Die zunehmende Digitalisierung an den Schulen und die Anforderungen an zeitgemäßen, ansprechenden und wirklichkeitsnahen Unterricht führen zu einem stark steigenden Bedarf nach dem Einsatz unterschiedlichster digitaler Werkzeuge. Die Bandbreite erstreckt sich vom lokalen Einsatz von Office-Anwendungen, einfacher Simulationsprogramme und interaktiven Apps bis hin zur Nutzung kommerzieller, zentral betriebenen Lernplattformen, Videokonferenz- und Lernmanagementsystemen. Für die Nutzung kommen Endgeräte verschiedener Hersteller, Betriebssysteme und Leistungsklassen zum Einsatz, die sowohl im Eigentum und in Verantwortung der Schule betrieben werden, als auch schülereigene Endgeräte in beliebigen Konfigurationsvarianten. Die Nutzung kann ausschließlich in der Schule, aber auch ergänzend im privaten Umfeld stattfinden (Distanzlernen, Hausaufgaben etc.).

Für die Beantwortung der Fragen, ob ein bestimmtes, von Schule nachgefragtes, Produkt oder ein Onlineangebot überhaupt in Schule rechtmäßig eingesetzt werden kann, ist zunächst ein Nutzungskonzept zu entwerfen, in dem Zwecke und Ziele, beteiligte Personengruppen, die Verwendungsorte und die Herkunft der Endgeräte (schulisch/privat) festgelegt wird.

Für die Klärung der Frage, ob die Anwendung vor der Nutzung einer datenschutzrechtlichen Prüfung unterzogen werden muss und welche Dokumentationserfordernisse daraus für die Schule erwachsen, ist entscheidend, ob das geplante Verfahren mit einer Verarbeitung personenbezogener Daten einhergeht. Findet die Verarbeitung darüber hinaus nicht lokal, sondern bei einem Dienstleister (Programmanbieter, Hostingdienstleister) statt, ist zusätzlich ein Auftragsverarbeitungsvertrag zwischen Schule und Dienstleister zu schließen und ggf. eine Genehmigung beim Bildungsministerium einzuholen.

Einen Mustergenehmigungsantrag finden Sie auf der Medienberatungsseite des IQSH. Auf derselben Seite stehen zudem Muster-Dokumentenpakete für die sogenannten Landesdienste sowie einige häufig in Schule genutzte Einzellösungen zum Download bereit.

Lehrkräfte sollten nicht eigenmächtig Apps oder Onlinedienste, die mit der Verarbeitung personenbezogener Daten einher gehen, einführen oder gar Schülerinnen und Schüler zur Installation verpflichten. Hier ist immer eine Absprache/Genehmigung mit/durch die Schulleitung erforderlich, da diese die Gesamtverantwortung für die Einhaltung und Organisation des Datenschutzes trägt (§ 2 SchulDSVO).

Die diesem Beitrag beigefügten Unterlagen sollen Ihnen erste Informationen zu diesem Themenkomplex und Hilfestellungen bei der Auswahl geben sowie die erforderliche Verarbeitungsdokumentation mit Mustern unterstützen.

Zugehörige Dateien
→ Verarbeitungsdokumentation_Muster [ZIP]
→ Checkliste_Auftragsverarbeitung_I [DOCX]
→ Checkliste_Auftragsverarbeitung_II [DOCX]
→ Checkliste_Dokumentationspflichten [DOCX]
→ Schnellüberblick zum Auswahl-, Prüf- und Einführungsverfahren für digitale Medien [PDF]

Im privaten Umfeld nehmen Messengerdienste und soziale Medien als Kommunikationskanäle einen immer größeren Stellenwert ein. Lehrkräfte und Schulleitungen stehen häufig vor der Frage, ob der Einsatz von Facebook oder die Nutzung von WhatsApp oder anderen Messengerdiensten, wie z. B. Threema, für den Austausch von Informationen mit Schülerinnen, Schülern und Eltern (Betroffene) im Schulbereich zulässig ist. Auch Anfragen und Beschwerden von Eltern, deren Kinder mit Lehrkräften auf deren Anregung über solche Dienste mit ihnen kommunizieren sollen, machen eine Auseinandersetzung mit der Thematik erforderlich.

Aus folgenden Gründen ist die Nutzung von Messengerdiensten für die dienstliche Kommunikation zwischen Lehrkräften (kollegiumsintern) und mit Betroffenen (Schülerinnen und Schüler, Eltern etc.) kritisch zu sehen.

Bei der Bewertung sind sowohl die technischen (Produkt, Endgeräte) als auch die organisatorischen (Nutzungsszenario, Nutzungsregeln, Mitbestimmung, Datenschutzdokumentation) Bedingungen zu betrachten.

1. Generell gilt:

Lehrkräfte müssen stets unterscheiden, ob sie mit Betroffenen dienstlich oder privat kommunizieren. Rechtlich betrachtet ist die dienstliche Kommunikation eine Kommunikation der Schule. Ein Beispiel für dienstliche Kommunikation wäre z.B. die Bekanntgabe von Noten oder Stundenausfall. Bei privater Kommunikation handelt die Lehrkraft dagegen für sich selbst, d.h. als Privatperson. Ein Beispiel für private Kommunikation wären z.B. Geburtstagsgrüße. In Zweifelsfällen ist von dienstlicher Kommunikation auszugehen.

In diesem Zusammenhang ist zunächst Folgendes zu beachten: Daten, welche eine Lehrkraft zum Zweck der dienstlichen Kommunikation erhalten hat, darf diese nicht einfach für private Zwecke nutzen. Ist der Lehrkraft die Telefonnummer eines Schülers also z.B. aus der Klassenliste bekannt, darf sie diese Information nicht einfach nutzen, um dem Schüler privat Geburtstagsgrüße zu senden.

Kommuniziert eine Lehrkraft dienstlich, hat sie die besonderen datenschutzrechtlichen Vorgaben des Schulgesetzes und der SchulDSVO zu beachten. 

2. Im Bereich der dienstlichen Kommunikation ist im Einzelnen Folgendes zu beachten:

Die Schule kann personenbezogene Daten der Betroffenen entweder zu Verwaltungszwecken oder zu didaktisch-pädagogischen Zwecken verarbeiten (vgl. § 4 SchulDSVO).

Die Erhebung personenbezogener Daten der Betroffenen zu Verwaltungszwecken erfolgt ausschließlich durch die Schulleitung und das ihr gegenüber weisungsgebundene Personal des Schulsekretariats (§ 8 Abs. 1 SchulDSVO). Die Lehrkräfte sind nicht berechtigt, diese Daten zu eigenen Zwecken zu erheben, sondern erhalten sie nach Maßgabe des § 6 SchulDSVO aus dem Datenbestand der Schule. Natürlich dürfen Lehrkräfte auf Weisung der Schulleitung Daten für die Schulverwaltung erheben.

§ 30 Abs. 1 SchulG i. V. m. § 5 SchulDSVO führt abschließend auf, welche personenbezogenen Daten die Schule für ihre Zwecke erheben und weiter verarbeiten darf.

Die Daten, die die Lehrkräfte zu Verwaltungszwecken erhalten, können von den Lehrkräften selbstverständlich auch für die Kommunikation im pädagogisch-didaktischen Zusammenhang verwendet werden.

Die Entscheidung, in welcher Weise die Schule im Rahmen der Schulverwaltung und im Zusammenhang mit der pädagogisch-didaktischen Kommunikation mit den Betroffenen kommuniziert, liegt jedoch primär bei der Schulleiterin oder dem Schulleiter. Nach § 33 Abs. 2 SchulG tragen die Schulleiterinnen und Schulleiter die Verantwortung für die Erfüllung des pädagogischen Auftrages der Schule sowie die Organisation und Verwaltung der Schule entsprechend den Rechts- und Verwaltungsvorschriften. Daraus folgt, dass die Entscheidung, in welcher Weise die elektronische Kommunikation mit den Betroffenen erfolgt, nicht von jeder Lehrkraft selbst getroffen werden kann.

3. Warum ist die Nutzung von Messengerdiensten, insbesondere WhatsApp, nicht ohne weiteres zulässig?

Obwohl es sich bei Messengerdiensten um Telekommunikationsdienste handelt, werden die europäischen (E-Privacy-Richtlinie der EU) und die deutschen Rechtsregelungen (Art. 10 Grundgesetz, Telekommunikationsgesetz) von einigen der Diensteanbieter, zu denen auch WhatsApp gehört, nicht beachtet.

Viele Anbieter ermöglichen nicht einfach nur Telekommunikation, sondern werten diese Telekommunikationsvorgänge auch zur Nutzeranalyse (u. a. Auswertung von Standortdaten, Daten darüber, wer mit wem kommuniziert und empirische Auswertungen für Werbezwecke) aus. Da mit der Nutzung dieser Dienste die Nutzungsbedingungen anerkannt werden müssen, die einen Ausschluss solcher Vorgänge nicht möglich machen, würde man die personenbezogenen Daten der Schülerinnen und Schüler und der Eltern im Rahmen der dienstlichen Kommunikation diesen Analysen preisgeben.

Bestimmte Messengerdienste gleichen bei der ersten Anmeldung und danach laufend in der Regel die im verwendeten Gerät (z. B. Smartphone) gespeicherten Kontaktdaten ab. Damit werden den Diensteanbietern personenbezogene Daten von unbeteiligten dritten Personen bekannt. Dieser Vorgang würde somit durch eine dienstliche Maßnahme der Lehrkraft ausgelöst werden.

Im Grundsatz findet die Nutzung eines Telekommunikationsanbieters (TK-Anbieter) im Rahmen eines Auftragsverhältnisses statt. Der Auftraggeber beauftragt den Auftragnehmer (TK-Anbieter), Telekommunikation in Form von z. B. Telefonie, E-Mail oder eben Messaging bereitzustellen und zu ermöglichen. Es handelt sich in diesem Fall somit um Auftragsverarbeitung, für die die Vorschriften des Art. 28 DSGVO Anwendung finden. Nach diesen Vorschriften bleibt der Auftraggeber für die Einhaltung der datenschutzrechtlichen Regelungen verantwortlich und hat dies durch das vertraglich vereinbarte Weisungsrecht gegenüber dem Auftragnehmer sicherzustellen. Sofern Telekommunikationsdienste auf der Grundlage des deutschen Rechts in Anspruch genommen werden, ist ein solcher Auftragsverarbeitungsvertrag im Grundsatz entbehrlich, da die Vorschriften zum Schutz des Fernmeldegeheimnisses ausreichend auch die datenschutzrechtlichen Belange soweit sicherstellen. Die Einhaltung wird durch die dafür zuständigen Kontrollinstitutionen, insbesondere die Bundesnetzagentur, überwacht. Hierzu gehört auch die Prüfung der von den Telekommunikationsanbietern zugrunde gelegten Vertragsklauseln und Nutzungsbedingungen.

Viele der bekannten Messengerdienste ausländischer, insbesondere außereuropäischer Anbieter, erfüllen diese Vorgaben nicht.

Ferner ist zu berücksichtigen, dass die Lehrkraft sicherstellen muss, private und dienstliche Kommunikation möglichst eindeutig (technisch) zu trennen. Während bei der Nutzung von E-Mail eine solche Trennung durch die Verwendung verschiedener E-Mail-Adressen möglich ist, ist eine solche Abgrenzung bei Messengerdiensten nicht ohne weiteres möglich.

Kommuniziert eine Lehrkraft mit einem privat genutzten Messengerdienst, wie z. B. WhatsApp, auch in dienstlicher Funktion, erfolgt dies mit demselben Gerät und demselben Messengerdienst. Eine Abgrenzung zwischen dienstlicher und privater Kommunikation ist damit nicht möglich.

Was ist konkret zu beachten, wenn eine Schule einen Messengerdienst als Kommunikationsmittel einführen möchte?

Ein Messenger-Einsatz zur Kommunikation zwischen Lehrkräften (Eltern, Schülerinnen und Schülern) mit einem extern gehosteten Dienst stellt eine Auftragsverarbeitung nach Artikel 28 DSGVO i. V. m. §§ 11, 12 Schul-Datenschutzverordnung dar. Vor dem Einsatz und dem Abschluss eines Nutzungsvertrages/Auftragsverarbeitungvertrages mit einem Anbieter sind noch Vorarbeiten erforderlich.

Grundsätzlich hat jede Schule vor der Einführung/Nutzung eines Onlinedienstes zu prüfen, ob dieser rechtmäßig (insb. Beachtung DSGVO, § 127 SchulG, §§ 2, 11-15 SchulDSVO + Urheberrecht, Jugendmedienschutz) eingesetzt werden kann.

Im ersten Schritt muss ein datenschutzkonform einsetzbares Produkt gefunden werden. Die Datenschutzkonformität eines Dienstes allein garantiert jedoch noch nicht die datenschutzkonforme Nutzung („Nur weil ein Auto TÜV-geprüft ist, kann ich damit trotzdem noch über rote Ampeln fahren“).

Von der Möglichkeit einer datenschutzkonformen Nutzung kann am ehesten ausgegangen werden, wenn der Anbieter seinen Sitz in der EU, im EWR oder in einem Land, für welches ein sogenannter Angemessenheitsbeschluss entsprechend Artikel 45 DSGVO vorliegt (dies ist für die Schweiz erfüllt), hat. Gleiches gilt für die Standorte der Server. Bei Anbietern aus den USA muss man trotz des seit Juni 2023 vorhandenen Angemessenheitsbeschlusses davon ausgehen, dass diese die Voraussetzungen für eine datenschutzkonforme Nutzung nicht uneingeschränkt erfüllen können, da der Angemessenheitsbeschluss nur bei Firmen greift, die sich auch nach dem „Data Privacy Framework“ zertifiziert haben. In allen anderen Fällen sind durch die Schule weiterhin die erweiterten Prüfpflichten zu erfüllen und es kann davon ausgegangen werden, dass dies in den meisten Fällen nicht zu einer positiven Einschätzung führen wird. Weiter ist immer zu beachten, dass viele Dienste die Nutzendendaten (zumindest Metadaten) zu eigenen Zwecken (Profilbildung, Tracking, Werbung) nutzen, was ebenso einen Einsatz im schulischen Kontext ausschließt.

Im zweiten Schritt der Einsatz an der Schule dann durch die entsprechenden Maßnahmen vorbereitet und durchgeführt werden:

• Schulkonferenzbeschluss
• Beteiligung des örtlichen Personalrates
• Festlegung eines Nutzungsszenarios,
• Ergreifung und Dokumentation technischer und organisatorischer Maßnahmen zur IT-Sicherheit,
• Information gegenüber den Betroffenen,
• Erlass von Nutzungsordnungen
• ggf. Beschaffung/Bereitstellung von Endgeräten
• ...

Ergänzend ist zu beachten, dass die Einführung einer Messenger-App nicht zu einer Benachteiligung von Schülerinnen und Schülern führen darf, die keine entsprechenden Geräte besitzen oder eine Messenger-App nicht einsetzen wollen. Ein Messengereinsatz würde, bei Fehlen dienstlich bereitgestellter Endgeräte, eine freiwillig erteilte Einwilligung der betroffenen Personen (Eltern für Ihre Kinder bei Minderjährigen) erfordern. Ob echte Freiwilligkeit im Abhängigkeitsverhältnis Schülerin/Schüler zu Schule im Spannungsfeld der Schulpflicht besteht, ist zumindest kritisch zu sehen.

Ob ein Musik- oder Videostreamingdienst für pädagogische Zwecke genutzt werden darf, hängt einerseits vom Dienst selbst ab, aber auch vom konkreten Nutzungsszenario. Das Geschäftsmodell vieler Streamingdienste basiert auf dem Sammeln personenbezogener Daten der Nutzenden, um Profile zu bilden und die Daten für eigene Zwecke zu verarbeiten oder an Werbetreibende zu verkaufen. Diese Daten werden zudem je nach Anbieter häufig in sogenannten Drittländern, also Ländern außerhalb der EU und des Europäischen Wirtschaftsraums (EWR), verarbeitet. Hierfür existiert im schulischen Kontext i.d.R. keine gültige Rechtsgrundlage. Ein rechtskonformer Einsatz gängiger Streamingdienste ist daher, mit Ausnahme eng begrenzter Nutzungsszenarien, nicht möglich.

Das Vorführen (per Beamer/Smartboard) eines gestreamten Videos, idealerweise mit einem schulischen (nicht personalisierten Endgerät), kann aus Datenschutzsicht als unkritisch angesehen werden. Wenn ein privates Endgerät verwendet wird, sollte der Lehrkraft je nach Anbieter das Risiko des Datenabflusses in Drittländer bewusst sein.

Beim Aufrufen eines Streamingdienstes durch die Schülerinnen und Schüler über einen Browser im privaten (inkognito) Modus, mit schuleigenen, nicht personalisierten Endgeräten im Netz der Schule besteht kein signifikantes datenschutzrechtliches Risiko. Der Browser muss so konfiguriert sein, dass keine Werbung angezeigt wird (s.u.). Außerdem dürfen die Schülerinnen und Schüler nicht zeitgleich bei diesem oder einem anderen Dienst des gleichen Anbieters angemeldet sein, da der Streamingdienst hierdurch i.d.R. Zugriff auf personenbezogene Daten der Schülerinnen und Schüler erhält. Dies gilt ebenso für Webseiten, die Streamingdienste, z.B. über einen embedded Player, einbinden.

Die Aufforderung an Schülerinnen und Schüler, ein gestreamtes Video oder Musikstück (bspw. über einen Link in einem digitalen Arbeitsblatt) im Rahmen des Unterrichts (in Präsenz und insbesondere auch im Homeschooling oder als Hausaufgabe) über ein personalisiertes Endgerät anzusehen, ist datenschutzrechtlich unzulässig. Die Bereitstellung von Musik/Videos über Plattformen, die personenbezogene Daten in Drittländern verarbeiten, z.B. durch die Lehrkraft und die Aufforderung, diese anzuschauen, ist aus den genannten Gründen ebenfalls unzulässig.

Wenn unterstützende Videos auf profilbildenden Plattformen zur freiwilligen Betrachtung empfohlen werden, muss der Fürsorgepflicht der Schule dadurch Rechnung getragen werden, dass die Schülerinnen und Schüler bzw. deren Eltern darauf hingewiesen werden, dass mit dem freiwilligen Aufrufen der Videos eine unbemerkte und nahezu unkontrollierbare Datensammlung einhergeht.

Darüber hinaus gilt, dass neben dem Datenschutz auch immer sonstige rechtliche Regelungen wie das Urheberrecht und das Werbeverbot in Schule (§29 SchulG SH) zu beachten sind. Bei browserbasierten Diensten können Werbeverbot und Datenschutz ggf. durch den Einsatz entsprechender AddOns unterstützt werden, sofern die Nutzungsbedingungen des jeweiligen Dienstes dies nicht untersagen. Eine in den Nutzungsbedingungen ggf. aufgeführte Altersgrenze ist für den unterrichtlichen Einsatz nicht relevant, solange die Auswahl der Inhalte, durch die Lehrkräfte erfolgt und damit bspw. der Jugendschutz gewährleistet wird und ansonsten die oben aufgeführten Rahmenbedingungen berücksichtigt sind.