Der Einsatz von IT-Tools und Software ist mittlerweile Alltag in deutschen Schulen. Dabei bleibt in der Regel wenig Zeit die Verwendung neuer Tools datenschutzrechtlich zu prüfen. Daher geben wir Verantwortlichen eine Checkliste an die Hand, was bei der Verwendung von digitalen Dienstleistern oder dem Einsatz von Software zu bedenken ist und worauf Lehrkräfte und Schulen achten sollten.
Der Inhalt im Überblick
Elektronische Datenverarbeitungen im Unterricht
Kinder sind besonders schutzwürdig. Durch die zunehmende Nutzung von IT-Tools und Software im Unterricht werden die personenbezogenen Daten der Kinder vermehrt und umfangreich verarbeitet. Eine rechtssichere Nutzung der digitalen Dienstleister ist dabei in der Regel nicht sichergestellt. Zum einen werden die Dienstleister datenschutzrechtlich nicht ausreichend geprüft und zum anderen fehlt den Lehrkräften zur datenschutzsicheren Nutzung häufig die notwendige Expertise.
Die Digitalisierung schreitet dennoch auch in Schulen unweigerlich voran. Klarsichtfolien auf Overhead-Projektoren und das einfache Tafelbild werden immer öfter durch Smart Boards, Tablets, Computer oder andere mobile Geräte zur Vermittlung von Lerninhalten ersetzt. Zur Förderung des Aufbaus einer digitalen Infrastruktur in Schulen sowie fachlicher Weiterbildungsmöglichkeiten für Lehrkräfte haben Bund und Länder deshalb bereits seit 2019 im Rahmen des DigitalPakts Schule ein Fördergeld von insgesamt 6,5 Milliarden Euro zur Verfügung gestellt.
Der Unterschied zwischen IT-Tools und Softwareanwendungen
Die Unterscheidung zwischen IT-Tools und Softwareanwendungen ist datenschutzrechtlich relevant. Dies liegt nicht nur an den unterschiedlichen Möglichkeiten der Konfiguration von Datenschutzeinstellungen, sondern auch an der Bestimmung der Verantwortlichkeit im Sinne der DSGVO.
- IT-Tools
IT-Tools sind webbasierte Systeme, die im Unterricht für spezifische Funktionen genutzt werden können. So kann beispielweise Feedback eingeholt oder Fragen und Stichworte gesammelt werden, um diese im Nachgang auswerten zu können (z.B. Surveymonkey, Pollynow etc.). IT-Tools werden von externen Anbietern bereitgestellt, welche eigene Nutzungsbedingungen vorgeben. Eine Verarbeitung nach individuellen Wünschen der Schulen ist in der Regel nicht möglich. Zudem werden die personenbezogenen Daten auf fremden Servern der jeweiligen IT-Tool-Anbieter gespeichert. Indem Lehrkräfte die IT-Tools eigenständig und in Eigenverantwortung aussuchen, haben Sie die Verantwortung das geeignete Tool für den bestehenden Sachverhalt auszusuchen und die Grundsätze nach Art. 5 DSGVO einzuhalten. Aus datenschutzrechtlicher Sicht bleibt jedoch die Schule als Arbeitgeber Verantwortlicher der Verarbeitung. - Software
Eine Software ist im Unterschied zu einem IT-Tool ein umfangreiches Anwendungsprogramm. Diese ist in der Regel für mehr als nur ein konkretes Anwendungsszenario nutzbar, bzw. wird organisatorisch so eingeführt, dass es für zahlreiche verschiedene Nutzungsszenarien eingesetzt werden kann. Als Software gilt beispielsweise Microsoft Windows, Office oder auch Outlook. Durch den viel größeren Implementierungsaufwand und umfangreicheren Einsatz einer solchen Software unterliegt die Verantwortlichkeit nicht den Lehrkräften, sondern der Schulbehörde oder der Schulleitung. Im Vergleich zu IT-Tools lassen sich ein Großteil der Softwareanwendungen durch individuelle Einstellungen anpassen, sodass die Verarbeitung personenbezogener Daten eingeschränkt werden kann.
Checkliste: Datenschutzprüfung von IT-Tools oder Software
Vor der Verwendung von IT-Tools oder Software zur Vermittlung von Lerninhalten ist zunächst zu klären, ob grundsätzlich personenbezogene Daten verarbeitet werden. Lässt sich diese Frage verneinen, findet die DSGVO keine Anwendung. Für den Fall, dass eine Verarbeitung personenbezogener Daten erfolgt, empfiehlt es sich, folgende Checkliste zu beachten:
- Werden in der Anwendung personenbezogene Daten erfasst?
Hierzu sollten die Verantwortlichen kontrollieren, inwiefern die Anwendung personenbezogene Daten der Schüler speichert. Werden Informationen wie Name oder E-Mail-Adressen zur Anmeldung benötigt oder ist ein Zugang über pseudonymisierte Anmeldedaten möglich? An dieser Stelle ist stets eine mögliche Anonymisierung der Daten der Schüler/Betroffenen als technische und organisatorische Maßnahmen zu erwägen. - Ist die Anwendung über einen Browserzugriff oder Client mit hinreichender Funktionalität verfügbar?
Der Zugang zu IT-Tools und Software sollte stets über einheitlich konfigurierte Geräte der Schulen erfolgen. Ein Zugang bzw. die Nutzung privater Endgeräte für die Verwendung schulischer Dienstleister ist demnach zu untersagen. Grund hierfür ist, dass die Bereitstellung schuleigener Endgeräte eine einheitliche Konfiguration datenschutzrelevanter Voreinstellungen ermöglicht, insbesondere können Geräte mit bereits individuellen und eingeschränktem Verarbeitungsumfang zur Verfügung gestellt werden. Dies entspricht auch den Anforderungen an die technischen und organisatorischen Maßnahmen im Sinne des Art. 32 DSGVO. - Werden Browsereinstellungen/-historie von einzelnen Sitzungen der Schüler regelmäßig gelöscht?
Die Löschung bestehender Aktivitäten eines Schülers sollte bei Geräten mit freiem Zugriff von mehreren Schülern gewährleistet werden. Der Browserverlauf ist in regelmäßigen Abständen zu löschen, um Rückschlüsse auf den vorherigen Schüler bzw. Benutzer der Anwendung verhindern zu können. - Ist der Nutzungszweck der Verarbeitung klar definiert und ist die Verarbeitung für diesen Zweck erforderlich?
Die Verarbeitung personenbezogener Daten muss stets für den zum Zeitpunkt der Erhebung der Daten definierten Zweck erforderlich sein. Erforderlich ist die Verarbeitung, wenn keine Alternative mit einem geringeren Umfang hinsichtlich der Verarbeitung personenbezogener Daten besteht. Ist die Erforderlichkeit zu verneinen, ist die Datenverarbeitung rechtswidrig. - Kann ich mich hinsichtlich der Verarbeitung der personenbezogenen Daten auf eine gesetzliche Rechtsgrundlage oder eine Einwilligung der Betroffenen berufen?
Der Grundsatz der Rechtmäßigkeit nach Art. 5 DSGVO verlangt das Vorliegen einer Rechtsgrundlage im Sinne des Art. 6 Abs. 1 DSGVO. Möglicherweise ist die Verarbeitung für die Wahrung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 lit. e) DSGVO). Die datenschutzrechtliche Einwilligung ist an bestimmte Voraussetzungen geknüpft, deren Vorliegen im Einzelfall zu prüfen sind. Insbesondere bedarf es der Freiwilligkeit der Einwilligung, deren Bejahung im Fall eines Über- und Unterordnungsverhältnisses zwischen der betroffenen Person und dem Verantwortlichen unter Umständen zu verneinen ist. - Wurde die Datenschutzerklärung des Anbieters hinsichtlich kritischer Verarbeitungen geprüft?
Wichtige Informationen, die in der Datenschutzerklärung geprüft werden sollten, sind Hinweise über die mögliche Speicherdauer, Speicherort, Übermittlung der Daten an Dritte, Serverstandorte außerhalb Europas und die Beschreibungen der technischen und organisatorischen Maßnahmen.
Insbesondere wenn keine Angaben zur Datensicherheit gemacht werden, oder die Datenschutzbestimmungen undurchsichtig und kompliziert erscheinen, sollte von einer Nutzung des Dienstleisters abgesehen werden. - Wurden die Schüler hinsichtlich der möglichen Verarbeitungen Ihrer personenbezogenen Daten informiert?
Gemäß Art. 13 DSGVO sind betroffene Personen, d.h. in diesem Fall die Schüler, bereits bei Erhebung der personenbezogenen Daten über den Umfang der Datenverarbeitung zu informieren.
Sog. freie Software als datenschutzfreundliche Lösung?
Die Verwendung einer freien Software ist datenschutzrechtlich zu empfehlen. Der frei zugängliche Quellcode kann ausgeführt, kopiert, verbreitet, geändert und untersucht werden. Insbesondere wird dieser von der freiwillig programmierenden Community stets verbessert, da Fehler oder kritische Dinge schneller entdeckt und behoben werden können. Anders als am Markt erhältliche Komplettpakete, kann quelloffene Software zudem auf individuelle Bedürfnisse angepasst und administriert werden. Die meisten Tools kommerzieller Dienstleister genügen datenschutzrechtlichen Anforderungen nicht. Wer freie Software auf schuleigenen Servern selbst hostet, befindet sich bereits auf dem Weg zu einer datenschutzfreundlichen Lösung. Eine Auswahl an Vorschlägen für geeignete Software oder Tools finden Sie z.B. bei Digitalcourage (S.17) oder hier.
Die Nutzung von IT-Tools und Software als Einzelfallentscheidung
Zwar gibt die Checkliste einen ersten roten Faden zur Prüfung des datenschutzkonformen Einsatzes von IT-Tools und Software. Die tatsächliche Umsetzung entsprechender Prüfung obliegt allerdings den Schulen und Lehrkräften selbst. Inwieweit diesen neben ihrer eigentlichen Tätigkeit erforderliche Ressourcen eingeräumt werden (können), steht auf einem anderen Blatt. Die datenschutzrechtliche Prüfung von IT-Tools und Software birgt oft komplexe technische Verarbeitungsvorgänge, die ohne entsprechende Fachkenntnisse nicht abschließend beurteilt werden können. Ein Löschungsvorschlag wäre die Prüfung weitverbreiteter Tools durch eine zentrale Stelle. Diese könnte Prüfungsübersichten bereitstellen und so den Lehrkräften einen leichten und realistischen Überblick der datenschutzfreundlichen Tool-Landschaft ermöglichen. Zudem müssten dann nicht standardmäßig von jedem Lehrer die Check-Liste abgearbeitet werden, sondern nur komplementär im Ausnahmefällen, wenn diese sich eine out-of-the-box-Lösung wünschen.
Abschließend sei noch darauf hingewiesen, dass im Rahmen der Nutzung der Checkliste neben der Beachtung der rechtlichen Anforderungen auch die technischen und organisatorischen Maßnahmen zur Datensicherheit nach Art. 32 DSGVO berücksichtigt werden. Hierzu haben wir in der Vergangenheit bereits detaillierter berichtet.
Wie ist die Verantwortlichkeit zwischen den Schulen und den Schulträgern in Bezug auf die Softwarebeschaffung zu beurteilen und die daraus resultierende datenschutzrechtliche Bewertung?
Die datenschutzrechtliche Verantwortlichkeit der Schulen und Schulträger lässt sich abstrakt nicht bestimmen. Dies liegt vor allem daran, dass es kein einheitliches bundesweites Schulrecht gibt, sondern das Schulrecht Ländersache ist. Bei der Bestimmung der datenschutzrechtlichen Verantwortlichkeit handelt es sich demnach immer um eine Einzelfallentscheidung.