Schulchronik – Änderungen VO-DV I & II

Lesezeit: 2 Minuten

Schulen in NRW führen in der Regel eine Schulchronik, in welcher Daten zur Schulgeschichte festgehalten werden. Welche Daten dazu unbefristet verarbeitet werden dürfen, regelten bisher § 9 Abs. 4 VO-DV I (Schüler:innen) und § 9 Abs. 5 VO-DV II (Lehrkräfte, Lehramtsanwärter:innen und sonstiges an Schulen tätiges Personal).

Aus der Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten vom Dezember 2021 ergeben sich auch wichtige Änderungen der zum Führen einer Schulchronik  zulässigen personenbezogenen Daten. Da diese Änderungen zu einer starken Einschränkung der zulässigen Daten führen, entstand auch ein Regelungsbedarf bezüglich bereits bestehender historischer Schulchroniken.

Änderungen die Schüler:innen betreffend

Bezüglich der Schüler:innen ergibt sich durch die Änderung der Norm eine starke Einschränkung der zum Führen der Schulchronik zulässigen Daten. Außerdem wurde durch den Zusatz “nicht öffentlich” klargestellt, dass die Schulchronik ein internes Dokument ist.

Alte Fassung
§ 9 Abs. 4 VO-DV I

(4) Zur Führung der Schulchronik (Daten zur Schulgeschichte) dürfen Schulen die folgenden personenbezogenen Daten von Schülerinnen und Schülern zeitlich unbefristet verwenden:
1. Name, Geburtsname, Vorname, Geschlecht,
2. Geburtsdatum, Geburtsort, Geburtsland,
3. Anschrift,
4. Daten über die Dauer des Besuchs der Schule.
Neue Fassung
§ 9 Abs. 5 VO-DV I
(5) Zur Führung der nicht öffentlichen Schulchronik (Daten zur Schulgeschichte) dürfen Schulen die folgenden personenbezogenen Daten von Schülerinnen und Schülern zeitlich unbefristet verwenden:
1. Name, Vorname und
2. Jahr der Beendigung des Schulverhältnisses.“

Änderungen die Lehrkräfte betreffend

Bei den Lehrkräften, Lehramtsanwärtern und sonstigem an Schulen tätigen Personal fielen die Änderungen entsprechend aus. Auch hier wurden die zur Führung einer Schulchronik zulässigen personenbezogenen Daten deutlich eingeschränkt und der Zusatz “nicht öffentlich” ergänzt.

Alte Fassung
§ 9 Abs. 5 VO-DV II
(5) Zur Führung einer Schulchronik (Daten zur Schulgeschichte) dürfen Schulen die folgenden personenbezogenen Daten des Personenkreises nach § 1 Absatz 1 Nummer 1 bis 3 zeitlich unbefristet verwenden:
1. Name(n), Geburtsname, Vorname(n), Geschlecht,
2. Geburtsdatum, Geburtsort, Geburtsland,
3. Anschrift,
4. Daten über Art und Dauer der Beschäftigung an der Schule.
Neue Fassung
§ 9 Abs. 6 VO-DV II
(6) Zur Führung einer nicht öffentlichen Schulchronik (Daten zur Schulgeschichte) dürfen Schulen die folgenden personenbezogenen Daten des Personenkreises nach § 1 Absatz 1 Nummer 1 bis 3 zeitlich unbefristet verwenden:
1. Name(n), Vorname(n)
2. Daten über Art und Dauer der Beschäftigung an der Schule.

Wie aus der Kommentierung im Entwurf einer Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten auf den Seiten 15 und 23 zu entnehmen, gehen die Änderungen auf eine Einschätzung der LDI NRW zurück. Die LDI NRW hielt die bisherige Norm für missverständlich und irreführend, da sie Schulen zwar zur Führung der Chronik berechtige, nicht aber zu deren Veröffentlichung oder Einsichtnahme. Außerdem sah sie keinen hinreichenden Grund, dass Schulen auch sensible Daten wie Geburtsdatum, Geburtsort, Geburtsland und Anschrift zur Führung einer Schulchronik dauerhaft speichern. In Folge hatte die LDI NRW sogar angeregt, die Zulässigkeit zum Führen einer Schulchronik ersatzlos zu streichen.

Soweit ging man im MSB nicht. Stattdessen wurde der Umfang der zulässigen personenbezogenen Daten stark reduziert. Da Schulen in NRW bereits seit Jahrzehnten Chroniken führen, und diese Daten enthalten, deren Verarbeitung mit der Änderung von VO-DV I & II nicht mehr zulässig ist, entstand zusätzlicher Regelungsbedarf.

Für den Umgang mit den historischen Schulchroniken wurde in § 11 VO-DV I und § 11 VO-DV II eine jeweils wortgleiche Übergangsvorschrift geschaffen.

“Schulchroniken, die bei Inkrafttreten dieser Verordnung bereits bestehen, können mit den bisherigen Inhalten für schulinterne Zwecke aufbewahrt werden.”

Damit möchte man nun vermeiden, dass Schulen ihre bereits bestehenden historischen Schulchroniken vernichten oder schwärzen müssen. Die Übergangsregelung gibt Schulen damit die Möglichkeit, ihre bereits bestehenden Schulchroniken weiterhin aufzubewahren. Sie dürfen jedoch nur schulintern aufbewahrt werden. Eine Veröffentlichung ist damit ausgeschlossen. Wie aus der Kommentierung im Entwurf einer Verordnung zur Änderung von Verordnungen hervorgeht, ist man sich im MSB bewusst, dass diese Übergangsregelung mit Blick auf die Anregung der LDI NRW datenschutzrechtlich nicht unbedenklich ist. Entsprechend ist fraglich, ob diese Regelung auf Dauer Bestand haben wird. Vorstellbar wäre, dass Schulen in einer kommenden Änderung der Verordnungen zur Datenverarbeitung auch die Möglichkeit zur schulinternen Aufbewahrung genommen wird und sie dann nur noch die Wahl haben, die historischen Chroniken dem Archiv ihrer Kommune oder Stadt zu übergeben oder sie zu vernichten.

 

 

 

Gemeinsame und schuleigene Datenschutzbeauftrage – VO-DV II

Lesezeit: 5 Minuten

Mit Datum vom 13. Dezember 2021 wurden die VO-DV I und VO-DV II durch die Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten geändert. Deutliche Veränderungen ergeben sich durch die Änderungen auch für die Bestellung von Datenschutzbeauftragten für die Schulen in öffentlicher Trägerschaft. Regelungen wurden auch für die ZfSL geschaffen.

In §1 Abs. 6 der alten Fassung der VO-DV II war die Regelung zur Bestellung von Datenschutzbeauftragten nur sehr knapp gefasst.

(6) Die in Absatz 1 genannten Behörden oder Einrichtungen bestellen behördliche Datenschutzbeauftragte gemäß § 32a DSG NRW. Mehrere Stellen können gemeinsam einen behördlichen Datenschutzbeauftragten bestellen, wenn dadurch die Erfüllung seiner Aufgaben nicht beeinträchtigt wird. Für Schulen in kommunaler und staatlicher Trägerschaft bestellt das Schulamt eine Person, die die Aufgaben gemäß § 32a DSG NRW wahrnimmt.

Die neue Fassung fällt deutlich umfangreicher aus, da Zuständigkeiten für die Bestellung neu zugewiesen werden, um personalvertretungsrechtliche Belange zu berücksichtigen, und auch die Möglichkeiten zur Bestellung erweitert werden.

“(6) (1)Die in Absatz 1 genannten Behörden oder Einrichtungen benennen behördliche Datenschutzbeauftragte gemäß Artikel 37 der Datenschutz-Grundverordnung. (2) Mehrere Stellen können gemeinsam eine Person benennen, wenn dadurch die Erfüllung ihrer Aufgaben nicht beeinträchtigt wird. (3) Abweichend von Satz 1 wählen für Schulen in kommunaler und staatlicher Trägerschaft die Schulämter Personen aus, die in ihrem Bezirk die Aufgaben gemäß Artikel 39 der Datenschutz-Grundverordnung wahrnehmen sollen. (4) Zur Wahrung personalvertretungsrechtlicher Interessen werden diese Personen nach Artikel 37 Absatz 3 der Datenschutz-Grundverordnung von den Bezirksregierungen benannt und an das jeweilige Schulamt anteilig zur Wahrnehmung der Funktion abgeordnet. (5) Schulen können stattdessen eine schuleigene Datenschutzbeauftragte oder einen schuleigenen Datenschutzbeauftragten benennen. (6) Sofern für Zentren für schulpraktische Lehrerausbildung nach Artikel 37 Absatz 3 der Datenschutz-Grundverordnung gemeinsame Datenschutzbeauftragte benannt werden sollen, erfolgt ihre Benennung zur Wahrung personalvertretungsrechtlicher Interessen durch die Bezirksregierungen.”

Eigene Datenschutzbeauftragte

Die bisherigen Regelungen zur Bestellung von Datenschutzbeauftragten sah nur die Möglichkeit vor, diese Personen für mehrere Stellen gemeinsam zu benennen. Entsprechend wurden für jeden Kreis und jede kreisfreie Stadt bis zu zwei Personen zu behördlichen Datenschutzbeauftragten bestellt. Diese sind dem Schulamt zugeordnet und für alle Schulen in öffentlicher Trägerschaft des jeweiligen Kreises bzw. der jeweiligen kreisfreien Stadt zuständig. Diese Möglichkeit besteht mit Satz (3) auch weiterhin unverändert fort.

Satz (5) der Verordnung Schulen lässt Schulen nun jedoch die Wahl. Sie können wie bisher die Dienste der bereits bestellen behördlich Datenschutzbeauftragten in Anspruch nehmen, oder nun selbst eine Person für ihre Schule benennen, welche diese Funktion übernehmen soll. Den Erläuterungen des MSB im Entwurf einer Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten ist zu entnehmen, dass diese Änderung auf eine Anregung der LDI NRW zurückgeht und diese Möglichkeit vor allem “bei großen oder besonders technisierten Schulen zweckmäßig sein könnte.

Damit besteht ab sofort für jede Schule in öffentlicher Trägerschaft die Möglichkeit, einen bzw. eine schuleigene/n Datenschutzbeauftragte/n zu benennen. § 1 Abs. 5 schränkt diese Option dabei in keiner Weise ein, weder auf Schulformen noch die Größe von Schulen.

Benennung

Während die behördlich bestellten schulischen Datenschutzbeauftragten nach der neuen Regelung von den Schulämtern ausgewählt und vorgeschlagen und dann von den Bezirksregierungen unter Beteiligung der Personalvertretung benannt werden, können dem Wortlauf von Satz (5) nach Schulen die Person eigenständig benennen.1Die Formulierung in Satz (4) “diese Personen” bezieht sich grammatikalisch auf die in Satz (3) beschriebenen von den Schulämtern ausgewählten Personen. Demnach können die in Satz (5) beschriebenen Personen nicht unter die Regelung von Satz (4) fallen. Entsprechend wird es dort auch keine Teilabordnungen durch die Bezirksregierungen an die Schulämter geben.

Es wird aber zumindest erforderlich sein, diese Benennungen an die Schulämter zu melden, damit diese ihrerseits die behördlich bestellten schulischen Datenschutzbeauftragten in Kenntnis setzen können. Ob auch eine Meldung an die Bezirksregierungen notwendig wird, bleibt abzuwarten.

Thema Zuständigkeiten

Hat eine Schule einen schuleigenen Datenschutzbeauftragten benannt, nimmt diese Person für die Schule alle Aufgaben gemäß  Art. 39 DS-GVO wahr. Die Zuständigkeit der behördlich bestellten dem Schulamt zugeordneten schulischen Datenschutzbeauftragten endet damit für diese Schule. 2Ergänzend ist anzumerken, dass gerade dieser Punkt bei einen behördlich bestellten Datenschutzbeauftragten (bDSB) sehr umstritten ist. Nach ihrer Ansicht geht mit der Benennung eines schulischen Datenschutzbeauftragten nicht ein Wechsel der Zuständigkeiten einher. Sie gehen davon aus, dass dieses sonst eine Abberufung von der konkreten Schule gegen den Willen des bDSB darstellt, für die sie jedoch keine Rechtsgrundlage sehen. – Sollte ein von einer Schule benannter schulischer Datenschutzbeauftragter sich gegen die Einmischung eines bDSB in seinen Tätigkeitsbereich an seiner Schule verwehren und der bDSB sieht sich hier in der Ausübung seiner Tätigkeit behindert, muss im Zweifelsfall ein Verwaltungsgericht für Klärung sorgen.

Meldung bei der Aufsichtsbehörde

Mit der Benennung eines schuleigenen Datenschutzbeauftragten geht auch die Verpflichtung einher, diese Person gem. Art. 37 Abs. 7 DS-GVO bei der LDI NRW zu melden. Die Meldung erfolgt im Meldeportal der Aufsichtsbehörde nach vorheriger Registrierung auf der Seite.

Veröffentlichung der Kontaktdaten

Gem. Art. 37 Abs. 7 DS-GVO muss die Schule auch die Kontaktdaten der zum Datenschutzbeauftragten bestellten Person veröffentlichen. Das betrifft einige Stellen, von der Schulhomepage bis zu Datenschutzinformationen für Schülern, Eltern und Lehrkräfte gem. Art. 13 und Art. 14 DS-GVO.

Entlastung – Freistellung

Für die behördlich bestellten dem Schulamt zugeordneten schulischen Datenschutzbeauftragten hat das Land Stundenkontingente zur Verfügung gestellt, die es ermöglichen, diese Personen von ihren Schulen mit einer Stundenzahl abzuordnen.

Es ist zu erwarten, dass Schulen, die eine Person für die Funktion des schuleigenen Datenschutzbeauftragten benennen, diese Person aus eigenen Mitteln entlasten müssen. Größere Systeme haben hier vermutlich die Möglichkeit, die Aufgaben des/ der schuleigenen Datenschutzbeauftragten an eine Funktionsstelle zu koppeln.

Welche Personen kommen in Frage?

Wer die Funktion als schuleigenen Datenschutzbeauftragte/r übernehmen möchte, sollte die Bereitschaft mitbringen, sich fachlich zu qualifizieren und sollte ausreichend Einblicke in die Datenverarbeitungsabläufe einer Schule erhalten und sich damit vertraut machen.

Die Person sollte gem. Art. 38 Abs. 6 nicht durch andere schulische Funktionen und Aufgabenbereiche in eine Konfliktsituation mit der Funktion als Datenschutzbeauftragte/r kommen. Damit scheiden Personen, welche selbst große Mengen von personenbezogenen Daten in der schulinternen Verwaltung verarbeiten oder Zugriff darauf haben für die Funktion aus. Das wären beispielsweise Lehrkräfte, welche auch Administratoren für schulische Plattformen wie LMS oder Arbeits- und Kommunikationsplattformen sind. Auch bei Mitgliedern der erweiterten Schulleitung könnten solche Interessenkonflikte bestehen. Die Schulleitung als Verantwortlicher kann definitiv nicht gleichzeitig schuleigene/r Datenschutzbeauftragte/r sein.

Weisungsfrei

Die behördlich bestellten schulischen Datenschutzbeauftragten haben überwiegend nicht mit ihren eigenen Schulen zu tun. An den meisten Schulen in ihrer Zuständigkeit sind sie deshalb externe Personen. Schulische Datenschutzbeauftragte im Sinne von Satz (5) sind an ihrer Schule gem. Art. 38 Abs. 3 weisungsfrei bezüglich der Ausübung ihrer Funktion. Das bedeutet auch, sie müssen gegebenenfalls Dinge sagen, etwa wenn sie Betroffene beraten, die den Interessen der Schule zuwider laufen. Daran dürfen sie nicht gehindert werden. Es dürfen ihnen aus ihrem Handeln in der Funktion als schulischer Datenschutzbeauftragter auch keine Nachteile entstehen.

Verantwortung

Selbstredend bleibt die Schulleitung weiterhin Verantwortlicher im Sinne der DS-GVO und des Schulgesetzes NRW. Diese Verantwortung kann eine Schulleitung nicht delegieren. Die Aufgaben eines Datenschutzbeauftragten sind in Art. 39 DS-GVO klar definiert. Darüber hinaus steht es natürlich jeder Schule frei, den schuleigenen Datenschutzbeauftragten bzw. die schuleigene Datenschutzbeauftragte mit der Erstellung und Pflege der Dokumentation (Verfahrensverzeichnis, Einwilligungen, Informationen gem. Art. 12 DS-GVO, …) zu betrauen.

Schulung

Gem. Art. 39 Abs. 2 ist der Verantwortliche verantwortlich, dem Datenschutzbeauftragten “die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen […] sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung” zu stellen. Während bei den behördlich bestellten schulischen Datenschutzbeauftragten die Schulämter die Ausstattung etwa in Form von Dienstgeräten, Büros und Fachliteratur bereitstellen und die Bezirksregierung3zumindest auf die BR Arnsberg zutreffend für die Kostenfür Ausbildung und Schulung aufkommen, ist zu erwarten, dass Schulen im Falle der Benennung eines schuleigenen Datenschutzbeauftragten für diese Kosten selbst aufkommen müssen.

Wo und wie die schulischen Datenschutzbeauftragten sich selbst aus- bzw. fortbilden können, ist offen. Die behördlich bestellten schulischen Datenschutzbeauftragten können die Dienste der Fortbildungsakademie Mont Cenis hier in Anspruch nehmen. Dort finden regelmäßig Schulungen statt, die einen Einstieg in die Thematik bieten, jedoch eher auf kommunale Behörden abzielen. Darüber hinaus bieten unzählige Dienstleister Ausbildungen an, die aber sämtlich kostenpflichtig sind. Fakt ist, es kann keine Schule erwarten, dass ihre benannten schuleigenen Datenschutzbeauftragten diese Kosten aus eigener Tasche zahlen, wie dieses bei Lehrkräften so oft der Fall ist.

Geänderte Zuständigkeiten für die Benennung der behördlich bestellen schulischen Datenschutzbeauftragten

Wie oben schon kurz beschrieben, haben sich die Zuständigkeiten bei der Benennung der behördlich bestellen schulischen Datenschutzbeauftragten verändert. Wurden sie bisher von den Schulämtern ausgewählt und benannt, so wurde jetzt mit Satz (4) die Zuständigkeit für die Benennung der schulischen Datenschutzbeauftragten auf die Bezirksregierungen übertragen.

Geänderte Zuständigkeiten für die Benennung der gemeinsamen Datenschutzbeauftragten für ZfsL

Zentren für schulpraktische Lehrerausbildung konnten schon immer im Rahmen der bisherigen Regelungen von §1 Abs. 6 VO-DV I eigene oder gemeinsame Datenschutzbeauftragte benennen. Hier ist jetzt mit Satz (6) eine Zuweisung von Zuständigkeiten für den Fall, dass mehrere ZfsL gemeinsame Datenschutzbeauftragte benennen wollen, erfolgt. Die eigentliche Benennung erfolgt nun durch die Bezirksregierungen, um dadurch eine Beteiligung der Personalvertretungen zu ermöglichen.

Stand 01/2022

Auswirkungen der geänderten VO-DV I auf Nutzung Privatgeräte

Lesezeit: 2 Minuten

Mit Datum vom 13. Dezember 2021 wurden die VO-DV I und VO-DV II durch die Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten geändert. Die Änderungen in den beiden Verordnungen wirken sich sehr deutlich auf die Arbeit der an den Schulen tätigen Personen aus, so dass man hier von einer Zäsur sprechen kann. Veränderungen mit vergleichbar starken Auswirkungen auf die Verarbeitung von personenbezogenen Daten an Schulen hat es in den vergangenen Jahren nicht gegeben.

Der Grund dafür liegt in der jetzt sehr starken Eingrenzung der Möglichkeiten, weiterhin private Endgeräte für die Verarbeitung von personenbezogenen Daten aus der Schule zu nutzen. Das war bisher anders. Lehrkräfte konnten ihre privaten Endgeräte im Rahmen der Vorgaben der VO-DV I & II nutzen, um darauf diese Daten zu verarbeiten. Damit war es ihnen möglich, den Mangel an für Verwaltungsarbeiten in der Schule eingerichteten Lehrerarbeitsplätzen auszugleichen, mobil innerhalb der Schule zu arbeiten und auch Arbeiten zu Hause zu erledigen. Die Rahmenbedingungen begannen jedoch sich in dem Moment zu ändern, als Schulträger mit Unterstützung des Landes und des Bundes in die Lage versetzt wurden, Lehrkräfte mit dienstlichen Endgeräten auszustatten. Aus Sicht des Gesetzgebers wie auch der Aufsichtsbehörde des Landes NRW entfiel damit die Erfordernis, Lehrkräften weiterhin die Nutzung privater Endgeräte für die Verarbeitung von personenbezogenen Daten aus der Schule auf privaten Endgeräten zu gestatten. Gleichzeitig sah man jedoch auch, dass es an Schulen weiteres Personal gibt, welches wie Lehrkräfte personenbezogene Daten verarbeitet. Da es für diese Personengruppe noch keine Ausstattungsrichtlinie gibt, wurde auch hier die rechtliche Grundlage geschaffen, eine Genehmigung zur Nutzung von privaten Endgeräten zu erteilen. Die Möglichkeit, auch Lehrkräften diese Genehmigung zu erteilen, ist nicht komplett verschwunden, jedoch stark eingeschränkt, auf Personen, denen noch kein Dienstgerät zur Verfügung steht, deren Dienstgerät defekt oder verlustig gegangen ist, ohne dass Ersatz gestellt werden kann, und auf eine begrenzte Zahl von Ausnahmefällen.

Im Beitrag Verarbeitung von personenbezogenen Daten auf dienstlichen und privaten Endgeräten – VO-DV I werden die Auswirkungen der Änderungen in der VO-DV I im Detail betrachtet und kommentiert. Im Text wie auch in den FAQ am Ende wird versucht, an praktischen Beispielen zu zeigen, welche Spielräume die neuen Regelungen im schulischen Alltag lassen.

Verarbeitung von personenbezogenen Daten auf dienstlichen und privaten Endgeräten – VO-DV I

Lesezeit: 13 Minuten

Mit Datum vom 13. Dezember 2021 wurden die VO-DV I und VO-DV II durch die Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten geändert. Die Änderungen in den beiden Verordnungen wirken sich sehr deutlich auf die Arbeit der an den Schulen tätigen Personen aus, so dass man hier von einer Zäsur sprechen kann. Veränderungen mit vergleichbar starken Auswirkungen auf die Verarbeitung von personenbezogenen Daten an Schulen hat es in den vergangenen Jahren nicht gegeben. Selbst die Einführung der Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gem. § 2 Abs.2 VO-DV I / § 2 Abs.4 VO-DV II im Februar 2018, die zu viel Unruhe in den Kollegien führte, ist den jetzt in Kraft getretenen Änderungen von VO-DV I & II in ihren Auswirkungen nicht einmal ansatzweise vergleichbar.

Der Grund dafür liegt in der jetzt sehr starken Eingrenzung der Möglichkeiten, weiterhin private Endgeräte für die Verarbeitung von personenbezogenen Daten aus der Schule zu nutzen. Das war bisher anders. Lehrkräfte konnten ihre privaten Endgeräte im Rahmen der Vorgaben der VO-DV I & II nutzen, um darauf diese Daten zu verarbeiten. Damit war es ihnen möglich, den Mangel an für Verwaltungsarbeiten in der Schule eingerichteten Lehrerarbeitsplätzen auszugleichen, mobil innerhalb der Schule zu arbeiten und auch Arbeiten zu Hause zu erledigen. Die Rahmenbedingungen begannen jedoch sich in dem Moment zu ändern, als Schulträger mit Unterstützung des Landes und des Bundes in die Lage versetzt wurden, Lehrkräfte mit dienstlichen Endgeräten auszustatten. Aus Sicht des Gesetzgebers wie auch der Aufsichtsbehörde des Landes NRW entfiel damit die Erfordernis, Lehrkräften weiterhin die Nutzung privater Endgeräte für die Verarbeitung von personenbezogenen Daten aus der Schule auf privaten Endgeräten zu gestatten. Gleichzeitig sah man jedoch auch, dass es an Schulen weiteres Personal gibt, welches wie Lehrkräfte personenbezogene Daten verarbeitet. Da es für diese Personengruppe noch keine Ausstattungsrichtlinie gibt, wurde auch hier die rechtliche Grundlage geschaffen, eine Genehmigung zur Nutzung von privaten Endgeräten zu erteilen. Die Möglichkeit, auch Lehrkräften diese Genehmigung zu erteilen, ist nicht komplett verschwunden, jedoch stark eingeschränkt, auf Personen, denen noch kein Dienstgerät zur Verfügung steht, deren Dienstgerät  verlustig gegangen oder defekt ist, ohne dass Ersatz gestellt werden kann, und auf eine begrenzte Zahl von Ausnahmefällen.

Die Änderungen im Detail

Die Änderungen an den beiden Verordnungen werden im Folgenden getrennt erklärt, da es jeweils um verschiedene Kategorien von personenbezogenen Daten geht, um die der Schüler und Eltern bzw. um die von Lehrkräften. In VO-DV II ist zudem der Kreis der von den Regelungen betroffenen Personen verschieden.

Welche Auswirkungen die Änderungen in der VO-DV II haben kann im Beitrag Verarbeitung von dienstlichen personenbezogenen Daten auf privaten und dienstlichen Endgeräten – VO-DV II nachgelesen werden.

VO-DV I

Änderung des Personenkreises für die Genehmigung

§2 Abs. 2 VO-DV I wird komplett neu gefasst, um den Personenkreis, welcher eine Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken durch die Schulleitung zu erweitern.

Die Verarbeitung personenbezogener Daten von in § 1 Absatz 1 Satz 1 genannten Personen auf privaten digitalen Geräten von Lehrkräften, Lehramtsanwärterinnen und Lehramtsanwärtern, Lehrkräften in Ausbildung, sonstigem pädagogischen und sozialpädagogischen Personal sowie Schulpsychologinnen und Schulpsychologen für dienstliche Zwecke bedarf der schriftlichen, ein Verzeichnis der Verarbeitungstätigkeiten gemäß Artikel 30 der Datenschutz- Grundverordnung enthaltenden Genehmigung durch die Schulleiterin oder den Schulleiter.

Lehramtsanwärterinnen und Lehramtsanwärter sowie Lehrkräfte in Ausbildung konnten auch bisher schon die Genehmigung erhalten, da sie unter Lehrerinnen und Lehrern mitgedacht waren. Um Klarheit zu schaffen, werden sie jetzt ausdrücklich aufgeführt. Neu hinzugekommen sind das sonstige pädagogische und sozialpädagogische Personal (z.B. gemäß § 58 Schulgesetz NRW, aber auch nicht im Landesdienst stehendes Personal) sowie Schulpsychologinnen und Schulpsychologen. Letztere müssen beispielsweise in “Krisenfällen oder bei konkreten Beauftragungen in einer Schule auf die Daten zurückgreifen1Aus den Erläuterungen zu den Änderungen (S. 12). können.

Den neu hinzugekommen Personen wird durch die Änderung der Verordnung eine Möglichkeit gegeben, Privatgeräte für die Verarbeitung von personenbezogenen Daten für dienstliche Zwecke zu verarbeiten, bis der Gesetzgeber mit einer neuen Richtlinie eine Regelung zur Ausstattung mit Dienstgeräten geschaffen hat oder ein Schulträger Dienstgeräte aus eigenen Mitteln zur Verfügung stellt.

Da diese Personen zur Erfüllung ihrer Funktionen personenbezogene Daten verarbeiten, die bisher nicht in Anlage 3 aufgeführt waren, gibt es hier nun eine Ergänzung.

14. Dokumentationen im Zuge des pädagogischen, sozialpädagogischen und schulpsychologischen Mitwirkens bei der Bildungs- und Erziehungsarbeit (z.B. Vermerke über Beratungstätigkeit, Arbeits- und Sozialverhalten)*)

Eine Ergänzung gibt es in Anlage 3 auch für Lehrkräfte. Diese betrifft die Nr. 10, die um neue Kategorien von personenbezogenen Daten erweitert wurde:

“Leistungsbewertungen und Bemerkungen zum Arbeits- und Sozialverhalten in den Fächern, in denen die Lehrkraft die Schülerinnen und Schüler unterrichtet, einschließlich digital von diesen erstellter Leistungsnachweise

Damit wurde eine Rechtsgrundlage geschaffen für die Verarbeitung von Daten, die viele Lehrkräfte vermutlich schon lange auf den Privatgeräten verarbeiteten, auch wenn sie in Anlage 3 bisher nicht aufgeführt waren. Entsprechend ist es jetzt zulässig, auf Privatgeräten entsprechende Notizen anzufertigen, die erforderlich sind für spätere, nachvollziehbare Leistungsbewertungen. Genauso ist es jetzt möglich, Präsentationen; Referate, E-Books, Erklärvideos und ähnliche digital erstellte Leistungsnachweise auf privaten Endgeräten zu verarbeiten, damit Lehrkräfte diese dort begutachten und bewerten können.

In der Erläuterungen zu den Änderungen gibt es auf Seite 17 noch einen klärenden Hinweis, wie die Auflistung der in Anlage 3 aufgeführten personenbezogenen Daten zu verstehen ist.

In der Anlage 3 sind die Daten, deren Verarbeitung auf Privatgeräten zulässig ist, enumerativ und abschließend aufgeführt.”2Dieser Hinweis findet sich auch in der Handreichung zur Genehmigung.pdf von Februar 2018.

Wie bisher setzt die Erteilung der Genehmigung voraus, dass die Verarbeitung der Daten für die Erfüllung schulischer Aufgaben erforderlich ist und “ein angemessener technischer Zugangsschutz nachgewiesen wird,” wie er im Genehmigungsformular Teil B beschrieben ist.

Nicht erteilt werden kann die Genehmigung Praxissemesterstudierenden und Studierenden im Eignungs- und Orientierungspraktikum im Lehramtsstudium (EOP), da sie nach Ansicht des MSB nicht unter den Begriff “Personal” fallen.

Zur Erteilung von Genehmigungen steht Schulleitungen aktuell nur das bekannte Formular zur Verfügung, welches Teil der Dienstanweisung für die automatisierte Verarbeitung von personenbezogenen Daten in der Schule (10-41 Nr. 4) und am 19.01.2018 in einem Runderlass veröffentlicht wurde. Da dieses Genehmigungsformular noch nicht auf die neue Rechtslage angepasst wurde, berücksichtigt es weder den neu hinzugekommenen Personenkreis, der jetzt eine Genehmigung erhalten kann, noch die Ergänzungen in Anlage 3. Auch eine Anpassung an die DS-GVO fehlt noch.

Wegfall der Genehmigung

Mit § 2 Abs. 2 Satz 4 – 6 ist die VO-DV I nun um eine Regelung ergänzt, welche die Möglichkeiten der Schulleitung einschränkt, den zuvor beschriebenen Personen eine Genehmigung zu erteilen. Außerdem ist geregelt, wann bereits erteilte Genehmigungen ihre Gültigkeit verlieren.

(1) Die Genehmigung darf nicht erteilt werden, wenn ein persönliches dienstliches digitales Gerät für schulische Zwecke zur Verfügung gestellt wird. (2) Eine bereits erteilte Genehmigung erlischt mit Aushändigung eines solchen Gerätes. (3) Übergangsweise ist die weitere Nutzung des Privatgeräts für die Dauer von höchstens vier Wochen zulässig, soweit dies zur Übertragung der personenbezogenen Daten auf das dienstliche Gerät erforderlich ist.”

Sobald einer der zuvor beschrieben Personen (Lehrkräften, Lehramtsanwärterinnen und Lehramtsanwärtern, Lehrkräften in Ausbildung, sonstigem pädagogischen und sozialpädagogischen Personal sowie Schulpsychologinnen und Schulpsychologen) ein persönliches dienstliches Gerät zur Verfügung gestellt wird, darf ihr keine Genehmigung für ein privates Endgerät erteilt werden. Hatte die Person bereits eine Genehmigung, so verliert diese automatisch ihre Gültigkeit. Das bedeutet, die Schulleitung muss die Genehmigung nicht aktiv widerrufen.

Geht ein zur Verfügung gestelltes Dienstgerät defekt oder verlustig und es gibt keinen Ersatz, erfüllt die Person die Voraussetzungen für die Erteilung einer Genehmigung. Auch wenn ein Gerät für einen Zeitraum in Reparatur ist, sollte es möglich sein, für diese Zeit eine Genehmigung zur Nutzung eines Privatgerätes zu erteilen, sofern kein Ersatzgerät gestellt werden kann.

Persönliches dienstliches digitales Gerät

Wichtig ist an diesem Abschnitt, dass es sich bei dem dienstlichen Gerät um ein persönliches dienstliches digitales Gerät handelt. Stehen beispielsweise zwei Schulsozialpädagog:innen an einer Schule ein gemeinsam genutzter Laptop und ein iPad für die tägliche Arbeit in der Schule zur Verfügung, welche die Personen sogar mit nach Hause nehmen dürfen, so fallen diese Geräte nicht unter die Regelung und die Schulleitung darf den beiden Mitarbeiter:innen nach der Erweiterung des Personenkreises, welcher Genehmigungen für die Nutzung von Privatgeräten erhalten kann, jetzt eine solche erteilen. Ein persönliches dienstliches digitales Gerät setzt voraus, dass dieses der Person ausdrücklich als ein solches zugewiesen wurde. Dieses geht in der Regel mit einer Nutzungsvereinbarung einher, wie sie beispielsweise im Rahmen der Richtlinie über die Förderung von dienstlichen Endgeräten für Lehrkräfte an Schulen in Nordrhein-Westfalen erforderlich ist.

Zur Verfügung stellen – Aushändigung

In Satz 4 und 5 heißt es, die Genehmigung darf nicht erteilt werden, wenn ein Dienstgerät “zur Verfügung gestellt wird” bzw. eine bereits erteilte Genehmigung erlischt “mit Aushändigung eines solchen Gerätes“.

In dieser Stelle werden sicherlich einige Personen eine Möglichkeit sehen, weiterhin mit einem privaten Endgerät mit Genehmigung der Schulleitung zu arbeiten. Reicht es die Annahme eines Dienstgerätes zu verweigern? Kann man gezwungen werden, ein Dienstgerät anzunehmen?

Für die Möglichkeit, die Annahme eines Dienstgerätes verweigern zu können, spricht die Regelung in der Richtlinie über die Förderung von dienstlichen Endgeräten für Lehrkräfte an Schulen in Nordrhein-Westfalen zur Annahme der Nutzungsbedingungen durch die Lehrkräfte. Dort heißt es in Abs. 6.3:

“Der Schulträger stellt den Lehrkräften die digitalen Endgeräte für eine unentgeltliche Nutzung zur Verfügung. Die Nutzungsbedingungen für die digitalen Endgeräte sind durch den Schulträger festzulegen. Die Zustimmung der Lehrkräfte zu den Nutzungsbedingungen ist sicherzustellen.

Ohne Annahme der Nutzungsbedingungen, darf ein Schulträger das Dienstgerät nicht an die Lehrkraft aushändigen. Genauso könnte eine Lehrkraft auch die Einwilligung in die zur Verwaltung der Dienstgeräte erforderliche Datenverarbeitung verweigern oder für eine von beiden die Zustimmung bzw. Einwilligung widerrufen.

Daraus ergibt sich ein Widerspruch zwischen den Regelungen der Verordnung und der Richtlinie.

Auf der anderen Seite wird vermutlich auf die Formulierung “zur Verfügung gestellt wird” verwiesen werden. Die Frage ist hier, was genau man darunter verstehen kann bzw. will. Reicht es bereits aus, wenn der Schulträger ein Gerät für die Lehrkraft beschafft, es für sie einrichtet und ihr einen Termin gibt zur Übernahme, um von “zur Verfügung stellen” zu sprechen? Würde man sich dieser Argumentation anschließen, müsste man auch in Kauf nehmen, dass die Einwilligung der Lehrkraft in die Nutzungsbedingungen dann nicht mehr freiwillig erfolgen kann.

Es bleibt abzuwarten, wie dieser Widerspruch sich in der Praxis auflöst. Von Seiten des MSB und eventuell auch einzelnen Bezirksregierungen oder deren Mitarbeitern dürfte hier am ehesten ein Hinweis zu erwarten sein, dass die Verordnung Vorrang hat und durchzusetzen ist.

Übergangsfrist für den Wechsel

Um den Wechsel vom privaten Gerät auf das Dienstgerät stressfrei zu ermöglichen, räumt der Gesetzgeber den betroffenen Personen eine Übergangszeit ein.

(3) Übergangsweise ist die weitere Nutzung des Privatgeräts für die Dauer von höchstens vier Wochen zulässig, soweit dies zur Übertragung der personenbezogenen Daten auf das dienstliche Gerät erforderlich ist.

Wichtig ist hier, dass Personen, welche eine Genehmigung für ein privates Endgerät hatten, die Verarbeitung von personenbezogenen Daten aus der Schule auf diesen Geräten ab dem Zeitpunkt nicht mehr fortsetzen dürfen und alle diese Daten vom Gerät löschen müssen, sobald sie diese “datenschutzgerecht” auf das Dienstgerät übertragen haben.

Ausnahmeregelung

Der Gesetzgeber erkennt an, dass es Ausnahmen geben kann, die es erforderlich machen, eine Nutzung von Privatgeräten entgegen der vorherigen Regelung zuzulassen. In § 2 Abs. 2 Satz 7 VO-DV I heißt es deshalb:

(7) Unabhängig davon kann die Schulleitung ausnahmsweise in begründeten, von ihr zu dokumentierenden Einzelfällen die Nutzung von Privatgeräten vorübergehend zulassen, soweit dies zur vollumfänglichen schulischen Verarbeitung personenbezogener Daten erforderlich und die datenschutzgerechte Verarbeitung entsprechend der für die Nutzung von Privatgeräten geltenden Standards gewährleistet ist.

Sechs Bedingungen sind an die Ausnahme geknüpft und sie müssen sämtlich erfüllt sein, um von der neuen Regelung bezüglich des Wegfalls der Genehmigung sobald ein Dienstgerät zur Verfügung gestellt wird, abweichen zu können. Die Schulleitung kann die Nutzung von Privatgeräte ausnahmsweise zulassen, jedoch

  1. nur in Einzelfällen,
  2. die zu begründen und
  3. zu dokumentieren sind,
  4. nur vorübergehend und auch nur,
  5. soweit dies zur vollumfänglichen schulischen Verarbeitung personenbezogener Daten erforderlich ist, und
  6. dabei die datenschutzgerechte Verarbeitung entsprechend der für die Nutzung von Privatgeräten geltenden Standards gewährleistet ist.
Einzelfälle

Bei der Ausnahme geht es um Einzelfälle. Wie oft der Einzelfall eintreten darf, um kein Einzelfall mehr zu sein, ist dabei Auslegungssache und dem Fingerspitzengefühl der Schulleitung überlassen. Offen ist außerdem, ob der Einzelfall auf eine einzelne Person oder auf bestimmte Fälle der Datenverarbeitung zu beziehen ist. Das MSB erläutert diesen Passus im Entwurf einer Verordnung zur Änderung von Verordnungen über die im Schulbereich zur Verarbeitung zugelassenen Daten auf S. 12 wie folgt.

Mit der weiteren Möglichkeit, in Einzelfällen die Nutzung von Privatgeräten zuzulassen, soll die Schulleitung dem evtl. Umstand Rechnung tragen können, falls das dienstliche Gerät für eine spezifische schulische Aufgabenerledigung nicht geeignet ist.

Das lässt annehmen, dass es dem Gesetzgeber nicht nur um die einzelne Person geht, sondern auch um Einzelfälle, welche die Datenverarbeitung durch eine Gruppe von Personen betreffen. Können mehrere Personen mit dem Dienstgerät eine bestimmte schulische Aufgabe nicht erledigen, so kann in einem solchen Einzelfall eine Genehmigung ausnahmsweise erteilt werden.

An einer Schule, deren Lehrkräfte sämtlich oder zum Teil mit iPads als Dienstgeräten ausgestattet sind, sollte es deshalb auf der Grundlage der Ausnahmeregelung möglich sein, die Nutzung von Privatgeräten vorübergehend zu genehmigen, wenn am Ende eines Halb- oder Schuljahres die Lehrkräfte ihre Noten in das externe Notenmodul eintragen müssen. iPads sind für diese spezifische schulische Aufgabenerledigung nicht geeignet, nur wenige Schulen haben bisher SchiLD Web, um Noten online einzugeben, und in vielen Schulen stehen auch weiterhin nur wenige für Verwaltungsarbeiten eingerichtete Lehrerarbeitsplätze zur Verfügung, die alternativ genutzt werden könnten. Die zwei Termine im Schuljahr, zu denen die Noten eingetragen werden müssen, wären dann entsprechende Einzelfälle.

Praktisch umgesetzt bedeutet dieses, dass die Schulleitung den Lehrkräften der Schule schriftlich mitteilt, dass die bisherigen Genehmigungen vorübergehend und beschränkt auf die Eingabe der Noten im externen Notenmodul wieder Gültigkeit haben. Lehrkräfte, die mittlerweile ein neues Privatgerät haben, müssten sich eine neue Genehmigung erteilen lassen. Gleiches gilt auch für Lehrkräfte, welchen bisher noch keine Genehmigung erteilt wurde. Um den Vorgaben der von § 2 Abs. 2 Satz 7 VO-DV I zu entsprechen, schreibt sie in die Mitteilung an die Lehrkräfte auch eine Begründung für die Ausnahme und ist dann damit auch ihrer Verpflichtung zur Dokumentation nachgekommen.

Klar sein sollte aus dem Text der Verordnung wie auch der Erläuterung des MSB zum Entwurf der Änderung, dass Lehrkräfte, die mit ihrem Dienst iPad grundsätzlich nicht zurechtkommen und es für ungeeignet halten, ihren dienstlichen Verpflichtungen nachzukommen, keine Chance haben werden, sich auf diese Ausnahmeregelung zu berufen, selbst wenn ihr Anliegen berechtigt ist. Die Ausnahmeregelung ist dafür zu eingeschränkt auf spezifische Fälle, auch wenn diese selbst nicht näher definiert sind.

Vorrübergehend

Auch die Wortwahl vorübergehend lässt einigen Spielraum, der sicherlich von einigen Tagen bis zu mehreren Wochen reichen kann, je nachdem um welche schulische Verarbeitung personenbezogener Daten es geht, die auf dem zur Verfügung gestellten Dienstgerät nicht vollumfänglich möglich ist.

Im Falle des externen Notenmoduls wäre “vorübergehend” eine Dauer von wenigen Tagen. Im Fall von Lehrkräften, welche mit einem Dienst-Laptop ausgestattet sind und bislang mit Genehmigung ihr privates iPad nutzten, um damit täglich im Unterricht mit iPad-Klassen oder mit dem in die Klasse geholten iPad Koffer zu arbeiten, könnten es vermutlich auch mehrere Wochen sein, wenn der Schulträger die Beschaffung von iPads für diese Lehrkräfte in Aussicht gestellt hat und es nur gilt, den Zeitraum bis zum Eintreffen der Geräte zu überbrücken.

Klar ist, dass mit “vorübergehend” dauerhafte Ausnahmen gemeint sind.

Im Juni 2022 informierte der Hauptpersonalrat für Grundschulen beim Ministerium für Schule und Bildung des Landes Nordrhein-Westfalen eine Schulinfo, in welcher auch das Thema Nutzung von Privatgeräten Gegenstand war.

„Zwar ist mit der Einschränkung „vorübergehend“ eine zeitliche Begrenzung der Nutzung beabsichtigt, jedoch besteht keine konkrete Fristvorgabe. Dem Hauptpersonalrat wurde von Seiten des MSB zugesichert, dass die Ausnahmegenehmigung so lange gelten kann, bis man über ein Gerät verfügt, auf dem die schulisch notwendige Aufgabenerfüllung möglich ist. Die Prüfung muss zwar im Einzelfall erfolgen, aber da unter Umständen ganze Kollegien betroffen und in der gleichen Situation sind, kann auch nach der Prüfung des Einzelfalls allen Mitgliedern des Kollegiums eine Ausnahmegenehmigung erteilt werden.
Weitere Vorgaben für die Ausnahmegenehmigung gibt es nicht. Zu einer etwaigen Rückgabe des Dienstgerätes in diesem Fall ist in der Verordnung keine Regelung getroffen. Es reicht aus zu begründen, warum die personenbezogenen Daten nicht auf dem dienstlichen Gerät verarbeitet werden können.“

Was für die Lehrkräfte der Grundschulen gilt, gilt in diesem Fall auch für die Lehrkräfte aller anderen Schulformen. Mit dieser Zusage des MSB gegenüber dem HPR für Grundschulen eröffnet sich auch für andere Schulen eine Möglichkeit, die Vorgaben der VO-DV I etwas großzügiger auszulegen. 

vollumfängliche schulische Verarbeitung personenbezogener Daten

Mit dem zur Verfügung gestellten Dienstgerät sollte es möglich sein, alle personenbezogenen Daten, zu verarbeiten, die zur dienstlichen Aufgabenerledigung3Siehe Richtlinie über die Förderung von dienstlichen Endgeräten für Lehrkräfte an Schulen in Nordrhein-Westfalen und andere Veröffentlichungen des MSB erforderlich sind. Die Geräte sind deshalb den für Verwaltungsarbeiten eingerichteten Lehrerarbeitsplätzen in der Schule gleichgestellt. Die Praxis zeigt jedoch, dass die zur Verfügung gestellten Geräte oft einige Aufgaben aus technischen Gründen nicht abdecken können und sie von daher nicht zur “vollumfänglichen schulischen Verarbeitung von personenbezogenen Daten” geeignet sind. Das gilt vor allem für iPads, kann aber je nach Setting auch für die an Schulen beschafften Windows Laptops gelten.

Daraus einen Einzelfall abzuleiten, für den eine Ausnahme gelten soll, dürfte nur in wenigen Fällen möglich sein, da die anderen Bedingungen die Ausnahme zu sehr einschränken. Haben sich an einer Schule, deren Schüler mit iPads ausgestattet wurden, die Lehrkräfte für Laptops als Dienstgeräte entschieden, um in der Verarbeitung von personenbezogenen Daten außerhalb des Unterrichts nicht eingeschränkt zu sein, so wird die Ausnahmeregelung hier keine Grundlage bieten, dauerhaft weiterhin die privaten iPads einzusetzen für den Unterricht, sofern nicht, wie oben beschrieben, zusätzlich Lehrer iPads beschafft werden sollen, und die Zeit bis zum Eintreffen derselben überbrückt werden muss.

Mit Blick auf die Zusage des MSB gegenüber dem HPR Grundschule sollte es Schulen auch möglich sein, die Voraussetzungen für die Erteilung einer Ausnahme etwas großzügiger zu handhaben. Nach dem oben zitierten Text ist die Erteilung einer Ausnahme möglich, bis man über “ein Gerät verfügt, auf dem die schulisch notwendige Aufgabenerfüllung möglich ist.” Ob das Dienstgerät die Voraussetzungen zur Erfüllung der schulisch notwendigen Aufgeben nicht erfüllt, da es technisch nicht dazu in der Lage ist oder da es vollkommen unergonomisch ist, bleibt dabei offen. Damit sollte es auch möglich sein, eine fehlende iPad Tastatur als Begründung anzugeben oder das zu kleine Display.

Begründet und dokumentiert

Kommt eine Schulleitung zu dem Schluss, dass der Einzelfall vorliegt und sie vorübergehend eine Nutzung von Privatgeräten zulassen möchte, so muss sie dieses für sich begründen und dokumentieren. Es sollte demnach auch einen triftigen Grund geben für die Ausnahme. Die Dokumentation könnte, wie oben beschrieben, mit dem Schreiben erfolgen, mit welchem sie die betreffenden Personen über die Erteilung der vorübergehenden Genehmigung und für welche Verarbeitung von personenbezogenen Daten diese gilt, informiert. Festhalten sollte die Schulleitung außerdem, wem sie die Ausnahme gewährt hat. Ob die Schulleitung als Verantwortlicher hier gegenüber vorgesetzten Dienststellen irgendwann einmal Rechenschaft ablegen muss, geht aus der Verordnung nicht hervor. Es ist aber durchaus möglich, dass das MSB hier zukünftig eine Abfrage machen könnte.

Sonderregelung Schulleitung

Die Schulleitung ist von der Regelung zum Wegfall der Genehmigung ausgenommen, da sie sich selbst keine Genehmigung erteilen kann. Sie kann also weiterhin ein privates Endgerät zur Verarbeitung von personenbezogenen Daten aus der Schule verwenden, ist dabei jedoch auf die in Anlage 3 genannten Daten beschränkt. Dieses wurde in der Änderung noch einmal angepasst und betont.

Entsprechend heißt es in §2 Abs. 2

“Wenn die Schulleiterin oder der Schulleiter personenbezogene Schülerdaten auf privaten digitalen Geräten verarbeitet, ist dies nur für die in Anlage 3 genannten Daten zulässig, soweit die Verarbeitung der Daten zur Aufgabenerfüllung erforderlich ist und der erforderliche Schutz der Daten technisch sichergestellt wird.“

In der Kommentierung im Entwurf der Änderung (S. 12) heißt es dann auch entsprechend: “Mit dem neu angefügten Satz 6 wird klargestellt, dass auch Schulleiterinnen und Schulleiter auf privaten digitalen Geräten nur die personenbezogenen Schülerdaten der Anlage 3 verarbeiten dürfen, dies soweit die Verarbeitung der Daten zur Aufgabenerfüllung erforderlich und der Schutz der Daten technisch sichergestellt ist. Die Klarstellung ist erforderlich, weil die vorstehenden Regelungen zur Genehmigungspflicht durch die Schulleitung ersichtlich nicht gelten können, soweit Schulleitungen selber Privatgeräte nutzen. Sie können sich die Genehmigung nicht selbst erteilen.”

FAQ

  • Kann ein privater Laptop weiterhin zur Administration von Logineo NRW genutzt werden, da dieses mit dem Dienst iPad nicht möglich ist?
    • In den FAQ des MSB zu Logineo NRW heißt es (Stand 01.2022): “Es ist ein weit verbreitetes Missverständnis, dass die Nutzung von LOGINEO NRW auf privaten Endgeräten ohne eine gültige Genehmigung für die Verarbeitung von personenbezogenen Daten auf privaten ADV-Anlagen erlaubt ist. Die Nutzung von LOGINEO NRW auf privaten Endgeräten setzt die Genehmigung zur Verarbeitung von personenbezogenen Daten auf privaten Endgeräten voraus.”
    • Sofern sich die bei der Administration von Logineo NRW verarbeiteten personenbezogenen Daten auf die in Anlage 3 beschränken, könnte die Schulleitung eine vorübergehende Genehmigung auf der Grundlage von § 2 Abs. 2 Satz 7 VO-DV I erteilen. Es wäre in einem solchen Fall zu empfehlen, der Lehrkraft für die Administrationsaufgaben ein geeignetes zusätzliches Dienstgerät, etwa einen Laptop, zur Verfügung zu stellen.
    • Müssen bei der Administration von Logineo NRW auch personenbezogene Daten verarbeitet werden, die über die in Anlage 3 aufgeführten hinausgehen, ist die Nutzung eines Privatgerätes dafür auch mit Genehmigung nicht möglich.
  • Kann ein privater Laptop weiterhin zur Vorbereitung von Aufgaben in  Logineo NRW LMS genutzt werden, da dieses mit dem Dienst iPad nicht vollumfänglich möglich ist?
    • Der Zugriff auf Logineo NRW setzt, gem. der Aussagen in den FAQ des MSB immer eine Genehmigung voraus. Das heißt, auch wenn man nicht beabsichtigt, auf Schülerdaten wie erledigte Aufgaben oder Nachrichten zuzugreifen, geht es ohne die Genehmigung nicht. Ist diese erloschen, weil ein Dienstgerät zur Verfügung gestellt wurde, kann auf Logineo NRW nicht mehr von einem Privatgerät zugegriffen werden.
  • Wie sieht es mit dem Abruf von E-Mails vom dienstlichen Konto im Logineo NRW der Schule aus?
    • Auch dieses ist, wenn man sich an den Aussagen in den FAQ des MSB zu Logineo NRW orientiert nicht mehr möglich, sobald die Genehmigung erloschen ist. Eine Ausnahmeregelung auf der Grundlage von § 2 Abs. 2 Satz 7 VO-DV I dürfte hier nicht realistisch sein, außer es handelt sich um eine Person, die dringend über dieses E-Mail Konto jederzeit erreichbar sein muss und es ist bereits eine Alternativ-Lösung wie ein Dienst-Smartphone in Vorbereitung.
  • Der Messenger von Logineo NRW ist für eine schnelle Kommunikation gedacht, auch außerhalb der Unterrichtszeiten. Was ist damit? 
    • Leider sieht es auch hier nicht anders aus. Orientiert man sich an den FAQ des MSB, ist eine Nutzung ohne die Genehmigung nicht zulässig, da die Nutzung immer mit der Verarbeitung von personenbezogenen Daten einhergeht.
  • Darf man mit dem privaten Smartphone weiterhin mit Eltern telefonieren, wenn ein Dienstgerät zur Verfügung gestellt wurde?
    • Telefonnummern stellen personenbezogene Daten dar. Zur Verarbeitung von Telefonnummern von Schülern, Eltern und Lehrkräften auf einem privaten digitalen Endgerät braucht es entsprechend eine Genehmigung der Schulleitung.
    • Ich persönlich halte es jedoch für vertretbar, ein privates Smartphone weiterhin für Telefonate mit Schülern, Eltern und anderen Lehrkräften auch ohne Genehmigung zu nutzen, sofern man die Telefonnummern nicht als Kontakte auf dem Smartphone oder in einem Online-Adressbuch, auf welches man vom Smartphone aus zugreift, speichert. Zwar werden die Telefonnummern von Personen, welche angerufen wurden in einer Anrufliste gespeichert, doch erfolgt dieses ohne Namen. Gleiches geschieht, wenn man von Schülern, Eltern und Kollegen angerufen wird. Und dieses wird niemand verbieten.
  • Kann man über ein Smartphone zumindest noch den Vertretungs- und Stundenpläne sowie Aufsichtspläne abrufen, auch ohne Genehmigung?
    • Ja, das geht, und es braucht keine Genehmigung der Schulleitung hierfür. Hier gibt es in der § 2 Abs. 5 VO-DV II eine Ausnahmeregelung, die unter Ausnahme von der Genehmigungspflicht im Beitrag zu den Änderungen in der VO-DV II bezüglich der Nutzung von Privatgeräten näher erklärt ist.
  • Weitere FAQ folgen …

Stand September 2022

Verarbeitung, Bearbeitung, Speicherung, Bildschirmanzeige und Logineo NRW

Lesezeit: 4 Minuten

Manchmal können einzelne Worte entscheidend sein. Beim Datenschutz hängt von Formulierungen in rechtlichen Vorgaben deshalb eine Menge ab. Ein Beispiel dafür ist die VO-DV I, welche regelt, welche Daten eine Schule verarbeiten darf und, in diesem Zusammenhang besonders interessant, welche personenbezogenen Daten Lehrkräfte mit Genehmigung der Schulleitung auf privaten Endgeräten verarbeiten dürfen.1siehe hierzu Anlage 3 der VO-DV I Entscheidend ist hier das Wort verarbeiten. So heißt es in §2 Abs. 2 Satz 1 VO-DV I von Februar 2017:

“Die Verarbeitung personenbezogener Daten von Schülerinnen und Schülern in privaten ADV-Anlagen von Lehrerinnen und Lehrern für dienstliche Zwecke bedarf der schriftlichen, ein Verfahrensverzeichnis gemäß § 8 DSG NRW enthaltenden Genehmigung durch die Schulleiterin oder den Schulleiter.”

Eine entsprechende Formulierung findet sich auch in der Dienstanweisung für die automatisierte Verarbeitung von personenbezogenen Daten in der Schule, die im Februar 2018 zum ursprünglich geplanten Einführungstermin von Logineo NRW erschien:

“Die Verarbeitung personenbezogener Daten für dienstliche Zwecke auf privaten ADV-Anlagen von Lehrkräften ist nur mit schriftlicher Genehmigung der Schulleiterin oder des Schulleiters zulässig.”

Die Wahl des Wortes Verarbeitung macht je nach Perspektive durchaus Sinn. Als die Verordnung erlassen wurde, ging es darum, durch den Begriff Verarbeitung eine Eingrenzung vorzunehmen. Es sollte damit sichergestellt werden, dass die in der Anlage aufgeführten personenbezogenen Daten aus der Schule nur auf dem durch eine Genehmigung zugelassenen Gerät selbst gespeichert, angesehen, verändert, kopiert usw. werden dürfen, nicht jedoch in der Cloud oder auf anderen Geräten, sofern für diese keine Genehmigung vorliegt.

Verarbeitung findet sich als ein grundlegender Begriff in allen Datenschutzgesetzen und ist in der DS-GVO in Art. 4 Nr. 2 definiert.

Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;”

Diese Definition ist sehr weit und umfasst, je nach Auslegung, “jeden Vorgang, der irgendwie im Zusammenhang mit personenbezogenen Daten steht.”2Rossnagel, S. 300, Simitis, Hornung, Spieker, Art. 4 Nr. 2 Rn11 So fallen auch sämtliche technischen Vorgänge innerhalb eines Computers darunter, bei welchen personenbezogene Daten beteiligt sind, auch das Anzeigen am Bildschirm, und ohne dass ein Nutzer die angezeigten Daten in irgendeiner Form aktiv verändert.3“Auch wenn die Daten etwa im Cache eines Browsers nur kurzzeitig zwischengespeichert werden, stellt dies ebenso eine Verarbeitung dar wie die bloße Anzeige einer Datei auf einem Bildschirm oder die Weitergabe eines mobilen Speichermediums.” Rossnagel, S. 300, Simitis, Hornung, Spieker, Art. 4 Nr. 2 Rn11

Entsprechend ist auch folgenden Aussage von Ende Januar 2019 aus Richtung Ministerium bezüglich der Zulässigkeit des Online-Zugriffs auf nicht in Anlage 3 aufgeführte personenbezogenen Daten stimmig4Die Quelle dieser Aussage ist mir bekannt, soll hier jedoch nicht genannt werden, um mögliche Probleme zu vermeiden.:

“Da die Verarbeitung von Gesundheits- und Verhaltensdaten im Rahmen der Erstellung von Fördergutachten nicht genehmigungsfähig ist- diese Daten werden in Anlage 3 VO-DV I nicht gelistet – können sie mit Personenbezug nicht auf Privatgeräten erstellt werden. Auch nicht online, da dazu ja in der Regel die Anzeige auf einem Monitor erforderlich ist.

Warum ist das Wort Verarbeitung so wichtig?

Es ist wichtig, denn mit diesem einen Wort steht und fällt das Konzept das Daten-Safe in Logineo NRW.

Nach Anlage 3 der VO-DV I sind Daten, die dort nicht explizit aufgeführt sind, von der Genehmigung ausgenommen und dürfen von daher unter keinen Umständen auf einem privaten Endgerät verarbeitet werden. Zu diesen Daten zählen z.B. Wortzeugnisse und Gutachten im Rahmen eines AOSF Verfahrens oder Notizen, welche sich Förderpädagogen bei Unterrichtsbeobachtungen machen, wenn es um Fördergutachten geht. Im Alltag bereitet diese Einschränkung Lehrkräften mangels Alternativen enorme Probleme, da oft weder Dienstgeräte noch ausreichend Computer Arbeitsplätze in der Schule zur Verfügung stehen.

Hier kommt nun der sogenannte Daten-Safe von Logineo NRW ins Spiel.

In der Rahmenmediennutzungsordnung5Der Link zum Dokument von 2017 ist nicht länger verfügbar. zur Landesplattform heißt es:

“Besonders schützenswerte Daten/Dokumente werden in dem durch ein weiteres Passwort gesicherten „Daten-SAFE“ der Verwaltungscloud gespeichert.”

Der Daten-Safe erlaubt nicht nur eine Speicherung, sondern auch eine Bearbeitung von Dokumenten. In Teil B Datensicherheit der aktuellen Version der Genehmigung zur Verarbeitung von personenbezogenen Daten aus der Schule auf privaten Endgeräten6Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gemäß § 2 Absatz 2 VO-DV I/§ 2 Absatz 4 VO-DV II – abgerufen 01.03.2019 heißt es deshalb:

“Sofern LOGINEO NRW eingesetzt wird und erreichbar ist: Bearbeitung und Speicherung von Dokumenten, die sensible personenbezogene Daten (z.B. Wortzeugnisse) enthalten, ausschließlich über den Online-Editor von LOGINEO NRW.”

Dieser Formulierung nach soll der Daten-Safe es Lehrkräften ermöglichen, bei Vorliegen der Genehmigung, die oben genannten sensiblen personenbezogenen Daten, die unter keinen Umständen auf einem privaten Endgerät verarbeitet werden dürfen, von selbigem Gerät aus im Online-Editor des Daten-Safes zu bearbeiten und zu speichern.7In einer Präsentation von 2017 zu Logineo NRW hieß es zum Daten-Safe unter anderem auch “Der Online-Editor ermöglicht die Arbeit mit privaten digitalen Endgeräten.” und “Es steht ein Online-Editor zur Verfügung, sodass Dokumente mit besonders schützenswerten Daten nicht auf schulischen oder privaten Endgeräten gespeichert werden müssen.” Quelle: SlideShare Das Konzept des Daten-Safe in Logineo NRW geht davon aus, dass zur Bearbeitung, welche auch eine Anzeige einschließt, keine Speicherung auf dem Endgerät erforderlich ist. Es wird in älteren Dokumenten zum Daten-Safe auch von einer virtuellen Umgebung gesprochen. Die sensiblen personenbezogenen Daten befinden sich nur vorübergehend im Browser Cache, was nicht mit einer permanenten Speicherung gleichzusetzen ist. 8Diese Einschätzung wird auch von Experten geteilt. Siehe dazu Eßer in Eßer, Kramer, v. Lewinski Art. 4 Nr. 2 DS-GVO Rn. 43 und Herbst in Kühling, Buchner, Art. 4 Nr. 2 DS-GVO Rn. 24. Entsprechend ist Logineo NRW gedacht als “Eine Basis-IT-Infrastruktur, als ein geschützter virtueller Arbeitsraum zur rechtskonformen Datenverarbeitung mit einer zentralen Benutzerverwaltung und grundlegenden Modulen zur Kommunikation, Organisation und Recherche für digitale Lernmittel, kann eingeführt werden.9Dienstanweisung für die automatisierte Verarbeitung von personenbezogenen Daten in der Schule Nr. 1 Satz 3

Während es im Text der VO-DV I um Verarbeitung geht, wird beim Daten-Safe von Bearbeiten und Speichern gesprochen, zwei Formen der Verarbeitung. Damit ergibt sich ein Problem für das Nutzungskonzept des Daten-Safe unter den Vorgaben der VO-DV I zum aktuellen Stand.

Bearbeitet und speichert eine Lehrkraft nicht in Anlage 3 gelistete, sensible personenbezogene Daten von Schülerinnen und Schülern von einem genehmigten privaten Endgerät aus im Daten-Safe von Logineo NRW, verstößt sie – entsprechend der Auslegung des Wortes Verarbeitung durch das MSB – gegen die Vorgaben der VO-DV I.10Es sei denn die oben zitierte im Teil B der Genehmigung enthaltene Vorgabe, dass diese Daten bei Verfügbarkeit ausschließlich im Online-Editor des Daten-Safe von Logineo NRW bearbeitet und gespeichert werden dürfen reicht bereits als Rechtsgrundlage, um eine Ausnahme von der Vorgabe in der VO-DV I zu schaffen.

Verarbeitung – Bearbeiten und Speichern

Der Daten-Safe zielt darauf ab, durch Bereitstellung einer virtuellen Umgebung eine Speicherung und Bearbeitung auf dem Endgerät selbst zu vermeiden. Da aber bereits der Zugriff über den Browser auf nicht in Anlage 3 aufgeführte sensible personenbezogene Daten nach der VO-DV I untersagt ist, da dieser bereits eine Verarbeitung darstellt, kann es also nur eine Lösung geben. Die VO-DV I muss angepasst werden. Es kann dabei nicht ausreichen, einen Erlaubnistatbestand für die Verarbeitung der genannten Daten von einem privaten Endgerät aus über eine in den technischen und organisatorischen Maßnahmen aufgeführte Ausnahme zu legitimieren, wie bisher geschehen. Vor Gericht hätte das im Zweifelsfall vermutlich keinen Bestand. Wäre Logineo NRW im ersten Anlauf, vor dem Zwangsstop, in Betrieb genommen worden, wäre die Nutzung zumindest in Teilen wider die Vorgaben der VO-DV I erfolgt. Interessant, dass keinem der Beteiligten dieses Problem in der Vergangenheit aufgefallen ist.

Zur Zeit befindet sich die VO-DV I in der Überarbeitung. Man darf gespannt sein, ob die “neue” Version dieses Problem löst.

Die aktuell gültige Version von Anlage 3 VO-DV I (03/2019)

Alles Wortklauberei, möchte mancher jetzt vielleicht sagen. Leider nein, denn mitunter kommt es auf die Wahl des Wortes an.