Grundsätzlich entscheidet die Schule bzw. die Schulleitung – in der Regel in Rücksprache mit dem ausstattenden Schulträger - welche Werkzeuge sie für ihre schulinternen Verwaltungsprozesse einsetzt.

Bei Systemen, die bei externen (technischen) Dienstleistern auf schulexternen Servern oder „cloudbasiert“ betrieben werden, muss die Schulleitung eine sog. Verarbeitung von Daten im Auftrag (Auftragsverarbeitung gem. Art. 28 DSGVO) mit dem Dienstleister vereinbaren. Zu beachten ist zudem, dass - falls Lehrkräfte private Endgeräte einsetzen möchten - diese von der Schulleitung zu genehmigen sind.

Grundsätzlich entscheidet die Schule bzw. die Schulleitung – in der Regel in Rücksprache mit dem ausstattenden Schulträger - welche Werkzeuge sie für ihre schulinternen Verwaltungsprozesse einsetzt.

Datenschutzrechtlich ist beim Einsatz automatisierter Verfahren, welches ein digitales Klassenbuch darstellt, sicherzustellen, dass die Schule "Herrin der Daten" bleibt, dass sie also über Mittel, Art und Zwecke der Datenverarbeitungen der ihr anvertrauten und von ihr verarbeiteten Daten bestimmt. Die Schule hat, wie jede andere datenverarbeitende Stelle auch, ihre Verfahren zur Verarbeitung personenbezogener Daten in einem "Verzeichnis der Verarbeitungstätigkeiten" gem. Art. 30 DSGVO (s. https://dsgvo-gesetz.de/) zu dokumentieren. Dieses Verzeichnis dokumentiert alle grundlegenden Belange der Datenverarbeitungen, wie z. B. verarbeitete Daten, Rechtsgrundlagen, Zugriffsberechtigte, Löschfristen etc. Zur Unterstützung der Schulen hat das Schulministerium ein Referenz-Verzeichnis entwickelt (s. https://www.medienberatung.schulministerium.nrw.de/Medienberatung/Datensicherheit-und-Datenschutz/Praxishilfen-Datenschutz/Verarbeitungsuebersicht-Schule/).

Das Verzeichnis dient zudem als Quelle und Unterstützung, um weitere datenschutzrechtliche Pflichten, wie z. B. Informationspflichten, erfüllen zu können oder festzustellen, ob ggf. Einwilligungen Betroffener eingeholt werden müssen, weil sich für die Schule keine einschlägige Rechtsgrundlage für eine Datenverarbeitung aus Schulgesetz und Verordnungen (u. a. VO-DV I, VO-

DV II) ergibt. Denn oftmals beinhalten Systeme Funktionalitäten, wie z. B. "Sitzpläne mit Fotos der Schülerinnen und Schüler", die mit Datenverarbeitungen einhergehen – im genannten Beispiel also für die Bilddaten – für die die Schule Einwilligung der Betroffenen benötigt.

Bei Systemen, die bei externen (technischen) Dienstleistern auf schulexternen Servern oder „cloudbasiert“ betrieben werden, muss die Schulleiterin / der Schulleiter eine sog. Verarbeitung von Daten im Auftrag (Auftragsverarbeitung gem. Art. 28 DSGVO) mit dem Dienstleister vereinbaren. Zu beachten ist zudem, dass - falls Lehrkräfte private Endgeräte einsetzen möchten - diese von der Schulleiterin / dem Schulleiter zu genehmigen sind.

Ja, ein digitaler Eintrag ist insofern ausreichend, denn Klassenbücher dürfen seit einer entsprechenden Änderung des § 4 Abs. 5 VO-DV I auch ausschließlich digital geführt werden, die Papierform ist nicht mehr zwingend erforderlich. Gemäß Anlage 2 dieser Verordnung enthält das Klassenbuch unter anderem auch "Nachweise zum Unterricht" (s. I Ziff. 1 der Anlage 2 zu § 4 Abs. 5 VO-DV I). Eine (ausschließliche) digitale Klassenbuchführung, aus der sich Unterrichtsnachweise ergeben, ist daher zulässig und auch ausreichend. Wie bei der analogen Dokumentation ist bei digitalen Systemen ebenso die „Integrität der Daten“ bzw. der Eintragungen gewährleistet ist, was u. a. bedeutet, dass Eintragungen und ggf. Änderungen eindeutig einer Person zugeordnet werden können.

Ja, eine elektronische Speicherung ist grundsätzlich ausreichend. Die Aufbewahrungsfrist von (digitalen) Klassenbüchern beträgt nach § 9 Abs. 1 Nr. 3, Abs. 2 VO-DV I 10 Jahre. Dies gilt - wie sich § 9 Abs. 2 S. 1 VO-DV I entnehmen lässt - unabhängig davon, ob es sich um physische oder digitale Klassenbücher handelt. Da Klassenbücher mittlerweile auch ausschließlich elektronisch geführt werden dürfen (s. Antwort zu Frage 2), erfüllt grundsätzlich auch die ausschließlich digitale Speicherung die Anforderungen an die Aufbewahrungsfrist.

Die Verfügbarkeit der Daten ist im Rahmen der Sicherheit der Verarbeitung gem. Art. 30 DSGVO sicherzustellen und liegt an Schulen in Verantwortung der Schulleitung. Dem entsprechend sind u. a. Backup- (und Wiederherstellungs-) wie auch Archivierungsverfahren vorzusehen und ggf. mit dem (technischen) Dienstleister zu vereinbaren.

Das Klassenbuch ist ein schulisches, internes Dokument, in dem für jede Stunde der behandelte Unterrichtsstoff, die Fehlzeiten eines Schülers, die Hausaufgaben, auffälliges Verhalten von Schülerinnen und Schülern und weitere Daten festgehalten werden. Die Dokumentation dieser Informationen ist zur Aufgabenerfüllung der Lehrkräfte und der Schulleitung erforderlich.

Zugriff auf die Informationen elektronischer Klassenbücher haben - wie bisher beim Klassenbuch in Papierform – nur diejenigen Personen, für die es zur Aufgabenerfüllung erforderlich ist (vgl. §§ 120ff SchulG).

Für Eltern besteht regelmäßig kein Bedürfnis, Einsicht in die Eintragungen des Klassenbuches zu nehmen. Sie können sich über Unterrichtsinhalte und Hausaufgaben bei ihren Kindern oder den betreffenden Lehrkräften informieren.

Das Recht auf individuelle Auskunft über die sie angehenden Daten z. B. im Rahmen der Nutzung eines digitalen Klassenbuchs durch die Schule steht den Betroffenen selbstverständlich zu.

Manche digitale Klassenbuchsysteme bieten den Nutzer:innen die Möglichkeit, über eine App auf das System zuzugreifen. Schulleitungen können Lehrkräften, Lehramtsanwärter:innen, Lehrkräften in Ausbildung, sonstigem pädagogischen und sozialpädagogischen Personal sowie Schulpsychologinnen und Schulpsychologen die Nutzung ihrer privaten Endgeräte für dienstliche Zwecke genehmigen.

Die Genehmigung darf nicht erteilt werden, wenn ein persönliches dienstliches digitales Gerät für schulische Zwecke zur Verfügung gestellt wird (vgl. § 2 Abs. 2 S. 4 VO-DV I).

Sollte ein bereitgestelltes dienstliches Endgerät die benötigte Funktionalität jedoch nicht unterstützen – das ist z. B. häufig der Fall im Umfeld der Nutzung von Systemen zur Zeugniserstellung – kann die Genehmigung von der Schulleiterin bzw. dem Schulleiter dennoch erteilt werden, allerdings nur für die benötigte Funktionalität.

Ein solcher Ausnahmefall besteht in der Regel bei digitalen Klassenbuchsystemen nicht, da diese meist einen Zugang über den Webbrowser ermöglichen oder über eine App, die auch auf den dienstlichen Endgeräten installiert werden kann. Ggf. ist hierzu der Schulträger einzubeziehen.

Nutzung ohne Lizensierung:

Die Rechtsgrundlage für das Anlegen von Nutzerkonten, wie auch die Nutzung von Apps zur Aufzeichnung, Kommunikation und Wiedergabe von Audiodateien (z. B. Vocaroo, Tchirp, QWIQR, ...) ohne Lizensierung stellen die AGB der Anbieter dar. Dies gilt für Lehrkräfte wie auch für Lernende. Die Datenverarbeitung erfolgt nicht auf Basis des SchulG NRW, sondern im Rahmen der Vertragserfüllung durch den jeweiligen Anbieter. Verarbeitende Stelle ist somit der jeweilige Anbieter. Entsprechend bedarf letzterer einer Rechtfertigung für die Verarbeitung personenbezogener Daten nach Art. 6 Abs. 1 DSGVO. Einschlägig dürften in der Regel entweder berechtigte Interessen der Anbieter und/oder eine Einwilligung der Nutzerinnen und Nutzer sein. Etwaige aus der DSGVO resultierende Informationspflichten sind somit auch durch den jeweiligen Anbieter und nicht durch die Schule zu erfüllen. Die Schule hat diesbezüglich jedoch gewissermaßen eine moralische Verantwortung selbst informiert zu sein. Lehrkräfte und Schulleitung sollten in Bezug auf die Umstände der Datenverarbeitungen und den Anbieter sprechfähig sein, um Nutzerinnen und Nutzern von ihrer Seite aus informieren zu können. Zudem hat die Schule ja ein eigenes Interesse daran, dass ein von ihr für ihre pädagogischen wie organisatorischen Prozesse gewünschtes Tool auf große Akzeptanz stößt und möglichst von allen genutzt wird.

Das Einsprechen eines Audiofeedbacks durch eine Lehrkraft wie auch die Nutzung durch Lernende erfolgt freiwillig. Lehrkräfte sollten beachten, dass kein Bezug zu den angesprochenen Personen hergestellt werden kann. Datenschutzrechtlich kann ein "Hallo Lieschen" schon problematisch sein, wenn man auf „Hardliner“ trifft. Aus diesem Grunde sollte sie die Eltern – und natürlich ihre Schulleitung - von ihrem Vorhaben informieren, um für möglichst hohe Akzeptanz zu sorgen.

Feedback für Kinder von „Hardlinern“ sollte – wenn überhaupt - ohne jeglichen Personenbezug eingesprochen werden.

Es sollte unbedingt kommuniziert werden, dass der Zeitpunkt des Abrufs durch Lernende von der Lehrkraft ersichtlich ist. Die Verarbeitung dieses Datums ist datenschutzrechtlich heikel. Feedback für Kinder von „Hardlinern“ sollte aus diesem Grunde nicht erfolgen.

Die Kommunikation des Zugangs zum Feedback (Link, QR-Code) sollte über einen geschützten Weg erfolgen, z. B. analog ausgedruckt oder über eine den Lernenden zur Verfügung gestellte schulische E-Mail-Adresse. Die Kommunikation an private E-Mail-Adressen von Lernenden sollte nur nach expliziter Aufforderung und der Kommunikation der Problematik von E-Mails („wie eine digitale Postkarte“) erfolgen.

Nutzung mit Lizensierung:

Sollte trotz Möglichkeit der Lizensierung keine Vereinbarung zur Auftragsverarbeitung zwischen Schulleiterin bzw. Schulleiter und Anbieter geschlossen werden können, und/oder das Hosting des Systems außerhalb der EU oder in Ländern ohne vergleichbares Datenschutzniveau stattfinden, so gelten die vorstehenden Ausführungen zur Nutzung ohne Lizensierung.

Kann eine Vereinbarung zur Auftragsverarbeitung zwischen Schulleiterin bzw. Schulleiter und Anbieter geschlossen werden, so wird die Schule „Verarbeitende Stelle“, Verantwortlicher ist die Schulleiterin bzw. der Schulleiter.

Datenverarbeitungen erfolgen auf Basis des SchulG NRW und ggf. wirksamer Einwilligungen. Einwilligungen sind u.a für die Verarbeitung von Audioaufzeichnungen der Stimme der Betroffenen erforderlich. Die Einwilligungen werden der Schule gegenüber erklärt. Dies kann durch „konkludentes Handeln“ erfolgen, z. B. indem Betroffene bzw. bei Minderjährigen deren Eltern nach hinreichender Information (Art. 13, 14 DSGVO) über die Datenverarbeitungen sowie über ihre Rechte eine Aufzeichnung ihrer Stimme vornehmen.

Da die Audioaufzeichnungen auf freiwilliger Basis erfolgen, ist eine verpflichtende Nutzung nicht möglich.

Die Schule hat das Verfahren in ihrem Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren.

Die in der Regel für die Ausstattung ihrer Schulen gem. §79 SchulG NRW zuständigen Schulträger stehen vor der Herausforderung, den Schulen eine digitale Ausstattung zur Verfügung zu stellen, die den Lehrenden - und ggf. Lernenden - bei zunehmend digitalisierten Bildungsprozessen im Spagat zwischen hoher Datensicherheit und pädagogischer Freiheit größtmögliche Handlungsfähigkeit ermöglicht. Die Schulträger sind bemüht und gewillt, ihren Schulen zu deren Erfüllung des ihnen übertragenen Bildungs- und Erziehungsauftrags eine adäquate Ausstattung bereitzustellen. Die Ausstattung sollte dabei die technisch-pädagogischen Bedarfe der Einzelschule berücksichtigen, die Beschaffung geschieht jedoch in der Regel entlang der kommunalen Prozesse, die auch die Einbindung, die Administration, die Wartung und den Support gerade von IT-Ausstattung berücksichtigen muss.

Seitens der ausstattenden Stelle sollten Entscheidungen, die aus datenschutzrechtlichen Überlegungen heraus über die Nutzung bzw. Bereitstellung technischer Funktionen der Ausstattung

getroffen werden müssen, nicht eigenmächtig und ohne Rücksprache bzw. Einvernehmen mit den Schulen entschieden werden. Verantwortlich für den Datenschutz (und die damit verschränkte Datensicherheit) der durch die Schule im Rahmen ihres Bildungs- und Erziehungsauftrags erhobenen und verarbeiteten Daten von Schülerinnen und Schülern, Eltern und Lehrkräften ist gem. §2 Abs. 3 VO-DV I (https://recht.nrw.de/lmi/owa/br_text_anzeigen?v_id=10000000000000000576) die jeweilige Schulleiterin bzw. Schulleiter, der Schulträger zeichnet hier nur mittelbar im Rahmen einer Datenverarbeitung im Auftrag (gem. Art. 28 DSGVO, https://dsgvo-gesetz.de/art-28-dsgvo/in Verbindung mit Art. 32 DSGVO, https://dsgvo-gesetz.de/art-32-dsgvo/) verantwortlich.

Konkret sollte der Schulträger bei der Konfiguration und dem Device-Management von digitalen Endgeräten zwar die Zulässigkeit der dabei erhobenen und verarbeiteten Daten sicherstellen - so ist z. B. die Erhebung und Verarbeitung von Geodaten u. a. zur Ortung von verlorenen dienstlichen oder Schülerinnen und Schülern zur Verfügung gestellten Endgeräten nur mit wirksamer Einwilligung der Betroffenen bzw. deren Eltern zulässig. Die grundsätzliche Deaktivierung von Ortungsdiensten durch den Schulträger ist jedoch nicht unbedingt sinnvoll, da in pädagogischem Kontext diese Funktion durchaus erforderlich sein kann. Ähnlich verhält es sich bei der Möglichkeit, Sprachassistenten wie Siri oder Alexa aktivieren zu können.

In der Regel stellt weder die Schule noch der ausstattende Schulträger bei der aktiven Nutzung solcher Funktionen und Dienste durch Lehrkräfte oder Lernende die datenverarbeitende Stelle dar, sondern die Daten werden durch die Dienstanbieter (google, Apple, ...) auf Basis derer AGB bzw. unter deren Nutzungsbedingungen verarbeitet. Damit liegen die Informationspflichten bzgl. der Datenverarbeitungen bei den Anbietern, und Einwilligungen, die nicht schriftlich, sondern ebenso durch das aktive Einschalten der Funktionalitäten erteilt werden können, sind diesen Anbietern gegenüber zu erteilen.

Eine Schule, die derartige Systeme von ihren Schülerinnen und Schülern einsetzen lässt oder einen Einsatz empfiehlt, sollte sich selbst und die Lernenden allerdings ebenfalls über die Datenverarbeitungen informieren und diese als konkreten Anlass im Rahmen ihres Bildungs- und Erziehungsauftrags und in Anlehnung an den Medienkompetenzrahmen zum Unterrichtsthema machen. Dadurch wird nicht nur Medienkompetenz bei allen Betroffenen erreicht, sondern auch eine hohe Akzeptanz für die von der Schule empfohlenen Angebote.

Empfehlenswert ist, sofern möglich, die verwendeten Geräte so zu konfigurieren oder von den Nutzerinnen und Nutzern so konfigurieren zu lassen, dass die Aktivierung der Assistenzsysteme nicht per Sprachbefehl („Hey Siri“, „Hey Alexa“) erfolgt, sondern per Druck bzw. Klick auf einen Button. Auch damit erreicht man eine höhere Akzeptanz bei ggf. Kritikern (Vorwurf: „Siri/Alexa hört immer mit!“) und stellt zudem sicher, dass die Assistenzsysteme nicht unbeabsichtigt aktiviert werden.

Informationen zur Ausstattung und Finanzierung von digitalen Endgeräten durch Eltern finden sich auf den Seiten des Schulministeriums hier:

Obwohl E-Mails gern mit analogen Postkarten verglichen werden, deren Inhalt keinen besonderen Schutzmaßnahmen unterworfen ist – außer vielleicht einer kryptografischen Handschrift - können Noten unter bestimmten Umständen datenschutzkonform über das elektronische Pendant kommuniziert werden.

Folgende Bedingungen müssen dabei für den von der Schule vorgesehenen Versand individualisierter Notenübersichten an Schülerinnen und Schüler erfüllt sein:

• das schulische IT-System, das die E-Mail-Konten technisch bereitstellt (z. B. LOGINEO NRW, iServ), wird in datenschutzrechtlicher Verantwortung der Schulleitung betrieben. Dazu steht entweder ein Server „in der Schule“, oder das System wird cloudbasiert auf Basis einer Vereinbarung zur Auftragsverarbeitung gem. Art. 28 DSGVO zwischen Schulleitung und dem technischen Dienstleister (i.d.R der Schulträger) von diesem bereitgestellt.
• die schulischen Administratoren und der Second-Level-Support (i.d.R. der Schulträger) sind auf ihre datenschutzrechtlichen Rechte und Pflichten hingewiesen worden
• im von der Schule genutzten IT-System, das die E-Mail-Konten technisch bereitstellt, ist die Möglichkeit unterbunden, automatisierte Weiterleitungen von eingehenden E-Mails einzurichten
• jede Schülerin / jeder Schüler sowie jede Lehrkraft hat ein individuelles, passwortgeschütztes schulisches E-Mail-Konto, das über das schulische IT-System technisch bereitgestellt wird
• Lehrkräfte verwenden für den E-Mail-Versand nur schulische, dienstliche oder von der Schulleitung genehmigte private Endgeräte
• die E-Mails werden über die individuellen, passwortgeschützten schulischen E-Mail-Konten der Lehrkräfte an diejenige der Schülerinnen und Schüler versendet
• Notenübersichten über alle Noten einer Schülerin / eines Schülers werden von der Schulleitung, der Jahrgangstufenleiterin/dem Jahrgangstufenleiter oder der Klassenlehrerin/dem Klassenlehrer versendet
• Einzelnoten können auch von den jeweiligen unterrichtenden Lehrkräften an die Schülerinnen und Schüler versendet werden

Durch die Kommunikation innerhalb des schulischen IT-Systems, das die E-Mail-Konten technisch bereitstellt und das Unterbinden einer automatisierten Weiterleitung verlassen die E-Mails das datenschutzrechtlich von der Schulleitung verantwortete IT-System nicht. Die E-Mails werden quasi innerhalb des IT-Systems vom Versender- in das Empfänger-Postfach gelegt und auf diese Weise nicht unberechtigten Dritten zur Kenntnis gebracht. Die E-Mails verlassen den datenschutzrechtlichen Verantwortungsbereich der Schule erst, wenn ein Empfänger bzw. eine Empfängerin sie über ein unter seiner bzw. ihrer Verantwortung betriebenes Endgerät abruft und ggf. dort speichert.