Baustein 1 - Schulverwaltung

Baustein 1.1 - Betrieb eines Schulverwaltungsnetzes (LfDI)

Ist ein Rechner mit zwei Festplatten (Schulnetz / Verwaltungsnetz) und einem Dual-Boot-System datenschutzkonform?

Bei der Trennung von Schulnetz und Verwaltungsnetz geht es um die NETZ-Trennung und nicht um die eigentliche Datenhaltung. Eine Netztrennung unter Nutzung einer einzelnen Netzwerkkarte ist über ein Dual-Boot-System nicht gegeben. Weiterhin ist die Möglichkeit des physikalischen Zugangs von Unbefugten zu einer Netzwerkdose die grundsätzlich den Zugang zum Verwaltungsnetz ermöglicht, weitestgehend auszuschließen.
Siehe: https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/EPoS_-_Anlage_2_Merkblatt.pdf

Baustein 1.3 - Datenerhebung beim Einsatz von Sicherheitstechnik (LfDI)

Darf ein elektronisches System (Chips, Schlüsselkarten) zur Zugangskontrolle der Toiletten und Erfassung der Nutzer genutzt werden, um Vandalismus zu verhindern?

Die Einführung einer elektronischen Zugangssicherung für bestimmte Schultoiletten begegnet dann keinen grundsätzlichen datenschutzrechtlichen Bedenken, wenn die erhobenen Daten einer engen Zweckbindung unterliegen und zeitnah gelöscht werden. Dabei sollten die erhobenen Zugangsdaten nach einer Frist von drei Tagen gelöscht oder durch neue Daten überschrieben werden. Eine Auswertung der erfassten Nutzung darf nur dann erfolgen, wenn es tatsächlich zu einem Vorfall kam, der aufgeklärt werden soll. Sofern auch Lehrkräfte mit dieser Form der Zugangssicherung ausgestattet werden, wäre mit der Personalvertretung eine Regelung zu treffen, dass die erhobenen Daten nicht für allgemeine Verhaltens- und Leistungskontrollzwecke verwendet werden dürfen. Die Betroffenen sind gem. Art. 13 DS-GVO über die Datenverarbeitungsvorgänge, die mittels Chip oder Schlüsselkarte ausgelöst werden, vorab zu informieren.

Baustein 1.4 - Aufgaben der Datenschutzbeauftragten (LfDI)

Wie sieht es aus mit Personalunion von DSB und IT-Admin? Darf ein IT-Admin gleichzeitig auch die Funktion als DSB ausüben?

Falls möglich, sollte hier eine personelle Trennung erfolgen.
Siehe auch: Leitlinien der DS-Aufsichtsbehörden (S. 19)

Wie umfassend muss ein Verarbeitungsverzeichnis für die Schule sein?

Vollständige Frage:
Wie umfassend muss ein Verarbeitungsverzeichnis für die Schule sein? Müssen darin bspw. auch die Daten erwähnt werden, die auf dem Mensa-Chip gespeichert sind, bzw. die Daten, die bei der Essensbestellung entstehen (externer Caterer)? Oder das Schlüsselsystem (Transponder)? Wird auch bei analogen Daten ein Verzeichnis für Verarbeitungstätigkeiten benötigt (z.B. Schülerakten, Lehrerakten usw.)? Was gilt für die Mitschriften bei Elterngesprächen?

Antwort:
Sofern ein Vertrag zur Auftragsdatenverarbeitung mit einem Caterer, einem Unternehmen (wegen der Zugangsberechtigung oder dem Mensa-Chip) etc. abgeschlossen wurde und in diesen Verträgen auch der Umfang der Datenverarbeitung geregelt ist, reicht ein Verweis auf diese Dokumente aus. Sofern analoge Daten in einem systematisch auswertbaren Dateisystem geführt werden, zählen auch sie zum Anwendungsbereich der DS-GVO. Dass Schüler- und Lehrerpersonalakten geführt werden, ist selbstverständlich und muss daher nicht in das Verzeichnis. Auch Mitschriften von Elterngesprächen gehören nicht dazu.
Siehe auch: www.datenschutz.rlp.de/de/themenfelder-themen/datenschutz-grundverordnung/verzeichnis-von-verarbeitungstaetigkeiten/

Wie funktioniert die Meldung einer Datenpanne nach Art. 33 DS-GVO, bzw. § 54 LDSG?

Die Dokumentation des Vorgangs ist wichtig (für die Frage der Sanktion und falls später Betroffene eine Beschwerde einreichen), daher jede Datenpanne bitte über ein Formular des LfDI melden: https://www.datenschutz.rlp.de/de/themenfelder-themen/datenpannen/

Wie und für was genau lege ich eine Datenschutzfolgenabschätzung an? Woher weiß ich, wie groß/klein ein Risiko ist?

Eine Datenschutzfolgenabschätzung ist nur bei besonders risikobehafteten Verfahren erforderlich, bei denen personenbezogene Daten anfallen. Siehe Positivliste des LfDI: https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/DSFA_-_Muss-Liste_RLP_OE.pdf und Hinweise unter: https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/Hinweise_DSFA_20171205.pdf

Wie muss mit DS-GVO-Anfragen von Schüler*innen bzw. Eltern umgegangen werden?

Handelt es sich um Auskunftsansprüche, müssen diese auf jeden Fall beantwortet werden. Betroffene haben immer einen Auskunftsanspruch bei Behörden/Einrichtungen etc., die ihre Daten erheben. Dieser muss von den Schulen beantwortet werden. Unter Umständen kann die Auskunft verweigert werden, wenn beispielsweise Rechte/Datenschutzrechte Anderer verletzt werden, bei unverhältnismäßigem Aufwand (z. B. zahlreiche Ordner im Archiv zu prüfen, wenn gleichzeitig Löschfristen genannt werden). Bei missbräuchlicher Nutzung (z. B. wöchentliche Nachfrage nach den eigenen Daten) genügt es, die Anfrage einmal zu beantworten und danach nicht mehr bzw. auf die bereits erfolgte Antwort zu verweisen.

Was ist zu tun, wenn jemand z.B. die Löschung von Daten verlangt, zu deren Archivierung die Schule verpflichtet ist?

Sofern gesetzliche Aufbewahrungsfristen zu beachten sind, ist eine Löschung nicht möglich(Art. 17 Abs. 2 DS-GVO). Hinweise zu Aufbewahrungsfristen. 

Auf welche Daten dürfen Schulträger zugreifen? Welche Daten dürfen dem Träger übermittelt werden?

Daten, die der Träger für seine Aufgabenerfüllung benötigt.

Wann haftet ein schulischer Datenschutzbeauftragter / eine Datenschutzbeauftragte (DSB)?

Übernimmt eine Lehrkraft die Funktion, tritt die Anstellungskörperschaft für einen etwaigen Schaden ein. Nur wenn vorsätzlich/grob fahrlässig falsch beraten wird (z.B. die Nutzung von datenschutzrechtlich unzulässigen Diensten gut heißt) kann ein Rückgriff auf den / die schulische/n DSB erfolgen.

Bei Übertragung der Aufgabe auf ein externes Unternehmen, trägt dieses die Haftung selbst.

Baustein 2 - Digitale Infrastruktur und Lernumgebung

Baustein 2.1 - Verwaltung der PC-Hardware und Mobile-Device-Management (LfDI)

Kontrolle privater PCs wie dienstliche Geräte? Wer darf das, wie soll so etwas funktionieren? Dürfen auch meine privaten Bilder untersucht werden?

Nein, natürlich nicht. Daher sollte eine Trennung zwischen privaten Daten und schulischen Daten über Container-Lösung oder Speicherung schulischer Daten auf verschlüsseltem USB-Stick erfolgen.

Was muss aus Datenschutzsicht beachtet werden, wenn die Schule/der Schulträger Leihgeräte Schüler*innen/Eltern zur Verfügung stellt?

Die Geräte müssen bei Rückgabe von Daten der vorherigen Benutzer bereinigt werden. Dies kann z.B. durch vollständiges Rücksetzen auf einen definierten Zustand erfolgen oder durch die Verwendung einer Mobile-Device-Management Software zur Kontrolle des Endgeräts.

Baustein 2.2 - Schulintranet und Lernmanagementsysteme (LfDI)

Darf der Vertretungsplan online abrufbar sein?

Ja, sofern lediglich mit Namenskürzeln angezeigt wird, wer eine Klasse oder einen Kurs übernimmt und der Zugang über ein (schulintern bekanntes) Passwort erfolgt.

Weitere Informationen hierzu auch im Web-Seminar Schulischer Datenschutz - Teil 4: Vertretungspläne

 

Dürfen Notenlisten privat verwahrt werden?

Ja. Hierbei müssen Zugriffsmöglichkeiten durch Unbefugte ausgeschlossen werden, bei einer automatisierten Datenverarbeitung etwa über eine Verschlüsselung.
Siehe: www.datenschutz.rlp.de/de/themenfelder-themen/verschluesselung/

Was ist eine geeignete Möglichkeit, im Falle einer Schulschließung, den Schülern Noten u. ä. mitzuteilen?

Es sollte ein geschlossener Kommunikationskanal (z.B. Lernplattform auf Servern eines europäischen Anbieters) gewählt werden. Auch ein datenschutzkonformer Messenger (z.B. Threema, Signal, Wire etc.) ist möglich.
Tipp: Notenübermittlung per Telefon statt Mail.

Darf ich Passwörter zentral (etwa in Lernplattform@RLP) zur Verfügung stellen?

Insofern die Zugangsdaten direkten Zugang zu personenbezogenen Daten (insbesondere von Schülerinnen und Schülern) herstellen oder zu administrativen Zugängen, mit denen Benutzer angelegt oder Zugriffsrechte ausgeweitet werden können, sind diese geheim zu halten und somit nicht zentral zu speichern! Im Falle von Passwörtern zu Funktionszugängen (W-LAN, Einzelarbeitsplätze) oder Softwarelizenzen, geht es weniger um den Zugang zu persönlichen Informationen als um den Zugang zu einer Infrastruktur oder zu internen Informationen die aber nicht für die Öffentlichkeit bestimmt, potentiell von Angreifern aber als „Einstieg „ genutzt werden können. Auch hier gilt: Eine zentrale Vorhaltung von Zugangsdaten erhöht immer das Risiko eines Missbrauchs, insbesondere bei Online-Diensten aufgrund deren ständiger Verfügbarkeit.

Hinweise zu Passwortgestaltung und –Aufbewahrung gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) unter:

• https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/sichere-passwoerter-erstellen_node.html
   
• https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/Umgang-mit-Passwoertern/umgang-mit-passwoertern_node.html

Baustein 2.3 - Softwarenutzung - Anwendungen für den Unterricht

Welche Clouddienste dürfen zum Austausch von Dateien genutzt werden?

Das Land stellt mit dem Schulcampus RLP, Lernplattform@RLP, MNS+ sowie der Schulbox entsprechende Dienste zur Verfügung.

Sollte die Schule sich gegen einer Verwendung dieser Produkte entscheiden, ist bei der Wahl eines Clouddienstes darauf zu achten, dass es sich um einen europäischen Anbieter (bzw. Datenverarbeitung auf europäischen Servern ohne Zugriffsmöglichkeit ausländischer Sicherheitsbehörden) handelt. 

Beachte: Auch dann, wenn Schülerinnen und Schüler lediglich Daten ohne Anmeldung herunterladen, wird die (häusliche) IP-Adresse des Schülers oder der Schülerin als personenbezogenes Datum vom Anbieter erfasst.

Bei Verwendung eines Dienstes außerhalb des Geltungsbereichs der DS-GVO, gilt das  zu „Schrems II“ Gesagte (s.o.).

Muss ich Daten verschlüsseln, wenn ich sie über einen Clouddienst teilen möchte?

Sofern es sich nicht um personenbezogene Daten handelt, können Dateien auch unverschlüsselt auf Cloudspeichern abgelegt werden. Insbesondere bei der Nutzung von Diensten aus Drittstaaten, ist eine Inhaltsverschlüsselung der Daten unerlässlich, die eine Kenntnisnahme durch Unbefugte und auch durch den Anbieter verhindert. Eine reine Transportverschlüsselung (https) bei der Datenübertragung ist nicht ausreichend. Hinweise zur einfachen Möglichkeit einer Inhaltsverschlüsselung finden sich unter: https://www.datenschutz.rlp.de/de/themenfelder-themen/cloud-speicher-sicher-nutzen/

Können digitale Pinnwände (Etherpad, Padlet etc.) verwendet werden?

Bei vielen Anwendungen (z.B. Padlet) handelt es sich um Dienste US-amerikanischer Anbieter. Nach dem Urteil des EuGH vom Juli 2020 („Schrems II“) gelten für die Datenverarbeitung in sog. Drittstaaten besondere Anforderungen.

Es sollte darauf geachtet werden, dass der Dienst keine Anmeldung durch die Schülerinnen und Schüler erfordert und keine personenbezogenen Daten (z. B. Namen der SuS) auf der digitalen Pinnwand hochgeladen werden. Auch sollten nur Dienste zum Einsatz kommen, bei denen auf ein Tracking der Nutzer verzichtet wird. Sofern Schülerinnen und Schüler allerdings unter Nutzung privater Endgeräte Uploads vornehmen oder Daten abrufen, kann es sein, dass der Anbieter beispielsweise die IP-Adresse oder andere technische Informationen des Endgeräts (z.B. Betriebssystem, Browser, etc.) verarbeitet.

Zur Verhinderung eines Zugriffs durch Unbefugte sollte die Pinnwand nicht öffentlich geteilt, sondern nur über einen dem Nutzerkreis bekannten Link erreichbar und - wenn möglich - mit einem Passwort geschützt sein.

Zum Austausch von Materialien gibt es darüber hinaus datenschutzkonforme Landeslösungen wie Schulcampus RLP, Lernplattform@RLP, MNS+ sowie die Schulbox.

Die grundsätzlichen Bedenken, die aus Datenschutzsicht gegenüber Padlet bestehen, sind auch einer diesbezüglichen Veröffentlichung des Hessischen Datenschutzbeauftragten zu entnehmen.

Worin liegen die konkreten datenschutzrechtlichen Probleme bei US-amerikanischen Diensten?

Die mit der Nutzung außereuropäischer Softwareprodukte durch Schulen verbundene Problematik gründet auf technischen und rechtlichen Gegebenheiten. So findet systembedingt eine Übermittlung bestimmter Nutzungsdaten, wie z.B. die IP-Adresse, in der Regel statt. Gerade um diese Szenarien geht es aber bei der Nutzung von Videokonferenzsystemen oder Kollaborationslösungen im Rahmen des Homeschooling. Auch kann nicht ausgeschlossen werden, dass der Anbieter bestimmte Nutzungsdaten, wie z.B. die User-ID, für eigene Zwecke verwendet oder an Werbepartner weitergibt. Dies würde einen Verstoß gegen § 103 Abs. 1 der Übergreifenden Schulordnung darstellen, der die Weitergabe von Unterlagen über Schülerinnen und Schüler sowie deren Eltern für Werbezwecke untersagt. Neben datenschutzrechtlichen Aspekten ergeben sich somit auch potentielle Konflikte mit originärem Schulrecht.

Für die genannten Datenverarbeitungsvorgänge ist eine rechtliche Grundlage erforderlich. Diese kann sich entweder aus Übermittlungsbestimmungen des Schulgesetzes ergeben (vgl. § 67 Abs. 5) oder über die Möglichkeit, die derartige Inanspruchnahme eines Dienstleisters als Auftragsverarbeitung gem. Art. 28 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) vertraglich auszugestalten.

Der EuGH hat seine Entscheidung u.a. damit begründet, dass Sicherheitsbehörden in den USA die Möglichkeit haben, massenhaft auf Daten, welche bei US-amerikanischen Unternehmen gespeichert sind, zuzugreifen und europäische Nutzerinnen und Nutzer diese Überwachungsmaßnahmen nicht gerichtlich überprüfen lassen können. Dies mag im schulischen Kontext zunächst abstrakt klingen; aber angesichts der vorhanden Auswertungsmechanismen der amerikanischen Sicherheitsbehörden ist nicht auszuschließen, dass beispielsweise eine unbedachte Bemerkung in einer Videokonferenz bei der Einreise in die USA, bei einer Bewerbung als Au-pair oder bei einer US-amerikanischen Hochschule zu Problemen führen kann. 

Diese Gesichtspunkte gelten grundsätzlich für Videokonferenz- und Kollaborationslösungen US-amerikanischer Anbieter.

Sowohl Verwaltungen wie Wirtschaftsbetriebe nutzen außereuropäische Dienste und müssen dabei datenschutzrechtlich einwandfrei arbeiten. Warum soll das nicht für Schulen möglich sein?

Im Unterschied zu Unternehmen oder Verwaltungen sind bei der schulischen Nutzung regelmäßig die Daten Minderjähriger betroffen, denen nach der Datenschutzgrundverordnung ein besonderer Schutz zukommt. Anders als bei Unternehmen kann die schulische Datenverarbeitung auch nicht auf Vereinbarungen im Rahmen der Vertragsfreiheit oder berechtigte Interessen gestützt werden. Vielmehr enthält Art. 49 Abs. 3 DS-GVO sogar eine maßgebliche Einschränkung für Datenverarbeitungen im außereuropäischen Ausland. Denn hierin wird öffentlichen Stellen im Rahmen ihrer hoheitlichen Tätigkeit der Rückgriff auf eine Einwilligung untersagt. Dies bedeutet, dass Schulen die Nutzung amerikanische Dienste auch nicht auf eine mögliche Einwilligung der Eltern stützen können.

Welche Daten werden als gefährdet angesehen? Im Unterricht werden doch keine Geheimnisse besprochen?

Die datenschutzrechtlichen Vorgaben sind nicht auf Daten begrenzt, die der Geheimhaltung unterliegen, sondern gelten für alle Arten personenbezogener Daten. Für Kinder bzw. Minderjährige sieht zudem die Europäische Datenschutzgrundverordnung einen besonderen Schutz vor (vgl. Erwägungsgrund 38 der DS-GVO). Die Aufgabe der Datenschutzaufsichtsbehörden, im Hinblick auf den Schutz der Daten von Kindern die Öffentlichkeit aufzuklären (Art. 58 Absatz 1 Buchstabe b DS-GVO), ist besonders wichtig und verdeutlicht das besondere Schutzbedürfnis. Neben Inhaltsdaten, die bei der Nutzung von Videokonferenzsystemen auch biometrischen Charakter haben können (Gesichts- oder Stimmaufnahmen) und damit dem besonderen Schutz des Art. 9 DS-GVO unterfallen, fällt eine Vielzahl von Nutzungsdaten an.

Welche Änderungen bei den Anbietern wären notwendig, um im schulischen Bereich amerikanische Dienste datenschutzkonform einsetzen zu können?

Ein grundsätzliches Problem liegt in der Übermittlung personenbezogener Daten in die USA bzw. der dortigen Verarbeitung unter rechtlichen Bedingungen, die nicht dem europäischen Datenschutzniveau entsprechen.

Die in Art. 44 ff. DS-GVO genannten rechtlichen Voraussetzungen für eine Datenverarbeitung in den USA sind mit dem Wegfall des Privacy Shields für Schulen derzeit kaum zu erfüllen. Eine Lösung könnte daher darin liegen, zu verhindern, dass amerikanische Anbieter personenbezogene Schüler- und Lehrerdaten verarbeiten (können). Dies ließe sich beispielsweise dadurch bewerkstelligen, dass Daten vollständig auf deutschen oder europäischen Servern verarbeitet werden oder ein Datentreuhänder zwischengeschaltet wird. Dies wurde beispielsweise in der Vergangenheit von Microsoft mit der Deutschland-Cloud zusammen mit der Deutschen Telekom praktiziert, seitens Microsoft 2018 jedoch eingestellt. Ein Nachfolgeprodukt wird von Microsoft aktuell (noch) nicht angeboten.

Soweit die Datenverarbeitung durch einen außereuropäischen Anbieter auf sog. EU-Standard-Datenschutzklauseln, also Musterverträge, gestützt werden soll, liegen entsprechende Muster zwischenzeitlich vor; diese sind vielfach Bestandteil entsprechender Verträge auch mit US-amerikanischen Dienstleistern. Nach der Schrems II-Entscheidung des EuGH sind bei Übermittlungen personenbezogener Daten in die USA jedoch zusätzliche Maßnahmen zu ergreifen, die sicherstellen, dass ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU gewährleistet wird. Hier bedarf es allerdings noch der Klärung, welche konkreten Maßnahmen im Licht dieser vom EuGH klargestellten Anforderung und mit Blick auf die unterschiedlichen Nutzungsszenarien in Betracht kommen. (siehe auch Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 15.1.2021) Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden empfiehlt daher, die Nutzung von Videokonferenzprodukten US-amerikanischer Anbieter sorgfältig zu prüfen (Orientierungshilfe Videokonferenzsysteme).

Ein Ansatzpunkt, den z.B. Unternehmen fallweise verfolgen, ist der Betrieb entsprechender Lösungen on-premises, d.h. auf eigenen Systemen bzw. in einer eigenen Cloud-Lösung. Dies wird jedoch nicht oder nicht im erforderlichen Umfang von allen Anbietern unterstützt.

Was ist beim Einsatz von Microsoft 365 datenschutzrechtlich problematisch?

Die mit der Nutzung außereuropäischer Softwareprodukte wie Microsoft 365 verbundene Problematik gründet auf technischen und rechtlichen Gegebenheiten. So lässt sich bei der Nutzung eine Übermittlung bestimmter Nutzungsdaten, wie z.B. der IP-Adresse, in der Regel nicht vermeiden (Näheres hierzu s. u.). Auch kann nicht ausgeschlossen werden, dass der Anbieter bestimmte Nutzungsdaten für eigene Zwecke verwendet oder an Werbepartner weitergibt.

Für die Übermittlung personenbezogener Daten ist eine rechtliche Grundlage erforderlich. Diese kann sich entweder aus gesetzlichen Übermittlungsbestimmungen oder über die Möglichkeit, die derartige Inanspruchnahme eines Dienstleisters als Auftragsverarbeitung gem. Art. 28 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) vertraglich auszugestalten.

Ein grundsätzliches Problem liegt allerdings darin, dass in die USA übermittelte personenbezogene Daten unter rechtlichen Bedingungen verarbeitet werden, die nicht dem europäischen Datenschutzniveau entsprechen.

Nachdem der Europäische Gerichtshof (EuGH) mit Urteil vom 16. Juli 2020 (Rechtssache 311/18; „Schrems II“) das sog. Privacy Shield für ungültig erklärt hat, können Datenübermittlungen in die USA jedoch nicht mehr auf dieses Instrument gestützt werden. Der EuGH hat seine Entscheidung u.a. damit begründet, dass Sicherheitsbehörden in den USA die Möglichkeit haben, massenhaft auf Daten, welche bei US-amerikanischen Unternehmen gespeichert sind, zuzugreifen und europäische Nutzerinnen und Nutzer diese Überwachungsmaßnahmen nicht gerichtlich überprüfen lassen können.

Die in Art. 44 ff. DS-GVO genannten rechtlichen Voraussetzungen für eine Datenverarbeitung in den USA sind mit dem Wegfall des Privacy Shields derzeit kaum zu erfüllen.

Soweit die Datenverarbeitung durch einen außereuropäischen Anbieter auf sog. EU-Standard-Datenschutzklauseln, also Musterverträge, gestützt wird, liegen entsprechende Muster vor; diese sind vielfach Bestandteil entsprechender Verträge auch mit US-amerikanischen Dienstleistern. Nach der Schrems II-Entscheidung des EuGH sind bei Übermittlungen personenbezogener Daten in die USA jedoch zusätzliche Maßnahmen zu ergreifen, die sicherstellen, dass ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU gewährleistet wird. Hier bedarf es allerdings noch der Klärung, welche konkreten Maßnahmen im Licht dieser vom EuGH klargestellten Anforderung und mit Blick auf die unterschiedlichen Nutzungsszenarien in Betracht kommen.

Hinsichtlich Microsoft 365 gibt es weiterhin Regelungen in den Nutzungsbedingungen (Online Service Terms OST) bzw. den Datenschutzbestimmungen (Data Processing Agreement DPA), die den datenschutzrechtlichen Anforderungen aus der DSGVO an die Transparenz der Datenverarbeitung, die Einwirkungsmöglichkeiten des Auftraggebers, die Zwecke der Datenverarbeitung oder die Löschung von Daten nicht entsprechen.

Warum reicht die von Microsoft angebotene Option, Daten auf europäischen Servern zu verarbeiten, für einen datenschutzkonformen Betrieb nicht aus?

Microsoft bietet zwar die Möglichkeit eine Datenspeicherung auf europäischen Servern an (siehe „Microsoft Online-Services Terms“), dies betrifft jedoch lediglich die von Microsoft so bezeichneten „Kundendaten“. Hierbei handelt es sich nach der Definition von Microsoft um alle Daten, einschließlich sämtlicher Text-, Ton-, Video- oder Bilddateien und Software, die Microsoft vom oder im Namen des Kunden durch die Nutzung bereitgestellt werden. „Diagnosedaten“ die Microsoft aus Software erhebt oder erhält, die vom Kunden im Zusammenhang mit dem Onlinedienst lokal installiert wurde (diese werden teilweise auch als Telemetriedaten bezeichnet) und „Dienstgenerierte Daten“, die Microsoft im Zuge des Betriebs eines Onlinediensts generiert oder ableitet, sind davon nicht betroffen. Die Speicherung dieser Daten erfolgt somit auf Systemen in den USA. Aufgrund deren möglichen Personenbezugs ergeben sich mit Blick auf die Rechtsprechung der Europäischen Gerichtshofs (EuGH 311/18 („Schrems II“)) Fragen zur rechtmäßigen Übermittlung.

Zur Unterbindung der Übermittlung personenbezogener Telemetriedaten haben die Verantwortlichen daher durch vertragliche, technische oder organisatorische Maßnahmen (z. B. durch eine Filterung der Datenübermittlungen über eine entsprechende Infrastruktur) sicherzustellen, dass nachweislich keine Übermittlung von Telemetriedaten an Microsoft stattfindet.'

Im Übrigen trägt die Möglichkeit der Datenspeicherung auf europäischen Servern dem Problem eines dem europäischen Recht nicht entsprechenden Zugriffs durch US-amerikanische Stellen nur bedingt Rechnung, da über den amerikanischen Clarifying Lawful Overseas Use of Data Act (CLOUD-Act) vom 23. März 2018 für US-Unternehmen eine Herausgabeverpflichtung auch dann besteht, wenn die Daten außerhalb der USA gespeichert werden.

Warum stellt der US-amerikanische CLOUD-Act ein Datenschutzproblem dar?

Der US Clarifying Lawful Overseas Use of Data Act (CLOUD-Act) vom 23. März 2018) gibt amerikanische Behörden die Möglichkeit, von US-Unternehmen (bzw. deren Töchtern) die Herausgabe von Daten zu verlangen, auch, wenn diese außerhalb der USA gespeichert werden.

Eine solche Herausgabe von Daten an ein Drittland ist gemäß Art. 48 DS-GVO nur zulässig, wenn diese auf eine in Kraft befindliche internationale Übereinkunft wie z.B. ein Rechtshilfeabkommen gestützt werden kann. Ein solches Übereinkommen liegt bislang nicht vor.

Ein Lösungsansatz bestand zunächst darin, dass eine von Microsoft angebotene Treuhand-Lösung genutzt wurde, bei der kein direkter Zugriff von Microsoft auf die in Europa gespeicherten Daten bestand („Microsoft Deutschland Cloud“). Das Produkt „MS Deutschland Cloud“ wurde von Microsoft jedoch zwischenzeitlich eingestellt und steht als Betriebsoption nicht mehr zur Verfügung.

Entsprechende Anordnungen von US-Stellen zur Offenlegung von Daten gehen weiterhin zumeist mit einer Verschwiegenheitsverpflichtung der zur Herausgabe der Daten aufgeforderten Stelle (vorliegend z.B. Microsoft als Auftragsverarbeiter) einher, so dass die Betroffenen von einer Offenlegung ihrer Daten keine Kenntnis erhalten (vgl. Art 15 Abs.1 lit. c DS-GVO).

Bei Datenzugriffen durch US-Behörden bzw. diesbezüglichen Herausgabeverlangen ergibt sich damit ein Verstoß gegen Art. 48 DS-GVO.

Auswirkungen der Entscheidung des OLG Karlsruhe vom September 2022 für den Einsatz von MS 365 in Schulen

Die Entscheidung des OLG Karlsruhe (Beschluss vom 7.9.2022, Az.: 15 Verg 8/22) betrifft inhaltlich das Vergaberecht und nicht die datenschutzrechtlichen Regelungen der Datenschutz-Grundverordnung (DS-GVO). Entscheidungsmaßstab waren daher die Bestimmungen des Gesetzes gegen Wettbewerbsbeschränkungen sowie der Verordnung über die Vergabe öffentlicher Aufträge. Die Regelungen bezüglich der Verantwortlichkeiten nach der Datenschutz-Grundverordnung (DS-GVO) sowie die restriktiven Vorgaben des Europäische Gerichtshofs (Urteil vom 16.7.2020 „Schrems-II)“ hinsichtlich Datenübermittlungen in die USA wurden vom OLG Karlsruhe in dem vorliegenden Kontext insoweit nicht näher erörtert.

Das OLG Karlsruhe hat entschieden, dass im Fall einer Vergabe öffentlicher Aufträge die Zusicherung eines Bieters, er könne ein rechtmäßiges und damit auch datenschutzkonformes Produkt bzw. eine entsprechende Leistung anbieten, nicht von vornherein in Zweifel gezogen werden darf. Das gilt auch für Bieter, die digitale Anwendungen anbieten. Auf dieser Grundlage ist das Vergabeverfahren durchzuführen. Der Bieter trägt dann dafür die Verantwortung. Damit wird nichts über konkrete Anwendungen, Produkte oder Leistungen gesagt, sondern lediglich die Rolle des Bieters im Verfahren geschärft.

Im Fall einer Auftragsverarbeitung - wie dies bei der Verwendung von Softwareprodukten der Fall ist - bleibt ohnehin der Auftraggeber nach den Bestimmungen der DS-GVO für die ordnungsgemäße Datenverarbeitung verantwortlich (Art. 4 Nrn. 7 und 8, Art. 24 ff. DS-GVO). Art. 24 Abs. 1 DS-GVO sieht in diesem Zusammenhang vor, dass der Verantwortliche nicht nur sicherzustellen, sondern auch den Nachweis dafür zu erbringen hat, dass die Auftragsverarbeitung gemäß der Datenschutz-Grundverordnung erfolgt.

Das alleinige Vertrauen auf vertragliche Zusicherungen eines Auftragnehmers hinsichtlich der Datenschutzkonformität eines Produkts wäre mit diesen hohen Anforderungen nicht in Einklang zu bringen. Die Entscheidung des OLG Karlsruhe wird daher aller Voraussicht nach nicht dazu führen, dass die Datenschutzaufsichtsbehörden ihre bisherigen Stellungnahmen zur Nutzung außereuropäischer Softwareprodukte im schulischen Kontext ändern.

Die Datenschutzaufsichtsbehörden stehen - genauso wie die KMK - mit Microsoft in einem ständigen Austausch. Unlängst wurde bekannt, dass Microsoft neue Vertragsregelungen mit datenschutzrechtlichen Verbesserungen veröffentlicht hat, die derzeit von den Aufsichtsbehörden geprüft werden. Sie sind wohl u.a. eine Reaktion auf die Anregungen und Empfehlungen der Datenschutzaufsichtsbehörden und damit ein Schritt in die richtige Richtung, der aber noch nicht ausreicht.

In diesem Zusammenhang ist zu erwähnen, dass das Land Hessen eine Ausschreibung im Hinblick auf die an Schulen einzusetzenden Softwareanwendungen und insbesondere Videokonferenzsysteme vorgenommen hat. Dort hat ein in Hessen ansässiger Anbieter, der auf der Basis von BigBlueButton arbeitet, die Ausschreibung gewonnen. Damit ist auch in Hessen geplant, dass die Schulen künftig flächendeckend diese Anwendung einsetzen und andere Anwendungen nicht mehr nutzen (s. Pressemitteilung unter: https://kultusministerium.hessen.de/digitalisierung/landesweites-videokonferenzsystem-fuer-schulen).

Aktuellen Presseverlautbarungen ist zu entnehmen, dass US-Präsident Biden eine Executive Order für ein neues EU-US Data Privacy Framework unterzeichnet hat. Dem Vernehmen nach führt diese Order eine Reihe neuer Rechte für EU-Bürger:innen bei Überwachungsmaßnahmen von US-Sicherheitsbehörden ein. Allerdings liegt noch kein Text vor. Auf Grundlage dieser Executive Order wird die Europäische Kommission erneut einen Angemessenheitsbeschluss für die USA fassen, um die Übermittlung personenbezogener Daten in die USA zu ermöglichen. Dieser wird wohl frühestens Anfang 2023 erfolgen und unmittelbar gerichtlich angegriffen werden. Mittelfristig ist daher nicht mit einer rechtssicheren Situation zu rechnen.

Unter welchen Voraussetzungen ist ein datenschutzkonformer Einsatz von Microsoft 365 denkbar?

Die datenschutzrechtlichen Probleme betreffen in erster Linie die Cloud-basierten Produkte, wie sie insbesondere häufig an Schulen eingesetzt werden. Exemplarisch für den Schulbereich finden sich hier Hinweise, unter welchen Voraussetzungen ein Einsatz von Microsoft 365 datenschutzrechtlich zulässig sein kann. Hierzu zählen

1. Der Betrieb von Microsoft 365 auf eigenen IT-Strukturen des Verantwortlichen („on-Premises-Lösung“) oder bei Stellen innerhalb der EU/des EWR, die keiner Herausgabepflicht nach dem US-CLOUD-Act unterliegen. (Hinweis: Die aktuellen Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sehen ebenfalls einen Verzicht auf die Cloud-Speicherung vor; IT-Grundschutzkompendium Baustein APP.1.1.A12 Verzicht auf Cloud-Speicherung).
2. Die Unterbindung der Übertragung von Telemetrie-Daten beim Einsatz von Microsoft 365 bzw. dem darunterliegenden Windows-Betriebssystem. Bei Windows 10 Enterprise kann eine Datenübermittlung an Microsoft durch Einstellungen im Betriebssystem weitgehend unterbunden werden.
3. Hierzu hat die Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder Empfehlungen ausgesprochen
   - www.datenschutz.rlp.de/de/themenfelder-themen/windows-10/
   - www.datenschutzkonferenz-online.de/media/dskb/TOP_30_Beschluss_Windows_10_mit_Anlagen.pdf
   - www.datenschutzkonferenz-online.de/media/ah/20191106_win10_pruefschema_dsk.pdf
   sind daher zu berücksichtigen.
4. Eine Filterung bei der Übermittlung personenbezogener Telemetriedaten über eine entsprechende Infrastruktur (Firewall) soweit diese nicht durch Konfigurationsvorgaben unterbunden werden kann. Hier haben die Verantwortlichen durch vertragliche, technische oder organisatorische Maßnahmen sicherzustellen, dass nachweislich keine Übermittlung von Telemetriedaten an Microsoft stattfindet (Anmerkung: Im Rahmen eines Pilotprojektes in Baden-Württemberg, bei der eine schulbezogene Microsoft 365-Version eingesetzt wurde, war dies nach Auskunft des LfDI Baden-Württemberg allerdings nicht möglich. Eine entsprechende Filterung kann daher mit notwendigen funktionalen Einschränkungen verbunden sein.)
5. Eine auf die sog. EU-Standard-Datenschutzklauseln gestützte Datenverarbeitung (Musterverträge). Nach der Schrems II-Entscheidung des EuGH sind bei Übermittlungen personenbezogener Daten in die USA jedoch zusätzliche Maßnahmen zu ergreifen, die sicherstellen, dass ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU gewährleistet wird. Hier bedarf es allerdings noch der Klärung, welche konkreten Maßnahmen im Licht dieser vom EuGH klargestellten Anforderung und mit Blick auf die unterschiedlichen Nutzungsszenarien in Betracht kommen (Anmerkung: Rechtliche Mängel der Muster-Verträge zur Auftragsverarbeitung hinsichtlich MS Teams, insb. unzulässige Abweichungen von den Vorgaben des Art. 28 DS-GVO -  zusammengefasst von der Berliner Datenschutzbeauftragten mit Stand 2020, S. 20).
6. Die Verwendung dienstlicher pseudonymer Mailadressen/Accounts (idealerweise temporär aus einem Pool) und das Verbot der Nutzung privater Microsoft Accounts
7. Die Nutzung über einen vorkonfigurierten und abgesicherten Browser mit integrierten Schutzmaßnahmen zur weitest gehenden Anonymisierung/Gleichschaltung der Metadaten.
8. Die Zwischenschaltung entsprechend vorkonfigurierter Terminal-Clients zur weitest gehenden Anonymisierung/Gleichschaltung der Metadaten.
9. Die Verwendung schulseitig bereitgestellter und datensparsam konfigurierter Endgeräte.
10. Die Umleitung des Internetverkehrs über eine eigene Infrastruktur mit geeigneten technischen Maßnahmen zur Verschleierung der heimischen IP-Adressen.

Welche ,,Nutzungsdaten" werden bei Microsoft 365 übermittelt?

Bei der Nutzung von Softwarepaketen wie z.B. Microsoft 365 oder entsprechender Cloud-Lösungen, können personenbezogene oder personenbeziehbare Daten auf verschiedenen Ebenen entstehen.

Microsoft differenziert in diesem Zusammenhang zwischen „Kundendaten“ als alle Daten, einschließlich sämtlicher Text-, Ton-, Video- oder Bilddateien und Software, die Microsoft vom oder im Namen des Kunden durch die Nutzung bereitgestellt werden, „Diagnosedaten“ die Microsoft aus Software erhebt oder erhält, die vom Kunden im Zusammenhang mit dem Onlinedienst lokal installiert wurde (diese werden teilweise auch als Telemetriedaten bezeichnet) und „Dienstgenerierte Daten“, die Microsoft im Zuge des Betriebs eines Onlinediensts generiert oder ableitet.

In großem Umfang werden dabei Daten über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook, Teams und anderer Anwendungen und Dienste gesammelt. Dies geht weit über den Aufruf eines Programms oder die Dauer der Nutzung hinaus. Microsoft sammelt beispielsweise Informationen über Ereignisse in Word, z.B. wenn die Rücktaste mehrmals hintereinander betätigt wird, aber auch der Satz vor und nach einem Wort, das in der Online-Rechtschreibprüfung nachgeschlagen wird. Über die eingebaute Telemetrie-Komponente werden nicht nur Nutzungsdaten der primär genutzten Anwendungen erfasst, sondern auch die individuelle Nutzung verbundener Dienste wie den Übersetzungsdienst oder die Microsoft Suchmaschine Bing sowie Daten über das genutzte Endgerät, die Adresse des Internet-Zugangs (IP-Adresse), Standortdaten u.a. mehr.
 

Im Rahmen einer im Auftrag des niederländischen Justizministeriums 2018 durchgeführten Untersuchung hat Microsoft erklärt, dass 23.000 bis 25.000 Arten von Ereignissen an die Server von Microsoft gesendet werden und dass bis zu 30 Teams mit diesen Daten arbeiten (DPIA Office 365 ProPlus version 1905, Seite 70). Eine Übersicht zu den im Rahmen von Microsoft Office 365 erhobenen Diagnosedaten stellt Microsoft zwar zur Verfügung (Microsoft gibt für dieses Dokument eine Lesezeit von ca. 7,5 Stunden an)). Allerdings bleibt dennoch vielfach unklar, welche Daten konkret gesendet werden, da die Übertragung häufig verschlüsselt erfolgt und die Daten somit im Rahmen einer Prüfung nicht eingesehen werden können. Insgesamt fehlt es hinsichtlich der von Microsoft verarbeiteten Daten bislang an einer der Datenschutz-Grundverordnung genügenden Transparenz. Gerade auch die Verwendung von Daten aus dem schulischen Kontext bleibt unklar. Daher können Missbräuche nicht ausgeschlossen werden.

Bei den Diagnose- oder dienstgenerierten Daten handelt es sich in den meisten Fällen um technische Informationen, die für sich genommen keinen direkten Personenbezug haben. Allerdings können diese einer eindeutigen, zur Nutzerin bzw. dem Nutzer gehörenden UserID zugeordnet werden bzw. stellen eindeutige Identifikatoren dar. Untersuchungen haben gezeigt, dass aufgrund der Vielzahl der Informationen auch bei der Nutzung pseudonymer Benutzerkonten eine Re-Identifizierung möglich ist.

Wie ist die Nutzung von Microsoft 365 auf Tablets oder Smartphones zu bewerten?

Die aktuelle Microsoft 365 Version für Android oder iOS setzt auf Cloud-Funktionalitäten auf. Um das Paket nutzen zu können ist ein Microsoft-Account erforderlich. Zwar lässt sich nach der Installation auswählen, ob Dokumente in der Cloud oder lokal gespeichert werden, hinsichtlich der Verarbeitung von Telemetrie oder Nutzungsdaten ist dies allerdings nicht von Bedeutung.

Solche Daten entstehen, wie aus Informationen von Microsoft herausgelesen werden kann. Hierfür wird vom Hersteller ein dedizierter Diagnosedaten-Viewer (DDV) angeboten. Der Umfang dieser Daten kann ggf. reduziert werden, abhängig davon, welche optionalen Dienste konfiguriert sind.

Microsoft bietet sogenannte „Steuerelemente“ an, mit denen die Erfassung/Übertragung von Diagnosedaten konfiguriert werden kann (Android / iOS).

Bei einer dienstlichen oder geschäftlichen Nutzung und einer Übermittlung von Diagnosedaten in die USA sind damit die sich aus dem EuGH-Urteil 311/18 (Schrems II) ergebenden Anforderungen zu erfüllen. Wenn ein Arbeitgeber dies anordnen oder verlangen würde, benötigte er eine Rechtsgrundlage für die Übermittlung.

Durch pseudonyme Microsoft-Accounts kann ein direkter Personenbezug zwar reduziert werden, aufgrund der Menge der Daten (s. o.) und der individuellen gerätebezogenen Daten ist jedoch davon auszugehen, dass eine Re-Identifizierungsmöglichkeit besteht.

Was gilt für Schulen, deren IT durch den Schulträger administriert wird?

Sofern an der Schule keine lokale Installation von Word, Excel oder Outlook etc. sondern Office 365 zum Einsatz kommt, ist dies beispielsweise nur als „on premises“-Lösung oder mittels eines entsprechenden Treuhandmodells und unter Einhaltung technisch-organisatorischer Maßnahmen zulässig. Gleiches gilt, sofern der Schulträger der Schule diese Systeme zur Verfügung stellt. Die datenschutzrechtlichen Vorgaben zum Einsatz von Office 365 sind dieser Seite zu entnehmen:

https://www.datenschutz.rlp.de/de/themenfelder-themen/microsoft-office-365/

Was müssen Schulen beim Einsatz eines Videokonferenzsystems beachten?

Aus Datenschutz-Sicht hat die vom rheinland-pfälzischen Bildungsministerium empfohlene Lösung Big Blue Button (BBB), die bei der Johannes Gutenberg-Universität Mainz gehostet wird, große Vorzüge. Bei BBB handelt es sich um eine Open Source-Lösung, die es ermöglicht, sie unter vollständiger, eigener Kontrolle und auf eigenen Systemen zu betreiben. Die Übermittlung von Nutzungsdaten an Dritte oder deren Verwendung gar für Werbezwecke kann ausgeschlossen werden

Sehen Sie hierzu die Hinweise auf den folgenden Seiten:
https://www.datenschutz.rlp.de/de/themenfelder-themen/videogestuetzte-kommunikationstechnik/

https://schuleonline.bildung-rp.de/digitale-werkzeuge/videokonferenzen.html

Ist der Einsatz außereuropäischer Videokonferenzsysteme zulässig?

Im Zusammenhang mit der Wahl eines geeigneten Videokonferenzsystems ist auf das wichtige Urteil des Europäischen Gerichtshofes vom 16.7.2020 hinzuweisen, mit welchem dieser das sog. Privacy Shield für ungültig erklärt hat. Dies ist insofern wichtig und folgenreich, als viele Datenübermittlungen in die USA auf dieses Instrument gestützt wurden. Auch beim Einsatz von Videokonferenzsystemen fallen viele personenbezogene Daten an. Handelt es sich dabei um Datenverarbeitungen durch US-amerikanischer Anbieter, lässt sich eine Übermittlung bestimmter Nutzungsdaten in die USA in der Regel nicht vermeiden. So lässt sich in der Regel eine Übermittlung von Telemetrie- und Nutzungsdaten nicht vermeiden; es ist also nicht auszuschließen, dass Daten darüber, wer von wo aus, wie lange, mit welchem Endgerät und auf welche Weise an einer Videokonferenz teilgenommen hat und welche IP-Adresse verwendet wurde, zweckwidrig verwendet werden.

Dieser Verarbeitungsvorgang ist nach dem EuGH-Urteil derzeit allerdings nur noch unter sehr engen Voraussetzungen möglich, welche nach der derzeitigen Rechtslage für Schulen nur schwer zu erfüllen sind.

Angesicht der zwischenzeitlich für immer mehr Schulen verfügbaren datenschutzkonformen Landessysteme (Schulcampus, BigBlueButton), ist ein Einsatz außereuropäischer Videokonferenzsysteme zur Erfüllung des Bildungsauftrags lediglich noch bis zum 1. August 2022 vertretbar. Ausgenommen hiervon sind bis auf Weiteres berufsbildende Schulen, wenn deren Ausbildungsgänge mit einer entsprechend engen Verzahnung in die Betriebe den Einsatz dieser Dienste erforderlich machen. Die vorübergehende Nutzung amerikanischer Videokonferenzsysteme ist jedoch nur dann hinnehmbar, wenn folgende Punkte beachtet werden:

• Bereits eingesetzte Lösungen US-amerikanischer Anbieter müssen auf schuleigenen Systemen betrieben werden, oder es müssen, bei Inanspruchnahme eines Dienstleisters im Rahmen einer (Auftragsverarbeitung gemäß Artikel 28 Datenschutz-Grundverordnung, DS-GVO) die Konferenzdaten auf Systemen deutscher oder europäischer Anbieter verarbeitet werden. Zudem müssen die Lösungen datensparsam konfiguriert und mit von der Schule vergebenen, pseudonymisierten Zugangsdaten genutzt werden. Es wird eine Verwendung der Nutzungsdaten für Werbezwecke vertraglich ausgeschlossen (§103 Übergreifende Schulordnung).
• Die Nutzerinnen und Nutzer müssen gemäß Artikel 13 DS-GVO informiert werden.
• Auf die in § 1 Abs. 6 Schulgesetz vorgesehene Möglichkeit, eine verbindliche Nutzung digitaler Lehr- und Lernmittel vorzusehen, wird verzichtet. Wenn Eltern, Schülerinnen oder Schüler einer Nutzung amerikanischer Softwareprodukte ausdrücklich widersprechen, werden äquivalente Lehrangebote zur Verfügung gestellt.

Welche Alternativen stehen Schulen in Rheinland-Pfalz zur Verfügung?

Der Ausbau der landeseignen Plattformen, insbesondere BigBlueButton und dem Schulcampus RLP, ist mittlerweile weiter fortgeschritten. Da somit einerseits alternative landeseigene Softwarelösungen mehr und mehr zur Verfügung stehen und andererseits eine datenschutzkonforme Nutzung von cloudbasierten amerikanischen Software-Produkten derzeit nicht möglich erscheint, sollten Schulen, soweit sie aktuell MS Teams für die Unterrichtsarbeit einsetzen, bis zum 1. August 2022 auf ein datenschutzkonformes System umsteigen.

Nach einer Umfrage des BM nutzen rund 10 Prozent der allgemeinbildenden Schulen aktuell MS Teams. Diesen Schulen soll vorrangig der Umstieg auf den Schulcampus ermöglicht werden. Ein Zugang zum Schulcampus kann über folgenden Link beantragt werden: https://schulcampus.bildung-rp.de/beantragung.html

Was ist beim Online-Streamen des Unterrichts zu beachten?

Sofern Schulen eine datenschutzkonforme Videokonferenzsoftware nutzen (dies ist bei amerikanischen Produkten grundsätzlich nicht der Fall), kann die Datenverarbeitung auf § 1 Abs. 6 Schulgesetz (in Verbindung mit  § 67 Abs. 1 Schulgesetz) gestützt werden. Nach dieser Regelung können im Bedarfsfall digitale Lehr- und Lernformen an die Stelle des Präsenzunterrichts treten, ohne dass hierfür eine Einwilligungserklärung der Eltern notwendig wäre.

Dies bedeutet jedoch nicht, dass die Schulleitung neue digitale Formen des Lernens einfach vorgeben könnte. Vielmehr sind die durch das neue Schulgesetz gestärkten Mitwirkungsrechte der Vertretung für Schülerinnen und Schüler, der Eltern- und Personalvertretungen zu beachten. So sind beispielsweise die Versammlung der Klassensprecherinnen und -sprecher und der Schulelternbeirat bei der Einführung neuer Lern- und Arbeitsmittel anzuhören (§ 33 Abs. 2 Nr. 2, § 40 Abs. 4 Nr. 2 Schulgesetz).

Grundsätzlich können Schülerinnen und Schüler zwar nicht verpflichtet werden können, beim Homeschooling die Kamera dauerhalt einzuschalten; sofern die Schule mit den Eltern jedoch eine diesbezügliche Vereinbarung getroffen hat (vergleich einer Dienstvereinbarung mit dem Personalrat), wäre dies datenschutzrechtlich nicht zu beanstanden. Material zum Erstellen von Klassenregeln zum Videochat (z.B. interaktives Plakat) hat Klicksafe unter diesem Link veröffentlicht: https://www.klicksafe.de/service/aktuelles/news/unsere-regeln-fuer-den-videochat/

Mit dem Unterzeichnen eine Vertraulichkeitsverpflichtung der Teilnehmenden können Vorbehalte und Sorgen, der online-Unterricht könnte von Unbefugten zur Kenntnis genommen oder unzulässiger Weise aufgezeichnet werden, begegnet werden. Ein Muster ist abrufbar unter: https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Verpflichtung_Vertraulichkeit_Videokonferenz_Schule_final.rtf

Weitere Hinweise zu Videokonferenzsystemen unter: https://www.datenschutz.rlp.de/de/themenfelder-themen/videogestuetzte-kommunikationstechnik/

Können Lehrkräfte und Schülerinnen und Schüler zur Teilnahme an Videokonferenzen verpflichtet werden? Müssen sie sich vor der Kamera zeigen?

Eine Verpflichtung ein bestimmtes nach § 1 Abs. 6 Schulgesetz festgelegtes Lehrmittel zu verwenden, besteht nur, wenn dieses datenschutzkonform ist (also nicht bei der Nutzung außereuropäischer Dienste) und eine ordnungsgemäße Beteiligung der Personal- und Schülervertretung erfolgt ist. Hierbei ist dem Grundsatz der Erforderlichkeit folgend die Bildübertragung nur dann zulässig, wenn gewährleistet werden kann, dass eine Übertragung des privaten Umfeldes der Schülerinnen und Schüler (z. B. durch Unkenntlichmachen des Hintergrunds) ausgeschlossen ist. Die Übertragung des Tons wird man jedenfalls bei der Lehrkraft und bei den Schülerinnen und Schülern bei Wortmeldungen  als erforderlich ansehen können. Die Rahmenbedingungen, insb. Vertraulichkeitsverpflichtung, sind hier zu beachten.

Dürfen zu Benotungszwecken Schülerinnen und Schüler verpflichtet werden, bei einer Videokonferenz die Kamera ihres Endgeräts zu aktivieren?

Ja, aber nur wenn ein datenschutzkonformes Tool zum Einsatz kommt, dessen Nutzung verpflichtend angeordnet wurde (§ 1 Abs. 6 SchulG). Dabei müssen die Einzelheiten zur Gestaltung der Videokonferenz, (also z. B. Verbot einer Aufzeichnung, Nutzung der Möglichkeit den Hintergrund auszugrauen, Verpflichtung zur Bildübertragung der Schülerinnen und Schüler nur, sofern dadurch nicht die Leitung überlastet wird, Sicherstellung, dass keine Unbefugten Kenntnis von der Videokonferenz erhalten etc.) zwischen Schulleitung und Schüler*innenvertretung bzw. Personalvertretung schriftlich in einer Vereinbarung festgelegt werden. Eine solche Regelung kann auch vorsehen, dass die Frage der verpflichtenden Bildübertragung von Schülerinnen und Schülern in das pädagogische Ermessen der Lehrkraft gestellt wird. Aber auch hier wird man differenzieren müssen, ob sich die Bildübertragung auf mündliche Äußerungen der Schülerinnen und Schüler beschränkt oder ob vor der Kamera beispielsweise sportliche oder darstellende Übungen absolviert werden sollen. Aufzeichnungen sind stets unzulässig.

Wann können Videoaufnahmen zur Benotung herangezogen werden?

Dies ist nur auf der Basis einer freiwilligen Einwilligungserklärung der Schülerinnen und Schüler/Eltern möglich, verbunden mit dem Hinweis, dass den Schülerinnen und Schülern keine Nachteile entstehen, wenn sie die Leistungsfeststellung in der Schule (oder auf andere Weise) wünschen. Entsprechende Alternativen sind von der Schule zur Verfügung zu stellen. Außerdem sollten die Schülerinnen und Schüler darauf hingewiesen werden, dass sie bei der Filmaufnahme möglichst datensparsam sein sollten, also so wenige Informationen aus dem häuslichen Umfeld preisgeben, wie möglich.

Weiterhin ist vorab eine Information nach Art. 13 Datenschutz-Grundverordnung (DS-GVO) durch die Lehrkraft erforderlich. D. h. sie muss beispielsweise mitteilen, wo die Aufnahmen gespeichert werden, ob es sich um ein privates oder dienstliches Gerät handelt und zusichern, dass die Aufnahmen nur zur Notenfeststellung verwendet und sofort danach wieder gelöscht werden und im Übrigen auch keine Synchronisation mit einer Cloud erfolgt.

Die Übersendung der Aufnahmen darf dabei nicht per unverschlüsselter E-Mail erfolgen. Hier muss ein gesicherter Übertragungskanal, beispielsweise eine entsprechenden Lernplattform, ein datenschutzkonformer Messenger oder andere sichere Übermittlungsmöglichkeiten, gewählt werden. Dies muss die Schule vorher entsprechend geprüft haben. 

Hinsichtlich der Benotung im Sportunterricht in Präsenz dürften in dem Fall, in dem sich Schülerinnen und Schüler weigern, per Video aufgezeichnet zu werden, gemäß § 67 Abs. 4 Schulgesetz (SchulG) ebenfalls keine Noten erhoben werden, und zwar selbst dann, wenn die Videoaufzeichnung als Lehr- und Lernmittel nach § 1 Abs. 6 SchulG vorgesehen ist; denn § 67 SchulG ist hierzu die Spezialbestimmung.

Wie kann man verhindern, dass Webkonferenzen oder videogestützter Unterricht aufgezeichnet werden?

Vor Einsatz eines Systems sollten die Schülerinnen und Schüler sowie bei Minderjährigen deren Eltern auf die Vertraulichkeit verpflichtet werden. Ein technischer Ausschluss kann nie erfolgen, da das Bild im Zweifelsfall abgefilmt werden kann. Dies wäre dann allerdings ein Verstoß gegen die Verschwiegenheitsverpflichtung, der mit Schulordnungsmaßnahmen sowie auch strafrechtlich geahndet werden kann. 

Hinweise zur Verpflichtung zur Vertraulichkeit

Baustein 3- Außendarstellung und Interne Kommunikation

Baustein 3.2 - Recht am eigenen Bild (LfDI)

Inwieweit ist die Zustimmung zur Verwendung von personenbezogen Daten (wie z. B. Fotos) zur Veröffentlichung (z. B. auf der Schulhomepage) dauerhaft gültig?

Eine Einwilligung gilt, bis sie widerrufen wird, ist also unbefristet gültig. Einwilligungen, die bei Schuleintritt gegeben werden, müssen nicht jährlich erneuert werden, allerdings sollte einmal im Jahr, z.B. bei Schuljahresbeginn, auf die Möglichkeit zum Widerruf hingewiesen werden. Ab dem Alter von 16 Jahren oder mit Eintritt in die Oberstufe sollte die Einwilligung erneut bei den betroffenen Schülern und Schülerinnen selbst eingeholt werden. Wird die Einwilligung widerrufen, müssen die Fotos von der Homepage entfernt werden.

Recht am eigenen Bild: https://www.datenschutz.rlp.de/de/themenfelder-themen/recht-am-eigenen-bild/

Dürfen Bilder von Personen auf der Schulhomepage veröffentlicht werden?

Nur mit Einwilligung der betroffenen Schülerinnen und Schüler, Eltern und Lehrkräfte (bei Minderjährigen: Einwilligung der Eltern). Dies gilt auch für Gruppenbilder. Ausnahme: Es handelt sich um eine Schulveranstaltung, bei der keine Einzelperson, sondern das Ereignis im Vordergrund steht (z. B. Sommerfest, Tag der offenen Tür etc.).

Beachten Sie:

Auch das Fotografieren von Schülerinnen und Schülern für einen Sitzplan ist nur mit Einwilligung zulässig.

Weitere Informationen hierzu auch im Web-Seminar Schulischer Datenschutz - Teil 5: Bilder auf Schulhomepage und im Themenfeld "Recht am eigenen Bild"

Was kann ich tun, wenn heimlich gefertigte Unterrichtsmitschnitte von mir veröffentlicht werden?

• Erzieherische Einwirkung (z. B. zeitweise Wegnahme des Handys) oder, falls erforderlich, Schulordnungsmaßnahmen ergreifen.
• Zivilrechtliche Unterlassungs- und Beseitigungsansprüche gegenüber der/dem Schülerin/Schüler bzw. den Eltern und dem Betreiber der Internetseite geltend machen (Meldebutton des Portals nutzen).
• Auch die Datenschutzaufsichtsbehörden des Bundes und der Länder können je nach Situation helfen oder Ansprechpartner vermitteln.
• „Recht auf Vergessenwerden“ gegenüber Google geltend machen. Nach einem Urteil des Europäischen Gerichtshofs vom 13.05.2014 kann eine Privatperson von Google oder anderen Suchmaschinen die Löschung von Links in der Ergebnisliste einer Suche verlangen. Voraussetzung ist, dass die verlinkten Seiten die Privatsphäre des Betroffenen verletzen.
• Je nach Schwere des Verstoßes Möglichkeiten des Strafrechts prüfen (Strafmündigkeit ab 14 J.).

In Frage kommende Straftatbestände:    

• § 201 Strafgesetzbuch: Verbietet die unbefugte Aufnahme des nicht öffentlich gesprochenen    Wortes.
• §§ 22, 23, 33 Kunsturhebergesetz: Verbietet die Veröffentlichung von Bildnissen ohne Einwilligung („Recht am eigenen Bild“).

Weitere Informationen hierzu auch im Web-Seminar Schulischer Datenschutz - Teil 7: Unterrichtsmitschnitte

Baustein 3.5 - Verwendung von Social Media im Schulbereich (LfDI)

Darf die Schule eine Instagram- bzw. Facebookseite haben? Wenn ja, welche Einschränkungen bestehen?

Für Schulen gelten als öffentliche Stellen strengere Vorgaben bei der Nutzung von Social-Media-Plattformen, als für Privatpersonen oder Unternehmen. Ein entsprechender Handlungsrahmen des LfDI erläutert, unter welchen Voraussetzungen eine Nutzung überhaupt möglich wäre. Diesen und weitere Mustertexte stellt der LfDI auf seiner Seite "Soziale Netzwerke" zur Verfügung.

Darf ich mit meiner Klasse mittels Facebook, WhatsApp oder iMessage schulisch kommunizieren?

Facebook, WhatsApp oder iMessage dürfen nicht für unterrichtliche Zwecke und in anderen schulischen Zusammenhängen verwendet werden.

Zur schulischen Kommunikation zwischen Lehrkräften und Schülerinnen und Schülern steht den Schulen u. a. eine landeseigene, kostenfreie, auf Moodle basierende Lernplattform zur Verfügung.

http://lernenonline.bildung-rp.de

Diese gewährleistet die Datensicherheit durch die Verwendung eines landeseigenen Servers.

Sofern eine Lehrkraft es als notwendig erachtet, über Messenger mit Eltern, Schülerinnen und Schülern zu kommunizieren, kommen nur europäische Anbieter, die eine Ende-zu-Ende-Verschlüsselung anbieten, in Betracht (z. B. Pidgin/OTR, Hoccer, Chiffry, Wire oder Threema).

Hierbei ist stets das Distanzgebot zu beachten. 

Weitere Informationen hierzu auch im Web-Seminar Schulischer Datenschutz - Teil 3: Soziale Netzwerke, Facebook, WhatsApp

Baustein 3.6 - Veröffentlichung personenbezogener Daten (LfDI)

Darf man Corona-Verdachtsfälle namentlich dem Kollegium bekannt geben?

Nein, es sollte grundsätzlich keine Namensnennung erfolgen, aber allgemeine Nennung des Verdachtsfalls ist zulässig.
Aus Fürsorgegründen zum Schutz von Risikogruppen oder wenn dies auf Bitte des Gesundheitsamtes für die Kontaktverfolgung erforderlich sein sollte, ist auch eine namentliche Nennung denkbar.

Baustein 3.7 - Kommunikation über E-Mail, Messenger, etc. (LfDI)

Darf ich mit den Eltern über E-Mail kommunizieren?

Allgemeine Hinweise, Einladungen zu Schulveranstaltungen etc. sind auch per E-Mail möglich. Persönliche Daten in Bezug auf einzelne Schülerinnen und Schüler sollten per Mail nicht unverschlüsselt versendet werden.

Schulen und Lehrkräfte können das Mailangebot des Pädagogischen Landesinstituts für den dienstlichen Einsatz nutzen.

http://bildungsnetz.bildung-rp.de/e-mail.html

Für den Gebrauch von Messengern siehe vorhergehende Frage zu sozialen Netzwerken.

Beachten Sie:
Eine E-Mail gleicht vom Sicherheitsniveau einer Postkarte.

Weitere Informationen hierzu auch im Web-Seminar Schulischer Datenschutz - Teil 6: E-Mail-Kommunikation

Was sollte eine Einwilligung der Eltern zur Kommunikation per Mail beinhalten?

„Mit der Verwendung meiner privaten E-Mail-Adresse für die schulische Korrespondenz bin ich einverstanden. Meine Einwilligung ist freiwillig; d.h. wenn ich meine private E-Mail nicht zur Verfügung stelle, entstehen weder mir noch meinem Kind Nachteile. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. In diesem Fall werden mir von Seiten der Schule alternative Kommunikationsmöglichkeiten (z.B. postalischer Versand) zur Verfügung gestellt“

Zu beachten: Es bleibt aber dabei, dass personenbezogene Daten nicht unverschlüsselt per Mail zwischen Eltern und Lehrkräften  kommuniziert werden sollen; dies kann sich die Schule auch nicht über eine Einwilligung der Eltern gewissermaßen "freizeichnen" lassen.

Darf ich mit meiner Klasse mittels Facebook, WhatsApp oder iMessage schulisch kommunizieren?

Facebook, WhatsApp oder iMessage dürfen nicht für unterrichtliche Zwecke und in anderen schulischen Zusammenhängen verwendet werden.

Zur schulischen Kommunikation zwischen Lehrkräften und Schülerinnen und Schülern steht den Schulen u. a. eine landeseigene, kostenfreie, auf Moodle basierende Lernplattform zur Verfügung: http://lernenonline.bildung-rp.de

Diese gewährleistet die Datensicherheit durch die Verwendung eines landeseigenen Servers.

Sofern eine Lehrkraft es als notwendig erachtet, über Messenger mit Eltern, Schülerinnen und Schülern zu kommunizieren, kommen nur europäische Anbieter, die eine Ende-zu-Ende-Verschlüsselung anbieten, in Betracht (z. B. Pidgin/OTR, Hoccer, Chiffry, Wire oder Threema).

Hierbei ist stets das Distanzgebot zu beachten. 

Weitere Informationen hierzu auch im Web-Seminar Schulischer Datenschutz - Teil 3: Soziale Netzwerke, Facebook, WhatsApp

Dürfen LES-Gespräche, Empfehlungsgespräche und Zeugniskonferenzen datenschutzrechtlich unbedenklich über Videokonferenzsysteme geführt werden?

Ja, sofern das Videokonferenzsystem den technisch-organisatorischen Anforderungen der DS-GVO entspricht (s. Hinweise zu Videokonferenzsystemen auf der Website des LfDI) und es sich um eine geschlossene Benutzergruppe mit einer Ende-zu-Ende-Verschlüsselung handelt, können die entsprechenden Gespräche hierüber geführt werden. Auch hier ist eine reine Transportverschlüsselung nicht ausreichend zur Gewährleistung der Vertraulichkeit gegenüber dem Dienstleister. Selbstverständlich ist sicherzustellen, dass auch im Homeoffice die Vertraulichkeit des Gesprächs gewahrt bleibt.

Können Einwilligungen durch die Eltern auch elektronisch erfolgen?

Ja. Eine Einwilligung ist auch dann rechtsgültig, wenn dies auf elektronischem Wege geschieht; Bedingung ist, dass eine eindeutig bestätigende Handlung erfolgt (Art.7 DS-GVO; EG 32). Beispielsweise kann beim Anmelden an einen Dienst mit dem Anklicken eines Auswahlfeldes diese Handlung aktiv getätigt werden. Wichtig ist, dass die Betroffenen auf der Seite, auf der sie die Einwilligung geben, die Informationen zur Datenverarbeitung nach Art. 13 DS-GVO bereitgestellt bekommen. Diese müssen einsehbar bzw. herunterladbar sein, bevor die Einwilligung gegeben wurde. Weiterhin gilt auch bei elektronisch erteilten Einwilligungen der Grundsatz der Freiwilligkeit sowie ein Kopplungsverbot.

Siehe auch: https://www.datenschutz.rlp.de/de/themenfelder-themen/datenschutz-grundverordnung/einwilligung/

Besteht eine Einwilligungserfordernis für digitale Lehr- und Lernsysteme?

Wird ein digitales Lehr-und Lernsystem (z.B. Landeslösung Bildungsportal RLP, Moodle, Schulcampus oder privater Anbieter, wie z.B. IServ etc.) als verbindliches Lehr- und Lernmittel eingeführt, ist hierzu keine Einwilligung der Eltern oder der Schülerinnen und Schüler erforderlich. Das zusätzliche Einholen einer Einwilligung würde - im Gegenteil - den Eltern sogar eine Wahlmöglichkeit suggerieren, die nicht besteht. Daher ist für ein System, welches gem. § 1 Abs. 6 i.V.m § 67 Abs. 1 SchulG als datenschutzkonformes Lehrmittel über einen Beschluss der Gesamtkonferenz unter ordnungsgemäßer Beteiligung der schulischen Interessengruppen eingeführt wurde, keine Einwilligung der Eltern einzuholen.

Baustein 4 - Unterrichtsorganisation und Klassenverwaltung

Baustein 4.2 - Digitales Klassenbuch und andere schulische Softwareprodukte (LfDI)

Wenn ein digitales Klassenbuch zur Dokumentation des Unterrichts und damit zur Verwaltung geführt wird, bedarf dies keiner expliziten Zustimmung durch jeden einzelnen Elternteil?

Die Schule entscheidet im Rahmen ihres Organisationsermessens darüber, in welcher Form sie das Klassenbuch führt. Einer Einwilligung der Eltern bedarf es aber dann, wenn z. B. deren private E-Mail-Anschriften im Zusammenhang mit der Nutzung benötigt werden.

Welche Daten von Schülerinnen und Schülern und Lehrkräften dürfen in Klassenbüchern festgehalten werden?

Die Grundlage bietet § 89 Abs. 6 der Übergreifenden Schulordnung (ÜSchulO) bzw. die entsprechenden Regelungen der  anderen Schulordnungen:

„In Klassenbüchern und Kursbüchern können eingetragen werden:

1. Namen und Geburtsdatum der Schülerinnen und Schüler,
2. Teilnahme an Schulveranstaltungen,
3. Vermerk über unentschuldigtes und entschuldigtes Fernbleiben und über Beurlaubungen,
4. erzieherische Einwirkungen gemäß § 96 Abs. 1,
5. Namen und Anschrift der Eltern,
6. Angaben zur Herstellung des Kontakts in Notfällen.“

 

Was müssen Lehrkräfte bei der digitalen Notendokumentation (z. B. per TeacherTool) beachten?

Hier gelten die Informationspflichten nach Art. 13 DS-GVO sowie bei Speicherung auf dem privaten Endgerät die Beachtung der technisch-organisatorischen Datensicherheitsanforderungen. Eine Trennung privater Daten und schulischer Daten über Containerlösung oder ausschließliche Speicherung schulischer Daten auf verschlüsselten USB-Sticks sollte erfolgen, bis dienstliche Laptops für alle Lehrkräfte zur Verfügung stehen.

Verpflichtungserklärung: medienkompetenz.bildung-rp.de/fileadmin/user_upload/medienkompetenz-macht-schule.bildung-rp.de/dateien/Schule.Medien.Recht/Mustertexte/Datenschutzerklaerung_BYOD_Lehrer_final.pdf