Distanzunterricht – rechtliche Vorgaben und Möglichkeiten

Lesezeit: 9 Minuten

Dieser Beitrag ist eine überarbeitete und auf die aktuelle Rechtslage im Januar 2021 angepasste Version des älteren Beitrags Teilnahme am Unterricht über Video – geht das?

Das Land befindet sich im Lockdown, die Schulen sind weitestgehend geschlossen und Unterricht muss als Distanzunterricht erteilt werden. Für Schulen stellt sich die Frage, wie dieser Distanzunterricht organisiert werden kann. Nahezu jeder denkt dabei an Distanzunterricht über eine Videokonferenz Plattform, zumeist kombiniert mit weiteren Plattformen. In diesem Beitrag soll aus datenschutzrechtlicher Sicht betrachtet werden, welche Möglichkeiten sich aus den verschiedenen Rechtstexten ergeben und wo die Grenzen liegen.

Maßgeblich ist für die Organisation und Erteilung von Distanzunterricht die Zweite Verordnung zur befristeten Änderung der Ausbildungs- und Prüfungsordnungen gemäß § 52 SchulG1https://bass.schul-welt.de/19272.htm. Diese wird ergänzt zur Erläuterungen im Faktenblatt zur Wiederaufnahme eines angepassten Schulbetriebs in Corona-Zeiten zu Beginn des Schuljahres 2020/20212https://www.schulministerium.nrw.de/system/files/media/document/file/Faktenblatt%20angepasster%20Schulbetrieb%20Schuljahresbeginn%202020%2021.pdf.

Es gibt in beiden Dokumenten jeweils einen Satz, der etwas zum digitalen Format des Distanzunterrichts aussagt.

In der ​Zweiten Verordnung zur befristeten Änderung​ ​der Ausbildungs- und Prüfungsordnungen gemäß § 52 SchulG​ heißt es unter §3 Abs. 6

“​Distanzunterricht ​soll​ digital erteilt werden, ​wenn​ die Voraussetzungen dafür erfüllt sind.​”

Dazu findet sich im ​Faktenblatt angepasster Schulunterricht​ auf S. 11 eine Präzisierung.

“Distanzunterricht soll dann digital erteilt werden, wenn die Voraussetzungen hierfür vorliegen, also ​insbesondere eine ausreichende technische Ausstattung der Schülerinnen und Schüler sowie der Lehrkräfte gewährleistet ist​.”

Demnach setzt digitaler Distanzunterricht eine technische Ausstattung der Beteiligten voraus. Was gehört zu einer ausreichenden technischen Ausstattung? Es braucht:

  • digitale Endgeräte bzw. Zugangsgeräte​, die dem Stand der Technik entsprechen. Dazu gehören Tablet, Notebook, Laptop und Computer. Ein Smartphone ist bedingt durch die geringe Bildschirmgröße weniger geeignet (und dürfte von daher eher keine ausreichende technische Ausstattung darstellen) sowie
  • eine ​ausreichende Internetanbindun​g über einen Anschluss zu Hause, in der Schule oder einen Mobilzugang.

Außerdem braucht es von Seiten der Schule:

  • Plattformen, Software, Apps​ – über die der digitale Distanzunterricht organisiert und durchgeführt werden kann. Dazu gehören LMS, Schulserver, Cloud Speicher, Arbeitsplattformen, Videokonferenz Plattformen, Messenger, …

Das heißt, wenn Schülerinnen und Schüler sowie Lehrkräfte über eine ausreichende technische Ausstattung in Form von geeigneten Zugangsgeräten und Internetzugängen verfügen, um am Distanzunterricht teilzunehmen bzw. diesen zu erteilen, dann soll er digital erteilt werden.

In diesem Zusammenhang sind auch die Initiativen des Landes zu sehen, über welche Leihgeräte für bedürftige Schüler und Dienstgeräte für Lehrkräfte an den Schulen zur Verfügung gestellt werden sollen.

Für den Fall, dass die Voraussetzungen nicht erfüllt sind, womit hier jedoch nicht nur eine nicht ausreichende technische Ausstattung gemeint ist, stellt die Schule in Absprache mit dem Schulträger gem. §3 Abs. 7 Schülerinnen und Schülern Räumlichkeiten für die Teilnahme am Distanzunterricht zur Verfügung.

“Soweit nötig, stellt die Schule den Schülerinnen und Schülern zur Sicherung eines chancengerechten und gleichwertigen Lernumfelds im Einvernehmen mit dem Schulträger Räume für den Distanzunterricht zur Verfügung.”

Die Zweite Verordnung und das sie ergänzende Faktenblatt betrachten die Voraussetzungen für die Erteilung bzw. Teilnahme an einem digitalen Distanzunterricht von den materiellen Voraussetzungen her, den Endgeräten, Online-Zugängen und wenn auch nicht direkt genannt, den der Schule zur Verfügung stehenden Plattformen. Es werden dabei jedoch keinerlei Aussagen zur Form des digitalen Distanzunterrichtes gemacht. Die Spanne der vorstellbaren Formen von digitalem Distanzunterricht reicht hier von der Übermittlung und Rückübermittlung von Arbeitsmaterialien per E-Mail bis zur Durchführung des Distanzunterrichts mittels LMS und Videokonferenz Plattform oder einer Arbeits- und Kommunikationsplattform mit integrierter Videokonferenzlösung.

Das Thema Datenschutz beim digitalen Distanzunterricht

Auch wenn an keiner Stelle in der Zweiten Verordnung das Thema Datenschutz erwähnt wird, so ist klar, dass auch dieser bei den Überlegungen zur Form des digitalen Distanzunterrichts eine Rolle spielt.

Um die weiteren Betrachtungen diesbezüglich zu vereinfachen, gehe ich von folgender, idealer Situation aus: die Schule XYZ hat alle Lehrkräfte mit Dienstgeräten und alle Schülerinnen und Schüler mit digitalen Endgeräten ausgestattet. Alle Lehrkräfte und Schüler haben einen guten und zuverlässigen Internetzugang zu Hause und einen Arbeitsplatz, von dem aus sie ungestört arbeiten können. Die Schule nutzt die Landesplattformen Logineo NRW LMS und Messenger sowie ein im Auftrag von einem deutschen Anbieter betriebenes BigBlueButton als Videokonferenzlösung.

Die Schule möchte die Nutzung der drei Plattformen für alle verbindlich, d.h. verpflichtend, vorschreiben. Ein Beschluss der Schulkonferenz wird hierzu herbeigeführt.

Die Schule ist sich sicher, sie ist auf dem richtigen Weg, denn der neue Absatz 5 in §120 SchulG NRW eröffnet Schulen jetzt die Möglichkeit, digitale Lehr- und Lernplattformen verpflichtend einzuführen.

“Die Schule darf für den Einsatz digitaler Lehr- und Lernmittel personenbezogene Daten der Schülerinnen und Schüler und der Eltern verarbeiten, soweit dies für die Aufgaben der Schule erforderlich ist.”

Aber so einfach ist das dann leider doch nicht. Warum?

Keine Verpflichtung bei Einwilligung

Die beiden Landesplattformen Logineo NRW LMS und Logineo NRW Messenger erfordern beide eine Einwilligung der Nutzer in die Verarbeitung von personenbezogenen Daten beim ersten Login. Gemeint sind damit Daten, die freiwillig eingestellt werden und nichts mit Schule und Unterricht zu tun haben, etwa ein persönliches Profil oder eine private Kommunikation. Eine Einwilligung kann nur rechtswirksam sein, wenn sie freiwillig ist. Damit ist eine verpflichtende Nutzung nicht mehr möglich. Die Einwilligung ist nicht zu umgehen und wäre, wenn sie verpflichtend abgegeben werden müsste, nicht mehr freiwillig.

Dieses Problem lässt sich nur dann beseitigen, wenn man in den Logineo NRW Plattformen zukünftig die Erfordernis zur Einwilligung technisch deaktiviert und eine Nutzung mit privaten Daten entweder komplett untersagt oder die Einwilligung für eine Nutzung mit privaten Daten als Option anbietet. Aktuell ist eine solche Änderung der Plattformen nicht absehbar.3Es müsste zudem eine neue Dienstvereinbarung mit den Hauptpersonalräten geben, denn in der bisherigen mit Stand vom 21.10.2020 heißt es ausdrücklich: „Die Nutzung von LOGINEO NRW ist freiwillig und setzt eine Einwilligungserklärung der jeweiligen Nutzerin/des jeweiligen Nutzers bzw. deren/dessen gesetzlicher Vertretung voraus.“ Hinweis: die Dienstvereinbarung bezieht sich aktuell nur auf die Basisplattform Logineo NRW, nicht das LMS und den Messenger. Es ist jedoch zu erwarten, dass unter aktuellen Bedingungen Dienstvereinbarungen bezüglich dieser beiden Plattformen oder eine Erweiterung der bestehenden Vereinbarung um diese Plattformen vergleichbare Regelungen bezüglich der Freiwilligkeit enthielten.

BigBlueButton ist ein Musterbeispiel für eine datenschutzfreundliche Videokonferenz Plattform. Sie ist open source und lässt sich sicher und datensparsam betreiben. Trotzdem ist eine verbindliche Nutzung auch hier momentan nicht möglich. Dafür gibt es mehrere Gründe.

Schulgesetz NRW und Videokonferenzen

Das Schulgesetz NRW sagt nichts zum Thema Video- und Audiokonferenzen, aber es gibt Aussagen zum Thema Aufnahmen des Unterrichts.

In der neuen Fassung des Schulgesetzes von Mai 2020 sind Aufnahmen des Unterrichts gemäß §120 Abs. 6 nur mit Einwilligung der Betroffenen zulässig.

„Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen bedürfen der Einwilligung der betroffenen Personen. Die Einwilligung muss freiwillig erteilt werden. Den betroffenen Personen dürfen keine Nachteile entstehen, wenn sie eine Einwilligung nicht erteilen.“

Ein entsprechender Passus findet sich auch für §121 Abs. 1. Satz 2 bezüglich der Rechte der Lehrkräfte.

Auch wenn Streaming von Bild und Ton im Rahmen einer Video- oder Audiokonferenz keine Aufzeichnung darstellt, kann man sich an dieser Vorgabe orientieren, denn auch die Teilnahme am Distanzunterricht ist verpflichtend wie die im Präsenzunterricht. Es kommt hinzu, dass vor allem eine Teilnahme an einer Videokonferenz einen deutlichen Eingriff in die Privatsphäre der Teilnehmer darstellt.

Orientiert man sich an den Vorgaben des Schulgesetzes NRW zu Bild- und Tonaufzeichnungen des Unterrichts, so ist kaum vorstellbar, dass für Video- und Audiokonferenzen völlig andere Regelungen gelten, zumal es an keiner Stelle im Schulgesetz, den anhängigen Verordnungen, Erlassen und anderen Schriften des Ministeriums Aussagen gibt, die eine andere Handhabung möglich erscheinen lassen.

Die LDI NRW und Videokonferenzen im Distanzunterricht

Die LDI NRW sieht in der Schrift Pandemie und Schule – Datenschutz mit Augenmaß4https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Schule_-Videokonferenzsysteme-und-Messenger-Dienste-waehrend-der-Corona-Pandemie/LDI-NRW—Pandemie-und-Schule-18_05_2020.pdf von Mai 2020 eine Möglichkeit, im Ausnahmefall der Pandemie in sehr engen Grenzen die Nutzung von Videokonferenzplattformen verbindlich vorzuschreiben:

“Angesichts der bisher noch nie dagewesenen besonderen Ausnahmesituation aufgrund der Corona-Pandemie erscheint für diese Krisenzeit – und grundsätzlich nur, solange diese fortbesteht – zum anderen allerdings auch noch ein anderer datenschutzrechtlicher Ansatz vertretbar: Die Durchführung von Videokonferenzen einschließlich der damit verbundenen erforderlichen Datenverarbeitung könnte temporär auf die o.g. schulrechtlichen in Generalklauseln in § 120 Abs. 1 Satz 1 und 121 Abs. 1 Satz 1 SchulG gestützt werden, soweit es die Schulleitung während der Schulschließungen und der weitgehenden Kontaktverbote zur Aufrechterhaltung des Unterrichts- und Schulbetriebs für erforderlich erachtet, derartige Videokonferenzen durchzuführen.”

Vor allem der Teil „soweit es die Schulleitung … für erforderlich erachtet“ dürfte in der Praxis anfechtbar sein. Sind Videokonferenzen zwingend erforderlich, um den Unterrichts- und Schulbetrieb aufrecht zu erhalten? Diese Schrift erschien drei Monate vor der Verabschiedung der Zweiten Verordnung, die eine solche Möglichkeit an keiner Stelle erwähnt. Von daher erscheint es unrealistisch, dass eine Schule sich jetzt noch auf diese Aussage stützen kann, um eine Videokonferenz Plattform zur verpflichtenden Nutzung einzuführen.

Selbst wenn man davon ausgeht, dass es der Schulleitung möglich wäre, die Nutzung einer Plattform für Video- und Audiokonferenzen in engen Grenzen, wie von der LDI NRW beschrieben, verpflichtend vorzugeben, so stellt sich die Frage, mit welchen Plattformen dieses überhaupt möglich wäre? In ​Pandemie und Schule​ gibt die LDI NRW Kriterien vor, welche eingehalten werden müssen, wenn eine Schule im Ausnahmefall die Nutzung einer Videokonferenzplattform verpflichtend vorgeben möchte:

“Zum einen ist zu beachten, dass dieser Ansatz überhaupt nur zum Tragen kommen kann, soweit die Verarbeitung der hierfür erforderlichen Daten entsprechend der gesetzlichen Vorschrift im Verantwortungsbereich der Schule erfolgt, d.h. sie selbst die Daten verarbeitet oder durch Regelungen in einem Auftragsverarbeitungsvertrag sichergestellt ist, dass sie „Herrin der Daten“ ist. Zum anderen setzt gerade eine verpflichtende Nutzung voraus, dass gewährleistet ist, dass alle Betroffenen die digitalen Module auch tatsächlich und zudem nur im zulässigen Umfang nutzen können;”

Ob die Schule tatsächlich voll und ganz „Herrin der Daten“ ist, dürfte selbst bei Vorliegen eines Vertrag zur Auftragsverarbeitung gerade bei Plattformen von US Anbietern nicht unstrittig sein. Und auch die Nutzung im zulässigen Umfang wird vor allem bei Videokonferenz Plattformen von verschiedenen Seiten stark angezweifelt. Eine Kontrolle, ob Teilnehmer an einer Videokonferenz heimlich Screenshots oder Mitschnitte anfertigen, ist im Anwendungsfall Distanzunterricht kaum möglich. Nutzer können nur zu verantwortungsvollem Verhalten angehalten werden. Eine Verpflichtung, sich an verabredete Regeln zu halten, kann dazu beitragen, und kann der Schule im Fall eines Verstoßes eine rechtliche Handhabe bieten, Sanktionen gegen Schüler einzuleiten, eine missbräuchliche Nutzung verhindern, kann allerdings nichts davon.

Bezüglich der im Schulgesetz NRW beabsichtigten und mittlerweile im oben beschriebenen Abs. 5 § 120 umgesetzten Rechtsvorgabe zur verpflichtenden Einführung von Unterrichtsplattformen mahnt die LDI NRW in der Schrift Pandemie und Schule an, dass in der Überarbeitung von VO-DV I & II eine

“Festschreibung, welche konkreten Daten regelmäßig für den Einsatz der E-Learning-Plattformen verarbeitet werden dürfen.”

erfolgt.

Die LDI NRW deutet an, in welche Richtung dabei gedacht ist.

“Weiterhin ist aus Sicht der LDI NRW bei der Umsetzung insbesondere maßgeblich, dass eine Datenverarbeitung auch tatsächlich nur im Rahmen des Erforderlichen erfolgt. Als ein Beispiel sei die Protokollierung der Systemzugriffe genannt. Diese ist aus datenschutzrechtlicher Sicht erforderlich, um die Sicherheit der Systeme zu gewährleisten; nicht erforderlich und damit unzulässig ist dagegen, dass Lehrkräfte Zugriff auf die Protokolldaten erhalten, um das Arbeitsverhalten ihrer Schülerinnen und Schüler zu kontrollieren.“

Die angemahnte Festschreibung in der Überarbeitung von VO-DV I & II steht aktuell noch aus. Zur Zeit ist deshalb nicht klar zu bestimmen, welche personenbezogenen Daten in einem digitalen Lehr- und Lernmittel zulässigerweise verarbeitet werden dürfen, damit dieses verpflichtend eingeführt werden kann. Offen ist darüber hinaus auch, wie weit der Begriff der digitalen Lehr- und Lernmittel, welchen die LDI NRW als E-Learning-Plattformen bezeichnet, zu verstehen ist. Von daher ist es gegenwärtig trotz Abs. 5 §120 nicht möglich, die dort eröffneten Möglichkeiten zur verpflichtenden Einführung von Unterrichtsplattformen rechtssicher umzusetzen.

Was heißt das für die Praxis?

Ist Präsenzunterricht nicht oder nur eingeschränkt möglich, so findet er gemäß der Zweiten Verordnung „mit räumlicher Distanz in engem und planvollem Austausch der Lehrenden und Lernenden statt (Distanzunterricht).“ Sind dabei die Voraussetzungen auf Seiten von Schülern und Lehrkräften vor allem mit Blick auf die technische Ausstattung erfüllt, soll der Distanzunterricht „digital erteilt werden.“ Welches Format der digitale Distanzunterricht dabei hat, ist an keiner Stelle definiert. Die Spannbreite möglicher Formate ist groß.

Digitaler Distanzunterricht ist in seinen Möglichkeiten durch die schulrechtlichen Vorgaben zum Datenschutz und übergeordnete datenschutzrechtliche Regelungen begrenzt. Auch wenn die Teilnahme am Distanzunterricht bzw. dessen Erteilung für Schüler wie Lehrkräfte durch die Vorgaben aus der Zweiten Verordnung zweifelsfrei verpflichtend ist, lässt sich aus dieser Verpflichtung für Schulen keine Berechtigung ableiten, dazu die Nutzung einer digitalen Plattform zwingend vorzugeben, sofern diese nicht den datenschutzrechtlichen Vorgaben, denen Schulen unterliegen, genügt.

Unter der Voraussetzung, dass eine „ausreichende technische Ausstattung der Schülerinnen und Schüler sowie der Lehrkräfte gewährleistet ist„​ müssten aus datenschutzrechtlicher Sicht die folgenden Bedingungen erfüllt sein, um die Nutzung einer bestimmten Plattform im Distanzunterricht verpflichtend vorschreiben zu können:

  • die Plattform müsste von der Schule selbst betrieben oder mit Vertrag zur Auftragsverarbeitung von einem Dienstleister bereitgestellt werden,
  • ihre Nutzung müsste in dem von SchulG NRW und DS-GVO gesteckten Rahmen möglich sein,
  • bei ihrer Nutzung dürften nur personenbezogene Daten im Rahmen des Erforderlichen verarbeitet werden, und
  • sie müsste so angelegt sein oder voreingestellt werden können, dass sie sich von Schülern und Lehrkräften nur im zulässigen Umfang nutzen ließe.

Außerdem wären bei einer verpflichtenden Einführung gegebenenfalls auch die Beteiligungsrechte gemäß LPVG zu berücksichtigen und die Plattform sollte durch Beschluss der Schulkonferenz eingeführt werden.

Es ist an dieser Stelle hoffentlich deutlich geworden, dass es vermutlich nur sehr wenige Plattformen gibt, mit denen sich alle diese Bedingungen zweifelsfrei erfüllen lassen. Dazu könnten beispielsweise ein Moodle zählen, eine NextCloud oder ein Messenger, welche die Schule selbst betreibt oder im Auftrag betreiben lässt, bei denen datenschutzfreundliche Voreinstellungen gewählt sind und bei deren Nutzung es untersagt ist, private Daten einzustellen, sofern für deren Verarbeitung keine gesonderte Einwilligung erteilt wurde. Es wird sicherlich auch andere kommerzielle entwickelte Plattformen geben wie z.B. spezielle Schul Apps, welche die beschrieben Bedingungen erfüllen können. Unter den gegebenen schul- und datenschutzrechtlichen Bedingungen scheint es hingegen keine Möglichkeit zu geben, die Nutzung einer Videokonferenz Plattform verpflichtend vorzuschreiben, da die Verarbeitung von Bild- und Tondaten von Schülern und Lehrkräften in der Schule grundsätzlich einwilligungspflichtig ist.

Außen vor bleiben für eine verpflichtende Nutzung im Distanzunterricht außerdem alle Plattformen, deren Nutzung eine Einwilligung voraussetzt, wie gegenwärtig die Logineo NRW Plattformen, und Plattformen, deren Nutzung nicht zweifelsfrei DS-GVO konform möglich ist. Solange das Land NRW keine Lösung mit den jeweiligen Anbietern aushandelt, so wie Baden Württemberg dieses aktuell für Office 365 versucht, fallen darunter leider auch Plattformen wie Microsoft Teams, Office 365, G Suite for Education und Apple Classroom.

Angebot statt Verpflichtung

Viele Schulen setzen auf die Plattformen von US Anbietern. Die Gründe dafür sind verschieden und für die weiteren Überlegungen nicht von Bedeutung. Wenn eine Schule z.B. auf MS Teams setzt, um damit den Distanzunterricht im digitalen Format zu erteilen, dann kann dieses immer nur ein Angebot sein. In vielen Fällen werden Lehrkräfte und Schüler bzw. deren Eltern eine Einwilligung erteilen, sei es dass sie von der Plattform überzeugt sind und die Risiken durch eine Nutzung für sich für vertretbar halten oder dass sie in Zeiten von Distanzunterricht Datenschutzbedenken zurückstellen. Es wird jedoch auch immer wieder Lehrkräfte, Schüler und Eltern geben, die nicht bereit sind, sich zur Nutzung der Plattform für sie unkalkulierbaren Risiken auszusetzen. Das ist ihr gutes Recht, solange eine Plattform die oben beschriebenen Bedingungen nicht zweifelsfrei erfüllt oder ihre Nutzung durch eine Rechtsvorgabe es Landes eindeutig vorgeschrieben ist.

Schulen kann nur dringend davon abgeraten werden, Druck auf einzelne Lehrkräfte, Schüler oder Eltern auszuüben, eine Einwilligung zu erteilen und die Plattform zu nutzen. Mir sind Fälle bekannt, in denen Schulen Betroffene, die eine Nutzung der Plattform verweigern, regelrecht schikanieren und ihnen das Leben erschweren. Auch wenn es möglich wäre, Arbeitsmaterialien anstatt über MS Teams per E-Mail zu übermitteln, werden Betroffene genötigt, diese persönlich bei der Schule abzuholen. Schüler werden gedrängt, in MS Teams auch die Kamera einzuschalten, damit man sie sehen kann. So etwas geht nicht und kann für Schulen und hier an erster Stelle die Schulleitung rechtliche Folgen haben, wenn die Betroffenen die Datenschutzaufsicht einschalten oder vor einem Verwaltungsgericht klagen. Dass Eltern hier von ihren Rechten Gebrauch machen werden, ist vor allem dann nicht unwahrscheinlich, wenn ihre Kinder durch eine Nichteinwilligung Nachteile erfahren, die das Lernen beeinträchtigen und zu schlechteren Leistungen führen.

Schulen sollten offen und ehrlich informieren über die Plattformen, welche sie für den Distanzunterricht nutzen möchten und Alternativen vorbereiten, so dass Lehrkräfte, Schüler und Eltern eine echte Wahlmöglichkeit haben und ihnen aus einer Nicht-Einwilligung keine Nachteile entstehen. Das bedeutet für die Schule eventuell zusätzliche Arbeit und Mühe, ist aber der sicherere Weg.

Alle bisherigen Betrachtungen gingen von Schulen mit idealen Voraussetzungen bezüglich der Ausstattung und Internetzugänge aus. Auch wenn in absehbarer Zukunft alle Lehrkräfte in NRW über ein Dienstgerät verfügen sollten, so wird es noch deutlich länger dauern, bis auch Schüler flächendeckend mit Endgeräten und Internetzugängen ausgestattet sind. Schon von daher ist aktuell an vielen Schulen nicht einmal daran zu denken, Distanzunterricht mit einer bestimmten Plattform verpflichtend vorzuschreiben, selbst wenn diese die schul- und datenschutzrechtlichen Bedingungen dafür erfüllen würde.

Stand: 01/2021

Schulische Plattformen verbindlich einführen?

Lesezeit: 3 Minuten

Im Mai 2020 hat die LDI NRW die Schrift LDI NRW – Pandemie und Schule veröffentlicht und diese Schrift hat es in sich. Man muss sie sehr genau durchlesen und findet Erstaunliches.

Die LDI NRW hält es für vertretbar, E-Learning-Plattformen und Videokonferenz Plattformen verbindlich einzuführen.

Sie stützt diese Einschätzung auf die anstehenden Änderungen des Schulgesetz NRW.1Siehe dazu auch den Beitrag Obligatorische Einführung einer Plattform und dort den Abschnitt „Obligatorisch auch jetzt schon denkbar?“ Dort werden die rechtlichen Grundlagen geschaffen, um Plattformen wie itsLearning, Moodle, iServ, Logineo NRW und ähnlich für Schüler und Lehrkräfte verbindlich einzuführen.

In der Schrift heißt es auf Seite 9 und 10:

Im Vorgriff auf die ausdrücklich vorgesehene Gesetzesänderung ist es aus Sicht der LDI NRW hinnehmbar, die Verarbeitung der zum Einsatz von E-Learning-Plattformen erforderlichen Daten vorübergehend noch auf die genannten Generalklauseln zu stützen. Voraussetzung hierbei ist, dass die Verarbeitung dieser Daten entsprechend dem Gesetzeswortlaut im Verantwortungsbereich der Schule erfolgt, d.h. entweder durch sie selbst oder indem durch Regelungen in einem Auftragsverarbeitungsvertrag sichergestellt ist, dass sie „Herrin der Daten“ ist.

Das heißt, die LDI NRW hält es für vertretbar, auch jetzt schon, noch vor Veröffentlichung der Änderung des Schulgesetzes, eine Plattform2Der Begriff E-Learning-Plattform ist nicht fest definiert. Es könnte hier sicherlich auch eine Arbeitsplattform wie CollaboraOnline drunter gefasst werden. an einer Schule verpflichtend einzuführen, wenn man sich dabei auf die sehr weit gefassten Generalklauseln in § 120 Abs. 1 Satz 1 und §121 Abs. 1 Satz 1 SchulG NRW stützt.

Wichtig ist dabei jedoch, dass diese Möglichkeit an Bedingungen geknüpft ist. 

  1. Die Schule muss Herrin der Daten sein. Dazu muss sie die Daten entweder selbst verarbeiten oder sie lässt sie im Rahmen eines Vertrag zur Auftragsverarbeitung durch einen Dienstleister verarbeiten.
  2. Eine Datenverarbeitung darf nur im Rahmen des Erforderlichen erfolgen; eine Protokollierung von Systemzugriffen zur Wahrung der Sicherheit der Systeme ist aus datenschutzrechtlicher Sicht erforderlich und damit zulässig. Nicht erforderlich und damit unzulässig wäre hingegen ein Zugriff der Lehrkräfte auf die Protokolldaten zur Kontrolle des Arbeitsverhaltens ihrer Schülerinnen und Schüler oder der Schulleitung zur Kontrolle des Arbeitsverhaltens der Lehrkräfte.
  3. Die betroffenen Personen, Schüler und Lehrkräfte, müssten über die verpflichtende Nutzung vorab entsprechend Art. 12 DS-GVO informiert werden.
  4. Es muss gewährleistet sein, dass alle Betroffenen die digitalen Module nur im zulässigen Umfang nutzen können. Dieses wird durch technische und organisatorische Maßnahmen geregelt, etwa entsprechende Voreinstellungen in der Plattform und gegebenenfalls Nutzungs- bzw. Dienstvereinbarungen.
  5. Es muss gewährleistet sein, dass alle Betroffenen die digitalen Module auch tatsächlich nutzen können. Die LDI NRW vertritt hier die Ansicht, dass Lehrenden und Lernenden entsprechende dienstliche Geräte zur Verfügung gestellt werden müssten.3In der Praxis wird es aber darauf hinauslaufen, sicherzustellen, dass alle Betroffenen zu Hause zumindest über entsprechende private Endgeräte verfügen und einen ausreichenden Internetanschluss. Ist solches nicht sicherzustellen, muss die verbindliche Nutzung auf die Schule beschränkt bleiben.

Auch bezüglich Videokonferenzen sieht die LDI NRW (S. 12) eine Möglichkeit, eine solche Plattform zur Aufrechterhaltung des Unterrichts- oder Konferenzbetriebs verbindlich für Schüler und Lehrkräfte einzuführen. Allerdings knüpft sie daran über die oben aufgeführten weitere Bedingungen. Diese gelten sowohl für den Austausch via Videokonferenz Plattform zwischen Lehrkräften und Schülern wie auch zwischen Lehrkräften oder Lehrkräften und der Schulleitung:

  1. Die Schulleitung muss es während der Schulschließungen und der weitgehenden Kontaktverbote zur Aufrechterhaltung des Unterrichts- und Schulbetriebs für erforderlich erachten, derartige Videokonferenzen durchzuführen.
  2. Diese Möglichkeit zur verbindlichen Einführung einer Videokonferenz Plattform endet mit der Wiederaufnahme des normalen Schul- und Unterrichtsbetriebs, da sich damit eine solche Erforderlichkeit nicht mehr begründen lässt.
  3. Eine Aufzeichnung von Bild- und Tondaten ist nicht zulässig, da diese nicht zur Aufrechterhaltung des Unterrichts- und Schulbetriebs erforderlich ist. Dass keine Aufzeichnung erfolgt, ist durch geeignete technische und organisatorische Maßnahmen sicherzustellen. In BigBlueButton dürften so beispielsweise Räume von Vornherein nicht mit Aufnahmefunktion angelegt werden. Teilnehmer an Videokonferenzen müssten darauf verpflichtet werden, dass sie auch mit Mitteln von Betriebssystemen oder spezieller Software keine Aufzeichnungen anfertigen.
  4. Es muss sichergestellt sein, dass an einer Videokonferenz nur berechtigte Personen teilnehmen. Das heißt, Eltern, Geschwister und andere Familienmitglieder oder Freunde dürfen nicht teilnehmen, zuschauen oder zuhören. Entsprechendes ist in einer Verpflichtung der Teilnehmer zu berücksichtigen.

Für die Auswahl geeigneter Videokonferenzplattformen hat die LDI NRW sogenannte Leitplanken für die Auswahl von Videokonferenzsystemen während der Kontaktbeschränkungen aufgrund der Corona-Pandemie erstellt.

Schulen in NRW, die sich mit dem Gedanken tragen, eine E-Learning- oder Videokonferenz Plattform verbindlich einzuführen, sollten dabei sehr umsichtig vorgehen und sich vorab unbedingt mit ihrem behördlich bestellten schulischen Datenschutzbeauftragten beraten. Eine Übersicht über diese Datenschutzbeauftragten gibt es bei der Medienberatung NRW.

Auch wenn es sich bei der (vorübergehenden) verbindlichen Einführung einer Videokonferenz Plattform um eine Entscheidung der Schulleitung handelt, sollten die Mitbestimmungsgremien der Schule – SV, Elternpflegschaft, Lehrerrat und Schulkonferenz – in die Entscheidung mit einbezogen werden. Bei der Einführung einer E-Learning-Plattform ist die Einbeziehung der Mitbestimmungsgremien unverzichtbar.

Wer sich ausführlicher mit dem Thema der obligatorischen Einführung von Plattformen an Schulen, mit Beispielen aus Bayern und Bremen, beschäftigen möchte, sei auf den Beitrag Obligatorische Einführung einer Plattform verwiesen.

Stand 05/2020

Microsoft Teams – Einwilligung

Lesezeit: < 1 Minute

Auf Nachfrage gibt es jetzt auch eine Vorlage für Informationen zur Datenverarbeitung gem. Art. 13 DS-GVO und eine Einwilligung in die Datenverarbeitung zur Nutzung von Microsoft Teams. Die Vorlage ist ausgerichtet auf Schulen, die kein Office 365/ Microsoft 365 nutzen, und berücksichtigt deshalb auch die Erstellung eines Nutzerkontos. Für Schulen, die bereits Office 365/ Microsoft 365 nutzen, kann die Vorlage auch auf die Nutzung der Kommunikationstools, Sprachnachricht, Audi- Videokonferenz und Chat reduziert werden.

Schulen, die Teams mit ihren Schülern ohne ein eigenes Nutzerkonto nutzen möchten, brauchen eine andere Einwilligung, da hierbei deutlich weniger personenbezogene und -beziehbare Daten verarbeitet werden.

 

Bitte denken Sie daran, auch eine Nutzungsvereinbarung zu Teams zu erstellen, denn nur wenn Regeln vereinbart werden, kann man erwarten, dass Nutzer sich daran halten. Eine Vorlage speziell für Teams findet sich bei der Stadt Nürnberg. Die Nutzungsvereinbarung ist ein essentieller Bestandteil der organisatorischen Maßnahmen zum Schutz und zur Sicherheit der personenbezogenen Daten der Nutzer und ergänzt die technischen Maßnahmen. Zu diesen gehören neben einem Rechte- und Rollenkonzept auch sichere Voreinstellungen in MS Teams.

Bitte beachten Sie, dass durch das EU-GH Urteil vom 16.07.2020, der EU-US Privacy Shield für ungültig erklärt wurde. Transfers von personenbezogenen Daten in die USA, wie sie auch bei einer Nutzung von MS Teams möglich sind, können damit nicht mehr auf der Grundlage des EU-US Privacy Shield erfolgen.1Microsoft stützt diese Transfers jetzt auf die Standard Vertragsklauseln. Ob die Aufsichtsbehörden das als datenschutzkonform einschätzen, wird man sehen. Die Informationen zur Datenverarbeitung, die zur Einwilligung gehören, berücksichtigen dieses in der aktualisierten Version. Bitte lesen Sie sich die Informationen in den Vorlagen genau durch.
Ob die Aufsichtsbehörden dieses Vorgehen so als einen gangbaren Weg akzeptieren, bleibt vorerst abzuwarten.

Stand 09/2020

Einwilligung – Vorlagen für BigBlueButton

Lesezeit: < 1 Minute

Wenn eine Schule eine Videokonferenz Plattform betreibt oder mit einem Vertrag zur Auftragsverarbeitung durch einen Dienstleister betreiben lässt, fallen bei der Nutzung personenbezogenen Daten der Videokonferenzteilnehmer an. Dieses ist nur mit einer Information über die Datenverarbeitung nach Art. 12 DS-GVO möglich und einer Einwilligung, die gegenüber der Schulleitung abgegeben wird.

Diese Vorlage ist für Schüler gedacht, die ohne ein eigenes Nutzerkonto an Videokonferenzen der Schule teilnehmen.

Diese Vorlage ist für Lehrkräfte gedacht, die gegebenenfalls auch ein Nutzerkonto erhalten, um Videokonferenzen leiten zu können.

Beide Vorlagen lassen sich leicht auch auf andere Plattformen anpassen. Dabei muss nur darauf geachtet werden, dass bei den Informationen zur Datenverarbeitung alle funktionsbedingten Datenverarbeitungen mit berücksichtigt werden. Beispiel: die Plattform erlaubt Umfragen und diese werden genutzt.

Sollen Videokonferenzen mit Eltern durchgeführt werden, empfiehlt es sich, aus der Vorlage für Schüler eine entsprechende Version zu erstellen.

Bitte achten Sie auch darauf, die Nutzung Ihrer Videokonferenz Plattform durch mit den Teilnehmern und Gastgebern vereinbarte Nutzungsregeln abzusichern.

Wichtig! Die Vorlagen gehen davon aus,

  • dass die von der Schule genutzte BigBlueButton Instanz so konfiguriert betrieben wird, dass nur die personenbezogenen Daten verarbeitet werden, die zum Betrieb tatsächlich erforderlich sind, und
  • die Nutzung per Voreinstellungen auf größtmögliche Sicherheit ausgelegt ist.1Einige Hinweise dazu gibt es unter BigBlueButton – Datenschutz Check

Weitere Informationen zu BigBlueButton und Videokonferenzen in Schule

Videokonferenzen – eine Plattform auswählen

Lesezeit: 6 Minuten

Auch wenn die Zeiten von Schulschließungen vorerst vorüber sind, so gibt es doch immer wieder die Notwendigkeit, Unterricht auf Distanz durchzuführen. Verschiedene Bundesländer haben mittlerweile begonnen, ihren Schulen bereits auf Landesebene Videokonferenz Lösungen anbieten. Dort, wo das (noch) nicht der Fall ist oder die Landeslösung nicht in Frage kommt, müssen Schulen sich entscheiden, welche Plattform man dauerhaft nutzen kann und zwar so, dass die jeweiligen schul- und datenschutzrechtlichen Vorgaben des Bundeslandes eingehalten und korrekt umgesetzt werden können. Bei der Auswahl  einer Videokonferenzplattform hängt viel davon ab, welche Möglichkeiten eine Schule in Hinsicht auf die Gegebenheiten vor Ort hat. Das meint sowohl die kommunalen Strukturen wie auch die finanziellen Mittel. Im Folgenden geht es um Alternativen, die auf Videokonferenz Plattformen setzen, die als Plattform bereits durch Transparenz sehr datenschutzfreundlich genutzt werden können – die beiden Open Source Plattformen BigBlueButton und Jitsi.1Es wird darüber hinaus noch eine Alternative benannt, welche keine der beiden Plattformen nutzt, aber durch andere Merkmale sehr datenschutzfreundlich ist.

  1. Wenn der Schulträger, die Stadt oder der Kreis bereit sind, eine Instanz für eine Schule oder die Schulen in der eigenen Zuständigkeit einzurichten, dann empfehlen sich die beiden Open Source Plattformen Jitsi und BigBlueButton. Beide sind kostenlos erhältlich. Es braucht lediglich Server, auf denen die Videokonferenz Plattform betrieben wird. Beide Plattformen sind einfach zu nutzen, mit der richtigen Konfiguration sehr sicher und arbeiten datensparsam. Auch beim Zugriff von zu Hause aus braucht man sich keine Gedanken machen, dass hier irgendwelche Daten abgegriffen werden. Jitsi kommt komplett ohne Nutzerkonten aus, während bei BigBlueButton für die Lehrkräfte Nutzerkonten eingerichtet werden. Beide Plattformen lassen sich komplett über Browser nutzen. Im Internet findet man zu beiden Plattformen viele gute Anleitungen, wie man sie richtig und sicher nutzt.
  2. Wenn man von offizieller Seite nicht bereit ist, selbst eine Videokonferenz Plattform einzurichten und zu betreiben, kann man auf die Dienste von Anbietern zurückgreifen. BigBlueButton kann man auch bei verschiedenen Anbietern als Paket erhalten. Man sucht da einfach nach BigBlueButton + Hosting und findet dann entsprechend Anbieter. Das in der Regel separat angebotene Paket Greenlight ist ein Modul, mit welchem Nutzer Räume einrichten und verwalten können. Vergleichbar gibt es auch Anbieter, die Jitsi Server bereitstellen. Bei Videokonferenzen, das muss man bei der Auswahl eines Angebotes beachten, sind die Server ziemlich gefordert. Will man viele Personen zugleich in einer Videokonferenz haben oder in mehreren parallelen Videokonferenzen, braucht es Serverleistung. Man kann sich aber behelfen, um die Kosten zu reduzieren, wenn man a) die Teilnehmer (Schüler) nur dann per Video zuschaltet, wenn dieses auch Sinn macht, und b) einen Zeitplan erstellt, welche Lerngruppe die Videokonferenz Plattform an welchem Tag zu  welcher Zeit nutzen darf. So verteilt sich die Last und man benötigt weniger Serverleistung.
  3. Alternativ zur zweiten Möglichkeit kann man sich nach einer Plattform umschauen, welche ein Videokonferenz Modul integriert hat oder als zusätzliches Modul anbietet. Das wären z.B. der Schulserver iServ (BigBlueButton), die Schul-Kommunikations App DieSchulApp (BigBlueButton) und die noch recht neue auf NextCloud aufbauende Schul Cloud Plattform Vicole (BigBlueButton). Die Schulnachrichten Plattform SchoolFox aus Österreich integriert eine andere Videokonferenz Plattform (Eyeson, ebenfalls aus Österreich). Die Videokonferenz Plattform Eyeson kann auch separat über den Anbieter direkt genutzt werden. Auch Moodle Anbieter können unter Umständen eine BigBlueButton oder Jitsi Instanz integrieren, da das LMS die technischen Möglichkeiten dafür mitbringt. Teckids e.V. bietet im Rahmen seines schul-frei-Projektes Schulen gegen Aufwandsentschädigung (kostendeckend) den Betrieb eigener Plattformen (BigBlueButton, Jitsi, wahlweise mit Moodle) an2Anfragen dazu bitte an schulsupport@teckids.org. BigBlueButton lässt sich außerdem in eine datenschutzfreundliche NextCloud3Es gibt über 200 NextCloud Anbieter, siehe z.B. https://nextcloud.com/de/partners/. EduDocs ist ein Beispiel für einen Anbieter. über die NextCloud Talk App integrieren.
  4. Eine weitere Alternative wäre, man kennt eine befreundete Firma, einen Verein oder eine Universität, die einen BigBlueButton oder Jitsi Server betreiben und der Schule eine Nutzung ermöglichen. Kennt man den Anbieter und kann diesem vertrauen, bestehen keine Risiken für Schüler und Lehrkräfte. Für Schulen ist es aus rechtlicher Sicht am besten, wenn sie vom Anbieter eine Vertrag zur Auftragsverarbeitung erhalten. Das wird bei diesen als Freundschaftsdienst bereitgestellten Videokonferenz Servern aber meist nicht möglich sein, da die Anbieter sich die damit einhergehenden rechtlichen Verpflichtungen nicht auferlegen wollen, wenn sie es schon für umsonst machen. Eine Ausnahme bildet hier Teckids e.V., die auch bei Nutzung ihrer offenen Instanzen von BigBlueButton und Jitsi, einen Vertrag zur Auftragsverarbeitung, anbieten.4Anfragen dazu bitte an schulsupport@teckids.org. Senfcall ist das BigBlueButton Projekt einer Guppe von Studierenden in Darmstadt und Karlsruhe, welches offen für jedermann nutzbar ist.5Die Datenschutzerklärung ist sehr gut gemacht und gibt ausführlichere Informationen über die Datenverarbeitung beim DS-GVO konformen auf Datensparsamkeit ausgelegten Betrieb von BigBlueButton Ohne Vertrag zur Auftragsverarbeitung setzt die Einwilligung der Betroffenen voraus, dass sie auch über den Umstand informiert werden, dass die Nutzung durch die Schule nur auf Vertrauen baut, aber nicht durch einen Vertrag zur Auftragsverarbeitung rechtlich abgesichert ist. Manchen Schulen wird beides zu heikel sein, doch wenn der großzügige Anbieter vor Ort einen Namen hat und vielen Eltern ein Begriff ist und diese dem Angebot Vertrauen schenken, spricht nichts gegen eine Nutzung auf der Grundlage einer informierten Einwilligung.
  5. Die vorletzte Alternative wären die vielen offen zugänglichen Jitsi Server. Ähnlich wie bei Alternative 4 muss man hier schauen, wem man vertrauen kann. Das dürfte in der Regel jedoch vielfach nicht einfach sein. Auch wenn durch die meisten dieser Server (siehe https://github.com/jitsi/jitsi-meet/wiki/Jitsi-Meet-Instances) von Personen, Vereinen oder Institutionen betrieben werden, die keinerlei Interesse haben an den personenbezogenen Daten der Nutzer ihres Angebotes, geht man hier bei der Nutzung ein größeres Risiko ein als bei Alternative 4.
  6. Einige Schulen haben die technischen Möglichkeiten und im Kollegium die Kompetenz und Bereitschaft, einen eigenen Videokonferenz Server aufzusetzen und zu betreiben. Das geht durchaus, macht meist jedoch nur Sinn, wenn es an der Schule nicht um große Nutzerzahlen geht. Eine Schule mit 1.200 Schülerinnen und Schülern und einem Kollegium von über 100 Personen bräuchte mehr als einen einzelnen Server, um Videokonferenzen für möglichst viele Nutzer zeitgleich anbieten zu können. Bei all dem wäre extrem wichtig, dass die Kompetenz im Kollegium nicht nur ausreicht, eine BigBlueButton oder Jitsi Instanz aufzusetzen, sondern diese wie den Server selbst auch noch sicher zu konfigurieren. Schlecht konfigurierte Videokonferenz Server stellen ein Risiko für die Nutzer dar.

Die sechs aufgeführten Alternativen sind eingeordnet von beste Lösungen zu weniger günstigen Lösungen. Die Alternativen 1, 2 und 3 sind etwa gleichwertig. Alternative 4 ist eher eine Notlösung und 5 eine Not-Not-Lösung. Alternative 6 kann gleichwertig zu 1, 2 und 3 sein. Zu empfehlen ist diese Lösung Schulen in der Regel nicht, da Schulen hiermit eine Menge Verantwortung auf sich nehmen, und es auch die Ressource Mensch im Kollegium beansprucht. Es ist in der Regel nicht Aufgabe von Lehrkräften, Schul IT zu betreiben.

Ganz wichtig sind bei der Nutzung einer Videokonferenz Plattform die Themen Vertrag zur Auftragsverarbeitung, Information und Einwilligung.

  • Vertrag zur Auftragsverarbeitung
    • Bei 1, 2 und 3 gibt es den Vertrag zur Auftragsverarbeitung ohne Probleme. Die Schule ist rechtlich abgesichert.
    • Bei 4 könnte man eventuell mit Glück einen Vertrag zur Auftragsverarbeitung bekommen. Meist wird das nicht der Fall sein. Aus rechtlicher Sicht ist das für Schulen ungünstig.
    • Bei 5 ist die Chance einen Vertrag zur Auftragsverarbeitung zu erhalten nahe Null.
    • Bei 6 betreibt die Schule den Server selbst, kein Vertrag zur Auftragsverarbeitung erforderlich. Der schulische Admin sollte aber auf jeden Fall eine Vertraulichkeitsvereinbarung unterzeichnen.
  • Information
    • Die Nutzung einer Videokonferenz Plattform geht immer auch mit der Verarbeitung von personenbezogenen Daten einher. Das macht es erforderlich, vor der Nutzung die Betroffenen (Schüler, Lehrkräfte, Eltern) über die erforderliche Datenverarbeitung transparent zu informieren.
      • Wer ist verantwortlich?
        • Schulleitung
      • An wen kann man sich bei Fragen zum Datenschutz wenden?
        • Datenschutzbeauftragter
      • Auf welcher Rechtsgrundlage werden die personenbezogenen Daten verarbeitet?
        • Einwilligung
      • Zu welchen Zwecken sollen die personenbezogenen Daten verarbeitet werden?
        • Durchführung von Online Unterricht, individuelle Beratung, Online Elternsprechtag
      • Um welche personenbezogenen Daten geht es überhaupt?
        • Bild- und Tonaufnahmen der Betroffenen und ihrer Umgebung, Chatbeiträge, geteilte Dateien, (bei Nutzern mit Nutzerkonten, auch Anmeldedaten, Rollen und Rechte, Nutzungsdaten, technische Log-Dateien)
      • Wer ist von der Verarbeitung der personenbezogenen Daten betroffen?
        • Schüler, Lehrkräfte, Eltern, Schulsozialpädagogen, …
      • Wo werden die Daten verarbeitet? Wer hat Zugriff darauf?
        • beim Schulträger/ bei einem IT Dienstleister/ …
        • Zugriff haben Lehrkräfte, Mitschüler; Schulträger/ IT Dienstleister nur auf Weisung der Schulleitung
      • Wie lange werden die personenbezogenen Daten gespeichert?
        • keine dauerhafte Speicherung von Bild- und Tonauaufnahmen
        • Chat Protokolle und geteilte Dateien werden nach Ende der Videokonferenz gelöscht
        • [Nutzerkonten von Lehrkräften und damit zusammenhängende Daten werden nach Ende der Schulzugehörigkeit oder bei Widerruf der Einwilligung gelöscht]
      • Erfolgt eine Übermittlung von personenbezogenen Daten an Dritte?
        • Nein, bei Nutzung einer Videokonferenz Plattform mit Vertrag zur Auftragsverarbeitung
        • Ja, bei Nutzung einer öffentlich zugänglichen oder als Freundschaftsdienst zur Verfügung gestellten Videokonferenz Plattform ohne Vertrag zur Auftragsverarbeitung
      • Welches sind die Rechte der Betroffenen?
        • Widerruf der Einwilligung, Widerspruch in die Verarbeitung, Löschung, Berichtigung, Auskunft, Datenübertragbarkeit und Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde.
  • Einwilligung
    • Sofern das Schulgesetz keine Möglichkeit vorsieht, die Nutzung einer Plattform per Beschluss der Schulkonferenz verbindlich vorzuschreiben, ist die Einwilligung der Betroffenen erforderlich.
    • Diese muss gegenüber der Schulleitung abgegeben werden.
    • Sie muss außerdem auf Freiwilligkeit gründen. Das heißt, es dürfen Schülern, Eltern und Lehrkräften keine Nachteile entstehen, wenn sie eine Einwilligung verweigern. Das setzt Alternativen voraus, die zumindest annähernd gleichwertig sind. Alternativen könnten sein,
      • die Teilnahme ohne Bild,
      • eine Teilnahme über Einwahl per Telefon (wenn die Plattform dieses zulässt)
      • Kontaktaufnahme der Lehrkraft zu Schülern/ Eltern per Telefon
  • Nutzungsvereinbarung
    • Da es heute technisch ist leicht möglich ist, Screenshots und Mitschnitte des Geschehens auf einem Bildschirm zu machen, sollte über eine Nutzungsvereinbarung geregelt werden, dass die Anfertigung derselben nicht zulässig ist und der Verstoß gegen diese Vorgabe Konsequenzen nach sich ziehen wird.
    • Sinnvoll ist auch eine Verpflichtung der Nutzer, dass während einer Videokonferenz keine anderen Personen im Raum zugegen sind, welche der Videokonferenz zusehen oder mithören. So wie das im normalen Unterricht nicht zulässig ist, geht das auch bei einer Videokonferenz nur mit Genehmigung.
    • Geregelt werden sollten auch das Verhalten während einer Videokonferenz und welche Regeln einzuhalten sind.

Vorlagen für Einwilligungen für Schüler und Lehrkräfte für BigBlueButton gibt es unter Einwilligung – Vorlagen für BigBlueButton

Weitere Informationen zum Thema Videokonferenz Plattformen in Schule finden sich unter Videokonferenzplattformen in Schule nutzen. Nähere Informationen zu den beiden Open Source Videokonferenz Plattformen finden sich als Datenschutz Check unter BigBlueButton und Jitsi.

Stand 09/2020

BigBlueButton – Videokonferenzen

Lesezeit: 6 Minuten

Über BigBlueButton wird spätestens seit der Schulschließung durch Corona viel geredet. Die Open Source Videokonferenz Plattform weckt neben Jitsi1siehe dazu den Datenschutz Check – Jitsi – Videokonferenzen als eine der zweifelsfrei datenschutzfreundlichen Alternativen das Interesse vieler Schulen. BigBlueButton ist in seinen Funktionen einem Zoom näher als Jitsi. Wie bei jeder Videoplattform bergen mehr Funktionen aber auch mehr potentielle Risiken. Bei BigBlueButton können über eine sachkundige, auf Sicherheit und Datensparsamkeit ausgelegt Konfiguration viele mögliche Probleme von vornherein vermieden werden.

Hinter BigBlueButton steht eine kanadische Firma gleichen Namens, die ihre Plattform selbst als eine Internet-Konferenz-Plattform für Online Lernen 2„web conferencing system for online learning“ beschreibt. Der Code für die Videokonferenz Plattform ist offen verfügbar auf Github.

Anders als bei Jitsi gibt es so gut wie keine offen zugänglichen BigBlueButton  Server. Das könnte unter anderem daran liegen, dass die Plattform auf Server-Seite sehr leistungshungrig ist, wenn eine größere Anzahl von Teilnehmern an einer Videokonferenz teilnehmen möchte. In Deutschland und Europa bieten einige Hoster BigBlueButton Pakete an. Außerdem haben einige Anbieter von Plattformen für Schulen3z.B. Vicole, iServ und Schul-Apps4z.B. DieSchulApp BigBlueButton in ihr Produkt integriert. NextCloud bietet über ein App eine Möglichkeit, BigBlueButton direkt in NextCloud Talk zu integrieren. BigBlueButton kann außerdem integriert werden in Drupal, Moodle und WordPress.

Für Schulen, die keine der genannten Plattformen oder Apps nutzen und BigBlueButton zubuchen können, besteht die beste Lösung darin, den Schulträger zu überzeugen, eine BigBlueButton Instanz für seine Schulen einzurichten bzw. bei einem beauftragten IT Dienstleister einrichten zu lassen. Mit dem Schulträger oder IT Dienstleister ist dann ein Vertrag zur Auftragsverarbeitung abzuschließen.

BigBlueButton setzt die Erstellung von Nutzerkonten für Lehrkräfte voraus, da es nur registrierten Nutzern möglich ist, Räume für Meetings zu eröffnen. Schüler können als Teilnehmer ohne Anmeldung einem Meeting beitreten.

BigBlueButton, Dienste Dritter und Sicherheit

Wie bei jeder im Internet gehosteten Plattform hängt die Sicherheit vom genutzten Server und der Konfiguration der Plattform selbst ab. Da BigBlueButton recht viele Funktionen hat, hängt die Sicherheit gerade im Umfeld Schule auch davon ab, welche Funktionen in welcher Form zugelassen werden. Dazu gehört beispielsweise die Deaktivierung der Funktion zur Aufzeichnung von Videokonferenzen und die Deaktivierung der Kameras aller Teilnehmer per Voreinstellung.5Sie können dann von der Lehrkraft während des Unterrichts freigegeben werden. Schüler müssen die Kamera dann auf ihrer Seite noch einmal aktivieren. BigBlueButton wird oft mit einer Greenlight Instanz zusammen betrieben. Greenlight ist eine Open Source Anwendung der gleichen Firma, die eine einfache Schnittstelle für Benutzer bietet, um Räume zu erstellen, Besprechungen zu starten und Aufzeichnungen zu verwalten. Neben dem Login über Greenlight selbst, wird aktuell SOO über Google OAuth2, Office365 OAuth2 und LDAP unterstützt. Aus Sicherheitsgründen sollte so beispielsweise die Selbstregistrierung von Nutzern deaktiviert und Lehrkräfte über den Administrator angelegt werden. Bei der Auswahl eines Servers für den Betrieb einer BigBlueButton Instanz sollten, falls die Einrichtung nicht durch den Schulträger oder beauftragten IT Dienstleister erfolgt, deutsche oder europäische Anbieter mit Serverstandorten in der EU bevorzugt werden. Es ist zum Betrieb einer BigBlueButton nicht erforderlich, zusätzliche Dienste Dritter, etwa eines Google STUN Servers, in Anspruch zu nehmen. Alle erforderlichen Komponenten können im Installationsprozess halbautomatisch aus weitere Open Source Paketen mit installiert werden. Bei der Koppelung von BigBlueButton mit Schulservern oder Schul-Apps sollte darauf geachtet werden, dass das Rechte- und Rollenkonzept, Schülern innerhalb BigBlueButton nur die Rechte gibt, die sie zur Teilnahme an einer Videokonferenz tatsächlich benötigen.

Problem – Aufzeichnung von Videokonferenzen

BigBlueButton zeichnet in Videokonferenzräumen, in denen die Aufnahmefunktion nicht deaktiviert wurde, im Hintergrund die komplette Videokonferenz in Form einer RAW Datei auf. Aus dieser wird, wenn die Aufnahmefunktion im Laufe der Videokonferenz genutzt wird, im Anschluss eine Datei erzeugt, die für Veröffentlichungen geeignet ist. Sobald die Aufnahmefunktion im Laufe einer Videokonferenz aktiviert wird, wird die RAW Datei dauerhaft gespeichert. Wird die Aufnahmefunktion nicht genutzt, bleibt die RAW Datei für zwei Wochen gespeichert und wird dann automatisch gelöscht. Es sollte aus Sicherheitsgründen in BigBlueButton oder Greenlight die Aufnahmefunktion grundsätzlich für Meeting Räume deaktiviert werden. Außerdem sollte die in den Informationen zur Datenverarbeitung bei BigBlueButton (engl. Sprache) beschriebene Möglichkeit genutzt werden, die aufgezeichnete RAW Datei, unmittelbar nach Ende der Videokonferenz automatisch zu löschen. Dazu muss die Konfiguration angepasst werden.6siehe dazu https://docs.bigbluebutton.org/admin/privacy.html#bigbluebutton-stores-full-raw-recording-data So kann zwar nicht verhindert werden, dass die RAW Datei ensteht, wenn versehentlich ein Meeting Raum erstellt wurde, bei dem die Aufnahmefunktion verfügbar ist, sie wird jedoch direkt im Anschluss an die Videokonferenz wieder gelöscht.

Grundsätzlich sollten Meeting Räume für Videokonferenzen in BigBlueButton immer mit deaktivierter Aufnahmefunktion erstellt werden, da nur so sichergestellt werden kann, dass im Hintergrund keine automatische Aufzeichnung und Speicherung durch das System erfolgt.

Rechtsgrundlage der Nutzung

Vertrag zur Auftragsverarbeitung

Die Nutzung einer BigBlueButton Instanz sollte immer mit einem Vertrag zur Auftragsverarbeitung abgesichert werden, um der Schule die für sie erforderliche Kontrolle über die Verarbeitung der personenbezogenen Daten von Schülern und Lehrkräften zu geben. Wer mit wem den Vertrag abschließt, hängt vom Setting ab.

Beispiel

Der Schulträger beauftragt einen Hoster, BigBlueButton für seine Schulen zur Verfügung zu stellen. Mehrere Schulen erhalten Nutzerkonten in der gemeinsam genutzten BigBlueButton Instanz. Die Schulen können mit dem Hoster in den seltensten Fällen selbst einen Vertrag zur Auftragsverarbeitung abschließen, da Hoster diese Verträge in der Regel nur mit dem Auftraggeber abschließen. Das ist der Schulträger. Demnach müssten die Schulen einen Vertrag zur Auftragsverarbeitung mit dem Schulträger abschließen bzw. den bereits bestehenden erweitern. In diesem Vertrag ist der Hoster dann als Unterauftragnehmer aufgeführt.7Prinzipiell wäre denkbar, dass die Schulen gemäß Art. 26 DS-GVO dem Hoster gegenüber als gemeinsam Verantwortliche auftreten. Sie würden dann entsprechend Verträge zur Auftragsverarbeitung abschließen. Im Schulgesetz NRW ist eine solche Konstellation bisher jedoch noch nicht berücksichtigt. Es steht zu vermuten, dass dieses auch auf andere Bundesländer zutrifft.

Öffentliche Instanzen

Es gibt einige wenige frei nutzbare BigBlueButton Instanzen. Eine Nutzung sollte hier mit Schülerinnen und Schülern allenfalls zu Testzwecken erfolgen. Ohne einen Vertrag zur Auftragsverarbeitung bewegt man sich bei der Nutzung dieser öffentlichen Instanzen je nach Bundesland irgendwo im einem Bereich zwischen Grauzone und Rechtsverstoß. Das gilt auch dann, wenn eine benachbarte Universität oder der Schule bekannte Firma einen kostenlosen Zugang zu einer BigBlueButton Instanz zur Verfügung stellt. Wenn so eine Angebot absolut vertrauenswürdig ist und die Instanz sicher konfiguriert betrieben wird und dadurch für Schüler und Lehrkräfte absolut keine Risiken entstehen, ändert das nichts an der Tatsache, dass die Nutzung für eine Schule ohne Vertrag zur Auftragsverarbeitung aus rechtlicher Sicht problematisch ist. Gibt’s vom Anbieter auf für umsonst einen Vertrag zur Auftragsverarbeitung, dann ist alles OK.

Zustimmung/ Einwilligung

Nutzt die Schule eine BigBlueButton Instanz, die entweder von ihr selbst betrieben ist oder abgesichert durch einen Vertrag zur Auftragsverarbeitung vom Schulträger,  einem beauftragten IT Dienstleister, einem Schulserver Anbieter oder einer Schul-App bereitgestellt wird, setzt die Teilnahme an einer Videokonferenz die informierte und freiwillige Einwilligung der Betroffenen voraus. Da für die Nutzung durch Lehrkräfte Konten erforderlich sind, müssen dort, anders als bei den Schülern, auch Daten zur Erstellung und Nutzung eines Kontos berücksichtigt werden.

Bei Nutzung einer öffentlichen BigBlueButton Instanz bliebe nur eine Nutzung mit informierter Zustimmung. Für schulische Zwecke ist diese Lösung nicht unbedingt ideal.

Vorlagen für Einwilligung und Informationen über Datenverarbeitung

Vorlagen für das Einholen einer Einwilligung bei den Nutzern einer  BigBlueButton Instanz, differenziert nach Lehrkräften (mit Nutzerkonto) und Schülern, finden sich unter – Einwilligung – Vorlagen für BigBlueButton.

Abschließende Bewertung

Diese Bewertungen gehen von der Nutzung einer BigBlueButton Instanz aus, die auf ein Maximum an Sicherheit und ein Minimum an erforderlichen Daten der Nutzer hin konfiguriert ist. Sie geht auch davon aus, dass auf dem Server, auf welchem sie betrieben wird, keine weitere Software installiert ist, die Dritten Zugriff auf und Analyse von Nutzerdaten ermöglicht.

Nutzung mit Vertrag zur Auftragsverarbeitung

Betrieben durch den Schulträger, einen IT Dienstleister oder im Rahmen eines von der Schule genutzten Schulservers oder einer Schul-App kann BigBlueButton aus Sicht des Datenschutz ohne Risiken genutzt werden, die von der Technik der Plattform selbst ausgehen.

Nutzung auf privaten Endgeräten/ von zu Hause aus

Bei einer Nutzung von BigBlueButton entstehen für Gastgeber und Teilnehmer auch bei einer Nutzung auf privaten Endgeräten und von außerhalb der Schule keine Risiken, die von der Technik selbst ausgehen.

Empfehlung

Die Nutzung von BigBlueButton kann im schulischen Kontext aus Sicht des Datenschutz nur empfohlen werden. Der Betrieb einer BigBlueButton Instanz durch Lehrkräfte in der Schule ist möglich, setzt jedoch voraus, dass diese Personen sich auskennen. Mit schlechter Konfiguration kann auch BigBlueButton ein Sicherheitsrisiko darstellen. Die Mehrheit der Schulen ist am besten beraten, wenn sie eine BigBlueButton Instanz nutzen kann, die durch den Schulträger oder einen IT Dienstleister auf der Grundlage eines Vertrag zur Auftragsverarbeitung bereitgestellt wird. Wer bereits einen Schulserver nutzt oder eine Schul-App, bei der man BigBlueButton zusätzlich buchen kann, sollte diese Möglichkeit nutzen.

Hinweise zu Optionen für eine datenschutzkonforme Konfiguration finden sich unter anderem unter Documentation for GDPR compliant setup (GitHub).

Tipps zur Nutzung

Da BigBlueButton bei vielen Bildungsinstitutionen sehr beliebt ist, findet man mit einer Internetsuche eine große Zahl aktueller Anleitungen zur Nutzung. Wie bei allen Videokonferenz Plattformen kommt es darauf an, mit welchen Einstellungen gearbeitet wird. Räume sollten mit einem Kennwort geschützt werden. Screensharing sollte deaktiviert sein, denn auch BigBlueButton-Bombing ist möglich.

Weiter lesen

BigBlueButton – Mein Favorit, eine Beitrag von Andreas Engl in seinem Blog Engelszungen, in welchem er die Möglichkeiten der Plattform beschreibt.

Stand 05/2020

Teilnahme am Unterricht über Video – geht das?

Lesezeit: 6 Minuten
Hinweis – spätestens mit der Verabschiedung der Zweiten Verordnung zur befristeten Änderung der Ausbildungs- und Prüfungsordnungen gemäß § 52 SchulG vom 02.10.2020 ist klar, dass die Hürden für eine verpflichtende Nutzung zur Erteilung von bzw. zur Teilnahme am digitalen Distanzunterricht per Videokonferenz sehr hoch gesetzt sind. Aktuell dürfte es in NRW an keiner Schule aus datenschutzrechtlicher Sicht möglich sein, Schüler oder Lehrkräfte zum Distanzunterricht per Videokonferenz zu verpflichten.

Dazu gibt es jetzt einen neuen Beitrag – Distanzunterricht – rechtliche Vorgaben und Möglichkeiten

Die Technik macht es möglich. Schüler können von zu Hause über Videokonferenz Plattformen am Unterricht ihrer Klasse teilnehmen. Gerade in Zeiten von Corona ist diese Möglichkeit von Interesse, vor allem dann, wenn Schüler entweder selbst zu einer Risikogruppe gehören oder Familienangehörige mit Vorerkrankungen haben und aus diesem Grund nicht in die Schule kommen können, um am Unterricht teilzunehmen. Es stellt sich deshalb die Frage, ob solches aus schul- und datenschutzrechtlicher Sicht möglich ist?

Die Rechtslage

Die Aufzeichnung von Unterricht in Form von Audio oder Video und die Übermittlung von Bild- und Tondaten des Unterrichts im Rahmen einer Videokonferenz sind aus datenschutzrechtlicher Sicht nicht unproblematisch. Es geht um einen Eingriff in die Grundrechte, für den sich im Schulgesetz NRW bislang keine Reglung findet, welche die Durchführung von Videokonferenzen zwischen Lehrkräften und Schulleitungen oder Lehrkräften und Schülern oder Schülern untereinander legitimiert. Dabei ist es unerheblich, ob es um Aufzeichnungen, Streaming, Mithören über Telefon oder Teilnahme über eine Videokonferenz Plattform geht. Da das Thema Videoübertragung von Unterricht im Schulgesetz aktuell nicht einmal vorgesehen ist, bleiben zur rechtlichen Orientierung nur die  Vorgaben zur Audio- und Videoaufzeichnung. Das liegt nache, denn genau genommen findet auch bei einer Videokonferenz eine sehr kurzfristige Zwischenspeicherung dieser Daten statt, da ohne diese rein technisch gesehen keine Übermittlung möglich wäre.1Diese Übertragung von Bild- und Tondaten in einen Puffer stellt allerdings keine perpetuierbare Speicherung dar, denn sie ist nur vorübergehend und ist damit mit einer Speicherung im Sinne auf Aufzeichnung von Videoaufnahmen nicht gleichzusetzen.

In der neuen Fassung des Schulgesetzes von Mai 2020 sind Aufnahmen des Unterrichts gemäß §120 Abs. 6 nur mit Einwilligung der Betroffenen zulässig.

„Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen bedürfen der Einwilligung der betroffenen Personen. Die Einwilligung muss freiwillig erteilt werden. Den betroffenen Personen dürfen keine Nachteile entstehen, wenn sie eine Einwilligung nicht erteilen.“
Ein entsprechender Passus findet sich auch für §121 Abs. 1. Satz 2 bezüglich der Rechte der Lehrkräfte.

Damit ist klar, mit einer Einwilligung der Betroffenen, das meint Schüler wie Lehrkräfte, sind Bild- und Tonaufzeichnungen möglich. Dem Sinn und Zweck dieser Regelung nach lässt sich dieses auch auf eine Übertragung anwenden. Das heißt, mit Einwilligung der Betroffenen kann eine Videokonferenz oder auch ein Streaming des Unterrichts stattfinden.

Möglichkeiten der Umsetzung

In den meisten Fällen wird man davon ausgehen können, dass Einwilligungen erteilt werden, sofern bei den Betroffenen keine Zweifel an der Sicherheit der genutzten Plattform bestehen oder sie sonst grundsätzliche Einwände haben. Doch selbst wenn einige Personen die Einwilligung verweigern, kann es möglich sein, trotzdem eine Videoübertragung des Unterrichts bzw. die Teilnahme eines Schülers per Videokonferenz am Unterricht der Klasse zu realisieren. Das wird im folgenden beschrieben.

Normalfall

Das Schulgesetz geht vom Normalfall aus. Es herrscht keine Ausnahmesituation wie im Falle einer Pandemie.

Eine Einwilligung setzt immer eine Freiwilligkeit voraus und eine Information über die Datenverarbeitung. Mit letzteren können die  Betroffene die für sie möglicherweise entstehenden Risiken abwägen, um eine Entscheidung zu treffen. Da Schüler verpflichtet sind, am Unterricht teilzunehmen, kann eine Freiwilligkeit nur dann bestehen, wenn es gleichwertige Alternativen gibt. Das könnte das Angebot sein, am Unterricht einer Parallelgruppe teilzunehmen.

In normalen Zeiten, wenn es nur darum geht, den Unterricht einem Schüler im Krankenhaus zugänglich zu machen, wäre eine solche Alternative durchaus umsetzbar, in Zeiten von Corona mit festen Lerngruppen dürfte solches schwierig sein. Sollten Schüler hier die Einwilligung verweigern, kann dieses nur bedeuten, dass eine Teilnahme des Mitschülers über eine Videokonferenz Plattform nicht möglich ist oder eine Alternative gefunden werden muss, die Teilnahme des Mitschülers zu ermöglichen, ohne dabei die Rechte der anderen Schüler zu beeinträchtigen.

Eine solche Möglichkeit könnte darin bestehen, dass die Kamera des Laptops, Tablets oder Smartphones, über welche die Videokonferenz Plattform läuft, nur auf den Teil der Klasse gerichtet sein, wo die Tafel bzw. das Display und die Lehrkraft sich befinden. Um die Schüler, welche ihre Einwilligung verweigern, nicht über das Mikrofon des Laptops/ Tablets/ Smartphones zu erfassen, wäre es einmal möglich, das Mikrofon jeweils stummzuschalten, wenn der betroffene Schüler einen Wortbeitrag macht. Alternativ könnte die Lehrkraft ein kleines mit dem Endgerät gekoppeltes Ansteckmikrofon tragen, welches nur die eigene Stimme erfasst. Die Schüler, welche nicht Teil der Videoübertragung sein möchten, sollten weiter hinten im Raum sitzen. Besteht die technische Möglichkeit wie beschrieben nicht, muss auf eine Videokonferenz Schaltung verzichtet werden.

Bei den Lehrkräften gibt es die Möglichkeit einer Alternative nicht. Hier kann nur eine Einwilligung erteilt oder verweigert werden. Im Falle der Verweigerung müsste man sehen, ob man dem Mitschüler, der von zu Hause teilnehmen möchte, die Teilnahme am Unterricht einer Parallelgruppe ermöglichen kann. Geht auch dieses nicht, ist eine Teilnahme des Mitschülers über eine Videokonferenz Plattform nicht möglich.

Eine Einwilligung ist auch von dem von von seinem Zuhause aus teilnehmenden Schüler einzuholen. Außerdem sollte dieser Schüler eine Unterlassungserklärung unterzeichnen, mit welcher er sich verpflichtet, keine Aufzeichnungen von der Videokonferenz anzufertigen oder andere Personen im Haushalt oder online daran teilnehmen zu lassen.

Vorlagen für Einwilligungen

Die beiden folgenden Vorlagen sind für die Schüler in der Klasse gedacht. Für die Schüler, die von zu Hause aus teilnehmen, nimmt man eine der Vorlagen für Jitsi, BigBlueButton, Teams, Zoom oder erstellt damit eine eigene für eine andere Videokonferenz Lösung.

Folgende Vorlage geht davon aus, dass ein Schüler über ein an ein Speakerphone (Bluetooth Lautsprecher mit Mikrofon) gekoppeltes Smartphone der Lehrkraft am Unterricht der Klasse aktiv teilnimmt.

Diese Vorlage geht von einer Teilnahme per Videokonferenz Plattform aus. Es sollte dazu ein Anbieter gewählt werden, der alle schul- und datenschutzrechtlichen Anforderungen zweifelsfrei erfüllt und mit dem ein Vertrag zur Auftragsverarbeitung abgeschlossen werden kann.

 

Stand: 01/2021

 


In der vorherigen Version dieses Beitrags von ursprünglich Mai 2020 war auch eine Möglichkeit beschrieben, wie die Nutzung von Videokonferenzen unter besonderen Bedingungen während der Pandemie von der Schulleitung verpflichtend vorgeschrieben werden kann, um den Unterrichts- und Schulbetrieb aufrechtzuerhalten. Diese von der LDI NRW beschriebene rechtliche Möglichkeit bestand jedoch allenfalls für einen relativ kurzen Zeitraum vor Verabschiedung der Zweiten Verordnung zur befristeten Änderung der Ausbildungs- und Prüfungsordnungen gemäß § 52 SchulG im Oktober 2020 und der Überarbeitung des Schulgesetzes NRW im September 2020. Da vor allem in der Zweiten Verordnung vom Land NRW explizit Regelungen für den Distanzunterricht getroffen wurden, sehe ich aus datenschutzrechtlicher Sicht keine Möglichkeiten, die von der LDI NRW beschriebenen Möglichkeiten auch in der aktuellen Situation von Schulschließungen umzusetzen, ohne dabei gegen geltendes Recht zu verstoßen. Der Vollständigkeit wegen ist der im oberen Text nun nicht mehr vorhandene Text hier aufgeführt.

 

Ausnahmesituation – Pandemie

Im Mai 2020 äußerte sich die LDI NRW in der Schrift Pandemie und Schule zur Problematik von Videokonferenzen in Zeiten von COVID19. Sie hält darinne einen anderen datenschutzrechtlichen Ansatz für vertretbar:

„Die Durchführung von Videokonferenzen einschließlich der damit verbundenen erforderlichen Datenverarbeitung könnte temporär auf die o.g. schulrechtlichen in Generalklauseln in § 120 Abs. 1 Satz 1 und 121 Abs. 1 Satz 1 SchulG gestützt werden, soweit es die Schulleitung während der Schulschließungen und der weitgehenden Kontaktverbote zur Aufrechterhaltung des Unterrichts- und Schulbetriebs für erforderlich erachtet, derartige Videokonferenzen durchzuführen.“

Gleichzeitig macht die LDI NRW aber auch klar, dass eine solche Möglichkeit nur in sehr engen Grenzen besteht. Dazu gehört beispielsweise, dass die Schule Herrin der Daten ist. Das bedeutet, sie betreibt die Videokonferenzplattform entweder selbst oder nutzt einen Anbieter, der einen Vertrag zur Auftragsverarbeitung anbietet. Das ist am ehesten der Fall bei Anbietern aus Deutschland oder der EU. Im Idealfall steht der Schule eine vom Schulträger, einem beauftragten IT Dienstleister oder dem Land bereitgestellte Videokonferenz Plattform zur Verfügung. Siehe dazu auch Videokonferenz Plattformen in Schule nutzen. Darüber hinaus darf keine Aufzeichnung von Bild- und Tondaten erfolgen und es dürfen keine anderen Personen an der Videokonferenz teilnehmen. Dieses ist dann durch geeignete organisatorische Maßnahmen sicherzustellen.

Interessant ist in diesem Zusammenhang auch eine Aussage des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) zum Thema Videokonferenzen in der Schule in Zeiten von Corona. In dem Beitrag „Videokonferenzsysteme in Schulen“ heißt es:

„Bei Schulschließungen zur Bewältigung der Corona-Krise können Videokonferenzen einen wesentlichen Beitrag zur Erfüllung des staatlichen Bildungs- und Erziehungsauftrags leisten. Der HBDI geht daher davon aus, dass für die Dauer der Krisenbewältigungsmaßnahmen die gegenwärtig erhältlichen Videokonferenzsysteme aufgrund einer vorläufigen positiven Beurteilung gemäß Art. 6 Abs. 1 Buchs. d) und e) DS-GVO als erlaubt gelten.“

Das ist in sofern sehr interessant, als dass der HBDI Schulen hier die Möglichkeit zugesteht, Videokonferenz Plattformen ohne eine Einwilligung der Betroffenen zu nutzen. Schulen erhalten so einmal die Möglichkeit, die zur Durchführung von Videokonferenzen erforderliche Datenverarbeitung auf Art. 6 Abs. 1 lit. d DS-GVO abzustellen. Das ist der Fall, wenn es darum geht, „lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen“ – in dem Fall die Gesundheit von Schülern und Lehrkräften mit Vorerkrankungen oder Familienangehörigen mit Vorerkrankungen. Diese erhalten dadurch ein Recht darauf, per Videokonferenz am Unterricht teilzunehmen. Außerdem können Schulen die erforderliche Verarbeitung von personenbezogenen Daten auf Art. 6 Abs. 1 lit. e DS-GVO abstellen, um mit der Durchführung von Videokonferenzen ihrem staatlichen Bildungs- und Erziehungsauftrag in der Wahrnehmung einer Aufgabe nachzukommen, „die im öffentlichen Interesse liegt“.

Auch wenn in diesem Fall keine Einwilligung der Betroffenen eingeholt werden muss, so ist doch die Erteilung von Informationen nach Art. 12 DS-GVO weiterhin erforderlich.

Die Äußerungen der beiden Landesbeauftragen für Datenschutz haben eines gemein. Sie vertreten beide die Auffassung, dass in der Ausnahmesituation einer Pandemie die sonst in Normalzeiten geltenden Regelungen zur Durchführung von Videokonferenzen außer Kraft gesetzt werden können, um grundlegendere Rechte der Betroffenen zu wahren, nämlich die Aufrechterhaltung des Unterrichts- und Schulbetriebes (LDI NRW), und die lebenswichtigen Interessen der Betroffenen selbst oder einer anderen Person zu schützen.

Die Ausnahmesituation besteht im Falle von vorerkrankten Schülern, die nicht am Präsenzunterricht teilnehmen können, zwar nicht mehr für eine ganze Schule oder ganze Klassen fort, doch es sollte sich diese Sachlage der gleiche datenschutzrechtlich Ansatz vertreten lassen.

Eine Schulleitung könnte sich dadurch auf diese beiden Aussagen stützen und einzelnen Schülern, die durch Vorerkrankung nicht am Präsenzunterricht teilnehmen können, eine Teilnahme über Videokonferenzschaltung ermöglichen, ohne dafür die Einwilligung der Schüler und Lehrkräfte einzuholen. Sie sollte dazu eine Richtlinie erstellen, in welcher geregelt ist, wann, in welcher Form und in welchem Umfang die Videoübertragung durchgeführt werden darf. Die Begründung dafür sollte sie schriftlich niederlegen und den Betroffenen transparent machen, warum sie diesen Weg geht. Darüber hinaus müsste sie die Betroffenen über die erforderliche Datenverarbeitung gemäß Art. 12 DS-GVO informieren und von dem vorerkrankten Schüler und den Eltern eine Unterlassungserklärung unterzeichnen lassen, in welcher sich diese Personen dazu verpflichten, die vorgegebenen Regeln einzuhalten, etwa dass die Videoübertragung nicht aufgezeichnet oder in anderer Form dritten zugänglich gemacht wird und dass keine anderen Personen als Zuschauer oder Zuhörer während der Übertragung zugegen sind.

Jitsi – Videokonferenzen

Lesezeit: 5 Minuten

Beschreibung

Jitsi ist eine Open Source Videokonferenz Plattform, die als sehr datenschutzfreundlich gilt. Sie kann auf einem eigenen Server betrieben werden, was jedoch nicht nur einen Server braucht, sondern auch das Wissen, wie man Jitsi sicher betreibt. Daneben gibt es die Möglichkeit, einen der vielen im Netz offen zugänglichen Jitsi Server zu nutzen. Die meisten Anbieter offener Jitsi Server stellen den Dienst frei zur Verfügung, da sie sich für Datenschutz, Bürgerrechte und das Recht auf informationelle Selbstbestimmung einsetzen. Man kann hier davon ausgehen, dass die Betreiber kein Interesse an den Daten der Benutzer haben. Von daher ist das Risiko, dass Videokonferenzen abgehört, aufgezeichnet und verbreitet werden, sehr gering. Eine hundertprozentige Sicherheit gibt es hier jedoch so wenig wie bei anderen Plattformen. Werden Links zu Video Meetings öffentlich bekannt gemacht, können sich auch bei Jitsi Dritte einklinken und stören.

Jitsi, Dienste Dritter und Sicherheit

Wie sicher und datenschutzfreundlich Jitsi Server sind, hängt von der Konfiguration ab und den genutzten Diensten Dritter. Wird die Jitsi Instanz auf einem Server von Amazon, Google, Cloudflare oder Microsoft betrieben, kommen Dritte ins Spiel, hier US Dienstleister, die je nach Serverstandort nicht nur der DS-GVO unterliegen. Gleiches gilt auf für den genutzten STUN Server. Einige der frei verfügbaren Jitsi Server nutzen Google STUN Server. Das wird aus der Sicht von Datenschützern oftmals kritisch gesehen. Als Open Source Lösung ist die Datennutzung bei Videokonferenzen transparent.

Als Plattform ist Jitisi selbst sehr datenschutzfreundlich, da Nutzer dort an Videokonferenzen teilnehmen können, ohne Spuren zu hinterlassen. Eine Registrierung ist zur Teilnahme an einer Videokonferenz nicht erforderlich. Bei den öffentlichen Jistsi Servern braucht es auch zum Starten einer Videokonferenz keine Registrierung. Jitsi speichert keine Nutzerdaten und die Videokonferenzen sind verschlüsselt. Anders als bei einigen anderen Videokonferenz Plattformen bestehen Konferenzräume nur solange sie genutzt werden. Sie werden nicht für neue Meetings gespeichert. Video, Audio und Chat werden nur für die Dauer einer Konferenz gespeichert.1Es gibt Einstellmöglichkeiten in Jitsi, die Speicherungen von Inhalten zulassen. Darüber hinaus kann auch durch die Konfiguration des Jitsi Servers eingestellt werden, wie datenschutzfreundlich Videokonferenzen durchgeführt werden. Ob die Einstellmöglichkeiten genutzt werden, hängt von der Person ab, die eine Videokonferenz startet. Mehr Informationen zum Datenschutz bei Jitsi unter https://jitsi.org/security/

Anbieter-Sammlungen

Unter den folgenden Links finden sich Sammlungen von Jitsi Servern.

Auf den Seiten der Jitsi Server findet man selten selten Angaben zu den Anbietern. Über die URL kann man jedoch meist leicht herausfinden, wer den Server betreibt. Wenn man einen Anbieter nicht kennt und man möchte den Server nutzen, muss man ihm vertrauen. Aus Sicht des Datenschutz ist das keine Ideale Grundlage für eine Nutzung, wenn Sicherheit gewünscht ist.

Empfehlen kann man auf jeden Fall aus den Listen z.B.:
meet.teckids.org
https://www.kuketz-meet.de
https://jitsi.fem.tu-ilmenau.de

sowie von CCC und Freifunk betriebenen Server. Beispiele dafür sind „https://jitsi.hamburg.ccc.de“ und „jitsi.hamburg.freifunk.net„. Erkennen kann man hier die Zugehörigkeit zu den Domains „ccc.de“ oder „freifunk.net“. Bei allen anderen sollte der Betreiber recherchiert werden.

Interessant ist auch noch das Angebot sichere-videokonferenz.de, welches kostenfrei nutzbar ist und dabei sogar einen Vertrag zur Auftragsverarbeitung anbietet, der unter sichere-videokonfenerenz/datenschutz als PDF geladen werden kann.

Beispiele für kommerzielle Jitsi Anbieter für Schulen sind4Die Nennung von Anbietern ist nur beispielhaft und erfolgt ohne finanzielle Interessen.

Neu – Ende zu Ende Verschlüsselung

Jitsi bietet seit Ende des Jahres auch eine Option, Videokonferenzen Ende-zu-Ende zu verschlüsseln. Damit können die Inhalte der Videokonferenz nur noch von den Teilnehmern eingesehen werden. Ein Abhören der Videokonferenz über den Jitsi Server ist damit nicht mehr möglich.5Jitsi verschlüsselte auch in der Vergangenheit schon die Übertragung der Videokonferenzdaten, sie wurden jedoch auf dem Server vorübergehend entschlüsselt, um bestimmte Funktionalitäten bereitstellen zu können.

Es sollte dabei jedoch beachtet werden, dass Metadaten der Kommunikation nicht verschlüsselt werden und dass die Teilnahme momentan nicht mit jedem Browser oder dem App möglich ist. (Stand 2020-12-02)

F-Droid Jitsi App

Es gibt für Android Nutzer die Möglichkeit über Sideloading die F-Droid Jitsi App anstelle der aus dem Google Play Store zu installieren.

Rechtsgrundlage der Nutzung

Vertrag zur Auftragsverarbeitung

Da die meisten Anbieter offen nutzbarer Jitsi Server ihren Dienst ohne finanzielle Interessen anbieten, kann man von ihnen keinerlei vertragliche Absicherung in Form eines Vertrags zur Auftragsverarbeitung für eine Nutzung erwarten.

Wenn es um eine Nutzung für eine Videokonferenz geht, bei der sensible Inhalte besprochen und vielleicht auch gezeigt werden sollen, ist ein freier Jitsi Server in der Regel nicht geeignet, es sei denn man kennt die Betreiber persönlich und vertraut ihren Zusicherungen.6Für eine rechtssichere Nutzung stellt ein solches Vertrauensverhältnis ohne Vertrag zur Auftragsverarbeitung jedoch auch keine ausreichende Grundlage dar.

Einen Vertrag zur Auftragsverarbeitung wird man nur erhalten, wenn man Jitsi durch einen Dienstleister betreiben lässt, etwa den Schulträger, einen von diesem beauftragten IT Dienstleister oder einen selbst beauftragten Anbieter.

Einwilligung

Wird der Jitsi Server selbst betrieben oder im Auftrag, braucht es eine Einwilligung der Betroffenen. In Schule ist dabei immer die informierte Freiwilligkeit vorausgesetzt.

Bei Nutzung eines freien Jitsi Servers aus einer der Listen oben sollten Betroffene ebenfalls eine Einwilligung erteilen, auch wenn die Schule nicht Herrin der Daten ist. Für schulische Zwecke ist diese Lösung nicht unbedingt ideal.

Eine Vorlage für das Einholen einer Einwilligung für den Fall, dass man einen freien Jitsi Server nutzt, könnte aussehen wie folgt.

Eine Vorlage für die Nutzung des kostenfreien Angebotes von Meetzi. Der Anbieter Lintec GmbH stellt Jitsi kostenfrei zur Verfügung, um von der Qualität seines kostenpflichtigen Angebots zu überzeugen. Den Vertrag zur Auftragsverarbeitung gibt es jedoch verständlicherweise nur bei kostenpflichtigen Schulkonten. Will man den Anbieter trotzdem nutzen, müssen die Betroffenen entsprechend informiert werden.

Eine Vorlage für eine Einwilligung bei Vorliegen eines Vertrags zur Auftragsverarbeitung mit dem Anbieter, mit Versionen für Schüler und Lehrkräfte und den erforderlichen Informationen zur Datenverarbeitung.7Diese Vorlage ist für Schulen gedacht, die sich selbst einen Anbieter suchen oder Jitsi über ihren Schulträger bereitgestellt bekommen. Schulen in NRW, welche die vom Land bereitgestellte, an den Messenger Element angedockte Version von Jitsi nutzen, brauchen diese Vorlage nicht, da die Informationen zur Datenverarbeitung online vorliegen und die Einwilligung elektronisch bei der Anmeldung an der Plattform abgegeben wird.

Abschließende Bewertung

Diese Bewertung ist eine Einschätzung ähnlich einer Produktbewertung und damit subjektiv, aber an den oben beschriebenen Beobachtungen orientiert.

Nutzung unter optimalen Bedingungen

Betrieben durch einen Dienstleister in der EU auf der Grundlage eines Vertrag zur Auftragsverarbeitung, auf Servern in der EU und mit STUN Server von EU Betreiber hat man alles unter Kontrolle.

Nutzung auf frei verfügbaren Jitsi Server – nur EU Dienste

Solange man dem Anbieter vertraut und man sicher ist, dass keine Dienste von Anbietern außerhalb der EU genutzt werden, ist das Risiko für Nutzer eher gering.

Nutzung auf frei verfügbarem Jitsi Server – nicht EU Dienste

Durch die Nutzung von nicht EU Diensten beim Angebot des Jitsi Dienstes ergibt sich ein potentielles Risiko durch Datenabflüsse an Dritte.

Empfehlung

Wenn Jitsi im schulischen Kontext genutzt werden soll, empfiehlt es sich, eine Instanz zu nutzen, die mit einem Vertrag zur Auftragsverarbeitung rechtlich abgesichert im Auftrag der Schule betrieben wird. Von einer Nutzung von offen angebotenen Jitsi Servern ist eher abzuraten, vor allem dann, wenn unbekannt ist, ob zum Betrieb die Dienste von nicht-EU Dienstleistern genutzt werden.

Tipps zur Nutzung

Kukez (ist ein IT/ Datenschutz Spezialist und Mitarbeiter einer Aufsichtsbehörde, der das Blog privat betreibt) hat eine Reihe von Tipps zur Nutzung gesammelt, etwa wenn es technische Probleme bei Teilnehmern gibt: https://www.kuketz-blog.de/jitsi-meet-erste-hilfe-bei-problemen/

Sehr ausführlich beschäftigt sich der Beitrag Jitsi – Fragen & Antworten von JOTBE mit den Funktionen, der Sicherheit und dem Betrieb von Jitsi.

Stand 12/2020

Videokonferenz Plattformen in Schule nutzen

Lesezeit: 8 Minuten

In Zeiten von Schulschließungen, bei der Kommunikation mit Schulen in fernen Ländern oder Schülern mit einem längeren Krankenhausaufenthalt kommt schnell das Thema Videokonferenzen auf und es stellt sich dabei die Frage, ob und unter welchen Bedingungen solche Tools in bzw. von der Schule eingesetzt werden können. Können die Tools mit Schülern eingesetzt werden und vielleicht auch für Lehrer- und Zeugniskonferenzen?

Am Markt gibt es viele verschiedene Plattformen, die meisten davon kommerzielle Angebote (z.B. Zoom und Cisco Webex) und einige betrieben von Vereinen, Universitäten und Privatleuten (z.B. Jitsi und BigBlueButton). Darüber hinaus finden sich in einigen bereits von Schulen genutzten Plattformen Videokonferenz Tools als Bestandteil der Plattform (z.B. in Office 365 und G Suite for Education), in andere können sie integriert werden (z.B. in Moodle und NextCloud). Einige der erwähnten Videokonferenz Tools bieten Zusatzfunktionen wie Chat oder Dateifreigabe.

Um welche Daten geht es?

Zur Nutzung von Videokonferenz Plattformen ist die Verarbeitung von personenbezogenen Daten erforderlich. Bei einigen Plattformen benötigen nur die sogenannten Gastgeber ein Konto mit Anmeldung. Die Teilnehmer können dann ohne individuelles Konto per Link zur Videokonferenz eingeladen werden. Einzelne Plattformen lassen eine „anonyme“ Teilnahme sowohl für Gastgeber als auch Teilnehmer zu.

Aus Sicht des Datenschutz ist es unerheblich, ob der Zugang zur Plattform „anonym“1Eine echte Anonymität gibt es schon wegen der erhobenen technischen Daten, wie weiter unten beschrieben, nicht wirklich. Allerdings speichern je nach Einstellung zumindest die Open Source Videokonferenz Plattformen die Daten der Nutzer nicht dauerhaft. erfolgt oder mit einer Anmeldung bzw. einem persönlichen Konto. Hauptteil der Verarbeitung sind Bild- und Tondaten (Abbild des Nutzers, Stimme und gesprochene sowie gezeigte Inhalte. Einige Plattformen bieten zusätzlich Chat-Funktionen an, Screensharing, Teilen von Dateien, Aufzeigen, Abstimmung, Aufzeichnung des Videostreams, Häufigkeit der Redebeiträge u. Ä. Im Hintergrund werden bei allen Plattformen technische Daten erhoben, von denen zumindest ein Teil vollständig oder teilweise anonymisiert in Log-Dateien aufgezeichnet wird. Dazu gehören in der Regel Informationen zum Browser, Betriebssystem des Endgerätes, ungefährer Standort, Datum und Uhrzeit, Beginn und Ende der Videosession und je nach System auch Rolle (Gastgeber, Teilnehmer) und eventuell vorgenommene Einstellungen in der Plattform. Je nach Nutzungsszenario können auch Zugehörigkeit zu einer Organisation (hier Schule, Schulname) zu den verarbeiteten Daten gehören.

Bedacht werden sollte auch, dass bei bei Videokonferenzen mit Schüler um die Daten von Kindern und Jugendlichen geht, denen eine besondere Schutzwürdigkeit zukommt.2„Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, […] wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden“ Erwägungsgrund 75, DS-GVO

Bei Videokonferenzen fallen somit in der Regel sehr viele personenbezogene Daten an und diese können durchaus auch recht sensibel sein. Für Schulen sollte damit klar sein, mit dem Thema Videokonferenzen muss aus Sicht von Datenschutz sehr verantwortungsvoll umgegangen werden.

Welche Fragen sollte Schule sich stellen?

Grundsätzliche Fragen

  • Macht eine Videokonferenz für den beabsichtigten Zweck Sinn, ist sie erforderlich oder gibt es vielleicht Alternativen?
  • Ist die Plattform auf allen gängigen Endgeräten bzw. Betriebssystemen (sicher) nutzbar.
  • Welche Plattformen kommen in Fragen bzw. stehen zur Verfügung?

Fragen bei kommerziellen Anbietern

  • Erfüllen die Plattformen die datenschutzrechtlichen Voraussetzungen, welche sich für Schulen aus dem Schulgesetz, Landesdatenschutzgesetz und der DS-GVO ergeben?
  • Bietet die Plattform einen Vertrag zur Auftragsverarbeitung (AVV) oder ein vergleichbares Rechtsinstrument nach Art. 28 Abs. 3 DS-GVO, durch welches sichergestellt werden kann, dass die personenbezogenen Daten nur zu Zwecken der Schule verarbeitet werden?

Fragen bei nicht EU Anbietern (US Anbietern)

  • Wo stehen die Server, welcher Hoster, welcher Cloud Anbieter wird genutzt?
  • Hat sich der Anbieter EU-US Privacy Shield zertifiziert?
  • Bietet der Anbieter die Standard Vertragsklauseln (SCC; Standard Contractual Clauses) an?

Fragen bei kostenlosen kommerziellen Angeboten

  • Wie sehen die Datenschutzbestimmungen aus?
    • Werden Dritten (z.B. Facebook, Google, Werbenetzwerken, …) Zugriffe auf Nutzerdaten ermöglicht?
    • Werden Daten verkauft oder räumt sich der Anbieter das Recht dazu ein?
    • Werden Profile zur Anzeige von Werbung gebildet?
    • Wird in der Plattform Werbung angezeigt?

Fragen bei kostenlosen Angeboten (Open Source)

  • Wer ist der Betreiber und welche Datenschutzbestimmungen gelten?
  • Welche Serverplattform wird genutzt (eigene, Hoster aus D. oder EU, internationaler Cloud Anbieter wie AWS)?

Plattform und Datenschutz

  • Wie sicher ist die Plattform (HTTPS)?
  • Ist die Plattform frei von Trackern, Thirdpary Cookies oder anderen Mechanismen zum Ausspionieren von Nutzerverhalten?
  • Lässt sich der Zugang zu einer einzelnen Videokonferenz kontrollieren?
  • Ist der Zugriff auf allen Plattformen unter den gleichen Bedingungen in Bezug auf Datenschutz möglich?
    • Werden beim Zugriff mit Apps (iOS, Android) die gleichen Daten erhoben, die auch beim Browser-Zugriff anfallen oder weitere?
  • Lässt sich die Datenerhebung durch Nutzer individuell in der Plattform regulieren?
  • Ist eine Nutzung der Plattform auch bei Blockierung von Cookies/ Trackern ohne essentielle Funktionseinschränkungen möglich?
  • Ist eine Ende-zu-Ende Verschlüsselung der Kommunikation Standard oder einstellbar?

Handlungsempfehlungen

Kommerzielle Anbieter – kostenlos

Die kostenlosen Angebote kommerzieller Anbieter sind selten ganz umsonst zu haben. Oftmals sind diese Angebote sind in ihren Funktionalitäten deutlich eingeschränkt, und bei einem Teil dieser Angebote wird man auch davon ausgehen müssen, dass Nutzer mit personenbezogenen Daten für die Nutzung zahlen. Nutzer meint hier sowohl den Gastgeber, der die Videokonferenz startet und leitet, wie auch die Teilnehmer.[Letzteres ist besonders zu berücksichtigen, da diese Tatsache den eingeladenen Teilnehmern zumeist nicht bewusst ist.] Für Schulen sind diese kostenlosen Angebote von daher nicht geeignet, auch nicht mit Einwilligung der Betroffenen. Das gilt vor allem, wenn es um Schüler geht. Die Schule ist verpflichtet, die Schüler zu schützen und könnte dieses bei einem derartigen Angebot nicht. Wenn Lehrkräfte sich informell über einen solchen Kanal austauschen möchten, bleibt das ihrem persönlichen Ermessen überlassen. Für die Durchführung offizieller Konferenzen können die kostenlosen Angebote kommerzieller Anbieter definitiv nicht genutzt werden, denn neben der Problematik um den Abfluss von Nutzerdaten, fehlen hier außerdem die rechtlichen Voraussetzungen. Ohne finanzielle Gegenleistung durch den Nutzer wird kein kommerzieller Anbieter einen Vertrag zur Auftragsverarbeitung anbieten.

Kommerzielle Anbieter – kostenpflichtig

Da kommerzielle Plattformen in der Regel neben den oben beschriebenen sehr viele weitere personenbezogene Daten verarbeiten, um die Vielfalt an Funktionen innerhalb der Plattform bereitstellen zu können und da dort jeder Gastgeber ein eigenes Nutzerkonto erhält und auch Teilnehmerdaten anfallen, ob mit oder ohne Registrierung, müssen Schulen die Nutzung mit einem Vertrag zur Auftragsverarbeitung datenschutzrechtlich absichern. Der Vertrag garantiert, dass alle anfallenden Daten durch den Anbieter nur für die Zwecke des Verantwortlichen, hier der Schule, verarbeitet werden und nicht für eigene Zwecke.3Ausgenommen sind davon technische Nutzungsdaten, soweit es sich dabei nicht unmittelbar um personenbezogene Daten handelt, die zur Bereitstellung der Funktion der Plattform, zur Weiterentwicklung und zur Wahrung der Sicherheit erforderlich sind Das gilt sowohl für die Daten der Gastgeber wie auch der Teilnehmer an den Videokonferenzen. Bei bezahlten Konten werden diese Verträge von den meisten Anbietern bereitgestellt. Die ganz großen Anbieter in diesem Segment kommen überwiegend aus den USA. Hier ist es bei Server Standorten in den USA zu empfehlen, dass der Anbieter die Standard Vertragsklauseln anbieten. Rein formal erfüllen die Anbieter dann die Anforderungen der DS-GVO. Nicht unberücksichtigt bleiben sollte darüber hinaus die Gestaltung der Nutzungsbedingungen (Terms of Service) und die in der Plattform selbst möglichen Datenschutzvoreinstellungen. Besser geeignet sind US Anbieter, wenn sie für Nutzer in der EU Serverstandorte in Europa anbieten. Datenschutzrechtliche Probleme, die aus einer Übermittlung von personenbezogenen Daten in die USA entstehen können, lassen sich damit vermeiden. Idealerweise ermöglichen Anbieter außerdem eine Ende-zu-Ende Verschlüsselung von Videokonferenzen.

Stimmen die Voraussetzungen, kann solch eine kommerzielle Plattform zur Kommunikation mit Schülern und auch zur Kommunikation von Lehrkräften untereinander eingesetzt werden. Ist die Kommunikation verschlüsselt und wird der Stream nicht aufgezeichnet, sollte das Risiko auch bezüglich der Inhalte von Lehrerkonferenzen gegen Null tendieren.

Nichtkommerzielle Anbieter

Die Videokonferenz Plattformen Jitsi wird überwiegend ohne finanzielle Interessen offen angeboten. Von BigBlueButton findet man vereinzelt solche Angebote. Man sollte hier schauen, wer der Anbieter ist und wie er seine Videokonferenz Plattform betreibt. Kommt der Anbieter aus der Freifunk Szene, hat mit dem Chaos Computer Club zu tun4Beispiele dafür sind „https://jitsi.hamburg.ccc.de“ und „jitsi.hamburg.freifunk.net„. Erkennen kann man hier die Zugehörigkeit zu den Domains „ccc.de“ oder „freifunk.net“. Bei allen anderen sollte der Betreiber recherchiert werden., ist ein Verein, der sich für Datenschutz und Bürgerrechte einsetzt oder gehört zu einer Universität, dann kann man in der Regel davon ausgehen, dass eine Nutzung nur geringe bis keine Risiken birgt und damit vorstellbar ist. Bei frei angebotenen BigBlueButton Servern müssten Lehrkräfte sich auf eigene Initiative anmelden. Einen Vertrag zur Auftragsverarbeitung erhält man von all diesen Anbietern in der Regel nicht.

Thema Einwilligung

Sobald eine Schule eine Videokonferenz Plattform selbst betreibt, auf einem eigenen Server oder mit Vertrag zur Auftragsverarbeitung mittels eines Dienstleisters, ist die Schule die verantwortliche Stelle. Sie verarbeitet die personenbezogenen Daten von Gastgebern und Teilnehmern bzw. lässt diese Daten im Auftrag verarbeiten. Dabei ist es unerheblich ob die Teilnahme mit identifizierbaren Nutzerkonten erfolgt oder ohne Anmeldung und mit selbstgewählten Nutzernamen. Auch wenn die Plattform keine dauerhafte Speicherung von personenbezogenen oder beziehbaren Daten vornimmt, so werden eben doch immer personenbezogene Daten aller Teilnehmer verarbeitet. Und diese sind höchst sensibel. Es geht um Bild- und Tonaufnahmen der Teilnehmer, Beiträge im Chat und eventuell geteilte Dateien.

Einwilligung bei Eigenbetrieb oder Nutzung mit Vertrag zur Auftragsverarbeitung

Das heißt, wenn die beschriebenen Voraussetzungen zutreffen, setzt die Teilnahme an Videokonferenzen durch Schüler und Lehrkräfte immer auch eine Einwilligung voraus, die informiert und freiwillig5Über das Thema der Freiwilligkeit im Zusammenhang mit der Pflichtveranstaltung Schule kann man je nach Art der Datenverarbeitung diskutieren. sein muss.

Einwilligung bei Nutzung ohne Vertrag zur Auftragsverarbeitung

Bei Videokonferenzplattformen, die sehr datenschutzfreundlich betrieben werden und deren Betreiber keine finanziellen Interessen mit dem Betrieb ihrer Plattform verbinden, wie bei vielen Jitsi Servern und auch einigen BigBlueButton Servern, erfolgt der Betrieb oftmals aus idealistischen Gründen. Gastgeberkonten können, wenn erforderlich, nur auf individueller Basis erstellt werden, Schulkonten gibt es nicht. Einen Vertrag zur Auftragsverarbeitung wird man dort auch nicht erhalten. Es gibt somit keine verlässliche Rechtsgrundlage, auf die man sich berufen kann, wenn man beabsichtigt, die Plattform zu nutzen. Eine Nutzung solcher Plattformen bzw. Angebote kann deshalb, wenn überhaupt, nur auf der Grundlage einer informierten und freiwilligen Einwilligung durch die Betroffenen erfolgen. Wichtig ist in einem solchen Fall, dass aus den Informationen zur Datenverarbeitung hervorgeht, dass die Schule das Angebot nutzt, ohne dass sie die Kontrolle über die Verarbeitung der personenbezogenen Daten hat. Rechtlich bewegt man sich bei der Nutzung von Angeboten dieser Art jedoch schon in einer Grauzone.

Einwilligung bei Übermittlung von personenbezogenen Daten an Dritte

Alternativ könnte man die Nutzung einer Plattform, deren Anbieter keinen Vertrag zur Auftragsverarbeitung zur Verfügung stellt, noch auf eine Einwilligung in die Übermittlung von personenbezogenen Daten an Dritte stützen. Die Schule veranstaltet eine Videokonferenz und die Daten von Gastgeber und Teilnehmern werden dazu an einen Anbieter übermittelt. Das würde dann ebenfalls eine Einwilligung der Betroffenen erfordern, in welcher auch in die erforderliche Übermittlung von personenbezogenen Daten eingewilligt wird.

Achtung! Keine der drei Möglichkeiten, wie Schulen sich aus datenschutzrechtlicher Sicht bei der Nutzung von Videokonferenz Plattformen absichern können, entlässt die Schule aus der Verantwortung. Wählt die Schule einen nicht geeigneten Anbieter aus, liegt die Verantwortung im Falle von Problemen zunächst bei ihr selbst, solange diese Probleme nicht durch unsachgemäßes Nutzerhandeln von Teilnehmern an einer Videokonferenz verursacht werden.

Nutzungsregeln vorab klären

Wie bei der Plattform, auf welcher Nutzer agieren und interagieren, ist es erforderlich, dass allen Beteiligten die Spielregeln klar sind. Welche Arten von selbstgewählten Nutzernamen, welche Inhalte sind zulässig. Wer darf teilnehmen? Was ist nicht erlaubt (z.B. Sceenshots, Mitschnitte, …)? Was darf über die Plattform geteilt werden? Wie wird mit Verstößen gegen die Regeln umgegangen?

No-gos

Einige Videokonferenz Plattformen, kommerzielle und auch kostenfrei nutzbare Open Source Angebote, verfügen über zusätzliche Funktionen, von deren Nutzung hier aus Gründen des Datenschutz nur dringlichst abgeraten werden kann. Dazu gehören:

  • Aufzeichnung von Videokonferenzen
  • Aufmerksamkeitsüberwachung der Teilnehmer
  • Überwachung der neben der Videokonferenz genutzten Programme

Die beste Lösungen

Für Schulen gibt es im Grunde genommen nur vier wirklich aus Sicht des Datenschutz gute Lösungen. Auch wenn große nicht-EU Anbieter wie etwa Zoom oder Cisco Webex rein formell die datenschutzrechtlichen Voraussetzungen der DS-GVO für eine Nutzung in EU Ländern erfüllen, stellen diese Anbieter nicht unbedingt die besten Lösungen für Schulen dar. Besser ist es, entweder

  1. die vom Land angebotene Videokonferenz Plattform nutzen, etwa in NRW das an den Logineo NRW Messenger angedockte Jitsi,
  2. auf Anbieter aus der EU oder Deutschland zu setzen, die einen Vertrag zur Auftragsverarbeitung anbieten,
  3. in Schulserver6    iServ bietet z.B. die Integration von Jitsi, siehe IServ-Modul Videokonferenz , in LMS 7   Moodle lässt es beispielsweise zu BigBlueButton über ein Plugin zu integrieren, wenn eine Instanz vorhanden ist oder in Schul-Apps 8     SchoolFox, DieSchulApp und schul.cloud sind Beispiele für Anbieter, die Videokonferenzfunktionen in ihre Angebote integrieren. integrierte Lösungen zu nutzen oder
  4. den Schulträger dazu zu bewegen, selbst oder über einen beauftragten IT Dienstleister eine Lösung wie BigBlueButton oder Jitsi bereitzustellen.

Welche Lösung für eine Schule die beste ist, hängt von vielen Faktoren ab. Neben den Kosten kann auch die Integrationsmöglichkeit in bereits genutzte Plattformen, wie einen Schulserver, eine Arbeits- und Kommunikationslösung oder ein LMS die Entscheidung beeinflussen.

Ausführlichere Informationen zur Auswahl einer datenschutzfreundlichen Videokonferenz Plattform gibt es im Beitrag Videokonferenzen – eine Plattform auswählen.

Die Datenschutzkonferenz hat im Oktober 2020 eine Orientierungshilfe Videokonferenzsysteme als PDF veröffentlicht, die weitere Informationen zum Thema bietet.

Stand 11/2020