Dienstag, 17. April 2012

Personenbezogene Datenverarbeitung der Schulen

Der vorliegende Text basiert auf einem inhaltlich weitgehend identischen Text, den das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein am 09.02.2011 dem Staatssekretär im Ministerium für Bildung und Kultur des Landes Schleswig-Holstein zukommen ließ mit der Bitte, die Anregungen aufzugreifen und entsprechend eine positive Rückmeldung zu geben. Eine direkte Rückmeldung erfolgte nicht. Soweit es wichtige inhaltlich neue Entwicklungen gegeben hat, ist dies aus der Darstellung zu erkennen.

Einleitung

Für die personenbezogene Datenverarbeitung sind mit § 30 SchulG und den ergänzenden Vorschriften der Datenschutzverordnung-Schule (DSVO-Schule) eindeutige und praktikable Regelungen vorhanden. Das ULD hat mit der Herausgabe des Praxishandbuches Schuldatenschutz

www.datenschutzzentrum.de//uploads/schule/praxishandbuch-schuldatenschutz.pdf

und einer Vielzahl von FAQ auf der Homepage

www.datenschutzzentrum.de/bildung/schulen/faq/

 die Rechtsvorschriften erläutert. Ferner bietet das IQSH in Kooperation mit dem ULD seit Jahren Fortbildungsveranstaltungen für Schulleiterinnen und Schulleiter. In Kooperation mit dem Kompetenzzentrum Verwaltungs-Management („Komma“) schult das ULD die Schulsekretärinnen und Schulsekretäre.

Die Schulleitungen können auf der Basis dieser Informationen die Aufgaben der Schulverwaltung im Zusammenhang mit personenbezogener Datenverarbeitung regelgerecht wahrnehmen.

Allerdings weicht die Wirklichkeit in den Schulverwaltungen nach Kenntnis des ULD von dieser Annahme immer wieder ab. Die Gründe hierfür sind vielfältig. Viele Schulleitungen haben oft nur wenige Kenntnisse über die von Ihnen zu beachtenden Regelungen oder dazu, wie diese richtig anzuwenden sind. Dies zeigt sich durch Eingaben von betroffenen Eltern oder Anfragen von Elternvertretern, aber auch durch Anfragen aus den Schulen selbst. Positiv ist festzustellen, dass immer mehr Schulleitungen die Beratung des ULD suchen, um Einzelfragen zu lösen oder grundsätzliche Fragestellungen zu klären. Das ULD hat auf Wunsch von Schulleitungen in den letzten Jahren viele Fortbildungen für Lehrerkollegien durchgeführt. Ein Schwerpunkt waren dabei die Regelungen zur häuslichen Datenverarbeitung. Die Fortbildungen waren zur Unterstützung der Schulleitungen sinnvoll, ihren Kollegien die Rechtsnormen näher zu bringen und die praktische Umsetzung zu erklären.

Das ULD stellt fest, dass viele Schulleitungen mit den weiter wachsenden Anforderungen, welche die immer stärker auf elektronische Datenverarbeitung gestützte Schulverwaltung mit sich bringt, zeitlich und hinsichtlich des aktuellen Informationsstands überfordert sind. Hinzu kommen unzureichende Kenntnisse vieler Lehrkräfte, nach welchen Regeln diese die personenbezogenen Daten ihrer Schülerinnen und Schüler datenschutzkonform verarbeiten dürfen.

Das ULD schlägt deshalb vor, gemeinsam mit dem für Bildung zuständigen Ministerium die personenbezogene Datenverarbeitung der Schulen strategisch neu zukunftsorientiert und datenschutzkonform aufzustellen.

Nur mit einer einheitlichen Umsetzung und Beachtung der datenschutzrechtlichen Vorschriften in den Schulen und der Einführung von Standards in der elektronischen Datenverarbeitung der Schulverwaltungen ist ein einheitlich hohes Datenschutzniveau in den Schulen zu erreichen.

Um die Schwachpunkte der bisherigen verwaltungsorganisatorischen Vorgehensweise im Zusammenhang mit dem Umgang personenbezogener Daten in den Schulverwaltungen und in der Schule aufzuzeigen, werden im Folgenden einzelne Sachverhalte und Vorgänge analysiert.

Datenverarbeitung der Schulverwaltungen

1. Konventionelle Datenverarbeitung

Bei Kontrollen von Schulsekretariaten nach § 39 LDSG konnte in den vergangenen Jahren festgestellt werden, dass die Aktenordnung je nach Vor- und Ausbildung der Schulsekretärinnen und Schulsekretäre relativ gut strukturiert ist.

Allerdings war festzustellen, dass sich die Schulen fast durchgängig nicht an die bereits seit 1998 existierenden Speicherungsregelungen des § 7 (vormals § 6) DSVO-Schule halten. Die meisten Schulen horten Schülerakten aus Jahrzehnten, obwohl diese bis auf bestimmte darin enthaltene Informationen bereits nach zwei Jahren (bis 2008 fünf Jahren) nach Abgang der Schülerinnen und Schüler zu vernichten sind. Oftmals begründen Schulleiterinnen und Schulleiter dies mit dem „historischen“ Auftrag, die Informationen für die Nachwelt aufzubewahren. Sie verkennen dabei, dass nur das Landesarchiv oder die nach dem Landesarchivgesetz (LArchivG) eingerichteten kommunalen Archive für die weitere Speicherung von nicht mehr zur Aufgabenerfüllung erforderlichen Informationen (mit oder ohne Personenbezug) zuständig sind. Die Schulen haben als öffentliche Stellen gemäß § 6 LArchivG eine Anbietungspflicht. Die Archive entscheiden, welche Unterlagen archivwürdig sind (§ 7 LArchG). Lehnt das Landesarchiv die Übernahme ab oder übernimmt es angebotene Unterlagen nicht innerhalb eines Jahres, so ist die anbietende Stelle zu deren weiterer Aufbewahrung nicht verpflichtet und in der Regel auch nicht berechtigt.

Ferner wurde festgestellt, dass die Akten mit personenbezogenen Daten noch immer nicht in allen Schulsekretariaten entsprechend der Vorgaben des § 5 LDSG vor dem Zugang Unbefugter ausreichend gesichert sind. In dieser Hinsicht besteht Bedarf, eine Änderung der datenschutzrechtlich unbefriedigenden Zustände herbeizuführen.

Das Bildungsministerium kann durch verbindliche Vorgaben oder zumindest die Definition von Mindest-Standards eine Vereinheitlichung und Professionalisierung der konventionellen Datenverarbeitung herbeiführen.

2. Elektronische Datenverarbeitung

  • In der Schulverwaltung

Nach Kenntnis des ULD sind mittlerweile alle Schulverwaltungen mit EDV ausgestattet. Mit diesen Systemen werden die personenbezogenen Daten der Schülerinnen und Schüler, der Eltern und der Lehrkräfte verarbeitet. Die EDV-Systeme sind überwiegend mit dem Internet verbunden.

Die Daten der Betroffenen werden mit Hilfe von Office-Anwendungen, Mailprogrammen und Schulverwaltungsprogrammen verarbeitet.

Kontrollen des ULD zeigten, dass häufig personenbezogener Schriftwechsel auf den Rechnern gespeichert blieb, obwohl die Dokumente endgültig in papierener Form in Akten gespeichert wurden. Insbesondere in Schulverwaltungen großer Schulen, die mit Client-Server-Architekturen arbeiten, waren die Zugriffsberechtigungen häufig nicht oder nicht richtig festgelegt, so dass der Zugriff einer Vielzahl von Beschäftigten auf die im System abgelegten Daten möglich war.

Es konnte in diesem Zusammenhang festgestellt werden, dass weder die Schulleitungen noch die Schulsekretärinnen diesen Umstand kannten oder bei Kenntnis nicht erkannten, dass dies nicht datenschutzkonform war. Diese Unkenntnis ist aus Sicht des ULD der fehlenden oder nicht genügenden Schulung in der Bedienung der EDV und fehlender datenschutzrechtlicher Kenntnisse sowie teilweise fehlender Sensibilität im Umgang mit personenbezogenen Daten zuzurechnen.

(neu) Das IQSH bietet zweimal jährlich Schulungsveranstaltungen für Schulleiterinnen und Schulleiter (jeweils zwei halbe Tage) an, die vom ULD durchgeführt werden. Die Veranstaltungen sind regelmäßig so gut wie ausgebucht. Zwischenzeitlich wird seitens des für die Fortbildung zuständigen IQSH überlegt, im Jahr 2013 zweitägige Schulungen anzubieten.

(neu) Die Schulung der Schulsekretärinnen erfolgt ebenfalls durch das ULD in Kooperation mit Komma (eine Veranstaltung/Jahr).

Das Bildungsministerium sollte die Ausbildung der Schulverwaltungen durch spezialisierte Fortbildungsangebote unterstützen. Gleichzeitig sollten die Schulleitungen durch die Vorgabe einheitlicher Mindeststandards sowie Prüfvorgaben stärker angeleitet werden, eine datensparsame Schulverwaltung durchzusetzen.

  • LanBSH

Zumindest im Hinblick auf eine bessere Struktur und eine Erhöhung des Datensicherheitsniveaus der in der Schulverwaltung eingesetzten EDV-Systeme ist die Einführung des Landesnetzes Bildung (LanBSH) der erste Schritt hin zu einer standardisierten elektronisch unterstützen Arbeitsumgebung der Schulverwaltungen. Bereits 1999 hatte das ULD erstmals eine solche Lösung vorgeschlagen.

Das jetzt in der Umsetzungsphase befindliche Konzept, alle Schulverwaltungen in das Landesnetz einzubinden, ermöglicht durch die einheitlichen Strukturen (Active Directory) eine Fernadministration der EDV-Systeme in den Schulverwaltungen. Dadurch wird einerseits die Sicherheit der Systeme (Stichwort: Patchmanagement) erhöht und andererseits der administrative Aufwand in der Schule, der bisher den Lehrkräften oder den Beschäftigten des Schulträgers zufiel, erheblich vermindert.

Darüber hinaus können nunmehr die personenbezogenen Daten im selben System gespeichert werden, mit dem auch eine Internetverbindung hergestellt wird.

Das ULD ist in der Konzeptphase im Rahmen seiner Beratungstätigkeit in die technischen und rechtlichen Fragestellungen eingebunden gewesen und begleitet das Projekt weiterhin.

Es ist festzuhalten, dass das Konzept des LanBSH zu einer weitgehenden Verbesserung der Datensicherheit und der datenschutzkonformen Verarbeitung personenbezogener Daten geführt hat. Es ist davon auszugehen, dass nach vollständiger Realisierung eine zukunftsfähige IT-Infrastruktur in den Schulverwaltungen vorhanden sein wird, die den Veränderungen von elektronischen Kommunikationsprozessen (z. B. Statistikabfragen) leichter angepasst werden kann, als die bisher vorhanden gewesene uneinheitliche EDV-Landschaft in den Schulen.

Allerdings muss sichergestellt werden, dass die Schulleitungen die Vorgaben des LanBSH-Konzeptes konsequent einhalten. Hierzu sollte das Bildungsministerium ein Konzept zur regelmäßigen Kontrolle der Datenverarbeitung in den Schulen erarbeiten.

  • Schulverwaltungssoftware

Insbesondere im Zuge des Aufbaus des LanBSH ergaben sich für das IQSH und das ULD weitergehende Erkenntnisse hinsichtlich des Einsatzes von Schulverwaltungssoftware. Es wurde festgestellt, dass in den allgemeinbildenden Schulen nur wenige spezifische Softwareprodukte im Einsatz sind. Einige Schulen hatten selbst entworfene Programme im Gebrauch.

Die beruflichen Schulen nutzen seit Jahren das Programm WINSchool.

Die IT-Anbindung der Schulverwaltungen an das LanBSH machte es erforderlich, die eingesetzten Programme den geänderten Bedingungen (Updatefähigkeit über das Landesnetz, Verbesserung der automatisierten Statistikerstellung usw.) anzupassen. Einige Software-Hersteller haben die erforderlichen Änderungen zügig umgesetzt.

Zwei Software-Anbieter (Scola und Stüber Software) haben jeweils ihr Produkt in bestimmten Punkten einem Gütesiegel-Verfahren nach § 4 Abs. 2 LDSG unterzogen. Nach dieser Vorschrift sollendie öffentlichen Stellen solche Produkte vorrangig einsetzen. Andere Anbieter haben von einer solchen Zertifizierung bisher keinen Gebrauch gemacht.

(neu) Das nach § 4 Abs. 2 LDSG zertifizierte Programm SCOLA wird von immer mehr allgemeinbildenden Schulen eingesetzt. Das Programm SCOLA vereinfacht für die Schulverwaltungen die Arbeit, u. a. weil die Datenübermittlungen gemäß § 30 Abs. 7 SchulG (Aufnahme des Echtbetriebes für 2012 geplant) automatisiert und datenschutzkonform erfolgen.

Schulverwaltungsprogramme sollen die Schulverwaltungen bei ihrer täglichen Arbeit nicht nur unterstützen und deshalb gut handhabbar sein. Sie sollten ergänzend auch die Einhaltung der datenschutzrechtlichen Vorgaben unterstützen und deren Umsetzung durch automatisierte Vorgänge sicherstellen.

Aus Sicht des ULD ist es wünschenswert, dass die Programme die Speicherfristen (§ 7 DSVO-Schule) überwachen und ggfs. automatisiert Löschungen vornehmen.

Die Programme müssen hinsichtlich des Speicherungsumfanges in jedem Fall die Vorgaben des § 30 Abs. 1 SchulG (ergänzend Anlage zu § 4 Abs. 1 DSVO-Schule) einhalten. Dies wird nach derzeitigem Kenntnisstand nur durch die beiden zertifizierten Verfahren sichergestellt.

Ferner müssen die Programme die Anforderungen des § 6 LDSG erfüllen. Dies ist nicht bei allen Programmen der Fall.

Aus Sicht des ULD sollten alle Schulverwaltungsprogramme in möglichst kurzer Zeit den datenschutzrechtlichen Regelungen entsprechend angepasst werden. Da die Schulleiterinnen und Schulleiter als Verantwortliche 
(§ 4 Abs. 1 DSVO-Schule) diese Aufgabe nicht allein durchführen können und in dieser Hinsicht durchaus noch Diskussionen mit den Schulträgern bestehen, sind eindeutige Bewertungen durch das Bildungsministerium wünschenswert.

  • Statistik

Das LanBSH hat zu einer schnelleren Lieferung der für die Schulstatistik erforderlichen Daten an das Statistische Amt für Hamburg und Schleswig-Holstein geführt. Das vom IQSH erdachte und umgesetzte Verfahren, die erforderlichen Daten zunächst in den Schulverwaltungsprogrammen zu erstellen, zu plausibilisieren und dann über einen als „Sammler“ dienenden im Landesnetz (bei Dataport) installierten Server an das Statistische Amt zu leiten, ist der Grund für die schnelle Lieferung der Daten.

Die Nutzung des Sammlers im Landesnetz hat auch zukünftig folgende Vorteile:

Das Bildungsministerium kann kurzfristig erforderlich werdende Statistiken über diesen Sammler selbst initiieren und die in den Schulverwaltungen vorhandenen Daten über das LanBSH „einsammeln“.

Schulträger können ebenfalls statistische Anfragen an die Schulen ihres Zuständigkeitsbereiches stellen.

Sofern die Schulverwaltungsprogramme von den Herstellern entsprechend ausgestattet sind, wird der Verwaltungsaufwand für die Schulverwaltungen gering gehalten. Die Schulleitungen behalten in jedem Einzelfall die letzte Entscheidungshoheit, die statistische Anfrage zu beantworten. Sie haben die Möglichkeit, sofern auch personenbezogene Daten abgefragt werden, zu prüfen, ob für die Übermittlung der Daten eine Rechtsgrundlage vorhanden ist.

Das ULD sieht in dieser technischen Vorgehensweise eine datenschutzkonforme, standardisierte und verwaltungsökonomische Lösung. Allerdings sollte das Bildungsministerium darauf hinwirken, dass sich alle Schulleitungen an dieses Verfahren halten. Dies setzt einen direkten LanBSH-Anschluss voraus. Andere Möglichkeiten der Übermittlung statistischer Daten (z. B. die Nutzung von IDEV im Rahmen der Schulstatistik oder E-Mailing) sollten grundsätzlich nicht mehr zugelassen werden.

  • E-Mailing

Schulverwaltungen nutzen mittlerweile durchgängig neben der Briefpost auch 
E-Mail als Kommunikationsmedium. E-Mailing ist ein grds. unsicheres Kommunikationsmedium. Personenbezogene Daten, die von den Schulverwaltungen und den Lehrkräften (auch aus ihrem häuslichen Bereich) an dritte Stellen (andere Schulen, Schulträger, andere öffentliche Stellen, Firmen, Eltern usw.) unverschlüsselt übermittelt werden, sind vor dem Zugriff Unbefugter grundsätzlich nicht geschützt. Unsicherheit entsteht auch durch den menschlichen Faktor. Die Fehladressierung einer E-Mail ist leichter möglich als bei Nutzung der Briefpost, was das Risiko erhöht, dass Unbefugte Kenntnis von personenbezogenen Daten erhalten. Das Fernmeldegeheimnis stellt zwar eine rechtliche, jedoch keine tatsächliche Schutzbarriere dar. Für die Sicherheit der mittels E-Mail versandten personenbezogenen Daten bleiben letztlich die Schulleitungen verantwortlich.

Das ULD erhält häufiger Anfragen von Schulen zum sicheren Umgang mit E-Mails mit personenbezogenen Inhalten. Eingaben von Eltern, die E-Mails von Schulen oder Lehrkräften erhielten, sorgten sich ebenfalls um die Sicherheit der Informationen.

Die E-Mail-Kommunikation der Landesverwaltung erfolgt weder innerhalb noch außerhalb des Landesnetzes in verschlüsselter Form. Eine Umstellung ist zwar wünschenswert, scheint aber in absehbarer Zeit nicht realisierbar. Es besteht jedoch die Möglichkeit, bestimmte, in der Schulverwaltung immer wiederkehrende Kommunikationsprozesse, die früher auf dem klassischen Postweg erfolgten und heute per E-Mail durchgeführt werden, mittels Verschlüsselung zu sichern.

Ein Beispiel ist die Meldung der Schülerinnen und Schüler zur Zahnprophylaxe an die Gesundheitsämter der Kreise und kreisfreien Städte. Jedes Jahr übermitteln die Schulverwaltungen die personenbezogenen Daten in Listenform. Diese Daten können mit einfachen Methoden verschlüsselt werden. Sofern ein einheitliches Verfahren gewählt wird, führt die verschlüsselte Kommunikation weder zu einem höheren Verwaltungsaufwand noch zu nennenswerten Kosten. Weitere Anwendungsfälle sind denkbar.

Durch die Einführung des LanBSH hat sich zumindest für die E-Mail-Kommunikation zwischen den an das Landesnetz angeschlossenen Schulverwaltungen eine Verbesserung ergeben, weil die E-Mails nur im Landesnetz und nicht über das Internet weitergeleitet werden.

Inzwischen sind mehrere Lösungen am Markt verfügbar, die eine sichere Kommunikation per E-Mail z. B. mit Eltern und Schülern ermöglichen, ohne die Voraussetzungen auf Seiten der Empfänger durch eine zusätzliche Installation von Software zu erhöhen. Zumindest mittelfristig kann für den Schulbereich ein solches zentrales Sicherheitsgateway sinnvoll sein und steht insofern gern für eine Beratung zur Verfügung.

Aus Sicht des ULD kann die E-Mail-Kommunikation für bestimmte Datenübermittlungen tatsächlich in verschlüsselter Weise erfolgen. Dies sollte vom Bildungsministerium vorgegeben werden. Für die sonstige E-Mailnutzung durch die Schulen sollten einheitliche Regeln aufgestellt werden.

  • Notebooks

Immer mehr Schulleiterinnen und Schulleiter sowie Abteilungsleiter/Oberstufen-leiter arbeiten mit von den Schulträgern zur Verfügung gestellten Notebooks. Diese Geräte werden oft in den häuslichen Bereich der Genannten mitgenommen. Auf diesen Notebooks werden im Regelfall auch personenbezogene Daten von Schülerinnen, Schülern und Eltern verarbeitet.

Nach § 30 Abs. 2 SchulG dürfen die Daten der Schulverwaltung ausschließlich mit in der Schule befindlichen Datenverarbeitungsgeräten des Schulträgers verarbeitet werden. Die Vorschrift zielt auf stationäre Personal Computer (PC) der Schulverwaltung ab. Die Vorschrift impliziert ein Verbot, Notebooks aus den Räumlichkeiten der Schule mitzunehmen. Die Einhaltung dessen ist jedoch nicht zu kontrollieren. Zudem sind Schulleiterinnen und Schulleiter immer wieder gezwungen, ihre Aufgaben nach Verlassen der Räumlichkeiten elektronisch gestützt wahrzunehmen. Es ist heute Standard, dass Termine nicht nur elektronisch gespeichert, sondern auch in dieser Weise mit anderen koordiniert werden. Die Notebooks werden zu Besprechungen und Konferenzen mitgenommen; damit im Zusammenhang stehende personenbezogene Informationen werden nicht mehr in papierener Form zusätzlich mitgeführt, sondern auf dem Notebook gespeichert.

§ 6 Abs. 3 LDSG verlangt die Verschlüsselung der Datenbestände, wenn personenbezogene Daten mit informationstechnischen Geräten von der Daten verarbeitenden Stelle außerhalb ihrer Räumlichkeiten verarbeitet werden. Dem ULD liegen keine Erkenntnisse vor, dass diese Vorschrift von den Schulleiterinnen, Schulleitern und den Abteilungsleitern/Oberstufenleitern tatsächlich verlässlich umgesetzt wird.

Selbst bei einer konsequenten Umsetzung der Forderung nach Verschlüsselung bleibt das Problem bestehen, dass es nicht vorgesehen ist, dass diese Geräte die Räumlichkeiten der Schule verlassen.

Das ULD schlägt vor, die Vorschrift des § 30 Abs. 2 SchulG den tatsächlichen Verhältnissen anzupassen und ggfs. weitergehende Regelungen zur Datensicherheit in die DSVO-Schule aufzunehmen.

Das Bildungsministerium sollte Mindeststandards und Empfehlungen für die sichere, automatisierte Datenverarbeitung festlegen. In einem „IT-Handbuch Schule“ könnten beispielsweise solche Vorgaben und Empfehlungen speziell auf typische Anwendungsfälle in Schulen angepasst werden.

  • USB-Sticks

USB-Sticks setzen sich zunehmend als Speichermedium für schulbezogene personenbezogene Daten bei den Lehrkräften und den Schulleitungen durch. USB-Sticks (oftmals von den Schulträgern beschafft) werden in vielen Schulen zur Zeugniserstellung als „Daten-Transportmittel“ zwischen dem häuslichen Arbeitsplatz der Lehrkräfte und dem Schulsekretariat verwendet. Dem ULD sind einige Schulen bekannt, die dieses Verfahren bereits gut organisiert und dabei die Vorgaben des § 6 Abs. 3 LDSG umgesetzt haben. Das IQSH hat zur USB-Stick-Verschlüsselung eigens eine technische Hilfestellung für den Einsatz von TrueCrypt (ein lizenzfreies Opensource-Produkt, welches auch vom ULD empfohlen wird) entwickelt.

Allerdings fehlen einheitliche Regelungen für die Schulen zum Umgang mit USB-Sticks.

(neu) Die ursprünglich nur für die Verarbeitung von Zeugnisnoten vorgesehene Verwendung wird zunehmend ausgeweitet. Das ULD hat den Vorschlag gemacht, die im häuslichen Bereich verarbeiteten Daten ausschließlich auf dienstlichen USB-Sticks zu speichern.

USB-Sticks sind wegen ihrer hohen Speicherkapazität und geringen Anschaffungskosten ein geeignetes Speichermedium für alle von den Lehrkräften im häuslichen Bereich mit Genehmigung der Schulleitung verarbeiteten personenbezogenen Daten. Die Lehrkräfte können die für sie zur Aufgabenerfüllung erforderlichen Daten der Schülerinnen, Schüler und Eltern ausschließlich auf den ihnen dienstlich zugeteilten USB-Sticks verarbeiten. Es fehlt jedoch eine standardisierte Vorgehensweise in den Schulen, die auch eine einheitliche Konfiguration der USB-Sticks einschließlich vorkonfigurierter Verschlüsselung umfasst.

Das ULD empfiehlt die landesweite verbindliche Einführung der Nutzung verschlüsselter dienstlicher USB-Sticks für die Lehrkräfte auf der Grundlage einheitlicher Nutzungsregelungen und standardisierten Konfigurationen.

Damit können nicht nur Probleme im Bereich der Datensicherheit behoben werden, sondern auch die Diskussion um den Genehmigungsvorbehalt des § 10 DSVO-Schule für die elektronische Datenverarbeitung der Lehrkräfte in vielen Lehrerkollegien entschärft werden (s. dazu unter „Häusliche Datenverarbeitung der Lehrkräfte“).

  • Neue Datenverarbeitungsgeräte (z. B. iPhone/iPod/iPad)

Das ULD erhält Anfragen von Lehrkräften und Schulleitungen bezüglich der datenschutzrechtlichen Zulässigkeit der Nutzung von iPhone-Apps (z. B. „TeacherTool“), mit denen Schülerdaten verarbeitet werden können. Die Nutzung der genannten Geräte für die personenbezogene Datenverarbeitung findet bereits teilweise statt.

Während die Daten auf den bisher genutzten „klassischen“ mobilen Datenverarbeitungsgeräten wie Notebooks und USB-Sticks mittlerweile wirksam gegen den Zugriff Unbefugter abgesichert werden können, ist dies bei den o. g. Geräten bisher nicht der Fall.

Es ist dem ULD bekannt, dass Lehrkräfte solche Geräte einsetzen, ohne über die datenschutzrechtlichen Schranken nachzudenken und ohne mit ihren Schulleitungen Rücksprache zu halten.

Es ist angesichts der Komplexität der Anwendungen und der in der IT-Fachwelt noch nicht abgeschlossenen Risikoanalyse der neuen Geräte nicht möglich, Empfehlungen zur Herstellung der Datensicherheit solcher Geräte zu geben.

Das ULD empfiehlt deshalb, die Nutzung solcher Geräte zur Verarbeitung personenbezogener Daten derzeit zu verbieten oder alternativ auf bestehende Lösungen der Landesverwaltung zur sicheren Verwendung mobiler Datenverarbeitungsgeräte zurückzugreifen.

(neu) Zur Klärung dieser Fragen wurde zwischenzeitlich eine Unterarbeitsgruppe von der AG IT-Bildung eingesetzt, die aber bisher keine konkreten Ergebnisse erzielte.

  • Technische Umsetzung des § 30 Abs. 7 SchulG

Die Vorschrift verpflichtet die allgemein bildenden Schulen und die Förderzentren, die Daten der minderjährigen Schulabgängerinnen und Schulabgänger zur Sicherung der Berufsschulpflicht an die Berufsbildenden Schulen ihres Einzugsbereiches zu übermitteln. Die Vorschrift erzeugt nach Kenntnis des ULD für alle beteiligten Stellen einen beträchtlichen Verwaltungsaufwand. Insbesondere in Orten, in denen mehrere Berufsschulstandorte vorhanden sind, müssen diese ihre Anmeldungen miteinander abgleichen, um Doppelanmeldungen zu finden und danach die Meldungen der allgemein bildenden Schulen und der Förderzentren mit den um die Doppelmeldungen bereinigten Datenbeständen zu vergleichen.

Die Meldungen der allgemein bildenden Schulen und der Förderzentren erfolgten bisher entweder in papierener Form oder per E-Mail.

(neu) Zusammen mit dem IT-Referat des Bildungsministeriums und dem IQSH hat das ULD bereits vor über zwei Jahren ein standardisiertes und datenschutzkonformes elektronisches Verfahren im LanBSH angedacht. Die technische Lösung soll im Jahr 2012 realisiert werden. Ein Test wird im Kreis Stormarn mit dem dortigen Regionalen Berufsschulzentrum und einigen allgemeinbildenden Schulen durchgeführt.

Nach Auffassung des ULD würde eine solche technische Lösung die Schulen von Verwaltungsaufgaben entlasten und damit Freiraum für andere Aufgaben schaffen. Aus diesem Grund sollte die geplante Lösung zeitnah erprobt und schließlich realisiert werden.

  • Helpdesk des IQSH

Im Zuge der Einführung des LanBSH wurde beim IQSH ein Helpdesk eingerichtet, das die Schulen bei der Einrichtung der Schulverwaltungssysteme im LanBSH und bei Fragen im laufenden Betrieb unterstützt. Die Zusammenarbeit des IQSH und des ULD ist in diesem Zusammenhang intensiv. Gemäß den Rückmeldungen der Schulen an das ULD wird die Hilfestellung des Helpdesk als Verbesserung gegenüber dem vorherigen Zustand, als sich die Schulen oftmals selbst helfen mussten oder auf die personellen Ressourcen der Schulträger angewiesen waren, empfunden.

Das ULD empfiehlt, das Helpdesk des IQSH als Ergänzung zu den Supportleistungen von Dataport nicht nur beizubehalten sondern im IQSH oder in einer neuen Organisationsform weiter auszubauen.

 

Häusliche Datenverarbeitung der Lehrkräfte

Mittlerweile verarbeiten fast alle Lehrkräfte die personenbezogenen Daten ihrer Schülerinnen und Schüler sowie der Eltern mit Hilfe von EDV im häuslichen Bereich.

Obwohl diese Datenverarbeitung unter dem Genehmigungsvorbehalt des § 10 DSVO-Schule steht, sind solche Genehmigungen von vielen Schulleitungen entweder noch nicht erteilt worden oder es handelt sich um einen pro forma abgewickelten Akt. Nur wenigen Schulleiterinnen und Schulleitern und Lehrkräften ist bewusst, dass die Lehrkräfte mit der Zusicherung nach § 10 DSVO-Schule eine dienstliche Erklärung abgeben, die bei einem Verstoß nicht nur datenschutzrechtliche, sondern auch dienstrechtliche Konsequenzen nach sich ziehen kann. Viele Schulleitungen ignorieren – möglicherweise aus Angst vor Konflikten mit ihren Lehrkräften – die Tatsache, dass die Lehrkräfte ohne die Genehmigung im häuslichen Bereich mit EDV personenbezogene Daten verarbeiten. Insbesondere die Zeugniserstellung erfolgt mittlerweile fast überwiegend im häuslichen Bereich der Lehrkräfte mit EDV-Unterstützung. In der Schule werden die Daten dann zusammengeführt und die Zeugnisse in der Schulverwaltung ausgedruckt.

Aus Gesprächen mit Schulleitungen, schulischen EDV-Administratoren und den Mitarbeitern des Helpdesks ist dem ULD bekannt, dass die häusliche Daten-verarbeitung der Lehrkräfte häufig nicht sicher ist. Dies zeigt sich immer wieder, wenn Lehrkräfte dienstliche oder sogar private USB-Sticks mit den Geräten der Schulverwaltung verbinden. Oftmals wird dann festgestellt, dass sich auf diesen USB-Sticks Computerviren befinden, die nur von den häuslichen Rechnern stammen können. Die Lehrkräfte sichern im Rahmen des Genehmigungsverfahrens nach § 10 DSVO-Schule u. a. zu, über ausreichende Kenntnisse zur Datensicherheit zu verfügen. Offensichtlich gehen aber viele Lehrkräfte nicht sorgfältig genug mit den ihnen anvertrauten dienstlichen personenbezogenen Daten im häuslichen Bereich um.

Dem ULD ist nicht bekannt, dass Schulleitungen auf ihnen bekannt gewordene Verstöße von Lehrkräften gegen die Regelungen der §§ 10 f. DSVO-Schule regelnd eingegriffen haben.

Nach Auffassung des ULD sind mit den Regelungen der §§ 10 ff. DSVO-Schule die Verantwortlichkeiten für die häusliche Datenverarbeitung der Lehrkräfte (diese liegt im Grundsatz bei den Lehrkräften) gut festgelegt. Jedoch nutzen die Schulleitungen nicht genügend ihre Einflussmöglichkeiten, um eine sichere elektronische Verarbeitung der personenbezogenen Daten zu erreichen. Es stellt sich die Frage, wie die Lehrkräfte für die Fragen des Datenschutzes und der Datensicherheit sensibilisiert werden können und eine einheitliche technische Lösung die Datensicherheitsrisiken minimieren kann.

Das ULD kann eine umfassende Fortbildung der Lehrkräfte mangels ausreichender personeller Ressourcen nicht leisten. Eine technische Lösung kann in der ausschließlichen Nutzung von verschlüsselten dienstlichen USB-Sticks liegen (s. oben).

 

Schulische Datenschutzbeauftragte

Nach § 10 LDSG können Daten verarbeitende Stellen behördliche Datenschutzbeauftragte bestellen. Somit haben auch die Schulen, die eigenständige Daten verarbeitende Stellen sind, die Möglichkeit, Datenschutzbeauftragte zu bestellen.

Bisher besteht keine gesetzliche Bestellungspflicht. Wohl auch mangels Kenntnis der Vorzüge eines behördlichen Datenschutzbeauftragten, fehlender interessierter Freiwilliger in den Lehrerkollegien oder schlicht mangels Zeit haben viele Schulen keine solchen Datenschutzbeauftragten bestellt.

Lediglich im Bereich der berufsbildenden Schulen ist die Bestellung von Datenschutzbeauftragten aufgrund einer Rahmendienstvereinbarung zwischen dem Bildungsministerium und dem Hauptpersonalrat der Lehrkräfte aus dem Jahr 1995 verpflichtend.

(neu) Derzeit sind dem Ministerium 188 bestellte Datenschutzbeauftragte gemeldet. Erstmalig findet im Jahr 2012 eine Schulung von schulischen Datenschutzbeauftragten im Rahmen des Fortbildungsangebotes des IQSH und unter Beteiligung des ULD statt. Das Interesse hieran ist groß und überschreitet die vorgesehenen Kapazitäten.

Nach den Erfahrungen des ULD ist das Datenschutzniveau an Schulen mit behördlichen (schulischen) Datenschutzbeauftragten grundsätzlich höher als an den anderen Schulen.

Das ULD empfiehlt, zumindest an den weiterführenden Schulen und den Förderzentren auf die Bestellung von Datenschutzbeauftragten hinzuwirken. Dabei ist dem ULD durchaus bewusst, dass die effektive Wahrnehmung einer solchen Aufgabe nur möglich ist, wenn hierfür ein ausreichendes Zeitkontingent zur Verfügung gestellt wird.

 

Schulhomepages

Fast alle Schulen haben mittlerweile einen eigenen Internetauftritt, obwohl die Einrichtung einer Schulhomepage nicht vom Bildungsministerium vorgeschrieben ist.

Da in den vergangenen Jahren immer wieder festgestellt wurde, dass die Schulen auf ihren Webseiten auch personenbezogene Daten von Schülerinnen, Schülern, Eltern und Lehrkräften und Bilder veröffentlichen, hat das ULD bereits im Jahr 2006 allen Schulleitungen Informationen zu den datenschutzrechtlichen Fragen beim Betrieb einer Schulhomepage zukommen lassen. Ferner wurden vom ULD ergänzende Hinweise in den FAQ auf der Webseite des ULD veröffentlicht und den Schulen das Muster einer Einverständniserklärung zur Verfügung gestellt.

Dennoch ist festzustellen, dass nicht alle Schulleitungen die einschlägigen Rechtsvorschriften des LDSG, des Kunsturheberrechtsgesetzes (Recht am eigenen Bild) und des Telemediengesetzes (Impressumspflicht) beachten.

Ferner hat das ULD festgestellt, dass Lehrkräfte eigene Webseiten erstellen, die sie zu dienstlichen Zwecken verwenden und auf denen auch personenbezogene Daten der von diesen Lehrkräften betreuten Schülerinnen und Schüler veröffentlicht werden. Das ULD hat zu dieser Fragestellung im April 2010 auf Wunsch der obersten Schulaufsicht ausführlich Stellung genommen.

(neu) Dem ULD wurde bekannt, dass Schulen auch Fanpages bei Facebook eingerichtet haben. Der Betrieb solcher Seiten insbesondere durch öffentliche Stellen ist nach Ansicht der Datenschutzbeauftragten des Bundes und der Länder unzulässig, weil der Fanpage-Betrieb über die USA eine nicht zu kontrollierende Datenverarbeitung auslöst.

www.datenschutzzentrum.de/internet/20111208-DK-B-Soziale-Netzwerke.html

(neu) Der Betrieb von Schul-Fanpages bei Facebook ist nicht nur rechtlich unzulässig, sondern pädagogisch höchst fragwürdig, werden doch dadurch Schülerinnen und Schüler animiert, Mitglied bei Facebook zu werden und eine kritische Hinterfragung dieses Internetangebotes vorzunehmen. Ein großes Datenschutzproblem besteht darin, dass Schülerinnen und Schüler schon im Alter jünger als 14 extensiv Facebook nutzen, ohne sich der damit verbundenen Konsequenzen bewusst zu sein.

Schulleitungen sind verantwortlich für den Betrieb der Schulhomepage. Um sicherzustellen, dass die gesetzlichen Regelungen eingehalten werden, sollten seitens des Bildungsministeriums eindeutige und für die Schulleitung bindende Hinweise gegeben werden.

Schulungsbedarf

  • Schulleitungen

Schulleitungen sind in datenschutzrechtlichen Fragen oft nicht ausreichend informiert und geschult. Das ULD bemüht sich seit Jahren in Kooperation mit dem IQSH, entsprechende Fortbildungen anzubieten. Nachdem in den Jahren 2007 und 2008 keine solchen Kurse stattfanden, werden auf Initiative des ULD seit 2009 Fortbildungen angeboten. Einige der Veranstaltungen wurden wegen zu geringer Beteiligung abgesagt. Dies wertet das ULD nicht als Desinteresse der Schulleiterinnen und Schulleiter an datenschutzrechtlichen Fragestellungen. Das ULD sieht hierfür andere Gründe. Die Fortbildungen finden jeweils an 2 Nachmittagen ab 14.30 Uhr bis ca. 19.00 Uhr im IQSH statt. Für die Schulleitungen ist dies – bedenkt man dabei die teilweise weiten Anfahrtswege – eine starke zeitliche Belastung. Ferner dürfte diese Fortbildung vielen Schulleitungen trotz oder gerade wegen der Informationen über das gesamte Fortbildungsangebot des IQSH der Aufmerksamkeit entgehen. Bei einer gezielten E-Mail-Information durch das IQSH sind die Veranstaltungen regelmäßig ausgebucht.

In den zwei halbtägigen Veranstaltungen ist es nur möglich, die Eckpunkte der zu beachtenden Regelungen anzusprechen. Der Individualität der Datenverarbeitung in den Schulverwaltungen und dem daraus resultierenden Fragebedarf der Schulleitungen wird dieser Zeitrahmen nach vielen entsprechenden Rückmeldungen der Teilnehmerinnen und Teilnehmer anscheinend nicht gerecht.

Eingaben von Eltern, die sich über Datenschutzverstöße durch Schulverwaltungen beschweren, sind, nachdem der Sachverhalt durch das ULD geklärt wurde, fast immer auf mangelnde Kenntnisse der Rechtvorschriften zurückzuführen oder zeigen eine fehlende Sensibilität für datenschutzrechtliche Fragestellungen. Eine stärkere Schulung würde den Verwaltungsaufwand im Ergebnis reduzieren, weil Konflikte und Verwaltungsverfahren (z. B. Stellungnahmen zu Prüfungen des ULD) vermieden würden. Die Erfahrungen des ULD mit seinem eigenen Fortbildungsinstitut DATENSCHUTZAKADEMIE zeigen, dass Schulungen zu einem verbesserten Umgang mit datenschutzrechtlichen Fragestellungen führen, die Teilnehmerinnen und Teilnehmer ihre Ansprechpartner im ULD persönlich kennenlernen und damit die Hemmschwelle sinkt, sich mit Beratungsersuchen – auch im Einzelfall –an das ULD zu wenden.

Angesichts des grds. vorhandenen Interesses an datenschutzrechtlicher Fortbildung sollte über eine Veränderung der bisherigen Konzeption nachgedacht werden. Es sollten Fortbildungen an zwei ganzen Tagen angeboten werden. Dies würde eine Kostensteigerung für das IQSH nach sich ziehen. Doch dürfte eine intensivere Fortbildung für die Schulleitungen einen Mehrwert darstellen.

  • Schulsekretärinnen– und sekretäre

Seit 10 Jahren bietet die Verwaltungsakademie Bordesholm (jetzt Kompetenzzentrum Verwaltungs-Management „Komma“) in Kooperation mit dem ULD Datenschutzschulungen für diesen Personenkreis einmal jährlich als Ganztageskurs an. Die Kurse sind regelmäßig sehr gut besucht.

Die Schulsekretärinnen- und Schulsekretäre sind in der Regel die Verwaltungskräfte, die mit der Verarbeitung personenbezogener Daten befasst sind. Zwar liegt die Verantwortung bei den Schulleitungen, das „Hauptgeschäft“ wird aber insofern von den Schulsekretärinnen und -sekretären (Verwaltungskräfte) wahrgenommen. Viele Schulleiterinnen und Schulleiter überlassen diesen die Entscheidung, in welcher Weise die personenbezogenen Daten im Schulsekretariat verarbeitet werden. Dem ULD sind keine Schulen bekannt, in denen die Schulleitungen klare interne Regeln für den Umgang mit den personenbezogenen Daten aufgestellt haben.

Dies ist der Grund für die Bedeutung der Schulung der Verwaltungskräfte. Die Schulung darf sich nicht nur auf die Kenntnisvermittlung der datenschutzrechtlichen Regelungen beschränken. Die Verwaltungskräfte müssen auch ein Verständnis für die Anwendung von EDV und die damit verbundenen Risiken entwickeln. Nur bei insofern ausreichender Sensibilisierung kann eine datenschutzkonforme Verarbeitung der personenbezogenen Daten erreicht werden.

Das ULD führt auf Wunsch von Schulträgern im Rahmen der DATENSCHUTZAKADEMIE auch Inhouse-Veranstaltungen durch. Häufig wird der Wunsch geäußert, eine zweitägige Veranstaltung anzubieten. Von vielen Verwaltungskräften wird beklagt, dass sie auf der Basis der erhaltenen Informationen gern organisatorische Veränderungen in ihrem Zuständigkeitsbereich vornehmen würden, die Schulleitungen aber an alten nicht datenschutzkonformen Vorgehensweisen festhalten wollen.

Viele Verwaltungskräfte teilen mit, dass sie nur zufällig von dem Kursangebot erfahren hätten. Ein Grund hierfür kann darin liegen, dass das Fortbildungsprogramm von Komma in der Regel den Kommunen zugesandt wird und die Schulen oftmals keine Kenntnis von diesem Angebot erhalten.

Datenschutzschulungen der Verwaltungskräfte sind aus Sicht des ULD wichtig für eine datenschutzkonforme Verarbeitung der personenbezogenen Daten in der Schulverwaltung. Geschulte Verwaltungskräfte suchen eher den Dialog mit dem ULD, wenn sie in datenschutzrechtlichen Einzelfragen unsicher sind.

Wie bei Schulleitungen scheint auch bei den Verwaltungskräften ein zweitägiger Schulungskurs notwendig. Das Schulungsangebot sollte auf mindestens zwei Termine im Jahr ausgeweitet werden. Es ist dem ULD bewusst, dass die Kosten für die Fortbildungen des Verwaltungspersonals von den Schulträgern zu zahlen sind. Es sollte geprüft werden, ob sich das Bildungsministerium, zumal Schulverwaltungen eigenständige Daten verarbeitende Stelle sind, an den Kosten der Fortbildungsmaßnahmen beteiligen kann. Dies könnte z. B. durch das Angebot entsprechender Kurse durch das IQSH erfolgen. Kurse sind auch an der DATENSCHUTZAKADEMIE des ULD möglich.

Zusammenarbeit mit der Schulsozialarbeit

Anfragen von Schulsozialarbeiterinnen und Schulsozialarbeitern beim ULD zeigten, dass bzgl. deren Verarbeitung personenbezogener Daten große Unsicherheiten bestehen, die teilweise zu Konflikten zwischen Schulsozialarbeiterinnen/Schulsozialarbeitern und Schulleitungen führen.

(neu) Auf Initiative des ULD wurde eine Arbeitsgruppe gebildet, die aus Mitarbeiterinnen des Sozialministeriums, des Bildungsministeriums und einem Mitarbeiter des ULD bestand. Ergebnis der Zusammenarbeit war die Erstellung Handreichung für die Datenverarbeitung der Schulsozialarbeiterinnen und Schulsozialarbeiter mit praktischen Hinweisen für eine datenschutzkonforme Verarbeitung personenbezogener Daten in diesem Handlungsfeld, die im November 2011 veröffentlicht wurde.

www.datenschutzzentrum.de/artikel/781-.html

Datenverarbeitung der Schulpsychologinnen und Schulpsychologen

(neu) § 132 SchulG erlaubte bisher lediglich die papierene Datenverarbeitung für die Genannten. Tatsächlich werden von Angehörigen dieser Gruppe personenbezogene Daten mittlerweile fast flächendeckend elektronisch verarbeitet. In Zusammenarbeit mit dem ULD wurde eine neue Regelung erarbeitet, die mit der Schulgesetznovelle 2011 in Kraft trat. Weitergehende Anforderungen an die sichere elektronische Datenverarbeitung sollen in der DSVO-Schule formuliert werden. Ein mit dem ULD abgestimmter Erlass als Übergangslösung zu einer Verordnungsregelung (DSVO-Schule) ist nach unserem Kenntnisstand noch nicht veröffentlicht.

Das ULD sieht in der rechtlichen Legitimierung der elektronischen Datenverarbeitung der Schulpsychologinnen und Schulpsychologen die Möglichkeit, eine standardisierte IT-Lösung mit Anbindung an das LanBSH einzuführen. Auf Initiative des ULD finden dazu erste Gespräche mit den kommunalen Spitzenverbänden statt, an denen sich das Bildungsministerium beteiligt.

Elektronische Datenverarbeitung im pädagogischen Bereich

Vorbemerkung

Die IT-Ausstattung an den Schulen ist landesweit weit vorangeschritten. Begleitet wird dies durch die AG IT-Bildung, die Ausstattungsempfehlungen herausgibt, um Mindeststandards für Soft- und Hardware festzulegen.

Während zu Beginn des Aufbaus von IT-Systemen im pädagogischen Bereich der Schulen nur das Heranführen der Schülerinnen und Schüler an diese Technologie im Fokus stand, werden die EDV-Systeme heute für eine Vielzahl von Anwendungen verwendet. Neben rein schulischen Zwecken, die weitgehend von den Lehrkräften vorgegeben werden, nutzen die Schülerinnen und Schüler die Internetzugänge auch für private Zwecke. Neben dem Versenden und Empfangen von E-Mails (zumeist über die Webseite der E-Maildienst-Anbieter) werden die schulischen Internetzugänge für die private Webrecherche, für Spiele und stark zunehmend für die Kommunikation in Sozialen Netzwerken verwendet.

Durch diese vielfältige Nutzung treten schulrechtliche, datenschutzrechtliche und urheberrechtliche Fragestellungen auf, die aus Sicht des ULD dringend gelöst werden müssen. Im Nachfolgenden wird auf einige dieser Punkte eingegangen.

Internetzugänge

Mittlerweile dürften alle weiterführenden Schulen und die berufsbildenden Schulen über EDV-Arbeitsplätze mit Internetverbindung verfügen. Auch die Grundschulen streben sukzessive eine solche Ausstattung an.

Bereits vor Jahren wurden Fragen zur Verantwortlichkeit bei der Internetnutzung durch Schülerinnen und Schüler im Unterricht erörtert. Im Vordergrund stand die Frage der Schulleitungen, ob die Nutzung der EDV-Systeme und speziell die Internetaktivitäten der Schülerinnen und Schüler protokolliert werden dürfen. Das Bildungsministerium hatte daraufhin im Jahr 2003 im Einvernehmen mit dem ULD entsprechende Hinweise als Erlass herausgegeben.

Diese Hinweise sind für eine ordnungsgemäße Handhabung der schulischen EDV-Systeme nicht (mehr) ausreichend. Dem ULD werden immer wieder Fälle bekannt, in denen Schülerinnen und Schüler die EDV-Systeme manipulieren. Häufig konnten die Täter nicht ermittelt werden, weil keine Protokollierung der Aktivitäten im System erfolgte, weil die Schulleitung der Auffassung war, dass dies nicht zulässig ist.

Das ULD erhält immer wieder Anfragen und Beschwerden besorgter Eltern, die von ihren Kindern erfahren, dass es mit den schulischen Internetzugängen möglich ist, uneingeschränkt jede Webseite im Internet zu erreichen.

Schließlich sehen sich einige Schulträger aufgrund aus den schulischen EDV-Systemen heraus begangener Urheberrechtsverstößen mit Schadensersatzforderungen von Rechteverwertungsgesellschaften konfrontiert.

Im Zusammenhang mit solchen Vorfällen stellen sich Fragen zur Zulässigkeit der Verarbeitung personenbezogener Daten. Das ULD sieht insofern Handlungsbedarf für die Schaffung einheitlicher, eindeutiger und datenschutzkonformer Regelungen.

WLAN

Immer mehr Schulen installieren WLAN-Architekturen, mit deren Hilfe die Schülerinnen und Schüler mit von der Schule zur Verfügung gestellten mobilen EDV-Geräten (Notebooks) die EDV-Systeme der Schule nutzen, einen Internetzugang erhalten und hierbei auch private Notebooks nutzen können.

Sofern sich die Schule technisch und organisatorisch gut aufgestellt hat, wird die Nutzung des WLAN nur mit einer Zugangskennung ermöglicht.

Stationäre Rechner mit Internetzugang lassen sich mit einem – allerdings beträchtlichen – administrativen Aufwand hinsichtlich unzulässiger Aktivitäten überwachen. Bei der Nutzung von schulischen Notebooks, die sich in der Regel im Besitz der Schülerinnen und Schüler befinden, ist dies erheblich schwieriger. Eine Kontrolle der Geräte auf unzulässige Inhalte ist aufgrund der personellen Ressourcen in den Schulen faktisch unmöglich. Eine durchdachte und immer auf dem aktuellsten Stand befindliche Zugangsregelung für das WLAN ist ebenso personalintensiv.

Die Erlaubnis der Nutzung des schulischen WLAN mittels privater Notebooks der Schülerinnen und Schüler für schulische oder gar für private Zwecke begegnet Bedenken. Die Schule hat keine Möglichkeit, nach der Feststellung unzulässiger Aktivitäten das verwendete Notebook zu überprüfen; die Einschaltung der Polizei im Rahmen von Ermittlungsverfahren steht insofern im Raum.

Die Nutzungsaktivitäten können bei Einhaltung der Vorgaben des Erlasses in einem von der Schule bereitgestellten, ausschließlich schulischen Zwecken dienenden WLAN personenbeziehbar protokolliert werden. Allerdings muss dann sichergestellt werden, dass auf den schulischen Notebooks keine privaten Daten der Schülerinnen und Schüler gespeichert werden können. Diese sind der Kontrolle durch die Schule in der Regel aus unterschiedlichen rechtlichen Gründen (z. B. Fernmeldegeheimnis, allg. Datenschutzrecht u. a.) entzogen.

Wegen des Fehlens der technischen, personellen und organisatorischen Voraussetzungen für eine sichere und datenschutzkonforme Einrichtung schulischer Internetzugänge rät das ULD dringend von der Erlaubnis privater Nutzungen ab. Die schulische Nutzung bedarf vor ihrer Zulassung einer klaren Regulierung mit Sicherstellung hinreichender Kontrollen.

Elektronische Speicherung von Arbeitsleistungen

Viele Schulen beginnen damit, für die Schülerinnen und Schüler eigene Ablagen in einem EDV-System bereitzustellen. Auf diese können die Schülerinnen und Schüler während des Unterrichts oder per Fernzugriff zugreifen und dort Dokumente ablegen, die im Rahmen des Schulunterrichtes erstellt wurden. Es ist eine Tendenz erkennbar, dass in diese Ablagen auch elektronisch erstellte Leistungsnachweise wie z. B. Hausarbeiten, Referate usw. abgelegt werden sollen. Dies wirft schulrechtliche und datenschutzrechtliche Fragestellungen auf.

Es ergeben sich eine Vielzahl zu beantwortender Fragen: Wenn Schülerinnen und Schüler einen Leistungsnachweis z. B. bis zu einem bestimmten Termin in ihre Ablage einstellen sollen, damit die Lehrkraft diese danach einsehen und bewerten kann, muss zuverlässig festgestellt werden können, welche Schülerinnen und Schüler zu welchem Zeitpunkt welche Arbeiten erbracht haben. Es bedarf des Nachweises, dass die Leistung tatsächlich in dieser Weise (Richtigkeit und Umfang) erbracht wurde.

Für die rechtssichere Nutzung solcher EDV-gestützter Leistungsnachweise ist es nötig, eine lückenlose Protokollierung der Aktivitäten der Schülerinnen, Schüler und Lehrkräfte in solchen IT-Systemen vorzunehmen. Dies wiederum wirft datenschutzrechtliche Fragestellungen hinsichtlich der Speicherung, des befugten Zuganges zu den Protokolldaten und der Löschung auf.

Das Bildungsministerium sollte angesichts der vorhandenen ungelösten Fragestellungen prüfen, ob ausschließlich elektronisch erstellte Leistungsnachweise zugelassen werden sollen oder dafür sorgen, dass diese Fragen praxisnah geklärt werden.

E-Learning-Plattformen (z. B. „Mathepirat“ u. a.)

Viele Lehrkräfte nutzen im Rahmen ihres Unterrichts mittlerweile E-Learning-Plattformen. Diese werden in der Regel von privaten Anbietern bereitgestellt. Üblicherweise werden im Rahmen der Nutzung dieser Dienste die Namen der Schülerinnen und Schüler entweder von der Lehrkraft oder den Kindern selbst eingegeben. Damit findet eine Übermittlung personenbezogener Daten an eine private Stelle statt, die datenschutzrechtliche Fragestellungen aufwirft. Diese sind bereits Gegenstand von Eingaben besorgter Eltern.

In datenschutzrechtlicher Hinsicht handelt es sich um eine Auftragsdatenverarbeitung durch den Dienstleiter, für die § 17 LDSG anwendbar ist. Nach Kenntnis des ULD werden von den Schulen bisher keine Verträge, die für zulässige personenbezogene Datenverarbeitung Voraussetzung sind, mit den Dienstleistern geschlossen. In der Regel prüft die Schule auch nicht vorab, in welcher Weise und für welchen Zeitraum die Daten der Schülerinnen und Schüler vom Dienstleister verarbeitet werden und ob die Zweckbindung eingehalten wird.

Darüber hinaus werden die Eltern oft nicht oder nicht ausreichend genug über den Einsatz von E-Learning-Plattformen informiert.

Mit dem Anbieter der Plattform „Lo-Net2“ verhandelte das ULD im Jahr 2011, auch im Auftrag der Datenschutzkollegen der anderen Länder, über eine Lösung der auftauchenden Datenschutzfragen. Ergebnisse liegen bisher nicht vor.

Das ULD rät, für den Einsatz solcher elektronischen Dienstleistungen einheitliche und eindeutige datenschutzkonforme Regeln aufzustellen. Dabei sollte u. a. festgelegt werden, dass möglichst keine personenbezogenen Daten oder nur Pseudonyme für die Schülerinnen und Schüler verwendet werden.

Wikis

Immer mehr Lehrkräfte nutzen Wikis zum Informations- und Wissensaustausch über das Internet. Die Wikis werden häufig von diesen initiiert und in eigener Verantwortung betrieben. Sofern es sich nur um einen Austausch von Sachinformationen (z. B. Verteilung von Unterrichtsmaterialien) handelt, ergeben sich hinsichtlich der Verantwortlichkeiten für die Inhalte und der Sicherheit der Wikis i. d. R. keine datenschutzrechtlichen Fragestellungen.

Wikis werden allerdings auch für den Austausch personenbezogener Daten verwendet bzw. in diesen Wikis werden personenbezogene Daten von Schülerinnen und Schülern verarbeitet. Dies ist die Regel, wenn die Wikis für Unterrichtszwecke verwendet werden.

In diesen Fällen sind datenschutzrechtliche Regelungen zu beachten. Es ist zu klären, welche Stelle für die personenbezogene Datenverarbeitung verantwortlich ist. Gemäß § 4 Abs. 1 DSVO-Schule ist die Schulleiterin bzw. der Schulleiter für die Verarbeitung der personenbezogenen Daten der Schülerinnen, Schüler und der Eltern verantwortlich. Sollen Wikis mit personenbezogenen Inhalten (auch) Gegenstand des Bildungs- und Lernprozesses der Schule sein, ist die Schulleitung verpflichtet, die Einhaltung der datenschutzrechtlichen Regelungen sicherzustellen.

Das ULD empfiehlt, für die Nutzung von Wikis einheitliche und eindeutige Regelungen zu treffen, die eine datenschutzkonforme Nutzung ermöglichen. Dabei sollte vorher geprüft werden, ob für die Nutzung überhaupt personenbezogene Daten erforderlich sind.

 

Schulische Lern- und Organisationsplattformen

Vorbemerkung

Immer mehr Schulen setzen zur Unterrichtsorganisation, zur Verteilung von Informationen und zur Kommunikation zwischen den Lehrkräften und den Schülerinnen und Schülern Verfahren ein, die von privaten Dienstleistern entgeltlich oder unentgeltlich zur Verfügung gestellt werden. Teilweise werden OpenSource-Produkte verwendet.

Alle Verfahren zeichnen sich dadurch aus, dass sie multifunktional verwendet und in großem Umfang selbst konfiguriert werden können. Mit Hilfe dieser Verfahren werden auch personenbezogene Daten der Lehrkräfte und der Schülerinnen und Schüler verarbeitet. Die Verfahren werden i. d. R. nicht auf Servern der Schulen gespeichert, sondern durch die privaten Anbieter über das Internet zur Verfügung gestellt. Die Anbieter fungieren somit als Service Application Provider und damit als Auftragnehmer i. S. von § 17 LDSG.

Moodle

Das Opensource-Werkzeug Moodle findet insbesondere in größeren Schulen immer mehr Anwendung. Wegen der im Grundsatz freien Konfigurierbarkeit dieses Werkzeuges sind datenschutzrechtliche Fragestellungen berührt, wenn mit Hilfe von Moodle auch personenbezogene Daten verarbeitet werden sollen.

Infomentor

Mit der Lernmanagement-Plattform Infomentor (https://infomentor.se/Germany/Germany/Production/Mentor_website/home/default.aspx) können Schulen personenbezogene Daten der Schülerinnen und Schüler, der Lehrkräfte und der Eltern verarbeiten. Derzeit will nur eine Schule dieses Verfahren, welches in großem Umfang in Schweden, Island und der Schweiz an Schulen zum Einsatz kommt, einführen.

Lo-Net2

Diese Anwendung (http://www.lo-net2.de) ermöglicht die Verarbeitung von personenbezogenen Daten. Die Datenschutzkonformität wird derzeit vom ULD geprüft. Nach den derzeitigen Erkenntnissen entspricht das Verfahren nicht den datenschutzrechtlichen Anforderungen. Nach Kenntnis des ULD nutzen mehrere Schulen in Schleswig-Holstein das Verfahren.

CommSy („Digitales Lehrerzimmer“)

Diese Anwendung wird in Hamburg an allen Schulen eingesetzt. In Schleswig-Holstein befindet sich diese an einigen Schulen im Probebetrieb. CommSy wird vom IQSH in Absprache mit dem ULD aus Datenschutzsicht überarbeitet. Eine offizielle Äußerung des Ministeriums zum Einsatz liegt nicht vor.

Alle genannten Verfahren sollen den schulischen Alltag für die Beteiligten unterstützen und ggfs. vereinfachen. Es ist fraglich, ob die Nutzung dieser Verfahren durch die Schulleitungen verbindlich für die Betroffenen vorgeschrieben werden kann. Da diese Frage Auswirkungen auf die datenschutzrechtliche Bewertung hat, hält das ULD eine dahingehende eindeutige Aussage des Bildungsministeriums für erforderlich. Das ULD empfiehlt dem Bildungsministerium darüber hinaus, einheitliche und eindeutige Rahmenbedingungen für den Einsatz dieser Produkte festzulegen.

 

Abkürzungen:

AG                  Arbeitsgruppe
EDV               Elektronische Datenverarbeitung
FAQ               Frequently asked questions – häufig gestellte Fragen
DSVO-Schule Datenschutzverordnung-Schule
IQSH              Institut für Qualitätsentwicklung an Schulen Schleswig-Holstein
IT                     Informationstechnik
LanBSH         Landesnetz Bildung Schleswig-Holstein
LArchivG        Landesarchivgesetz
LDSG             Landesdatenschutzgesetz Schleswig-Holstein
PC                  Personal Computer
SchulG           Schulgesetz Schleswig-Holstein
ULD                Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein