Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Pandemie und Schule – Datenschutz mit Augenmaß Stand: 20. Oktober 2020 Seit Jahren nimmt der Einsatz digitaler Medien in nordrhein-westfälischen Schulen immer stärker zu. Verständlicherweise lassen sich Schülerinnen und Schüler von Unterrichtsinhalten oft stärker und nachhaltiger begeistern, wenn diese digital präsentiert werden und digital bearbeitet werden können. Mit dem Einsatz digitaler Lehr- und Lernmittel sind viele Chancen, aber auch eine Fülle von Fragen zum Datenschutz und zur Datensicherheit verbunden, die in Nordrhein-Westfalen noch nicht umfassend und abschließend geklärt sind. Zu Einzelthemen befindet sich die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) deshalb seit Jahren immer wieder in Kontakt mit dem für das Ressort verantwortlichen Ministerium für Schule und Bildung des Landes Nordrhein- Westfalen (MSB NRW). Aufgrund der corona-bedingten Beschränkungen hat der Einsatz digitaler Medien im Schulbereich gegenwärtig einen völlig neuen Stellenwert erhalten. Was noch kurze Zeit zuvor unvorstellbar erschien, wurde innerhalb weniger Tage Wirklichkeit: Mit der Schließung aller Schulen in Nordrhein-Westfalen auf zunächst unbestimmte Zeit und weitgehenden Kontaktverboten war an den tradierten Präsenzbetrieb bis auf Weiteres nicht mehr zu denken. Da die Corona-Pandemie auf absehbare Zeit nicht beendet sein wird, ist damit zu rechnen, dass auch künftig Einschränkungen des Präsenzbetriebs erforderlich werden können. Die Schulen sahen und sehen sich gefordert, Alternativen zu finden, um die Schülerinnen und Schüler dennoch weiterhin erreichen und Lerninhalte vermitteln zu können. Einige übersenden Arbeitsmaterialien auf dem Postweg oder per E-Mail an die Kinder und Jugendlichen. Andere halten Lernmaterialien auf ihren Homepages zum Abruf bereit. Um den Unterrichtsbetrieb über einen längeren Zeitraum so gut wie möglich aus der Ferne simulieren zu können, ist vor allem das Interesse an Angeboten zum Einsatz digitaler Medien im Schulbereich geradezu explosionsartig gestiegen. Die Fragen des Datenschutzes und der Datensicherheit treten unter dem Druck, unter dem die Schulen derzeit stehen, oft in den Hintergrund. Ganz ausgeklammert werden können sie jedoch nicht, immerhin handelt es sich bei dem Recht auf informationelle Selbstbestimmung – dem Datenschutzrecht – um ein Grundrecht mit Verfassungsrang. Dies gilt umso mehr, als es sich hier oftmals um Daten Minderjähriger handelt und es zudem eine Schulpflicht gibt. Der Augenblick der Pandemie ist nicht der Zeitpunkt, seit Jahren noch nicht hinreichend gelöste Probleme der digitalen Datenverarbeitung in Schulen aufgreifen und einer dauerhaften Lösung zuführen zu wollen. In dieser besonderen

LDI NRW – Pandemie und Schule Ausnahmesituation, in der sich Schulen in Nordrhein-Westfalen befinden, müssen allerdings gleichwohl Ansätze gefunden werden, die die Verfolgung des Zieles ermöglichen, den Schulbetrieb fortzuführen, ohne den Datenschutz und die Datensicherheit an Schulen zu torpedieren; beides muss – so gut wie unter den erschwerten tatsächlichen Rahmenbedingungen möglich – in Einklang gebracht werden. I.      Grundsätzliche Fragen Einige allgemeine Hinweise seien zunächst vorweggenommen, denn wie aktuelle Anfragen und Eingaben aus dem Schulbereich zeigen, gibt es auch insoweit nach wie vor noch Informationsbedarf: 1. Wer ist wofür zuständig? Wer ist für was verantwortlich? Lehrer A findet eine Software großartig, aber darf er sie deswegen einfach für den Schulbetrieb einsetzen? Schulleiterin B möchte nicht diejenige sein, die über digitale Datenverarbeitung an ihrer Schule entscheidet, weil sie sich den Ärger lieber ersparen möchte – doch hat sie eine Wahlmöglichkeit? Der schulische Datenschutzbeauftragte C bittet die LDI NRW um eine Positiv- sowie eine Negativliste für den Einsatz von Software-Produkten an Schulen – zu Recht? a. Verantwortung der Schule/der Schulleitung; Zuständigkeit der schulischen Datenschutzbeauftragten Soweit die Verarbeitung von Schüler- und Lehrerdaten zu Unterrichtszwecken auf digitalen Wegen erfolgt, um den Bildungs- und Erziehungsauftrag trotz der aufgrund der Corona-Pandemie bestehenden Kontaktbeschränkungen zu erfüllen, haben die verantwortlichen Stellen – vertreten durch ihre jeweiligen Leitungen – die Einhaltung der datenschutzrechtlichen Vorschriften in eigener Verantwortung zu prüfen und sicherzustellen. Schulen der Gemeinden und Gemeindeverbände gelten, soweit sie in inneren Schulangelegenheiten personenbezogene Daten verarbeiten – und nichts Anderes geschieht bei der Erfüllung des Bildungs- und Erziehungsauftrags – nach § 5 Abs. 1 Satz 2 Datenschutzgesetzes Nordrhein-Westfalen (DSG NRW) als (eigenständige) öffentliche Stellen. Für die Schule stellt die jeweilige Schulleiterin oder der Schulleiter durch technische und organisatorische Maßnahmen sicher, dass der Schutz der verarbeiteten Daten gewährleistet ist (§ 1 Abs. 3 Satz 1 der Verordnung über die zur Verarbeitung zugelassenen Daten von Schülerinnen, Schülern und Eltern – VO-DV I, § 1 Abs. 5 der Verordnung über die zur Verarbeitung zugelassenen Daten der Lehrerinnen und Lehrer – VO-DV II). Das bedeutet aber zugleich auch, dass nicht jede einzelne Lehrkraft selbst über den Einsatz von Software-Produkten etc. entscheiden kann. Da der Schulleitung die datenschutzrechtliche Verantwortung zukommt, obliegt diese Entscheidung letztlich ihr (Top-Down-Struktur). Davon unberührt bleibt aber selbstverständlich die in der Schulwirklichkeit geübte Praxis, in den Schulen konsensfähige Lösungen zuvor abzustimmen und damit auch die Akzeptanz der Entscheidungen zu erhöhen. 2

LDI NRW – Pandemie und Schule Nicht der Lehrer A, sondern die Schulleiterin B hat deshalb über den Einsatz des von A bevorzugten Software-Produkts zu entscheiden. Frau B kann sich allerdings – wie auch die Schülerinnen, Schüler, Eltern und Lehrkräfte der Schule – mit der Bitte um Beratung bei Datenschutzfragen an die behördliche Datenschutzbeauftragte oder den behördlichen Datenschutzbeauftragten der Schule wenden. Hierbei gibt es eine Besonderheit: Nach § 1 Abs. 6 Satz 3 VO- DV II benennt für Schulen in kommunaler und staatlicher Trägerschaft das Schulamt eine Person, die die Aufgaben der oder des behördlichen Datenschutzbeauftragten wahrnimmt. Diese oder dieser ist auch für die Kontrolle der Einhaltung der datenschutzrechtlichen Vorschriften in Bezug auf die Daten der Schülerinnen, Schüler und Eltern zuständig (vgl. § 1 Abs. 3 Satz 2 VO-DV I). Frau B müsste sich insoweit also ggf. an das Schulamt wenden, um die entsprechende Person – hier: Herrn C – zu kontaktieren (vgl. auch Beitrag "Überraschend unbekannt: Die Datenschutzbeauftragten der Schulen" im 18. Bericht der LDI NRW 2007 unter 5.3, Seite 44 f.; abzurufen über www.ldi.nrw.de ). Die für die einzelnen Schulamtsbezirke zuständigen Datenschutzbeauftragten können aber auch über folgenden Link ermittelt werden: https://www.medienberatung.schulministerium.nrw.de/Medienberatung/Schule-und- Daten/Datenschutzbeauftragte/Schulen/. b. Verantwortung des MSB NRW In Nordrhein-Westfalen gibt es weit über 6.000 öffentliche Schulen – und jede soll in Corona-Zeiten ihre eigenen digitalen Krisen-Lösungen suchen und finden? So sollte es eigentlich nicht sein, denn es gibt noch eine andere datenschutzrechtliche Verantwortungssphäre: Gemäß § 2 DSG NRW haben die obersten Landesbehörden jeweils für ihren Bereich die Ausführung der Vorschriften über den Datenschutz sicherzustellen (sogenannte Ressortverantwortung). Oberste Landesbehörde für den Schulbereich ist das MSB NRW, und dies ist auch die Behörde, die die Anforderungen im Schulbereich auf das ganze Land gesehen am besten kennt und einschätzen kann. Es ist kaum eine andere Gelegenheit als die derzeitige Pandemie-Ausnahmesituation denkbar, bei der es für Schulen noch wichtiger sein könnte, von ihrer obersten Aufsichtsbehörde konkrete Vorgaben zu bekommen, um die Aufrechterhaltung des Unterrichts unter Einhaltung der datenschutzrechtlichen Bestimmungen zu gewährleisten. c. Zuständigkeit der LDI NRW Und was ist mit Herrn Cs Wunsch, von der LDI NRW eine verbindliche Liste von empfehlenswerten oder weniger empfehlenswerten Software-Produkten zu erhalten? Die LDI NRW ist keine Einrichtung, die etwa der „Stiftung Warentest“ vergleichbar wäre. Sie selbst kann – schon aus kapazitativen Gründen – grundsätzlich keine Prüfung einzelner Softwareprodukte vornehmen. Sie ist regelmäßig keine 3

LDI NRW – Pandemie und Schule Genehmigungsbehörde für Datenverarbeitungsprozesse oder Softwareprodukte. Sie ist auch keine Zertifizierungsstelle und spricht grundsätzlich keine ausdrücklichen Empfehlungen für einzelne Produkte aus. Vielmehr überwacht sie als Aufsichtsbehörde die Einhaltung datenschutzrechtlicher Vorschriften bzw. berät und informiert die öffentlichen Stellen in Belangen des Datenschutzes und der Datensicherheit (vgl. Art. 57 Datenschutz-Grundverordnung – DS-GVO, §§ 26, 27 DSG NRW). Darüber hinaus nimmt sie sich insbesondere auch der Beschwerden und Anfragen von Bürgerinnen, Bürgern sowie behördlichen Datenschutzbeauftragten an. Aus gutem Grund ist die LDI NRW eine von der Landesregierung unabhängige Landesbehörde, die bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse unabhängig ist (vgl. Art. 77a Abs. 2 Satz 1 Verfassung für das Land Nordrhein-Westfalen, Art. 52 Abs. 1 DS-GVO, § 25 Abs. 2 Satz 1 DSG NRW). In Bezug auf das Thema „digitales Lernen“ ist die LDI NRW im Schulbereich zum einen mit Einzeleingaben befasst; zum anderen ist sie im Rahmen des Möglichen bestrebt, Verantwortliche in allgemeiner Hinsicht zu beraten und zu informieren. Diesem Zweck dienen auch diese Online-Hinweise. 2. Welche rechtlichen Rahmenbedingungen sind im Schulbereich zu beachten? Ein aus Datenschutzsicht stets essentieller Aspekt betrifft die Frage nach den Rechtsgrundlagen. Doch welche Rechtsvorschriften sind hier relevant: Die seit dem 25. Mai 2018 geltende DS-GVO? Das Schulgesetz Nordrhein-Westfalen (SchulG) mit den ergänzenden schulrechtlichen Vorschriften, die ja auch ansonsten für den Schulbereich maßgeblich sind? Oder das DSG NRW, das für alle öffentlichen Stellen in Nordrhein-Westfalen gilt? Die Antwort lautet: In all diesen Regelungswerken finden sich Vorschriften, die vorliegend von Bedeutung sein können. Das ist indes nicht so kompliziert, wie es zunächst klingt. Im Folgenden ist allerdings nur eine sehr kursorische Darstellung möglich: Nach Art. 6 Abs. 1 Satz 1 DS-GVO ist eine Verarbeitung personenbezogener Daten durch öffentliche Stellen vor allem dann rechtmäßig, wenn entweder eine Einwilligung vorliegt oder eine Rechtsgrundlage im nationalen Recht nach Art. 6 Abs. 1 Satz 1 Buchstabe c oder e DS-GVO in Verbindung mit Art. 6 Abs. 3 DS-GVO die Verarbeitung erlaubt. Jeder Datenverarbeitungsschritt muss auf einer wirksamen Rechtsgrundlage – einer Rechtsvorschrift oder einer Einwilligung – beruhen, weil die Verarbeitung personenbezogener Daten der betroffenen Personen ansonsten unzulässig ist. Hierzu finden sich unter II. noch nähere Ausführungen. 4

LDI NRW – Pandemie und Schule a. Rechtsgrundlagen im nationalen Recht Derartige Rechtsgrundlagen im nationalen Recht finden sich grundsätzlich sowohl in §§ 120 f. SchulG (und ggf. den sie konkretisierenden Vorschriften der VO-DV I und der VO-DV II) als auch etwa in § 3 DSG NRW. Hier gehen aber die bereichsspezifischen Rechtsgrundlagen des SchulG, die speziellen Regelungen für die Verarbeitung der Daten von Schülerinnen, Schülern, Eltern und Lehrkräften treffen, der allgemeinen (Auffang-) Rechtsgrundlage des § 3 DSG NRW vor. Die allgemeinen Datenschutzregelungen des DSG NRW finden ggf. ergänzend Anwendung (vgl. § 122 Abs. 1 Satz 3 SchulG), soweit sie nicht durch die bereichsspezifischen Vorschriften des SchulG verdrängt werden. b. Einwilligung In Art. 6 Abs. 1 Satz 1 DS-GVO ist die Möglichkeit vorgesehen, eine Datenverarbeitung auch auf die Einwilligung der betroffenen Person zu stützen. Damit eine Einwilligung wirksam ist, müssen bestimmte Voraussetzungen erfüllt sein (vgl. Art. 4 Nr. 11, 7 DS-GVO, § 120 Abs. 2 Satz 3 SchulG, Art. 8 Abs. 1 DS-GVO). Wie sich aus EG 42 DS-GVO ergibt, ist eine Einwilligungserklärung unter anderem nur dann wirksam, wenn die einwilligende Person in geeigneter Weise zuvor über die Bedeutung der Einwilligung informiert wurde. Die Stelle muss die betroffene Person über den gesamten Prozess der geplanten Datenverarbeitung, insbesondere auch über die Person des Verantwortlichen und den Verwendungszweck, für den die Daten verarbeitet werden, informieren. Besonders wichtig ist die Freiwilligkeit der Entscheidung für oder gegen die Erteilung der Einwilligung. Nach EG 42 DS-GVO sollte nur dann davon ausgegangen werden, dass die betroffene Person ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden. Um sicherzustellen, dass die Einwilligung freiwillig erfolgt, sollte diese gem. EG 43 DS-GVO darüber hinaus in besonderen Fällen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt, und deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde, keine gültige Rechtsgrundlage liefern. Aufgrund des durch die Schulpflicht, die Leistungsbewertung oder die Möglichkeit der Sanktionierung nach § 53 SchulG bestehenden Ungleichgewichts zwischen den Protagonisten sind gerade im Schulbereich hohe Anforderungen an die Freiwilligkeit der Entscheidung zu stellen. Das gilt auch für das strukturelle Ungleichgewicht des Dienstverhältnisses, das keinen Einfluss auf die Freiwilligkeit einer Einwilligung haben darf. Insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Personen sowie die Umstände, unter denen die Einwilligung erteilt worden ist, sind dabei zu berücksichtigen. Damit die Einwilligung eine zulässige Rechtsgrundlage 5

LDI NRW – Pandemie und Schule liefert, muss in jedem Fall sichergestellt werden, dass sich die Betroffenen auch faktisch frei von sozialem Druck oder Zwang entscheiden können. 3. Welche weiteren Anforderungen müssen erfüllt werden? Die Frage, welche weiteren Anforderungen die Schulen bei dem Einsatz digitaler Medien erfüllen müssen, lässt sich nur in jedem Einzelfall unter Berücksichtigung der besonderen Umstände beantworten. Allgemein gilt, dass insbesondere die in der Art. 5, 24, 25 und 32 DS-GVO normierten Grundsätze zu beachten sind. Digitale Lehr- und Lernformen, die zu Unterrichtszwecken an den Schulen genutzt werden sollen, müssen zum Schutz der personenbezogenen Daten der Schülerinnen und Schüler sowie der Lehrerinnen und Lehrer die Anforderungen aus Art. 32 DS- GVO an die Datensicherheit erfüllen. Hiernach haben die Verantwortlichen u.a. unter Berücksichtigung der Umstände und der Zwecke der Verarbeitung geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Insbesondere sind in diesem Kontext die Vertraulichkeit und Integrität der Daten sicherzustellen. Deren Einhaltung kann bei einem eigenverantwortlichen Betrieb digitaler Lehr- und Lernformen effektiv sichergestellt werden. Da dies für einzelne Schulen in der Regel nicht mit angemessenem Aufwand leistbar sein dürfte, wäre es aus Sicht der LDI NRW wünschenswert, wenn das Land entsprechende Lösungen, die von Vornherein datenschutzgerecht gestaltet sind, anbieten würde. Darüber hinaus benötigen die Schulen hierzu – auch und gerade in der Ausnahmesituation der Corona-Krise – unbedingt konkrete Vorgaben und Hilfestellungen seitens der obersten Schulaufsichtsbehörde. Soweit sich die Verantwortlichen bei dem Betrieb digitaler Lehr- und Lernformen externer Dienstleister bedienen, haben sie in aller Regel die in Art. 28 DS-GVO normierten Anforderungen der Auftragsverarbeitung zu erfüllen. Neben der Auswahl eines zuverlässigen Anbieters im Sinne von Art. 28 Abs. 1 DS-GVO kommt es insoweit darauf an, die Umstände der Auftragsverarbeitung durch vertragliche Regelungen so festzulegen, dass die jeweils verantwortliche Schule „Herrin der Daten“ bleibt, d.h. insbesondere personenbezogene Daten nur entsprechend ihrer Weisung und für die vereinbarten Zwecke verarbeitet werden und die Vertraulichkeit im Zusammenhang mit der Verarbeitung, z.B. durch eine verschlüsselte Dateihaltung und Kommunikation, sichergestellt ist. Insoweit ist auch von besonderer Bedeutung, ob im Rahmen des Einsatzes der digitalen Lösungen eine Übermittlung personenbezogener Daten an Drittländer vorgesehen ist, die nur unter den in Art. 44 ff. DS-GVO festgelegten Voraussetzungen zulässig ist. Eine solche Übermittlung liegt auch dann vor, wenn der Dienstleister oder dessen Auftragnehmer aus dem Drittland heraus auf in der EU gehaltene Daten zugreift (z. B. zu Wartungs- und/oder Supportzwecken). 6

LDI NRW – Pandemie und Schule Da mit dem Einsatz digitaler Medien zumeist auch die Verarbeitung personenbezogener Daten von Lehrkräften verbunden sein dürfte, ist hier sensibel zu prüfen, wie sich der Einsatz auf das Dienstverhältnis auswirkt. Dies gilt insbesondere dann, wenn der Einsatz solcher Medien Rückschlüsse auf Verhalten oder Leistung der Lehrerinnen und Lehrer zulässt. Hierbei ist es wichtig, die behördlichen Datenschutzbeauftragten und Personalvertretungen einzubeziehen, um den Interessen der Beschäftigten Rechnung zu tragen. In der aktuellen, bislang so wohl noch nicht dagewesenen Lage müssen die Verantwortlichen entscheiden, welche technischen und organisatorischen Maßnahmen im Einzelfall erforderlich und angemessen sind. Dabei gehen wir davon aus, dass allen Verantwortlichen auch in diesen Zeiten der Wert des informationellen Selbstbestimmungsrechts bewusst ist. 4. Dürfen Lehrkräfte ihre privaten PCs zur Verarbeitung von Schülerdaten einsetzen, und auf welchen Geräten verarbeiten Schülerinnen und Schüler die Daten digital? Hier stellt sich die Gegenfrage: Gibt es in Zeiten der Corona-Krise denn eine Alternative zur Nutzung privater Endgeräte der Lehrkräfte? Die LDI NRW weist seit langem darauf hin, dass sich gegen die Nutzung privater Endgeräte der Lehrkräfte durchgreifende Bedenken erheben (vgl. etwa Ausführungen im 23. Bericht der LDI NRW unter https://www.ldi.nrw.de/mainmenu_Service/submenu_Berichte/Inhalt/23_DIB/DIB- 2017.pdf unter 7. ab Seite 44); hierzu ist sie seit Jahren im Austausch mit dem MSB NRW. Die Corona-Krise ist nicht der richtige Zeitpunkt, um abschließende Lösungen zum Einsatz privater Endgeräte im Schulbereich zu finden. Gerade auch hier ist die Aufrechterhaltung der Arbeitsfähigkeit und der Kommunikationsmöglichkeiten trotz dieses außergewöhnlichen, in diesen Auswirkungen nicht vorhersehbaren Ereignisses essentiell, da ansonsten andere Risiken für die Rechte und Freiheiten natürlicher Personen drohen. Letztere sind im Rahmen der nach Art. 32 DS-GVO vorzunehmenden Abwägung der mit der Verarbeitung verbundenen Risiken zu berücksichtigen, wenn Alternativen nicht zeitnah zur Verfügung stehen. Im Einzelfall kann dies zu dem Ergebnis führen, dass vorübergehend einzelne sonst zu ergreifende technische Maßnahmen wie ein Endgerätemanagement durch organisatorische Maßnahmen ersetzt werden können. Für eine vorübergehende Nutzung privater Endgeräte im Schulbereich in dieser Ausnahmesituation ist nach Auffassung der LDI NRW regelmäßig unter anderem zu fordern, dass für den Schulbetrieb genutzte private Endgeräte der Lehrkräfte für die Dauer des Einsatzes keinen Dritten, einschließlich Haushaltsangehörigen, zur Verfügung stehen dürfen, das Sicherheitsniveau der Geräte u. a. durch aktuelle Updates und den Einsatz von Software nur aus vertrauenswürdigen Quellen auf einem tragbaren Niveau ist und ein 7

LDI NRW – Pandemie und Schule Speichern personenbezogener Daten auf den Geräten möglichst vermieden wird. Gleichzeitig sind durch den Verantwortlichen Maßnahmen zu ergreifen, um „nur“ organisatorisch getroffene Maßnahmen so bald wie möglich in dem erforderlichen Maß durch technische Maßnahmen zu ersetzen. Dies schließt insbesondere ein, den Einsatz privater Endgeräte schnellstmöglich zu beenden. Ob und inwieweit ein Einsatz privater Endgeräte von Schülerinnen und Schülern grundsätzlich in Betracht kommen kann, wurde hier noch nicht geprüft. In der derzeitigen öffentlichen Diskussion spielt das Thema vor allem unter dem Gesichtspunkt der sozialen Teilhabe und der Chancengleichheit eine Rolle: Was machen die Schülerinnen und Schüler, denen kein geeignetes Endgerät und/oder kein Drucker zur Verfügung steht? Dieses Problem müssen die Schulen gegenwärtig unbedingt im Blick behalten. Für die Zukunft ist es im digitalen Zeitalter allerdings unbedingt erforderlich, dass sowohl Lehrende als auch Lernende mit schulischen Endgeräten ausgestattet werden, weil nur so dauerhafte und tragfähige Lösungen – sowohl für Lehrkräfte als auch für Schülerinnen und Schüler – zu finden sind. II.     Konkrete Bereiche digitaler Datenverarbeitung in Corona-Zeiten Die Eingaben, die die LDI NRW im Zuge der Corona-Krise aus dem Schulbereich erreichen, betreffen zumeist einen der folgenden drei Themenkomplexe: 1. E-Learning-Plattformen Das MSB NRW setzt seit vielen Jahren im Zusammenhang mit dem Thema E- Learning vor allem auf das Projekt LOGINEO NRW. Die LDI NRW wurde in der Konzeptionsphase punktuell und temporär mit diesem Vorhaben befasst, das hoffnungsvolle Ansätze aufweist. Wegen der laut Mitteilung des MSB NRW zwischenzeitlich zur Verfügung stehenden digitalen Lernplattform LOGINEO NRW LMS wird auf Ziffer II.1.b. verwiesen. a. Rechtlicher Rahmen In Bezug auf die Frage nach den Rechtsgrundlagen für den Einsatz digitaler E- Learning-Plattformen in Schulen bzw. im Unterricht ist zu differenzieren:    Verwaltungsdaten Die Verarbeitung von Verwaltungsdaten ist in den einzelnen Vorschriften der §§ 120 bis 122 SchulG in Verbindung mit der VO-DV I bzw. der VO-DV II bereits eingehend geregelt. Soweit sie zur Aufgabenerfüllung der Schule erforderlich ist, finden sich in diesen Vorschriften schon konkrete Rechtsgrundlagen.    Daten im Zusammenhang mit dem Einsatz digitaler Lehr- und Lernmittel im Unterricht Seit Inkrafttreten des letzten Schulrechtsänderungsgesetzes vom 3. Juni 2020 enthält das SchulG folgende Regelungen, die die Verarbeitung von 8

LDI NRW – Pandemie und Schule personenbezogenen Daten im Zusammenhang mit dem Einsatz von digitalen Lehr- und Lernmitteln ausdrücklich erlauben: o In § 120 SchulG (Daten der Schülerinnen und Schüler sowie Eltern) der neue Absatz 5: „Die Schule darf für den Einsatz digitaler Lehr- und Lernmittel personenbezogene Daten der Schülerinnen und Schüler und der Eltern verarbeiten, soweit dies für die Aufgaben der Schule erforderlich ist.“ o In § 121 SchulG (Daten der Lehrkräfte) wurde in Absatz 1 Folgendes eingefügt: „[Daten der Lehrerinnen und Lehrer dürfen von Schulen verarbeitet werden, soweit dies zur Aufgabenerfüllung bei der Planung und Ermittlung des Unterrichtsbedarfs und der Durchführung des Unterrichts], einschließlich des Einsatzes digitaler Lehr- und Lernmittel, [Maßnahmen der Qualitätsentwicklung und der Qualitätssicherung nach § 3 Absatz 4, wissenschaftlichen Untersuchungen nach § 120 Absatz 4, der Schulmitwirkung sowie in dienstrechtlichen, arbeitsrechtlichen oder sozialen Angelegenheiten erforderlich ist.]“ Die LDI NRW begrüßt, dass hierdurch die Anregung der Datenschutzkonferenz in einem wesentlichen Punkt aufgegriffen wurde. Diese Gesetzesänderung bewirkt – wie alle anderen Vorschriften in den §§ 120 und 121 SchulG sowie der VO-DV I und VO-DV II – eine erforderliche Konkretisierung der jeweiligen Generalklauseln in § 120 Abs. 1 Satz 1 und 121 Abs. 1 Satz 1 SchulG. Eine Voraussetzung für einen datenschutzkonformen Einsatz digitaler Lehr- und Lernmittel ist, dass die Verarbeitung dieser Daten entsprechend dem Gesetzeswortlaut im Verantwortungsbereich der Schule erfolgt, d.h. entweder durch sie selbst oder indem durch Regelungen in einem Auftragsverarbeitungsvertrag sichergestellt ist, dass sie „Herrin der Daten“ ist. Weitere Änderungen von Rechtsvorschriften, insbesondere notwendige Konkretisierungen in der VO-V I und VO-DV II, werden folgen müssen. Hierzu gehört insbesondere eine Festschreibung, welche konkreten Daten regelmäßig für den Einsatz der E-Learning-Plattformen verarbeitet werden dürfen. Weiterhin ist aus Sicht der LDI NRW bei der Umsetzung insbesondere maßgeblich, dass eine Datenverarbeitung auch tatsächlich nur im Rahmen des Erforderlichen erfolgt. Als ein Beispiel sei die Protokollierung der Systemzugriffe genannt. Diese ist aus datenschutzrechtlicher Sicht erforderlich, um die Sicherheit der Systeme zu gewährleisten; nicht erforderlich und damit unzulässig ist dagegen, dass Lehrkräfte Zugriff auf die Protokolldaten erhalten, um das Arbeitsverhalten ihrer Schülerinnen und Schüler zu kontrollieren. 9

LDI NRW – Pandemie und Schule Alle von der Datenverarbeitung betroffenen Personen müssen vorab zudem vor allem auch darüber informiert werden, ob die Nutzung von bestimmten E-Learning- Modulen an der Schule verpflichtend oder freiwillig erfolgt. Im letztgenannten Fall bedarf es wirksamer informierter Einwilligungen (vgl. oben unter Ziffer I.2 b). Gerade wenn eine Nutzung verpflichtend erfolgen soll, muss gewährleistet sein, dass alle Betroffenen die digitalen Module auch tatsächlich und zudem nur im zulässigen Umfang nutzen können; hier sind wir wieder beim Thema der dienstlichen Geräte, die Lehrenden und Lernenden zu diesem Zweck eigentlich zur Verfügung stehen müssten (vgl. oben unter Ziffer I.4). Ferner sei an dieser Stelle klargestellt, dass es auch weiterhin Bereiche geben wird, in denen nur freiwillig über die Verarbeitung personenbezogener Daten entschieden werden kann (Rechtsgrundlage: Einwilligung). Exemplarisch sei hier etwa die Einstellung von Fotos genannt. In Bezug auf die weiteren rechtlichen Anforderungen wird auf die Ausführungen unter Ziffer I.3 verwiesen. b. Praktische Leitplanken Eine datenschutzrechtliche Prüfung einzelner E-Learning-Plattformen durch die LDI NRW ist bislang nicht erfolgt. In jedem Fall ist zu berücksichtigen, dass ein dem Stand der Technik entsprechender Betrieb einer Lernplattform, der auch den Anforderungen des Art. 32 DS-GVO genügt, mit nicht unerheblichem Aufwand verbunden ist. Die LDI NRW rät den Schulen daher, kritisch zu hinterfragen, inwieweit sie diesen Aufwand zu leisten imstande sind, und empfiehlt den verantwortlichen Schulleitungen, die Angebote des zuständigen MSB NRW, das im Rahmen seiner sog. Ressortverantwortung nach § 2 DSG NRW die Ausführung der datenschutzrechtlichen Vorschriften sicherzustellen hat, in ihre Entscheidungsprozesse mit einzubeziehen. Das MSB NRW hat die LDI NRW im Juni 2020 darüber informiert, dass es allen öffentlichen Schule und Ersatzschulen ab sofort die digitale Lernplattform LOGINEO NRW LMS kostenlos zur Verfügung stellt. Das Lernmanagementsystem LOGINEO NRW LMS solle Unterricht auf Distanz erleichtern und dazu beitragen, Lehr-Lern- Prozesse digital zu unterstützen, sei es in Phasen des Lernens auf Distanz wie anlässlich der Corona-Pandemie oder im Rahmen des Präsenzunterrichts. Schulen könnten ihren kostenfreien Zugang zu LOGINEO NRW LMS auch unabhängig von der Schulplattform LOGINEO NRW beantragen. Das Angebot von LOGINEO NRW werde fortlaufend weiterentwickelt und ergänzt. Nähere Informationen finden Sie unter dem folgenden Link: https://www.schulministerium.nrw.de/lehrkraefte/schule-nrw-amtsblatt/schulpoltik- aktuell-logineo-nrw-lms-das-lernmanagementsystem-fuer 10