Die zunehmende Digitalisierung an den Schulen und die Anforderungen an zeitgemäßen, ansprechenden und wirklichkeitsnahen Unterricht führen zu einem stark steigenden Bedarf nach dem Einsatz unterschiedlichster digitaler Werkzeuge. Die Bandbreite erstreckt sich vom lokalen Einsatz von Office-Anwendungen, einfacher Simulationsprogramme und interaktiven Apps bis hin zur Nutzung kommerzieller, zentral betriebenen Lernplattformen, Videokonferenz- und Lernmanagementsystemen. Für die Nutzung kommen Endgeräte verschiedener Hersteller, Betriebssysteme und Leistungsklassen zum Einsatz, die sowohl im Eigentum und in Verantwortung der Schule betrieben werden, als auch schülereigene Endgeräte in beliebigen Konfigurationsvarianten. Die Nutzung kann ausschließlich in der Schule, aber auch ergänzend im privaten Umfeld stattfinden (Distanzlernen, Hausaufgaben etc.).

Für die Beantwortung der Fragen, ob ein bestimmtes, von Schule nachgefragtes, Produkt oder ein Onlineangebot überhaupt in Schule rechtmäßig eingesetzt werden kann, ist zunächst ein Nutzungskonzept zu entwerfen, in dem Zwecke und Ziele, beteiligte Personengruppen, die Verwendungsorte und die Herkunft der Endgeräte (schulisch/privat) festgelegt wird.

Für die Klärung der Frage, ob die Anwendung vor der Nutzung einer datenschutzrechtlichen Prüfung unterzogen werden muss und welche Dokumentationserfordernisse daraus für die Schule erwachsen, ist entscheidend, ob das geplante Verfahren mit einer Verarbeitung personenbezogener Daten einhergeht. Findet die Verarbeitung darüber hinaus nicht lokal, sondern bei einem Dienstleister (Programmanbieter, Hostingdienstleister) statt, ist zusätzlich ein Auftragsverarbeitungsvertrag zwischen Schule und Dienstleister zu schließen und ggf. eine Genehmigung beim Bildungsministerium einzuholen.

Einen Mustergenehmigungsantrag finden Sie auf der Medienberatungsseite des IQSH. Auf derselben Seite stehen zudem Muster-Dokumentenpakete für die sogenannten Landesdienste sowie einige häufig in Schule genutzte Einzellösungen zum Download bereit.

Lehrkräfte sollten nicht eigenmächtig Apps oder Onlinedienste, die mit der Verarbeitung personenbezogener Daten einher gehen, einführen oder gar Schülerinnen und Schüler zur Installation verpflichten. Hier ist immer eine Absprache/Genehmigung mit/durch die Schulleitung erforderlich, da diese die Gesamtverantwortung für die Einhaltung und Organisation des Datenschutzes trägt (§ 2 SchulDSVO).

Die diesem Beitrag beigefügten Unterlagen sollen Ihnen erste Informationen zu diesem Themenkomplex und Hilfestellungen bei der Auswahl geben sowie die erforderliche Verarbeitungsdokumentation mit Mustern unterstützen.

Zugehörige Dateien
→ Verarbeitungsdokumentation_Muster [ZIP]
→ Checkliste_Auftragsverarbeitung_I [DOCX]
→ Checkliste_Auftragsverarbeitung_II [DOCX]
→ Checkliste_Dokumentationspflichten [DOCX]
→ Schnellüberblick zum Auswahl-, Prüf- und Einführungsverfahren für digitale Medien [PDF]

Vorbemerkung:

Private Endgeräte dürfen für die dienstliche Verarbeitung personenbezogener Daten nur verwendet werden, wenn hierfür eine Genehmigung auf Antrag der Lehrkraft durch die Schulleitung erteilt wurde. Eine solche Genehmigung stellt nach der Neuerung der SchulDSVO im Juli 2022 nur noch die Ausnahme dar. Durch die vom Land sukzessive Bereitstellung dienstlicher Endgeräte für die Arbeitsverrichtung werden zunehmend keine Genehmigungen mehr für private Endgeräte erteilt. Des Weiteren erlischt die bisher erteilte Genehmigung nach §14 Abs. 7 SchulDSVO sobald ein dienstliches Endgerät zur Verfügung steht. Für den Ausnahmefall bleibt das alte Verfahren vorerst dennoch bestehen. Die Antragstellung erfolgt eigenverantwortlich durch die Lehrkraft (Bringschuld). Die Genehmigung ist maximal 4 Jahre gültig. Sie muss erneut beantragt werden, wenn sich Änderungen am Antragsgegenstand ergeben (neue Programme, neues Endgerät).

Antrags- und Genehmigungsverfahren:

Die Rahmenbedingungen zur Nutzung privater Endgeräte ergeben sich formal aus dem § 14 SchulDSVO. Die Lehrkraft sichert in Ihrem Antrag (Musterformular im Anhang) verschiedene organisatorische Maßnahmen (nur dienstliche Verarbeitung, keine Offenlegung gegenüber Dritten, Wahrung der Vertraulichkeit, Ermöglichung der Einsichtnahme zu Kontrollzwecken gegenüber der Datenschutzaufsichtsbehörde und der Schulleitung, Mitteilung bei Änderungen des Antragsgegenstands) zu und verpflichtet sich darüber hinaus, angemessene Sicherheitsmaßnahmen (Artikel 32 DSGVO und § 30 Absatz 10 Schulgesetz) zu ergreifen und nur Programme zu verwenden, die nach dem Stand der Technik und der Schutzbedürftigkeit der Daten das erforderliche und angemessene Maß an Vertraulichkeit sicherstellen.

Damit beschränkt sich der Prüfaufwand durch die Schulleitung für die Erteilung der Genehmigung auf die im Antrag angegebenen Programme, mit denen die Lehrkraft personenbezogene Daten verarbeiten möchte (bspw. Office-Anwendungen für Listen, Zeugnisentwürfe, Gutachten etc., digitale Lehrerkalender) und das Betriebssystem des Endgerätes. Weitere Programme, die die Lehrkraft bspw. zur Unterrichtsvor- und Nachbereitung (Erstellung von Arbeitsblättern, Präsentationen, Klassenarbeiten etc.) oder im Unterricht (bspw. Simulationen, Visualisierung) einsetzen möchte und in denen keine personenbezogenen Daten bearbeitet werden, sind davon ausgenommen.

Prüfung folgender Punkte durch die Schulleitung auf Grund des Antrags:

•  die installierte Betriebssystemversion muss aktuell sein
  • Windows 10 (https://docs.microsoft.com/de-de/windows/release-health/release-information)
    
  • Apple-macOS (https://support.apple.com/de-de/HT201260)
  • Apple iPad-OS (https://support.apple.com/de-de/guide/ipad/ipad213a25b2/ipados)
• die installierte Office Anwendung muss aktuell sein, damit sie noch mit Sicherheitsupdates versorgt wird. Sie muss lokal installiert sein.
• Beispiele:
  • LibreOffice (de.libreoffice.org)
    
  • OpenOffice (openoffice.org/de)
    
  • Microsoft Office 2013 (Ende des Supports am 11.04.2023)
  • Microsoft Office 2016 (14.10.2025)
  • Microsoft Office 2019 (14.10.2025)
  • Microsoft Office 2019 for Mac (10.10.2023)
    
• -> Quelle: https://docs.microsoft.com/de-de/lifecycle/products/?products=office&terms=Microsoft%20Office
  
• Office 365/Microsoft 365 darf für die Verarbeitung personenbezogener Daten nicht verwendet werden, da die Dokumentenbearbeitung/-speicherung bei Clouddiensten nicht zulässig ist (§14 Absatz 6 SchulDSVO). Hier muss die Lehrkraft dann parallel bspw. LibreOffice installieren.
• ältere Betriebssystemversionen (bspw. Windows 7) oder Officeanwendungen (bspw. MS Office 2010) dürfen nicht mehr eingesetzt werden, da hier der Support mit wichtigen Sicherheitsupdates ausgelaufen ist und somit auf Grund von Sicherheitslücken ein erhöhtes Risiko besteht.
• Bei Internetbrowsern, die bspw. für den Zugang zum E-Mailpostfach (…@schule-sh.de -> verpflichtend zu nutzen für dienstliche Kommunikation), Schulportal, Lernmanagementsystem oder für Videokonferenzen eingesetzt werden, ist ebenfalls darauf zu achten, dass eine aktuelle Version installiert ist und aktuell gehalten wird:
  • Beispiele:
  • Edge (https://www.microsoft.com/de-de/edge)
  • Firefox (https://www.mozilla.org/de/firefox/new/)
  • Chrome (https://www.google.com/intl/de/chrome/)
• weitere von der Lehrkraft angegebene Programme müssen ebenfalls hinsichtlich der Aktualität und Sicherheit bewertet werden.
• Insbesondere für digitale Lehrerkalender gelten die in der Ergänzung zum Antragsformular aufgeführten Rahmenbedingungen/Einschränkungen.

Hinweise zur Nutzung privater Endgeräte für Lehrkräfte, die geeignet sind, die Forderungen des §14 SchulDSVO zu erfüllen und insgesamt, auch bei der privaten Nutzung, ein erhöhtes Sicherheitsniveau zu erreichen:

• Das Endgerät muss mit einem Zugangsschutz versehen sein (Fingerabdruck, Passwort mit min. 8 Zeichen -> Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen).
• Das Gerät muss auch bei kurzfristiger Abwesenheit gesperrt werden (Tastenkombination Windows+L, [ctrl]+Touch-ID-Sensor).
• Idealerweise wird ein zweites Benutzerkonto (dienstlich) angelegt, um die Vermischung privater und dienstlicher Daten zu verhindern.
  
• Dateien mit personenbezogenen Inhalten, das können auch E-Mailanhänge sein, sollten auf einem verschlüsselten, externen Datenträger (USB-Stick, Wechselfestplatte) abgelegt werden. Alternativ kann ein separater Ordner (verschlüsselter Container) auf dem Endgerät angelegt werden (bspw. der kostenlosen Open-Source-Verschlüsselungssoftware VeraCrypt -> https://www.veracrypt.fr/en/Downloads.html).
• Wenn vorhanden, sollte eine Festplattenverschlüsselung (bspw. Bitlocker bei Windows 10, FileVault bei MacOS) aktiviert sein.
• Eine Speicherung personenbezogener Daten bei Clouddiensten (insb. ICloud, GoogleDrive, Dropbox, OneDrive) ist nicht zulässig (vgl. §14 Abs. 6 SchulDSVO).
  
• Die installierte oder im Betriebssystem integrierte Antiviren-/Malware-/Firewallsoftware (bspw. Windows Defender) sollte regelmäßig, automatisch vollständige Scans des Rechners durchführen.
• Automatische Updates für das Betriebssystem, die Schutzsoftware und die genutzten Programme müssen aktiviert sein.
• Die Verbindung zum Internet sollte nur über vertrauenswürdige Netzwerke erfolgen z. B. über das Netzwerk der Schule, das eigene WLAN zuhause oder einen Hotspot des eigenen Mobiltelefons. Bestehen Zweifel über die Sicherheit der zur Verfügung stehenden Netzwerke (z.B. öffentliche Netzwerke in Bahnhöfen oder Städten), sollte keine Internetverbindung aufgebaut werden.
• Die Datenschutzeinstellungen des Betriebssystems sollten überprüft und angepasst werden (Tipps: https://www.verbraucherzentrale.de/wissen/digitale-welt/datenschutz/datenschutz-bei-windows-10-erhoehen-12154).
• Gleiches gilt für die Sicherheitseinstellungen des Internetbrowsers.
  
• Dateien sollten unter Beachtung des § 15 SchulDSVO regelmäßig gelöscht werden – auch aus dem Papierkorb.
• Für aufbewahrungspflichtige Daten (bspw. persönliche Notizen zur Dokumentation von Leistungsbewertungen) sollten regelmäßig Sicherungskopien auf verschlüsselten Wechseldatenträgern angefertigt werden.
• Digitale Lehrerkalender dürfen nur wie im Antrag vorgegeben genutzt werden (insb. Datenminimierung, Backups, Aufbewahrungspflichten, Verbot von Cloudspeicherung, keine Mehrgerätenutzung)
• Weitere Informationen zum Schutz von Endgeräten erhalten Sie beim Bundesamt für Sicherheit in der Informationstechnik (BSI) in der Rubrik „Basistipps zur IT-Sicherheit“.
• Wenn das Endgerät entsorgt werden soll, dann sollte sichergestellt sein, dass alle Daten auf der Festplatte sicher gelöscht sind. Ein einfaches Löschen in den „Papierkorb“ oder im Windows Explorer ist hierfür nicht ausreichend. Auf der BSI-Webseite „BSI für Bürger“ finden Sie Hilfestellungen und kostenfreie Werkzeuge zum sicheren Löschen Ihrer Daten: https://www.bsi-fuer-buerger.de/BSIFB/richtig_loeschen.

Zugehörige Dateien
→ Antrag zur Genehmigung der Nutzung privater Endgeräte durch Lehrkräfte [DOCX]

Die von Lehrkräften privat beschaffte und bezahlte Software darf unter bestimmten Voraussetzungen auch weiterhin eingesetzt und auf Lehrkräfte-Endgeräten installiert werden. Im Folgenden wird davon ausgegangen, dass es sich um pädagogisch-didaktische Software handelt. Der Einsatz von Schulverwaltungssoftware unterliegt eigenen Regelungen.

In jedem Fall ist der Einsatz der Software ist nur mit Genehmigung der Schulleitung zulässig. Diese prüft und bewertet vorab, ob ein datenschutzkonformer Einsatz möglich ist.

Unproblematisch zulässig ist dies, soweit mit der Software keine personenbezogenen Daten verarbeitet werden. Etwa, wenn die Software zur Erstellung von Arbeitsblättern genutzt wird.

Wenn mit dieser Software personenbezogene Daten verarbeitet werden, ist darauf zu achten, dass die datenschutzrechtlichen Voraussetzungen für den Einsatz der Software gegeben sind. Die Gesamtverantwortung hierfür trägt gemäß § 2 Abs. 1 SchulDSVO die Schulleitung. Die Einhaltung der datenschutzrechtlichen Vorgaben liegt aber bei allen in der Schule tätigen Personen.

Ein Anspruch auf Erstattung der Kosten für die Software besteht nicht.

Zur Installation der Software wird auf das Endgeräte FAQ der IQSH-Medienberatung verwiesen, da diese vom Gerät und der jeweiligen Software abhängig ist.

Für die Zulässigkeit eines digitalen Lehrkräftekalenders ist zwischen Angeboten zu unterscheiden, bei denen die Daten lokal auf dem dienstlich bereitgestellten Endgerät der Lehrkraft gespeichert werden und Angeboten, bei denen die Daten online bei einem Auftragsverarbeiter gespeichert werden.

Lokale Speicherung

Lehrkräftekalender, die die Daten lokal auf dem Endgerät der Lehrkraft speichern, können von der Schulleitung genehmigt werden. Die Schulleitung prüft, ob der Lehrkräftekalender datenschutzkonform eingesetzt werden kann und erlässt eine entsprechende Dienstanweisung, die den Umfang und die Grenzen der Nutzung regelt.

Damit die Schulleitung ihrer Prüfpflicht nachkommen kann, ist die Lehrkraft verpflichtet, vor Einsatz des Lehrkräftekalenders die Schulleitung zu informieren und sich die Nutzung genehmigen zu lassen.

Da der Einsatz eines digitalen Lehrkräftekalenders mit einem hohen Prüf- und Dokumentationsaufwand verbunden ist, kann die Schulleitung die Nutzung des Lehrkräftekalenders auf eine bestimmte Anwendung beschränken.

In jedem Fall ist die Nutzung eines Lehrkräftekalenders nur zulässig, wenn der Kalender auf dem dienstlich bereitgestellten oder dienstlich genehmigten Gerät eingesetzt wird und die Speicherung lokal auf dem Gerät erfolgt. Eine Sicherung der Daten bei Onlinediensten ist unzulässig.

Dafür ist sicherzustellen, dass

• ein Cloud-Backup,
• die Synchronisation zwischen Endgeräten und
• die Möglichkeit der Datenweitergabe an andere Lehrkräfte

ausgeschlossen sind.

Zudem müssen dem Schutzbedarf der Daten angemessene Sicherheitsmaßnahmen getroffen werden. Dazu gehören:

• ein zusätzlicher Passwortschutz für den Lehrkräftekalender
• die Zugangsdaten für das Endgerät und den Lehrkräftekalender müssen sich unterscheiden
• Daten der Anwendungen, Exportdateien und Backups müssen verschlüsselt werden

Der zulässige Umfang der personenbezogenen Daten, die hierfür verarbeitet werden dürfen, ergibt sich aus § 30 Abs. 10 S. 1 SchulG i.V.m. § 13 Abs. 3 bis 5 SchulDSVO.

Hierzu gehören:

• Kontaktdaten,
• Name, Vorname, Geburtsdatum, Geschlecht und ein rechtmäßig erhobenes Lichtbild,
• Adressdaten, E-Mail-Adressen, Telefon- und vergleichbare Telekommunikationsverbindungen,
• Angaben über für die Beschulung relevante gesundheitliche Beeinträchtigung in codierter Form,
• Angaben zu Nachteilsausgleich, Notenschutz oder einer zurückhaltenden Gewichtung der Rechtschreibleistung,
• persönliche Zwischenbewertungen von Unterrichtsbeiträgen und des allgemeinen Lernverhaltens sowie Zwischennoten für schriftliche Leistungsnachweise,
• Angaben zum Sozialverhalten,
• Namen, Telefonnummern, E-Mail-Adressen der Eltern,
• Adressdaten von Ausbildungsbetrieben,
• entschuldigte und unentschuldigte Fehlzeiten des laufenden Schuljahres,
• eine bestehende Attestpflicht,
• die Unterrichtsdokumentation.

Die Fehlzeiten, die Attestpflicht und die Unterrichtsdokumentation gehören grundsätzlich ins Klassenbuch und dürfen im Lehrkräftekalender nur zusätzlich gespeichert werden.

Sofern der Lehrkräftekalender die Möglichkeit bietet, ein Lichtbild der Schülerinnen und Schüler zu verarbeiten, ist zu beachten, dass dies erforderlich sein muss und die Lichtbilder rechtmäßig, d.h. mit Einwilligung gegenüber der Schule, erhoben wurden.

In allen Fällen ist zu beachten, dass nur die Daten verarbeitet werden, die für die Aufgabenerfüllung erforderlich sind (Grundsatz der Datenminimierung).

Für die im Lehrkräftekalender verarbeiteten Daten sind Aufbewahrungs- und Löschfristen zu beachten. Diese sind in § 15 SchulDSVO geregelt. Grundsätzlich gilt, dass Daten gelöscht werden müssen, sobald sie nicht mehr erforderlich sind um einer Aufgabe nachzukommen. Eine Ausnahme gilt für Daten, die für die Dokumentation einer Leistungsbewertung in einem gerichtlichen Verfahren erforderlich sein könnten. Diese müssen nach Ablauf des Schuljahres für zwei Jahre aufbewahrt werden und können auf Aufforderung der Schulleitung auch in der Schulverwaltung gespeichert werden.

Für das oben beschriebe Nutzungsszenario existieren Muster-Dokumentenpakete auf der Medienberatungswebseite des IQSH, die für die datenschutzrechtliche Dokumentation verschiedener Lehrkräftekalender als Vorlagen genutzt werden können.

Online-Speicherung

Unter sehr engen Voraussetzungen ist es zulässig, einen Lehrkräftekalender zu nutzen, bei dem die Daten online bei einem Auftragsverarbeiter gespeichert werden.

Grundsätzlich gelten hier dieselben Rahmenbedingungen wie bei lokal abgespeicherten Lehrkräftekalendern. Insoweit wird zu den Erläuterungen zur lokalen Speicherung verwiesen.

Darüber hinaus ist zu beachten, dass online genutzte Lehrkräftekalender immer eine Auftragsverarbeitung darstellen, soweit der Kalender nicht auf Servern der Schule gehostet wird.

Für die Auftragsverarbeitung muss die Schulleitung einen Auftragsverarbeitungsvertrag unterschreiben. Da es sich bei den Daten in einem Lehrkräftekalender zumindest teilweise um Schulverwaltungsdaten handelt, ist für den Abschluss der Auftragsverarbeitung eine Genehmigung des für Bildung zuständigen Ministeriums erforderlich. Einen Mustergenehmigungsantrag finden Sie auf der Medienberatungswebseite des IQSH.

Diese Genehmigung wird erteilt, wenn die Voraussetzungen des § 13 Abs. 2 und 3 SchulDSVO vorliegen. Dafür muss gewährleistet werden, dass nur die Lehrkraft Zugriff auf den Lehrkräftekalender hat, der er gehört und die Nutzung nur auf dienstlichen Geräten bzw. dienstlich genehmigten Geräten erfolgt. Zudem darf der Zugang zu den in § 13 Abs. 4 SchulDSVO aufgeführten Daten nur unter Nutzung einer 2-Faktor-Authentifizierung erfolgen.

Zu diesen in § 13 Abs. 4 SchulDSVO aufgeführten Daten gehören:

• Name, Vorname, Geburtsdatum, Geschlecht und ein rechtmäßig erhobenes Lichtbild,
• Adressdaten, E-Mail-Adressen, Telefon- und vergleichbare Telekommunikationsverbindungen,
• Angaben über für die Beschulung relevante gesundheitliche Beeinträchtigung in codierter Form,
• Angaben zu Nachteilsausgleich, Notenschutz oder einer zurückhaltenden Gewichtung der Rechtschreibleistung,
• persönliche Zwischenbewertungen von Unterrichtsbeiträgen und des allgemeinen Lernverhaltens sowie Zwischennoten für schriftliche Leistungsnachweise,
• Angaben zum Sozialverhalten,
• Namen, Telefonnummern, E-Mail-Adressen der Eltern,
• Adressdaten von Ausbildungsbetrieben.