Beiträge :: Schlagwort #LiV
Folgende Beiträge wurden gefunden:
Was ist beim Einsatz von Lernprogrammen, Apps, und Onlinediensten zu beachten, wenn bei der Nutzung personenbezogene Daten verarbeitet werden?
Die zunehmende Digitalisierung an den Schulen und die Anforderungen an zeitgemäßen, ansprechenden und wirklichkeitsnahen Unterricht führen zu einem stark steigenden Bedarf nach dem Einsatz unterschiedlichster digitaler Werkzeuge. Die Bandbreite erstreckt sich vom lokalen Einsatz von Office-Anwendungen, einfacher Simulationsprogramme und interaktiven Apps bis hin zur Nutzung kommerzieller, zentral betriebenen Lernplattformen, Videokonferenz- und Lernmanagementsystemen. Für die Nutzung kommen Endgeräte verschiedener Hersteller, Betriebssysteme und Leistungsklassen zum Einsatz, die sowohl im Eigentum und in Verantwortung der Schule betrieben werden, als auch schülereigene Endgeräte in beliebigen Konfigurationsvarianten. Die Nutzung kann ausschließlich in der Schule, aber auch ergänzend im privaten Umfeld stattfinden (Distanzlernen, Hausaufgaben etc.).
Für die Beantwortung der Fragen, ob ein bestimmtes, von Schule nachgefragtes, Produkt oder ein Onlineangebot überhaupt in Schule rechtmäßig eingesetzt werden kann, ist zunächst ein Nutzungskonzept zu entwerfen, in dem Zwecke und Ziele, beteiligte Personengruppen, die Verwendungsorte und die Herkunft der Endgeräte (schulisch/privat) festgelegt wird.
Für die Klärung der Frage, ob die Anwendung vor der Nutzung einer datenschutzrechtlichen Prüfung unterzogen werden muss und welche Dokumentationserfordernisse daraus für die Schule erwachsen, ist entscheidend, ob das geplante Verfahren mit einer Verarbeitung personenbezogener Daten einhergeht. Findet die Verarbeitung darüber hinaus nicht lokal, sondern bei einem Dienstleister (Programmanbieter, Hostingdienstleister) statt, ist zusätzlich ein Auftragsverarbeitungsvertrag (AVV) zwischen Schule und Dienstleister zu schließen.
Schulen können sich bei Fragen und Unsicherheiten auch vom IQSH (Helpdesk) und dem zentralen Datenschutzbeauftragten beraten lassen. Hierfür sind im Vorwege das Nutzungsszenario zu definieren und Unterlagen zur Beschreibung des geplanten Verfahrens (Herstellerunterlagen, AVV etc.) zu beschaffen. Eine Beratung nur unter Nennung des Produktes und der Frage, ob dies an der Schule eingesetzt werden darf, ist nicht möglich.
Lehrkräfte sollten nicht eigenmächtig Apps oder Onlinedienste, die mit der Verarbeitung personenbezogener Daten einher gehen, einführen oder gar Schülerinnen und Schüler zur Installation verpflichten. Hier ist immer eine Absprache/Genehmigung mit/durch die Schulleitung erforderlich, da diese die Gesamtverantwortung für die Einhaltung und Organisation des Datenschutzes trägt (§ 2 SchulDSVO). Aus diesem Grund erteilt auch weder das MBWFK (mit Ausnahme der Landeslösunge) noch der Datenschutzbeauftragte Freigaben oder Nutzungserlaubnisse.
Die diesem Beitrag beigefügten Unterlagen sollen Ihnen erste Informationen zu diesem Themenkomplex und Hilfestellungen bei der Auswahl geben sowie die erforderliche Verarbeitungsdokumentation mit Mustern unterstützen.
Zugehörige Dateien
→ Verarbeitungsdokumentation_Muster [ZIP]
→ Checkliste_Auftragsverarbeitung_I [DOCX]
→ Checkliste_Auftragsverarbeitung_II [DOCX]
→ Checkliste_Dokumentationspflichten [DOCX]
→ Schnellüberblick zum Auswahl-, Prüf- und Einführungsverfahren für digitale Medien [PDF]
Unter welchen Voraussetzungen kann eine Schule einen Messengerdienst als Kommunikationsmittel einführen?
Im privaten Umfeld nehmen Messengerdienste und soziale Medien als Kommunikationskanäle einen immer größeren Stellenwert ein. Lehrkräfte und Schulleitungen stehen häufig vor der Frage, ob der Einsatz von Facebook oder die Nutzung von WhatsApp oder anderen Messengerdiensten, wie z. B. Threema, für den Austausch von Informationen mit Schülerinnen, Schülern und Eltern (Betroffene) im Schulbereich zulässig ist. Auch Anfragen und Beschwerden von Eltern, deren Kinder mit Lehrkräften auf deren Anregung über solche Dienste mit ihnen kommunizieren sollen, machen eine Auseinandersetzung mit der Thematik erforderlich.
Aus folgenden Gründen ist die Nutzung von Messengerdiensten für die dienstliche Kommunikation zwischen Lehrkräften (kollegiumsintern) und mit Betroffenen (Schülerinnen und Schüler, Eltern etc.) kritisch zu sehen.
Bei der Bewertung sind sowohl die technischen (Produkt, Endgeräte) als auch die organisatorischen (Nutzungsszenario, Nutzungsregeln, Mitbestimmung, Datenschutzdokumentation) Bedingungen zu betrachten.
1. Generell gilt:
Lehrkräfte müssen stets unterscheiden, ob sie mit Betroffenen dienstlich oder privat kommunizieren. Rechtlich betrachtet ist die dienstliche Kommunikation eine Kommunikation der Schule. Ein Beispiel für dienstliche Kommunikation wäre z.B. die Bekanntgabe von Noten oder Stundenausfall. Bei privater Kommunikation handelt die Lehrkraft dagegen für sich selbst, d.h. als Privatperson. Ein Beispiel für private Kommunikation wären z.B. Geburtstagsgrüße. In Zweifelsfällen ist von dienstlicher Kommunikation auszugehen.
In diesem Zusammenhang ist zunächst Folgendes zu beachten: Daten, welche eine Lehrkraft zum Zweck der dienstlichen Kommunikation erhalten hat, darf diese nicht einfach für private Zwecke nutzen. Ist der Lehrkraft die Telefonnummer eines Schülers also z.B. aus der Klassenliste bekannt, darf sie diese Information nicht einfach nutzen, um dem Schüler privat Geburtstagsgrüße zu senden.
Kommuniziert eine Lehrkraft dienstlich, hat sie die besonderen datenschutzrechtlichen Vorgaben des Schulgesetzes und der SchulDSVO zu beachten.
2. Im Bereich der dienstlichen Kommunikation ist im Einzelnen Folgendes zu beachten:
Die Schule kann personenbezogene Daten der Betroffenen entweder zu Verwaltungszwecken oder zu didaktisch-pädagogischen Zwecken verarbeiten (vgl. § 4 SchulDSVO).
Die Erhebung personenbezogener Daten der Betroffenen zu Verwaltungszwecken erfolgt ausschließlich durch die Schulleitung und das ihr gegenüber weisungsgebundene Personal des Schulsekretariats (§ 8 Abs. 1 SchulDSVO). Die Lehrkräfte sind nicht berechtigt, diese Daten zu eigenen Zwecken zu erheben, sondern erhalten sie nach Maßgabe des § 6 SchulDSVO aus dem Datenbestand der Schule. Natürlich dürfen Lehrkräfte auf Weisung der Schulleitung Daten für die Schulverwaltung erheben.
§ 30 Abs. 1 SchulG i. V. m. § 5 SchulDSVO führt abschließend auf, welche personenbezogenen Daten die Schule für ihre Zwecke erheben und weiter verarbeiten darf.
Die Daten, die die Lehrkräfte zu Verwaltungszwecken erhalten, können von den Lehrkräften selbstverständlich auch für die Kommunikation im pädagogisch-didaktischen Zusammenhang verwendet werden.
Die Entscheidung, in welcher Weise die Schule im Rahmen der Schulverwaltung und im Zusammenhang mit der pädagogisch-didaktischen Kommunikation mit den Betroffenen kommuniziert, liegt jedoch primär bei der Schulleiterin oder dem Schulleiter. Nach § 33 Abs. 2 SchulG tragen die Schulleiterinnen und Schulleiter die Verantwortung für die Erfüllung des pädagogischen Auftrages der Schule sowie die Organisation und Verwaltung der Schule entsprechend den Rechts- und Verwaltungsvorschriften. Daraus folgt, dass die Entscheidung, in welcher Weise die elektronische Kommunikation mit den Betroffenen erfolgt, nicht von jeder Lehrkraft selbst getroffen werden kann.
3. Warum ist die Nutzung von Messengerdiensten, insbesondere WhatsApp, nicht ohne weiteres zulässig?
Obwohl es sich bei Messengerdiensten um Telekommunikationsdienste handelt, werden die europäischen (E-Privacy-Richtlinie der EU) und die deutschen Rechtsregelungen (Art. 10 Grundgesetz, Telekommunikationsgesetz) von einigen der Diensteanbieter, zu denen auch WhatsApp gehört, nicht beachtet.
Viele Anbieter ermöglichen nicht einfach nur Telekommunikation, sondern werten diese Telekommunikationsvorgänge auch zur Nutzeranalyse (u. a. Auswertung von Standortdaten, Daten darüber, wer mit wem kommuniziert und empirische Auswertungen für Werbezwecke) aus. Da mit der Nutzung dieser Dienste die Nutzungsbedingungen anerkannt werden müssen, die einen Ausschluss solcher Vorgänge nicht möglich machen, würde man die personenbezogenen Daten der Schülerinnen und Schüler und der Eltern im Rahmen der dienstlichen Kommunikation diesen Analysen preisgeben.
Bestimmte Messengerdienste gleichen bei der ersten Anmeldung und danach laufend in der Regel die im verwendeten Gerät (z. B. Smartphone) gespeicherten Kontaktdaten ab. Damit werden den Diensteanbietern personenbezogene Daten von unbeteiligten dritten Personen bekannt. Dieser Vorgang würde somit durch eine dienstliche Maßnahme der Lehrkraft ausgelöst werden.
Im Grundsatz findet die Nutzung eines Telekommunikationsanbieters (TK-Anbieter) im Rahmen eines Auftragsverhältnisses statt. Der Auftraggeber beauftragt den Auftragnehmer (TK-Anbieter), Telekommunikation in Form von z. B. Telefonie, E-Mail oder eben Messaging bereitzustellen und zu ermöglichen. Es handelt sich in diesem Fall somit um Auftragsverarbeitung, für die die Vorschriften des Art. 28 DSGVO Anwendung finden. Nach diesen Vorschriften bleibt der Auftraggeber für die Einhaltung der datenschutzrechtlichen Regelungen verantwortlich und hat dies durch das vertraglich vereinbarte Weisungsrecht gegenüber dem Auftragnehmer sicherzustellen. Sofern Telekommunikationsdienste auf der Grundlage des deutschen Rechts in Anspruch genommen werden, ist ein solcher Auftragsverarbeitungsvertrag im Grundsatz entbehrlich, da die Vorschriften zum Schutz des Fernmeldegeheimnisses ausreichend auch die datenschutzrechtlichen Belange soweit sicherstellen. Die Einhaltung wird durch die dafür zuständigen Kontrollinstitutionen, insbesondere die Bundesnetzagentur, überwacht. Hierzu gehört auch die Prüfung der von den Telekommunikationsanbietern zugrunde gelegten Vertragsklauseln und Nutzungsbedingungen.
Viele der bekannten Messengerdienste ausländischer, insbesondere außereuropäischer Anbieter, erfüllen diese Vorgaben nicht.
Ferner ist zu berücksichtigen, dass die Lehrkraft sicherstellen muss, private und dienstliche Kommunikation möglichst eindeutig (technisch) zu trennen. Während bei der Nutzung von E-Mail eine solche Trennung durch die Verwendung verschiedener E-Mail-Adressen möglich ist, ist eine solche Abgrenzung bei Messengerdiensten nicht ohne weiteres möglich.
Kommuniziert eine Lehrkraft mit einem privat genutzten Messengerdienst, wie z. B. WhatsApp, auch in dienstlicher Funktion, erfolgt dies mit demselben Gerät und demselben Messengerdienst. Eine Abgrenzung zwischen dienstlicher und privater Kommunikation ist damit nicht möglich.
Was ist konkret zu beachten, wenn eine Schule einen Messengerdienst als Kommunikationsmittel einführen möchte?
Ein Messenger-Einsatz zur Kommunikation zwischen Lehrkräften (Eltern, Schülerinnen und Schülern) mit einem extern gehosteten Dienst stellt eine Auftragsverarbeitung nach Artikel 28 DSGVO i. V. m. §§ 11, 12 Schul-Datenschutzverordnung dar. Vor dem Einsatz und dem Abschluss eines Nutzungsvertrages/Auftragsverarbeitungvertrages mit einem Anbieter sind noch Vorarbeiten erforderlich.
Grundsätzlich hat jede Schule vor der Einführung/Nutzung eines Onlinedienstes zu prüfen, ob dieser rechtmäßig (insb. Beachtung DSGVO, § 127 SchulG, §§ 2, 11-15 SchulDSVO + Urheberrecht, Jugendmedienschutz) eingesetzt werden kann.
Im ersten Schritt muss ein datenschutzkonform einsetzbares Produkt gefunden werden. Die Datenschutzkonformität eines Dienstes allein garantiert jedoch noch nicht die datenschutzkonforme Nutzung („Nur weil ein Auto TÜV-geprüft ist, kann ich damit trotzdem noch über rote Ampeln fahren“).
Von der Möglichkeit einer datenschutzkonformen Nutzung
kann am ehesten ausgegangen werden, wenn der Anbieter seinen Sitz in der EU, im EWR oder in einem Land, für welches ein
sogenannter Angemessenheitsbeschluss entsprechend Artikel 45 DSGVO vorliegt (dies
ist für die Schweiz erfüllt), hat. Gleiches gilt für die Standorte der Server. Bei Anbietern aus den USA muss man trotz des seit Juni 2023 vorhandenen Angemessenheitsbeschlusses davon ausgehen, dass diese die Voraussetzungen für eine datenschutzkonforme Nutzung nicht uneingeschränkt erfüllen können, da der Angemessenheitsbeschluss nur bei Firmen greift, die sich auch nach dem „Data Privacy Framework“ zertifiziert haben. In allen anderen Fällen sind durch die Schule weiterhin die erweiterten Prüfpflichten zu erfüllen und es kann davon ausgegangen werden, dass dies in den meisten Fällen nicht zu einer positiven Einschätzung führen wird. Weiter ist immer zu beachten, dass viele Dienste die Nutzendendaten (zumindest Metadaten) zu eigenen Zwecken (Profilbildung, Tracking, Werbung) nutzen, was ebenso einen Einsatz im schulischen Kontext ausschließt.
Im zweiten Schritt der Einsatz an der Schule dann durch die entsprechenden Maßnahmen vorbereitet und durchgeführt werden:
- Schulkonferenzbeschluss
- Beteiligung des örtlichen Personalrates
- Festlegung eines Nutzungsszenarios,
- Ergreifung und Dokumentation technischer und organisatorischer Maßnahmen zur IT-Sicherheit,
- Information gegenüber den Betroffenen,
- Erlass von Nutzungsordnungen
- ggf. Beschaffung/Bereitstellung von Endgeräten
- ...
Ergänzend ist zu beachten, dass die Einführung einer Messenger-App nicht zu einer Benachteiligung von Schülerinnen und Schülern führen darf, die keine entsprechenden Geräte besitzen oder eine Messenger-App nicht einsetzen wollen. Ein Messengereinsatz würde, bei Fehlen dienstlich bereitgestellter Endgeräte, eine freiwillig erteilte Einwilligung der betroffenen Personen (Eltern für Ihre Kinder bei Minderjährigen) erfordern. Ob echte Freiwilligkeit im Abhängigkeitsverhältnis Schülerin/Schüler zu Schule im Spannungsfeld der Schulpflicht besteht, ist zumindest kritisch zu sehen.
Lehrkräfte im Vorbereitungsdienst und Lehramtsstudierende wollen zu eigenen Ausbildungszwecken Schülerdaten verwenden. Was ist dabei zu beachten?
§ 6 Abs. 1 SchulDSVO erlaubt dem genannten Personenkreis die Einsichtnahme in die in der Schule gespeicherten Daten. Dies kann aber nur gelten, soweit diese Personen "aktiv" im Unterrichtsbetrieb eingebunden sind. Werden darüber hinausgehend Informationen aus Schülerakten zur Anfertigung von Prüfungsarbeiten o. ä. verwendet, so sollten die Daten der Schülerinnen und Schüler nur mit Einwilligung der Eltern oder der volljährigen Schülerinnen und Schüler personenbezogen genutzt werden. Der § 32 SchulG regelt, dass für Praktika und Prüfungsarbeiten im Rahmen der Lehrkräfteausbildung personenbezogene Daten der Schülerinnen und Schüler sowie Eltern verarbeitet werden dürfen. Hierbei sind die datenschutzrechtlichen Vorgaben zur Einwilligung (Artikel 7 DSGVO), zur Information der Betroffenen (Artikel 13 DSGVO) und hinsichtlich der Datensicherheit (Artikel 32 DSGVO) zu beachten.
Was ist datenschutzrechtlich von klasseninternen Notenspiegeln zu halten?
Mit Hilfe eines anonymisierten Notenspiegels wird üblicherweise ein Leistungsüberblick (bezogen auf eine Klassenarbeit oder auf die Gesamtleistung in einem Fach) für eine Schulklasse erstellt. Anhand dieser Leistungsübersicht ist nur feststellbar, wie viele Schülerinnen und Schüler einer Klasse welche Noten erreicht haben. Wird der Notenspiegel in der Klasse den Schülerinnen und Schülern oder betroffenen Eltern zur Kenntnis gegeben, werden damit zunächst keine personenbezogenen Daten übermittelt, weil sich kein Bezug zu einzelnen Schülern herleiten lässt. Allerdings kann es besondere Konstallationen geben, bei denen der Notenspiegel in Verbindung mit anderen Informationen doch potenziell eine Zuordnung zur Schülerin/zum Schüler ermöglicht. Daher sollte die Bekanntgabe eines Notenspiegels pädagogisch abgewogen werden und ggf. unterbleiben. Die Bekanntgabe der Durchschnittsnote einer Klassenarbeit ist hier dann eine Alternative. Die Übermittlung/Bekanntgabe von individuellen Noten wird in diesem FAQ-Eintrag behandelt.