Das Hamburger Institut für berufliche Bildung hat ein Merkblatt zur datenschutzgerechten Verwendung von IT-Tools im Unterricht veröffentlicht.
Und zu berücksichtigen ist (danach):
Ausgangspunkt ist der allgemeine Grundsatz: Kinder sind besonders schutzwürdig.
Durch die zunehmende Nutzung von IT-Tools und Software im Unterricht werden die personenbezogenen Daten der Kinder vermehrt und umfangreich verarbeitet. Die berufliche und schulische Bildung befindet sich im Wandel und hat mit stetigen Veränderungen zu kämpfen. Grund zur Veröffentlichung des Merkblatts soll sein, eine rechtssichere Nutzung von IT-Tools und Software zu gewährleisten.
Beständig werden immer mehr Smart Boards, Tablets, Computer und andere Mobile Geräte zur Vermittlung der Lerninhalte verwendet.
Zunächst ist zwischen IT-Tools und IT-Verfahren (Softwareanwendungen) zu unterscheiden. Die Unterscheidung ist u.a. wegen der Unterschiede der datenschutz-rechtlichen Verantwortlichkeit und der Verarbeitung von Bedeutung.
- Unter „Tool“ werden webbasierte Systeme gefasst, die im Unterricht für spezifische Funktionen genutzt werden, beispielsweise Feedback einholen, Stichworte oder Fragen sammeln, Visualisieren etc.
- Der Einsatz eines Tools für den solcherart begrenzten Zweck erfolgt regelhaft in eigener Verantwortlichkeit der Lehrkräfte. Diese sind daher auch dafür verantwortlich, die Nutzung datenschutzgerecht zu gestalten.
- Die Gestaltung und Bereitstellung der benötigten Datenverarbeitungs-Technologie erfolgt in der Regel durch externe Anbieter, welche die Nutzungsbedingungen setzen und in vielen Fällen die für den Betrieb des Tools benötigten (personenbezogenen) Daten auf eigenen Servern verarbeiten bzw. verarbeiten lassen (die Schule oder die Lehrkräfte haben also keinen Einfluss auf die Gestaltung des Nutzungsverhältnisses).
- IT-Verfahren (auch als „IT-Fachverfahren“ bezeichnet) sind hingegen umfangreiche Anwendungsprogramme (Applikationen, Applications, kurz Apps), die für mehr als ein konkretes Anwendungsszenario nutzbar sind bzw. organisatorisch so eingeführt werden, dass sie für zahlreiche verschiedene Nutzungsszenarien eingesetzt werden sollen.
- Dafür müssen IT-Verfahren insbesondere – sowohl technisch als auch organisatorisch – Freiräume definieren, innerhalb derer qualifiziertes Fachpersonal solche Aufgaben erfüllen kann oder auch dazu angewiesen wird, die wesentlich abstrakter als durch einzelne Nutzungsszenarien definiert sind.
- Die schulischen Nutzungsbedingungen der eingesetzten IT-Verfahren werden entweder von der Schulbehörde oder von der Schulleitung gesetzt. Darin können beispielsweise Nutzungseinschränkungen auf bestimmte Zwecke oder auch Vorgaben zur Konfiguration erfolgen.
Bevor IT-Tools oder IT-Verfahren zur Vermittlung von Lerninhalten verwendet werden, ist zunächst zu prüfen, ob grundsätzlich personenbezogene Daten verarbeitet werden. Ist diese Frage mit einem klaren Nein zu beantworten, so finden die Anforderungen aus der DSGVO keine Anwendung.
Eine handhabbare Umsetzung der Prüfung und Absicherung bietet die nachfolgende
Checkliste zum datenschutzgerechten unterrichtlichen Einsatz eines „Tools“
- Ich habe geprüft, ob in der Anwendung personenbezogene Daten erfasst werden.
Entsprechend: personenbeziehbare Daten? (IP-Adresse? E-Mailadresse? Mac-Adresse? etc.) Falls die Verarbeitung von Klardaten nicht erforderlich ist, habe ich die Möglichkeit zur Pseudonymisierung der Datensätze (Max Mustermann 1 bis XXX) geprüft und ggfs. umgesetzt? - Ich habe abgesichert, dass das „Tool“ über Browserzugriff mit hinreichender Funktionalität verfügbar ist. Schülerinnen und Schülern hingegen die Installation einer App auf ihrem privaten Gerät nahezulegen, kann von keiner Lehrkraft verantwortet werden. App-Installationen auf privaten Geräten dürfen nur im Rahmen behördlich genehmigter Verfahren in Betracht gezogen werden.
Ich weiß, ob die Browsereinstellungen der verwendeten Geräte Cookies zulassen
(BYOD ➔ Ich kann es nicht wissen!) Cookies auf unterrichtlich genutzten Geräten sollten regelhaft nach jeder Sitzung gelöscht werden. - Ich habe den Nutzungszweck der (Daten-) Verarbeitung klar definiert und kritisch hinterfragt, ob für diesen Zweck diese spezielle Verarbeitung erforderlich ist.
- Ich kann mich hinsichtlich der Datenverarbeitung auf eine gesetzliche Grundlage (Art. 6 Abs. 1 lit. e) DSGVO i.V.m. § 98 Abs. 1, 98 b HmbSG) oder eine Einwilligung der Betroffenen berufen. Im Rahmen der Einwilligung habe ich sichergestellt, dass die Freiwilligkeit der Abgabe der Erklärung hinreichend berücksichtigt worden ist.
- Ich habe die Datenschutzerklärung bzw. die AGB des Anbieters hinsichtlich kritischer Verarbeitungen geprüft, zum Beispiel:
- Zugangsdatenspeicherung
- Tracking
- (Third-Party-) Cookies
- Datenweitergabe an Dritte
- Serverstandorte außerhalb der EU
- Umsetzung technisch-organisatorischer Maßnahmen zwecks Datensicherheit (i. d. R. kann ich Aussagen hierzu kaum beurteilen, geschweige denn prüfen. Ich kann mir jedoch eine Einschätzung anhand der Datenschutzerklärung des Anbieters verschaffen)
- Ich habe die Schülerinnen und Schüler (ggf. auch ihre Sorgeberechtigten) über alle vorstehenden Dinge informiert und (sinnvollerweise schriftlich) dargelegt, …
(a) … warum ich die Nutzung zum Erreichen unterrichtlicher Ziele für erforderlich halte und
(b) … ob und ggf. wie die Schülerinnen und Schüler auch ohne Teilnahme an dieser Verarbeitung erfolgreich am Unterricht teilnehmen können.
Sofern diese Checks nicht eindeutig positiv ausfallen, liegt die Anwendung einer oder mehrerer der folgenden Ausweichstrategien nahe
Ich prüfe, ob mein Verarbeitungszweck nicht durch Nutzung behördlich zugelassener Verfahren erfüllt werden kann (derzeit im HIBB vor allem auf WiBeS).
Ich weise die Schülerinnen und Schüler nicht an und nötige ihnen auch nicht faktisch ab, das „Tool“ zu nutzen. Anstelle dessen erläutere ich ihnen alternative Arbeitsweisen mit unterschiedlichen Hilfsmitteln und überlasse ihnen im Sinne eigener Arbeitsorganisation die Entscheidung über das konkrete Vorgehen. Ich verdeutliche, dass ich kein System empfehle, sondern über verschiedene Arbeitsmittel informiere. Das entbindet mich aber nicht von der Pflicht, über etwaige Datenschutzrisiken zu informieren.
Ich schließe die Verarbeitung personenbezogener Daten aus (oder beschränke sie auf einen geringfügigen Umfang), indem ich beispielsweise ohne personifizierte Zugänge der Schülerinnen und Schüler vollkommen anonymisiert arbeite oder bspw. Daten eines Feedbacks nur aggregiert erhebe. Es ist dabei sorgfältig zu überprüfen, ob eine Nutzung ohne personifizierte Zugänge vom Anbieter zugelassen oder überhaupt technisch ermöglicht wird. Hinweis: Eine anonymisierte Verarbeitung von Daten liegt nicht schon dann vor, wenn lediglich der Vor- und Nachname der Schülerinnen und Schüler durch ein Pseudonym ersetzt wird, denn auch eine pseudonymisierte Datenverarbeitung ist datenschutzrechtlich relevant. Eine hinreichende Anonymisierung ist nur dann gewährleistet, wenn auch unter Hinzuziehung eines Zusatzwissens nicht auf die natürliche Person geschlossen werden kann. Je detaillierter der Datensatz ausgestaltet ist, desto eher ist eine Personenrückführbarkeit des Datensatzes möglich.
Exkurs: unterrichtliche Nutzung von IT-Verfahren in Schulen
Mittels IT-Verfahren, mit denen in Schulen unterrichtlich gearbeitet wird, werden gemäß ihrer Zweckbestimmung eine Reihe personenbezogener Daten mit teilweise hoher Schutzbedürftigkeit verarbeitet. Dies umso mehr, je stärker sie in die individuelle unterrichtliche Kommunikation zwischen einzelnen Lehrkräften und einzelnen Schülerinnen und Schülern eingebunden sind bzw. solche Kommunikation unterstützen sollen. Denn anderenfalls, ohne die umfängliche Verarbeitung personenbezogener Daten, wäre der angestrebte unterrichtliche Nutzen nicht erreichbar. Weiterhin erhöht ein ggf. enger Bezug der verarbeiteten Daten zur Notengebung den Schutzbedarf.
Dies gilt grundsätzlich gleichermaßen für pädagogisch eingesetzte Software wie für Verwaltungssysteme. Aus nachvollziehbaren Gründen ist jedoch die Anwendung der Vorgabe u. a. vom Wirkungsradius abhängig, also dem Ausmaß eines möglichen Schadens. Im Einzelfall ist es möglicherweise erforderlich, verschiedene Rechtsgüter gegeneinander abzuwägen, hier z. B. Datenschutzrechte gegenüber der Pflicht zur ordnungsgemäßen Durchführung von Ausbildung, Unterricht und Prüfungen.
Inwiefern dieser Leitfaden hilfreich für Verantwortliche und Lehrkräfte ist, ist eine andere Frage. Lehrer dürften i.d.R. neben ihren eigentlichen Aufgaben wenig Zeit haben, sich mit der Prüfung unzähliger Tools und ihrer ellenlangen Datenschutzerklärungen aufzuhalten. Zumal hierbei oft komplexe technische Verarbeitungsvorgänge zum Einsatz kommen. Es wäre von Vorteil, wenn eine zentrale Stelle weitverbreitete Tools für häufig im Unterricht anfallende Aufgaben und Probleme prüft und zu diesen eine Übersicht zur Verfügung stellen würden. Dadurch könnten Lehrer einen leichten und realistischeren Überblick der Tool-Landschaft erhalten. Zudem müssten dann nicht standardmäßig von jedem Lehrer die Check-Liste abgearbeitet werden, sondern nur komplementär im Ausnahmefällen, wenn diese sich eine out-of-the-box-Lösung wünschen.
Solange dies nicht der Fall ist, wenden Sie sich (insbesondere in Zweifelsfällen) vor dem Einsatz solcher Tools oder Software gerne an, damit wir die Prüfung dann übernehmen können.
Werden personenbezogene Daten verarbeitet, geben Sie doch bitte bereits bei der Anfrage möglichst die folgenden Informationen
Welches IT-Tool oder welche Software soll eingesetzt werden? (Bitte möglichst genau bezeichnen)
Zu welchem genauen Zweck soll dieses Tool / diese Software eingesetzt werden?
Wer sind die betroffenen Personen?
Welche Daten der betroffenen Personen werden verarbeitet?
Sind besonders schutzwürdige Daten (Gesundheitsdaten, Sozialdaten etc.) betroffen?
Ist die Verarbeitung dieser Daten für den konkreten Zweck zulässig, d.h. kann man sich insoweit auf eine gesetzliche Rechtsgrundlage oder eine Einwilligung der betroffenen Personen berufen?
Ist die Verarbeitung in dieser konkreten Form erforderlich?
Gibt es eine datensparsamere Form der Verarbeitung?
Besteht die Möglichkeit zur Pseudonymisierung der Datensätze oder ist wirklich die Verwendung der Klardaten zwingend erforderlich?
Erfolgt eine Datenweitergabe an Dritte? Falls ja: Ist die Datenweitergabe durch eine gesetzliche Rechtsgrundlage oder eine Einwilligung der Betroffenen gedeckt?