16. Schulrechtsänderungsgesetz und Datenschutz

Lesezeit: 11 Minuten

Am 23. Februar 2022 wurde das Gesetz zur Modernisierung und Stärkung der Eigenverantwortung von Schulen (16. Schulrechtsänderungsgesetz) vom Landtag NRW verabschiedet und damit unmittelbar wirksam. Es enthält auch Änderungen, welche das Thema Datenschutz betreffen und sehr weitreichende Auswirkungen auf die Nutzung digitaler Medien im Unterricht haben werden. Das gilt vor allem mit Blick auf die verpflichtende Nutzung von unterrichtlich genutzten Plattformen, einschließlich Videokonferenz Plattformen.

Auch schon vor dieser Gesetzesänderung war es in NRW durchaus möglich, die Verarbeitung von personenbezogenen Daten bei der Nutzung von unterrichtlich eingesetzten Plattformen zur Erfüllung des Bildungs- und Erziehungsauftrages auf das Schulgesetz NRW und die VO-DV I & II in Verbindung mit den höherrangigen Rechtsnormen zu stützen. Die personenbezogenen Daten von Schülerinnen und Schülern und Eltern, Lehrerinnen und Lehrer, Personal an den ZfsL, Lehramtsanwärterinnen und Lehramtsanwärtern und Lehrkräften in Ausbildung betreffend, erfolgte dieses durch Hinzuziehung von Art. 6 Abs. 1 lit. e und Abs. 3 lit. b DS-GVO, und die Verarbeitung der personenbezogenen Daten von Funktionsträgerinnen und Funktionsträgern betreffend, erfolgte dieses unter Hinzuziehung von.  Art. 6 Abs. 1 lit. e und Abs. 3 lit. b DS-GVO in Verbindung mit § 3 Abs. 1 DSG NRW. Eine Einwilligung in die Verarbeitung von personenbezogenen Daten war damit, soweit sie die Erfüllung des Bildungs- und Erziehungsauftrages betraf, nicht erforderlich. Auch eine verpflichtende Nutzung war bereits möglich und wurde so beispielsweise vom MSB im Verlauf der Pandemie kommuniziert, als es um die Nutzung von Videokonferenz Plattformen durch Lehrkräfte zur Erteilung von Distanzunterricht ging. Ob Schüler und Lehrkräfte im Einzelfall während der Pandemie tatsächlich zu einer Nutzung verpflichtet werden konnten, hing jedoch wesentlich von weiteren Faktoren ab, etwa der Verfügbarkeit von von der Schule bereitgestellten Schülergeräten und Dienstgeräten für Lehrkräfte.1Weitere Faktoren waren die DS-GVO Konformität der Plattform, um die es ging, und ob die Plattform zur Aktivierung des Kontos eine datenschutzrechtliche Einwilligung zwingend voraussetzt oder nicht. Im Fall von Logineo NRW war und ist die Freiwilligkeit der Nutzung zusätzlich durch eine Dienstvereinbarung festgeschrieben und schließt damit eine verpflichtende Nutzung aus. Ausgenommen von der Verarbeitung auf der beschriebenen Rechtsgrundlage sind freiwillig von den Betroffenen bereitgestellte Nutzungsdaten. Ihre Verarbeitung durch die Schule setzt deshalb eine Einwilligung voraus.2 Ein Blick auf die Datenschutzerklärung von Logineo NRW mit Stand vom 19.08.2020 zeigt, dass man dort genau diesem Ansatz folgt und bei den angegebenen Rechtsgrundlagen entsprechend differenziert.

Spätestens der Distanzunterrichts mittels digitaler Plattformen in der Pandemiezeit seit Frühjahr 2020 machte allen Beteiligten deutlich, dass dem Schulgesetz NRW genau an dieser Stelle bereichsspezifische konkrete datenschutzrechtliche Regelungen fehlten. Mit dem 16. Schulrechtsänderungsgesetz hat das Land NRW reagiert und im Schulgesetz NRW eine Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten bei der Nutzung digitaler Plattformen zur Erfüllung des Bildungs- und Erziehungsauftrags geschaffen. Dafür wurden eine Konkretisierung auf zwei Kategorien von Plattformtypen vorgenommen und der rechtliche Rahmen für eine verpflichtende Nutzung gesetzt. Ergänzend hierzu wurde in § 2 Abs. 1 Satz 3 VO-DV I die Verarbeitung von Protokolldaten geregelt.

Die folgenden Änderungen bzw. Ergänzungen wurden bezüglich der Nutzung von digitalen Plattformen in der Schule vorgenommen.

§ 8 SchulG NRW

Auch wenn die Änderung von § 8 SchulG NRW nicht schulisches Datenschutzrecht betrifft, wird diese hier erwähnt, da sie die Grundlagen für die in den §§ 120 und 121 vorgenommenen datenschutzrechtlichen Änderungen legt. Die Änderungen in § 8 SchulG NRW betreffen die Überschrift, die erweitert wurde, und einen neuen Absatz 2.3Der bisherige Absatz 2 wurde dadurch zu Absatz 3.

§ 8
Unterrichtszeit, Unterrichtsorganisation, Digitalisierung
(1) Der Unterricht wird als Vollzeitunterricht in der Regel an wöchentlich fünf Tagen erteilt. Über Ausnahmen entscheidet die Schulkonferenz im Einvernehmen mit dem Schulträger.
(2) Zur Erfüllung des Bildungs- und Erziehungsauftrags kann die Schule bereitgestellte Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen in digitaler Form nutzen.

Mit dem Hinzufügen des Wortes “Digitalisierung” in der Überschrift möchte man die Digitalisierung der Schulen als “ein wichtiges Ziel bildungspolitischen Handelns der Landesregierung” im Schulgesetz festschreiben. Das MSB bezeichnet dieses als einen “ersten programmatischen Schritt, mit welchem man “einen normativen Bezug für die „Digitalstrategie Schule“4siehe Erläuterungen im Gesetzesentwurf vom 09.12.2021 schafft. Wesentlich wichtiger als diese politische Willenserklärung in Form einer Überschrift ist dann jedoch die mit Abs. 2 geschaffene Rechtsnorm, da hiermit der schulische Einsatz digitaler Lehr- und Lernsysteme sowie digitaler Arbeits- und Kommunikationsplattformen gesetzlich verankert wird. Das ist neu und bricht mit der bisherigen Systematik des SchulG NRW, da vergleichbare Regelungen sich bisher ausschließlich in den §§ 120 und 121 fanden. Es zeigt aber auch, welchen Stellenwert man der Nutzung digitaler Plattformen einräumt, indem man diese Regelung auf eine Stufe mit Vorgaben zur Unterrichtszeit und Unterrichtsorganisation stellt. Was steckt in diesem Satz 2?

Der Rechtsrahmen

Zur Erfüllung des Bildungs- und Erziehungsauftrags kann die Schule bereitgestellte Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen in digitaler Form nutzen.

Schulen erhalten die Möglichkeit, digitale Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen zu nutzen, soweit dieses erforderlich ist, um den Bildungs- und Erziehungsauftrags zu erfüllen. Auch wenn dieses eine damit einhergehende Verarbeitung von personenbezogenen Daten durch die Schule bereits impliziert, erfolgt die bereichsspezifische konkrete datenschutzrechtliche Regelung diesbezüglich erst in den §§ 120 und 121. Die Erfüllung des Bildungs- und Erziehungsauftrags beschränkt sich nicht nur auf den Unterricht selbst. Es geht hier laut MSB im Gesetzesentwurf um eine Nutzung “für pädagogisch-didaktische Zwecke, insbesondere für die Gestaltung von Lehr- Lernprozessen, aber auch für schulinterne Verwaltungstätigkeiten sowie interne und externe Kommunikationsprozesse …

Entscheidung der Schule

Zur Erfüllung des Bildungs- und Erziehungsauftrags kann die Schule bereitgestellte Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen in digitaler Form nutzen.”

Die Entscheidung über die Nutzung digitaler Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen zur Erfüllung des Bildungs- und Erziehungsauftrags liegt damit bei der Schule. Vor dem Einsatz ist gemäß der ebenfalls neu geschaffenen Regelung in § 65 Abs. 2 Nr. 6 die Schulkonferenz an der Entscheidung über die Einführung einer vom Schulträger vorgeschlagenen Plattform zu beteiligen.5Wie im Gesetzesentwurf angemerkt ist, gilt diese Entscheidungsbefugnis nicht für bereits vor Inkrafttreten des 16. Schulrechtsänderungsgesetzes existierende und genutzte Systeme und Plattformen. (siehe Zu Nummer 22 (§ 65))

(2) Die Schulkonferenz entscheidet im Rahmen der Rechts- und Verwaltungsvorschriften in folgenden Angelegenheiten:
[…]

6. über den Vorschlag zur Nutzung der vom Schulträger bereitgestellten Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen in digitaler Form (§ 8 Absatz 2),

Im Gesetzesentwurf vom 09.12.2021 heißt es außerdem, “Das Nähere, insbesondere unter welchen Voraussetzungen die Systeme zu nutzen sind, regeln die Ausbildungs- und Prüfungsordnungen.” Dort wird es dann, sofern noch nicht vorhanden, entsprechende Vorgaben geben.

Digitale Plattformen

Zur Erfüllung des Bildungs- und Erziehungsauftrags kann die Schule bereitgestellte Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen in digitaler Form nutzen.”

Bezüglich digitaler Medien gab es im Schulgesetz NRW bisher nur eine Rechtsgrundlage für die Nutzung von “digitalen Lehr- und Lernmitteln.”6siehe § 120 Abs. 5 Satz 1, worunter sich beispielsweise digitale Schulbücher fassen lassen. Mit den digitalen “Lehr- und Lernsystemen sowie Arbeits- und Kommunikationsplattformen” erweitern sich die Plattformtypen, in welchen eine Schule zur Erfüllung des Bildungs- und Erziehungsauftrags personenbezogene Daten verarbeiten darf, auf “informationstechnische Systeme” zu denen laut Erläuterung des MSB im Gesetzesentwurf “insbesondere Lernmanagementsysteme, E-Mail- und Messengerdienste sowie Videokonferenztools” zählen. Das beschreibt ziemlich genau, was die Plattformen der Logineo NRW Familie leisten und entsprechend verweist das MSB im Gesetzesentwurf auch auf diese und stellt ihre Vorteile heraus. In Frage kommen für eine Nutzung im Rahmen von  § 8 Abs. 2 weitere Plattformen, etwa Cloud Plattformen wie NextCloud mit integrierten oder angeschlossenem Office, Schulserver wie ein IServ, Classroom Management Systeme oder auch Lern Apps wie Anton. Auch Systeme für Umfragen und Feedback sollten sich darunter fassen lassen oder Apps wie beispielsweise Schulmanager Online, Sdui und Elternnachricht, digitale Klassenbücher und Stunden- und Vertretungspläne, über welche schulische Organisationsabläufe, wie sie zur Erfüllung des Bildungs- und Erziehungsauftrags erforderlich sind, abgebildet werden.

§§ 120 und 121 SchulG NRW

Für die in § 8 geschaffene Rechtsgrundlage, welche es Schulen ermöglicht, digitale Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen zur Erfüllung des Bildungs- und Erziehungsauftrags einzusetzen, werden in § 120 Abs. 5 durch Hinzufügen von Satz 2 bereichsspezifische konkrete datenschutzrechtliche Regelung getroffen7Auch wenn sich hier in Teilen eine Dopplung mit § 8 Satz 2 ergibt, so sind die Regelungen in §§ 120 und 121 an dieser Stelle erforderlich, da diese beiden Paragraphen diejenigen sind, an welchen im SchulG NRW schulischer Datenschutz geregelt ist.:

(5) Die Schule darf für den Einsatz digitaler Lehr- und Lernmittel personenbezogene Daten der Schülerinnen und Schüler und der Eltern verarbeiten, soweit dies für die Aufgabenerfüllung der Schule erforderlich ist. Dies gilt entsprechend für den Einsatz von Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen (§ 8 Absatz 2); in diesem Rahmen sind die Schülerinnen und Schüler zur Nutzung verpflichtet.

In § 121 Abs. 1 wird durch Hinzufügen eines nahezu wortgleichen Satzes 2 entsprechend verfahren:

(1) Daten der Lehrerinnen und Lehrer dürfen von Schulen verarbeitet werden, soweit dies zur Aufgabenerfüllung bei […] der Durchführung des Unterrichts, einschließlich des Einsatzes digitaler Lehr- und Lernmittel, […] erforderlich ist. Dies gilt entsprechend für den Einsatz von Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen (§ 8 Absatz 2); in diesem Rahmen sind die Lehrerinnen und Lehrer zur Nutzung verpflichtet.

Schulen dürfen damit beim Einsatz von digitalen Lehr- und Lernsystemen sowie Arbeits- und Kommunikationsplattformen die personenbezogenen Daten von Schülerinnen und Schülern und ihren Eltern sowie von Lehrkräften verarbeiten, soweit dieses zur Erfüllung des Bildungs- und Erziehungsauftrags erforderlich ist. Dieses schließt auch Videokonferenz Plattformen ein. Innerhalb des gesteckten Rahmens sind sowohl Schülerinnen und Schüler wie auch Lehrkräfte zur Nutzung der genannten Plattformen verpflichtet. Eltern sind von dieser Verpflichtung ausgenommen.

Welche Daten

Die Zulässigkeit der Verarbeitung von personenbezogenen Daten von Schülern, Eltern und Lehrkräften erstreckt sich auf die in VO-DV I und II normierten Daten und geht sogar noch über diese hinaus. Digitale Plattformen lassen sich nicht betreiben, ohne dass dabei weitere personenbezogene und -beziehbare Daten anfallen. Diese müssen sich jedoch im Rahmen des technisch Erforderlichen bewegen. Mit §2 Abs. 1 Satz 3 VO-DV I wird dieses klargestellt: “ Beim Einsatz digitaler Lehr- und Lernmittel, digitaler Kommunikationsmittel sowie IT-Infrastrukturen ist die Verarbeitung von Protokolldaten nur zulässig, soweit dies zum Betrieb technisch erforderlich ist.” Für die Verarbeitung von Protokolldaten oder auch Logdaten werden hier zwei Grenzen aufgezeigt. Es dürfen zum Einen nur solche Protokolldaten erhoben werden, die technisch erforderlich sind. Außerdem dürfen die erhobenen Daten nur genutzt werden, soweit dieses technisch erforderlich ist, um die jeweilige Plattform zu betreiben. Gleichsam ist es auch nicht zulässig, diese Daten für andere Zwecke zu nutzen. Protokolldaten dürfen somit nicht genutzt werden, um Aufschlüsse über Nutzerverhalten zu gewinnen.8Eine Ausnahme wäre hier die Kontrolle von Protokolldaten, wenn der Verdacht besteht, dass mit einer Plattform Missbrauch betrieben wird. Dieses setzt jedoch die Erfüllung weiterer Vorgaben voraus.

Welche Plattformen

In den Erläuterungen im Gesetzesentwurf wird noch einmal klargestellt, dass die neuen Regelungen in den §§ 120 und 121 weit gefasst werden: “Dies schließt alle Lehr- und Lernsysteme sowie Arbeits- und Kommunikationsplattformen im Sinne des § 8 Absatz 2 ein, die die Schule zur Erfüllung ihres Bildungs- und Erziehungsauftrags nutzt.” Auch schon vor Inkrafttreten des 16. Schulrechtsänderungsgesetzes bestehende Plattformen fallen unter die Regelung, sofern sie von einer Schule im Sinne des § 8 Absatz 2 zur Erfüllung ihres Bildungs- und Erziehungsauftrags genutzt werden.9Siehe dazu auch die Erläuterung zu § 8 Absatz 2 unter der Überschrift “Digitale Plattformen“, wo in Frage kommende Plattformen ausführlicher beschrieben sind.

Keine Einwilligung aber Information

Durch die in den §§ 120 und 121 neu aufgenommenen Sätze verfügen Schulen nun über eine konkrete Rechtsgrundlage, welche ihnen die Verarbeitung von personenbezogenen Daten in digitalen Lehr- und Lernsystemen sowie Arbeits- und Kommunikationsplattformen wie dort beschrieben erlaubt und Schüler wie auch Lehrkräfte sogar zur Nutzung verpflichtet. Eine Einwilligung ist hierfür somit nicht erforderlich. Es besteht jedoch weiterhin eine Informationspflicht gem. Art. 13 DS-GVO.

Ganz konkret bedeutet dieses, dass weder von Schülern noch von Eltern oder Lehrkräften eine Einwilligung eingeholt werden muss, wenn eine Schule beispielsweise eine Videokonferenz Plattform wie Jitsi für die Durchführung von Unterricht oder von Beratungsgesprächen mit Eltern nutzt.

Videokonferenz Plattform

Im Verlauf der Pandemie war vor allem strittig, ob Lehrkräfte zur Erteilung von Distanzunterricht per Videokonferenz verpflichtet werden konnten und dieses mit eingeschalteter Videokamera. Genau diesem Umstand dürfte die ausdrückliche Erwähnung von “Videokonfenzsystemen” geschuldet sein. Das Land NRW legt damit fest, dass sich die Zulässigkeit der Verarbeitung von personenbezogenen Daten von Schülern, Eltern und Lehrkräften zur Aufgabenerfüllung und bei Lehrkräften außerdem zur Durchführung von Unterricht auch auf die Nutzung von Videokonferenz Plattformen erstreckt. Welche weitreichenden Möglichkeiten sich dadurch für Schulen ergeben, erläutert das MSB im Gesetzesentwurf: “Ebenso besteht die Möglichkeit, Schülerinnen und Schüler, die nicht an Präsenzunterricht teilnehmen können (z.B. Quarantäne, Wechsel von Präsenz- und Distanzphasen, Krankheit etc.) am Unterricht vor Ort „zuzuschalten“ und somit am Unterricht teilhaben zu lassen.” Anders als bisher braucht es dafür von den Schülerinnen und Schülern im Klassenraum keine Einwilligung mehr. Gleiches gilt auch für die Durchführung von Konferenzen in Form von Videokonferenzen.

Videokamera an – aus?

Neben den Möglichkeiten, Videokonferenz Plattformen im Unterricht einzusetzen werden im Gesetzesentwurf auch die Grenzen beschrieben: “Zulässig ist der Einsatz von Videokonferenzsystemen nur, wenn dies zur Erfüllung des Bildungsauftrags erforderlich ist. Die Erforderlichkeit liegt vor, wenn dies zur Sicherung des konkreten Unterrichtsgeschehens oder aus anderen pädagogisch-didaktischen Gründen gegeben ist.” Werden Schülerinnen und Schüler, die nicht am Präsenzunterricht teilnehmen können, dem Unterricht zugeschaltet, so dürfte es in der Regel nicht erforderlich sein, dass dabei permanent Ton und/oder Kamera eingeschaltet sind, weder im Klassenraum, noch auf Seiten der Schülerinnen und Schüler. Eine Erforderlichkeit, Kamera und Ton im Klassenraum aus pädagogisch-didaktischen Gründen einzuschalten, ist aber in dem Moment gegeben, in welchem die Lehrkraft oder Schülerinnen und Schüler im Klassenraum etwas vorführen oder ein Unterrichtsgespräch in der Lerngruppe stattfindet.

Mit dem Satz “Die Verpflichtung der Schülerinnen und Schüler zum Einsatz von Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen und zur Nutzung von Videokonferenzsystemen mit Einschalten von Ton und Bild besteht in dem durch § 8 Absatz 2 gesetzten Rahmen.” der entsprechend auch für  Lehrkräfte gilt, wird im Kommentar zum Gesetzesentwurf noch einmal ausdrücklich darauf verwiesen, dass die Verpflichtung, Ton und Bild einzuschalten, sich in dem durch § 8 Absatz 2 gesetzten Rahmen bewegen muss. Sie ist somit nur möglich, sofern dieses zur Erfüllung des Bildungs- und Erziehungsauftrages erforderlich ist.

Das lässt Interpretationsspielraum, denn nicht jeder, ob Schüler oder Lehrkraft, wird je nach Situation eine Erforderlichkeit anerkennen.

Nutzung nur im im zulässigen Umfang

Auch wenn dieser Punkt aus den Änderungen im SchulG nicht unmittelbar hervorgeht, soll er hier erwähnt werden, denn er geht auf eine Forderung der LDI NRW in der Schrift Pandemie und Schule zurück. Wenn eine Verpflichtung zur Nutzung besteht, muss zu Schutz aller Beteiligten “gewährleistet sein, dass alle Betroffenen die digitalen Module nur im zulässigen Umfang nutzen können. Dieses wird durch technische und organisatorische Maßnahmen geregelt, etwa entsprechende Voreinstellungen in der Plattform und gegebenenfalls Nutzungs- bzw. Dienstvereinbarungen.” Dieses ist erforderlich, um beispielsweise Cyberbullying oder unbefugte Mitschnitte von Videokonferenzen zu verhindern und gegebenenfalls Maßnahmen ergreifen zu können, sollte es zu unzulässigen Nutzungen kommen.

Grenzen der Verpflichtung

Auch wenn durch die Änderungen im Schulgesetz NRW die rechtlichen Grundlagen für eine verpflichtende Nutzung von digitalen Plattformen und die dafür erforderliche Verarbeitung von personenbezogenen Daten geschaffen worden sind und sich dadurch für Schulen neue Perspektiven die Gestaltung von Unterricht wie auch die Abbildung von Verwaltungstätigkeiten eröffnen, so sind diesen neuen Möglichkeiten Grenzen gesetzt. Einige davon sind durch die neuen Regelungen selbst bedingt, andere hängen mit externen Faktoren zusammen, die in Zukunft wegfallen könnten.

Nicht für Eltern

Eine Grenze beschreibt § 120 Abs. 5 Satz 2 selbst, indem die Verpflichtung zur Nutzung nur für Schülerinnen und Schüler sowie Lehrkräfte vorgegeben wird, nicht jedoch für Eltern. Bezüglich der Eltern heißt dieses, Schulen können deren Daten bei der Nutzung von digitalen Lehr- und Lernsystemen sowie Arbeits- und Kommunikationsplattformen einschließlich Videokonferenz Plattformen ohne Einwilligung nutzen, die Eltern aber nicht zur Nutzung verpflichten. Damit können Schulen in infrage kommenden Plattformen beispielsweise Konten für die Eltern anlegen und den Eltern eine Nutzung anbieten. Diese sind jedoch nicht verpflichtet, diese Plattformen auch zu nutzen. In einem solchen Fall müssten sie aber mit Anlegen eines Kontos immer auch über die Datenverarbeitung gem. Art. 13 DS-GVO informiert werden.

Nutzung im Sinne von § 8 Satz 2

Eine Verpflichtung zur Nutzung eines digitalen Lehr- und Lernsystems oder einer Arbeits- und Kommunikationsplattform einschließlich Videokonferenz Plattform setzt voraus, dass die Nutzung im Sinne von § 8 Satz 2 erfolgt, also zur Erfüllung des Erziehungs- und Bildungsauftrags. Mit Bezug auf den Einsatz von Videokonferenz Plattformen heißt es hierzu im Gesetzesentwurf: “Zulässig ist der Einsatz von Videokonferenzsystemen nur, wenn dies zur Erfüllung des Bildungsauftrags erforderlich ist. Die Erforderlichkeit liegt vor, wenn dies zur Sicherung des konkreten Unterrichtsgeschehens oder aus anderen pädagogisch-didaktischen Gründen gegeben ist.” Für eine über die zur Erfüllung des Erziehungs- und Bildungsauftrags hinausgehende Nutzung sind Schüler wie Lehrkräfte nicht verpflichtet.

Sächliche Voraussetzungen sind gegegeben

Schülerinnen und Schüler können zu einer Nutzung von Lehr- und Lernsystemen sowie Arbeits- und Kommunikationsplattformen, die von der Schule zur Erfüllung ihres Bildungs- und Erziehungsauftrags eingesetzt werden, nur dann verpflichtet werden, wenn sie auch die Möglichkeit dazu haben. Stehen den Schülerinnen und Schülern ausreichend viele schulische Geräte mit dienstlich zugelassenen Anwendungen zur Verfügung, ist eine verpflichtende Nutzung möglich. Ist dieses nicht der Fall und Schülerinnen und Schüler müssen private Endgeräte nutzen, so kann dieses nur auf freiwilliger Basis erfolgen. Das MSB stellt im Gesetzesentwurf unter “zu Buchstabe b” ausdrücklich klar: “Eltern bzw. Schülerinnen und Schüler sind schulrechtlich nicht verpflichtet, ein digitales Endgerät für den Unterricht anzuschaffen oder einzusetzen.” Gleiches gilt auch für Lehrkräfte. Auch sie sind nicht zur Nutzung von privaten Endgeräten verpflichtet. Eine verpflichtende Nutzung setzt entsprechend bei Lehrkräften ein Dienstgerät mit dienstlich zugelassenen Anwendungen voraus.

Keine Einwilligung oder Freiwilligkeit vorgeschrieben

Eine verpflichtende Nutzung ist nicht möglich, wenn eine Einwilligung in die Datenverarbeitung bei der Nutzung einer Plattform zwingend vorgeschrieben ist. Dieses ist bei den Produkten der Logineo NRW Familie jedoch der Fall. Es kommt hinzu, dass die Freiwilligkeit der Nutzung auch in einer Dienstvereinbarung mit den Hauptpersonalräten (Stand 21.10.2020) vereinbart wurde10Hinweis: Es gibt genau genommen zwei Dienstvereinbarungen, da die Hauptpersonalräte sich der Dienstvereinbarung der anderen Schulformen nicht anschließen wollten.: “Die Nutzung von LOGINEO NRW ist freiwillig und setzt eine Einwilligungserklärung der jeweiligen Nutzerin oder des jeweiligen Nutzers bzw. deren oder dessen gesetzlicher Vertretung voraus.” In der Logineo NRW Rahmendienstnutzungsordnung mit Datum vom 28.01.2021 heißt es unter Gegenstand und Geltungsbereich “Die Nutzung von LOGINEO NRW ist freiwillig. Die Einwilligung kann im Rahmen der Aktivierung des individuellen Nutzeraccounts bei Erstanmeldung am System erteilt werden.” und unter 6. Nutzung des LOGINEO NRW Messengers und des VideokonferenztoolsDie anlassbezogene Nutzung des im LOGINEO NRW Messengers enthaltenen Videokonferenztools ist freiwillig. Es obliegt den einzelnen Nutzerinnen und Nutzern sich an einer Videokonferenz zu beteiligen. Insbesondere das Einschalten der Kamerafunktion ist nicht verpflichtend.”

Im Fall von Logineo NRW ist eine verpflichtende Nutzung von daher solange ausgeschlossen, wie die Dienstvereinbarungen wie auch die zugehörige Rahmendienstnutzungsordnungen in der aktuellen Form gelten.

Es ist auch nicht rechtmäßig, wie aus zumindest einer Bezirksregierung im Verlauf der Pandemie zu hören war, Lehrkräfte zur Einwilligung dienstlich anzuweisen, um sie damit zur Nutzung einer Videokonferenz Plattform zur Erteilung von Unterricht zu verpflichten. Eine Einwilligung setzt immer die Freiwilligkeit voraus. Ohne ist sie nicht rechtswirksam.

Im Sinne des SchulG NRW und DS-GVO genutzte Plattform

Die LDI NRW hat sich in der Schrift Pandemie und Schule (Stand 12.05.2021) auch zur verpflichtenden Nutzung von schulischen Plattformen auf der Grundlage der bis dahin bestehenden Regelungen des SchulG NRW11dort bezeichnet als “dieser Ansatz” geäußert. “Dabei ist zum einen zu beachten, dass dieser Ansatz nur zum Tragen kommen kann, soweit die Verarbeitung der hierfür erforderlichen Daten entsprechend den gesetzlichen Vorschriften im Verantwortungsbereich der Schule erfolgt, d.h. sie selbst die Daten verarbeitet oder durch Regelungen in einem Auftragsverarbeitungsvertrag sichergestellt ist, dass sie „Herrin der Daten“ ist.” In Frage kommen damit nur Plattformen im Sinne von § 8 Abs. 2, welche die Schule entweder selbst betreibt, oder welche sie durch den Schulträger oder einen Dienstleister auf der Grundlage eines Vertrags zur Auftragsverarbeitung gem. Art. 28 DS-GVO bereitstellen lässt. Außerdem sind, wie die LDI NRW beschreibt, weitere Anforderungen der DS-GVO zu erfüllen: “Gerade wenn eine Nutzung jedoch verpflichtend erfolgen soll, muss gewährleistet sein, dass die digitalen Module selbst den datenschutzrechtlichen Anforderungen insbesondere aus Art. 5, 24, 25 und 32 DS-GVO genügen  ….

Fazit

Eine verpflichtende Nutzung von digitalen Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen ist nur möglich, wenn die Schule diese

  • zur Erfüllung ihres Bildungs- und Erziehungsauftrags nutzt, und
  • allen Schülerinnen und Schülern der Lerngruppe ein von der Schule bereitgestelltes digitales Endgerät einschließlich der erforderlichen Anwendungen zur Verfügung steht, und
  • es sich um eine Plattform handelt, die nach Februar 2022 auf der Grundlage von § 8 Satz 2 SchulG NRW eingeführt wurde, oder deren Einführung vor Februar 2022 im Sinne von § 8 Satz 2 erfolgte, und
  • die Plattform die Vorgaben des SchulG NRW und der DS-GVO erfüllt, und
  • die Plattform keine Einwilligung oder Freiwilligkeit der Nutzung vorschreibt.

Über die eingesetzten digitalen Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen entscheidet die Schule. Unter welchen Voraussetzungen die Systeme zu nutzen sind, regeln die Ausbildungs- und Prüfungsordnungen.

Schulen dürfen die personenbezogenen Daten von Schülern und Lehrkräften bei der Nutzung digitalen Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen auf der Grundlage des SchulG NRW verarbeiten, wodurch die Erfordernis zu einer Einwilligung entfällt. Die Verpflichtung Betroffene über die Verarbeitung von personenbezogenen Daten gem. Art. 13 DS-GVO zu informieren besteht allerdings weiterhin.

Auch wenn digitale Lehr- und Lernsysteme und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen ohne Verpflichtung genutzt werden, etwa weil Schülerinnen und Schüler private Endgeräte auf freiwilliger Basis nutzen, bedarf es dazu keiner Einwilligung, da auch diese Verarbeitung von personenbezogenen Daten durch die neuen Regelungen abgedeckt sind.

Geht die Nutzung digitaler Lehr- und Lernsysteme und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsysteme über die Erfüllung des Bildungs- und Erziehungsauftrages hinaus, so setzt die dafür erforderliche Verarbeitung von personenbezogenen Daten eine Einwilligung der Betroffenen voraus.

Und außerdem

Mit den Neuerungen in den §§ 120 und 121 besteht nun die Möglichkeit, die personenbezogenen Daten von Schülern und Lehrkräften auch beim Einsatz von Videokonferenzsystemen zu verarbeiten. Die Aufzeichnung von Videokonferenzen ist auf dieser Rechtsgrundlage jedoch nicht möglich. Hier gelten weiterhin § 120 Abs. 6 bzw. § 121 Abs. 1 Satz 3, wonach “Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen […] der Einwilligung der betroffenen Personen.” bedürfen.

Fragen und Antworten zur Umsetzung der neuen Regelungen

Was die neuen Regelungen für die Praxis bedeuten, wird in den folgenden FAQ näher betrachtet.

FAQ – Einsatz von digitalen Plattformen ab März 2022

Stand 03/2022

Thema Videokonferenzen

Lesezeit: < 1 Minute

Bisher waren hier viele Beiträge aufgeführt, welche sich mit datenschutzrechtlichen Fragen zur Nutzung von Videokonferenz Plattformen zur Erteilung von Distanzunterricht, zur Teilnahme von Schülerinnen und Schülern am Unterricht von zu Hause aus und von Notenkonferenzen via Videokonferenz Plattformen und ähnlich befassen. Sie haben sich mit den durch das 16. Schulrechtsänderungsgesetz einführten neuen Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten beim Einsatz von Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen weitestgehend überholt und wurden deshalb aus der Seite entfernt.

Im folgenden Beitrag werden diese neuen Möglichkeiten, welche sich für dein Einsatz von Videokonferenz Plattformen zur Erfüllung des Bildungs- und Erziehungsauftrags für Schulen in NRW seit Februar 2022 ergeben, ausführlich erläutert und auch die Grenzen aufgezeigt.

16. Schulrechtsänderungsgesetz und Datenschutz 🔗

Ältere Beiträge, die aber noch Relevanz haben.

⇨ Videokonferenzen – eine Plattform auswählen 🔗
Hier geht es konkret um die Auswahl eines geeigneten Videokonferenz Tools und welche Kriterien man dabei im Auge behalten sollte. Dieser Beitrag ist weiterhin aktuell.

Videokonferenz Plattformen in Schule nutzen 🔗
Es geht hier um grundsätzliche Fragen des Einsatzes von Videokonferenz Tools in Schule und Fragen, die eine Schule sich vor dem Einsatz stellen sollte, mit Handlungsempfehlungen.

 

Stand 03/2022

Eltern zu einer Besprechung per Videokonferenz einladen

Lesezeit: 2 Minuten

In Zeiten von Corona möchten viele Schulen gerne Elterngespräche in Form von Videokonferenzen anbieten. Es geht dabei sowohl um Elterngespräche in Format 1 zu 1 wie auch Informationsabende, bei denen Eltern über die Arbeit der Schule informiert werden sollen. Auch hierbei ist das Thema Datenschutz zu beachten. Eltern müssen über die zur Teilnahme an einer Videokonferenz erforderliche Datenverarbeitung gemäß Art. 13 DS-GVO informiert werden und dann eine Einwilligung erteilen. Das ist auch der Fall, wenn sie zur Teilnahme an einer Videokonferenz ein bestehendes schulisches Konto ihres Kindes nutzen, da die Einwilligung in die Verarbeitung von personenbezogenen Daten bei der Nutzung dieses Kontos das Kind betraf, nicht aber die Eltern selbst.

Da es sich bei den Teilnehmern um Erwachsene handelt und die Videokonferenzen nur einzelne oder gelegentliche Veranstaltungen sind, kann die Einwilligung durch die Eltern hier auch durch sogenanntes konkludentes Handeln1“Im Zivilrecht spricht man von einer konkludenten Willenserklärung, wenn sie ohne ausdrückliche Erklärung durch schlüssiges Verhalten abgegeben wird. D.h. die Willenserklärung wird aus den Handlungen des Erklärenden abgeleitet.” Quelle Wiktionary gegeben werden. Die Eltern willigen in die Datenverarbeitung ein, indem sie an der Videokonferenz teilnehmen. Schalten sie dazu beispielsweise die Kamera ein, willigen sie in die Verarbeitung des Bildsignals ein.

Praktische Umsetzung

Die Schule übermittelt den Eltern eine Einladung, in welcher die Informationen zur Datenverarbeitung gegeben werden wie auch die Einwilligungserklärung, letztere jedoch ohne Unterschriftenfeld. Wichtig wie immer bei der Einwilligung ist das Angebot einer Alternative für Eltern, die nicht an einer Videokonferenz teilnehmen möchten.

Beispiel Elterngespräch
Beispiel Informationen über die Schule
Beispiel Elterngespräch

Die Vorlage geht davon aus, dass die Eltern den Zugang des Kindes zu Logineo NRW Messenger für die Videokonferenz mit den Lehrkräften der Schule nutzen.

Hinweis

Bitte achten Sie darauf, dass für Videokonferenzen, in welchen es um vertrauliche oder sensible Inhalte gehen soll, sichere und vertrauenswürdige Anbieter genutzt werden. Ein Vertrag zur Auftragsverarbeitung zwischen Schule und Anbieter sollte vorliegen.

03/2021

Microsoft Teams – Einwilligung

Lesezeit: < 1 Minute

Auf Nachfrage gibt es jetzt auch eine Vorlage für Informationen zur Datenverarbeitung gem. Art. 13 DS-GVO und eine Einwilligung in die Datenverarbeitung zur Nutzung von Microsoft Teams. Die Vorlage ist ausgerichtet auf Schulen, die kein Office 365/ Microsoft 365 nutzen, und berücksichtigt deshalb auch die Erstellung eines Nutzerkontos. Für Schulen, die bereits Office 365/ Microsoft 365 nutzen, kann die Vorlage auch auf die Nutzung der Kommunikationstools, Sprachnachricht, Audi- Videokonferenz und Chat reduziert werden.

Schulen, die Teams mit ihren Schülern ohne ein eigenes Nutzerkonto nutzen möchten, brauchen eine andere Einwilligung, da hierbei deutlich weniger personenbezogene und -beziehbare Daten verarbeitet werden.

 

Bitte denken Sie daran, auch eine Nutzungsvereinbarung zu Teams zu erstellen, denn nur wenn Regeln vereinbart werden, kann man erwarten, dass Nutzer sich daran halten. Eine Vorlage speziell für Teams findet sich bei der Stadt Nürnberg. Die Nutzungsvereinbarung ist ein essentieller Bestandteil der organisatorischen Maßnahmen zum Schutz und zur Sicherheit der personenbezogenen Daten der Nutzer und ergänzt die technischen Maßnahmen. Zu diesen gehören neben einem Rechte- und Rollenkonzept auch sichere Voreinstellungen in MS Teams.

Bitte beachten Sie, dass durch das EU-GH Urteil vom 16.07.2020, der EU-US Privacy Shield für ungültig erklärt wurde. Transfers von personenbezogenen Daten in die USA, wie sie auch bei einer Nutzung von MS Teams möglich sind, können damit nicht mehr auf der Grundlage des EU-US Privacy Shield erfolgen.1Microsoft stützt diese Transfers jetzt auf die Standard Vertragsklauseln. Ob die Aufsichtsbehörden das als datenschutzkonform einschätzen, wird man sehen. Die Informationen zur Datenverarbeitung, die zur Einwilligung gehören, berücksichtigen dieses in der aktualisierten Version. Bitte lesen Sie sich die Informationen in den Vorlagen genau durch.
Ob die Aufsichtsbehörden dieses Vorgehen so als einen gangbaren Weg akzeptieren, bleibt vorerst abzuwarten.

Stand 09/2020

Einwilligung – Vorlagen für BigBlueButton

Lesezeit: < 1 Minute

Wenn eine Schule eine Videokonferenz Plattform betreibt oder mit einem Vertrag zur Auftragsverarbeitung durch einen Dienstleister betreiben lässt, fallen bei der Nutzung personenbezogenen Daten der Videokonferenzteilnehmer an. Dieses ist nur mit einer Information über die Datenverarbeitung nach Art. 12 DS-GVO möglich und einer Einwilligung, die gegenüber der Schulleitung abgegeben wird.

Diese Vorlage ist für Schüler gedacht, die ohne ein eigenes Nutzerkonto an Videokonferenzen der Schule teilnehmen.

Diese Vorlage ist für Lehrkräfte gedacht, die gegebenenfalls auch ein Nutzerkonto erhalten, um Videokonferenzen leiten zu können.

Beide Vorlagen lassen sich leicht auch auf andere Plattformen anpassen. Dabei muss nur darauf geachtet werden, dass bei den Informationen zur Datenverarbeitung alle funktionsbedingten Datenverarbeitungen mit berücksichtigt werden. Beispiel: die Plattform erlaubt Umfragen und diese werden genutzt.

Sollen Videokonferenzen mit Eltern durchgeführt werden, empfiehlt es sich, aus der Vorlage für Schüler eine entsprechende Version zu erstellen.

Bitte achten Sie auch darauf, die Nutzung Ihrer Videokonferenz Plattform durch mit den Teilnehmern und Gastgebern vereinbarte Nutzungsregeln abzusichern.

Wichtig! Die Vorlagen gehen davon aus,

  • dass die von der Schule genutzte BigBlueButton Instanz so konfiguriert betrieben wird, dass nur die personenbezogenen Daten verarbeitet werden, die zum Betrieb tatsächlich erforderlich sind, und
  • die Nutzung per Voreinstellungen auf größtmögliche Sicherheit ausgelegt ist.1Einige Hinweise dazu gibt es unter BigBlueButton – Datenschutz Check

Weitere Informationen zu BigBlueButton und Videokonferenzen in Schule

Videokonferenzen – eine Plattform auswählen

Lesezeit: 6 Minuten

Auch wenn die Zeiten von Schulschließungen vorerst vorüber sind, so gibt es doch immer wieder die Notwendigkeit, Unterricht auf Distanz durchzuführen. Verschiedene Bundesländer haben mittlerweile begonnen, ihren Schulen bereits auf Landesebene Videokonferenz Lösungen anbieten. Dort, wo das (noch) nicht der Fall ist oder die Landeslösung aus diversen Gründen nicht in Frage kommt, müssen Schulen sich entscheiden, welche Plattform man dauerhaft nutzen kann und zwar so, dass die jeweiligen schul- und datenschutzrechtlichen Vorgaben des Bundeslandes eingehalten und korrekt umgesetzt werden können. Bei der Auswahl  einer Videokonferenz Plattform hängt viel davon ab, welche Möglichkeiten eine Schule in Hinsicht auf die Gegebenheiten vor Ort hat. Das meint sowohl die kommunalen Strukturen wie auch die finanziellen Mittel. Im Folgenden geht es um Alternativen, die auf Videokonferenz Plattformen setzen, welche als Plattform bereits durch Transparenz sehr datenschutzfreundlich genutzt werden können – die beiden Open Source Plattformen BigBlueButton und Jitsi.1Es wird darüber hinaus noch eine Alternative benannt, welche keine der beiden Plattformen nutzt, aber durch andere Merkmale sehr datenschutzfreundlich ist.

  1. Wenn der Schulträger, die Stadt oder der Kreis bereit sind, eine Instanz für eine Schule oder die Schulen in der eigenen Zuständigkeit einzurichten, dann empfehlen sich die beiden Open Source Plattformen Jitsi und BigBlueButton. Beide sind kostenlos erhältlich. Es braucht lediglich Server, auf denen die Videokonferenz Plattform betrieben wird. Beide Plattformen sind einfach zu nutzen, mit der richtigen Konfiguration sehr sicher und arbeiten datensparsam. Auch beim Zugriff von zu Hause aus braucht man sich keine Gedanken machen, dass hier irgendwelche Daten abgegriffen werden. Jitsi kommt komplett ohne Nutzerkonten aus, während bei BigBlueButton für die Lehrkräfte Nutzerkonten eingerichtet werden. Beide Plattformen lassen sich komplett über Browser nutzen. Im Internet findet man zu beiden Plattformen viele gute Anleitungen, wie man sie richtig und sicher nutzt.
  2. Wenn man von offizieller Seite nicht bereit ist, selbst eine Videokonferenz Plattform einzurichten und zu betreiben, kann man auf die Dienste von Anbietern zurückgreifen. BigBlueButton kann man auch bei verschiedenen Anbietern als Paket erhalten. Man sucht da einfach nach BigBlueButton + Hosting und findet dann entsprechend Anbieter. Das in der Regel separat angebotene Paket Greenlight ist ein Modul, mit welchem Nutzer Räume einrichten und verwalten können. Vergleichbar gibt es auch Anbieter, die Jitsi Server bereitstellen. Bei Videokonferenzen, das muss man bei der Auswahl eines Angebotes beachten, sind die Server ziemlich gefordert. Will man viele Personen zugleich in einer Videokonferenz haben oder in mehreren parallelen Videokonferenzen, braucht es Serverleistung. Man kann sich aber behelfen, um die Kosten zu reduzieren, wenn man a) die Teilnehmer (Schüler) nur dann per Video zuschaltet, wenn dieses auch Sinn macht, und b) einen Zeitplan erstellt, welche Lerngruppe die Videokonferenz Plattform an welchem Tag zu  welcher Zeit nutzen darf. So verteilt sich die Last und man benötigt weniger Serverleistung.
  3. Alternativ zur zweiten Möglichkeit kann man sich nach einer Plattform umschauen, welche ein Videokonferenz Modul integriert hat oder als zusätzliches Modul anbietet. Das wären z.B. der Schulserver iServ (BigBlueButton), die Schul-Kommunikations App DieSchulApp (BigBlueButton) und die noch recht neue auf NextCloud aufbauende Schul Cloud Plattform Vicole (BigBlueButton). Die Schulnachrichten Plattform SchoolFox aus Österreich integriert eine andere Videokonferenz Plattform (Jitsi). Auch Moodle Anbieter können unter Umständen eine BigBlueButton oder Jitsi Instanz integrieren, da das LMS die technischen Möglichkeiten dafür mitbringt. Teckids e.V. bietet im Rahmen seines schul-frei-Projektes Schulen gegen Aufwandsentschädigung (kostendeckend) den Betrieb eigener Plattformen (BigBlueButton, Jitsi, wahlweise mit Moodle) an2Anfragen dazu bitte an schulsupport@teckids.org. BigBlueButton lässt sich außerdem in eine datenschutzfreundliche NextCloud3Es gibt über 200 NextCloud Anbieter, siehe z.B. https://nextcloud.com/de/partners/. EduDocs ist ein Beispiel für einen Anbieter. über die NextCloud Talk App integrieren.
  4. Eine weitere Alternative wäre, man kennt eine befreundete Firma, einen Verein oder eine Universität, die einen BigBlueButton oder Jitsi Server betreiben und der Schule eine Nutzung ermöglichen. Kennt man den Anbieter und kann diesem vertrauen, bestehen keine Risiken für Schüler und Lehrkräfte. Für Schulen ist es aus rechtlicher Sicht am besten, wenn sie vom Anbieter eine Vertrag zur Auftragsverarbeitung erhalten. Das wird bei diesen als Freundschaftsdienst bereitgestellten Videokonferenz Servern aber meist nicht möglich sein, da die Anbieter sich die damit einhergehenden rechtlichen Verpflichtungen nicht auferlegen wollen, wenn sie es schon für umsonst machen. Eine Ausnahme bildet hier Teckids e.V., die auch bei Nutzung ihrer offenen Instanzen von BigBlueButton einen Vertrag zur Auftragsverarbeitung, anbieten.4Anfragen dazu bitte an schulsupport@teckids.org. Senfcall ist das BigBlueButton Projekt einer Guppe von Studierenden in Darmstadt und Karlsruhe, welches offen für jedermann nutzbar ist.5Die Datenschutzerklärung ist sehr gut gemacht und gibt ausführlichere Informationen über die Datenverarbeitung beim DS-GVO konformen auf Datensparsamkeit ausgelegten Betrieb von BigBlueButton Ohne Vertrag zur Auftragsverarbeitung setzt die Einwilligung der Betroffenen voraus, dass sie auch über den Umstand informiert werden, dass die Nutzung durch die Schule nur auf Vertrauen baut, aber nicht durch einen Vertrag zur Auftragsverarbeitung rechtlich abgesichert ist. Manchen Schulen wird beides zu heikel sein, doch wenn der großzügige Anbieter vor Ort einen Namen hat und vielen Eltern ein Begriff ist und diese dem Angebot Vertrauen schenken, spricht nichts gegen eine Nutzung auf der Grundlage einer informierten Einwilligung.
  5. Die vorletzte Alternative wären die vielen offen zugänglichen Jitsi Server. Ähnlich wie bei Alternative 4 muss man hier schauen, wem man vertrauen kann. Das dürfte in der Regel jedoch vielfach nicht einfach sein. Auch wenn durch die meisten dieser Server (siehe https://github.com/jitsi/jitsi-meet/wiki/Jitsi-Meet-Instances) von Personen, Vereinen oder Institutionen betrieben werden, die keinerlei Interesse haben an den personenbezogenen Daten der Nutzer ihres Angebotes, geht man hier bei der Nutzung ein größeres Risiko ein als bei Alternative 4.
  6. Einige Schulen haben die technischen Möglichkeiten und im Kollegium die Kompetenz und Bereitschaft, einen eigenen Videokonferenz Server aufzusetzen und zu betreiben. Das geht durchaus, macht meist jedoch nur Sinn, wenn es an der Schule nicht um große Nutzerzahlen geht. Eine Schule mit 1.200 Schülerinnen und Schülern und einem Kollegium von über 100 Personen bräuchte mehr als einen einzelnen Server, um Videokonferenzen für möglichst viele Nutzer zeitgleich anbieten zu können. Bei all dem wäre extrem wichtig, dass die Kompetenz im Kollegium nicht nur ausreicht, eine BigBlueButton oder Jitsi Instanz aufzusetzen, sondern den Server selbst auch noch sicher zu konfigurieren. Schlecht konfigurierte Videokonferenz Server stellen ein Risiko für die Nutzer dar.

Die sechs aufgeführten Alternativen sind eingeordnet von beste Lösungen zu weniger günstigen Lösungen. Die Alternativen 1, 2 und 3 sind etwa gleichwertig. Alternative 4 ist eher eine Notlösung und 5 eine Not-Notlösung. Alternative 6 kann gleichwertig zu 1, 2 und 3 sein. Zu empfehlen ist diese Lösung Schulen in der Regel nicht, da Schulen hiermit eine Menge Verantwortung auf sich nehmen, und es auch die Ressource Mensch im Kollegium beansprucht. Es ist in der Regel nicht Aufgabe von Lehrkräften, Schul IT zu betreiben.

Ganz wichtig sind bei der Nutzung einer Videokonferenz Plattform die Themen Vertrag zur Auftragsverarbeitung, Information und je nach Situation und Schulgesetz des Bundeslandes auch die Einwilligung.

  • Vertrag zur Auftragsverarbeitung
    • Bei 1, 2 und 3 gibt es den Vertrag zur Auftragsverarbeitung ohne Probleme. Die Schule ist rechtlich abgesichert.
    • Bei 4 könnte man eventuell mit Glück einen Vertrag zur Auftragsverarbeitung bekommen. Meist wird das nicht der Fall sein. Aus rechtlicher Sicht ist das für Schulen ungünstig.
    • Bei 5 ist die Chance einen Vertrag zur Auftragsverarbeitung zu erhalten nahe Null.
    • Bei 6 betreibt die Schule den Server selbst und ein Vertrag zur Auftragsverarbeitung ist nicht erforderlich. Der schulische Admin sollte aber auf jeden Fall eine Vertraulichkeitsvereinbarung unterzeichnen.
  • Information
    • Die Nutzung einer Videokonferenz Plattform geht immer auch mit der Verarbeitung von personenbezogenen Daten einher. Das macht es erforderlich, vor der Nutzung die Betroffenen (Schüler, Lehrkräfte, Eltern) über die erforderliche Datenverarbeitung transparent zu informieren. Diese Informationspflicht besteht auch, wenn die Nutzung ohne Einholen einer Einwilligung möglich ist.
      • Wer ist verantwortlich?
        • Schulleitung
      • An wen kann man sich bei Fragen zum Datenschutz wenden?
        • Datenschutzbeauftragter
      • Auf welcher Rechtsgrundlage werden die personenbezogenen Daten verarbeitet?
        • Schulgesetz oder Einwilligung
      • Zu welchen Zwecken sollen die personenbezogenen Daten verarbeitet werden?
        • Durchführung von Online Unterricht, Zuschaltung von erkrankten Schüler:innen zum Unterricht, Partnerschulprojekt, individuelle Beratung, Online Elternsprechtag, Dienstbesprechung, Fachkonferenz, Lehrerkonferenz, …
      • Um welche personenbezogenen Daten geht es überhaupt?
        • Bild- und Tonaufnahmen der Betroffenen und ihrer Umgebung, Chatbeiträge, geteilte Dateien, (bei Nutzern mit Nutzerkonten, auch Anmeldedaten, Rollen und Rechte, Nutzungsdaten, technische Log-Dateien), Beiträge in einem Online-Whiteboard oder Etherpad der Videokonferenz Platform, …
      • Wer ist von der Verarbeitung der personenbezogenen Daten betroffen?
        • Schüler, Lehrkräfte, Eltern, Schulsozialpädagogen, …
      • Wo werden die Daten verarbeitet? Wer hat Zugriff darauf?
        • beim Schulträger/ bei einem IT Dienstleister/ …
        • Zugriff haben Lehrkräfte, Mitschüler; Schulträger/ IT Dienstleister nur auf Weisung der Schulleitung
      • Wie lange werden die personenbezogenen Daten gespeichert?
        • keine dauerhafte Speicherung von Bild- und Tonaufnahmen
        • Chat Protokolle und geteilte Dateien werden nach Ende der Videokonferenz gelöscht, erarbeitete Dokumente (Whiteboard, Etherpad) werden an alle Mitarbeiter gegeben, …
        • [Nutzerkonten und damit zusammenhängende Daten werden nach Ende der Schulzugehörigkeit oder im Falle der Verarbeitung auf Grundlage einer Einwilligung bei Widerspruch oder Widerruf der Einwilligung gelöscht]
      • Erfolgt eine Übermittlung von personenbezogenen Daten an Dritte?
        • Nein, bei Nutzung einer Videokonferenz Plattform mit Vertrag zur Auftragsverarbeitung
        • Ja, bei Nutzung einer öffentlich zugänglichen oder als Freundschaftsdienst zur Verfügung gestellten Videokonferenz Plattform ohne Vertrag zur Auftragsverarbeitung
      • Welches sind die Rechte der Betroffenen?
        • Bei Einwilligung Widerruf der Einwilligung, Widerspruch in die Verarbeitung, Löschung und allgemein Berichtigung, Auskunft, Datenübertragbarkeit und Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde.
  • Einwilligung
    • In NRW gibt es seit dem 16. Schulrechtsänderungsgesetz von Februar 2022 die Möglichkeit, Videokonferenz Plattformen zur Erfüllung des Bildungs- und Erziehungsauftrags einzusetzen und entsprechend die personenbezogenen Daten von Schülern und Lehrkräften dazu zu verarbeiten. Sofern das Schulgesetz diese Möglichkeit nicht vorsieht oder die für eine verpflichtende Nutzung außerdem zu erfüllenden Bedingungen nicht erfüllt sind, ist die Einwilligung der Betroffenen erforderlich.
    • Diese muss gegenüber der Schulleitung abgegeben werden.
    • Sie muss außerdem auf Freiwilligkeit gründen. Das heißt, es dürfen Schülern, Eltern und Lehrkräften keine Nachteile entstehen, wenn sie eine Einwilligung verweigern. Das setzt Alternativen voraus, die zumindest annähernd gleichwertig sind. Alternativen könnten sein,
      • die Teilnahme ohne Bild,
      • eine Teilnahme über Einwahl per Telefon (wenn die Plattform dieses zulässt)
      • Kontaktaufnahme der Lehrkraft zu Schülern/ Eltern per Telefon
  • Nutzungsvereinbarung
    • Da es heute technisch ist leicht möglich ist, Screenshots und Mitschnitte des Geschehens auf einem Bildschirm zu machen, sollte über eine Nutzungsvereinbarung geregelt werden, dass die Anfertigung derselben nicht zulässig ist und der Verstoß gegen diese Vorgabe Konsequenzen nach sich ziehen wird.
    • Sinnvoll ist auch eine Verpflichtung der Nutzer, dass während einer Videokonferenz keine anderen Personen im Raum zugegen sind, welche der Videokonferenz zusehen oder mithören. So wie das im normalen Unterricht nicht zulässig ist, geht das auch bei einer Videokonferenz nur mit Genehmigung.
    • Geregelt werden sollten zudem das Verhalten während einer Videokonferenz und welche Regeln einzuhalten sind.

Vorlagen für Einwilligungen für Schüler und Lehrkräfte für BigBlueButton gibt es unter Einwilligung – Vorlagen für BigBlueButton

Weitere Informationen zum Thema Videokonferenz Plattformen in Schule finden sich unter Videokonferenzplattformen in Schule nutzen. Nähere Informationen zu den beiden Open Source Videokonferenz Plattformen finden sich als Datenschutz Check unter BigBlueButton und Jitsi.

Stand 03/2022

BigBlueButton – Videokonferenzen

Lesezeit: 6 Minuten

Über BigBlueButton wird spätestens seit der Schulschließung durch Corona viel geredet. Die Open Source Videokonferenz Plattform weckt neben Jitsi1siehe dazu den Datenschutz Check – Jitsi – Videokonferenzen als eine der zweifelsfrei datenschutzfreundlichen Alternativen das Interesse vieler Schulen. BigBlueButton ist in seinen Funktionen einem Zoom näher als Jitsi. Wie bei jeder Videoplattform bergen mehr Funktionen aber auch mehr potentielle Risiken. Bei BigBlueButton können über eine sachkundige, auf Sicherheit und Datensparsamkeit ausgelegt Konfiguration viele mögliche Probleme von vornherein vermieden werden.

Hinter BigBlueButton steht eine kanadische Firma gleichen Namens, die ihre Plattform selbst als eine Internet-Konferenz-Plattform für Online Lernen 2“web conferencing system for online learning” beschreibt. Der Code für die Videokonferenz Plattform ist offen verfügbar auf Github.

Anders als bei Jitsi gibt es so gut wie keine offen zugänglichen BigBlueButton  Server. Das könnte unter anderem daran liegen, dass die Plattform auf Server-Seite sehr leistungshungrig ist, wenn eine größere Anzahl von Teilnehmern an einer Videokonferenz teilnehmen möchte. In Deutschland und Europa bieten einige Hoster BigBlueButton Pakete an. Außerdem haben einige Anbieter von Plattformen für Schulen3z.B. Vicole, iServ und Schul-Apps4z.B. DieSchulApp BigBlueButton in ihr Produkt integriert. NextCloud bietet über ein App eine Möglichkeit, BigBlueButton direkt in NextCloud Talk zu integrieren. BigBlueButton kann außerdem integriert werden in Drupal, Moodle und WordPress.

Für Schulen, die keine der genannten Plattformen oder Apps nutzen und BigBlueButton zubuchen können, besteht die beste Lösung darin, den Schulträger zu überzeugen, eine BigBlueButton Instanz für seine Schulen einzurichten bzw. bei einem beauftragten IT Dienstleister einrichten zu lassen. Mit dem Schulträger oder IT Dienstleister ist dann ein Vertrag zur Auftragsverarbeitung abzuschließen.

BigBlueButton setzt die Erstellung von Nutzerkonten für Lehrkräfte voraus, da es nur registrierten Nutzern möglich ist, Räume für Meetings zu eröffnen. Schüler können als Teilnehmer ohne Anmeldung einem Meeting beitreten.

BigBlueButton, Dienste Dritter und Sicherheit

Wie bei jeder im Internet gehosteten Plattform hängt die Sicherheit vom genutzten Server und der Konfiguration der Plattform selbst ab. Da BigBlueButton recht viele Funktionen hat, hängt die Sicherheit gerade im Umfeld Schule auch davon ab, welche Funktionen in welcher Form zugelassen werden. Dazu gehört beispielsweise die Deaktivierung der Funktion zur Aufzeichnung von Videokonferenzen und die Deaktivierung der Kameras aller Teilnehmer per Voreinstellung.5Sie können dann von der Lehrkraft während des Unterrichts freigegeben werden. Schüler müssen die Kamera dann auf ihrer Seite noch einmal aktivieren. BigBlueButton wird oft mit einer Greenlight Instanz zusammen betrieben. Greenlight ist eine Open Source Anwendung der gleichen Firma, die eine einfache Schnittstelle für Benutzer bietet, um Räume zu erstellen, Besprechungen zu starten und Aufzeichnungen zu verwalten. Neben dem Login über Greenlight selbst, wird aktuell SOO über Google OAuth2, Office365 OAuth2 und LDAP unterstützt. Aus Sicherheitsgründen sollte so beispielsweise die Selbstregistrierung von Nutzern deaktiviert und Lehrkräfte über den Administrator angelegt werden. Bei der Auswahl eines Servers für den Betrieb einer BigBlueButton Instanz sollten, falls die Einrichtung nicht durch den Schulträger oder beauftragten IT Dienstleister erfolgt, deutsche oder europäische Anbieter mit Serverstandorten in der EU bevorzugt werden. Es ist zum Betrieb einer BigBlueButton nicht erforderlich, zusätzliche Dienste Dritter, etwa eines Google STUN Servers, in Anspruch zu nehmen. Alle erforderlichen Komponenten können im Installationsprozess halbautomatisch aus weitere Open Source Paketen mit installiert werden. Bei der Koppelung von BigBlueButton mit Schulservern oder Schul-Apps sollte darauf geachtet werden, dass das Rechte- und Rollenkonzept, Schülern innerhalb BigBlueButton nur die Rechte gibt, die sie zur Teilnahme an einer Videokonferenz tatsächlich benötigen.

Problem – Aufzeichnung von Videokonferenzen

BigBlueButton zeichnet in Videokonferenzräumen, in denen die Aufnahmefunktion nicht deaktiviert wurde, im Hintergrund die komplette Videokonferenz in Form einer RAW Datei auf. Aus dieser wird, wenn die Aufnahmefunktion im Laufe der Videokonferenz genutzt wird, im Anschluss eine Datei erzeugt, die für Veröffentlichungen geeignet ist. Sobald die Aufnahmefunktion im Laufe einer Videokonferenz aktiviert wird, wird die RAW Datei dauerhaft gespeichert. Wird die Aufnahmefunktion nicht genutzt, bleibt die RAW Datei für zwei Wochen gespeichert und wird dann automatisch gelöscht. Es sollte aus Sicherheitsgründen in BigBlueButton oder Greenlight die Aufnahmefunktion grundsätzlich für Meeting Räume deaktiviert werden. Außerdem sollte die in den Informationen zur Datenverarbeitung bei BigBlueButton (engl. Sprache) beschriebene Möglichkeit genutzt werden, die aufgezeichnete RAW Datei, unmittelbar nach Ende der Videokonferenz automatisch zu löschen. Dazu muss die Konfiguration angepasst werden.6siehe dazu https://docs.bigbluebutton.org/admin/privacy.html#bigbluebutton-stores-full-raw-recording-data So kann zwar nicht verhindert werden, dass die RAW Datei ensteht, wenn versehentlich ein Meeting Raum erstellt wurde, bei dem die Aufnahmefunktion verfügbar ist, sie wird jedoch direkt im Anschluss an die Videokonferenz wieder gelöscht.

Grundsätzlich sollten Meeting Räume für Videokonferenzen in BigBlueButton immer mit deaktivierter Aufnahmefunktion erstellt werden, da nur so sichergestellt werden kann, dass im Hintergrund keine automatische Aufzeichnung und Speicherung durch das System erfolgt.

Problem – Aktivitätsauswertung

BigBlueButton verfügt über eine Funktion, welche es erlaubt, die Aktivität von Nutzern aufzuzeichnen. Zu den Aktivitäten gehören: Online-Zeit, Rede-Zeit, Webcam (an)- Zeit, Anzahl Nachrichten im Chat, Anzahl von Emojis, Anzahl Handaufzeigen. Diese sind dem Teinehmernamen zugeordnet und werden in einen Activity Score umgerechnet und als Ausschlag auf einer Scala angezeigt. Die Funktion kann bereits bei der Installation des Systems deaktiviert werden. Da die Verarbeitung der für diese Funktion erforderlichen personenbezogenen Daten nicht zur Erfüllung der Aufgaben der Schule erforderlich ist, sollte sie deaktiviert oder komplett aus dem System herausgenommen werden.

Rechtsgrundlage der Nutzung

Vertrag zur Auftragsverarbeitung

Die Nutzung einer BigBlueButton Instanz sollte immer mit einem Vertrag zur Auftragsverarbeitung abgesichert werden, um der Schule die für sie erforderliche Kontrolle über die Verarbeitung der personenbezogenen Daten von Schülern und Lehrkräften zu geben. Wer mit wem den Vertrag abschließt, hängt vom Setting ab.

Beispiel

Der Schulträger beauftragt einen Hoster, BigBlueButton für seine Schulen zur Verfügung zu stellen. Mehrere Schulen erhalten Nutzerkonten in der gemeinsam genutzten BigBlueButton Instanz. Die Schulen können mit dem Hoster in den seltensten Fällen selbst einen Vertrag zur Auftragsverarbeitung abschließen, da Hoster diese Verträge in der Regel nur mit dem Auftraggeber abschließen. Das ist der Schulträger. Demnach müssten die Schulen einen Vertrag zur Auftragsverarbeitung mit dem Schulträger abschließen bzw. den bereits bestehenden erweitern. In diesem Vertrag ist der Hoster dann als Unterauftragnehmer aufgeführt.7Prinzipiell wäre denkbar, dass die Schulen gemäß Art. 26 DS-GVO dem Hoster gegenüber als gemeinsam Verantwortliche auftreten. Sie würden dann entsprechend Verträge zur Auftragsverarbeitung abschließen. Im Schulgesetz NRW ist eine solche Konstellation bisher jedoch noch nicht berücksichtigt. Es steht zu vermuten, dass dieses auch auf andere Bundesländer zutrifft.

Öffentliche Instanzen

Es gibt einige wenige frei nutzbare BigBlueButton Instanzen. Eine Nutzung sollte hier mit Schülerinnen und Schülern allenfalls zu Testzwecken erfolgen. Ohne einen Vertrag zur Auftragsverarbeitung bewegt man sich bei der Nutzung dieser öffentlichen Instanzen je nach Bundesland irgendwo im einem Bereich zwischen Grauzone und Rechtsverstoß. Das gilt auch dann, wenn eine benachbarte Universität oder der Schule bekannte Firma einen kostenlosen Zugang zu einer BigBlueButton Instanz zur Verfügung stellt. Wenn so eine Angebot absolut vertrauenswürdig ist und die Instanz sicher konfiguriert betrieben wird und dadurch für Schüler und Lehrkräfte absolut keine Risiken entstehen, ändert das nichts an der Tatsache, dass die Nutzung für eine Schule ohne Vertrag zur Auftragsverarbeitung aus rechtlicher Sicht problematisch ist. Gibt’s vom Anbieter auf für umsonst einen Vertrag zur Auftragsverarbeitung, dann ist alles OK.

Zustimmung/ Einwilligung

Nutzt die Schule eine BigBlueButton Instanz, die entweder von ihr selbst betrieben ist oder abgesichert durch einen Vertrag zur Auftragsverarbeitung vom Schulträger,  einem beauftragten IT Dienstleister, einem Schulserver Anbieter oder einer Schul-App bereitgestellt wird, setzt die Teilnahme an einer Videokonferenz die informierte und freiwillige Einwilligung der Betroffenen voraus. Da für die Nutzung durch Lehrkräfte Konten erforderlich sind, müssen dort, anders als bei den Schülern, auch Daten zur Erstellung und Nutzung eines Kontos berücksichtigt werden.

Bei Nutzung einer öffentlichen BigBlueButton Instanz bliebe nur eine Nutzung mit informierter Zustimmung. Für schulische Zwecke ist diese Lösung nicht unbedingt ideal.

Vorlagen für Einwilligung und Informationen über Datenverarbeitung

Vorlagen für das Einholen einer Einwilligung bei den Nutzern einer  BigBlueButton Instanz, differenziert nach Lehrkräften (mit Nutzerkonto) und Schülern, finden sich unter – Einwilligung – Vorlagen für BigBlueButton.

Abschließende Bewertung

Diese Bewertungen gehen von der Nutzung einer BigBlueButton Instanz aus, die auf ein Maximum an Sicherheit und ein Minimum an erforderlichen Daten der Nutzer hin konfiguriert ist. Sie geht auch davon aus, dass auf dem Server, auf welchem sie betrieben wird, keine weitere Software installiert ist, die Dritten Zugriff auf und Analyse von Nutzerdaten ermöglicht.

Nutzung mit Vertrag zur Auftragsverarbeitung

Betrieben durch den Schulträger, einen IT Dienstleister oder im Rahmen eines von der Schule genutzten Schulservers oder einer Schul-App kann BigBlueButton aus Sicht des Datenschutz ohne Risiken genutzt werden, die von der Technik der Plattform selbst ausgehen.

Nutzung auf privaten Endgeräten/ von zu Hause aus

Bei einer Nutzung von BigBlueButton entstehen für Gastgeber und Teilnehmer auch bei einer Nutzung auf privaten Endgeräten und von außerhalb der Schule keine Risiken, die von der Technik selbst ausgehen.

Empfehlung

Die Nutzung von BigBlueButton kann im schulischen Kontext aus Sicht des Datenschutz nur empfohlen werden. Der Betrieb einer BigBlueButton Instanz durch Lehrkräfte in der Schule ist möglich, setzt jedoch voraus, dass diese Personen sich auskennen. Mit schlechter Konfiguration kann auch BigBlueButton ein Sicherheitsrisiko darstellen. Die Mehrheit der Schulen ist am besten beraten, wenn sie eine BigBlueButton Instanz nutzen kann, die durch den Schulträger oder einen IT Dienstleister auf der Grundlage eines Vertrag zur Auftragsverarbeitung bereitgestellt wird. Wer bereits einen Schulserver nutzt oder eine Schul-App, bei der man BigBlueButton zusätzlich buchen kann, sollte diese Möglichkeit nutzen.

Hinweise zu Optionen für eine datenschutzkonforme Konfiguration finden sich unter anderem unter Documentation for GDPR compliant setup (GitHub).

Tipps zur Nutzung

Da BigBlueButton bei vielen Bildungsinstitutionen sehr beliebt ist, findet man mit einer Internetsuche eine große Zahl aktueller Anleitungen zur Nutzung. Wie bei allen Videokonferenz Plattformen kommt es darauf an, mit welchen Einstellungen gearbeitet wird. Räume sollten mit einem Kennwort geschützt werden. Screensharing sollte deaktiviert sein, denn auch BigBlueButton-Bombing ist möglich.

Weiter lesen

BigBlueButton – Mein Favorit, eine Beitrag von Andreas Engl in seinem Blog Engelszungen, in welchem er die Möglichkeiten der Plattform beschreibt.

Stand 02/2022

Jitsi – Videokonferenzen

Lesezeit: 5 Minuten

Beschreibung

Jitsi ist eine Open Source Videokonferenz Plattform, die als sehr datenschutzfreundlich gilt. Sie kann auf einem eigenen Server betrieben werden, was jedoch nicht nur einen Server braucht, sondern auch das Wissen, wie man Jitsi sicher betreibt. Daneben gibt es die Möglichkeit, einen der vielen im Netz offen zugänglichen Jitsi Server zu nutzen. Die meisten Anbieter offener Jitsi Server stellen den Dienst frei zur Verfügung, da sie sich für Datenschutz, Bürgerrechte und das Recht auf informationelle Selbstbestimmung einsetzen. Man kann hier davon ausgehen, dass die Betreiber kein Interesse an den Daten der Benutzer haben. Von daher ist das Risiko, dass Videokonferenzen abgehört, aufgezeichnet und verbreitet werden, sehr gering. Eine hundertprozentige Sicherheit gibt es hier jedoch so wenig wie bei anderen Plattformen. Werden Links zu Video Meetings öffentlich bekannt gemacht, können sich auch bei Jitsi Dritte einklinken und stören.

Jitsi, Dienste Dritter und Sicherheit

Wie sicher und datenschutzfreundlich Jitsi Server sind, hängt von der Konfiguration ab und den genutzten Diensten Dritter. Wird die Jitsi Instanz auf einem Server von Amazon, Google, Cloudflare oder Microsoft betrieben, kommen Dritte ins Spiel, hier US Dienstleister, die je nach Serverstandort nicht nur der DS-GVO unterliegen. Gleiches gilt auf für den genutzten STUN Server. Einige der frei verfügbaren Jitsi Server nutzen Google STUN Server. Das wird aus der Sicht von Datenschützern oftmals kritisch gesehen. Als Open Source Lösung ist die Datennutzung bei Videokonferenzen transparent.

Als Plattform ist Jitisi selbst sehr datenschutzfreundlich, da Nutzer dort an Videokonferenzen teilnehmen können, ohne Spuren zu hinterlassen. Eine Registrierung ist zur Teilnahme an einer Videokonferenz nicht erforderlich. Bei den öffentlichen Jistsi Servern braucht es auch zum Starten einer Videokonferenz keine Registrierung. Jitsi speichert keine Nutzerdaten und die Videokonferenzen sind verschlüsselt. Anders als bei einigen anderen Videokonferenz Plattformen bestehen Konferenzräume nur solange sie genutzt werden. Sie werden nicht für neue Meetings gespeichert. Video, Audio und Chat werden nur für die Dauer einer Konferenz gespeichert.1Es gibt Einstellmöglichkeiten in Jitsi, die Speicherungen von Inhalten zulassen. Darüber hinaus kann auch durch die Konfiguration des Jitsi Servers eingestellt werden, wie datenschutzfreundlich Videokonferenzen durchgeführt werden. Ob die Einstellmöglichkeiten genutzt werden, hängt von der Person ab, die eine Videokonferenz startet. Mehr Informationen zum Datenschutz bei Jitsi unter https://jitsi.org/security/

Anbieter-Sammlungen

Unter den folgenden Links finden sich Sammlungen von Jitsi Servern.

Auf den Seiten der Jitsi Server findet man selten selten Angaben zu den Anbietern. Über die URL kann man jedoch meist leicht herausfinden, wer den Server betreibt. Wenn man einen Anbieter nicht kennt und man möchte den Server nutzen, muss man ihm vertrauen. Aus Sicht des Datenschutz ist das keine Ideale Grundlage für eine Nutzung, wenn Sicherheit gewünscht ist.

Empfehlen kann man auf jeden Fall aus den Listen z.B.:

https://jitsi.fem.tu-ilmenau.de

sowie von CCC und Freifunk betriebenen Server. Beispiele dafür sind “https://jitsi.hamburg.ccc.de” und “jitsi.hamburg.freifunk.net“. Erkennen kann man hier die Zugehörigkeit zu den Domains “ccc.de” oder “freifunk.net”. Bei allen anderen sollte der Betreiber recherchiert werden.

Interessant ist auch noch das Angebot sichere-videokonferenz.de, welches kostenfrei nutzbar ist und dabei sogar einen Vertrag zur Auftragsverarbeitung anbietet, der unter sichere-videokonfenerenz/datenschutz als PDF geladen werden kann.

Beispiele für kommerzielle Jitsi Anbieter für Schulen sind4Die Nennung von Anbietern ist nur beispielhaft und erfolgt ohne finanzielle Interessen.

Neu – Ende zu Ende Verschlüsselung

Jitsi bietet seit Ende des Jahres auch eine Option, Videokonferenzen Ende-zu-Ende zu verschlüsseln. Damit können die Inhalte der Videokonferenz nur noch von den Teilnehmern eingesehen werden. Ein Abhören der Videokonferenz über den Jitsi Server ist damit nicht mehr möglich.5Jitsi verschlüsselte auch in der Vergangenheit schon die Übertragung der Videokonferenzdaten, sie wurden jedoch auf dem Server vorübergehend entschlüsselt, um bestimmte Funktionalitäten bereitstellen zu können.

Es sollte dabei jedoch beachtet werden, dass Metadaten der Kommunikation nicht verschlüsselt werden und dass die Teilnahme momentan nicht mit jedem Browser oder dem App möglich ist. (Stand 2020-12-02)

F-Droid Jitsi App

Es gibt für Android Nutzer die Möglichkeit über Sideloading die F-Droid Jitsi App anstelle der aus dem Google Play Store zu installieren.

Rechtsgrundlage der Nutzung

Vertrag zur Auftragsverarbeitung

Da die meisten Anbieter offen nutzbarer Jitsi Server ihren Dienst ohne finanzielle Interessen anbieten, kann man von ihnen keinerlei vertragliche Absicherung in Form eines Vertrags zur Auftragsverarbeitung für eine Nutzung erwarten.

Wenn es um eine Nutzung für eine Videokonferenz geht, bei der sensible Inhalte besprochen und vielleicht auch gezeigt werden sollen, ist ein freier Jitsi Server in der Regel nicht geeignet, es sei denn man kennt die Betreiber persönlich und vertraut ihren Zusicherungen.6Für eine rechtssichere Nutzung stellt ein solches Vertrauensverhältnis ohne Vertrag zur Auftragsverarbeitung jedoch auch keine ausreichende Grundlage dar.

Einen Vertrag zur Auftragsverarbeitung wird man nur erhalten, wenn man Jitsi durch einen Dienstleister betreiben lässt, etwa den Schulträger, einen von diesem beauftragten IT Dienstleister oder einen selbst beauftragten Anbieter.

Einwilligung

Wird der Jitsi Server selbst betrieben oder im Auftrag, braucht es eine Einwilligung der Betroffenen. In Schule ist dabei immer die informierte Freiwilligkeit vorausgesetzt.

Bei Nutzung eines freien Jitsi Servers aus einer der Listen oben sollten Betroffene ebenfalls eine Einwilligung erteilen, auch wenn die Schule nicht Herrin der Daten ist. Für schulische Zwecke ist diese Lösung nicht unbedingt ideal.

Eine Vorlage für das Einholen einer Einwilligung für den Fall, dass man einen freien Jitsi Server nutzt, könnte aussehen wie folgt.

Eine Vorlage für die Nutzung des kostenfreien Angebotes von Meetzi. Der Anbieter Lintec GmbH stellt Jitsi kostenfrei zur Verfügung, um von der Qualität seines kostenpflichtigen Angebots zu überzeugen. Den Vertrag zur Auftragsverarbeitung gibt es jedoch verständlicherweise nur bei kostenpflichtigen Schulkonten. Will man den Anbieter trotzdem nutzen, müssen die Betroffenen entsprechend informiert werden.

Eine Vorlage für eine Einwilligung bei Vorliegen eines Vertrags zur Auftragsverarbeitung mit dem Anbieter, mit Versionen für Schüler und Lehrkräfte und den erforderlichen Informationen zur Datenverarbeitung.7Diese Vorlage ist für Schulen gedacht, die sich selbst einen Anbieter suchen oder Jitsi über ihren Schulträger bereitgestellt bekommen. Schulen in NRW, welche die vom Land bereitgestellte, an den Messenger Element angedockte Version von Jitsi nutzen, brauchen diese Vorlage nicht, da die Informationen zur Datenverarbeitung online vorliegen und die Einwilligung elektronisch bei der Anmeldung an der Plattform abgegeben wird.

Abschließende Bewertung

Diese Bewertung ist eine Einschätzung ähnlich einer Produktbewertung und damit subjektiv, aber an den oben beschriebenen Beobachtungen orientiert.

Nutzung unter optimalen Bedingungen

Betrieben durch einen Dienstleister in der EU auf der Grundlage eines Vertrag zur Auftragsverarbeitung, auf Servern in der EU und mit STUN Server von EU Betreiber hat man alles unter Kontrolle.

Nutzung auf frei verfügbaren Jitsi Server – nur EU Dienste

Solange man dem Anbieter vertraut und man sicher ist, dass keine Dienste von Anbietern außerhalb der EU genutzt werden, ist das Risiko für Nutzer eher gering.

Nutzung auf frei verfügbarem Jitsi Server – nicht EU Dienste

Durch die Nutzung von nicht EU Diensten beim Angebot des Jitsi Dienstes ergibt sich ein potentielles Risiko durch Datenabflüsse an Dritte.

Empfehlung

Wenn Jitsi im schulischen Kontext genutzt werden soll, empfiehlt es sich, eine Instanz zu nutzen, die mit einem Vertrag zur Auftragsverarbeitung rechtlich abgesichert im Auftrag der Schule betrieben wird. Von einer Nutzung von offen angebotenen Jitsi Servern ist eher abzuraten, vor allem dann, wenn unbekannt ist, ob zum Betrieb die Dienste von nicht-EU Dienstleistern genutzt werden.

Tipps zur Nutzung

Kukez (ist ein IT/ Datenschutz Spezialist und Mitarbeiter einer Aufsichtsbehörde, der das Blog privat betreibt) hat eine Reihe von Tipps zur Nutzung gesammelt, etwa wenn es technische Probleme bei Teilnehmern gibt: https://www.kuketz-blog.de/jitsi-meet-erste-hilfe-bei-problemen/

Sehr ausführlich beschäftigt sich der Beitrag Jitsi – Fragen & Antworten von JOTBE mit den Funktionen, der Sicherheit und dem Betrieb von Jitsi.

Thema Jitsi App

Die Berliner Aufsichtsbehörde hat in ihrer zweiten Version des Dokuments Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenz-Diensten.pdf von Februar 2021 verschiedene Jitsi Anbieter getestet und dabei auch Informationen zum Android App gegeben.

“Bei der Verwendung der Jitsi-App empfiehlt sich, zumindest auf Android-Geräten die Variante aus dem F-Droid-Store zu nutzen, da diese im Gegensatz zu der Variante aus dem Google-Play-Store frei von Software von Tracking-Anbietern wie Crashlytics und Firebase ist.”

Stand 03/2021

Videokonferenz Plattformen in Schule nutzen

Lesezeit: 9 Minuten

In Zeiten von Schulschließungen, bei der Kommunikation mit Schulen in fernen Ländern oder Schülern mit einem längeren Krankenhausaufenthalt kommt schnell das Thema Videokonferenzen auf und es stellt sich dabei die Frage, ob und unter welchen Bedingungen solche Tools in bzw. von der Schule eingesetzt werden können. Können die Tools mit Schülern eingesetzt werden und vielleicht auch für Lehrer- und Zeugniskonferenzen?

Am Markt gibt es viele verschiedene Plattformen, die meisten davon kommerzielle Angebote (z.B. Zoom und Cisco Webex) und einige betrieben von Vereinen, Universitäten und Privatleuten (z.B. Jitsi und BigBlueButton). Darüber hinaus finden sich in einigen bereits von Schulen genutzten Plattformen Videokonferenz Tools als Bestandteil der Plattform (z.B. in Office 365 und Google Workspace for Education), in andere können sie integriert werden (z.B. in Moodle und NextCloud). Einige der erwähnten Videokonferenz Tools bieten Zusatzfunktionen wie Chat oder Dateifreigabe.

Um welche Daten geht es?

Zur Nutzung von Videokonferenz Plattformen ist die Verarbeitung von personenbezogenen Daten erforderlich. Bei einigen Plattformen benötigen nur die sogenannten Gastgeber ein Konto mit Anmeldung. Die Teilnehmer können dann ohne individuelles Konto per Link zur Videokonferenz eingeladen werden. Einzelne Plattformen lassen eine “anonyme” Teilnahme sowohl für Gastgeber als auch Teilnehmer zu.

Aus Sicht des Datenschutz ist es unerheblich, ob der Zugang zur Plattform “anonym”1Eine echte Anonymität gibt es schon wegen der erhobenen technischen Daten, wie weiter unten beschrieben, nicht wirklich. Allerdings speichern je nach Einstellung zumindest die Open Source Videokonferenz Plattformen die Daten der Nutzer nicht dauerhaft. erfolgt oder mit einer Anmeldung bzw. einem persönlichen Konto. Hauptteil der Verarbeitung sind Bild- und Tondaten (Abbild des Nutzers, Stimme und gesprochene sowie gezeigte Inhalte. Einige Plattformen bieten zusätzlich Chat-Funktionen an, Screensharing, kollaboratives Whiteboard, Teilen von Dateien, Aufzeigen, Abstimmung, Aufzeichnung des Videostreams, Häufigkeit der Redebeiträge u. Ä.. Im Hintergrund werden bei allen Plattformen technische Daten erhoben, von denen zumindest ein Teil vollständig oder teilweise anonymisiert in Log-Dateien aufgezeichnet wird. Dazu gehören in der Regel Informationen zum Browser, Betriebssystem des Endgerätes, ungefährer Standort, Datum und Uhrzeit, Beginn und Ende der Videosession und je nach System auch Rolle (Gastgeber, Teilnehmer) und eventuell vorgenommene Einstellungen in der Plattform. Je nach Nutzungsszenario können auch Zugehörigkeit zu einer Organisation (hier Schule, Schulname) zu den verarbeiteten Daten gehören.

Bedacht werden sollte auch, dass bei bei Videokonferenzen mit Schüler um die Daten von Kindern und Jugendlichen geht, denen eine besondere Schutzwürdigkeit zukommt.2“Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, […] wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden” Erwägungsgrund 75, DS-GVO

Bei Videokonferenzen fallen somit in der Regel sehr viele personenbezogene Daten an und diese können durchaus auch recht sensibel sein. Für Schulen sollte damit klar sein, mit dem Thema Videokonferenzen muss aus Sicht von Datenschutz sehr verantwortungsvoll umgegangen werden.

Welche Fragen sollte Schule sich stellen?

Grundsätzliche Fragen

  • Macht eine Videokonferenz für den beabsichtigten Zweck Sinn, ist sie erforderlich oder gibt es vielleicht Alternativen?
  • Ist die Plattform auf allen gängigen Endgeräten bzw. Betriebssystemen (sicher) nutzbar.
  • Welche Plattformen kommen in Fragen bzw. stehen zur Verfügung?

Fragen bei kommerziellen Anbietern

  • Erfüllen die Plattformen die datenschutzrechtlichen Voraussetzungen, welche sich für Schulen aus dem Schulgesetz, Landesdatenschutzgesetz und der DS-GVO ergeben?
  • Bietet die Plattform einen Vertrag zur Auftragsverarbeitung (AVV) oder ein vergleichbares Rechtsinstrument nach Art. 28 Abs. 3 DS-GVO, durch welches sichergestellt werden kann, dass die personenbezogenen Daten nur zu Zwecken der Schule verarbeitet werden?

Fragen bei nicht EU Anbietern (US Anbietern)

  • Wo stehen die Server, welcher Hoster, welcher Cloud Anbieter wird genutzt?
  • Hat sich der Anbieter EU-US Privacy Shield zertifiziert?
  • Bietet der Anbieter die Standard Vertragsklauseln (SCC; Standard Contractual Clauses) an?

Fragen bei kostenlosen kommerziellen Angeboten

  • Wie sehen die Datenschutzbestimmungen aus?
    • Werden Dritten (z.B. Facebook, Google, Werbenetzwerken, …) Zugriffe auf Nutzerdaten ermöglicht?
    • Werden Daten verkauft oder räumt sich der Anbieter das Recht dazu ein?
    • Werden Profile zur Anzeige von Werbung gebildet?
    • Wird in der Plattform Werbung angezeigt?

Fragen bei kostenlosen Angeboten (Open Source)

  • Wer ist der Betreiber und welche Datenschutzbestimmungen gelten?
  • Welche Serverplattform wird genutzt (eigene, Hoster aus D. oder EU, internationaler Cloud Anbieter wie AWS)?

Plattform und Datenschutz

  • Wie sicher ist die Plattform (HTTPS)?
  • Ist die Plattform frei von Trackern, Third Pary Cookies oder anderen Mechanismen zum Ausspionieren von Nutzerverhalten?
  • Lässt sich der Zugang zu einer einzelnen Videokonferenz kontrollieren?
  • Ist der Zugriff auf allen Plattformen unter den gleichen Bedingungen in Bezug auf Datenschutz möglich?
    • Werden beim Zugriff mit Apps (iOS, Android) die gleichen Daten erhoben, die auch beim Browser-Zugriff anfallen oder weitere?
  • Lässt sich die Datenerhebung durch Nutzer individuell in der Plattform regulieren?
  • Ist eine Nutzung der Plattform auch bei Blockierung von Cookies/ Trackern ohne essentielle Funktionseinschränkungen möglich?
  • Ist eine Ende-zu-Ende Verschlüsselung der Kommunikation Standard oder einstellbar?

Handlungsempfehlungen

Kommerzielle Anbieter – kostenlos

Die kostenlosen Angebote kommerzieller Anbieter sind selten ganz umsonst zu haben. Oftmals sind diese Angebote in ihren Funktionalitäten deutlich eingeschränkt, und bei einem Teil dieser Angebote wird man auch davon ausgehen müssen, dass Nutzer mit personenbezogenen Daten für die Nutzung zahlen. Nutzer meint hier sowohl den Gastgeber, der die Videokonferenz startet und leitet, wie auch die Teilnehmer. Letzteres ist besonders zu berücksichtigen, da diese Tatsache den eingeladenen Teilnehmern zumeist nicht bewusst ist. Für Schulen sind diese kostenlosen Angebote von daher in vielen Fällen nicht geeignet, auch nicht mit Einwilligung der Betroffenen. Das gilt vor allem, wenn es um Schüler geht. Die Schule ist verpflichtet, die Schüler zu schützen und könnte dieses bei einem derartigen Angebot nicht. Wenn Lehrkräfte sich informell über einen solchen Kanal austauschen möchten, bleibt das ihrem persönlichen Ermessen überlassen. Für die Durchführung offizieller Konferenzen können die kostenlosen Angebote kommerzieller Anbieter in der Regel nicht genutzt werden, denn neben der Problematik um den Abfluss von Nutzerdaten, fehlen hier in der Regel die rechtlichen Voraussetzungen. Ohne finanzielle Gegenleistung durch den Nutzer bieten nur wenige kommerzielle Anbieter einen Vertrag zur Auftragsverarbeitung an.3Hinweis: es gibt einige Anbieter, die für ihre kostenlosen Angebote tatsächlich auch einen AVV oder ein vergleichbares Rechtsinstrument nach Unionsrecht anbieten. Ob ein solches Angebot dann für den geplanten Zweck genutzt werden kann, ist im Einzelfall zu prüfen. Zoom ist hierfür ein Beispiel.

Kommerzielle Anbieter – kostenpflichtig

Da kommerzielle Plattformen in der Regel neben den oben beschriebenen sehr viele weitere personenbezogene Daten verarbeiten, um die Vielfalt an Funktionen innerhalb der Plattform bereitstellen zu können und da dort jeder Gastgeber ein eigenes Nutzerkonto erhält und auch Teilnehmerdaten anfallen, ob mit oder ohne Registrierung, müssen Schulen die Nutzung mit einem Vertrag zur Auftragsverarbeitung datenschutzrechtlich absichern. Der Vertrag garantiert, dass alle anfallenden Daten durch den Anbieter nur für die Zwecke des Verantwortlichen, hier der Schule, verarbeitet werden und nicht für eigene Zwecke.4Ausgenommen sind davon technische Nutzungsdaten, die zur Bereitstellung der Funktionen der Plattform und zur Wahrung der Sicherheit erforderlich sind Das gilt sowohl für die Daten der Gastgeber wie auch der Teilnehmer an den Videokonferenzen. Bei bezahlten Konten werden diese Verträge von den meisten Anbietern bereitgestellt. Die ganz großen Anbieter in diesem Segment kommen überwiegend aus den USA. Hier ist bei Server Standorten in den USA zu empfehlen, dass der Anbieter die Standard Vertragsklauseln anbietet. Rein formal erfüllen die Anbieter dann die Anforderungen der DS-GVO. Ideal ist eine solche Konstellation für eine schulische Nutzung allerdings trotzdem nicht. Nicht unberücksichtigt bleiben sollte darüber hinaus die Gestaltung der Nutzungsbedingungen (Terms of Service) und die in der Plattform selbst möglichen Datenschutzvoreinstellungen. Besser geeignet sind US Anbieter, wenn sie für Nutzer in der EU Serverstandorte in Europa anbieten. Datenschutzrechtliche Probleme, die aus einer Übermittlung von personenbezogenen Daten in die USA entstehen können, lassen sich damit vermeiden. Idealerweise ermöglichen solche Anbieter außerdem eine Ende-zu-Ende Verschlüsselung von Videokonferenzen. Datenschutzrechtliche Probleme lassen sich jedoch trotzdem nicht ausschließen. Am sichersten fahren Schulen in der Regel, wenn sie europäische oder deutsche Anbieter wie z.B. alfaview für ihre Videokonferenzen nutzen.

Stimmen die Voraussetzungen, kann solch eine kommerzielle Plattform zur Kommunikation mit Schülern und auch zur Kommunikation von Lehrkräften untereinander eingesetzt werden. Ist die Kommunikation verschlüsselt und wird der Stream nicht aufgezeichnet, sollte das Risiko auch bezüglich der Inhalte von Lehrerkonferenzen gegen Null tendieren.

Nichtkommerzielle Anbieter

Die Videokonferenz Plattformen Jitsi wird an vielen Stellen ohne finanzielle Interessen offen angeboten. Von BigBlueButton findet man vereinzelt solche Angebote. Man sollte hier schauen, wer der Anbieter ist und wie er seine Videokonferenz Plattform betreibt. Kommt der Anbieter aus der Freifunk Szene, hat mit dem Chaos Computer Club zu tun5Beispiele dafür sind „https://jitsi.hamburg.ccc.de“ und „jitsi.hamburg.freifunk.net„. Erkennen kann man hier die Zugehörigkeit zu den Domains „ccc.de“ oder „freifunk.net“. Bei allen anderen sollte der Betreiber recherchiert werden., ist ein Verein, der sich für Datenschutz und Bürgerrechte einsetzt oder gehört zu einer Universität, dann kann man in der Regel davon ausgehen, dass eine Nutzung nur geringe bis keine Risiken birgt und damit vorstellbar ist. Bei frei angebotenen BigBlueButton Servern müssten Lehrkräfte sich auf eigene Initiative anmelden. Einen Vertrag zur Auftragsverarbeitung erhält man von all diesen Anbietern in der Regel nicht.

Thema Einwilligung

Sobald eine Schule eine Videokonferenz Plattform selbst betreibt, auf einem eigenen Server oder mit Vertrag zur Auftragsverarbeitung mittels eines Dienstleisters, ist die Schule die verantwortliche Stelle. Sie verarbeitet die personenbezogenen Daten von Gastgebern und Teilnehmern bzw. lässt diese Daten im Auftrag verarbeiten. Dabei ist es unerheblich ob die Teilnahme mit identifizierbaren Nutzerkonten erfolgt oder ohne Anmeldung und mit selbstgewählten Nutzernamen. Auch wenn die Plattform keine dauerhafte Speicherung von personenbezogenen oder beziehbaren Daten vornimmt, so werden eben doch immer personenbezogene Daten aller Teilnehmer verarbeitet. Und diese sind höchst sensibel. Es geht um Bild- und Tonaufnahmen der Teilnehmer, Beiträge im Chat und eventuell geteilte Dateien. Für die Verarbeitung all dieser Daten braucht es eine Rechtsgrundlage.

Keine Einwilligung erforderlich

Gibt es diese Rechtsgrundlage im Schulgesetz des jeweiligen Bundeslandes, kann die Schule die Daten, welche zur Durchführung von Videokonferenzen erforderlich sind, auf dieser Rechtsgrundlage verarbeiten. In NRW ist das seit Februar 2022 durch das 16. Schulrechtsänderungsgesetz möglich, in welchem das SchulG NRW um entsprechende Rechtsgrundlagen erweitert wurde. Auch einige andere Bundesländer bieten bereits entsprechende Rechtsgrundlagen. Um Videokonferenzen durch das Schulgesetz zu legitimieren, müssen in der Regel weitere Bedingungen erfüllt werden. Sind alle dieses Bedingungen erfüllt, braucht es weder von Schülern noch von Lehrkräften eine Einwilligung. Wie dieses in NRW aussieht, erläutert der Beitrag 16. Schulrechtsänderungsgesetz und Datenschutz.

A) Einwilligung bei Eigenbetrieb oder Nutzung mit Vertrag zur Auftragsverarbeitung

Gibt es im Schulgesetz des Bundeslandes keine ausreichende Rechtsgrundlage oder die erforderlichen Voraussetzungen für die Anwendung der Rechtsgrundlagen sind nicht hinreichend erfüllt, etwa weil die Schüler keine von der Schule zur Verfügung gestellten Endgeräte haben, setzt die Teilnahme an Videokonferenzen durch Schüler und Lehrkräfte immer auch eine Einwilligung voraus, die informiert und freiwillig6Über das Thema der Freiwilligkeit im Zusammenhang mit der Pflichtveranstaltung Schule kann man je nach Art der Datenverarbeitung diskutieren. sein muss, um rechtswirksam zu sein.

B) Einwilligung bei Nutzung ohne Vertrag zur Auftragsverarbeitung

Bei Videokonferenz Plattformen, die sehr datenschutzfreundlich betrieben werden und deren Betreiber keine finanziellen Interessen mit dem Betrieb ihrer Plattform verbinden, wie bei vielen Jitsi Servern und auch einigen BigBlueButton Servern, erfolgt der Betrieb oftmals aus idealistischen Gründen. Gastgeberkonten können, wenn erforderlich, nur auf individueller Basis erstellt werden, Schulkonten gibt es nicht. Einen Vertrag zur Auftragsverarbeitung wird man dort auch nicht erhalten. Es gibt somit keine verlässliche Rechtsgrundlage, auf die man sich berufen kann, wenn man beabsichtigt, die Plattform zu nutzen. Eine Nutzung solcher Plattformen bzw. Angebote kann deshalb, wenn überhaupt, nur auf der Grundlage einer informierten und freiwilligen Einwilligung durch die Betroffenen erfolgen. Wichtig ist in einem solchen Fall, dass aus den Informationen zur Datenverarbeitung hervorgeht, dass die Schule das Angebot nutzt, ohne dass sie die Kontrolle über die Verarbeitung der personenbezogenen Daten hat. Rechtlich bewegt man sich bei der Nutzung von Angeboten dieser Art jedoch schon in einer Grauzone. Es handelt sich von daher auch nicht eine Einwilligung im Sinne der DS-GVO, sondern um eine Einwilligung in die Nutzung einer Plattform zu einem bestimmten Zweck.

C) Einwilligung bei Übermittlung von personenbezogenen Daten an Dritte

Alternativ könnte man die Nutzung einer Plattform, deren Anbieter keinen Vertrag zur Auftragsverarbeitung zur Verfügung stellt, noch auf eine Einwilligung in die Übermittlung von personenbezogenen Daten an Dritte stützen. Die Schule veranstaltet eine Videokonferenz und die Daten von Gastgeber und Teilnehmern werden dazu an einen Anbieter übermittelt. Das würde dann ebenfalls eine Einwilligung der Betroffenen erfordern, in welcher auch in die erforderliche Übermittlung von personenbezogenen Daten eingewilligt wird.

A) – B) – C)?

Die sicherlich beste Lösung für jede Schule ist der Einsatz von Videokonferenz Plattformen zur Erfüllung des Bildungs- und Erziehungsauftrags, wenn dieser keiner Einwilligung von Schülern und Lehrkräften bedarf, da sowohl die Plattform die datenschutzrechtlichen Voraussetzungen erfüllt als auch, dass die weiteren zu einer Nutzung erforderlichen Bedingungen, etwa die Ausstattung mit Endgeräten, erfüllt sind. Ist dieses nicht der Fall, besteht immer noch die Möglichkeit, zur Durchführung von Videokonferenzen Einwilligungen einzuholen. Bei A) sind die Voraussetzungen eindeutig die besten, da die Nutzung datenschutzkonform möglich ist. B) stellt eine Nutzung außerhalb der Möglichkeiten der Schulgesetze dar. Sie ist nicht unmöglich, bewegt sich jedoch in einer Grauzone. Auch C) ist nicht ideal, lässt sich durch schulisches Datenschutzrecht in der Regel abbilden. Man dürfte sich aber auch damit in einer rechtlichen Grauzone bewegen.

Achtung! Keine der drei Möglichkeiten, wie Schulen sich aus datenschutzrechtlicher Sicht bei der Nutzung von Videokonferenz Plattformen absichern können, entlässt die Schule aus der Verantwortung. Wählt die Schule einen nicht geeigneten Anbieter aus, liegt die Verantwortung im Falle von Problemen zunächst bei ihr selbst, solange diese Probleme nicht durch unsachgemäßes Nutzerhandeln von Teilnehmern an einer Videokonferenz verursacht werden.

Nutzungsregeln vorab klären

Wie bei der Plattform, auf welcher Nutzer agieren und interagieren, ist es erforderlich, dass allen Beteiligten die Spielregeln klar sind. Welche Arten von selbstgewählten Nutzernamen, welche Inhalte sind zulässig. Wer darf teilnehmen? Was ist nicht erlaubt (z.B. Sceenshots, Mitschnitte, …)? Was darf über die Plattform geteilt werden? Wie wird mit Verstößen gegen die Regeln umgegangen?

Eine Möglichkeit, die Nutzung zu regeln, bietet diese anpassbare Vorlage:

No-gos

Einige Videokonferenz Plattformen, kommerzielle und auch kostenfrei nutzbare Open Source Angebote, verfügen über zusätzliche Funktionen, von deren Nutzung hier aus Gründen des Datenschutz nur dringlichst abgeraten werden kann. Dazu gehören:

  • Aufzeichnung von Videokonferenzen
  • Aufmerksamkeitsüberwachung der Teilnehmer
  • Überwachung der neben der Videokonferenz genutzten Programme

Die beste Lösungen

Für Schulen gibt es im Grunde genommen nur vier wirklich aus Sicht des Datenschutz gute Lösungen. Auch wenn große nicht-EU Anbieter wie etwa Zoom oder Cisco Webex rein formell die datenschutzrechtlichen Voraussetzungen der DS-GVO für eine Nutzung in EU Ländern erfüllen, stellen diese Anbieter nicht unbedingt die besten Lösungen für Schulen dar. Besser ist es, entweder

  1. die vom Land angebotene Videokonferenz Plattform nutzen, etwa in NRW das an den Logineo NRW Messenger angedockte Jitsi,
  2. auf Anbieter aus der EU, EWR oder Deutschland zu setzen, die einen Vertrag zur Auftragsverarbeitung anbieten,
  3. in Schulserver7    iServ bietet z.B. die Integration von Jitsi, siehe IServ-Modul Videokonferenz , in LMS 8   Moodle lässt es beispielsweise zu BigBlueButton über ein Plugin zu integrieren, wenn eine Instanz vorhanden ist oder in Schul-Apps 9     SchoolFox, DieSchulApp und schul.cloud sind Beispiele für Anbieter, die Videokonferenzfunktionen in ihre Angebote integrieren. integrierte Lösungen zu nutzen oder
  4. den Schulträger dazu zu bewegen, selbst oder über einen beauftragten IT Dienstleister eine Lösung wie BigBlueButton oder Jitsi bereitzustellen.

Welche Lösung für eine Schule die beste ist, hängt von vielen Faktoren ab. Neben den Kosten kann auch die Integrationsmöglichkeit in bereits genutzte Plattformen, wie einen Schulserver, eine Arbeits- und Kommunikationslösung oder ein LMS die Entscheidung beeinflussen.

Ausführlichere Informationen zur Auswahl einer datenschutzfreundlichen Videokonferenz Plattform gibt es im Beitrag Videokonferenzen – eine Plattform auswählen.

Die Datenschutzkonferenz hat im Oktober 2020 eine Orientierungshilfe Videokonferenzsysteme als PDF veröffentlicht, die weitere Informationen zum Thema bietet.

Stand 09/2022