Datenschutzrechtliche Prüfung - Teil 1 (Vorprüfung)

Ziel:

Das hier als Vorprüfung bezeichnete Vorgehen filtert vorgeschlagene digitale Dienste heraus, die aufgrund grober Mängel aus datenschutzrechtlicher Perspektive für den schulischen Einsatz ungeeignet sind oder die keiner datenschutzrechtlichen Dokumentation bedürfen (z.B. wenn sichergestellt ist, dass keine personenbezogenen Daten verarbeitet werden).

Hinweis:

Wurde bereits im Vorfeld eine Landeslösung identifiziert, die für die gewünschte Nutzung in Frage kommt, entfallen die Prüfschritte Vorprüfung sowie Vollständige Prüfung. Die Dokumentationspflichten sowie einige Arbeitsschritte auf Seiten der Schule zur Vorbereitung des Einsatzes verringern sich. Die speziellen Informationen zum jeweiligen Einsatzszenario und zugehöriger Musterdokumente finden sich auf den Seiten der jeweiligen Landeslösung.

Zusammenhang zwischen Nutzungsszenario und Datenschutz

Der erste Schritt in der Vorprüfung ist, herauszufinden, ob das Datenschutzrecht überhaupt angewendet werden muss. Eine Nichtanwendung tritt nur ein, wenn die Verwendung des Dienstes keinerlei personenbezogene Daten (bspw. Namen, E-Mail-Adressen, Lernstände, IP-Adressen, Geräte-IDs) erfordert oder abfragt. Um dies beurteilen zu können, ist das Einsatzszenario zu berücksichtigen. Im Schulkontext gibt es i.d.R. sechs verschiedene Szenarien im Bezug auf die Geräte und den Einsatzort:

  1. Einsatz schuleigener, nicht-personalisierter Endgeräte in der Schule.
  2. Einsatz schuleigener, personalisierter Endgeräte in der Schule.
  3. Einsatz schuleigener, nicht-personalisierter Endgeräte zuhause.
  4. Einsatz schuleigener, personalisierter Endgeräte zuhause.
  5. Einsatz beliebiger privater Endgeräte in der Schule und zuhause (bring your own device - BYOD).
  6. Einsatz vorgegebener privater Endgeräte in der Schule und zuhause (get your own device - GYOD).

Nicht-personalisiert bedeutet, dass das Gerät keiner Person (hier: keiner Schülerin/keinem Schüler) fest zugewiesen ist und auch kein personenspezifischer Login nötig ist, weil es beispielsweise aus einem Tablet-Koffer der Schule stammt.

Jedes dieser sechs Szenarien ist zudem mit jeder der folgenden sechs grundlegenden Arten digitaler Dienste kombinierbar:

  1. Über den Browser nutzbare Webanwendung ohne Account
  2. Über den Browser nutzbare Webanwendung mit Account
  3. Lokal installierte Software, für deren Nutzung kein Account und keine Internetverbindung erforderlich ist
  4. Lokal installierte Software, für deren Nutzung kein Account, aber eine Internetverbindung erforderlich ist
  5. Lokal installierte Software, für deren Nutzung ein Account, aber keine Internetverbindung erforderlich ist
  6. Lokal installierte Software, für deren Nutzung ein Account und eine Internetverbindung erforderlich ist

Alle möglichen Kombinationen aus Gerätetyp, Einsatzort und Art des Dienstes ergeben die grundlegenden Nutzungsszenarien, aus denen die für den zu prüfenden Dienst zutreffenden Szenarien für die datenschutzrechtliche Prüfung ausgewählt und betrachtet werden müssen. Im Rahmen der vollständigen Prüfung wird das ausgewählte Nutzungsszenario ggf. durch weitere technische oder organisatroische Maßnahmen verfeinert (z.B. Verpflichtung zur pseudonymen Nutzung, Verschlüsselung von Speichermedien), um das Risiko bei der Nutzung zu minimieren.

Beispiel:

Eine Webseite bietet eine Lernübung an. Der Anbieter unterliegt den Vorgaben der DSGVO. Die Lernübung kann ohne die Einrichtung eines Nutzungskontos und die Speicherung von Arbeitsergebnissen durchgeführt werden (Art des Dienstes: Nr. 1).

Einsatzszenario 1: Die Webseite wird über schuleigene, nicht-personalisierte Endgeräte genutzt.
Einsatzszenario 4: Die Webseite wird von zu Hause mit einem privaten Endgerät bspw. für Hausaufgaben (BYOD/ GYOD) genutzt.

In beiden Szenarien wird mindestens die IP-Adresse des Internetanschlusses übertragen, da dies technisch zwingend erforderlich ist. Bei der IP-Adresse handelt es sich um ein personenbezogenes Datum, wie der Bundesgerichtshof am 16.05.2017 festgestellt hat.

Die IP-Adresse ist bspw. in einem Drei-Personen-Haushalt aber einfacher einer konkreten Person zuzuordnen, als dies in einer Schule mit 800 Personen der Fall ist. Somit kann die Auffassung vertreten werden, dass in Szenario 1 das Datenschutzrecht (insb. das Recht auf informationelle Selbstbestimmung) nicht zwangsläufig zu berücksichtigen ist, in Szenario 4 muss es berücksichtigt werden.

Im Grunde fließen bei Nutzung des Internets also immer zumindest personenbeziehbare Daten. Ob und wie ein digitaler Dienst rechtmäßig unterrichtlich eingesetzt werden kann, hängt somit vom Aufwand ab, mit dem einerseits ein Personenbezug vermieden werden kann (z.B. Einsatzszenario 1) bzw. mit dem andererseits die Vorgaben des Datenschutzes erfüllt werden müssen (Einsatzszenario 4). Zudem ist eine Abwägung erforderlich, in der das Potenzial der Gefährdung für die Rechte der betroffenen Personen (hier z.B. Schülerinnen, Schüler, Lehrkräfte, Eltern) bewertet wird. Diese Abwägung erfolgt durch die Schulleiterin bzw. den Schulleiter als für die für die Datenverarbeitung verantwortliche Person (Leiter/in der verantwortlichen Stelle im Sinne des Datenschutzes).

Ausschlusskriterien

Für die Einschätzung, ob ein digitaler Dienst aufgrund deutlicher Nichtkonformität mit den relevanten Datenschutzbestimmungen bereits grundsätzlich nicht im Unterricht eingesetzt werden darf, bieten die im Folgenden gelisteten Kriterien eine erste Hilfestellung. Weitere Prüfungen würden sich bei Ausschluss dann erübrigen.

Ein Ausschlusskriterium liegt dann vor, wenn der Dienst an sich von Grund her (z.B. von seinem Aufbau, seiner Programmierung) gegen Datenschutzvorgaben verstößt, die insbesondere für den schulischen Einsatz gelten. Je nach Kriterium können ggf. technische oder organisatorische Maßnahmen ergriffen werden, um ein datenschutzkonformes Nutzungsszenario zu erreichen. Hierbei ist jedoch zu prüfen, ob der pädagogische Mehrwert des digitalen Dienstes weiterhin gewährleistet ist. Ist dies nicht der Fall, muss der Dienst ausgeschlossen werden.

Bereich

Quelle

Kriterium

Transparenz

   

Wer ist der Anbieter?

Webseite des Anbieters - Impressum/AGB

Ist keine verantwortliche Person/Firma/Behörde auffindbar, ist das ein Ausschlusskriterium.

Wo ist der Anbieter ansässig?

Webseite des Anbieters - Impressum/AGB

Der Anbieter sollte sich in der EU, im EWR oder einem Land mit Angemessenheitsbeschluss* befinden. Handelt es sich um einen Anbieter aus Drittstaaten (inkl. USA), ist das je nach Nutzungsszenario ein Ausschlusskriterium.

Gibt es eine Datenschutzerklärung für den Dienst?

Webseite des Anbieters - Datenschutzerklärung oder ggf. auf Anfrage

Die Datenschutzerklärung muss gut verständlich sein und sich konkret und umfänglich (s.u.) auf den von Schule für die Nutzung in Betracht gezogenen Dienst beziehen. Teilweise beinhaltet die Datenschutzerklärung für die Webseite des Anbieters auch die Informationen bzgl. des angebotenen Dienstes. (Achtung: Die Erklärung darf sich nicht allein auf die Webseite des Anbieters beziehen!). Wenn keine Datenschutzerklärung existiert, ist das ein Ausschlusskriterium.

Datenschutzerklärung

   

Hat der Anbieter eine verantwortliche Person für ihn als verantwortliche Stelle und ggf. einen Datenschutzbeauftragten genannt?

Datenschutzerklärung

Der Anbieter muss eine verantwortliche Person und je nach Unternehmensgröße auch einen Datenschutzbeauftragten benennen. Fehlt diese Angabe, ist das ein Ausschlusskriterium.

Nimmt die Datenschutzerklärung Bezug auf das Auskunftsrecht nach DSGVO/GDPR?

Datenschutzerklärung

Werden die Rechte der Betroffenen (Auskunftsrecht) nicht genannt, ist das ein Ausschlusskriterium.

Kommt der Anbieter seinen Informationspflichten nach?

Datenschutzerklärung

Der Anbieter muss transparent machen welche personenbezogenen Daten er zu welchen Zwecken verarbeitet. Fehlt diese Angabe, ist das ein Ausschlusskriterium.

Welche personenbezogenen Daten sind anzugeben, um den Dienst nutzen zu können und bewegen sich diese Angaben innerhalb des für SH zulässigen Rahmens?

Datenschutzerklärung

Zulässig für unterrichtliche Zwecke für die Nutzung eines digitalen Dienstes sind nach § 11 Absatz 4 SchulDSVO nur Name, Email-Adresse und Lerngruppenzugehörigkeit.

Werden personenbezogene Daten auf Servern verarbeitet?

Falls ja: Wo ist der Standort der Server?

Datenschutzerklärung oder auf Anfrage

Die Daten müssen zwingend in der EU, im EWR oder in einem Land mit Angemessenheitsbeschluss* gespeichert werden.

Werden personenbezogene Daten auf Servern verarbeitet?

Falls ja: Passiert dies auf gemieteten Servern?

Datenschutzerklärung oder auf Anfrage

Server sollten möglichst nicht durch den Anbieter von Dritten (Unterauftragnehmern) angemietet sein, deren Geschäftssitz sich außerhalb der EU, dem EWR oder einem Land mit Angemessenheitsbeschluss* befindet (z.B. Amazon Web Services, Microsoft Azure). Je nach Nutzungsszenario ist das ein Ausschlusskriterium.

Werden bei Nutzung des Dienstes Daten an Dritte weitergegeben?

Datenschutzerklärung oder auf Anfrage

Gibt der Anbieter Daten (ggf. auch mit Einwilligung durch Akzeptieren von AGB, Nutzungsbedingungen usw.) an Dritte (z.B. zu Forschungs- oder Werbezwecken) weiter, ist dies ein Ausschlusskriterium.

Auftragsverarbeitungsvertrag (AVV)

   

Wird ein AVV zum Download/auf Nachfrage angeboten?

Webseite des Anbieters oder auf Anfrage

Sie benötigen zwingend einen AVV, wenn es bei der Nutzung des Dienstes zur Verarbeitung personenbezogener Daten durch den Anbieter oder Dritte kommt. Ermöglicht der Anbieter auch auf Nachfrage keinen Abschluss eines AVV, ist dies ein Ausschlusskriterium.

Ausgewählte rechtliche Aspekte über den Datenschutz hinaus

   

Kann während der Nutzung des Dienstes das Verbot von Werbung eingehalten werden?

Test des Dienstes

Kann das Verbot nicht eingehalten werden, ist dies ein Ausschlusskriterium: Schulgesetz § 29 Warenverkauf, Werbung, Sammlungen, Sponsoring und politische Betätigungen

Enthalten die AGB besondere Vereinbarungen bspw. hinsichtlich von Nutzungsrechten durch den Anbieter?

Webseite des Anbieters - AGB, Nutzungs- und Lizenzbedingungen - auf Anfrage

Müssen für die Nutzung des Dienstes bspw. Rechte abgetreten werden (Anbieter verlangt z.B. Nutzungsrechte an Fotos, die im Dienst durch Nutzende hochgeladen werden), so ist dies ein Ausschlusskriterium.

*Angemessenheitsbeschlüsse können jederzeit geändert oder zurückgezogen werden, wenn sie die in der DSGVO vorgesehenen Durchführungsbefugnisse überschreiten. Das ist z.B. im Fall der USA (Schrems I und II) passiert. Das heißt, dass die Verarbeitung personenbezogener Daten in einem Land mit Angemessenheitsbeschluss plötzlich rechtswidrig werden kann. Somit ist von der Nutzung entsprechender Dienste abzuraten.

[Letzte inhaltliche Änderung am 21.04.2022]