Aufgrund der Corona-Pandemie wurde die Digitalisierung vielerorts vorangetrieben, so auch in den Schulen. Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) hat nun Informationen zur datenschutzkonformen Nutzung digitaler Systeme in nordrhein-westfälischen Schulen veröffentlicht. Hintergrund dieser veröffentlichten Hilfestellung für Schulen ist die neuste Gesetzesänderung des Schulgesetzes NRW (SchulG NRW).

Änderung des SchulG NRW

Am 9. März 2022 sind die folgenden Gesetzesänderungen der § 120 Abs. 5 und § 121 Abs. 1 SchulG NRW in Kraft getreten, wodurch digitale Systeme im Schulunterricht genutzt werden können [Hervorhebungen im folgenden Text durch den Verfasser]:

  • § 120 Abs. 5 SchulG NRW (Daten der Schüler*innen und Eltern) lautet wie folgt: „Die Schule darf für den Einsatz digitaler Lehr- und Lernmittel personenbezogene Daten der Schülerinnen und Schüler und der Eltern verarbeiten, soweit dies für die Aufgabenerfüllung der Schule erforderlich ist. Dies gilt entsprechend für den Einsatz von Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen (§ 8 Absatz 2); in diesem Rahmen sind die Schülerinnen und Schüler zur Nutzung verpflichtet.“
  • § 121 Abs. 1 SchulG regelt für Daten der Lehrkräfte das gleiche entsprechend, „soweit dies zur Aufgabenerfüllung bei der Planung und Ermittlung des Unterrichtsbedarfs und der Durchführung des Unterrichts […] erforderlich ist. Dies gilt entsprechend für den Einsatz von Lehr- und Lernsystemen und Arbeits- und Kommunikationsplattformen einschließlich Videokonferenzsystemen (§ 8 Absatz 2); in diesem Rahmen sind die Lehrerinnen und Lehrer zur Nutzung verpflichtet.“

Wer ist datenschutzrechtlich verantwortlich?

Die LDI NRW stellt die datenschutzrechtliche Verantwortlichkeit der einzelnen Stellen für digitale Systeme anschaulich dar.

Da die digitalen Systeme von den Schulen für die Erfüllung des Bildungs- und Erziehungsauftrags (innere Schulangelegenheiten, siehe auch § 5 Abs. 1 Satz 2 Datenschutzgesetz Nordrhein-Westfalen (DSG NRW)) eingesetzt würden, sei jede einzelne Schule für die dabei erfolgende Datenverarbeitung datenschutzrechtlich verantwortlich; die jeweilige Schulleitung dabei für die Gewährleistung angemessener technischer und organisatorischen Maßnahmen, sodass u. a. die Löschungsbestimmungen eingehalten werden könnten (vgl. § 1 Abs. 3 Satz 1 der Verordnung über die zur Verarbeitung zugelassenen Daten von Schülerinnen, Schülern und Eltern – VO-DV I, § 1 Abs. 5 der Verordnung über die zur Verarbeitung zugelassenen Daten der Lehrerinnen und Lehrer – VO-DV II). Somit trage die Schulleitung wesentlich dazu bei, dass die Schule datenschutzkonform handele.

Für äußere Schulangelegenheiten und die dabei erfolgende Datenverarbeitungen sei der Schulträger verantwortlich und gemäß § 79 Abs. 1 SchulG NRW „[…] verpflichtet, die für einen ordnungsgemäßen Unterricht erforderlichen Schulanlagen, Gebäude, Einrichtungen und Lehrmittel bereitzustellen und zu unterhalten sowie das für die Schulverwaltung notwendige Personal und eine am allgemeinen Stand der Technik und Informationstechnologie orientierte Sachausstattung zur Verfügung zu stellen.“ Wenn die Schulträger mit den Anbietern der Systeme Rahmenverträge abschlössen, bliebe die Schule jedoch datenschutzrechtlich verantwortlich. Die LDI NRW betont auch, dass die Schulen bzw. deren Lehrkräfte möglichst nur digitale Geräte einsetzen, damit diese von den Schulen umfassend administriert werden könnten und keine Vermischung mit privaten Daten erfolgte.

Die Schulen müssen alle eingesetzten Systeme datenschutzrechtlich prüfen. Ein hilfreiches Angebot böte dabei das Schulministerium NRW (MSB NRW) an, das den Schulen eigene Systeme zur Verfügung stellen könne (digitale Lernplattform LOGINEO NRW LMS und LOGINEO NRW Messenger mit integriertem Videokonferenzsystem).

Rechtsgrundlagen für Datenverarbeitungen durch Schulen in NRW

Die oben erwähnten § 120 Abs. 5 und § 121 Abs. 1 SchulG NRW stellten die wesentlichen Rechtsgrundlagen für Datenverarbeitungen durch Schulen dar, wenn sie digitale Systeme einsetzen (siehe Art. 6 Abs. 1 S. 1 lit. c oder e, Art. 6 Abs. 3 DSGVO i.V.m. § 120 Abs. 5 und § 121 Abs. 1 SchulG NRW). Ergänzt würden die Vorschriften ggf. durch Vorschriften der VO-DV I, VO-DV II, dem DSG NRW und der DSGVO. Zulässig seien die digitalen Systeme aber nur dann, wenn sie so konfigurierbar seien und konfiguriert würden, dass sie nur schulischen Zwecken dienten und die allgemeinen DSGVO-Anforderungen eingehalten würden. Diesbezüglich kann festgehalten werden, dass sich ein datenschutzkonformer Einsatz jedoch nur einzelfallbezogen hinsichtlich des einzelnen Systems bewerten lässt.

Eine Einwilligung scheide mangels Freiwilligkeit grundsätzlich aus.

Verbotene Datenverarbeitungen

Unzulässig sei es laut LDI NRW, wenn Lehrkräfte Zugriff auf die Protokolldaten der Schüler*innen erhalten, wann und wie lange sie die Systeme genutzt haben. Bei dienstlichen Geräten sei eine Einsichtnahme in die Bildschirme der Schüler*innen und ggf. die Anfertigung von Screenshots zu Dokumentationszwecken hingegen zulässig, um bspw. eine unzulässige Nutzung nachzuweisen.

Videokonferenztools und Messengerdienste

Die Anbieter von Videokonferenztools und Messengerdiensten seien verantwortlich für Metadaten (z. B. IP-Adressen, übertragene Datenmenge, Browsertyp, Betriebssystem und Informationen über Zeit und Kommunikationsteilnehmer) sowie den Transport der Inhaltsdaten (Fernmeldegeheimnis).

Die Schulen seien jedoch verantwortlich für die verwendeten E-Mail-Adressen, die Inhaltsdaten (Konferenz-/Messengerinhalte), wie die Daten weiterverarbeitet werden, ein Löschkonzept, die Festlegung auf Nutzungsbedingungen und das Hinwirken auf deren Einhaltung (z. B. Einschreiten der Lehrkraft bei Feststellen unzulässiger Nutzung), Datenschutzinformationen, datenschutzfreundliche Voreinstellungen (z. B. Zutritt mit Passwort, deaktivierte/s Kamera/Mikrofon, keine Aufmerksamkeitsanzeige), Transport- und Inhaltsverschlüsselung.

Bild- und Tonaufzeichnungen wären gem. § 120 Abs. 6 SchulG NRW nur mit Einwilligung aller betroffenen Personen zulässig, die Freiwilligkeit könne dabei aber grundsätzlich angezweifelt werden. Gleiches würde auch für einen digitalen Elternsprechtag gelten.

Die LDI NRW geht zudem auf Telepräsenzroboter für langzeitabwesende Schüler*innen ein.

Appell der LDI NRW

Die LDI NRW ruft die verantwortlichen Schulen dazu auf, die digitalen und auch analogen Systeme nun datenschutzkonform zu gestalten, was zuvor pandemiebedingt ggf. nicht möglich gewesen sei. Diesbezüglich befürwortet die LDI NRW auch das vom Bundesministerium für Bildung und Forschung initiierte Projekt „Data Protection Certification for Educational Information Systems“ (DIRECTIONS) sowie das Projekt der Bundesländer „eduCheck digital“, ein gemeinsames Prüfverfahren für digitale Bildungsmedien.

Fazit

Die vermehrte Nutzung digitaler Systeme in Schulen ist auch wegen der anhaltenden Corona-Pandemie zu begrüßen, birgt jedoch auch die Gefahr eines datenschutzwidrigen Einsatzes. Daher ist es wichtig, die Systeme vor dem Einsatz datenschutzrechtlich zu prüfen, zu konfigurieren und die Nutzer*innen über die Datenverarbeitung und Einstellungsmöglichkeiten zu informieren. Der Einsatz digitaler Systeme ist daher auch nach Gesetzesänderung des SchulG NRW in NRW nicht bedingungslos möglich, sondern an datenschutzrechtliche Anforderungen geknüpft.