Datenschutzrechtliche Prüfung - Teil 1 (Vorprüfung)

Ziel

Das hier als Vorprüfung bezeichnete Vorgehen filtert vorgeschlagene digitale Dienste heraus, die aufgrund grober Mängel aus datenschutzrechtlicher Perspektive für den schulischen Einsatz ungeeignet sind oder die keiner datenschutzrechtlichen Dokumentation bedürfen.

Hinweise:

  • Wurde bereits im Vorfeld eine Landes- oder Einzellösung identifiziert, die für die gewünschte Nutzung in Frage kommt, entfallen die Prüfschritte Vorprüfung sowie Vollständige Prüfung. Die Dokumentationspflichten sowie einige Arbeitsschritte auf Seiten der Schule zur Vorbereitung des Einsatzes verringern sich. Die speziellen Informationen zum jeweiligen Einsatzszenario und die zugehörigen Musterdokumente befinden sich hier.
  • Wenn keinerlei personenbezogenen Daten verarbeitet werden, fällt der Dienst nicht in den Anwendungsbereich des Datenschutzrechts. Doch auch in diesem Fall gibt es zusätzliche Prüfkriterien, die beachtet werden müssen. Beispiele hierfür sind unter der Überschrift „Ausgewählte rechtliche Aspekte über den Datenschutz hinaus“ am Ende der Seite gelistet.

Zusammenhang zwischen Nutzungsszenario und Datenschutz

Der erste Schritt in der Vorprüfung ist, herauszufinden, ob das Datenschutzrecht überhaupt angewendet werden muss. Eine Nichtanwendung tritt nur ein, wenn die Verwendung des Dienstes keinerlei personenbezogene Daten (bspw. Namen, E-Mail-Adressen, Lernstände, IP-Adressen, Geräte-IDs) erfordert oder abfragt. Um dies beurteilen zu können, müssen zunächst die verwendeten Geräte und ihr Einsatzort betrachtet werden. Im Schulkontext sind folgende Kombinationen üblich:

  1. Einsatz schuleigener, nicht-personalisierter Endgeräte im Schulnetz.
  2. Einsatz schuleigener, personalisierter Endgeräte im Schulnetz.
  3. Einsatz schuleigener, nicht-personalisierter Endgeräte zuhause.
  4. Einsatz schuleigener, personalisierter Endgeräte zuhause.
  5. Einsatz beliebiger privater Endgeräte im Schulnetz und zuhause (bring your own device - BYOD).
  6. Einsatz vorgegebener privater Endgeräte im Schulnetz und zuhause (get your own device - GYOD).

Nicht-personalisiert bedeutet, dass das Gerät keiner Person (hier: keiner Schülerin/keinem Schüler) fest zugewiesen ist und auch kein personenspezifischer Login nötig ist, weil es beispielsweise aus einem Tablet-Koffer der Schule stammt.

Jede dieser sechs Kombinationen ist zudem mit jeder der folgenden sechs grundlegenden Arten digitaler Dienste nutzbar:

  1. Über den Browser nutzbare Webanwendung ohne Account
  2. Über den Browser nutzbare Webanwendung mit Account
  3. Lokal installierte Software, für deren Nutzung kein Account und keine Internetverbindung erforderlich ist
  4. Lokal installierte Software, für deren Nutzung kein Account, aber eine Internetverbindung erforderlich ist
  5. Lokal installierte Software, für deren Nutzung ein Account, aber keine Internetverbindung erforderlich ist
  6. Lokal installierte Software, für deren Nutzung ein Account und eine Internetverbindung erforderlich ist

Alle möglichen Kombinationen aus Gerätetyp, Einsatzort und Art des Dienstes ergeben die grundlegenden Nutzungsszenarien, aus denen das zutreffende Szenario für die datenschutzrechtliche Prüfung des zu untersuchenden digitalen Dienstes ausgewählt und betrachtet werden muss. Im Rahmen der vollständigen Prüfung wird das ausgewählte Nutzungsszenario ggf. durch weitere technische oder organisatorische Maßnahmen verfeinert (z.B. Verpflichtung zur pseudonymen Nutzung, Verschlüsselung von Speichermedien), um das Risiko bei der Nutzung zu minimieren.

Beispiel:

Eine Webseite bietet online Lernübungen für den Physikunterricht an. Der Anbieter unterliegt den Vorgaben der DSGVO. Die Lernübungen können ohne die Einrichtung eines Accounts durchgeführt werden (Art des Dienstes: Nr. 1). Außerdem beinhalten die Übungen keine Freitextfelder.

Fall 1: Die Webseite wird über schuleigene, nicht-personalisierte Endgeräte im Schulnetz genutzt.
Fall 2: Die Webseite wird von zu Hause mit einem privaten Endgerät bspw. für Hausaufgaben (BYOD/ GYOD) genutzt.

In beiden Fällen wird mindestens die IP-Adresse des Internetanschlusses übertragen, da dies technisch zwingend erforderlich ist. Bei der IP-Adresse handelt es sich um ein personenbezogenes Datum, wie der Bundesgerichtshof am 16.05.2017 festgestellt hat.

Die IP-Adresse ist bspw. in einem Drei-Personen-Haushalt aber einfacher einer konkreten Person zuzuordnen, als dies in einer Schule mit 800 Personen der Fall ist. Somit kann die Auffassung vertreten werden, dass im ersten Fall das Datenschutzrecht (insb. das Recht auf informationelle Selbstbestimmung) nicht zwangsläufig zu berücksichtigen ist, im zweiten Fall muss es berücksichtigt werden.

Im Grunde fließen bei Nutzung des Internets also immer zumindest personenbeziehbare Daten. Ob und wie ein digitaler Dienst rechtmäßig unterrichtlich eingesetzt werden kann, hängt somit vom Aufwand ab, mit dem einerseits ein Personenbezug vermieden werden kann (z.B. Fall 1) bzw. mit dem andererseits die Vorgaben des Datenschutzes erfüllt werden müssen (Fall 2). Zudem ist eine Abwägung erforderlich, in der das Potenzial der Gefährdung für die Rechte der betroffenen Personen (hier z.B. Schülerinnen, Schüler, Lehrkräfte, Eltern) bewertet wird. Diese Abwägung erfolgt durch die Schulleitung als für die für die Datenverarbeitung verantwortliche Person (Leitung der verantwortlichen Stelle im Sinne des Datenschutzes).

Ausschlusskriterien

Für die Einschätzung, ob ein digitaler Dienst aufgrund deutlicher Nichtkonformität mit den relevanten Datenschutzbestimmungen bereits grundsätzlich nicht im Unterricht eingesetzt werden darf, bieten die im Folgenden gelisteten Kriterien eine erste Hilfestellung. Weitere Prüfungen würden sich bei Ausschluss dann erübrigen.

Ein Ausschlusskriterium liegt dann vor, wenn der Dienst an sich von Grund her (z.B. von seinem Aufbau, seiner Programmierung) gegen Datenschutzvorgaben verstößt, die insbesondere für den schulischen Einsatz gelten. Je nach Kriterium können ggf. technische oder organisatorische Maßnahmen ergriffen werden, um ein datenschutzkonformes Nutzungsszenario zu erreichen. Hierbei ist jedoch zu prüfen, ob der pädagogische Mehrwert des digitalen Dienstes weiterhin gewährleistet ist. Ist dies nicht der Fall, muss der Dienst ausgeschlossen werden.

Grundlegende Kriterien

Wer ist der Anbieter?

  • Herauszufinden über die Webseite des Anbieters - Impressum/AGB
  • Ist keine verantwortliche Person/Firma/Behörde auffindbar, ist das ein Ausschlusskriterium.

Wo ist der Anbieter ansässig?

  • Herauszufinden über die Webseite des Anbieters - Impressum/AGB
  • Der Anbieter sollte sich in der EU, im EWR oder einem Land mit Angemessenheitsbeschluss1 befinden. Handelt es sich um einen Anbieter aus Drittstaaten, ist das je nach Nutzungsszenario ein Ausschlusskriterium.

Gibt es eine Datenschutzerklärung für den Dienst?

  • Herauszufinden über die Webseite des Anbieters - Datenschutzerklärung oder auf Anfrage
  • Die Datenschutzerklärung muss gut verständlich sein und sich konkret und umfänglich (s.u.) auf den von Schule für die Nutzung in Betracht gezogenen Dienst beziehen. Teilweise beinhaltet die Datenschutzerklärung für die Webseite des Anbieters auch die Informationen bzgl. des angebotenen Dienstes. (Achtung: Die Erklärung darf sich nicht allein auf die Webseite des Anbieters beziehen!).
  • Wenn keine Datenschutzerklärung existiert, ist das ein Ausschlusskriterium.

Kriterien aus der Datenschutzerklärung (Privacy Policy)

Hat der Anbieter eine verantwortliche Person für ihn als verantwortliche Stelle und ggf. einen Datenschutzbeauftragten genannt?

  • Der Anbieter muss einen Verantwortlichen benennen. Das können natürliche oder juristische Personen oder auch Behörden sein.
  • Bei Unternehmen müssen je nach Größe auch Kontaktdaten für einen Datenschutzbeauftragten (DSB) genannt werden. Behörden müssen immer einen DSB nennen.
  • Fehlen diese Angaben, ist das ein Ausschlusskriterium.

Nimmt die Datenschutzerklärung Bezug auf die Betroffenenrechte nach DSGVO/GDPR?

  • Werden die Rechte der Betroffenen (insb. Auskunft, Löschung, Widerspruch) nicht genannt, ist das ein Ausschlusskriterium.

Kommt der Anbieter seinen Informationspflichten nach?

  • Der Anbieter muss transparent machen welche personenbezogenen Daten er zu welchen Zwecken verarbeitet.
  • Fehlt diese Angabe, ist das ein Ausschlusskriterium.

Welche personenbezogenen Daten sind anzugeben, um den Dienst nutzen zu können und bewegen sich diese Angaben innerhalb des für SH zulässigen Rahmens?

  • Zulässig für unterrichtliche Zwecke für die Nutzung eines digitalen Dienstes sind nach § 11 Absatz 4 SchulDSVO nur Name, Email-Adresse und Lerngruppenzugehörigkeit sowie weitere technische personenbezogene Daten und Daten die erst bei der Nutzung entstehen (Auflistung von Beispielen im Gesetzestext).

Verarbeitung von personenbezogenen Daten durch Externe (Auftragsverarbeitung)

Wird ein Auftragsverarbeitungsvertrag - AVV (Data Processing Agreement - DPA) angeboten?

  • Herauszufinden über die Webseite des Anbieters oder auf Anfrage
  • Sie benötigen zwingend einen AVV, wenn es bei der Nutzung des Dienstes zur Verarbeitung personenbezogener Daten durch den Anbieter oder durch den Anbieter beauftragte Unterauftragsverarbeiter kommt.
  • Ermöglicht der Anbieter auch auf Nachfrage keinen Abschluss eines AVV, ist dies ein Ausschlusskriterium.

Wo ist der Standort der Server?

  • Herauszufinden über die Datenschutzerklärung, den AVV oder auf Anfrage.
  • Die Daten müssen zwingend in der EU, im EWR oder in einem Land mit Angemessenheitsbeschluss1 gespeichert werden.

Gibt es der Unterauftragsverarbeiter?

  • Herauszufinden über die Datenschutzerklärung, den AVV oder auf Anfrage.
  • Haben Unterauftragsverarbeiter Zugriff auf die Daten, sollte deren Geschäftssitz sich möglichst in der EU, dem EWR oder einem Land
  • mit Angemessenheitsbeschluss1 befinden.
  • Je nach Nutzungsszenario ist das ein Ausschlusskriterium.

Werden bei Nutzung des Dienstes Daten an Dritte2 weitergegeben?

  • Herauszufinden über die Datenschutzerklärung oder auf Anfrage.
  • Gibt der Anbieter Daten (ggf. auch mit Einwilligung durch Akzeptieren von AGB, Nutzungsbedingungen usw.) an Dritte2 (z.B. zu Forschungs- oder Werbezwecken) weiter, ist dies ein Ausschlusskriterium.

Ausgewählte rechtliche Aspekte über den Datenschutz hinaus

Kann während der Nutzung des Dienstes das Verbot von Werbung eingehalten werden?

Enthalten die AGB besondere Vereinbarungen bspw. hinsichtlich von Nutzungsrechten durch den Anbieter?

  • Herauszufinden über die Webseite des Anbieters - AGB, Nutzungs- und Lizenzbedingungen
  • Müssen für die Nutzung des Dienstes bspw. Rechte abgetreten werden (Anbieter verlangt z.B. Nutzungsrechte an Fotos, die durch Nutzende hochgeladen werden), so ist dies ein Ausschlusskriterium.

1 Angemessenheitsbeschlüsse können jederzeit geändert oder zurückgezogen werden, wenn sie die in der DSGVO vorgesehenen Durchführungsbefugnisse überschreiten. Das ist z.B. im Fall der USA bereits zwei mal passiert (Schrems I und II). Das heißt, dass die Verarbeitung personenbezogener Daten in einem Land mit Angemessenheitsbeschluss plötzlich rechtswidrig werden kann. Somit ist von der Nutzung entsprechender Dienste abzuraten.

2 Dritter ist laut Art. 4 Nr. 10 DSGVO wer nicht betroffene Person, Verantwortlicher, Auftragsverarbeiter oder Unterauftragsverarbeiter ist.

[Letzte inhaltliche Änderung am 24.07.2023]