Vergangene Woche hat das Hamburger Institut für berufliche Bildung ein Merkblatt zur datenschutzgerechten Verwendung von IT-Tools im Unterricht veröffentlicht. Was Inhalt dieses Merkblatts ist und worauf Lehrkräfte und Schulen bei Verwendung der Technologie achten sollten, lesen Sie hier.
Elektronische Datenverarbeitungen im Unterricht
Kinder sind besonders schutzwürdig. Durch die zunehmende Nutzung von IT-Tools und Software im Unterricht werden die personenbezogenen Daten der Kinder vermehrt und umfangreich verarbeitet. Das Hamburger Institut für berufliche Bildung stellte fest, dass sich die berufliche und schulische Bildung im Wandel befindet und mit stetigen Veränderungen zu kämpfen hat. Grund zur Veröffentlichung des Merkblatts soll sein, eine rechtssichere Nutzung von IT-Tools und Software zu gewährleisten.
Ein Hauptantrieb der Veränderung ist die Digitalisierung. Sicherlich erinnern sich einige von uns an Overhead-Projektoren, die mittels Klarsichtfolien relevante Formeln im Matheunterricht an die Wand projizierten. In einigen Schulen wird es diese noch geben, jedoch werden immer mehr Smart Boards, Tablets, Computer und andere Mobile Geräte zur Vermittlung der Lerninhalte verwendet. Diese Entwicklung unterstützen Bund und Länder in den nächsten fünf Jahren im Rahmen des DigitalPakt Schule mit mindestens 5 Milliarden Euro. Die dabei angeschafften Hardwarekomponenten benötigen i.d.R. Software zur Verarbeitung der Informationen und Interaktionen.
Der Unterschied zwischen IT-Tools und Softwareanwendungen
Einige werden sich sicher die Frage stellen, weshalb der Unterschied dieser zwei Begrifflichkeiten relevant ist. Dies beruht auf den Unterschieden der datenschutzrechtlichen Verantwortlichkeit und der Verarbeitung.
IT-Tools
Unter IT-Tools werden webbasierte Systeme gefasst, die im Unterricht für spezifische Funktionen genutzt werden können, um beispielsweise Feedback einzuholen, Stichworte oder Fragen zu sammeln und um diese im Nachgang auswerten zu können (z.B. Surveymonkey, pollynow etc.). Hierfür werden externe Anbieter hinzugezogen, welche eigene Nutzungsbedingungen stellen, und die nur sehr beschränkt bereit sind, die Verarbeitung nach Wünschen der Schulen anzupassen. Zudem werden die personenbezogenen Daten auf fremde Server der jeweiligen IT-Tool-Anbieter gespeichert. Indem Lehrkräfte die IT-Tools eigenständig und in Eigenverantwortung aussuchen, haben Sie die Verantwortung das geeignete Tool für den bestehenden Sachverhalt auszusuchen und die Grundsätze nach Art. 5 DSGVO einzuhalten. Aus datenschutzrechtlicher Sicht bleibt jedoch die Schule als Arbeitgeber Verantwortlicher der Verarbeitung.
Software
Eine Software ist im Unterschied zu einem IT-Tool ein umfangreiches Anwendungsprogramm, welches für mehr als nur ein konkretes Anwendungsszenario nutzbar ist bzw. organisatorisch so eingeführt wird, dass es für zahlreiche verschiedene Nutzungsszenarien eingesetzt werden kann. Hierunter lassen sich beispielhaft Microsoft Windows, Office oder auch Outlook subsumieren. Durch den viel größeren Implementierungsaufwand und umfangreicheren Einsatz solch einer Software unterliegt die Verantwortlichkeit nicht den Lehrkräften, sondern der Schulbehörde oder der Schulleitung. Im Vergleich zu IT-Tools lassen sich ein Großteil der Softwareanwendungen durch individuelle Einstellungen anpassen, sodass die Verarbeitung personenbezogener Daten eingeschränkt werden kann.
Die vorherige Prüfung vor der Anwendung
Bevor Sie IT-Tools oder Software zur Vermittlung von Lerninhalten verwenden wollen, sollten Sie sich die Frage stellen, ob grundsätzlich personenbezogene Daten verarbeitet werden. Ist diese Frage mit einem klaren Nein zu beantworten, so finden die Anforderungen aus der DSGVO keine Anwendung. Sollten Sie die Frage jedoch nicht verneinen können, so empfiehlt es sich, folgende Checkliste zu beachten:
1. Ich habe geprüft, ob in der Anwendung personenbezogene Daten erfasst werden
Hierzu sollten die Verantwortlichen kontrollieren, inwiefern die Anwendung personenbezogene Daten der Schüler speichert. Werden Informationen wie Name oder E-Mail-Adressen benötigt oder erhalten die Schüler pseudonymisierte Zugänge? An dieser Stelle sollte stets eine mögliche Anonymisierung der Daten der Schüler/Betroffenen als technische und organisatorische Maßnahmen erwogen werden.
2. Ich habe abgesichert, dass die Anwendung über einen Browserzugriff oder Client mit hinreichender Funktionalität verfügbar ist
Relevant ist es, den Schülern Zugänge über private Endgeräte zu verwehren. Indem der Verantwortliche Geräte mit bereits individuellen und eingeschränkten Verarbeitungsumfang zur Verfügung stellt, können bspw. die Anforderungen zu den technisch und organisatorischen Maßnahmen aus Art. 32 DSGVO eingehalten werden.
3. Werden Browsereinstellungen/-historie von einzelnen Sitzungen der Schüler regelmäßig gelöscht?
Die Löschung der bestehenden Aktivitäten eines Schülers sollte bei Geräten mit freien Zugriff von mehreren Schülern gewährleistet werden. So sollen Rückschlüsse auf den vorherigen Schüler bzw. Benutzer der Anwendung verhindert werden.
4. Ich habe den Nutzungszweck der Verarbeitung klar definiert und kritisch hinterfragt, ob für diesen Zweck diese spezielle Verarbeitung erforderlich ist
Die Verarbeitung sollte für den definierten Zweck erforderlich sein. Erforderlich ist die Verarbeitung, wenn keine Alternative mit einem geringeren Umfang hinsichtlich der Verarbeitung personenbezogener Daten besteht.
5. Kann ich mich hinsichtlich der Verarbeitung der personenbezogenen Daten auf eine gesetzliche Rechtsgrundlage oder eine Einwilligung der Betroffenen berufen?
Um den Grundsatz der Rechtmäßigkeit nach Art. 5 DSGVO einzuhalten, benötigt es eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Möglicherweise ist die Verarbeitung für die Wahrung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 lit. e) DSGVO).
6. Ich habe die Datenschutzerklärung des Anbieters hinsichtlich kritischer Verarbeitungen geprüft
Wichtige Informationen, die in der Datenschutzerklärung geprüft werden sollten, sind Hinweise über die mögliche Speicherdauer, Speicherort, Übermittlung der Daten an Dritte, Serverstandorte außerhalb Europas und die Beschreibungen der technischen und organisatorischen Maßnahmen.
7. Wurden die Schüler hinsichtlich der möglichen Verarbeitungen Ihrer personenbezogenen Daten informiert?
Hierbei sind die Anforderungen aus Art. 13 DSGVO einzuhalten, sodass betroffene Schüler über den Umfang der Verarbeitung informiert werden.
Unterm Strich immer eine Einzelfallentscheidung
Mittels der oben genannten Checkliste gibt das Merkblatt des Hamburger Instituts den Schulen und Lehrkräften einen roten Faden zum datenschutzkonformen Einsatz von IT-Tools und Software an die Hand. Inwiefern ein solcher Leitfaden Hilfreich für die Lehrkräfte ist, ist eine andere Frage. Lehrer dürften i.d.R. neben ihren eigentlichen Aufgaben wenig Zeit haben, sich mit der Prüfung unzähliger Tools und ihrer ellenlangen Datenschutzerklärungen aufzuhalten. Zumal hierbei oft komplexe technische Verarbeitungsvorgänge zum Einsatz kommen. Einen beschleicht der Verdacht, dass Verwaltungsorganisationsaufgaben auf die Lehrer abgewälzt werden. Es wäre von Vorteil, wenn eine zentrale Stelle weitverbreitete Tools für häufig im Unterricht anfallende Aufgaben und Probleme prüft und zu diesen eine Übersicht zur Verfügung stellen würden. Dadurch könnten Lehrer einen leichten und realistischeren Überblick der Tool-Landschaft erhalten. Zudem müssten dann nicht standardmäßig von jedem Lehrer die Check-Liste abgearbeitet werden, sondern nur komplementär im Ausnahmefällen, wenn diese sich eine out-of-the-box-Lösung wünschen.
Wichtig ist bei der Anwendung der Checkliste, dass neben der Beachtung der rechtlichen Anforderungen auch an die technisch organisatorischen Maßnahmen zur Datensicherheit nach Art. 32 DSGVO gedacht wird. Hierzu haben wir in der Vergangenheit bereits detaillierter berichtet.