Hände halten Tablet

Hauptinhalt

Datenschutz und IT-Sicherheit an Schulen


FAQ – Datenschutz an Schulen

Anwendungen und Apps


Apps zur Notenverwaltung

Gibt es datenschutzrechtliche Bedenken bei der Nutzung von Notenverwaltungs-Apps auf dem dienstlichen IPad?

Grundsätzlich entscheidet die Schule bzw. die Schulleiterin / der Schulleiter – in der Regel in Rücksprache mit dem ausstattenden Schulträger - welche Werkzeuge sie für ihre schulinternen Verwaltungsprozesse einsetzt.

Bei Systemen, die bei externen (technischen) Dienstleistern auf schulexternen Servern oder „cloudbasiert“ betrieben werden, muss die Schulleiterin / der Schulleiter eine sog. Verarbeitung von Daten im Auftrag (Auftragsverarbeitung gem. Art. 28 DSGVO) mit dem Dienstleister vereinbaren. Zu beachten ist zudem, dass - falls Lehrkräfte private Endgeräte einsetzen möchten - diese von der Schulleiterin / dem Schulleiter zu genehmigen sind.


Auswahl und Einsatz digitaler Klassenbücher

Welche Angebote sind zulässig?

Grundsätzlich entscheidet die Schule bzw. die Schulleiterin / der Schulleiter – in der Regel in Rücksprache mit dem ausstattenden Schulträger - welche Werkzeuge sie für ihre schulinternen Verwaltungsprozesse einsetzt.

Datenschutzrechtlich ist beim Einsatz automatisierter Verfahren, welches ein digitales Klassenbuch darstellt, sicherzustellen, dass die Schule "Herrin der Daten" bleibt, dass sie also über Mittel, Art und Zwecke der Datenverarbeitungen der ihr anvertrauten und von ihr verarbeiteten Daten bestimmt. Die Schule hat, wie jede andere datenverarbeitende Stelle auch, ihre Verfahren zur Verarbeitung personenbezogener Daten in einem "Verzeichnis der Verarbeitungstätigkeiten" gem. Art. 30 DSGVO (s. https://dsgvo-gesetz.de/) zu dokumentieren. Dieses Verzeichnis dokumentiert alle grundlegenden Belange der Datenverarbeitungen, wie z. B. verarbeitete Daten, Rechtsgrundlagen, Zugriffsberechtigte, Löschfristen etc. Zur Unterstützung der Schulen hat das Schulministerium ein Referenz-Verzeichnis entwickelt (s. https://www.medienberatung.schulministerium.nrw.de/Medienberatung/Datensicherheit-und-Datenschutz/Praxishilfen-Datenschutz/Verarbeitungsuebersicht-Schule/).

Das Verzeichnis dient zudem als Quelle und Unterstützung, um weitere datenschutzrechtliche Pflichten, wie z. B. Informationspflichten, erfüllen zu können oder festzustellen, ob ggf. Einwilligungen Betroffener eingeholt werden müssen, weil sich für die Schule keine einschlägige Rechtsgrundlage für eine Datenverarbeitung aus Schulgesetz und Verordnungen (u. a. VO-DV I, VO-DV II) ergibt. Denn oftmals beinhalten Systeme Funktionalitäten, wie z. B. "Sitzpläne mit Fotos der Schülerinnen und Schüler", die mit Datenverarbeitungen einhergehen – im genannten Beispiel also für die Bilddaten – für die die Schule Einwilligung der Betroffenen benötigt.

Bei Systemen, die bei externen (technischen) Dienstleistern auf schulexternen Servern oder „cloudbasiert“ betrieben werden, muss die Schulleiterin / der Schulleiter eine sog. Verarbeitung von Daten im Auftrag (Auftragsverarbeitung gem. Art. 28 DSGVO) mit dem Dienstleister vereinbaren. Zu beachten ist zudem, dass - falls Lehrkräfte private Endgeräte einsetzen möchten - diese von der Schulleiterin / dem Schulleiter zu genehmigen sind.

Reicht ein digitaler Eintrag als Nachweis, dass eine bestimmte Lehrkraft den eingetragenen Unterricht erteilt hat?

Ja, ein digitaler Eintrag ist insofern ausreichend, denn Klassenbücher dürfen seit einer entsprechenden Änderung des § 4 Abs. 5 VO-DV I auch ausschließlich digital geführt werden, die Papierform ist nicht mehr zwingend erforderlich. Gemäß Anlage 2 dieser Verordnung enthält das Klassenbuch unter anderem auch "Nachweise zum Unterricht" (s. I Ziff. 1 der Anlage 2 zu § 4 Abs. 5 VO-DV I). Eine (ausschließliche) digitale Klassenbuchführung, aus der sich Unterrichtsnachweise ergeben, ist daher zulässig und auch ausreichend. Wie bei der analogen Dokumentation ist bei digitalen Systemen ebenso die „Integrität der Daten“ bzw. der Eintragungen gewährleistet ist, was u. a. bedeutet, dass Eintragungen und ggf. Änderungen eindeutig einer Person zugeordnet werden können.

Reicht die Speicherung eines digitalen Klassenbuches, um der Aufbewahrungsfrist nachzukommen?

Ja, eine elektronische Speicherung ist grundsätzlich ausreichend. Die Aufbewahrungsfrist von (digitalen) Klassenbüchern beträgt nach § 9 Abs. 1 Nr. 3, Abs. 2 VO-DV I 10 Jahre. Dies gilt - wie sich § 9 Abs. 2 S. 1 VO-DV I entnehmen lässt - unabhängig davon, ob es sich um physische oder digitale Klassenbücher handelt. Da Klassenbücher mittlerweile auch ausschließlich elektronisch geführt werden dürfen (s. Antwort zu Frage 2), erfüllt grundsätzlich auch die ausschließlich digitale Speicherung die Anforderungen an die Aufbewahrungsfrist.

Was passiert, wenn der Server "abstürzt" und die Daten nicht mehr vorhanden sind?

Die Verfügbarkeit der Daten ist im Rahmen der Sicherheit der Verarbeitung gem. Art. 30 DSGVO sicherzustellen und liegt an Schulen in Verantwortung der Schulleiterin / des Schulleiters. Dem entsprechend sind u. a. Backup- (und Wiederherstellungs-) wie auch Archivierungsverfahren vorzusehen und ggf. mit dem (technischen) Dienstleister zu vereinbaren.


Apps zur Audioaufzeichnung

Unter welchen Voraussetzungen können an Schule Apps für Audioaufzeichnungen und Audiofeedback eingesetzt werden?

Nutzung ohne Lizensierung:

Die Rechtsgrundlage für das Anlegen von Nutzerkonten, wie auch die Nutzung von Apps zur Aufzeichnung, Kommunikation und Wiedergabe von Audiodateien (z. B. Vocaroo, Tchirp, QWIQR, ...) ohne Lizensierung stellen die AGB der Anbieter dar. Dies gilt für Lehrkräfte wie auch für Lernende. Die Datenverarbeitung erfolgt nicht auf Basis des SchulG NRW, sondern im Rahmen der Vertragserfüllung durch den jeweiligen Anbieter. Verarbeitende Stelle ist somit der jeweilige Anbieter. Entsprechend bedarf letzterer einer Rechtfertigung für die Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 DSGVO. Einschlägig dürften in der Regel entweder berechtigte Interessen der Anbieter und/oder eine Einwilligung der Nutzerinnen und Nutzer sein. Etwaige aus der DSGVO resultierende Informationspflichten sind somit auch durch den jeweiligen Anbieter und nicht durch die Schule zu erfüllen. Die Schule hat diesbezüglich jedoch gewissermaßen eine moralische Verantwortung selbst informiert zu sein. Lehrkräfte und Schulleitung sollten in Bezug auf die Umstände der Datenverarbeitungen und den Anbieter sprechfähig sein, um Nutzerinnen und Nutzern von ihrer Seite aus informieren zu können. Zudem hat die Schule ja ein eigenes Interesse daran, dass ein von ihr für ihre pädagogischen wie organisatorischen Prozesse gewünschtes Tool auf große Akzeptanz stößt und möglichst von allen genutzt wird.

Das Einsprechen eines Audiofeedbacks durch eine Lehrkraft wie auch die Nutzung durch Lernende erfolgt freiwillig. Lehrkräfte sollten beachten, dass kein Bezug zu den angesprochenen Personen hergestellt werden kann. Datenschutzrechtlich kann ein "Hallo Lieschen" schon problematisch sein, wenn man auf „Hardliner“ trifft. Aus diesem Grunde sollte sie die Eltern – und natürlich ihre Schulleitung - von ihrem Vorhaben informieren, um für möglichst hohe Akzeptanz zu sorgen. Feedback für Kinder von „Hardlinern“ sollte – wenn überhaupt - ohne jeglichen Personenbezug eingesprochen werden.

Es sollte unbedingt kommuniziert werden, dass der Zeitpunkt des Abrufs durch Lernende von der Lehrkraft ersichtlich ist. Die Verarbeitung dieses Datums ist datenschutzrechtlich heikel. Feedback für Kinder von „Hardlinern“ sollte aus diesem Grunde nicht erfolgen.

Die Kommunikation des Zugangs zum Feedback (Link, QR-Code) sollte über einen geschützten Weg erfolgen, z. B. analog ausgedruckt oder über eine den Lernenden zur Verfügung gestellte schulische E-Mail-Adresse. Die Kommunikation an private E-Mail-Adressen von Lernenden sollte nur nach expliziter Aufforderung und der Kommunikation der Problematik von E-Mails („wie eine digitale Postkarte“) erfolgen.

Nutzung mit Lizensierung:

Sollte trotz Möglichkeit der Lizensierung keine Vereinbarung zur Auftragsverarbeitung zwischen Schulleiterin bzw. Schulleiter und Anbieter geschlossen werden können, und/oder das Hosting des Systems außerhalb der EU oder in Ländern ohne vergleichbares Datenschutzniveau stattfinden, so gelten die vorstehenden Ausführungen zur Nutzung ohne Lizensierung.

Kann eine Vereinbarung zur Auftragsverarbeitung zwischen Schulleiterin bzw. Schulleiter und Anbieter geschlossen werden, so wird die Schule „Verarbeitende Stelle“, Verantwortlicher ist die Schulleiterin bzw. der Schulleiter.

Datenverarbeitungen erfolgen auf Basis des SchulG NRW und ggf. wirksamer Einwilligungen. Einwilligungen sind u.a für die Verarbeitung von Audioaufzeichnungen der Stimme der Betroffenen erforderlich. Die Einwilligungen werden der Schule gegenüber erklärt. Dies kann durch „konkludentes Handeln“ erfolgen, z. B. indem Betroffene bzw. bei Minderjährigen deren Eltern nach hinreichender Information (Art. 13, 14 DSGVO) über die Datenverarbeitungen sowie über ihre Rechte eine Aufzeichnung ihrer Stimme vornehmen.

Da die Audioaufzeichnungen auf freiwilliger Basis erfolgen, ist eine verpflichtende Nutzung nicht möglich.

Die Schule hat das Verfahren in ihrem Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren.


luca-App zur Kontaktnachverfolgung

Ist die Nutzung der luca-App als Betreiber („Gastgeber“) durch Schulen unbedenklich?

Die Nutzung der luca-App als Betreiber („Gastgeber“) erachten wir als unbedenklich. Das System ist sehr transparent beschrieben und die Datenverarbeitungen gut dokumentiert. Falls Sie das System an Ihrer Schule zum Zwecke der Erfüllung der Erfordernisse einer Kontaktnachverfolgung gem. Coronaschutzverordnungen einsetzen möchte, beachten Sie jedoch bitte folgendes:

  • Stellen Sie sicher, dass auch Nicht-Nutzer der App an der Schule „einchecken“ können. Dazu können sie beispielsweise „Anmeldeformulare“ in Papierform verwenden.
  • Da Sie als Verantwortlicher für die Datenverarbeitungen der Informationspflicht gem. Art. 13 (und 14) DSGVO unterliegen, seien Sie auf evtl. Nachfragen zu den Datenverarbeitungen in Zuge der Bereitstellung des Systems vorbereitet. Es reicht dazu, dass Sie die Datenschutzerklärung der App (https://www.luca-app.de/app-privacy-policy/) vorlegen können.

Office 365

Wie sieht die datenschutzrechtliche Bewertung für den Einsatz von Microsoft Office 365 für den schulischen Einsatz in NRW aus?

siehe dazu auf der Seite des MSB: 


Padlet

1. Nutzung von Padlets

Wie bei allen Produkten US-amerikanischer Anbieter ist es auch bei Padlet eine Herausforderung, die Bereitstellung und Nutzung in Schule unter Beachtung aller Aspekte und Vorgaben des Datenschutzes umzusetzen. Dies gilt für Padlet ganz besonders, weil bei diesem Produkt unserer Kenntnis nach das Hosting in den USA stattfindet. Je nach Vorgehensweise bei Bereitstellung und Art der Nutzung, können Daten mit Personenbezug in die USA übermittelt werden, was ggf. nicht mit den europäischen Datenschutzvorgaben (genauer gesagt mit der Entscheidung des EuGH („Schrems II-Urteil“)) vereinbar ist.

Problematisch ist bei amerikanischen Produkten zudem, dass auch bei Vorliegen einer Vereinbarung zur Auftragsdatenverarbeitung (z. B. zwischen der Schule und Padlet) sich der amerikanische Staat auf Basis des „Cloud-Acts“ Zugang zu Servern und damit zu Daten verschaffen kann, die sich außerhalb seines Hoheitsgebietes befinden. Dadurch könnte es dazu kommen, dass Daten von einer Stelle verarbeitet würden, die auf Basis der Rechtsgrundlagen, die die Schule für ihre Datenverarbeitungen besitzt, keine Berechtigung aufweist.

Die vermehrte Nutzung von Padlet in Schulen hat zuletzt die Landesdatenschutzbeauftragte (LDI) auf den Plan gerufen. Eine abschließende Einschätzung liegt von dieser Seite zum aktuellen Zeitpunkt (01.07.2021) jedoch noch nicht vor.

Sollte eine Schule das Padlet-System unter pädagogischen Aspekten bei der Erfüllung ihres Bildungs- und Erziehungsauftrags einführen und nutzen wollen, so sollte dies im schulischen Medienkonzept verankert werden. Für eine datenschutzkonforme Nutzung bietet sich als ein wesentlicher Baustein die Lizensierung eines Systems, die bei cloudbasierten Systemen mit einer Vereinbarung zur Auftragsdatenverarbeitung einhergehen sollte, wodurch die Schule zur datenschutzrechtlich verantwortlichen Stelle wird und damit „Herrin“ der verarbeiteten Daten ist. Leider ist die Vereinbarung einer DSGVO-konformen Auftragsverarbeitung mit amerikanischen Anbietern oftmals nicht möglich oder erfordert weitere Maßnahmen.

Deshalb sollten beim Einsatz US-amerikanischer Angebote in Schulen über die Bindung der Anbieter über eine Vereinbarung zur Auftragsdatenverarbeitung hinaus grundsätzlich die folgenden Punkte Beachtung finden, um die Identität der Nutzenden gegenüber den Systemanbietern zu schützen:

  • Nutzung der Systeme allein für die Bereitstellung von Materialien/Informationen, die keinen Personenbezug aufweisen (keine Namen, keine Fotos, keine Videos, …)
  • Wenn möglich eine Nutzung des Systems ohne Nutzeraccounts vornehmen
  • Anlegen pseudonymisierter Nutzeraccounts für die Personen, die einen Nutzeraccount benötigen
  • Keine Verpflichtung für die Nutzung aussprechen – weder für Lehrkräfte noch für Lernende – jedoch für die Vorteile des Systems in Bezug auf die schulischen Belange werben (hier ist der Bezug zum schulischen Medienkonzept gegeben)
  • Denjenigen, denen aus welchen Gründen auch immer kein Zugang zum System möglich ist, Alternativen bieten, um eine Benachteiligung auszuschließen.
  • Darauf hinwirken, dass sich Nutzende auf den für den Zugriff benutzten Endgeräten an ggf. vorhandenen persönlichen (privaten) Konten wie Google, Youtube, Facebook, Instagram etc. abmelden, um hier einen Datenabfluss zu unterbinden.

2. Produktempfehlungen über Padlets

Die Förderung der Schülerinnen und Schüler gehört zum Bildungs- und Erziehungsauftrag und damit auch zur Unterstützungs- und Beratungspflicht von Schulen und Lehrkräften. Dies gelte – so das MSB ausdrücklich – umso mehr in Pandemiezeiten und in Zeiten von Distanzunterricht. Dieser Pflicht könnten Lehrkräfte auch in Gestalt von Empfehlungen von Produkten und Materialien nachkommen.

Aus haftungsrechtlicher Sicht sollte unseres Erachtens allerdings wie folgt differenziert werden:

Handelt es sich um Empfehlungen dahingehend, dass die Schülerinnen und Schüler die Fördermaterialien/-produkte ergänzend zum Unterricht und ausschließlich im Rahmen der eigenen Freizeitgestaltung im privaten Bereich nutzen, bestehen keine rechtlichen Bedenken gegen solche Empfehlungen, sofern es sich um bloße Empfehlungen handelt und keine Pflicht zum Erwerb bzw. zur Nutzung bestimmter Produkte statuiert wird.

Die Grenze zu einer – in der Regel unzulässigen, jedenfalls aber zustimmungspflichtigen – Werbung wäre schulrechtlich erst dann überschritten, wenn die Schule – bzw. in diesem Fall die Lehrperson – für die Produktempfehlung Zuwendungen erhalten würde (sog. Sponsoring).

Demgegenüber sollten Lehrpersonen Empfehlungen nicht dergestalt formulieren, dass diese Produkte möglicherweise im Rahmen des schulischen Bildungs- und Erziehungsauftrages zu Unterrichtszwecken verwendet werden. Unabhängig von der in einem solchen Fall entstehenden Problematik, dass eine mögliche, unzulässige Benachteiligung solcher Schülerinnen und Schüler droht, deren Eltern das Produkt nicht erwerben (können), bestünde hierbei auch die Gefahr, dass – sollte es später nicht zu einem Einsatz des Produktes kommen – eine Amtshaftung mit der Begründung ausgelöst wird, dass vergebliche Aufwendungen getätigt worden sind, mit Folge, dass diese Aufwendungen ggf. zurückgefordert werden.

Ungeachtet dessen sollten Schulen allerdings angeregt werden, Fördermaterialien ggf. selbst anzuschaffen und den Schülerinnen und Schülern zur Verfügung zu stellen, um so gerade auch den individuellen Förderbedarf sozial benachteiligter Schülerinnen und Schüler sicherzustellen.

3. Verlinkungen über Padlets

Die Frage, ob die seitens einer Lehrkraft empfohlenen Produkte/Materialien zugleich mit einem entsprechenden Link zu einem Hersteller oder einer Händlerplattform versehen werden dürfen, ist nach Rücksprache mit dem MSB zu verneinen:
Eine Verlinkung ist mit den beamtenrechtlichen Pflichten nicht vereinbar, weil ein solches Verhalten objektiv geeignet ist, achtungs- und vertrauensschädigend zu wirken sowie den Anschein der Eigennützigkeit hervorzurufen.


4. Erscheinen von Padlets auf der Schulhomepage

Das unmittelbare Einbetten von Padlets auf der jeweiligen Schulhomepage ist aus einer datenschutzrechtlichen Perspektive problematisch und sollte grundsätzlich unterbleiben.

Werden externe Angebote auf einer Webseite eingebettet, können allein durch das Aufrufen der Webseite personenbezogene Daten an den Anbieter der externen Angebote übermittelt werden. Dazu bedarf es einer wirksamen Einwilligung der Nutzerinnen und Nutzer, die wiederum voraussetzt, dass die Nutzerin/der Nutzer umfassend gemäß den aus der DSGVO resultierenden Anforderungen (Art, Umfang und Zweck der Erhebung und Verwendung der personenbezogenen Daten, Einsatz von Cookies, etc) informiert wird. Die Informationspflichten des Verantwortlichen der Webseite erschöpfen sich gerade nicht nur in der Unterrichtung über eigene, selbstgesteuerte Datenerhebungen, sondern erfassen auch Datenerhebungsmechanismen durch Drittanbieter wie ggf. Padlet. Da dem Verantwortlichen Informationen hierüber aber in der Regel nicht vorliegen dürften, ist eine DSGVO-konforme Einbettung von externen Angeboten in diesen Fällen in der Regel nicht möglich.

Möglich ist demgegenüber eine Verlinkung zu derartigen externen Angebote (wie hier Padlets). Dann werden personenbezogene Daten erst in dem Moment erhoben, in dem die Nutzerin/der Nutzer durch das aktive Aufrufen des Links auf die Webseite des jeweiligen Drittanbieters geleitet wird und dort ihre/seine Einwilligung in die Datenverarbeitung erteilt.


Sprachassistenten wie Siri oder Alexa

Wie ist der Einsatz von Sprachassistenten im schulischen Kontext datenschutzrechtlich zu bewerten?

Die in der Regel für die Ausstattung ihrer Schulen gem. §79 SchulG NRW zuständigen Schulträger stehen vor der Herausforderung, den Schulen eine digitale Ausstattung zur Verfügung zu stellen, die den Lehrenden - und ggf. Lernenden - bei zunehmend digitalisierten Bildungsprozessen im Spagat zwischen hoher Datensicherheit und pädagogischer Freiheit größtmögliche Handlungsfähigkeit ermöglicht. Die Schulträger sind bemüht und gewillt, ihren Schulen zu deren Erfüllung des ihnen übertragenen Bildungs- und Erziehungsauftrags eine adäquate Ausstattung bereitzustellen. Die Ausstattung sollte dabei die technisch-pädagogischen Bedarfe der Einzelschule berücksichtigen, die Beschaffung geschieht jedoch in der Regel entlang der kommunalen Prozesse, die auch die Einbindung, die Administration, die Wartung und den Support gerade von IT-Ausstattung berücksichtigen muss.

Seitens der ausstattenden Stelle sollten Entscheidungen, die aus datenschutzrechtlichen Überlegungen heraus über die Nutzung bzw. Bereitstellung technischer Funktionen der Ausstattung getroffen werden müssen, nicht eigenmächtig und ohne Rücksprache bzw. Einvernehmen mit den Schulen entschieden werden. Verantwortlich für den Datenschutz (und die damit verschränkte Datensicherheit) der durch die Schule im Rahmen ihres Bildungs- und Erziehungsauftrags erhobenen und verarbeiteten Daten von Schülerinnen und Schülern, Eltern und Lehrkräften ist gem. §2 Abs. 3 VO-DV I (https://recht.nrw.de/lmi/owa/br_text_anzeigen?v_id=10000000000000000576) die jeweilige Schulleiterin bzw. Schulleiter, der Schulträger zeichnet hier nur mittelbar im Rahmen einer Datenverarbeitung im Auftrag (gem. Art. 28 DSGVO, https://dsgvo-gesetz.de/art-28-dsgvo/in Verbindung mit Art. 32 DSGVO, https://dsgvo-gesetz.de/art-32-dsgvo/) verantwortlich.

Konkret sollte der Schulträger bei der Konfiguration und dem Device-Management von digitalen Endgeräten zwar die Zulässigkeit der dabei erhobenen und verarbeiteten Daten sicherstellen - so ist z. B. die Erhebung und Verarbeitung von Geodaten u. a. zur Ortung von verlorenen dienstlichen oder Schülerinnen und Schülern zur Verfügung gestellten Endgeräten nur mit wirksamer Einwilligung der Betroffenen bzw. deren Eltern zulässig. Die grundsätzliche Deaktivierung von Ortungsdiensten durch den Schulträger ist jedoch nicht unbedingt sinnvoll, da in pädagogischem Kontext diese Funktion durchaus erforderlich sein kann. Ähnlich verhält es sich bei der Möglichkeit, Sprachassistenten wie Siri oder Alexa aktivieren zu können.

In der Regel stellt weder die Schule noch der ausstattende Schulträger bei der aktiven Nutzung solcher Funktionen und Dienste durch Lehrkräfte oder Lernende die datenverarbeitende Stelle dar, sondern die Daten werden durch die Dienstanbieter (google, Apple, ...) auf Basis derer AGB bzw. unter deren Nutzungsbedingungen verarbeitet. Damit liegen die Informationspflichten bzgl. der Datenverarbeitungen bei den Anbietern, und Einwilligungen, die nicht schriftlich, sondern ebenso durch das aktive Einschalten der Funktionalitäten erteilt werden können, sind diesen Anbietern gegenüber zu erteilen.

Eine Schule, die derartige Systeme von ihren Schülerinnen und Schülern einsetzen lässt oder einen Einsatz empfiehlt, sollte sich selbst und die Lernenden allerdings ebenfalls über die Datenverarbeitungen informieren und diese als konkreten Anlass im Rahmen ihres Bildungs- und Erziehungsauftrags und in Anlehnung an den Medienkompetenzrahmen zum Unterrichtsthema machen. Dadurch wird nicht nur Medienkompetenz bei allen Betroffenen erreicht, sondern auch eine hohe Akzeptanz für die von der Schule empfohlenen Angebote.

Empfehlenswert ist, sofern möglich, die verwendeten Geräte so zu konfigurieren oder von den Nutzerinnen und Nutzern so konfigurieren zu lassen, dass die Aktivierung der Assistenzsysteme nicht per Sprachbefehl („Hey Siri“, „Hey Alexa“) erfolgt, sondern per Druck bzw. Klick auf einen Button. Auch damit erreicht man eine höhere Akzeptanz bei ggf. Kritikern (Vorwurf: „Siri/Alexa hört immer mit!“) und stellt zudem sicher, dass die Assistenzsysteme nicht unbeabsichtigt aktiviert werden.

Ausstattung


Digitale Endgeräte für Schüler*innen

Informationen zur Ausstattung und Finanzierung von digitalen Endgeräten durch Eltern finden sich auf den Seiten des Schulministeriums hier:


Dienstliche Endgeräte für Lehrkräfte

Wer ist für die Konfiguration der dienstlichen Endgeräte der Lehrkräfte zuständig und in welche Netzwerke sind sie einzubinden?

Wo finden sich Informationen des MSB zu dienstlichen Endgeräten?


Schulische Netzwerke, Netztrennung

Welche Arten von IT-Netzwerken stellen Schulträger den Schulen in der Regel zur Verfügung?

Digitale Kommunikation


Konferenzen digital

Ist es zulässig, Konferenzen digital durchzuführen?

Leider ist die Rechtslage hinsichtlich der Durchführung digitaler Konferenzen von Schulmitwirkungsgremien mangels entsprechender Rechtsvorschriften unklar. Im SchulG NRW finden sich zwar einige Verfahrens- und Formvorschriften für die schulischen Mitwirkungsgremien (insbes. § 63 SchulG NRW, BASS 17-02), jedoch dürften diese Regelungen die zunehmende Digitalisierung nicht berücksichtigt haben und somit „nur“ auf Präsenzveranstaltungen zugeschnitten sein. Gleichwohl halten wir aus den folgenden Gründen und unter Berücksichtigung der folgenden Hinweise auch digitale Formate für möglich und zulässig.

Für juristische Personen des Privatrechts hat der Bundesgesetzgeber mittlerweile das sog. COGMG (Gesetz über Maßnahmen im Gesellschafts-, Genossenschafts-, Vereins-, Stiftungs- und WEG-Recht zur Bekämpfung der Auswirkungen der COVID-19-Pandemie) erlassen. Im Hinblick auf die im Schulrecht bestehende Regelungslücke lassen sich unseres Erachtens aufgrund einer Vergleichbarkeit der Interessenlage das COGMG bzw. dessen Rechtsgedanken zumindest teilweise analog heranziehen.

Dadurch gelangen wird zu der folgenden Einschätzung:

Nach unserem Dafürhalten ist es grundsätzlich zulässig, (Lehrer-)Konferenzen virtuell zu veranstalten und in diesem Rahmen auch rechtswirksam Beschlüsse zu fassen (vgl. §  5 Abs. 2 Nr. 1 COGMG).

Was ist zu grundsätzlich zu beachten?

Grundsätzlich liegt die Auswahl eines für die Konferenzen verwendeten IT-Systems im Ermessen der Schulleiterin bzw. des Schulleiters. So können auch kostenfrei im Internet angebotene Systeme zum Einsatz kommen, wobei sich deren Nutzung unter den Aspekten des Datenschutzes und der IT-Sicherheit allerdings als sehr komplex darstellt. Grundlage der Nutzung frei im Internet angebotener Systeme stellen in der Regel anbieterindividuelle Nutzungs- und Lizenzbedingungen dar, auf die die Schule keinerlei Einfluss hat, denen sich aber alle Nutzerinnen und Nutzer unterwerfen müssen. Die Datenverarbeitungen bei der Bereitstellung und Nutzung der Angebote finden darüber hinaus nicht in Verantwortung der Schule im Rahmen der Erfüllung des ihr übertragenen Bildungs- und Erziehungsauftrags statt, sondern nach dem Verständnis und den Zwecken, die der jeweilige Anbieter definiert. Sofern nur Daten von den an einer Konferenz Teilnehmenden verarbeitet werden, mag dies unproblematisch sein, da sich diese Personen den Nutzungsbedingungen des jeweiligen Anbieters unterworfen und ggf. in die Verarbeitung ihrer Daten eingewilligt haben. Die Verarbeitung von Daten Dritter, z. B. durch die Nennung der Namen von Schülerinnen und Schülern, ist in solchen Systemen jedoch nicht zulässig.

Zu empfehlen ist aus den genannten Gründung die Nutzung eines „schulischen“ Systems, das in datenschutzrechtlicher Verantwortung der Schule bereitgestellt und betrieben wird. Zentrales Element, welches diese Verantwortung regelt, stellt eine Vereinbarung zur Verarbeitung von Daten im Auftrag gem. Art. 28 DSGVO dar. Die Vereinbarung stellt sicher, dass Daten, die externe Dienstleister auf ihren Systemen eben bei der Bereitstellung ihrer Angebote technisch verarbeiten nur zu den Zwecken verwendet werden, die die Schule definiert. Und dies ist in der Regel eben die Erfüllung des Bildungs- und Erziehungsauftrags. Geschlossen wird die Vereinbarung zwischen Schulleiterin bzw. Schulleiter und (technisch) bereitstellendem Schulträger, der wiederum Unteraufträge mit dem Systemanbieter schließen kann, oder direkt mit dem jeweiligen Systemanbieter.

Einen weiteren Vorteil bietet die Nutzung „schulischer“ Systeme dahingehend, dass die Schule ihren Informationspflichten gem. Art. 13, 14 DSGVO nachkommen kann und somit die Datenverarbeitungen im Rahmen der Bereitstellung und Nutzung des verwendeten Systems transparent darstellen kann. Dies schafft Vertrauen bei den Betroffenen und Akzeptanz, welches die Basis dafür ist, dass im besten Fall alle benötigten Personen einer Verarbeitung einwilligungspflichtiger Daten (u. a. Audio- und Videodaten) zustimmen.

Welche technische Voraussetzungen müssen gegeben sein?

Grundlegend ist, dass die Teilnehmenden die technischen Möglichkeiten haben, um an einer digital durchgeführten Konferenz teilnehmen zu können. Die Nutzung privater Ausstattung darf nicht vorausgesetzt werden.

Wie kann sichergestellt werden, dass nur berechtigte an einer Konferenz teilnehmen?

Es ist sicherzustellen, dass nur Berechtigte Zugang zur jeweiligen digitalen Konferenz haben bzw. daran teilnehmen. Dies wird im besten Fall durch eine Teilnahme mit eingeschalteter Kamera offensichtlich. Da es jedoch grundsätzlich nicht zwingend erforderlich sein sollte, während einer Konferenz die Kamera dauerhaft eingeschaltet zu haben, kann eine Identitätsfeststellung auch zu Beginn einer Konferenz durch kurzes Einschalten der Kamera umgesetzt werden. Ohne Einschalten der Kamera sollte in der Regel die Berechtigung der Teilnehmenden durch Log-In in das Konferenzsystem über ein individuelles, personalisiertes Nutzerkonto ausreichend festgestellt sein. Sollte ein frei über das Internet zugängliches Systemen zum Einsatz kommen ist sicherzustellen, dass die Zugangslinks zu Konferenzen nur über dienstliche bzw. schulische E‑Mail-Adressen kommuniziert werden.

Ist eine Teilnahme verpflichtend?

Die Verarbeitung von Audio- und Videodaten mit Personenbezug durch die Schule, z. B. bei der Durchführung von Videokonferenzen, bedarf der Einwilligung der Betroffenen. Sind die Betroffenen gem. Art. 13, 14 DSGVO hinreichend über die Datenverarbeitungen informiert, kann die Einwilligung „konkludent“ durch das einfache Einschalten der Kamera bzw. des Mikrofons erfolgen. Sollte eine Bereitschaft zur Teilnahme mit Audio oder Video (vereinzelt) nicht vorhanden sein, ist für diese Personen zwingend eine andere Form der Teilnahme vorzusehen. Ggf. erklären sich Teilnehmende zumindest zu Beginn der Konferenz bereit, kurz ihre Kamera zur Identitätsfeststellung einzuschalten, um dann nur per Audio teilzunehmen. Beiträge könnten allerdings auch über eine in das Konferenzsystem integrierte Chatfunktion oder per E-Mail eingebracht werden. Denkbar erscheint zudem eine hybride Veranstaltung in der Form, dass die Konferenzleitung die Veranstaltung in den schulischen Räumlichkeiten abhält, in denen Alternativ-Teilnehmenden eine physische Teilnahme ermöglicht wird.

Wie geht man mit Abstimmungen um?

Bei den Abstimmungen ist zu differenzieren zwischen offenen und geheimen:

  • Offene Abstimmungen dürften wenig problematisch sein. Handzeichen sind visuell über das Videotool ersichtlich, entweder durch echtes oder auch „digitales“ Handheben. Auch kann eine Chat-Funktion oder die dienstliche E-Mail-Adresse zur Abstimmung genutzt werden.
  • Etwas aufwendiger sind geheime Abstimmungen, bei denen sich unseres Erachtens die folgenden Möglichkeiten anbieten:
  • Absehbar geheim abzuhaltenden Abstimmungen könnten im Vorhinein per Briefwahl erfolgen.
  • Alternativ dazu könnten an die schulischen E-Mail-Adressen E-Mails mit nicht persönlich gekennzeichneten Stimmzetteln als Dateianhang gesendet werden. Auf Empfängerseite wäre eine „Vertrauensperson“ zu benennen, die die Dateianhänge von der Absendenden-E-Mail trennt und dann auswertet. Die Übersendungsmail könnte zu Nachweiszwecken gespeichert werden, wobei der Dateianhang vor der Speicherung zu löschen wäre. Sollte diese Vorgehensweise während einer Konferenz nicht umsetzbar sein, kann die „Abstimmung“ auch im Nachgang bis zu einem festgelegten Zeitpunkt erfolgen. Die Ergebnisse sind dann als Ergänzung zum Protokoll zu nehmen.
  • Letztlich stellt sich noch die Möglichkeit eines Rückgriffs auf ggf. vorhandene Abstimmungsfunktionalitäten der vorhandenen schulischen IT-Infrastruktur oder aber auf (kommerzielle) Tools, die (geheime) Abstimmungen ermöglichen. Die QUA‑LiS NRW bietet den Lehrkräften in Nordrhein-Westfalen eine kostenfreie Nutzung der Feedback-App Edkimo an. Diese könnte u. a. für Online-Abstimmungen genutzt werden. Weitere Informationen dazu finden sich auf der Webseite der Qua‑Lis unter https://www.schulentwicklung.nrw.de/e/schulinterne-evaluation/fokus-unterricht/feedback-app-edkimo/edkimo.html.
  • In allen Fällen ist die Identität bzw. Teilnahmeberechtigung der Abstimmenden sicherzustellen (s. o.), sowie dass Stimmberechtigte Ihre Stimme nur einmal an der jeweiligen Abstimmung abgeben. Sollten Einwilligungen für Datenverarbeitungen bei der Nutzung von Abstimmungstools erforderlich sein, sind alternative Möglichkeiten anzubieten (s. o.).

Die konkrete Ausgestaltung einer digitalen Lehrerkonferenz wird letztlich immer und in erster Linie von der Mitwirkungsbereitschaft des Kollegiums abhängen. In einem ersten Schritt sollte daher stets versucht werden, sämtliche Beteiligte für die Teilnahme an einer digitalen Konferenz zu gewinnen. Gelingt dies nicht, sollten in einem zweiten Schritt mit der oder den betreffenden Person(en) einvernehmlich abgestimmte Regelungen zu deren konkreter Alternativ-Teilnahme vereinbart werden.


Videokonferenzen

Wie beurteilt die Landesregierung rechtlich eine Anordnung, dass die Kameras zwingend einzuschalten sind bei einer Teilnahme an Videokonferenzen im Distanzunterricht?

Die Verarbeitung von Audio- und Videodaten mit Personenbezug durch die Schule erfordert die Einwilligung der Betroffenen bzw. deren Erziehungsberechtigten, sofern Minderjährige das 16. Lebensjahr noch nicht vollendet haben.

Wirksame Einwilligungen bedürfen u.a. der Informiertheit der Betroffenen, d.h., dass letztere vor der beabsichtigten Verarbeitung ihrer personenbezogenen Daten hinreichend über die Umstände der Datenverarbeitung zu informieren sind. Dass die Information erfolgte, bestätigen die Nutzerinnen und Nutzer bei LOGINEO-Produkten im Rahmen der Kontoaktivierung bei Erstanmeldung.

Eine Einwilligung bedarf nicht zwingend einer Schriftform. Sie kann auch durch eine sonstige eindeutig bestätigende Handlung erfolgen, mit der die betroffene Person in dem jeweiligen Kontext ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten unmissverständlich signalisiert (vgl. Art. 4 Nr. 11 DSGVO sowie Erwägungsgrund 32 DSGVO). Im Falle der Nutzung des von der Schule bereitgestellten Videokonferenzsystems kann somit auch das bloße Einschalten von Kamera und/oder Mikrofon (ggf. in Verbindung mit der dazu erteilten Erlaubnis der jeweils Erziehungsberechtigten) als eindeutig bestätigende Handlung und damit als wirksame Einwilligung gewertet werden.

Als Einwilligung in die Verarbeitung der Audio- und Videodaten mit Personenbezug im Rahmen der Bereitstellung und Nutzung des Videokonferenzsystems der Schule wird das (ggf. durch die Erziehungsberechtigten erlaubte) Einschalten der Kamera bzw. des Mikrofons angesehen (vgl. Art 4 Nr. 11 DSGVO sowie Erwägungsgrund 32 DSGVO).

Die Einwilligung kann jederzeit, z. B. durch Ausschalten von Kamera oder Mikrofon, widerrufen werden.

Wie kann sichergestellt werden, dass während einer Unterrichtskonferenz tatsächlich nur diejenigen Personen an den Empfangsgeräten sitzen, von denen die Lehrkraft und die teilnehmenden Schülerinnen und Schüler wissen?

Die Pandemie stellt unsere Gesellschaft vor ungeahnte Herausforderungen. Dafür gilt es Antworten und konstruktive Lösungen zu finden. Für Schulen stellt eine dieser Herausforderungen sicherlich der Unterricht auf Distanz dar. Von technischer Seite her bedarf es hier einer verlässlichen Hard- und Softwareausstattung der Schule, dienstlicher Endgeräte (und zugelassener privater) der Lehrkräfte, vorhandener häuslicher Ausstattung und Rahmenbedingungen bei den Lernenden. Doch eine perfekte Ausstattung allein würde nicht genügen. Unter anderem ist Medienkompetenz bei Lehrkräften ebenso erforderlich wie es einer Förderung in diesem Bereich bei den Lernenden bedarf. Darüber hinaus sind rechtliche Vorgaben und Beteiligungsverfahren zu beachten.

Sicherlich hat die Digitalisierung von Unterricht und Schule in der Vergangenheit nicht in dem Maße stattgefunden, wie es für die aktuelle Pandemiesituation und einen nahezu vollständigen Unterricht auf Distanz erforderlich wäre, doch haben sich alle beteiligten Stellen und Verantwortlichen - vom Schulministerium über die Bezirksregierungen, Schulämter, Schulträger, und Schulen, Eltern und auch Schülerinnen und Schüler - den Herausforderungen gestellt, und trotz Unwägbarkeiten und (vermeintlicher) Hürden Beachtliches geleistet und erreicht.

Es ist offensichtlich, dass gerade Unterricht auf Distanz per Videokonferenz Lehrkräfte vor besondere Herausforderungen stellt. Die Sorge, dass sich Lernende – ganz besonders in den Geisteswissenschaften - befangen fühlen können, wenn eine Kamera auf sie gerichtet ist, statt frei zu agieren, ist berechtigt. Besonders hier, wie an anderen Stellen auch, sind professionelle pädagogische und didaktische Ansätze gefragt, und Lehrkräfte gefordert, diese bei Ihrer Unterrichtsplanung einzubeziehen. Die Erfahrungen der Lehrkräfte und ihre Beziehungen zu den Lernenden sind ganz besonders wertvoll und hilfreich, damit die Schülerinnen und Schüler unter den Gegebenheiten ihre Lernziele erreichen und die geforderten Kompetenzen erwerben können. Allerdings ist es leider – oder dank der freiheitlichen Gesellschaft, in der wir leben dürfen - nicht möglich anzuordnen, zu 100% sicherzustellen oder gar zu kontrollieren, ob und dass sich im privaten häuslichen Umfeld beim Homeschooling keine weiteren Personen im Raum befinden. Ebenso wenig möglich noch sinnvoll ist es, einen Unterricht im Klassenraum 1:1 in ein Videoformat zu übertragen.

Wertvolle Informationen, Anregungen und Möglichkeiten, unter den gegebenen Umständen und Vorgaben Unterricht auf Distanz lernförderlich zu gestalten, finden sich hier:


Datenversand per E-Mail

Dürfen Einzelnoten oder Notenübersichten über dienstliche E-Mail-Konten von Lehrkräften an schulische E-Mail-Konten von Schülerinnen und Schülern kommuniziert werden?

Obwohl E-Mails gern mit analogen Postkarten verglichen werden, deren Inhalt keinen besonderen Schutzmaßnahmen unterworfen ist – außer vielleicht einer kryptografischen Handschrift - können Noten unter bestimmten Umständen datenschutzkonform über das elektronische Pendant kommuniziert werden.

Folgende Bedingungen müssen dabei für den von der Schule vorgesehenen Versand individualisierter Notenübersichten an Schülerinnen und Schüler erfüllt sein:

  •  das schulische IT-System, das die E-Mail-Konten technisch bereitstellt (z. B. LOGINEO NRW, iServ), wird in datenschutzrechtlicher Verantwortung der Schulleiterin bzw. des Schulleiters betrieben. Dazu steht entweder ein Server „in der Schule“, oder das System wird cloudbasiert auf Basis einer Vereinbarung zur Auftragsverarbeitung gem. Art. 28 DSGVO zwischen Schulleiterin bzw. Schulleiter und dem technischen Dienstleister (i.d.R der Schulträger) von diesem bereitgestellt.
  • die schulischen Administratoren und der Second-Level-Support (i.d.R. der Schulträger) sind auf ihre datenschutzrechtlichen Rechte und Pflichten hingewiesen worden
  • im von der Schule genutzten IT-System, das die E-Mail-Konten technisch bereitstellt, ist die Möglichkeit unterbunden, automatisierte Weiterleitungen von eingehenden E-Mails einzurichten
  •  jede Schülerin / jeder Schüler sowie jede Lehrkraft hat ein individuelles, passwortgeschütztes schulisches E-Mail-Konto, das über das schulische IT-System technisch bereitgestellt wird
  • Lehrkräfte verwenden für den E-Mail-Versand nur schulische, dienstliche oder von der Schulleiterin / dem Schulleiter genehmigte private Endgeräte
  • die E-Mails werden über die individuellen, passwortgeschützten schulischen E-Mail-Konten der Lehrkräfte an diejenige der Schülerinnen und Schüler versendet
  •  Notenübersichten über alle Noten einer Schülerin / eines Schülers werden von der Schulleiterin/dem Schulleiter, der Jahrgangstufenleiterin/dem Jahrgangstufenleiter oder der Klassenlehrerin/dem Klassenlehrer versendet
  • Einzelnoten können auch von den jeweiligen unterrichtenden Lehrkräften an die Schülerinnen und Schüler versendet werden

Durch die Kommunikation innerhalb des schulischen IT-Systems, das die E-Mail-Konten technisch bereitstellt und das Unterbinden einer automatisierten Weiterleitung verlassen die E-Mails das datenschutzrechtlich von der Schulleitung verantwortete IT-System nicht. Die E-Mails werden quasi innerhalb des IT-Systems vom Versender- in das Empfänger-Postfach gelegt und auf diese Weise nicht unberechtigten Dritten zur Kenntnis gebracht. Die E-Mails verlassen den datenschutzrechtlichen Verantwortungsbereich der Schule erst, wenn ein Empfänger bzw. eine Empfängerin sie über ein unter seiner bzw. ihrer Verantwortung betriebenes Endgerät abruft und ggf. dort speichert.

 

Verwandte Themen

Zusätzliche Informationen

Downloads

Service-Bereich, Kontaktformular, Inhaltsverzeichnis

Navigation

 
Move Schließen
\
Expand
Zurück Zurück Weiter Weiter
{pp_gallery_content}