Hauptinhalt
Datenschutz und IT-Sicherheit an Schulen
FAQ – Datenschutz an Schulen
Anwendungen und Apps
Apps zur Notenverwaltung
Gibt es datenschutzrechtliche Bedenken bei der Nutzung von Notenverwaltungs-Apps auf dem dienstlichen IPad?
Grundsätzlich entscheidet die Schule bzw. die Schulleiterin / der Schulleiter – in der Regel in Rücksprache mit dem ausstattenden Schulträger - welche Werkzeuge sie für ihre schulinternen Verwaltungsprozesse einsetzt.
Bei Systemen, die bei externen (technischen) Dienstleistern auf schulexternen Servern oder „cloudbasiert“ betrieben werden, muss die Schulleiterin / der Schulleiter eine sog. Verarbeitung von Daten im Auftrag (Auftragsverarbeitung gem. Art. 28 DSGVO) mit dem Dienstleister vereinbaren. Zu beachten ist zudem, dass - falls Lehrkräfte private Endgeräte einsetzen möchten - diese von der Schulleiterin / dem Schulleiter zu genehmigen sind.
Auswahl und Einsatz digitaler Klassenbücher
1. Gibt es datenschutzrechtliche Bedenken, oder können Anbieter ausgewählt werden, dessen Angebot zusagt?
Grundsätzlich entscheidet die Schule bzw. die Schulleiterin / der Schulleiter – in der Regel in Rücksprache mit dem ausstattenden Schulträger - welche Werkzeuge sie für ihre schulinternen Verwaltungsprozesse einsetzt.
Datenschutzrechtlich ist beim Einsatz automatisierter Verfahren, welches ein digitales Klassenbuch darstellt, sicherzustellen, dass die Schule "Herrin der Daten" bleibt, dass sie also über Mittel, Art und Zwecke der Datenverarbeitungen der ihr anvertrauten und von ihr verarbeiteten Daten bestimmt. Die Schule hat, wie jede andere datenverarbeitende Stelle auch, ihre Verfahren zur Verarbeitung personenbezogener Daten in einem "Verzeichnis der Verarbeitungstätigkeiten" gem. Art. 30 DSGVO (s. https://dsgvo-gesetz.de/) zu dokumentieren. Dieses Verzeichnis dokumentiert alle grundlegenden Belange der Datenverarbeitungen, wie z. B. verarbeitete Daten, Rechtsgrundlagen, Zugriffsberechtigte, Löschfristen etc. Zur Unterstützung der Schulen hat das Schulministerium ein Referenz-Verzeichnis entwickelt (s. https://www.medienberatung.schulministerium.nrw.de/Medienberatung/Datensicherheit-und-Datenschutz/Praxishilfen-Datenschutz/Verarbeitungsuebersicht-Schule/).
Das Verzeichnis dient zudem als Quelle und Unterstützung, um weitere datenschutzrechtliche Pflichten, wie z. B. Informationspflichten, erfüllen zu können oder festzustellen, ob ggf. Einwilligungen Betroffener eingeholt werden müssen, weil sich für die Schule keine einschlägige Rechtsgrundlage für eine Datenverarbeitung aus Schulgesetz und Verordnungen (u. a. VO-DV I, VO-DV II) ergibt. Denn oftmals beinhalten Systeme Funktionalitäten, wie z. B. "Sitzpläne mit Fotos der Schülerinnen und Schüler", die mit Datenverarbeitungen einhergehen – im genannten Beispiel also für die Bilddaten – für die die Schule Einwilligung der Betroffenen benötigt.
Bei Systemen, die bei externen (technischen) Dienstleistern auf schulexternen Servern oder „cloudbasiert“ betrieben werden, muss die Schulleiterin / der Schulleiter eine sog. Verarbeitung von Daten im Auftrag (Auftragsverarbeitung gem. Art. 28 DSGVO) mit dem Dienstleister vereinbaren. Zu beachten ist zudem, dass - falls Lehrkräfte private Endgeräte einsetzen möchten - diese von der Schulleiterin / dem Schulleiter zu genehmigen sind.
2. Reicht ein digitaler Eintrag als Nachweis, dass eine bestimmte Lehrkraft den eingetragenen Unterricht erteilt hat?
Ja, ein digitaler Eintrag ist insofern ausreichend, denn Klassenbücher dürfen seit einer entsprechenden Änderung des § 4 Abs. 5 VO-DV I auch ausschließlich digital geführt werden, die Papierform ist nicht mehr zwingend erforderlich. Gemäß Anlage 2 dieser Verordnung enthält das Klassenbuch unter anderem auch "Nachweise zum Unterricht" (s. I Ziff. 1 der Anlage 2 zu § 4 Abs. 5 VO-DV I). Eine (ausschließliche) digitale Klassenbuchführung, aus der sich Unterrichtsnachweise ergeben, ist daher zulässig und auch ausreichend. Wie bei der analogen Dokumentation ist bei digitalen Systemen ebenso die „Integrität der Daten“ bzw. der Eintragungen gewährleistet ist, was u. a. bedeutet, dass Eintragungen und ggf. Änderungen eindeutig einer Person zugeordnet werden können.
3. Reicht die Speicherung eines digitalen Klassenbuches, um der Aufbewahrungsfrist nachzukommen?
Ja, eine elektronische Speicherung ist grundsätzlich ausreichend. Die Aufbewahrungsfrist von (digitalen) Klassenbüchern beträgt nach § 9 Abs. 1 Nr. 3, Abs. 2 VO-DV I 10 Jahre. Dies gilt - wie sich § 9 Abs. 2 S. 1 VO-DV I entnehmen lässt - unabhängig davon, ob es sich um physische oder digitale Klassenbücher handelt. Da Klassenbücher mittlerweile auch ausschließlich elektronisch geführt werden dürfen (s. Antwort zu Frage 2), erfüllt grundsätzlich auch die ausschließlich digitale Speicherung die Anforderungen an die Aufbewahrungsfrist.
4. Was passiert, wenn der Server "abstürzt" und die Daten nicht mehr vorhanden sind?
Die Verfügbarkeit der Daten ist im Rahmen der Sicherheit der Verarbeitung gem. Art. 30 DSGVO sicherzustellen und liegt an Schulen in Verantwortung der Schulleiterin / des Schulleiters. Dem entsprechend sind u. a. Backup- (und Wiederherstellungs-) wie auch Archivierungsverfahren vorzusehen und ggf. mit dem (technischen) Dienstleister zu vereinbaren.
5. Sollte Eltern der Zugang zum digitalen Klassenbuch ermöglicht werden?
Das Klassenbuch ist ein schulisches, internes Dokument, in dem für jede Stunde der behandelte Unterrichtsstoff, die Fehlzeiten eines Schülers, die Hausaufgaben, auffälliges Verhalten von Schülerinnen und Schülern und weitere Daten festgehalten werden. Die Dokumentation dieser Informationen ist zur Aufgabenerfüllung der Lehrkräfte und der Schulleitung erforderlich.
Zugriff auf die Informationen elektronischer Klassenbücher haben - wie bisher beim Klassenbuch in Papierform – nur diejenigen Personen, für die es zur Aufgabenerfüllung erforderlich ist (vgl. §§ 120ff SchulG).
Für Eltern besteht regelmäßig kein Bedürfnis, Einsicht in die Eintragungen des Klassenbuches zu nehmen. Sie können sich über Unterrichtsinhalte und Hausaufgaben bei ihren Kindern oder den betreffenden Lehrkräften informieren.
Das Recht auf individuelle Auskunft über die sie angehenden Daten z. B. im Rahmen der Nutzung eines digitalen Klassenbuchs durch die Schule steht den Betroffenen selbstverständlich zu.
6. Dürfen Lehrkräfte ihre privaten Endgeräte für den Zugang zu einem digitalen Klassenbuch verwenden?
Manche digitale Klassenbuchsysteme bieten den Nutzerinnen und Nutzern die Möglichkeit, über eine App auf das System zuzugreifen. Schulleiterinnen bzw. Schulleiter können Lehrkräften, Lehramtsanwärterinnen und Lehramtsanwärtern, Lehrkräften in Ausbildung, sonstigem pädagogischen und sozialpädagogischen Personal sowie Schulpsychologinnen und Schulpsychologen die Nutzung ihrer privaten Endgeräte für dienstliche Zwecke genehmigen.
Dabei sind jedoch folgende Voraussetzungen zu erfüllen:
· Die Genehmigung muss schriftlich erfolgen (vgl. § 2 Abs. 2 S. 1 VO-DV I). Das Verfahren wie auch das Genehmigungsformular sind in der „Dienstanweisung digitale Endgeräte (DA ADV)“, BASS 10-41 Nr. 4 festgelegt (https://bass.schul-welt.de/17585.htm).
Zu beachten ist, dass das mehrseitige Genehmigungsformular noch aus dem Jahr 2018 stammt und Änderungen noch nicht eingearbeitet wurden.
Teil F – Datenverarbeitung durch LAA - darf für die Leiterinnen bzw. Leiter der ZfsL von den Schulleiterinnen und Schulleiter unterzeichnet werden.
Teil G – Vorabkontrolle (Kommentar und Unterschrift des zuständigen behördlichen Datenschutzbeauftragten) ist seit Inkrafttreten der DSGVO nicht mehr verpflichtend vorgesehen (vgl. Fußnote im Genehmigungsformular).
· Die Genehmigung darf nicht erteilt werden, wenn ein persönliches dienstliches digitales Gerät für schulische Zwecke zur Verfügung gestellt wird (vgl. § 2 Abs. 2 S. 4 VO-DV I).
Sollte ein bereitgestelltes dienstliches Endgerät die benötigte Funktionalität jedoch nicht unterstützen – das ist z. B. häufig der Fall im Umfeld der Nutzung von Systemen zur Zeugniserstellung – kann die Genehmigung von der Schulleiterin bzw. dem Schulleiter dennoch erteilt werden, allerdings nur für die benötigte Funktionalität.
Ein solcher Ausnahmefall besteht in der Regel bei digitalen Klassenbuchsystemen nicht, da diese meist einen Zugang über den Webbrowser ermöglichen oder über eine App, die auch auf den dienstlichen Endgeräten installiert werden kann. Ggf. ist hierzu der Schulträger einzubeziehen.
Apps zur Audioaufzeichnung
Unter welchen Voraussetzungen können an Schule Apps für Audioaufzeichnungen und Audiofeedback eingesetzt werden?
Nutzung ohne Lizensierung:
Die Rechtsgrundlage für das Anlegen von Nutzerkonten, wie auch die Nutzung von Apps zur Aufzeichnung, Kommunikation und Wiedergabe von Audiodateien (z. B. Vocaroo, Tchirp, QWIQR, ...) ohne Lizensierung stellen die AGB der Anbieter dar. Dies gilt für Lehrkräfte wie auch für Lernende. Die Datenverarbeitung erfolgt nicht auf Basis des SchulG NRW, sondern im Rahmen der Vertragserfüllung durch den jeweiligen Anbieter. Verarbeitende Stelle ist somit der jeweilige Anbieter. Entsprechend bedarf letzterer einer Rechtfertigung für die Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 DSGVO. Einschlägig dürften in der Regel entweder berechtigte Interessen der Anbieter und/oder eine Einwilligung der Nutzerinnen und Nutzer sein. Etwaige aus der DSGVO resultierende Informationspflichten sind somit auch durch den jeweiligen Anbieter und nicht durch die Schule zu erfüllen. Die Schule hat diesbezüglich jedoch gewissermaßen eine moralische Verantwortung selbst informiert zu sein. Lehrkräfte und Schulleitung sollten in Bezug auf die Umstände der Datenverarbeitungen und den Anbieter sprechfähig sein, um Nutzerinnen und Nutzern von ihrer Seite aus informieren zu können. Zudem hat die Schule ja ein eigenes Interesse daran, dass ein von ihr für ihre pädagogischen wie organisatorischen Prozesse gewünschtes Tool auf große Akzeptanz stößt und möglichst von allen genutzt wird.
Das Einsprechen eines Audiofeedbacks durch eine Lehrkraft wie auch die Nutzung durch Lernende erfolgt freiwillig. Lehrkräfte sollten beachten, dass kein Bezug zu den angesprochenen Personen hergestellt werden kann. Datenschutzrechtlich kann ein "Hallo Lieschen" schon problematisch sein, wenn man auf „Hardliner“ trifft. Aus diesem Grunde sollte sie die Eltern – und natürlich ihre Schulleitung - von ihrem Vorhaben informieren, um für möglichst hohe Akzeptanz zu sorgen. Feedback für Kinder von „Hardlinern“ sollte – wenn überhaupt - ohne jeglichen Personenbezug eingesprochen werden.
Es sollte unbedingt kommuniziert werden, dass der Zeitpunkt des Abrufs durch Lernende von der Lehrkraft ersichtlich ist. Die Verarbeitung dieses Datums ist datenschutzrechtlich heikel. Feedback für Kinder von „Hardlinern“ sollte aus diesem Grunde nicht erfolgen.
Die Kommunikation des Zugangs zum Feedback (Link, QR-Code) sollte über einen geschützten Weg erfolgen, z. B. analog ausgedruckt oder über eine den Lernenden zur Verfügung gestellte schulische E-Mail-Adresse. Die Kommunikation an private E-Mail-Adressen von Lernenden sollte nur nach expliziter Aufforderung und der Kommunikation der Problematik von E-Mails („wie eine digitale Postkarte“) erfolgen.
Nutzung mit Lizensierung:
Sollte trotz Möglichkeit der Lizensierung keine Vereinbarung zur Auftragsverarbeitung zwischen Schulleiterin bzw. Schulleiter und Anbieter geschlossen werden können, und/oder das Hosting des Systems außerhalb der EU oder in Ländern ohne vergleichbares Datenschutzniveau stattfinden, so gelten die vorstehenden Ausführungen zur Nutzung ohne Lizensierung.
Kann eine Vereinbarung zur Auftragsverarbeitung zwischen Schulleiterin bzw. Schulleiter und Anbieter geschlossen werden, so wird die Schule „Verarbeitende Stelle“, Verantwortlicher ist die Schulleiterin bzw. der Schulleiter.
Datenverarbeitungen erfolgen auf Basis des SchulG NRW und ggf. wirksamer Einwilligungen. Einwilligungen sind u.a für die Verarbeitung von Audioaufzeichnungen der Stimme der Betroffenen erforderlich. Die Einwilligungen werden der Schule gegenüber erklärt. Dies kann durch „konkludentes Handeln“ erfolgen, z. B. indem Betroffene bzw. bei Minderjährigen deren Eltern nach hinreichender Information (Art. 13, 14 DSGVO) über die Datenverarbeitungen sowie über ihre Rechte eine Aufzeichnung ihrer Stimme vornehmen.
Da die Audioaufzeichnungen auf freiwilliger Basis erfolgen, ist eine verpflichtende Nutzung nicht möglich.
Die Schule hat das Verfahren in ihrem Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren.
Office 365
Wie sieht die datenschutzrechtliche Bewertung für den Einsatz von Microsoft Office 365 für den schulischen Einsatz in NRW aus?
siehe dazu auf der Seite des MSB:
Sprachassistenten wie Siri oder Alexa
Wie ist der Einsatz von Sprachassistenten im schulischen Kontext datenschutzrechtlich zu bewerten?
Die in der Regel für die Ausstattung ihrer Schulen gem. §79 SchulG NRW zuständigen Schulträger stehen vor der Herausforderung, den Schulen eine digitale Ausstattung zur Verfügung zu stellen, die den Lehrenden - und ggf. Lernenden - bei zunehmend digitalisierten Bildungsprozessen im Spagat zwischen hoher Datensicherheit und pädagogischer Freiheit größtmögliche Handlungsfähigkeit ermöglicht. Die Schulträger sind bemüht und gewillt, ihren Schulen zu deren Erfüllung des ihnen übertragenen Bildungs- und Erziehungsauftrags eine adäquate Ausstattung bereitzustellen. Die Ausstattung sollte dabei die technisch-pädagogischen Bedarfe der Einzelschule berücksichtigen, die Beschaffung geschieht jedoch in der Regel entlang der kommunalen Prozesse, die auch die Einbindung, die Administration, die Wartung und den Support gerade von IT-Ausstattung berücksichtigen muss.
Seitens der ausstattenden Stelle sollten Entscheidungen, die aus datenschutzrechtlichen Überlegungen heraus über die Nutzung bzw. Bereitstellung technischer Funktionen der Ausstattung getroffen werden müssen, nicht eigenmächtig und ohne Rücksprache bzw. Einvernehmen mit den Schulen entschieden werden. Verantwortlich für den Datenschutz (und die damit verschränkte Datensicherheit) der durch die Schule im Rahmen ihres Bildungs- und Erziehungsauftrags erhobenen und verarbeiteten Daten von Schülerinnen und Schülern, Eltern und Lehrkräften ist gem. §2 Abs. 3 VO-DV I (https://recht.nrw.de/lmi/owa/br_text_anzeigen?v_id=10000000000000000576) die jeweilige Schulleiterin bzw. Schulleiter, der Schulträger zeichnet hier nur mittelbar im Rahmen einer Datenverarbeitung im Auftrag (gem. Art. 28 DSGVO, https://dsgvo-gesetz.de/art-28-dsgvo/in Verbindung mit Art. 32 DSGVO, https://dsgvo-gesetz.de/art-32-dsgvo/) verantwortlich.
Konkret sollte der Schulträger bei der Konfiguration und dem Device-Management von digitalen Endgeräten zwar die Zulässigkeit der dabei erhobenen und verarbeiteten Daten sicherstellen - so ist z. B. die Erhebung und Verarbeitung von Geodaten u. a. zur Ortung von verlorenen dienstlichen oder Schülerinnen und Schülern zur Verfügung gestellten Endgeräten nur mit wirksamer Einwilligung der Betroffenen bzw. deren Eltern zulässig. Die grundsätzliche Deaktivierung von Ortungsdiensten durch den Schulträger ist jedoch nicht unbedingt sinnvoll, da in pädagogischem Kontext diese Funktion durchaus erforderlich sein kann. Ähnlich verhält es sich bei der Möglichkeit, Sprachassistenten wie Siri oder Alexa aktivieren zu können.
In der Regel stellt weder die Schule noch der ausstattende Schulträger bei der aktiven Nutzung solcher Funktionen und Dienste durch Lehrkräfte oder Lernende die datenverarbeitende Stelle dar, sondern die Daten werden durch die Dienstanbieter (google, Apple, ...) auf Basis derer AGB bzw. unter deren Nutzungsbedingungen verarbeitet. Damit liegen die Informationspflichten bzgl. der Datenverarbeitungen bei den Anbietern, und Einwilligungen, die nicht schriftlich, sondern ebenso durch das aktive Einschalten der Funktionalitäten erteilt werden können, sind diesen Anbietern gegenüber zu erteilen.
Eine Schule, die derartige Systeme von ihren Schülerinnen und Schülern einsetzen lässt oder einen Einsatz empfiehlt, sollte sich selbst und die Lernenden allerdings ebenfalls über die Datenverarbeitungen informieren und diese als konkreten Anlass im Rahmen ihres Bildungs- und Erziehungsauftrags und in Anlehnung an den Medienkompetenzrahmen zum Unterrichtsthema machen. Dadurch wird nicht nur Medienkompetenz bei allen Betroffenen erreicht, sondern auch eine hohe Akzeptanz für die von der Schule empfohlenen Angebote.
Empfehlenswert ist, sofern möglich, die verwendeten Geräte so zu konfigurieren oder von den Nutzerinnen und Nutzern so konfigurieren zu lassen, dass die Aktivierung der Assistenzsysteme nicht per Sprachbefehl („Hey Siri“, „Hey Alexa“) erfolgt, sondern per Druck bzw. Klick auf einen Button. Auch damit erreicht man eine höhere Akzeptanz bei ggf. Kritikern (Vorwurf: „Siri/Alexa hört immer mit!“) und stellt zudem sicher, dass die Assistenzsysteme nicht unbeabsichtigt aktiviert werden.
Ausstattung
Digitale Endgeräte für Schüler*innen
Informationen zur Ausstattung und Finanzierung von digitalen Endgeräten durch Eltern finden sich auf den Seiten des Schulministeriums hier:
Dienstliche Endgeräte für Lehrkräfte
Wer ist für die Konfiguration der dienstlichen Endgeräte der Lehrkräfte zuständig und in welche Netzwerke sind sie einzubinden?
Wo finden sich Informationen des MSB zu dienstlichen Endgeräten?
Schulische Netzwerke, Netztrennung
Welche Arten von IT-Netzwerken stellen Schulträger den Schulen in der Regel zur Verfügung?
Kommunikation und Datenaustausch
Konferenzen digital
Ist es zulässig, Konferenzen digital durchzuführen?
Leider ist die Rechtslage hinsichtlich der Durchführung digitaler Konferenzen von Schulmitwirkungsgremien mangels entsprechender Rechtsvorschriften unklar. Im SchulG NRW finden sich zwar einige Verfahrens- und Formvorschriften für die schulischen Mitwirkungsgremien (insbes. § 63 SchulG NRW, BASS 17-02), jedoch dürften diese Regelungen die zunehmende Digitalisierung nicht berücksichtigt haben und somit „nur“ auf Präsenzveranstaltungen zugeschnitten sein. Gleichwohl halten wir aus den folgenden Gründen und unter Berücksichtigung der folgenden Hinweise auch digitale Formate für möglich und zulässig.
Für juristische Personen des Privatrechts hat der Bundesgesetzgeber mittlerweile das sog. COGMG (Gesetz über Maßnahmen im Gesellschafts-, Genossenschafts-, Vereins-, Stiftungs- und WEG-Recht zur Bekämpfung der Auswirkungen der COVID-19-Pandemie) erlassen. Im Hinblick auf die im Schulrecht bestehende Regelungslücke lassen sich unseres Erachtens aufgrund einer Vergleichbarkeit der Interessenlage das COGMG bzw. dessen Rechtsgedanken zumindest teilweise analog heranziehen.
Dadurch gelangen wird zu der folgenden Einschätzung:
Nach unserem Dafürhalten ist es grundsätzlich zulässig, (Lehrer-)Konferenzen virtuell zu veranstalten und in diesem Rahmen auch rechtswirksam Beschlüsse zu fassen (vgl. § 5 Abs. 2 Nr. 1 COGMG).
Was ist zu grundsätzlich zu beachten?
Grundsätzlich liegt die Auswahl eines für die Konferenzen verwendeten IT-Systems im Ermessen der Schulleiterin bzw. des Schulleiters. So können auch kostenfrei im Internet angebotene Systeme zum Einsatz kommen, wobei sich deren Nutzung unter den Aspekten des Datenschutzes und der IT-Sicherheit allerdings als sehr komplex darstellt. Grundlage der Nutzung frei im Internet angebotener Systeme stellen in der Regel anbieterindividuelle Nutzungs- und Lizenzbedingungen dar, auf die die Schule keinerlei Einfluss hat, denen sich aber alle Nutzerinnen und Nutzer unterwerfen müssen. Die Datenverarbeitungen bei der Bereitstellung und Nutzung der Angebote finden darüber hinaus nicht in Verantwortung der Schule im Rahmen der Erfüllung des ihr übertragenen Bildungs- und Erziehungsauftrags statt, sondern nach dem Verständnis und den Zwecken, die der jeweilige Anbieter definiert. Sofern nur Daten von den an einer Konferenz Teilnehmenden verarbeitet werden, mag dies unproblematisch sein, da sich diese Personen den Nutzungsbedingungen des jeweiligen Anbieters unterworfen und ggf. in die Verarbeitung ihrer Daten eingewilligt haben. Die Verarbeitung von Daten Dritter, z. B. durch die Nennung der Namen von Schülerinnen und Schülern, ist in solchen Systemen jedoch nicht zulässig.
Zu empfehlen ist aus den genannten Gründung die Nutzung eines „schulischen“ Systems, das in datenschutzrechtlicher Verantwortung der Schule bereitgestellt und betrieben wird. Zentrales Element, welches diese Verantwortung regelt, stellt eine Vereinbarung zur Verarbeitung von Daten im Auftrag gem. Art. 28 DSGVO dar. Die Vereinbarung stellt sicher, dass Daten, die externe Dienstleister auf ihren Systemen eben bei der Bereitstellung ihrer Angebote technisch verarbeiten nur zu den Zwecken verwendet werden, die die Schule definiert. Und dies ist in der Regel eben die Erfüllung des Bildungs- und Erziehungsauftrags. Geschlossen wird die Vereinbarung zwischen Schulleiterin bzw. Schulleiter und (technisch) bereitstellendem Schulträger, der wiederum Unteraufträge mit dem Systemanbieter schließen kann, oder direkt mit dem jeweiligen Systemanbieter.
Einen weiteren Vorteil bietet die Nutzung „schulischer“ Systeme dahingehend, dass die Schule ihren Informationspflichten gem. Art. 13, 14 DSGVO nachkommen kann und somit die Datenverarbeitungen im Rahmen der Bereitstellung und Nutzung des verwendeten Systems transparent darstellen kann. Dies schafft Vertrauen bei den Betroffenen und Akzeptanz, welches die Basis dafür ist, dass im besten Fall alle benötigten Personen einer Verarbeitung einwilligungspflichtiger Daten (u. a. Audio- und Videodaten) zustimmen.
Welche technische Voraussetzungen müssen gegeben sein?
Grundlegend ist, dass die Teilnehmenden die technischen Möglichkeiten haben, um an einer digital durchgeführten Konferenz teilnehmen zu können. Die Nutzung privater Ausstattung darf nicht vorausgesetzt werden.
Wie kann sichergestellt werden, dass nur berechtigte an einer Konferenz teilnehmen?
Es ist sicherzustellen, dass nur Berechtigte Zugang zur jeweiligen digitalen Konferenz haben bzw. daran teilnehmen. Dies wird im besten Fall durch eine Teilnahme mit eingeschalteter Kamera offensichtlich. Da es jedoch grundsätzlich nicht zwingend erforderlich sein sollte, während einer Konferenz die Kamera dauerhaft eingeschaltet zu haben, kann eine Identitätsfeststellung auch zu Beginn einer Konferenz durch kurzes Einschalten der Kamera umgesetzt werden. Ohne Einschalten der Kamera sollte in der Regel die Berechtigung der Teilnehmenden durch Log-In in das Konferenzsystem über ein individuelles, personalisiertes Nutzerkonto ausreichend festgestellt sein. Sollte ein frei über das Internet zugängliches Systemen zum Einsatz kommen ist sicherzustellen, dass die Zugangslinks zu Konferenzen nur über dienstliche bzw. schulische E‑Mail-Adressen kommuniziert werden.
Ist eine Teilnahme verpflichtend?
Die Verarbeitung von Audio- und Videodaten mit Personenbezug durch die Schule, z. B. bei der Durchführung von Videokonferenzen, bedarf der Einwilligung der Betroffenen. Sind die Betroffenen gem. Art. 13, 14 DSGVO hinreichend über die Datenverarbeitungen informiert, kann die Einwilligung „konkludent“ durch das einfache Einschalten der Kamera bzw. des Mikrofons erfolgen. Sollte eine Bereitschaft zur Teilnahme mit Audio oder Video (vereinzelt) nicht vorhanden sein, ist für diese Personen zwingend eine andere Form der Teilnahme vorzusehen. Ggf. erklären sich Teilnehmende zumindest zu Beginn der Konferenz bereit, kurz ihre Kamera zur Identitätsfeststellung einzuschalten, um dann nur per Audio teilzunehmen. Beiträge könnten allerdings auch über eine in das Konferenzsystem integrierte Chatfunktion oder per E-Mail eingebracht werden. Denkbar erscheint zudem eine hybride Veranstaltung in der Form, dass die Konferenzleitung die Veranstaltung in den schulischen Räumlichkeiten abhält, in denen Alternativ-Teilnehmenden eine physische Teilnahme ermöglicht wird.
Wie geht man mit Abstimmungen um?
Bei den Abstimmungen ist zu differenzieren zwischen offenen und geheimen:
- Offene Abstimmungen dürften wenig problematisch sein. Handzeichen sind visuell über das Videotool ersichtlich, entweder durch echtes oder auch „digitales“ Handheben. Auch kann eine Chat-Funktion oder die dienstliche E-Mail-Adresse zur Abstimmung genutzt werden.
- Etwas aufwendiger sind geheime Abstimmungen, bei denen sich unseres Erachtens die folgenden Möglichkeiten anbieten:
- Absehbar geheim abzuhaltenden Abstimmungen könnten im Vorhinein per Briefwahl erfolgen.
- Alternativ dazu könnten an die schulischen E-Mail-Adressen E-Mails mit nicht persönlich gekennzeichneten Stimmzetteln als Dateianhang gesendet werden. Auf Empfängerseite wäre eine „Vertrauensperson“ zu benennen, die die Dateianhänge von der Absendenden-E-Mail trennt und dann auswertet. Die Übersendungsmail könnte zu Nachweiszwecken gespeichert werden, wobei der Dateianhang vor der Speicherung zu löschen wäre. Sollte diese Vorgehensweise während einer Konferenz nicht umsetzbar sein, kann die „Abstimmung“ auch im Nachgang bis zu einem festgelegten Zeitpunkt erfolgen. Die Ergebnisse sind dann als Ergänzung zum Protokoll zu nehmen.
- Letztlich stellt sich noch die Möglichkeit eines Rückgriffs auf ggf. vorhandene Abstimmungsfunktionalitäten der vorhandenen schulischen IT-Infrastruktur oder aber auf (kommerzielle) Tools, die (geheime) Abstimmungen ermöglichen. Die QUA‑LiS NRW bietet den Lehrkräften in Nordrhein-Westfalen eine kostenfreie Nutzung der Feedback-App Edkimo an. Diese könnte u. a. für Online-Abstimmungen genutzt werden. Weitere Informationen dazu finden sich auf der Webseite der Qua‑Lis unter https://www.schulentwicklung.nrw.de/e/schulinterne-evaluation/fokus-unterricht/feedback-app-edkimo/edkimo.html.
- In allen Fällen ist die Identität bzw. Teilnahmeberechtigung der Abstimmenden sicherzustellen (s. o.), sowie dass Stimmberechtigte Ihre Stimme nur einmal an der jeweiligen Abstimmung abgeben. Sollten Einwilligungen für Datenverarbeitungen bei der Nutzung von Abstimmungstools erforderlich sein, sind alternative Möglichkeiten anzubieten (s. o.).
Die konkrete Ausgestaltung einer digitalen Lehrerkonferenz wird letztlich immer und in erster Linie von der Mitwirkungsbereitschaft des Kollegiums abhängen. In einem ersten Schritt sollte daher stets versucht werden, sämtliche Beteiligte für die Teilnahme an einer digitalen Konferenz zu gewinnen. Gelingt dies nicht, sollten in einem zweiten Schritt mit der oder den betreffenden Person(en) einvernehmlich abgestimmte Regelungen zu deren konkreter Alternativ-Teilnahme vereinbart werden.
Datenversand per E-Mail
Dürfen Einzelnoten oder Notenübersichten über dienstliche E-Mail-Konten von Lehrkräften an schulische E-Mail-Konten von Schülerinnen und Schülern kommuniziert werden?
Obwohl E-Mails gern mit analogen Postkarten verglichen werden, deren Inhalt keinen besonderen Schutzmaßnahmen unterworfen ist – außer vielleicht einer kryptografischen Handschrift - können Noten unter bestimmten Umständen datenschutzkonform über das elektronische Pendant kommuniziert werden.
Folgende Bedingungen müssen dabei für den von der Schule vorgesehenen Versand individualisierter Notenübersichten an Schülerinnen und Schüler erfüllt sein:
- das schulische IT-System, das die E-Mail-Konten technisch bereitstellt (z. B. LOGINEO NRW, iServ), wird in datenschutzrechtlicher Verantwortung der Schulleiterin bzw. des Schulleiters betrieben. Dazu steht entweder ein Server „in der Schule“, oder das System wird cloudbasiert auf Basis einer Vereinbarung zur Auftragsverarbeitung gem. Art. 28 DSGVO zwischen Schulleiterin bzw. Schulleiter und dem technischen Dienstleister (i.d.R der Schulträger) von diesem bereitgestellt.
- die schulischen Administratoren und der Second-Level-Support (i.d.R. der Schulträger) sind auf ihre datenschutzrechtlichen Rechte und Pflichten hingewiesen worden
- im von der Schule genutzten IT-System, das die E-Mail-Konten technisch bereitstellt, ist die Möglichkeit unterbunden, automatisierte Weiterleitungen von eingehenden E-Mails einzurichten
- jede Schülerin / jeder Schüler sowie jede Lehrkraft hat ein individuelles, passwortgeschütztes schulisches E-Mail-Konto, das über das schulische IT-System technisch bereitgestellt wird
- Lehrkräfte verwenden für den E-Mail-Versand nur schulische, dienstliche oder von der Schulleiterin / dem Schulleiter genehmigte private Endgeräte
- die E-Mails werden über die individuellen, passwortgeschützten schulischen E-Mail-Konten der Lehrkräfte an diejenige der Schülerinnen und Schüler versendet
- Notenübersichten über alle Noten einer Schülerin / eines Schülers werden von der Schulleiterin/dem Schulleiter, der Jahrgangstufenleiterin/dem Jahrgangstufenleiter oder der Klassenlehrerin/dem Klassenlehrer versendet
- Einzelnoten können auch von den jeweiligen unterrichtenden Lehrkräften an die Schülerinnen und Schüler versendet werden
Durch die Kommunikation innerhalb des schulischen IT-Systems, das die E-Mail-Konten technisch bereitstellt und das Unterbinden einer automatisierten Weiterleitung verlassen die E-Mails das datenschutzrechtlich von der Schulleitung verantwortete IT-System nicht. Die E-Mails werden quasi innerhalb des IT-Systems vom Versender- in das Empfänger-Postfach gelegt und auf diese Weise nicht unberechtigten Dritten zur Kenntnis gebracht. Die E-Mails verlassen den datenschutzrechtlichen Verantwortungsbereich der Schule erst, wenn ein Empfänger bzw. eine Empfängerin sie über ein unter seiner bzw. ihrer Verantwortung betriebenes Endgerät abruft und ggf. dort speichert.
Datenweitergabe Duale Ausbildung
In welchem Umfang dürfen Schulversäumnisse der Schülerinnen und Schüler an Berufskollegs an die Ausbildungsbetriebe übermittelt werden?
An die Ausbildungsbetriebe dürfen nur unentschuldigte Schulversäumnisse der Schülerinnen und Schüler an Berufskollegs übermittelt werden. Die Übermittlung dient dem Zweck der Schulpflichtüberwachung, für die Schulen und die Ausbildenden und Arbeitgeber gemeinsam die Verantwortung tragen (§ 41 Abs. 2 SchulG). Eine Übermittlung ist auch während des laufenden Schuljahres zulässig.
Die Rechtsgrundlage für diese Datenübermittlung stellt § 7 Abs. 4 Nr. 5 der Verordnung über die zur Verarbeitung zugelassenen Daten von Schülerinnen, Schülern und Eltern (VO-DV I) dar. Übermittelt werden danach neben den Angaben zu unentschuldigten Schulversäumnissen die erforderlichen Personendaten der Schülerinnen und Schüler (Name, Vorname, Geburtsdatum, Geschlecht, Erreichbarkeit).
Wie und in welchem Umfang darf der Leistungsstand der Schülerinnen und Schüler an Berufskollegs an die Ausbildungsbetriebe übermittelt werden?
Berufskollegs dürfen personenbezogene Daten ihrer Schülerinnen und Schüler nur an die Ausbildungsbetriebe übermitteln, soweit sie von diesen zur Erfüllung der ihnen durch Gesetz übertragenen Aufgaben benötigt werden (§ 120 Abs. 7 SchulG - Erforderlichkeitsgrundsatz).
Für die Fachklassen des dualen Systems der Berufsausbildung ist in § 14 Abs. 3 der Ausbildungs- und Prüfungsordnung Berufskolleg (APO-BK) vorgesehen, dass die Schule zur Förderung der Schülerinnen und Schüler insbesondere mit den betrieblichen und außerbetrieblichen Ausbildungsstätten zusammenarbeitet. Die Art und Weise der Zusammenarbeit wird durch die Verwaltungsvorschriften zu § 14 APO-BK konkretisiert. Im Rahmen von zu Beginn des Schuljahres zu terminierenden Sprechtagen tauschen sich die in den Fachklassen unterrichtenden Lehrkräfte mit den Ausbildenden an den Lernorten zum Zwecke der Förderung des gemeinsamen Ausbildungszieles von Berufsschule und Ausbildungsbetrieb aus. Sofern dieser gegenseitige Informationsaustausch Lerndefizite von Schülerinnen und Schülern offenbart, werden die Möglichkeiten von Fördermaßnahmen an den Lernorten miteinander abgestimmt (s. Verwaltungsvorschrift 14.3.1 zu § 14)
Welche Informationen zur Förderung des Ausbildungsziels konkret erforderlich sind, hängt von den Umständen des Einzelfalls ab.
Eine schriftliche oder elektronische Übermittlung von Leistungsdaten während des Schuljahres ist nicht vorgesehen. Entsprechende Anfragen der Ausbildungsbetriebe sind durch die Schulen nicht zu beantworten. Zum Ende des Schuljahres wird der Leistungsstand der Schülerinnen und Schüler über das Zeugnis kommuniziert.
Wie und in welchem Umfang sind eine Schülerin bzw. einen Schüler betreffende Ordnungsmaßnahmen der Schule dem Ausbildungsbetrieb mitzuteilen?
Erziehungs- und Ordnungsmaßnahmen nach § 53 SchulG knüpfen an innerschulische Pflichtverletzungen an. Da es nicht zu den Aufgaben des Ausbildungsbetriebes gehört, auf die Einhaltung der Schulordnung hinzuwirken, besteht im Allgemeinen keine Veranlassung für die Schule, den Ausbildungsbetrieb über Erziehungs- und Ordnungsmaßnahmen und deren Gründe zu informieren. Eine entsprechende Datenübermittlung lässt sich nicht auf § 120 Abs. 7 SchulG stützen.
Etwas Anderes gilt nur in den Fällen, in denen Schülerinnen oder Schüler aufgrund eines Fehlverhaltens nicht am Berufsschulunterricht teilnehmen können. Da Auszubildende ihre Arbeitszeit grundsätzlich beim Ausbildungsbetrieb ableisten müssen und gem. § 15 Abs. 1 S. 2 Nr. 1 BBiG für die Teilnahme am Berufsschulunterricht nur freigestellt sind, müssen sie sich bei einem Ausschluss vom Unterricht im Ausbildungsbetrieb einfinden. Wird eine Schülerin bzw. ein Schüler also auf Basis von § 53 SchulG NRW vom Unterricht ausgeschlossen, ist diese Entscheidung dem Ausbildungsbetrieb umgehend mitzuteilen. Entsprechendes gilt für eine Entlassung von der Schule. Für die Mitteilung der Gründe des Ausschlusses besteht im Allgemeinen keine Veranlassung.
In Ausnahmefällen, in denen ein Fehlverhalten in der Schule eine konkrete Selbst- oder Fremdgefährdung auch im Betrieb befürchten lässt, kann eine Information an die Ausbildungsbetriebe in Betracht gezogen werden. Um Stigmatisierungen zu vermeiden sollte von dieser Möglichkeit jedoch nur in Fällen einer konkreten Gefährdung Gebrauch gemacht werden. In Zweifelsfällen können sich Schulen an die für sie zuständigen behördlichen Datenschutzbeauftragten oder an den Fachberater Datenschutz und IT-Sicherheit an Schulen der Bezirksregierung Münster (Dez. 46) wenden.
Die Kontaktdaten finden sich hier:
- Behördliche Datenschutzbeauftragte für die Schulen (externer Link öffnet sich in neuem Fenster)
- Datenschutz und IT-Sicherheit an Schulen (externer Link öffnet sich in neuem Fenster)
Datenweitergabe an andere Stellen, z. B. der Agentur für Arbeit
Die Datenverarbeitung anderer Stellen, z. B. der Agentur für Arbeit, basieren in aller Regel auf einer wirksamen Einwilligung der Betroffenen (vgl. Richtlinien für die Zusammenarbeit von Berufskollegs mit der Agentur für Arbeit zur Unterstützung von Schülerinnen und Schülern in der Ausbildungsvorbereitung und in der dualen Berufsausbildung, https://bass.schul-welt.de/153.htm). Die Schule übernimmt bei den etablierten Verfahren nur eine Vermittlerfunktion, indem sie die entsprechenden Einwilligungsformulare der anfragenden Stellen an die betroffenen Schülerinnen und Schüler ausgibt und die Rückläufer an die verarbeitenden Stellen zurückgibt.
Sollten bei Anfragen externer Stellen in der Schule Unsicherheiten in Bezug auf die Rechtmäßigkeit einer Weitergabe von Daten aus ihrem Datenbestand bestehen, kann, darf und sollte sich die Schule durch die anfragende Stelle die Rechtsgrundlage für die Datenweitergabe darlegen lassen.