sogar eine eingeschränkte Möglichkeit, wie Lehrkräfte dienstlich bekannte Daten von Lehrkräften, anderem Personal an Schule oder von Personen in Ausbildung ohne Genehmigung auf Privatgeräten verarbeiten dürfen. Details hierzu werden genauer erläutert unter Verarbeitung von personenbezogenen Daten auf dienstlichen und privaten Endgeräten – VO-DV II.

Verarbeitung von personenbezogenen Daten auf dienstlichen und privaten Endgeräten – VO-DV II

Lesezeit: 9 Minuten

Mit Datum vom 13. Dezember 2021 wurden die VO-DV I und VO-DV II durch die Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten geändert. Die Änderungen in den beiden Verordnungen wirken sich sehr deutlich auf die Arbeit der an den Schulen und ZfsL tätigen Personen aus, so dass man hier von einer Zäsur sprechen kann.

Bisher konnten Lehrkräfte und andere mit der Ausbildung beauftragte Personen private Endgeräte mit Genehmigung der Schulleitung zur Verarbeitung von personenbezogenen Daten der auszubildenden Personen im Rahmen der Vorgaben der VO-DV II nutzen. Das war richtig und sinnvoll, da an Schulen selten ausreichend viele für Verwaltungsarbeiten eingerichtete Lehrerarbeitsplätze wie auch mobile Endgeräte für den Einsatz bei Unterrichtsbesuchen und die Arbeit zu Hause zur Verfügung standen. An vielen ZfsL dürfte der Mangel an Endgeräten noch größter gewesen sein. Doch spätestens seit Lehrkräfte an Schulen über Förderprogramme des Bundes und des Landes mit Dienstgeräten ausgestattet werden und das Land auch die Seminar- und Fachleitungen an den ZsfL aus Landesmitteln mit Dienstgeräten versorgt, haben sich die Rahmenbedingungen geändert.

Darauf hat der Gesetzgeber mit den angepassten Regelungen zur Nutzung von Privatgeräten reagiert. In der Neufassung der VO-DV II geht der Gesetzgeber nun davon aus, dass die Verarbeitung von personenbezogenen Daten der in Ausbildung befindlichen Personen auf Dienstgeräten die Regel darstellt und die Verarbeitung auf Privatgeräten die Ausnahme. Entsprechend wurden die Möglichkeiten, weiterhin private Endgeräte für die dienstliche Verarbeitung von personenbezogenen Daten stark eingegrenzt. Schulleitungen und Leitungen von ZfsL verfügen weiterhin über die Möglichkeit, mit der Ausbildung beauftragen Personen, eine Genehmigung zu erteilen. Diese ist jedoch jedoch stark eingeschränkt, auf Personen, denen noch kein Dienstgerät zur Verfügung steht, deren Dienstgerät verlustig gegangen oder defekt ist, ohne dass Ersatz gestellt werden kann, und auf eine begrenzte Zahl von Ausnahmefällen.

Im Folgenden geht es ausschließlich um die neue Fassung der VO-DV II, soweit sie die Nutzung von privaten Endgeräten zur Verarbeitung von personenbezogenen Daten von an Schulen und ZfsL in Ausbildung befindlichen Personen durch die damit beauftragten Personen betrifft. Im Beitrag Verarbeitung von personenbezogenen Daten auf dienstlichen und privaten Endgeräten – VO-DV I  werden die entsprechenden Neuregelungen in der VO-DV I erläutert.

Die Änderungen im Detail

§ 2 Abs. 4 VO-DV II regelt die Nutzung von Privat- und Dienstgeräten zur Verarbeitung von personenbezogenen Daten von an Schulen und ZfsL in Ausbildung befindlichen Personen durch die damit beauftragten Personen.

(1) Die Verarbeitung personenbezogener Daten von Personen, die an Zentren für schulpraktische Lehrerausbildung oder an Schulen ausgebildet werden, auf privaten digitalen Geräten der mit der Ausbildung beauftragten Personen bedarf der schriftlichen, ein Verzeichnis der Verarbeitungstätigkeiten gemäß Artikel 30 der Datenschutz-Grundverordnung enthaltenden Genehmigung. (2) Die Genehmigung für Seminarausbilderinnen und Seminarausbilder erteilt die Leiterin oder der Leiter des Zentrums für schulpraktische Lehrerausbildung. (3) Für Ausbildungslehrerinnen und Ausbildungslehrer an Schulen erfolgt dies durch die Schulleiterin oder den Schulleiter. (4) Die Genehmigung darf nur erteilt werden, wenn die Verarbeitung der Daten nach Art und Umfang für die Ausbildung erforderlich ist und ein angemessener technischer Zugangsschutz nachgewiesen wird. (5) Die für die Verarbeitung zugelassenen Daten ergeben sich aus der Anlage 6.”

Kreis der von der Verarbeitung Betroffenen

Entsprechend sind auch die von der Verarbeitung betroffenen Personen nicht nicht die gleichen. In § 2 Abs. 4 Satz (1) wird hier von “Personen, die an Zentren für schulpraktische Lehrerausbildung oder an Schulen ausgebildet werden” gesprochen. Wer unter diesen Personen zu verstehen ist, wird unter § 1 Abs. 1 Nr. 2 definiert.

“2. der Lehramtsanwärterinnen und Lehramtsanwärter sowie der Lehrkräfte und sonstigen Personen in Ausbildung,”

Neben den personenbezogenen Daten von Lehramtsanwärterinnen und Lehramtsanwärter sowie der Lehrkräften in Ausbildung fallen mit sonstigen Personen in Ausbildung unter die Regelung dann beispielsweise auch  Praxissemesterstudierende und Studierende im Eignungs- und Orientierungspraktikum. Wie aus den Erläuterungen zu den Änderungen (S. 17) hervorgeht, ist für das MSB denkbar, dass zukünftig auch Seiteneinsteiger in Sondermaßnahmen zur Qualifizierung unter die Regelung fallen können. 1In Nr. 2 erfolgt die Klarstellung, dass sämtliche Personen, die am ZfsL und an den Schulen ausgebildet werden, erfasst sind (z.B. Praxissemesterstudierende, Studierende im Eignungs- und Orientierungspraktikum; auch sind perspektivisch Sondermaßnahmen zur Qualifizierung von Seiteneinsteigem denkbar).”

Kreis der zur Verarbeitung Berechtigten

Wie in Satz (1) beschrieben, geht es um die “mit der Ausbildung beauftragten Personen“, die dann in den folgenden Sätzen als Seminarausbilderinnen und Seminarausbilder an den ZfsL (2) und Ausbildungslehrerinnen und Ausbildungslehrer an Schulen (3) beschrieben werden.

Wer erteilt wem die Genehmigung?

In dem mit der Dienstanweisung für die automatisierte Verarbeitung von personenbezogenen Daten in der Schule (10-41 Nr. 4) im Februar veröffentlichten Formular für die Erteilung von Genehmigungen waren die Zuständigkeiten nicht korrekt ausgewiesen. Dieses wird nun mit den Sätzen (2) und (3) behoben.

  • Die Leitung eines ZfsL erteilt den Seminarausbilderinnen und Seminarausbildern, d.h. Seminarleitungen, Fachleitungen und vorübergehend mit Ausbildungsaufgaben an ihrem ZfsL beauftragten Lehrkräften die Genehmigung zur Verarbeitung von personenbezogenen Daten der am ZfsL in Ausbildung befindlichen Personen.
  • Die Leitung einer Schule erteilt den Ausbildungslehrerinnen und Ausbildungslehrern an ihrer Schule, d.h. Lehrkräften, die an dieser Ausbildungsschule zur Mitwirkung an der Ausbildung verpflichtet werden (§10 Absatz 5 Allgemeine Dienstordnung – ADO), die Genehmigung zur Verarbeitung der personenbezogenen Daten von Personen, die an ihrer Schule ausgebildet werden.

Zur Erteilung von Genehmigungen steht Schulleitungen und Leitungen von ZfsL aktuell nur das bekannte Formular zur Verfügung, welches Teil der Dienstanweisung für die automatisierte Verarbeitung von personenbezogenen Daten in der Schule (10-41 Nr. 4) und am 19.01.2018 in einem Runderlass veröffentlicht wurde. Dieses Genehmigungsformular berücksichtigt von daher die neue Rechtslage noch nicht. Auch eine Anpassung an die DS-GVO fehlt noch. Wann mit einer Neufassung zu rechnen ist, bleibt abzuwarten. Bis dahin wird man Genehmigungen behelfsmäßig wohl noch auf der Grundlage des veralteten Formulars erteilen können/ müssen.

Welche Daten dürfen auf Privatgeräten verarbeitet werden?

In Anlage 6 gab es nur kleinere formale Anpassungen. Die personenbezogenen Daten, deren Verarbeitung nach “Art und Umfang für die Ausbildung erforderlich” und auf Privatgeräten mit Genehmigung zulässig ist, bleibt weiterhin auf

  • Name, Vorname
  • E-Mail (Soweit im Einzelfall nicht erforderlich, ist die Angabe freiwillig und jederzeit widerrufbar.)
  • Beurteilung der Leistungen der Personen in Ausbildung, und
  • Dienstliche E-Mail-Adresse

beschränkt.

Wegfall der Genehmigung

Mit § 2 Abs. 4 Satz 6 – 8 ist die VO-DV II nun um eine Regelung ergänzt, welche die Möglichkeiten der Schulleitung sowie der Leitung des ZfsL einschränkt, den zuvor beschriebenen Personen eine Genehmigung zu erteilen. Außerdem ist geregelt, wann bereits erteilte Genehmigungen ihre Gültigkeit verlieren. Die Regelung erfolgt analog zu der in § 2 Abs. 2 Satz 4 – 6 VO-DV I.

(6) Die Genehmigung darf nicht erteilt werden, wenn ein persönliches dienstliches digitales Gerät für dienstliche Zwecke zur Verfügung gestellt wird. (7) Eine bereits erteilte Genehmigung erlischt mit Aushändigung eines solchen Gerätes. (8) Übergangsweise ist die weitere Nutzung des Privatgeräts für die Dauer von höchstens vier Wochen zulässig, soweit dies zur Übertragung der personenbezogenen Daten auf das dienstliche Gerät erforderlich ist.”

Es gibt jedoch einen kleinen aber nicht unwichtigen Unterschied. Während in der VO-DV I vom Zurverfügungstellen eines Dienstgerätes für schulische Zwecke gesprochen wird, geht es in der VO-DV II um dienstliche Zwecke.

Hinweis: Bis auf wenige Unterschiede sind die Regelungen von § 2 Abs. 4 Satz 6 – 8, sehr ähnlich zu denen in der VO-DV I. Wer den Beitrag Verarbeitung von personenbezogenen Daten auf dienstlichen und privaten Endgeräten – VO-DV I wird deshalb in den folgen Abschnitten bis zum Beginn des Abschnitts “Ausnahme von der Genehmigungspflicht !” nur wenig Neues finden, abgesehen von Anpassungen an den veränderten Kreis der von der Regelung betroffenen Personen.

Ausnahmeregelung

Der Gesetzgeber erkennt an, dass es Ausnahmen geben kann, die es erforderlich machen, eine Nutzung von Privatgeräten entgegen der vorherigen Regelung zuzulassen. In § 2 Abs. 4 Satz 9 VO-DV II heißt es deshalb:

(9) Unabhängig davon kann die Schulleitung ausnahmsweise in begründeten, von ihr zu dokumentierenden Einzelfällen die Nutzung von Privatgeräten vorübergehend zulassen, soweit dies zur vollumfänglichen schulischen2Interessant ist an dieser Stelle, dass hier nicht die Rede ist von “dienstlicher” Verarbeitung …, um in der Systematik zu bleiben Verarbeitung personenbezogener Daten erforderlich und die datenschutzgerechte Verarbeitung entsprechend der für die Nutzung von Privatgeräten geltenden Standards gewährleistet ist.”

Sobald einer der zuvor beschrieben Personen (Seminarausbilderinnen und Seminarausbilder an den ZfsL und Ausbildungslehrerinnen und Ausbildungslehrer an Schulen) ein persönliches dienstliches Gerät zur Verfügung gestellt wird, darf ihr keine Genehmigung für ein privates Endgerät erteilt werden. Hatte die Person bereits eine Genehmigung, so verliert diese automatisch ihre Gültigkeit. Das bedeutet, die Schulleitung bzw. Leitung des ZsfL muss die Genehmigung nicht aktiv widerrufen.

Geht ein zur Verfügung gestelltes Dienstgerät defekt oder verlustig und es gibt keinen Ersatz, erfüllt die Person die Voraussetzungen für die Erteilung einer Genehmigung. Auch wenn ein Gerät für einen Zeitraum in Reparatur ist, sollte es möglich sein, für diese Zeit eine Genehmigung zur Nutzung eines Privatgerätes zu erteilen, sofern kein Ersatzgerät gestellt werden kann.

PERSÖNLICHES DIENSTLICHES DIGITALES GERÄT

Wichtig ist an diesem Abschnitt, dass es sich bei dem dienstlichen Gerät um ein persönliches dienstliches digitales Gerät handelt. Ein persönliches dienstliches digitales Gerät setzt voraus, dass dieses der Person ausdrücklich als ein solches zugewiesen wurde und sie es alleine nutzt. Dieses geht in der Regel mit einer Nutzungsvereinbarung einher, wie sie beispielsweise im Rahmen der Richtlinie über die Förderung von dienstlichen Endgeräten für Lehrkräfte an Schulen in Nordrhein-Westfalen erforderlich ist. Auch bei den über das Land beschafften Geräten für die ZfsL dürfte es solche Nutzungsvereinbarungen geben.

ZUR VERFÜGUNG STELLEN – AUSHÄNDIGUNG

In Satz 6 und 7 heißt es, die Genehmigung darf nicht erteilt werden, wenn ein Dienstgerät “zur Verfügung gestellt wird” bzw. eine bereits erteilte Genehmigung erlischt “mit Aushändigung eines solchen Gerätes“.

In dieser Stelle werden sicherlich einige Personen eine Möglichkeit sehen, weiterhin mit einem privaten Endgerät mit Genehmigung der Schulleitung bzw. des ZfsL zu arbeiten. Reicht es die Annahme eines Dienstgerätes zu verweigern? Kann man gezwungen werden, ein Dienstgerät anzunehmen?

Für die Möglichkeit, die Annahme eines Dienstgerätes verweigern zu können, spricht bei Lehrkräften Regelung in der Richtlinie über die Förderung von dienstlichen Endgeräten für Lehrkräfte an Schulen in Nordrhein-Westfalen zur Annahme der Nutzungsbedingungen durch die Lehrkräfte. Dort heißt es in Abs. 6.3:

““Der Schulträger stellt den Lehrkräften die digitalen Endgeräte für eine unentgeltliche Nutzung zur Verfügung. Die Nutzungsbedingungen für die digitalen Endgeräte sind durch den Schulträger festzulegen. Die Zustimmung der Lehrkräfte zu den Nutzungsbedingungen ist sicherzustellen.

Ohne Annahme der Nutzungsbedingungen, darf ein Schulträger das Dienstgerät nicht an die Lehrkraft aushändigen. Genauso könnte eine Lehrkraft auch die Einwilligung in die zur Verwaltung der Dienstgeräte erforderliche Datenverarbeitung verweigern oder für eine von beiden die Zustimmung bzw. Einwilligung widerrufen.

Daraus ergibt sich ein Widerspruch zwischen den Regelungen der Verordnung und der Richtlinie.

Auf der anderen Seite wird vermutlich auf die Formulierung “zur Verfügung gestellt wird” verwiesen werden. Die Frage ist hier, was genau man darunter verstehen kann bzw. will. Reicht es bereits aus, wenn der Schulträger ein Gerät für die Lehrkraft beschafft, bzw. das Land für eine Person, die als Seminarausbilder:in tätig ist, es für sie einrichtet und ihr einen Termin gibt zur Übernahme, um von “zur Verfügung stellen” zu sprechen? Würde man sich dieser Argumentation anschließen, müsste man auch in Kauf nehmen, dass die Einwilligung der betreffenden Person in die Nutzungsbedingungen dann nicht mehr freiwillig erfolgen kann.

Es bleibt abzuwarten, wie dieser Widerspruch sich in der Praxis auflöst. Von Seiten des MSB und eventuell auch einzelnen Bezirksregierungen oder deren Mitarbeitern dürfte hier am ehesten ein Hinweis zu erwarten sein, dass die Verordnung Vorrang hat und durchzusetzen ist.

📍Ausnahme von der Genehmigungspflicht📍

Neu hinzugekommen ist mit der Änderung der VO-DV II ist eine Regelung, welche eine einschränkte Verarbeitung von personenbezogenen Daten auf privaten Endgeräten erlaubt, auch wenn hierfür keine Genehmigung vorliegt, etwa weil ein Dienstgerät zur Verfügung gestellt wurde. Diese außergewöhnliche Regelung findet sich in § 2 Abs. 5

“(5) Sofern dienstliche Dokumente auf privaten digitalen Geräten verarbeitet werden, ist die Verarbeitung personenbezogener Daten von Lehrkräften, anderem Personal der Schule und Personen in Ausbildung zulässig, soweit es sich um in der Schule oder im Zentrum für schulpraktische Lehrerausbildung dienstlich bekannte Daten und Kontaktdaten handelt, die Nennung für die Aufgabenerledigung erforderlich ist und ein angemessener technischer Zugangsschutz gewährleistet wird.”

Das bedeutet, Lehrkräfte an Schulen dürfen auf einem privaten Endgerät personenbezogene Daten auch ohne eine Genehmigung verarbeiten, sofern alle die folgenden fünf Voraussetzungen erfüllt sind:

  1. Es geht um dienstliche Dokumente.
  2. Es handelt sich um die Daten von Lehrkräften, anderem Personal an Schule oder von Personen in Ausbildung (Lehramtsanwärter, Lehrkräften in Ausbildung, Praxissemesterstudierende und Studierende im Eignungs- und Orientierungspraktikum).
  3. Es handelt sich ausschließlich um dienstlich bekannte Daten und Kontaktdaten.
  4. Die Nennung ist für die Aufgabenerledigung erforderlich.
  5. Ein angemessener technischer Zugangsschutz wird gewährleistet.

Welchen Hintergrund diese Regelung hat, beschreibt das MSB in den Erläuterungen zu den Änderungen (S. 19f). Bei den dienstlich bekannten Daten und Kontaktdaten handelt es um “bekannte Daten als Amtsträger in Bezug auf ihre Funktion in der Schule.” Darunter zu verstehen sind “Namen, Kontaktdaten und Unterrichtsfächer des Personals.” Diese unterliegen § 9 Abs. 3 Informationsfreiheitsgesetz und erfordern von daher einen geringeren Schutz. Liegt also eine dienstliche Erfordernis zu Verarbeitung vor und ein angemessener Zugangsschutz, im weitesten vergleichbar dem bei der Erteilung einer Genehmigung geforderten, dann können diese beiden Kategorien von personenbezogenen Daten auch ohne eine Genehmigung auf privaten Endgeräten verarbeitet werden. Diese Regelung dürfte vor allem vielen Lehrkräften entgegen kommen, denn hier geht es um das Erstellen, Übermitteln oder Empfangen von Dokumenten wie Protokollen über Konferenzen, Unterrichts-/Vertretungsplänen, Ausbildungs-Stundenplänen, Aufsichtsplänen und Sprechstundenlisten. Auch Personen, die an den ZsfL mit der Ausbildung betraut sind, profitieren von dieser Regelung.

Was bedeutet das für die Praxis?

Mit Blick auf Lehrkräfte bedeutet dieses: auch wenn ihnen ein Dienstgerät zur Verfügung gestellt oder keine Genehmigung für das Gerät erteilt wurde, können sie auf privaten Smartphones nun

  • über Browser oder App Unterrichts-, Vertretungs- und Aufsichtspläne wie auch Sprechstundenlisten des Kollegiums abrufen,
  • Raum- und Ressourcen-Buchungs-Systeme nutzen,
  • die Namen und dienstlichen Rufnummern von Kolleginnen und Kollegen speichern und verwalten3, solange sie sicherstellen können, dass diese nicht bei WhatsApp oder in anderen nicht-schulischen Clouds landen.

Auf einem privaten Laptop können sie so beispielsweise

  • Protokolle von Lehrer- und Fachkonferenzen schreiben4sofern dabei keine personenbezogenen Daten verwendet werden, die über die dienstlich bekannten Daten hinausgehen,
  • Protokolle von Lehrer- und Fachkonferenzen gelesen und kommentiert werden, und
  • Unterrichts-, Vertretungs- und Aufsichtspläne erstellen und an Kolleginnen und Kollegen versenden.

An seine Grenzen dürfte die Regelung kommen, wenn zum Abruf eines digitalen Stunden- und Vertretungsplans an einer Schule ein App oder eine Online-Plattform genutzt wird, die neben der Stunden- und Vertretungsplan-Funktion noch einen Messenger beinhaltet und eine Dateiablage oder ein digitales Klassenbuch mit Absenzen-Verwaltung, durch die dann auch personenbezogene Daten verarbeitet, welche über die dienstlich bekannten Daten und Kontaktdaten hinausgehen.

Nicht verarbeitet werden können auf einem privaten Endgerät ohne Genehmigung Dokumente, welche personenbezogenen Daten enthalten, welche über die oben beschriebenen dienstlich bekannten Daten und Kontaktdaten von anderen Lehrkräften, anderem Personal der Schule und Personen in Ausbildung hinausgehen. Dazu zählen dann beispielsweise Protokolle über Klassenkonferenzen und über Teilkonferenzen Ordnungsmaßnahmen.

Sonderregelung Schulleitung und Leitung ZfsL

Die Schulleitung wie auch die Leitung des ZfsL sind von der Regelung zum Wegfall der Genehmigung ausgenommen, da sie sich selbst keine Genehmigung erteilen können. Dazu heißt es in § 2 Abs. 6

“(6) Wenn die Leiterin oder der Leiter einer Schule oder eines Zentrums für schulpraktische Lehrerausbildung personenbezogene Daten von Beschäftigten auf privaten digitalen Geräten verarbeitet, ist dies nur für die in Absatz 5 und Anlage 6 genannten Daten zulässig, soweit die Verarbeitung der Daten zur Aufgabenerfüllung erforderlich ist und der erforderliche Schutz der Daten technisch sichergestellt wird.”

Damit können die genannten Personen also weiterhin ein privates Endgerät zur Verarbeitung von personenbezogenen Daten der an ihrer Schule bzw. in ihrem ZfsL tätigen Personen verarbeiten. Sie sind dabei jedoch bezüglich der mit der Ausbildung beauftragten Personen an ihrer Institution auf die “dienstlich bekannten Daten und Kontaktdaten” aus Absatz 5 und bezüglich der Personen, die dort ausgebildet werden auf die in Anlage 6 aufgeführten Daten (Name, Vorname, E-Mail, Beurteilung der Leistungen der Personen in Ausbildung und dienstliche E-Mail-Adresse) beschränkt.

In der Kommentierung zum Entwurf der Änderung (S. 20) heißt es dehalb: “Mit dem neu eingefügten Absatz 6 wird klargestellt, dass auch Schulleitungen und ZfsL-Leitungen auf privaten digitalen Geräten personenbezogene Beschäftigtendaten nur in dem genannten begrenzten Umfang verarbeiten dürfen. Die Klarstellung ist erforderlich, weil die vorstehenden Regelungen zur Genehmigungspflicht nach Abs. 4 nicht gelten, soweit sie selber Privatgeräte nutzen.”

FAQ

  • Kann eine Lehrkraft, welche die Genehmigung zur Nutzung eines Privatgerätes im Sinne von § 2 Abs. 2 VO-DV I hat, dieses Gerät auch nutzen, um Beurteilungen der Leistung eines Lehramtsanwärters darauf zu schreiben?
    • Ja, das ist möglich, sie muss dafür jedoch von ihrer Schulleitung zusätzlich eine Genehmigung gem. § 2 Abs. 4 VO-DV II einholen. Das ist eine weitere Unterschrift auf einer anderen Seite des aktuell noch gültigen Formulars.
  • Ich bin Fachleitung und habe ein Dienstgerät aus der Schule und eines vom ZsfL. Ist es möglich, dass ich auch die Arbeit für das ZfsL auf dem schulischen Dienstgerät erledige, um nicht ständig zwei Geräte mit mir herumzuschleppen?
  • Am ZfsL habe ich als Fachleitung einen dienstlichen Laptop erhalten. Für Lehrkräfte an meiner Schule gab es als Dienstgerät nur ein iPad. Darf ich auf dem Laptop die Zeugnisnoten für die Schule im externen Notenmodul eingeben?
    • Das sind kniffelige Fragen. Die Schule ist mit Unterstützung des Schulträgers verantwortlich für die sichere Verarbeitung von personenbezogenen Daten aus der Schule auf dem schulischen Dienstgerät. Kommt es zu einem totalen Datenverlust, etwa weil das Dienstgerät durch den Schulträger falsch konfiguriert wurde und es befanden sich personenbezogene Daten darauf, welche zu Personen gehörten, die die Lehrkraft als Fachleitung an anderen Schulen betreute, läge dieses in der Verantwortung der Schule. Anders ausgedrückt – verarbeitet eine Fachleitung die personenbezogenen Daten von Personen, die sie für das ZfsL an anderen Schulen als der eigenen betreut, auf einem schulischen Dienstgerät, dann verarbeitet streng genommen die eigene Schule die Daten von Personen, für deren Verarbeitung sie keine rechtliche Befugnis hat. Schließt man sich dieser engen Auslegung der datenschutzrechtlichen Regelungen an, bleibt in solch einem Fall nur die Nutzung von zwei verschiedenen Dienstgeräten, um die Datenverarbeitung sauber, gemäß der Zuständigkeiten/ Verantwortlichkeiten zu trennen.
    • Geht es nur um das externe Notenmodul könnte man eine Nutzung für Daten der Schule sicher noch vertreten. Was aber wäre, wenn über dieses Laptop bei der Übermittlung der ausgefüllten Notendatei ein Virus ins System der Schule gelangte und die Ursache wäre eine veralteter Virenschutz, der durch die Systembetreuung des ZfsL verursacht wurde?
  • Weder an meiner Schule noch am ZfsL, wo ich als Fachleitung tätig bin, habe ich aktuell ein Dienstgerät. Darf ich auf meinem Privatgerät mit Genehmigung sowohl Daten meiner Schüler wie auch die meiner für das ZfsL betreuten Personen in Ausbildung verarbeiten?
    • Das sollte möglich sein. Es braucht dazu sowohl die Genehmigung der Schulleitung wie auch die der Leitung des ZfsL.

Stand Januar 2022

Auswirkungen der geänderten VO-DV I auf Nutzung Privatgeräte

Lesezeit: 2 Minuten

Mit Datum vom 13. Dezember 2021 wurden die VO-DV I und VO-DV II durch die Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten geändert. Die Änderungen in den beiden Verordnungen wirken sich sehr deutlich auf die Arbeit der an den Schulen tätigen Personen aus, so dass man hier von einer Zäsur sprechen kann. Veränderungen mit vergleichbar starken Auswirkungen auf die Verarbeitung von personenbezogenen Daten an Schulen hat es in den vergangenen Jahren nicht gegeben.

Der Grund dafür liegt in der jetzt sehr starken Eingrenzung der Möglichkeiten, weiterhin private Endgeräte für die Verarbeitung von personenbezogenen Daten aus der Schule zu nutzen. Das war bisher anders. Lehrkräfte konnten ihre privaten Endgeräte im Rahmen der Vorgaben der VO-DV I & II nutzen, um darauf diese Daten zu verarbeiten. Damit war es ihnen möglich, den Mangel an für Verwaltungsarbeiten in der Schule eingerichteten Lehrerarbeitsplätzen auszugleichen, mobil innerhalb der Schule zu arbeiten und auch Arbeiten zu Hause zu erledigen. Die Rahmenbedingungen begannen jedoch sich in dem Moment zu ändern, als Schulträger mit Unterstützung des Landes und des Bundes in die Lage versetzt wurden, Lehrkräfte mit dienstlichen Endgeräten auszustatten. Aus Sicht des Gesetzgebers wie auch der Aufsichtsbehörde des Landes NRW entfiel damit die Erfordernis, Lehrkräften weiterhin die Nutzung privater Endgeräte für die Verarbeitung von personenbezogenen Daten aus der Schule auf privaten Endgeräten zu gestatten. Gleichzeitig sah man jedoch auch, dass es an Schulen weiteres Personal gibt, welches wie Lehrkräfte personenbezogene Daten verarbeitet. Da es für diese Personengruppe noch keine Ausstattungsrichtlinie gibt, wurde auch hier die rechtliche Grundlage geschaffen, eine Genehmigung zur Nutzung von privaten Endgeräten zu erteilen. Die Möglichkeit, auch Lehrkräften diese Genehmigung zu erteilen, ist nicht komplett verschwunden, jedoch stark eingeschränkt, auf Personen, denen noch kein Dienstgerät zur Verfügung steht, deren Dienstgerät defekt oder verlustig gegangen ist, ohne dass Ersatz gestellt werden kann, und auf eine begrenzte Zahl von Ausnahmefällen.

Im Beitrag Verarbeitung von personenbezogenen Daten auf dienstlichen und privaten Endgeräten – VO-DV I werden die Auswirkungen der Änderungen in der VO-DV I im Detail betrachtet und kommentiert. Im Text wie auch in den FAQ am Ende wird versucht, an praktischen Beispielen zu zeigen, welche Spielräume die neuen Regelungen im schulischen Alltag lassen.

Was tun wenn das Gerät mit Zugang zum digitalen Klassenbuch verschwunden ist?

Lesezeit: < 1 Minute

Zum Glück ist nichts passiert, doch wie ein Fall bei Hannover zeigt, kann es heikel werden, wenn das Smartphone mit Zugang zum digitalen Klassenbuch und Zeugnissen von Schülern einer Lehrkraft abhanden kommt.

Eine Lehrerin deponierte dort ihren “Rucksack mit allerlei Wertsachen und einem Handy darin, welches ihr den Zugriff auf sensible Daten wie das digitale Klassenbuch und die Zeugnisse ihrer Schüler sichert”1Quelle: http://www.haz.de/Umland/Burgdorf/Burgdorf-Angeblicher-Diebstahl-in-Fitnessstudio-in-Burgdorf-Schusseligkeit-loest-Polizeieinsatz-aus im Spind im Fitnesstudio. Sie glaubte zunächst der Rucksack samt Inhalt sei gestohlen worden. Wie sich später herausstellte, hatte sie ihn nur in einen anderen Spind gepackt.

Der Fall zeigt aber mehr als deutlich, wo für Lehrkräfte Gefahren lauern können, wenn sie personenbezogene Daten aus der Schule auf einem mobilen privaten Endgerät verarbeiten.

  1. Geräte, über welche personenbezogenen Daten aus der Schule verarbeitet werden, egal ob es Privatgeräte sind oder Dienstgeräte, müssen sicher aufbewahrt werden. Das gilt für die Aufbewahrung in der Schule, zu Hause und vor allem außer Hauses. 2Ein Spind in einem Fitnessstudio zählt sicher nicht zu den Orten, wo man ein solches Gerät aufbewahren sollte.
  2. Geräte, über welche personenbezogene Daten aus der Schule verarbeitet werden, müssen durch technische Maßnahmen gesichert werden. Dazu gehört ein sicherer Zugangsschutz. Bei einem Smartphone könnte das etwa ein Sicherheitscode, der aus mehr als vier Zahlen besteht, sein. Auch die für die Verarbeitung von personenbezogenen Daten aus der Schule genutzten Apps oder Programme müssen durch einen Zugangsschutz gesichert werden. Erfolgt der Zugriff auf ein digitales Klassenbuch oder die Zeugnisverwaltung über den Browser, so dürfen die Zugangsdaten nicht im Browser gespeichert werden.

Sollte es tatsächlich einmal zu einem Verlust kommen, muss die Schule bzw. ein Verantwortlicher umgehend informiert werden, um z.B. im Falle eines Online Zugangs zum digitalen Klassenbuch den Zugang der Lehrkraft sofort zu sperren oder die Zugangsdaten zu ändern. Das sollte auch erfolgen, wenn das Gerät und die Zugänge im Gerät gut gesichert sind.

 

 

 

 

Nicht wirklich Neues in Bezug auf die Genehmigung für Privatgeräte in NRW

Lesezeit: 3 Minuten

Heute fanden die Schulen in NRW das angekündigte E-Mail von Staatssekretär Richter in ihren Postfächern. Wirklich Neues bringt dieses Mail nicht. Im Wesentlichen gibt es das wieder, was am 24.04.2018 gesagt wurde. Das E-Mail, welches unter [02.05.2018] Dienstanweisung für die automatisierte Verarbeitung von personen-bezogenen Daten in der Schule – BASS 10-41 Nr.4 nachzulesen ist, greift noch einmal die verschiedenen Punkte auf und spielt dabei die mit der Genehmigung verbundenen Probleme für Lehrkräfte etwas herunter. Entsprechend heißt es:

“Ich möchte Ihnen gegenüber versichern, dass die DA ADV keine neuen Standards setzt. Sie begründet keine neuen rechtlichen Verpflichtungen oder gar Verschärfungen im Datenschutz, sie gibt lediglich die aktuelle Rechtslage wieder. Die neugefasste DA ADV soll erklären und unterstützen.”

An anderer Stelle heißt es dann “der Genehmigungsvordruck ist eine Hilfestellung“. Von vielen Lehrkräften wird das nicht so empfunden. Sicher ist es richtig, dass Vorgaben vom Datenschutz einzuhalten sind, doch als Hilfe lässt sich die Genehmigung schwer verstehen, vor allem nicht, wenn von der Erfüllung der Vorgaben und dem Nachweis dessen abhängt, ob Land oder Lehrer haftet.

Interessant ist folgender Passus bezüglich der Kontrollfunktion der Schulleitung:

“Die geregelten Nachweispflichten beinhalten selbstverständlich nicht die Verpflichtung der Schulleitung, die privaten Endgeräte jeder einzelnen Lehrkraft persönlich zu überprüfen. Das wäre gar nicht leistbar.”

Das klang zeitweise anders. Stattdessen wird wieder auf die schulischen Datenschutzbeauftragten (DSB) verwiesen:

“Die dokumentierten Angaben sind zudem von der bzw. von dem zuständigen behördlichen Datenschutzbeauftragten an Schulen zu prüfen, insbesondere daraufhin, ob zu den erforderlichen Maßnahmen zur Datensicherheit abweichende Angaben erfolgt sind, die einer Genehmigung entgegen stehen könnten.”

Abweichende Angaben zu den erforderlichen Maßnahmen zur Datensicherheit, die sollen die DSB prüfen und feststellen, ob sie einer Genehmigung entgegenstehen. Auch für DSB ist eine solche Beurteilung schwierig, vor allem wenn sich die Angaben im Formular zum Gerät, für welches eine Genehmigung eingeholt werden soll, auf Seriennummer und Gerätename beschränken. Für eine solche Prüfung ist mehr erforderlich, z.B. der genaue Gerätetyp, am besten mit Modelljahr (vor allem bei Android Geräten wichtig) und die OS Version. Nach der Handreichung zur Genehmigung sind bei bestimmten Gerätetypen Abweichungen von den Vorgaben der Genehmigung in Teil B möglich, etwa weil sich bei iOS kein zweiter Nutzer einrichten lässt oder dort kein Virenschutz erforderlich ist.

Alte Genehmigungen gelten weiterhin,

“Ausdrücklich darauf hinweisen möchte ich, dass in der Vergangenheit erteilte Genehmigungen weiterhin Bestand haben. Die Neufassung der DA ADV löst keinen neuen Handlungsdruck aus.”

An den verschiedenen Schulen sind über die Jahre höchst unterschiedliche Genehmigungsformulare unterwegs gewesen. Viele dürften in ihrer Anlage weit von den Vorgaben entfernt sein, welche die neue Genehmigung verbindlich vorgibt.

In der VO-DV I, §2 Abs. (2) heißt es zu den Voraussetzungen für eine Genehmigung,

“bedarf der schriftlichen, ein Verfahrensverzeichnis gemäß § 8 DSG NRW enthaltenden Genehmigung […] Die Genehmigung darf nur erteilt werden, wenn […] ein angemessener technischer Zugangsschutz nachgewiesen wird.”

Was das MSB sich unter einem angemessenen technischen Zugangsschutz vorstellt, ist nicht weiter präzisiert und lässt so Spielraum für Interpretation. Für ein Verfahrensverzeichnis sind im DSG NRW Vorgaben gemacht, was enthalten sein sollte. Aber auch da ist ein gewisser Spielraum, wie genau dieses ausgestaltet ist. Das sieht man am alten vom LDI NRW erstellten Genehmigungsformular wie an der neuen Genehmigung.

Die alten Genehmigungen dürfen somit unbegrenzt weiter genutzt werden. Was die Schulleitung unter einem angemessenen technischen Zugangsschutz versteht, bleibt dem eigenen Gutdünken der jeweiligen Schulleitung überlassen. Wer eine Genehmigung hat, darf sich also freuen. Lehrkräfte, die neu an eine Schule kommen, müssen leider das neue Formular nutzen.

An der Haftungsfrage, welche sich für Lehrkräfte mit dieser Genehmigung verbindet, hat sich leider auch mit diesem E-Mail nichts geändert. Schade.

Für die Lehrkräfte und Schulleitungen, welche nun mit der neuen Genehmigung arbeiten müssen, verspricht der Staatssekretär weitere Information auf der Plattform des Landes.

Auch mit dem Thema Dienstgeräte will man sich von Seiten des Landes auseinandersetzen. Das Feld ist schwierig und man wird sehen, was sich daraus ergibt.

Mehr Erfolg werden vermutlich Bemühungen der Landesregierung NRW haben, wenn es um die Ausstattung mit weiteren Verwaltungsrechnern für die Schulen geht, an welchen Lehrkräfte arbeiten können.

Datenschutz Tipps & Antworten für Lehrkräfte, die schulische personenbezogenen Daten auf Privatgeräte verarbeiten wollen

Lesezeit: 2 Minuten

Lange Zeit hat sich niemand wirklich Gedanken gemacht, ob es in Ordnung ist, dass eine Lehrkraft die personenbezogenen Daten von Schülern auf ihren privaten Rechnern verarbeitet haben. Wie so viele andere Dinge im Lehreralltag hat man das einfach gemacht. Niemand fragte danach. Genehmigungen wären hier eigentlich schon seit Jahren erforderlich gewesen. An vielen Schulen wusste man davon nichts oder setzte diese Vorgabe nicht um. In NRW hat das Thema mit der Dienstanweisung einen verbindlichen Charakter erhalten. Die   Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken
auf privaten ADV-Anlagen von Lehrkräften gem. § 2 Abs.2 VO-DV I / § 2 Abs.4 VO-DV II
 
ist für alle Schulen verbindlich. Aber auch in anderen Bundesländern geht ohne Genehmigung nichts.

Die Vorgaben aus der Genehmigung sind orientiert an den technisch organisatorischen Maßnahmen zum Schutz der Daten, die für jede Verarbeitung von personenbezogenen Daten und von denen von Schülerinnen und Schüler insbesondere gelten.

Das Problem ist die Umsetzung dieser Vorgaben. Vielen Lehrkräften fällt das schwer. Deshalb habe ich in Orientierung am Teil B – Datensicherheit – des Genehmigungsformulars aus NRW eine Übersicht erstellt, die angibt, was zu tun ist, wenn man sein Gerät, ob Windows, Mac OS, Linux, iOS oder Android möglichst sicher machen möchte im Sinne der Vorgaben. Die Übersicht ist ein Google Doc mit dem Namen Tipps & Antworten für die Praxis . Das Dokument kann weitergenutzt werden und steht dafür unter einer Creative Commons Attribution 4.0 International Lizenz. Als Urheber ist zu nennen datenschutz-schule.info.

Die FAQ im zweiten Teil bezieht sich auf die Genehmigung aus NRW. Alles andere ist auch in anderen Bundesländern sinnvoll, wenn man als Lehrkraft sicher arbeiten möchte. Das Dokument werde ich versuchen, aktuell zu halten.