Inhalt:
I Aufgaben schulischer Datenschutzbeauftragten
Falls möglich, sollte hier eine personelle Trennung erfolgen.
Siehe auch: Leitlinien der DS-Aufsichtsbehörden (S. 19)
Vollständige Frage:
Wie umfassend muss ein Verarbeitungsverzeichnis für die Schule sein? Müssen darin bspw. auch die Daten erwähnt werden, die auf dem Mensa-Chip gespeichert sind, bzw. die Daten, die bei der Essensbestellung entstehen (externer Caterer)? Oder das Schlüsselsystem (Transponder)? Wird auch bei analogen Daten ein Verzeichnis für Verarbeitungstätigkeiten benötigt (z.B. Schülerakten, Lehrerakten usw.)? Was gilt für die Mitschriften bei Elterngesprächen?
Antwort:
Sofern ein Vertrag zur Auftragsdatenverarbeitung mit einem Caterer, einem Unternehmen (wegen der Zugangsberechtigung oder dem Mensa-Chip) etc. abgeschlossen wurde und in diesen Verträgen auch der Umfang der Datenverarbeitung geregelt ist, reicht ein Verweis auf diese Dokumente aus. Sofern analoge Daten in einem systematisch auswertbaren Dateisystem geführt werden, zählen auch sie zum Anwendungsbereich der DS-GVO. Dass Schüler- und Lehrerpersonalakten geführt werden, ist selbstverständlich und muss daher nicht in das Verzeichnis. Auch Mitschriften von Elterngesprächen gehören nicht dazu.
Siehe auch: www.datenschutz.rlp.de/de/themenfelder-themen/datenschutz-grundverordnung/verzeichnis-von-verarbeitungstaetigkeiten/
Die Dokumentation des Vorgangs ist wichtig (für die Frage der Sanktion und falls später Betroffene eine Beschwerde einreichen), daher jede Datenpanne bitte über ein Formular des LfDI melden: https://www.datenschutz.rlp.de/de/themenfelder-themen/datenpannen/
Eine Datenschutzfolgenabschätzung ist nur bei besonders risikobehafteten Verfahren erforderlich, bei denen personenbezogene Daten anfallen. Siehe Positivliste des LfDI: https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/DSFA_-_Muss-Liste_RLP_OE.pdf und Hinweise unter: https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/Hinweise_DSFA_20171205.pdf
Handelt es sich um Auskunftsansprüche, müssen diese auf jeden Fall beantwortet werden. Betroffene haben immer einen Auskunftsanspruch bei Behörden/Einrichtungen etc., die ihre Daten erheben. Dieser muss von den Schulen beantwortet werden. Unter Umständen kann die Auskunft verweigert werden, wenn beispielsweise Rechte/Datenschutzrechte Anderer verletzt werden, bei unverhältnismäßigem Aufwand (z.B. zahlreiche Ordner im Archiv zu prüfen, wenn gleichzeitig Löschfristen genannt werden). Bei missbräuchlicher Nutzung (z.B. wöchentliche Nachfrage nach den eigenen Daten) genügt es, die Anfrage einmal zu beantworten und danach nicht mehr bzw. auf die bereits erfolgte Antwort zu verweisen.
Sofern gesetzliche Aufbewahrungsfristen zu beachten sind, ist eine Löschung nicht möglich(Art. 17 Abs. 2 DS-GVO). Hinweise zu Aufbewahrungsfristen.
Daten, die der Träger für seine Aufgabenerfüllung benötigt.
Übernimmt eine Lehrkraft die Funktion, tritt die Anstellungskörperschaft für einen etwaigen Schaden ein. Nur wenn vorsätzlich/grob fahrlässig falsch beraten wird (z.B. die Nutzung von datenschutzrechtlich unzulässigen Diensten gut heißt) kann ein Rückgriff auf den / die schulische/n DSB erfolgen.
Bei Übertragung der Aufgabe auf ein externes Unternehmen, trägt dieses die Haftung selbst.
II Schul- und Klassenverwaltung
Bei der Trennung von Schulnetz und Verwaltungsnetz geht es um die NETZ-Trennung und nicht um die eigentliche Datenhaltung. Eine Netztrennung unter Nutzung einer einzelnen Netzwerkkarte ist über ein Dual-Boot-System nicht gegeben. Weiterhin ist die Möglichkeit des physikalischen Zugangs von Unbefugten zu einer Netzwerkdose die grundsätzlich den Zugang zum Verwaltungsnetz ermöglicht, weitestgehend auszuschließen.
Siehe: https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/EPoS_-_Anlage_2_Merkblatt.pdf
Ja, sofern lediglich mit Namenskürzeln angezeigt wird, wer eine Klasse oder einen Kurs übernimmt und der Zugang über ein (schulintern bekanntes) Passwort erfolgt.
Weitere Informationen hierzu auch im Web-Seminar Schulischer Datenschutz - Teil 4: Vertretungspläne
Die Schule entscheidet im Rahmen ihres Organisationsermessens darüber, in welcher Form sie das Klassenbuch führt. Einer Einwilligung der Eltern bedarf es aber dann, wenn z.B. deren private E-Mail-Anschriften im Zusammenhang mit der Nutzung benötigt werden.
- Namen und Geburtsdatum der Schülerinnen und Schüler,
- Teilnahme an Schulveranstaltungen,
- Vermerk über unentschuldigtes und entschuldigtes Fernbleiben und über Beurlaubungen,
- erzieherische Einwirkungen gemäß § 96 Abs. 1,
- Namen und Anschrift der Eltern,
- Angaben zur Herstellung des Kontakts in Notfällen.“
Ja. Hierbei müssen Zugriffsmöglichkeiten durch Unbefugte ausgeschlossen werden, bei einer automatisierten Datenverarbeitung etwa über eine Verschlüsselung.
Siehe: www.datenschutz.rlp.de/de/themenfelder-themen/verschluesselung/
Hier gelten die Informationspflichten nach Art. 13 DS-GVO sowie bei Speicherung auf dem privaten Endgerät die Beachtung der technisch-organisatorischen Datensicherheitsanforderungen. Eine Trennung privater Daten und schulischer Daten über Containerlösung oder ausschließliche Speicherung schulischer Daten auf verschlüsselten USB-Sticks sollte erfolgen, bis dienstliche Laptops für alle Lehrkräfte zur Verfügung stehen. Verpflichtungserklärung: medienkompetenz.bildung-rp.de/fileadmin/user_upload/medienkompetenz-macht-schule.bildung-rp.de/dateien/Schule.Medien.Recht/Mustertexte/Datenschutzerklaerung_BYOD_Lehrer_final.pdf
Es sollte ein geschlossener Kommunikationskanal (z.B. Lernplattform auf Servern eines europäischen Anbieters) gewählt werden. Auch ein datenschutzkonformer Messenger (z.B. Threema, Signal, Wire etc.) ist möglich.
Tipp: Notenübermittlung per Telefon statt Mail.
Nein, natürlich nicht. Daher sollte eine Trennung zwischen privaten Daten und schulischen Daten über Container-Lösung oder Speicherung schulischer Daten auf verschlüsseltem USB-Stick erfolgen.
Die Geräte müssen bei Rückgabe von Daten der vorherigen Benutzer bereinigt werden. Dies kann z.B. durch vollständiges Rücksetzen auf einen definierten Zustand erfolgen oder durch die Verwendung einer Mobile-Device-Management Software zur Kontrolle des Endgeräts.
Nein, es sollte grundsätzlich keine Namensnennung erfolgen, aber allgemeine Nennung des Verdachtsfalls ist zulässig.
Aus Fürsorgegründen zum Schutz von Risikogruppen oder wenn dies auf Bitte des Gesundheitsamtes für die Kontaktverfolgung erforderlich sein sollte, ist auch eine namentliche Nennung denkbar.
Die Einführung einer elektronischen Zugangssicherung für bestimmte Schultoiletten begegnet dann keinen grundsätzlichen datenschutzrechtlichen Bedenken, wenn die erhobenen Daten einer engen Zweckbindung unterliegen und zeitnah gelöscht werden. Dabei sollten die erhobenen Zugangsdaten nach einer Frist von drei Tagen gelöscht oder durch neue Daten überschrieben werden. Eine Auswertung der erfassten Nutzung darf nur dann erfolgen, wenn es tatsächlich zu einem Vorfall kam, der aufgeklärt werden soll. Sofern auch Lehrkräfte mit dieser Form der Zugangssicherung ausgestattet werden, wäre mit der Personalvertretung eine Regelung zu treffen, dass die erhobenen Daten nicht für allgemeine Verhaltens- und Leistungskontrollzwecke verwendet werden dürfen. Die Betroffenen sind gem. Art. 13 DS-GVO über die Datenverarbeitungsvorgänge, die mittels Chip oder Schlüsselkarte ausgelöst werden, vorab zu informieren.
III Kommunikation mit Lehrkräften, Eltern
Schulen und Lehrkräfte können das Mailangebot des Pädagogischen Landesinstituts für den dienstlichen Einsatz nutzen.
http://bildungsnetz.bildung-rp.de/e-mail.html
Für den Gebrauch von Messengern siehe vorhergehende Frage zu sozialen Netzwerken.
Beachten Sie:
Eine E-Mail gleicht vom Sicherheitsniveau einer Postkarte.
Weitere Informationen hierzu auch im Web-Seminar Schulischer Datenschutz - Teil 6: E-Mail-Kommunikation
Zu beachten: Es bleibt aber dabei, dass personenbezogene Daten nicht unverschlüsselt per Mail zwischen Eltern und Lehrkräften kommuniziert werden sollen; dies kann sich die Schule auch nicht über eine Einwilligung der Eltern gewissermaßen "freizeichnen" lassen.
Ja, sofern das Videokonferenzsystem den technisch-organisatorischen Anforderungen der DS-GVO entspricht (s. Hinweise zu Videokonferenzsystemen) und es sich um eine geschlossene Benutzergruppe mit einer Ende-zu-Ende-Verschlüsselung handelt, können die entsprechenden Gespräche hierüber geführt werden. Auch hier ist eine reine Transportverschlüsselung nicht ausreichend zur Gewährleistung der Vertraulichkeit gegenüber dem Dienstleister. Selbstverständlich ist sicherzustellen, dass auch im Homeoffice die Vertraulichkeit des Gesprächs gewahrt bleibt.
Ja. Eine Einwilligung ist auch dann rechtsgültig, wenn dies auf elektronischem Wege geschieht; Bedingung ist, dass eine eindeutig bestätigende Handlung erfolgt (Art.7 DS-GVO; EG 32). Beispielsweise kann beim Anmelden an einen Dienst mit dem Anklicken eines Auswahlfeldes diese Handlung aktiv getätigt werden. Wichtig ist, dass die Betroffenen auf der Seite, auf der sie die Einwilligung geben, die Informationen zur Datenverarbeitung nach Art. 13 DS-GVO bereitgestellt bekommen. Diese müssen einsehbar bzw. herunterladbar sein, bevor die Einwilligung gegeben wurde. Weiterhin gilt auch bei elektronisch erteilten Einwilligungen der Grundsatz der Freiwilligkeit sowie ein Kopplungsverbot.
Siehe auch: https://www.datenschutz.rlp.de/de/themenfelder-themen/datenschutz-grundverordnung/einwilligung/
Wird ein digitales Lehr-und Lernsystem (z.B. Landeslösung Bildungsportal RLP, Moodle, Schulcampus oder privater Anbieter, wie z.B. IServ etc.) als verbindliches Lehr- und Lernmittel eingeführt, ist hierzu keine Einwilligung der Eltern oder der Schülerinnen und Schüler erforderlich. Das zusätzliche Einholen einer Einwilligung würde - im Gegenteil - den Eltern sogar eine Wahlmöglichkeit suggerieren, die nicht besteht. Daher ist für ein System, welches gem. § 1 Abs. 6 i.V.m § 67 Abs. 1 SchulG als datenschutzkonformes Lehrmittel über einen Beschluss der Gesamtkonferenz unter ordnungsgemäßer Beteiligung der schulischen Interessengruppen eingeführt wurde, keine Einwilligung der Eltern einzuholen. Sofern diese Programme auch die Kommunikation mit den Eltern unterstützen und diese hierfür ihre privaten Endgeräte nutzen, ist dies jedoch nur mit Einwilligung der Eltern zulässig.
IV Videokonferenzsysteme
https://www.datenschutz.rlp.de/de/themenfelder-themen/videogestuetzte-kommunikationstechnik/
Im Zusammenhang mit der Wahl eines geeigneten Videokonferenzsystems ist auf das wichtige Urteil des Europäischen Gerichtshofes vom 16.7.2020 hinzuweisen, mit welchem dieser das sog. Privacy Shield für ungültig erklärt hat. Dies ist insofern wichtig und folgenreich, als viele Datenübermittlungen in die USA auf dieses Instrument gestützt wurden. Auch beim Einsatz von Videokonferenzsystemen fallen viele personenbezogene Daten an. Handelt es sich dabei um Datenverarbeitungen durch US-amerikanischer Anbieter, lässt sich eine Übermittlung bestimmter Nutzungsdaten in die USA in der Regel nicht vermeiden. So lässt sich in der Regel eine Übermittlung von Telemetrie- und Nutzungsdaten nicht vermeiden; es ist also nicht auszuschließen, dass Daten darüber, wer von wo aus, wie lange, mit welchem Endgerät und auf welche Weise an einer Videokonferenz teilgenommen hat und welche IP-Adresse verwendet wurde, zweckwidrig verwendet werden.
Dieser Verarbeitungsvorgang ist nach dem EuGH-Urteil derzeit allerdings nur noch unter sehr engen Voraussetzungen möglich, welche nach der derzeitigen Rechtslage für Schulen nur schwer zu erfüllen sind.
Angesicht der zwischenzeitlich für immer mehr Schulen verfügbaren datenschutzkonformen Landessysteme (Schulcampus, BigBlueButton), ist ein Einsatz außereuropäischer Videokonferenzsysteme zur Erfüllung des Bildungsauftrags lediglich noch bis zum 1. August 2022 vertretbar. Ausgenommen hiervon sind bis auf Weiteres berufsbildende Schulen, wenn deren Ausbildungsgänge mit einer entsprechend engen Verzahnung in die Betriebe den Einsatz dieser Dienste erforderlich machen. Die vorübergehende Nutzung amerikanischer Videokonferenzsysteme ist jedoch nur dann hinnehmbar, wenn folgende Punkte beachtet werden:
- Bereits eingesetzte Lösungen US-amerikanischer Anbieter müssen auf schuleigenen Systemen betrieben werden, oder es müssen, bei Inanspruchnahme eines Dienstleisters im Rahmen einer (Auftragsverarbeitung gemäß Artikel 28 Datenschutz-Grundverordnung, DS-GVO) die Konferenzdaten auf Systemen deutscher oder europäischer Anbieter verarbeitet werden. Zudem müssen die Lösungen datensparsam konfiguriert und mit von der Schule vergebenen, pseudonymisierten Zugangsdaten genutzt werden. Es wird eine Verwendung der Nutzungsdaten für Werbezwecke vertraglich ausgeschlossen (§103 Übergreifende Schulordnung).
- Die Nutzerinnen und Nutzer müssen gemäß Artikel 13 DS-GVO informiert werden.
- Auf die in § 1 Abs. 6 Schulgesetz vorgesehene Möglichkeit, eine verbindliche Nutzung digitaler Lehr- und Lernmittel vorzusehen, wird verzichtet. Wenn Eltern, Schülerinnen oder Schüler einer Nutzung amerikanischer Softwareprodukte ausdrücklich widersprechen, werden äquivalente Lehrangebote zur Verfügung gestellt.
Der Ausbau der landeseignen Plattformen, insbesondere BigBlueButton und dem Schulcampus RLP, ist mittlerweile weiter fortgeschritten. Da somit einerseits alternative landeseigene Softwarelösungen mehr und mehr zur Verfügung stehen und andererseits eine datenschutzkonforme Nutzung von cloudbasierten amerikanischen Software-Produkten derzeit nicht möglich erscheint, sollten Schulen, soweit sie aktuell MS Teams für die Unterrichtsarbeit einsetzen, bis zum 1. August auf ein datenschutzkonformes System umsteigen.
Nach einer Umfrage des BM nutzen rund 10 Prozent der allgemeinbildenden Schulen aktuell MS Teams. Diesen Schulen soll vorrangig der Umstieg auf den Schulcampus ermöglicht werden. Ein Zugang zum Schulcampus kann über folgenden Link beantragt werden: https://schulcampus.bildung-rp.de/beantragung.html
Weitere Hinweise zu Videokonferenzsystemen unter: https://www.datenschutz.rlp.de/de/themenfelder-themen/videogestuetzte-kommunikationstechnik/
Eine Verpflichtung ein bestimmtes nach § 1 Abs. 6 Schulgesetz festgelegtes Lehrmittel zu verwenden, besteht nur, wenn dieses datenschutzkonform ist (also nicht bei der Nutzung außereuropäischer Dienste) und eine ordnungsgemäße Beteiligung der Personal- und Schülervertretung erfolgt ist. Hierbei ist dem Grundsatz der Erforderlichkeit folgend die Bildübertragung nur dann zulässig, wenn gewährleistet werden kann, dass eine Übertragung des privaten Umfeldes der SuS (z. B. durch Unkenntlichmachen des Hintergrunds) ausgeschlossen ist. Die Übertragung des Tons wird man jedenfalls bei der Lehrkraft und bei den Schülerinnen und Schülern bei Wortmeldungen als erforderlich ansehen können. Die Rahmenbedingungen, insb. Vertraulichkeitsverpflichtung, sind hier zu beachten.
V Clouddienste
Sofern es sich nicht um personenbezogene Daten handelt, können Dateien auch unverschlüsselt auf Cloudspeichern abgelegt werden. Insbesondere bei der Nutzung von Diensten aus Drittstaaten, ist eine Inhaltsverschlüsselung der Daten unerlässlich, die eine Kenntnisnahme durch Unbefugte und auch durch den Anbieter verhindert. Eine reine Transportverschlüsselung (https) bei der Datenübertragung ist nicht ausreichend. Hinweise zur einfachen Möglichkeit einer Inhaltsverschlüsselung finden sich unter: https://www.datenschutz.rlp.de/de/themenfelder-themen/cloud-speicher-sicher-nutzen/
Die grundsätzlichen Bedenken, die aus Datenschutzsicht gegenüber Padlet bestehen, sind auch einer diesbezüglichen Veröffentlichung des Hessischen Datenschutzbeauftragten zu entnehmen.
Im Unterschied zu Unternehmen oder Verwaltungen sind bei der schulischen Nutzung regelmäßig die Daten Minderjähriger betroffen, denen nach der Datenschutzgrundverordnung ein besonderer Schutz zukommt. Anders als bei Unternehmen kann die schulische Datenverarbeitung auch nicht auf Vereinbarungen im Rahmen der Vertragsfreiheit oder berechtigte Interessen gestützt werden. Vielmehr enthält Art. 49 Abs. 3 DS-GVO sogar eine maßgebliche Einschränkung für Datenverarbeitungen im außereuropäischen Ausland. Denn hierin wird öffentlichen Stellen im Rahmen ihrer hoheitlichen Tätigkeit der Rückgriff auf eine Einwilligung untersagt. Dies bedeutet, dass Schulen die Nutzung amerikanische Dienste auch nicht auf eine mögliche Einwilligung der Eltern stützen können.
Die datenschutzrechtlichen Vorgaben sind nicht auf Daten begrenzt, die der Geheimhaltung unterliegen, sondern gelten für alle Arten personenbezogener Daten. Für Kinder bzw. Minderjährige sieht zudem die Europäische Datenschutzgrundverordnung einen besonderen Schutz vor (vgl. Erwägungsgrund 38 der DS-GVO). Die Aufgabe der Datenschutzaufsichtsbehörden, im Hinblick auf den Schutz der Daten von Kindern die Öffentlichkeit aufzuklären (Art. 58 Absatz 1 Buchstabe b DS-GVO), ist besonders wichtig und verdeutlicht das besondere Schutzbedürfnis. Neben Inhaltsdaten, die bei der Nutzung von Videokonferenzsystemen auch biometrischen Charakter haben können (Gesichts- oder Stimmaufnahmen) und damit dem besonderen Schutz des Art. 9 DS-GVO unterfallen, fällt eine Vielzahl von Nutzungsdaten an.
Die mit der Nutzung außereuropäischer Softwareprodukte wie Microsoft 365 verbundene Problematik gründet auf technischen und rechtlichen Gegebenheiten. So lässt sich bei der Nutzung eine Übermittlung bestimmter Nutzungsdaten, wie z.B. der IP-Adresse, in der Regel nicht vermeiden (Näheres hierzu s.u.). Auch kann nicht ausgeschlossen werden, dass der Anbieter bestimmte Nutzungsdaten für eigene Zwecke verwendet oder an Werbepartner weitergibt.
Für die Übermittlung personenbezogener Daten ist eine rechtliche Grundlage erforderlich. Diese kann sich entweder aus gesetzlichen Übermittlungsbestimmungen oder über die Möglichkeit, die derartige Inanspruchnahme eines Dienstleisters als Auftragsverarbeitung gem. Art. 28 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) vertraglich auszugestalten.
Ein grundsätzliches Problem liegt allerdings darin, dass in die USA übermittelte personenbezogene Daten unter rechtlichen Bedingungen verarbeitet werden, die nicht dem europäischen Datenschutzniveau entsprechen.
Nachdem der Europäische Gerichtshof (EuGH) mit Urteil vom 16. Juli 2020 (Rechtssache 311/18; „Schrems II“) das sog. Privacy Shield für ungültig erklärt hat, können Datenübermittlungen in die USA jedoch nicht mehr auf dieses Instrument gestützt werden. Der EuGH hat seine Entscheidung u.a. damit begründet, dass Sicherheitsbehörden in den USA die Möglichkeit haben, massenhaft auf Daten, welche bei US-amerikanischen Unternehmen gespeichert sind, zuzugreifen und europäische Nutzerinnen und Nutzer diese Überwachungsmaßnahmen nicht gerichtlich überprüfen lassen können.
Die in Art. 44 ff. DS-GVO genannten rechtlichen Voraussetzungen für eine Datenverarbeitung in den USA sind mit dem Wegfall des Privacy Shields derzeit kaum zu erfüllen.
Soweit die Datenverarbeitung durch einen außereuropäischen Anbieter auf sog. EU-Standard-Datenschutzklauseln, also Musterverträge, gestützt wird, liegen entsprechende Muster vor; diese sind vielfach Bestandteil entsprechender Verträge auch mit US-amerikanischen Dienstleistern. Nach der Schrems II-Entscheidung des EuGH sind bei Übermittlungen personenbezogener Daten in die USA jedoch zusätzliche Maßnahmen zu ergreifen, die sicherstellen, dass ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU gewährleistet wird. Hier bedarf es allerdings noch der Klärung, welche konkreten Maßnahmen im Licht dieser vom EuGH klargestellten Anforderung und mit Blick auf die unterschiedlichen Nutzungsszenarien in Betracht kommen.
Hinsichtlich Microsoft 365 gibt es weiterhin Regelungen in den Nutzungsbedingungen (Online Service Terms OST) bzw. den Datenschutzbestimmungen (Date Processing Agreement DPA), die den datenschutzrechtlichen Anforderungen aus der DSGVO an die Transparenz der Datenverarbeitung, die Einwirkungsmöglichkeiten des Auftraggebers, die Zwecke der Datenverarbeitung oder die Löschung von Daten nicht entsprechen.
Die Entscheidung des OLG Karlsruhe (Beschluss vom 7.9.2022, Az.: 15 Verg 8/22) betrifft inhaltlich das Vergaberecht und nicht die datenschutzrechtlichen Regelungen der Datenschutz-Grundverordnung (DS-GVO). Entscheidungsmaßstab waren daher die Bestimmungen des Gesetzes gegen Wettbewerbsbeschränkungen sowie der Verordnung über die Vergabe öffentlicher Aufträge. Die Regelungen bezüglich der Verantwortlichkeiten nach der Datenschutz-Grundverordnung (DS-GVO) sowie die restriktiven Vorgaben des Europäische Gerichtshofs (Urteil vom 16.7.2020 „Schrems-II)“ hinsichtlich Datenübermittlungen in die USA wurden vom OLG Karlsruhe in dem vorliegenden Kontext insoweit nicht näher erörtert.
Das OLG Karlsruhe hat entschieden, dass im Fall einer Vergabe öffentlicher Aufträge die Zusicherung eines Bieters, er könne ein rechtmäßiges und damit auch datenschutzkonformes Produkt bzw. eine entsprechende Leistung anbieten, nicht von vornherein in Zweifel gezogen werden darf. Das gilt auch für Bieter, die digitale Anwendungen anbieten. Auf dieser Grundlage ist das Vergabeverfahren durchzuführen. Der Bieter trägt dann dafür die Verantwortung. Damit wird nichts über konkrete Anwendungen, Produkte oder Leistungen gesagt, sondern lediglich die Rolle des Bieters im Verfahren geschärft.
Im Fall einer Auftragsverarbeitung - wie dies bei der Verwendung von Softwareprodukten der Fall ist - bleibt ohnehin der Auftraggeber nach den Bestimmungen der DS-GVO für die ordnungsgemäße Datenverarbeitung verantwortlich (Art. 4 Nrn. 7 und 8, Art. 24 ff. DS-GVO). Art. 24 Abs. 1 DS-GVO sieht in diesem Zusammenhang vor, dass der Verantwortliche nicht nur sicherzustellen, sondern auch den Nachweis dafür zu erbringen hat, dass die Auftragsverarbeitung gemäß der Datenschutz-Grundverordnung erfolgt.
Das alleinige Vertrauen auf vertragliche Zusicherungen eines Auftragnehmers hinsichtlich der Datenschutzkonformität eines Produkts wäre mit diesen hohen Anforderungen nicht in Einklang zu bringen. Die Entscheidung des OLG Karlsruhe wird daher aller Voraussicht nach nicht dazu führen, dass die Datenschutzaufsichtsbehörden ihre bisherigen Stellungnahmen zur Nutzung außereuropäischer Softwareprodukte im schulischen Kontext ändern.
Die Datenschutzaufsichtsbehörden stehen - genauso wie die KMK - mit Microsoft in einem ständigen Austausch. Unlängst wurde bekannt, dass Microsoft neue Vertragsregelungen mit datenschutzrechtlichen Verbesserungen veröffentlicht hat, die derzeit von den Aufsichtsbehörden geprüft werden. Sie sind wohl u.a. eine Reaktion auf die Anregungen und Empfehlungen der Datenschutzaufsichtsbehörden und damit ein Schritt in die richtige Richtung, der aber noch nicht ausreicht.
In diesem Zusammenhang ist zu erwähnen, dass das Land Hessen eine Ausschreibung im Hinblick auf die an Schulen einzusetzenden Softwareanwendungen und insbesondere Videokonferenzsysteme vorgenommen hat. Dort hat ein in Hessen ansässiger Anbieter, der auf der Basis von BigBlueButton arbeitet, die Ausschreibung gewonnen. Damit ist auch in Hessen geplant, dass die Schulen künftig flächendeckend diese Anwendung einsetzen und andere Anwendungen nicht mehr nutzen (s. Pressemitteilung unter: https://kultusministerium.hessen.de/digitalisierung/landesweites-videokonferenzsystem-fuer-schulen).
Aktuellen Presseverlautbarungen ist zu entnehmen, dass US-Präsident Biden eine Executive Order für ein neues EU-US Data Privacy Framework unterzeichnet hat. Dem Vernehmen nach führt diese Order eine Reihe neuer Rechte für EU-Bürger:innen bei Überwachungsmaßnahmen von US-Sicherheitsbehörden ein. Allerdings liegt noch kein Text vor. Auf Grundlage dieser Executive Order wird die Europäische Kommission erneut einen Angemessenheitsbeschluss für die USA fassen, um die Übermittlung personenbezogener Daten in die USA zu ermöglichen. Dieser wird wohl frühestens Anfang 2023 erfolgen und unmittelbar gerichtlich angegriffen werden. Mittelfristig ist daher nicht mit einer rechtssicheren Situation zu rechnen.
Die datenschutzrechtlichen Probleme betreffen in erster Linie die Cloud-basierten Produkte, wie sie insbesondere häufig an Schulen eingesetzt werden. Exemplarisch für den Schulbereich finden sich hier Hinweise, unter welchen Voraussetzungen ein Einsatz von Microsoft 365 datenschutzrechtlich zulässig sein kann. Hierzu zählen
- Der Betrieb von Microsoft 365 auf eigenen IT-Strukturen des Verantwortlichen („on-Premises-Lösung“) oder bei Stellen innerhalb der EU/des EWR, die keiner Herausgabepflicht nach dem US-CLOUD-Act unterliegen. (Hinweis: Die aktuellen Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sehen ebenfalls einen Verzicht auf die Cloud-Speicherung vor; IT-Grundschutzkompendium Baustein APP.1.1.A12 Verzicht auf Cloud-Speicherung).
- Die Unterbindung der Übertragung von Telemetrie-Daten beim Einsatz von Microsoft 365 bzw. dem darunterliegenden Windows-Betriebssystem. Bei Windows 10 Enterprise kann eine Datenübermittlung an Microsoft durch Einstellungen im Betriebssystem weitgehend unterbunden werden.
- Hierzu hat die Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder Empfehlungen ausgesprochen
- www.datenschutz.rlp.de/de/themenfelder-themen/windows-10/
- www.datenschutzkonferenz-online.de/media/dskb/TOP_30_Beschluss_Windows_10_mit_Anlagen.pdf
- www.datenschutzkonferenz-online.de/media/ah/20191106_win10_pruefschema_dsk.pdf
sind daher zu berücksichtigen. - Eine Filterung bei der Übermittlung personenbezogener Telemetriedaten über eine entsprechende Infrastruktur (Firewall) soweit diese nicht durch Konfigurationsvorgaben unterbunden werden kann. Hier haben die Verantwortlichen durch vertragliche, technische oder organisatorische Maßnahmen sicherzustellen, dass nachweislich keine Übermittlung von Telemetriedaten an Microsoft stattfindet (Anmerkung: Im Rahmen eines Pilotprojektes in Baden-Württemberg, bei der eine schulbezogene Microsoft 365-Version eingesetzt wurde, war dies nach Auskunft des LfDI Baden-Württemberg allerdings nicht möglich. Eine entsprechende Filterung kann daher mit notwendigen funktionalen Einschränkungen verbunden sein.
- Eine auf die sog. EU-Standard-Datenschutzklauseln gestützte Datenverarbeitung (Musterverträge). Nach der Schrems II-Entscheidung des EuGH sind bei Übermittlungen personenbezogener Daten in die USA jedoch zusätzliche Maßnahmen zu ergreifen, die sicherstellen, dass ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU gewährleistet wird. Hier bedarf es allerdings noch der Klärung, welche konkreten Maßnahmen im Licht dieser vom EuGH klargestellten Anforderung und mit Blick auf die unterschiedlichen Nutzungsszenarien in Betracht kommen (Anmerkung: Rechtliche Mängel der Muster-Verträge zur Auftragsverarbeitung hinsichtlich MS Teams, insb. unzulässige Abweichungen von den Vorgaben des Art. 28 DS-GVO - zusammengefasst von der Berliner Datenschutzbeauftragten mit Stand 2020, S. 20).
- Die Verwendung dienstlicher pseudonymer Mailadressen/Accounts (idealerweise temporär aus einem Pool) und das Verbot der Nutzung privater Microsoft Accounts
- Die Nutzung über einen vorkonfigurierten und abgesicherten Browser mit integrierten Schutzmaßnahmen zur weitest gehenden Anonymisierung/Gleichschaltung der Metadaten.
- Die Zwischenschaltung entsprechend vorkonfigurierter Terminal-Clients zur weitest gehenden Anonymisierung/Gleichschaltung der Metadaten.
- Die Verwendung schulseitig bereitgestellter und datensparsam konfigurierter Endgeräte.
- Die Umleitung des Internetverkehrs über eine eigene Infrastruktur mit geeigneten technischen Maßnahmen zur Verschleierung der heimischen IP-Adressen.
Bei der Nutzung von Softwarepaketen wie z.B. Microsoft 365 oder entsprechender Cloud-Lösungen, können personenbezogene oder personenbeziehbare Daten auf verschiedenen Ebenen entstehen.
Microsoft differenziert in diesem Zusammenhang zwischen „Kundendaten“ als alle Daten, einschließlich sämtlicher Text-, Ton-, Video- oder Bilddateien und Software, die Microsoft vom oder im Namen des Kunden durch die Nutzung bereitgestellt werden, „Diagnosedaten“ die Microsoft aus Software erhebt oder erhält, die vom Kunden im Zusammenhang mit dem Onlinedienst lokal installiert wurde (diese werden teilweise auch als Telemetriedaten bezeichnet) und „Dienstgenerierte Daten“, die Microsoft im Zuge des Betriebs eines Onlinediensts generiert oder ableitet.
In großem Umfang werden dabei Daten über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook, Teams und anderer Anwendungen und Dienste gesammelt. Dies geht weit über den Aufruf eines Programms oder die Dauer der Nutzung hinaus. Microsoft sammelt beispielsweise Informationen über Ereignisse in Word, z.B. wenn die Rücktaste mehrmals hintereinander betätigt wird, aber auch der Satz vor und nach einem Wort, das in der Online-Rechtschreibprüfung nachgeschlagen wird. Über die eingebaute Telemetrie-Komponente werden nicht nur Nutzungsdaten der primär genutzten Anwendungen erfasst, sondern auch die individuelle Nutzung verbundener Dienste wie den Übersetzungsdienst oder die Microsoft Suchmaschine Bing sowie Daten über das genutzte Endgerät, die Adresse des Internet-Zugangs (IP-Adresse), Standortdaten u.a. mehr.
Im Rahmen einer im Auftrag des niederländischen Justizministeriums 2018 durchgeführten Untersuchung hat Microsoft erklärt, dass 23.000 bis 25.000 Arten von Ereignissen an die Server von Microsoft gesendet werden und dass bis zu 30 Teams mit diesen Daten arbeiten (DPIA Office 365 ProPlus version 1905, Seite 70). Eine Übersicht zu den im Rahmen von Microsoft 365 erhobenen Diagnosedaten stellt Microsoft zwar zur Verfügung (Microsoft gibt für dieses Dokument eine Lesezeit von ca. 7,5 Stunden an)). Allerdings bleibt dennoch vielfach unklar, welche Daten konkret gesendet werden, da die Übertragung häufig verschlüsselt erfolgt und die Daten somit im Rahmen einer Prüfung nicht eingesehen werden können. Insgesamt fehlt es hinsichtlich der von Microsoft verarbeiteten Daten bislang an einer der Datenschutz-Grundverordnung genügenden Transparenz. Gerade auch die Verwendung von Daten aus dem schulischen Kontext bleibt unklar. Daher können Missbräuche nicht ausgeschlossen werden.
Bei den Diagnose- oder dienstgenerierten Daten handelt es sich in den meisten Fällen um technische Informationen, die für sich genommen keinen direkten Personenbezug haben. Allerdings können diese einer eindeutigen, zur Nutzerin bzw. dem Nutzer gehörenden UserID zugeordnet werden bzw. stellen eindeutige Identifikatoren dar. Untersuchungen haben gezeigt, dass aufgrund der Vielzahl der Informationen auch bei der Nutzung pseudonymer Benutzerkonten eine Re-Identifizierung möglich ist.
Die aktuelle Microsoft 365 Version für Android oder iOS setzt auf Cloud-Funktionalitäten auf. Um das Paket nutzen zu können ist ein Microsoft-Account erforderlich. Zwar lässt sich nach der Installation auswählen, ob Dokumente in der Cloud oder lokal gespeichert werden, hinsichtlich der Verarbeitung von Telemetrie oder Nutzungsdaten ist dies allerdings nicht von Bedeutung.
Solche Daten entstehen, wie aus Informationen von Microsoft herausgelesen werden kann. Hierfür wird vom Hersteller ein dedizierter Diagnosedaten-Viewer (DDV) angeboten. Der Umfang dieser Daten kann ggf. reduziert werden, abhängig davon, welche optionalen Dienste konfiguriert sind.
Microsoft bietet sogenannte "Steuerelemente an, mit den die Erfassung/Übertragung von Diagnosedaten konfiguriert werden kann (Android / iOS).
Bei einer dienstlichen oder geschäftlichen Nutzung und einer Übermittlung von Diagnosedaten in die USA sind damit die sich aus dem EuGH-Urteil 311/18 (Schrems II) ergebenden Anforderungen zu erfüllen. Wenn ein Arbeitgeber dies anordnen oder verlangen würde, benötigte er eine Rechtsgrundlage für die Übermittlung.
Durch pseudonyme Microsoft-Accounts kann ein direkter Personenbezug zwar reduziert werden, aufgrund der Menge der Daten (s.o.) und der individuellen gerätebezogenen Daten ist jedoch davon auszugehen, dass eine Re-Identifizierungsmöglichkeit besteht.
Sofern an der Schule keine lokale Installation von Word, Excel oder Outlook etc. sondern Office 365 zum Einsatz kommt, ist dies beispielsweise nur als „on premises“-Lösung oder mittels eines entsprechenden Treuhandmodells und unter Einhaltung technisch-organisatorischer Maßnahmen zulässig. Gleiches gilt, sofern der Schulträger der Schule diese Systeme zur Verfügung stellt. Die datenschutzrechtlichen Vorgaben zum Einsatz von Office 365 sind dieser Seite zu entnehmen:
https://www.datenschutz.rlp.de/de/themenfelder-themen/microsoft-office-365/
VI Soziale Medien an Schulen
Mustertexte finden sich auf der Seite "Soziale Netzwerke" rechts unter "Weitere Informationen".
Facebook, WhatsApp oder iMessage dürfen nicht für unterrichtliche Zwecke und in anderen schulischen Zusammenhängen verwendet werden.
Zur schulischen Kommunikation zwischen Lehrkräften und Schülerinnen und Schülern steht den Schulen u. a. eine landeseigene, kostenfreie, auf Moodle basierende Lernplattform zur Verfügung.
http://lernenonline.bildung-rp.de Diese gewährleistet die Datensicherheit durch die Verwendung eines landeseigenen Servers.
Sofern eine Lehrkraft es als notwendig erachtet, über Messenger mit Eltern, Schülerinnen und Schülern zu kommunizieren, kommen nur europäische Anbieter, die eine Ende-zu-Ende-Verschlüsselung anbieten, in Betracht (z. B. Pidgin/OTR, Hoccer, Chiffry, Wire oder Threema).
Hierbei ist stets das Distanzgebot zu beachten.
Weitere Informationen hierzu auch im Web-Seminar Schulischer Datenschutz - Teil 3: Soziale Netzwerke, Facebook, WhatsApp
VII Sonstiges
Eine Einwilligung gilt, bis sie widerrufen wird, ist also unbefristet gültig. Einwilligungen, die bei Schuleintritt gegeben werden, müssen nicht jährlich erneuert werden, allerdings sollte einmal im Jahr, z.B. bei Schuljahresbeginn, auf die Möglichkeit zum Widerruf hingewiesen werden. Ab dem Alter von 16 Jahren oder mit Eintritt in die Oberstufe sollte die Einwilligung erneut bei den betroffenen Schülern und Schülerinnen selbst eingeholt werden. Wird die Einwilligung widerrufen, müssen die Fotos von der Homepage entfernt werden.
Recht am eigenen Bild: https://www.datenschutz.rlp.de/de/themenfelder-themen/recht-am-eigenen-bild/
Weitere Informationen hierzu auch im Web-Seminar Schulischer Datenschutz - Teil 5: Bilder auf Schulhomepage und im Themenfeld "Recht am eigenen Bild"
- Erzieherische Einwirkung (z. B. zeitweise Wegnahme des Handys) oder, falls erforderlich, Schulordnungsmaßnahmen ergreifen.
- Zivilrechtliche Unterlassungs- und Beseitigungsansprüche gegenüber der/dem Schülerin/Schüler bzw. den Eltern und dem Betreiber der Internetseite geltend machen (Meldebutton des Portals nutzen).
- Auch die Datenschutzaufsichtsbehörden des Bundes und der Länder können je nach Situation helfen oder Ansprechpartner vermitteln.
- „Recht auf Vergessenwerden“ gegenüber Google geltend machen. Nach einem Urteil des Europäischen Gerichtshofs vom 13.05.2014 kann eine Privatperson von Google oder anderen Suchmaschinen die Löschung von Links in der Ergebnisliste einer Suche verlangen. Voraussetzung ist, dass die verlinkten Seiten die Privatsphäre des Betroffenen verletzen.
- Je nach Schwere des Verstoßes Möglichkeiten des Strafrechts prüfen (Strafmündigkeit ab 14 J.).
- § 201 Strafgesetzbuch: Verbietet die unbefugte Aufnahme des nicht öffentlich gesprochenen Wortes.
- §§ 22, 23, 33 Kunsturhebergesetz: Verbietet die Veröffentlichung von Bildnissen ohne Einwilligung („Recht am eigenen Bild“).
Weitere Informationen hierzu auch im Web-Seminar Schulischer Datenschutz - Teil 7: Unterrichtsmitschnitte
Störsender dürfen nicht verwendet werden. Handydetektoren, die nur anzeigen, ob ein Gerät eingeschaltet ist, sind in der Regel datenschutzrechtlich unproblematisch, da keine personenbezogenen Daten verarbeitet werden.