Das Ministerium für Schule und Bildung (MSB) NRW hat eine geänderte Dienstanweisung für die automatisierte Verarbeitung personenbezogener Daten in der Schule (DA ADV- BASS 10 – 41 Nr. 4) veröffentlicht. Die sogenannte DA ADV zielt darauf ab, Datenschutz und Datensicherheit an Schulen in den Fokus zu rücken. Das geschieht durch Bezüge auf die rechtlichen Grundlagen des Datenschutzgesetzes NRW und der Verordnungen über die zur Verarbeitung zugelassenen Daten (VO-DV I + II).
Was müssen Lehrkräfte beachten, wenn sie Tablets, Laptops oder andere private Endgeräte im Unterricht verwenden möchten?
Neu ist die systematisierte Anlage, die die „Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf ADV-Anlagen (private Endgeräte) von Lehrkräften“ regelt. Eigentlich für die Nutzung der geschützten Umgebung LOGINEO NRW entwickelt, wird sie nun zur dienstlichen Nutzung aller Software auf dem eigenen Gerät herangezogen. Und Beschäftigte werden am Ende um ihre Zustimmung per Unterschrift gebeten.
Wozu verpflichten sich Lehrer*innen mit einer Unterschrift?
Auf den letzten Seiten des Genehmigungsformulars muss die Lehrkraft folgende Verpflichtungserklärung abgeben: „Ich verpflichte mich, ausschließlich die in Teil A (und ggf. E) genannten personenbezogenen Daten auf meinen privaten Endgeräten und die Daten auch nur für dienstliche Zwecke zu verarbeiten. Des Weiteren verpflichte ich mich, die in Teil B aufgeführten technischen und organisatorischen Maßnahmen umzusetzen und einzuhalten. Ich werde jegliche Änderung der obenstehenden Angaben der/den datenverarbeitenden Stelle/n zur Kenntnis bringen. Ich wurde darüber in Kenntnis gesetzt, dass ich verpflichtet bin, der Schulleiterin oder dem Schulleiter alle Auskünfte zu erteilen, die für die datenschutzrechtliche Verantwortung erforderlich sind. Ich verpflichte mich, Datenmissbrauch oder Datenverlust der bei mir verarbeiteten Daten umgehend der Schulleitung zu melden.“
Können Schulleitungen auf eine Unterschrift drängen?
Nein! Es handelt sich um einen Antrag des einzelnen Beschäftigten auf eine Genehmigung, die von der Schulleitung gegeben werden kann. Rechtlich verantwortlich für die Einhaltung der Datenschutzbestimmungen bei der Verarbeitung der dienstlichen personenbezogenen Daten sind die Schulleitungen. Ihnen obliegt die Überprüfung der im Antrag aufgeführten Maßnahmen zum Schutz der Daten.
Welche Folgen hat es, wenn Lehrer*innen nicht unterschreiben?
Es hat keine dienst- oder arbeitsrechtlichen Folgen. In vielen Fällen müsste jedoch die bisherige, zum Teil bequemere Arbeitsweise verändert werden. Solange es nicht genügend dienstliche Geräte gibt, ist viel Kreativität aller Beteiligten erforderlich oder es dauert länger, um bestimmte Arbeitsergebnisse zu erzielen.
Welche Handlungsoptionen haben Lehrer*innen?
- Die Genehmigung nicht unterschreiben und keine personenbezogenen Daten automatisiert verarbeiten: Die Verarbeitung personenbezogener Daten auf dem eigenen Gerät ist freiwillig, also zurück zu Stift und Block. Der Vorteil dieser Methode ist, dass Lehrkräfte von persönlicher Haftung befreit sind.
- Genehmigung nicht unterschreiben und so tun, als ob nichts gewesen wäre: Es ist definitiv nicht zu empfehlen, automatisierte Datenverarbeitung ohne Genehmigung zu betreiben. Neben der persönlichen Haftung machen sich Lehrkräfte so dienst- beziehungsweise arbeitsrechtlich angreifbar. Auch wenn Datenschutz in der eigenen Schule bislang noch niemanden besonders interessierte, sind die Regelungen des Datenschutzgesetzes NRW und der Verordnungen schon lange gültig.
- Genehmigung unterschreiben, obwohl man die geforderten Anforderungen an Datenschutz und Datensicherheit möglicherweise nicht erfüllen kann: Das ist nicht zu empfehlen. Ein Haftungsausschluss wird nur erreicht, „sofern Sie die hier (im Genehmigungsantrag für private ADV-Anlagen) aufgeführten Maßnahmen zum Schutz der Daten einhalten“. Das gilt für alle aufgeführten Maßnahmen gleichermaßen.
Was ist LOGINEO und was steht in der Dienstvereinbarung zu LOGINEO?
Die neue Dienstanweisung wendet das für die Nutzung der geschützten Umgebung LOGINEO entwickelte Genehmigungsformular immer in Schulen an, wenn es um geschützte persönliche Daten auf privaten Endgeräten geht. Im Gegensatz zu einer dienstlichen Anweisung, die allein der Dienstherr erlässt, wurde für diese Plattform im Internet eine Dienstvereinbarung vom Dienstherrn mit den Hauptpersonalräten (ausgenommen für Realschulen) ausgehandelt.
LOGINEO: das Land NRW und die kommunalen Spitzenverbände stellen allen Schulen nun eine datenschutzkonforme, geschützte Arbeitsplattform zur schulischen Kommunikation, Organisation und Dokumentenverwaltung zur Verfügung. Sie heißt LOGINEO NRW. Diese sollte nun eigentlich in den Schulen schon umgesetzt werden, damit die Arbeit – auch mit eigenen Endgeräten – ohne schwierige Haftungsfragen für die Lehrkraft auch zu Hause umgesetzt werden kann. Leider gab es technische Probleme, weswegen der Start der Software verschoben wurde.
Dienstvereinbarung zu LOGINEO: Zum Schutz der Beschäftigten haben die Hauptpersonalräte viele Regelungen gefordert und einige dieser Forderungen auch in der Dienstvereinbarung mit dem Schulministerium vereinbaren können. Es ist zum Beispiel geregelt, dass eine mögliche Einführung in den Schulen explizit unter Beteiligung der Lehrer*innenkonferenz und der Schulkonferenz erfolgen soll oder dass die Nutzung von LOGINEO NRW durch Lehrkräfte freiwillig ist und auf Grundlage einer persönlichen Einwilligungserklärung erfolgen muss. Wenn jemand nicht teilnehmen will, müssen die Informationen auf andere Weise zur Verfügung gestellt werden.
Was sagt die Landesdatenschutzbeauftragte NRW dazu?
Die Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI) schrieb im 23. Datenschutzbericht unter anderem: „Die Schulleitung ist aufgrund der Vielfältigkeit der Risiken bei der Datenverarbeitung heutzutage nicht mehr in der Lage, alle technisch relevanten Sicherheitsaspekte zu überschauen.“ Das wurde im weiteren Verlauf mit der Vielzahl der Gerätetypen, Betriebssysteme, Softwares und deren Wechselwirkung begründet und mit der Forderung abgeschlossen, dass wirksamer Datenschutz nur durch Bereitstellung dienstlicher Endgeräte zu gewährleisten sei.
Was rät die GEW NRW?
Lehrkräfte sollten in Lehrer*innenkonferenzen über das Thema diskutieren und zusammen Lösungen finden. Es ist ratsam, ein gemeinsames Datenschutzkonzept zu entwickeln, das mit den behördlichen Datenschutzbeauftragten abgestimmt wird. Die GEW fordert, dass digitale Medien – sowohl Software und Hardware – in ausreichender Zahl für die Beschäftigten kostenfrei zur Verfügung stehen und dass die Datensicherheit über die IT des Schulträgers gewährleistet ist.