© Kölner Stadt-Anzeiger
Datenschutz an Schulen: Teil 3

Datenschutzkonformer Medieneinsatz im Unterricht

Bei der Verarbeitung personenbezogener Schülerdaten durch elektronische Medien im Unterricht ist die DSGVO anzuwenden. Dieser Beitrag gibt Ihnen eine Checkliste und detaillierte Erläuterungen an die Hand.

Datenschutzkonformer Medieneinsatz an Schulen hat viele Facetten. Angefangen hat alles mit dem guten, alten Computerraum, bei dem sich der Informatik-Lehrer heimlich auf meinen Bildschirm geschaltet hat, während ich Turbo Pascal programmieren musste.

Formen des Medieneinsatzes sind heutzutage eine moderne Mischung aus bereitgestellten Endgeräten, eingebunden in ein Schul-IT-Netzwerk. Ein guites Beispiel hierfür ist die digitale Transformation des Albert-Schweitzer-Gymnasiums, die auf persönliche Initiative der Lehrerin Anika Buche entstanden ist.

Bei der Umsetzung dieser Lösung auf Basis einer Cloud-Variante von MNSpro mussten selbstverständlich auch datenschutzrechtliche Aspekte betrachtet werden. In Zusammenarbeit mit der Bezirksregierung Köln, den Datenschutzbeauftragten der Schulen des Rhein-Sieg-Kreises und AixConcept ist es Anika Buche gelungen,

  • die Rechtsgrundlage des Medieneinsatzes zu klären,
  • den Informationspflichten nach Art. 12 ff. DSGVO nachzukommen,
  • eine Nutzervereinbarung mit den Schülerinnen und Schülern sowie deren Eltern abzuschließen,
  • korrekte Vereinbarungen zur Auftragsverarbeitung mit den relevanten Dienstleistern abzuschließen und
  • zu prüfen, ob eine Datenschutz-Folgenabschätzung durchgeführt werden muss.

Alle genannten Aspekte sind wichtige Voraussetzungen für einen datenschutzkonformen Einsatz von Medien im Unterricht.

Dieser Blogbeitrag bietet dazu einen ersten, allgemeinen Einstieg. Es stellt die wesentlichen, notwendigen Schritte dar, um einen datenschutzkonformen Medieneinsatz im Unterricht zu ermöglichen.

Checkliste für einen datenschutzkonformen Medieneinsatz im Unterricht

  1. Stellen Sie sicher, dass der Einsatz von elektronischen Medien im Unterricht durch eine Rechtsgrundlage abgedeckt ist. Konsultieren Sie dazu Ihren schulischen Datenschutzbeauftragten.
  2. Der Verantwortliche muss gegenüber den betroffenen Personen seiner Informationspflicht nach Art. 12 ff. DSGVO nachkommen.
  3. Eine „Vereinbarung zur Auftragsverarbeitung“ muss zwischen dem Verantwortlichen und dem Supportdienstleister geschlossen werden.
  4. Die Aspekte zu „Datenschutz durch Technikgestaltung“ und „Datenschutzfreundliche Voreinstellungen“ wurden definiert und umgesetzt.
  5. Ein Verzeichnis von Verarbeitungstätigkeiten und weitere Dokumentation unterstützen den Verantwortlichen bei der Sicherstellung der Rechenschaftspflicht.
  6. Die Durchführung und Dokumentation einer Datenschutz-Folgenabschätzung stellen sicher, dass die getroffenen (technisch-organisatorischen) Maßnahmen dem Schutzbedarf der verarbeiteten Informationen gerecht werden.

Die einzelnen Punkte werden im Folgenden erläutert:

1. Rechtsgrundlage prüfen

Bei der Verarbeitung personenbezogener Schülerdaten durch elektronische Medien im Unterricht ist die DSGVO anzuwenden. Darüber hinaus sind die jeweiligen Schulgesetze, Schuldatenschutzgesetze und dazu erlassene Rechtsverordnungen einschlägig. Ergänzend können – je nach Bundesland und Schultyp – die Landesdatenschutzgesetze sowie das Bundesdatenschutzgesetz zur Anwendung kommen.

Sie benötigen zur Verarbeitung personenbezogener Daten eine Rechtsgrundlage nach Art. 6 DSGVO. Die Verwendung von elektronischen Medien im Unterricht kann rechtens sein, wenn die „Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem für die Verarbeitung Verantwortlichen übertragen wurde“. In Frage käme hier die Anwendung des landesspezifischen Lernmittelerlasses durch die Schulkonferenz.

Leider haben viele Bundesländer auch im Jahr 2 nach der Digitalen Agenda weiterhin nur Schulbücher als Lernmittel in ihren Erlässen berücksichtigt. Hier muss dringend nachgebessert werden.

Mobile Endgeräte und IT-Schul-Netzwerke müssen in der Zwischenzeit durch eine Einwilligung „legalisiert“ werden. Dabei sind die Anforderungen an eine rechtmäßige Einwilligung nach Art. 7 DSGVO (u. a. Einwilligung durch Erziehungsberechtigte bei Kindern unter 16 Jahren und Freiwilligkeit der Einwilligung) zu beachten.

2. Information der Betroffenen

Schülerinnen und Schüler, Eltern (bei Schülerinnen und Schülern unter 16 Jahren) und Lehrkräfte (betroffene Personen) sind vor dem Einsatz von elektronischen Medien im Unterricht ausführlich über Art, Umfang und Zweck der Erhebung, Verarbeitung und Nutzung ihrer Daten zu unterrichten. Hierbei sind die Anforderungen an die Information der betroffenen Personen nach Art. 12 ff. DSGVO zu beachten.

Nicht weniger als 14 verschiedene Elemente müssen bei den Informationspflichten mitgeteilt werden. Ein Bespiel: Die Rechte der Betroffenen. Achten Sie darauf, dass Sie alle Rechte nennen.

Das Recht auf Beschwerde bei einer Aufsichtsbehörde wird gerne mal „vergessen“. Übrigens heißt es „eine“ Aufsichtsbehörde, nicht die „zuständige“ Aufsichtsbehörde. Gesetze müssen eben wortwörtlich übernommen und angewendet werden – auch wenn man dem Betroffenen einen Gefallen tun will und die zuständige Behörde nennt. Dies kann dann zum Nachteil der Schule ausgelegt werden.

3. Verantwortlicher und Auftragsverarbeiter

Verantwortlicher ist nach Art. 4 Nr. 7 DS-GVO die Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten entscheidet. Grundsätzlich ist dies die Schulleitung oder der Schulträger.

Bei der Einbindung von externen Dienstleistern für die Auftragsverarbeitung mit elektronischen Medien im Unterricht sind die gesetzlichen Voraussetzungen der Auftragsverarbeitung nach Art. 28 DS-GVO (Verarbeitung von Daten im Auftrag) zu beachten. (Professionelle) Supportdienstleister als Auftragsverarbeiter unterstützen Sie, zum Beispiel durch Bereitstellung einer rechtssicheren Vereinbarung zur Verarbeitung im Auftrag.

4. Datenschutz durch Technikgestaltung datenschutzfreundliche Voreinstellungen

Datensparsamkeit

Der Verantwortliche kann durch Einstellungen die Grundsätze der Datensparsamkeit und Datenvermeidung sicherstellen: Zum Beispiel nicht zu viele Stammdaten, Freitextfelder, Kommentarfunktionen.

Optionale, personenbezogene Daten

Felder können als optional bestimmt werden, die der Benutzer auf freiwilliger Basis selbst erfassen kann. Die Angabe, dass es sich um freiwillige Felder (und nicht um Pflichtfelder) handelt, ist transparent zu machen, zum Beispiel durch Sternchen und Fußnote oder direkten Hinweis.

Optionale Felder können je nach Betroffenenkreis auch deaktiviert werden. Nur soweit es für die Aufgabenerfüllung erforderlich ist, sollten zusätzliche, selbst konfigurierte Felder eingebunden werden. Beispielsweise können Felder sinnvoll sein, die als Filterkriterium genutzt werden können.

Technische Nutzungsdaten

Bei der Nutzung elektronischer Medien im Unterricht werden Daten über die Benutzer und ihre Aktivitäten erfasst und gespeichert. Diese Nutzungsdaten dürfen ausschließlich für die Überwachung der Funktionsfähigkeit und Sicherheit elektronischer Medien verwendet werden. Ein Abfluss dieser Daten, zum Beispiel an den Hersteller der Medien, ist zu verhindern.

Nutzungsdaten sind beispielsweise
•    Anmeldestatus: Erstlogin im System, letzter Login, Zeitpunkt der Abmeldung
•    Protokollierung von Eingaben oder Änderungen
•    IP-Adressen, genutzte Dienste

Pseudonymisierte Nutzerverwaltung

Bei der Benutzerverwaltung sollte auch eine pseudonymisierte Anmeldung eingestellt werden: Der Anmeldename kann durch eine abgeänderte Nomenklatur als Pseudonym hinterlegt werden und ist dann nicht mit dem Klarnamen identisch (Art. 25 Abs. 1 DSGVO, Pseudonymisierung).

Statistische Daten

Auswertungen statistischer Daten beispielsweise über Art und Umfang der Nutzung sollten nur anonymisiert möglich sein. Auf den Einsatz externer Tracking-Mechanismen und gleichzeitiger Verarbeitung personenbezogener Daten sollte verzichtet werden.

5. Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO

Es genügt nicht, dass der Verantwortliche der Datenverarbeitung alle datenschutzrechtlichen Anforderungen einhält. Nach Art. 5 Abs. 2 DSGVO muss der Verantwortliche dies auch jederzeit nachweisen können.

Aus diesem Grund ist es unter anderem erforderlich, dass der Verantwortliche seine Festlegungen zur zulässigen Datennutzung, zum Rollen- und Berechtigungskonzept und zu den weiteren Datenschutzgrundsätzen dokumentiert. Grundlage dieser Dokumentation ist ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO. Ein Verzeichnis von Verarbeitungstätigkeiten und weitere Dokumentation unterstützen den Verantwortlichen bei der Sicherstellung der Rechenschaftspflicht.

6. Bewertung des Schutzbedarfs und Definition von Maßnahmen

Da durch den Verantwortlichen Daten verarbeitet werden, ist es notwendig, den Schutzbedarf der Daten festzulegen. Diese Festlegung ist dann Grundlage dafür, die erforderlichen Schutzmaßnahmen zu ergreifen, um die Rechte der Betroffenen zu wahren. Rechtliche Sicherheit bietet den Verantwortlichen die Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO [1]. Der Verantwortliche hat hierbei den Rat seines Datenschutzbeauftragten einzuholen, bleibt aber für die Durchführung allein verantwortlich. Falls Sie als Verantwortlicher oder Ihr Datenschutz-Beauftragter Unterstützung bei der Durchführung und Dokumentation einer Datenschutz-Folgenabschätzung benötigen, sprechen Sie mich gerne an.

[1] Maßgebliche Kriterien zur Pflicht, eine Datenschutz-Folgenabschätzung durchzuführen, sind in der Leitlinie WP 248 der Art. 29 Gruppe beschrieben. Die bei Betrieb von elektronischen Medien und Portalen relevanten Kriterien sind „Bewerten und Einordnen“, „Datenverarbeitung im großen Umfang“ und „Daten von schutzwürdigen Betroffenen“.

© Ingo Goblirsch

Stellen Sie sicher, dass der Einsatz von elektronischen Medien im Unterricht durch eine Rechtsgrundlage abgedeckt ist.

Ingo Goblirsch, Externer Datenschutzbeauftragter