Datenschutzbeauftragter Schmalkalden, Datenschutz und Datensicherheit, Licht und Partner

FAQ – Schulen - Cloud Computing, Schulcloud und Online-Plattform

Q 1: Die Schule nutzt eine Cloud-Lösung eines Drittanbieters. In diesem Fall sorgt doch der Anbieter für den Datenschutz?

A: Nein. Für den Datenschutz ist weiterhin die Schule verantwortlich. Der Cloud-Anbieter wird im Auftrag der Schule tätig (Auftragsverarbeitung nach Art. 28 DS-GVO). Hieraus folgt, dass bei einer solchen Beauftragung die nachfolgenden Punkte zwingend beachtet werden müssen:

a) der Auftrag muss schriftlich erfolgen,

b) im Vertrag muss eine konkrete Benennung der eingesetzten Hardware, Software und Vernetzung erfolgen sowie

c) eine präzise Darstellung der bereits durch den Anbieter getroffenen technischen und organisatorischen Datenschutzmaßnahmen.

d) Der Vertrag darf keine Aussage darüber enthalten, dass die AGBs bzw. andere Vertragsbestandteile einseitig geändert werden können.

e) Im Vertrag muss eine abschließende und vollständige Auflistung aller Stellen, Personen oder Firmen, an die Daten übermittelt werden erfolgen,

f) Die Schule muss sich von den vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugen. Wenn die Schule nicht die Mittel und Möglichkeiten hat, die ordnungsgemäße Verarbeitung ihrer Daten beim Cloud-Anbieter zu überprüfen, könnten aktuelle und aussagekräftige Nachweise, beispielsweise Zertifikate von anerkannten und unabhängigen Prüfungsorganisationen, herangezogen werden.

g) Im Vertrag muss eine Verpflichtung des Dienstleisters zur Vertraulichkeit erfolgen,

h) Im Vertrag muss eine Unterstützungspflicht des Dienstleisters bei der Umsetzung der Betroffenenrechte durch die Schule vereinbart sein und es

i) muss die Lösch- oder Rückgabepflicht der Daten nach Anschluss der Verarbeitung vereinbart sein.

j) Bei Unterauftragsverarbeitung muss eine Genehmigung des Auftraggebers eingeholt werden.

k) Der Auftraggeber muss sich Betretungs- und Kontrollrechte vertraglich zusichern lassen. Weitere Informationen zum Thema „Auftragsverarbeitung“ erhalten sie im Glossar

Quelle: Thüringer Ministerium für Bildung, Jugend und Sport (Hrsg.): Antworten auf häufig gestellte Fragen zum Datenschutz in Schulen, Erfurt 2019

Q 2: Der Anbieter verweigert einen oder mehrere der in Frage 1 genannten Vertragspunkte. Darf die Cloud dennoch eingesetzt werden?

A: Nein. In diesem Fall dürfen keine personenbezogenen Daten in der Cloud gespeichert werden.

Quelle: Thüringer Ministerium für Bildung, Jugend und Sport (Hrsg.): Antworten auf häufig gestellte Fragen zum Datenschutz in Schulen, Erfurt 2019

Q 3: Ist der datenschutzkonforme Einsatz von Cloud-Lösungen an der Schule möglich?

A: Ja. Es sollte aber ausschließlich mit Dienstleistern zusammengearbeitet werden, die Ihren Sitz im Geltungsbereich der DS-GVO haben. Dabei ist auch darauf zu achten, dass dies seitens des Auftragnehmers auch für alle Unterauftragnehmer zugesichert wird. Im Vertrag müssen die unter Frage 1 genannten Punkte schriftlich vereinbart werden. Zahlreiche Anbieter haben sich bereits auf die datenschutzrechtlichen Anforderungen an Schulen eingestellt und erfüllen diese vertraglich.

Quelle: Thüringer Ministerium für Bildung, Jugend und Sport (Hrsg.): Antworten auf häufig gestellte Fragen zum Datenschutz in Schulen, Erfurt 2019

Q 4: Der Anbieter benennt die sog. „safe harbor principles“ und verweist vor diesem Hintergrund auf die datenschutzrechtliche Unbedenklichkeit seiner Cloud. Kann auf dieser Grundlage eine Beauftragung erfolgen?

A: Nein. Hierfür sind folgende Gründe maßgeblich: Einige Dienstleister hatten als rechtliche Grundlage für die Beauftragung die sogenannten Safe Harbor Principles genannt. Diese Safe Harbor Principles wurden von der Europäischen Kommission anerkannt, eine Datenverarbeitung war deshalb zulässig. Vom Europäischen Gerichtshof (EuGH) wurde jedoch die Safe Harbor Principles als nicht ausreichend bewertet und eine Datenverarbeitung auf dieser Grundlage (Urteil vom 6. Oktober 2015) als unzulässig bewertet. Es ist bis auf weiteres davon auszugehen, dass auch die EU Model Clauses, die andere Dienstleister anführen, ähnlich zu bewerten sind. Eine Beauftragung basierend auf dem anerkannten EU-US-PrivacyShield ist bis auf weiteres ebenfalls nicht angeraten. Zwar ist dieser von der von der Europäischen Kommission anerkannt worden, es bleiben aber noch viele Fragen und Kritik offen.

Quelle: Thüringer Ministerium für Bildung, Jugend und Sport (Hrsg.): Antworten auf häufig gestellte Fragen zum Datenschutz in Schulen, Erfurt 2019

Q 5: Dürfen Cloud-Angebote nichteuropäischer Anbieter (z. B. MS-Office 365 oder Google Classroom) für Unterrichtszwecke genutzt werden?

A: Nein. Die Cloudkomponenten dieser Softwareprodukte dürfen nicht für personenbezogene Daten genutzt werden. Die Daten werden auf Servern verarbeitet, die in rechtlicher und technischer Hinsicht nicht den europäischen Datenschutz-Standards entsprechen. Ein Einsatz ist somit nur dann zulässig, wenn entweder über ein Treuhandmodell der Zugriff durch US-amerikanische Stellen ausgeschlossen ist oder wenn keine personenbezogenen Daten in der Cloud gespeichert werden. Solche Lösungen sind bislang noch nicht absehbar.

Quelle: Thüringer Ministerium für Bildung, Jugend und Sport (Hrsg.): Antworten auf häufig gestellte Fragen zum Datenschutz in Schulen, Erfurt 2019

Q 6: Dürfen personenbezogene Daten auf dienstlichen Geräten über die CloudAngebote der großen Marktführer (Microsoft one drive, Apple icloud, google drive, dropbox) ausgetauscht werden?

A: Nein. Personenbezogene Daten dürfen nur durch öffentlich-rechtliche Cloudanbieter (schulinterne Cloudlösungen, kommunale Datenzentralen) und private Cloudanbieter mit Sitz innerhalb der EU ausgetauscht werden. Die Verwendung außereuropäischer Anbieter kommt bis auf weiteres nicht in Betracht, da diese die europäischen Datenschutzanforderungen nicht erfüllen. Der Freistaat Thüringen erarbeitet im Rahmen des Digitalpaktes eine datenschutzkonforme Cloud-Lösung für die Thüringer Schulen.

Quelle: Thüringer Ministerium für Bildung, Jugend und Sport (Hrsg.): Antworten auf häufig gestellte Fragen zum Datenschutz in Schulen, Erfurt 2019

Q 7: Ich nutze meinen Rechner auf Grundlage der einschlägigen Verwaltungsvorschrift zuhause für dienstliche Zwecke. Darf ich hier für den komfortablen Dateiaustausch und Datensicherung Cloud-Lösungen nichteuropäischer Anbieter nutzen?

A: Nein. Es dürfen keine personenbezogenen Daten auf Servern verarbeitet werden, die in rechtlicher und technischer Hinsicht nicht den europäischen Datenschutz-Standards entsprechen. Bitte beachten sie, dass entsprechende Cloud-Funktionalitäten in ihrer Software bei der dienstlichen Nutzung deaktiviert sind.

Quelle: Thüringer Ministerium für Bildung, Jugend und Sport (Hrsg.): Antworten auf häufig gestellte Fragen zum Datenschutz in Schulen, Erfurt 2019

Q 8: Dürfen Zeugnisse bzw. Zeugnisnoten dort verarbeitet werden? / Dürfen die Zeugnisse in der TSC hochgeladen werden?

A: Für den Wunsch, Zeugnisse über eine Schulcloud zu verschicken, besteht keine Erforderlichkeit (Datenminimierung). Wenn die Zeugnisübergabe nicht stattfinden kann, hilft es nicht, diese in Dateiform zu übersenden. Letztlich hilft den Eltern auch ein Ausdruck nicht, da dieser nicht beglaubigt ist. Es geht dann nicht anders, als die Zeugnisse per Post zu verschicken, wenn nicht der Beginn des Präsensunterrichtes abgewartet werden kann.

Quelle: Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit, FAQ zur Videokonferenz der Schulleitungen mit dem ThILLM zum Thema Corona-Pandemie und Schule, Stand Dezember 2021

Q 9: Können im Vorfeld (geplante) Zeugnisnoten über die TSC besprochen werden? / Welche Möglichkeiten gibt es, datenschutzkonform Leistungsbewertungen incl. der erbrachten schriftliche Arbeiten und Noten an SuS zu übermitteln?

A: Dies wirft die Frage der Datensicherheit der TSC auf. Es ist darauf hinzuweisen, dass die TSC zwar prinzipiell ein technisch sicheres System ist, aber letztlich für den Unterricht als Lernplattform dienen soll und nicht als Kommunikation für sensible Daten konzipiert wurde. In jedem Fall müsste diese in einem geschlossen Raum erfolgen, der sicher vor dem Zugriff Dritter ist.

Für sensible Daten ist die TSC auch schon deshalb nicht geeignet, da diese nur mit Nutzername und Passwort gesichert wird. Daher ist die Wahrscheinlichkeit hoch, dass früher oder später ein Dritter an die Account-Daten eines Schülers oder Lehrers kommt (z. B. durch deren Unachtsamkeit). Dann sollten besser keine sensiblen Daten in der Cloud liegen. Um wirklich sicher zu sein, müsste eine Zwei-Faktor-Authentifizierung gegeben sein.

Für Notenbesprechungen bietet sich als sicheres Medium das Telefon an.

Q 10: Dürfen Noten als Kommentar über die TSC an SuS mitgeteilt werden? Dürfen Noten in dem Schüler persönlich zugeordneten Bewertungskommentar zu Aufgaben der Schulcloud (da, wo man den Prozentsatz einträgt, was ja prinzipiell das Gleiche ist.) eingetragen werden? Dürfen in der TSC Noten für einzelne SuS veröffentlicht werden?

A: Siehe auch Antwort auf Frage 2: Wenn einzelne Noten sensible Daten sind, darf neben der Note auch nicht die Prozentzahl zur Erfüllung des Aufgabenstandes in die Schulcloud eingestellt werden.

Q 11: Dürfen in der Schulcloud Informationsvideos verlinkt werden?

A: Siehe Antwort Frage 12 und 13

Q 12: Dürfen die SuS über die TSC selbst erstellte Videos zur Begutachtung und Rückmeldung einstellen - möglicherweise auch mit ihrer eigenen Person im Bild? (Anfrage aus dem Bereich Sport, um Übungen zu korrigieren)

A: In den falschen Händen können solche Videos durchaus Schaden anrichten – von Cybermobbing bis hin zu sexueller Belästigung. Gelangen solche Videos einmal frei ins Internet, sind diese nicht mehr löschbar. Daher sind solche Videos nach Auffassung des TLfDI „sensible Daten“ und dürfen nicht in der Schulcloud gespeichert werden, wenn die Videos einen Personenbezug enthalten. Davon ist im genannten Fall (Sport) immer auszugehen. Unproblematisch sind hingegen Videos, in denen ausschließlich die Dokumentation eines Experiments im Mittelpunkt steht, etwa in den Fächern Physik oder Biologie.

Q 13: Welche Formen von Lerninhalten sind erlaubt - Links aus Videos, Webseiten, Lexika

A: Aus datenschutzrechtlicher Sicht muss sichergestellt sein, dass auch die Links datenschutzkonform sind. Insbesondere dürfen keine Tracking-Tools dort eingesetzt werden. Über die Links darf kein Zugriff auf Produkte erfolgen, die Datentransfers in Drittstaaten außerhalb der EU durchführen, soweit in den betreffenden Drittstaaten Gesetze zur (willkürlichen) Überwachung der Kommunikation ohne angemessenen Rechtsschutz existieren. Dies ist u. a. in den USA und in China der Fall. Ein Link oder eine Aufgabe, die die Nutzung eines Youtube-Videos initiiert, ist damit in schulischem Kontext tabu und wird im Übrigen auch durch die Nutzungsbedingungen von Youtube selbst ausgeschlossen, die nur eine Verwendung für private Zwecke zulassen (vgl. Nutzungsbedingungen Youtube https://www.youtube.com/t/terms , dort „Berechtigungen und Einschränkungen“, Stand 21.01.2021).

Im Präsensunterricht bestehen aus der der Sicht des TLfDI keine Bedenken dagegen, wenn eine Lernkraft in der Klasse bzw. im Kurs ein YouTube Video auf einem Datenverarbeitungsgerät der Schule vorführt und dieses so konfiguriert ist, dass YouTube aus den übermittelten Identifizierungsmerkmalen und IP-Adressen keinen Personenbezug herstellen kann.

Q 14: Wie können Schulsozialarbeiter in die Schulcloud eingebunden werden?

A: Schulsozialarbeiter können aus datenschutzrechtlicher Sicht in die Schulcloud eingebunden werden. Ihnen muss dazu ein eigener abgeschlossener (Video-)Raum zugewiesen werden. Für den Austausch sensibler Daten gilt das für Lehrer unter 3. Gesagte analog. Da es momentan nicht die Rolle „Sozialarbeiter“ gibt, könnte dieser in der Rolle des Lehrers auf der Plattform agieren. Dort darf er aber nur die Funktion zum Anlegen von Videokonferenzräumen nutzen.

Selbst die Terminplanung ist hier allerdings kritisch zu sehen und muss sehr allgemein gehalten werden. Es darf nicht ersichtlich sein, welche Personen, wann einen Termin haben. Auswertungen, Protokolle, Gesprächsinhalte und Dokumente mit personenbezogenen Daten dürfen nicht auf der Plattform gespeichert werden. Ob die Nutzung der Schulcloud von Schulsozialarbeiter*innen zugelassen wird, muss die Schulleitung entscheiden.

Q 15: Darf die TSC zum Datenaustausch genutzt werden? Ist es zulässig und sicher inein extra angelegtes Team passwortgeschützte Dateien abzulegen, die schülerbezogene Daten enthalten?

A: Zur Beantwortung der Frage wird auf das aktuelle Dokument „Datenschutzerklärung Thüringer Schulcloud“ (Stand: 01.08.2021), welches unter https://www.schulportal-thueringen.de/getdata/aed844ef-96c8-4a38-8034 a72a0873378b/Datenschutzerkl%C3%A4rung_TSC_01_08_2021.pdf zu finden ist, verwiesen. Auf S. 3 des Dokuments wird unter Verarbeitungszwecke ausgeführt, dass die TSC der Vermittlung und Verwaltung von Lerninhalten sowie der Unterstützung des Bildungs-und Erziehungsauftrags der Schulen dienst. Ausdrücklich darf die TSC nicht für die schulinterne Verwaltung von Schülerdaten für andere Zwecke genutzt werden. „In der Thüringer Schulcloud sind daher insbesondere keine Funktionen zur Notenerfassung, Schülerbewertung oder Anwesenheitskontrolle vorgesehen. Die Thüringer Schulcloud stellt auch kein digitales Klassenbuch dar.“ Aus diesem Grund dürfen auch auf passwortgeschützten Dateien innerhalb eines Teams in der TSC keine sensiblen Schülerdaten, etwa Leistungs-, Verhaltens- und Gesundheitsdaten, ausgetauscht werden.

Q 16: Muss der Datenschutz bei Online-Lernplattformen beachtet werden?

A: Ja. Allerdings sind hier zwei Konstellationen zu unterscheiden. Der Freistaat Thüringen arbeitet aktuell mit den anderen Ländern an der Einführung einer Landeslösung. Hier werden Fragen des Datenschutzes bereits bei der Konzeption und technischen Umsetzung abschließend geklärt.

Bei der Nutzung von Lösungen anderer Anbieter müssen die nachfolgenden Punkte beachtet werden:

Wenn die Schule Online-Dienste als unterrichtsbegleitendes Element nutzt, ergeben sich Sorgfaltspflichten, wenn in diesem Zusammenhang personenbezogene Daten der Schülerinnen und Schüler genutzt werden sollen oder genutzt werden müssen. Ferner sind datenschutzrechtliche Vorschriften zu beachten.

Seitens der Schulleitung und der Lehrkräfte sind folgende Punkte zu beachten:

Jeder Webseitenbetreiber unterliegt einer Impressumspflicht. Aus dem Impressum lassen sich die Identität der Stelle und ihre Adresse entnehmen. Es muss seitens der Schule sichergestellt sein, dass die Daten beim Auftragnehmer ausschließlich für den schulisch gewünschten Zweck verarbeitet und keinen unbefugten Dritten zur Kenntnis gegeben werden sowie die Löschung unmittelbar nach Beendigung der Inanspruchnahme der Dienstleistung erfolgt.

Die Schule sollte sich diese Eigenschaften schriftlich vom Diensteanbieter bestätigen lassen. Entsprechende Erklärungen auf der Webseite des Diensteanbieters sind nicht ausreichend.

a) Es ist zu prüfen, ob der Anbieter des Dienstes eine öffentliche oder eine nicht-öffentliche (private) Stelle ist und seinen Sitz in Deutschland hat. Öffentliche Stellen sind aufgrund ihrer Rechtsstellung verpflichtet, die einschlägigen Rechtsvorschriften zum Datenschutz und der Datensicherheit für öffentliche Stellen zu beachten; private Stellen müssen das Bundesdatenschutzgesetz beachten.

b) Es ist zu prüfen, ob für die Nutzung des Dienstes zwingend personenbezogene Daten der Schülerinnen und Schüler (Vorname, Name) einzugeben sind. Vorrangig sollte mit Pseudonymen gearbeitet werden.

c) Ist die Preisgabe personenbezogener Daten notwendig oder von der Schule gewollt, muss vor der Nutzung des Dienstes die Schule prüfen, in welcher Weise der Diensteanbieter die Daten verarbeitet. Datenschutzrechtlich ist die Inanspruchnahme eines solchen Dienstes durch die Schule als Auftragsverarbeitung (Art. 28 DS-GVO) anzusehen. Damit bleibt die Schule für die Datenverarbeitung verantwortlich. Seitens der Schulleiterin oder des Schulleiters ist in jedem Fall zu prüfen, ob es sich bei der Nutzung des Online-Dienstes um Datenverarbeitung im Auftrag (Art. 28 DS-GVO) handelt. Ausschlaggebend ist hierbei, ob durch den Diensteanbieter personenbezogene Daten der Nutzer (Lehrer, Schüler) verarbeitet werden. Es wird geraten, allen Lehrkräften deutlich zu machen, dass sie vor der Nutzung eines unterrichtsbegleitenden Online-Dienstes, die Schulleiterin oder den Schulleiter informieren müssen, damit sie oder er die Einhaltung der rechtlichen Vorgaben prüfen kann.

Die Konferenz der Datenschutzbeauftragten hat eine Orientierungshilfe für Online Lernplattformen herausgegeben. Diese finden Sie unter: www.BildungTH.de/Datenschutz-in-Schulen

Rechtsgrundlage: §§ 43, 44 ThürSchulG

Quelle: Thüringer Ministerium für Bildung, Jugend und Sport (Hrsg.): Antworten auf häufig gestellte Fragen zum Datenschutz in Schulen, Erfurt 2019

Q 17: Welche alternativen Plattformen zur Schulcloud können genutzt werden?

A: Alternativen zur TSC sind etwa Moodle, itslearning, Edupage oder AntonApp, zumindest unter Einhaltung gewisser Bedingungen. Die Schulen können sich hier auch an den zuständigen Datenschutzbeauftragten der Schulämter wenden.

Q18: Kann die "Anton-App" für das häusliche Lernen der Schüler genutzt werden? Bei dieser App ist es möglich seine Schüler direkt anzulegen und ihnen gezielt Aufgaben zuzuweisen. Bezüglich des Datenschutzes habe ich widersprüchliche Informationen recherchiert.

A: Ja, die Anton-App kann nach kursorischer Prüfung durch den TLfDI genutzt werden. Es wurde nur die Lernfortschrittskontrolle durch Anton über logger.anton.com festgestellt und keine Datentransfers, welche zu Drittdiensten führten. Insbesondere findet –nach heutigem Stand- kein Tracking durch Drittanbieter statt.

Q 19 Gibt es eine Art "Orientierungshilfe" für Online-Lernplattformen im Schulunterricht?

Ja: Orientierungshilfe der Datenschutzaufsichtsbehörden für Online-Lernplattformen im Schulunterricht: Stand 26.04.2018

Zusammenfassung:

• Die Online-Lernplattform ist so zu konfigurieren, dass ausschließlich die zur pädagogischen Aufgabenerfüllung der Schule erforderlichen Daten erhoben und verarbeitet werden.

• Es bietet sich die Nutzung von Online-Lernplattformen an, die je nach vorgesehenem Einsatzszenario modular angepasst werden können.

• Die Betroffenen sind vor der Nutzung der Online-Lernplattform über mögliche Auswertungen umfassend zu informieren.

• Die Online-Lernplattform ist so zu konfigurieren, dass ausschließlich die zur pädagogischen Aufgabenerfüllung der Schule erforderlichen Daten erhoben und verarbeitet werden. Es bietet sich die Nutzung von Online-Lernplattformen an, die je nach vorgesehenem Einsatzszenario modular angepasst werden können. Die Betroffenen sind vor der Nutzung der Online-Lernplattform über mögliche Auswertungen umfassend zu informieren.

• Bei der Auswahl der Online-Lernplattform ist darauf zu achten, dass die Grundsätze der Datensparsamkeit und Datenvermeidung (z. B. nicht zu viele Stammdaten, Freitextfelder, Kommentarfunktionen) gewährleistet werden.

• Es ist eine pseudonymisierte Nutzerverwaltung der Lernplattform geboten.

Q 20 Wie soll informationstechnische und medienkundliche Bildung funktionieren, wenn eine Vielzahl der heutigen Cloud-Produkte im Unterricht auf Grund der Datenschutzprobleme gar nicht verwendet werden dürfen?

Aus datenschutzrechtlicher Sicht bestehen keine Bedenken gegen das Unterrichten der Nutzung und der Funktionsweise von einschlägigen Cloudprodukten. In der Pra- xis ist aber darauf zu achten, dass keine personenbezogenen Daten der Schülerin- nen und Schüler sowie der Lehrkräfte verarbeitet werden. Daher müssen schulei- gene Computer, Laptops, Smartphones, Tablets usw. genutzt werden, die über nicht personenbezogene IP-Adressen verfügen sowie niemals mit personenbezieh- baren Accounts genutzt werden (auch nicht mit privaten Accounts von Schülern), da ab diesem Zeitpunkt durch Datenverknüpfungen Bezüge zu den angemeldeten Personen möglich werden. Das Anlegen von Test-Accounts darf nicht mit echten Namen und Adressangaben der Schülerinnen und Schüler sowie der Lehrkräfte er- folgen. Weiterhin sollten die Rechner regelmäßig von Datenspuren gereinigt werden (z.B. Browserverlauf, Cookies löschen).

Externe Inhalte

Cookie-Einstellungen