Welche wesentlichen Änderungen bringt die DSGVO?
Der Schutz personenbezogener Daten hatte im schulischen Bereich bereits vor Einführung der DSGVO eine große Bedeutung. Mit Anwendung der DSGVO ergeben sich dennoch einige wesentliche Änderungen.
a) Gestärkte Rechte der Betroffenen
Die DSGVO stärkt die Rechte derjenigen, deren personenbezogene Daten verarbeitet werden. Die betroffenen Personen, also z.B. die Schülerinnen und Schüler sowie Lehrkräfte oder auch Eltern, die die schulische Lernplattform nutzen und deren personenbezogene Daten in diesem Zusammenhang verarbeitet werden, haben insbesondere das Recht, vom Verantwortlichen (also von der Schule) vollumfänglich Auskunft über die Verarbeitung ihrer Daten zu erhalten.
Das nach Art. 15 DSGVO bestehende Recht auf Auskunft verpflichtet den Verantwortlichen, einem Betroffenen auf Verlangen folgende Auskünfte zu erteilen:
- Angabe der Verarbeitungszwecke
Bei einer Lernplattform ist anzugeben, zu welchen Zwecken die Schule die Plattform einsetzt. Die Angabe der Zwecke ergibt sich aus einem schulischen Nutzungskonzept bzw. aus dem Medienentwicklungsplan der Schule. Es empfiehlt sich also in jedem Fall, ein Nutzungskonzept zu erstellen, intern abzustimmen und intern zu kommunizieren. Ein abgestimmtes, transparentes Nutzungskonzept, das auch die Berechtigungen für die Nutzer sowie die freigeschalteten Plattformfunktionen enthält, ist zudem eine sehr gute Grundlage für eine erfolgreiche Einführung der Lernplattform in Kollegium, Schülerschaft und Elternschaft. - Angabe der Kategorien personenbezogener Daten, die verarbeitet werden
In der Regel werden auf Lernplattformen Registrierungsdaten, Nutzungsdaten (Daten, die durch die Nutzung automatisiert erfasst werden, z.B. die IP-Adresse oder das Upload-Datum einer Datei) sowie Nutzerdaten (Daten, die der Nutzer selbst auf der Plattform speichert) verarbeitet. Wird die Lernplattform als LMS (Learning Management System) eingesetzt, entstehen Lernstandsdaten. Werden auf der Lernplattform E-Mail-Adressen, Messenger, Webkonferenz oder vergleichbare Kommunikationsdienste eingesetzt, entstehen zudem Kommunikationsdaten (z.B. Sender, Empfänger, Kommunikationsinhalte in Text, Audio und Video, Datei-Anhänge, Zeitangaben zur Kommunikation). - Angabe der Empfänger und Kategorien von Empfängern, die die Daten einsehen können bzw. erhalten
Empfänger der personenbezogenen Daten auf einer Lernplattform sind in der Regel die Nutzerinnen und Nutzer untereinander (z.B. im Klassenverband). Werden Daten von der Lernplattform nach außen freigegeben (z.B. Dateien, E-Mail-Inhalte und Kommunikationsdaten durch Versand), dann sind auch sog. Dritte Empfänger der Daten. Der Auftragsverarbeiter, d.h. der technische Dienstleister für Betrieb und Support, kann ebenfalls Kenntnis von personenbezogenen Daten erlangen, insbesondere bei der Lösung eines nutzerbezogenen Supportproblems. Der Auftragsverarbeiter ist durch den abzuschließenden Vertrag über Auftragsverarbeitung an die Weisungen des Auftraggebers (der Schule) zu binden und zur Vertraulichkeit sowie zur Einhaltung der DSGVO zu verpflichten. Für Weisungen gegenüber dem Auftragsverarbeiter hat die Schule weisungsbefugte Personen der Schule zu benennen. - Angabe der geplanten Speicherdauer der Daten
Hier ist anzugeben, wann personenbezogene Daten standardmäßig gelöscht werden (z.B. Klassendaten nach jedem Schul- oder Halbjahr, Schüler-Zugänge nach Ausscheiden aus der Schule).
Wird der Zugang eines Nutzers gelöscht, werden sämtliche personenbezogene Daten des Nutzers endgültig gelöscht, sobald die Daten auch aus der Datensicherung der Lernplattform (Backup) gelöscht werden. Erst wenn die Daten auch aus der Datensicherung gelöscht sind, gelten sie als endgültig gelöscht und nicht wiederherstellbar.
Bei wwschool beträgt die Speicherfrist im Backup sieben Tage. Nach sieben Tagen also sind die personenbezogenen Daten eines Nutzers, dessen Zugang gelöscht wurde, endgültig gelöscht.
- das Bestehen des Rechts auf Berichtigung, Löschung sowie auf Einschränkung der Verarbeitung
Jede betroffene Person hat das Recht auf Richtigkeit ihrer personenbezogenen Daten sowie das Recht, die Löschung zu verlangen, wenn z.B. die ursprünglichen Verarbeitungszwecke weggefallen sind oder die Verarbeitung nicht rechtmäßig ist (sog. Recht auf „Vergessenwerden“). Die Verarbeitung kann auf der Lernplattform z.B. dadurch eingeschränkt werden, dass bestimmte Nutzerfunktionen für einzelne Betroffene über die Administration abgeschaltet werden.
Im Rahmen des Auskunftsrechts muss dem Betroffenen das Bestehen seines Rechts auf Berichtigung, Löschung sowie auf Einschränkung der Verarbeitung bestätigt werden. - das Bestehen eines Beschwerderechtes bei einer datenschutzrechtlichen Aufsichtsbehörde (Landesdatenschutzbeauftragte/-r)
Die Betroffenen können sich jederzeit bei der für sie zuständigen Aufsichtsbehörde über Verarbeitungsvorgänge, die mit der Lernplattform in Zusammenhang stehen, beschweren. Die Aufsichtsbehörde wird in begründeten Fällen Kontakt mit der Schule aufnehmen und zu Prüfungszwecken Einblick in den Verarbeitungsverzeichniseintrag der Lernplattform sowie in den Vertrag über Auftragsverarbeitung mit dem jeweiligen IT-Dienstleister verlangen.
Im Rahmen des Auskunftsrechts muss dem Betroffenen das Bestehen des Beschwerderechtes bei einer datenschutzrechtlichen Aufsichtsbehörde bestätigt werden. - Angabe der Herkunft der Daten (, falls diese nicht beim Betroffenen selbst erhoben wurden)
Die Registrierungsdaten (Name, Klassenzugehörigkeit) der Nutzer stammen bei Anlage eines Zugangs zur Lernplattform in der Regel aus der Schulverwaltung. Die übrigen Daten werden bei den Nutzern der Lernplattform nach Login erhoben (z.B. evtl. optional eine externe E-Mail-Adresse zum Zurücksetzen des Passwortes) bzw. von den Nutzern selbst auf der Lernplattform gespeichert.
- Angabe, ob eine automatisierte Entscheidungsfindung auf Basis der Daten vorgenommen wird
Eine automatisierte Entscheidungsfindung im Sinne der DSGVO erfolgt auf einer Lernplattform in der Regel nicht, da automatisierte Verarbeitungsvorgänge auf einer Lernplattform keine Entscheidungen treffen, die rechtliche Auswirkungen auf den Betroffenen haben, ohne dass ein Mensch beteiligt wäre.
Fordert ein Betroffener (z.B. ein Schüler, evtl. ein Erziehungsberechtigter) das *Recht auf Auskunft* ein, dann muss die Schule dem Betroffenen innerhalb eines Monats die angeforderten Informationen bereitstellen. Für die Schule ist es also wichtig, die Verarbeitung personenbezogener Daten so „sauber“ zu dokumentieren, dass die Auskunft unaufwändig, möglichst schnell und sachlich richtig erteilt werden kann. Dies wird nur gelingen, wenn die Schule einen Verarbeitungsverzeichnis-Eintrag zur Lernplattform führt und diesen stets aktuell hält.
Weitere Rechte des Betroffenen
Neben dem Recht auf Auskunft hat der Betroffene folgende weitere Rechte:
- Recht auf Berichtigung unrichtiger personenbezogener Daten
- Recht auf Löschung seiner personenbezogenen Daten
- Recht auf Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit (soweit technisch bei einer Lernplattform realisierbar)
- Recht auf Widerspruch.
Widerspricht der Betroffene einer zuvor gegebenen Einwilligung zur Verarbeitung seiner personenbezogenen Daten auf der Lernplattform, so ist die Verarbeitung unverzüglich einzustellen und der betreffende Zugang mit allen personenbezogenen Daten zu löschen, da mit der entzogenen Einwilligung die notwendige Rechtsgrundlage für eine weitere Verarbeitung der Daten entfallen ist.
b) Erweiterte Informationspflichten des Verantwortlichen
Analog zu den gestärkten Rechten der Betroffenen sind die Informationspflichten des Verantwortlichen durch die DSGVO erweitert worden. Der Verantwortliche (die Schulleitung) hat die Betroffenen umfänglich über die geplante Verarbeitung ihrer personenbezogenen Daten *vor Beginn der Verarbeitung* zu informieren.
Da die Schule bei der Nutzung einer Lernplattform die Einwilligungen der Betroffenen vor Anlage ihrer Zugänge zur Plattform einholen muss, ist über die geplante Verarbeitung zum Zeitpunkt der Einwilligung zu informieren. Daher spricht man auch von der sog. „informierten Einwilligung“. Wichtig ist, dass die Einwilligung in jedem Fall freiwillig erfolgt, d.h. sie darf nicht durch die Schule erzwungen werden. Aus der Verweigerung der Einwilligung darf den Betroffenen zudem kein Nachteil entstehen.
Die Informationspflicht umfasst insbesondere die Kategorien der Daten, die Kategorien der Empfänger, die Zwecke der Verarbeitung, die Rechtsgrundlage (Einwilligung nach Art. 6 Abs. 1 Buchstabe a) DSGVO), die Speicherfristen pro Datenkategorie sowie die Rechte der Betroffenen nach Art. 12-23 DSGVO. Man sollte zudem generell zur eingesetzten Lernplattform informieren, eine kurze Beschreibung zur Verfügung stellen und auf das interne Nutzungskonzept der Schule verweisen.
Werden die Informationspflichten bei der Einholung von Einwilligungen nicht erfüllt, sind die gegebenen Einwilligungen unwirksam. Die Schule begeht in diesem Fall einen Datenschutzverstoß, da sie aufgrund datenschutzrechtlich unwirksamer Einwilligungen keine Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten vorweisen kann.
c) Erweiterte Dokumentationspflichten des Verantwortlichen zum Nachweis der Rechtmäßigkeit der Verarbeitung
Nach DSGVO hat der Verantwortliche (die Schule) die Pflicht, die Rechtmäßigkeit der Verarbeitung personenbezogener Daten durch eine geeignete, immer auf einem aktuellen Stand zu haltende Dokumentation nachzuweisen. Ohne diese Dokumentation können weder Betroffenenanfragen beantwortet, noch können der zuständigen Aufsichtsbehörde im Fall der Fälle Informationen zur Prüfung der Verarbeitung zur Verfügung gestellt werden. Die Dokumentationspflicht umfasst beim Einsatz von Lernplattformen folgende Anforderungen:
- Eintrag für die Lernplattform im Verarbeitungsverzeichnis der Schule
Die Schule muss einen Verarbeitungsverzeichnis-Eintrag zu allen Verarbeitungsvorgängen erstellen und pflegen, die mit der Lernplattform in Zusammenhang stehen: Angabe des Verantwortlichen, Angabe einer Verfahrensbeschreibung („Worum geht es überhaupt?“), Angabe der Kategorien der Daten, Angabe der Kategorien der Empfänger, Angabe der Zwecke der Verarbeitung, Angabe der Rechtsgrundlage (Einwilligung nach Art. 6 Abs. 1 Buchstabe a) DSGVO), Angabe der Speicherfristen pro Datenkategorie, Angabe der schulischen technischen und organisatorischen Maßnahmen, Angabe der technischen und organisatorischen Maßnahmen des Auftragsverarbeiters. Mit dem Auftragsverarbeiter ist ein Vertrag zur Auftragsverarbeitung abzuschließen und im Verarbeitungsverzeichnis-Eintrag der Lernplattform als Anlage zu referenzieren. - Dokumentation der technischen und organisatorischen Maßnahmen (TOM) der Schule
Die Schule muss ein Dokument erstellen, das die technischen und organisatorischen Maßnahmen beschreibt, welche die Schule ergriffen hat, um die personenbezogenen Daten zu schützen. Für die Nutzung der Lernplattform muss die Schule gesonderte Maßnahmen definieren (z.B. Umgang mit Administrationszugängen, Berechtigungskonzept, Löschkonzept (wann wird was standardmäßig gelöscht?), Ausschluss privater Nutzung, Verhaltensregeln für Lernende und Lehrende in Sachen Datenschutz und IT-Sicherheit). Diese schulischen TOM sind im Verarbeitungsverzeichnis-Eintrag der Lernplattform als Anlage zu referenzieren (s.o.).
Zu den TOM zählt auch die Dokumentation der datenschutzfreundlichen Voreinstellungen der Lernplattform. Die Schule sollte das Rollen- und Rechtekonzept (welche Rolle hat in welchen Arbeitsbereichen welche Zugriffsrechte) sowie die prinzipiell für die Schule und ihre Mitglieder in den verschiedenen Arbeitsbereichen der Lernplattform freigeschalteten Nutzerfunktionen Funktionen (Basisrechte) dokumentieren. Dies betrifft also die administrativen Voreinstellungen der Lernplattform, bevor Nutzerinnen und Nutzer angelegt werden. Durch die Dokumentation der datenschutzfreundlichen Voreinstellungen kann die Schule die Anforderung nach „privacy by default“ (Art. 25 DSGVO) erfüllen. - Dokumentation der Einwilligungen der Betroffenen
Die Einwilligungen sollten grundsätzlich schriftlich (mit Unterschrift der Schüler bzw. bei Schülern unter 16 Jahren mit schriftlicher Zustimmung eines Elternteils) eingeholt und entsprechend dokumentiert abgelegt werden. Je nach Schulgröße empfiehlt es sich, das Vorliegen einer Einwilligung in die Nutzung der Lernplattform digital zu den Stammdaten des Schülers zu speichern. Da die Einwilligung im Zweifelsfall nachgewiesen werden muss, sollte die unterschriebene Einwilligung eines Schülers mit überschaubarem Aufwand auffindbar und vorlegbar sein.
d) Melde- und Benachrichtigungspflicht nach Art. 33 ff. DSGVO bei Datenpannen
Sollten personenbezogene Daten unrechtmäßig vernichtet oder Dritten unrechtmäßig zugänglich geworden sein („Datenpanne“) und dadurch nach Einschätzung der Schule ein Risiko für die Rechte und Freiheiten der Betroffenen entstehen, sind sowohl die zuständige Aufsichtsbehörde (Landesdatenschutzbeauftragter) als auch die Betroffenen innerhalb von 72 Stunden darüber zu informieren. Beim Einsatz einer Lernplattform dürfte es allerdings – natürlich abhängig von den dort gespeicherten Informationen – in den allerseltensten Fällen zu einem Risiko für die Rechte und Freiheiten der Betroffenen kommen.
e) Rolle des Datenschutzbeauftragten
Schulen müssen einen Datenschutzbeauftragten (DSB) bestellen oder durch eine übergeordnete schulische Behörde einen DSB gestellt bekommen. Der DSB hat die Schule in Fragen des Datenschutzes zu beraten, zu unterstützen und ggf. mit der Aufsichtsbehörde zu kommunizieren. Mit Art. 39 DSGVO kommt dem DSB als weitere Aufgabe hinzu, dass er die *Einhaltung der DSGVO zu überwachen* hat. Neben die beratende Funktion tritt nun mit der DSGVO also auch die Kontrolle durch den DSB. Zudem muss der DSB die Schule bei der Durchführung einer Datenschutz-Folgenabschätzung unterstützen (s.u.).
f) Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO
Falls die Nutzung der Lernplattform und die dort geplante Verarbeitung personenbezogener Daten nach Einschätzung der Schule voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen haben wird, muss die Schule vor Beginn der Plattformnutzung eine sog. Datenschutz-Folgenabschätzung durchführen.
Eine Datenschutz-Folgenabschätzung ist insbesondere durchzuführen und zu dokumentieren, wenn personenbezogene Daten verarbeitet werden sollen, „aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen“ (Art. 9 Abs. 1 DSGVO). Gleiches gilt für genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Auch hier kann man zu der Einschätzung kommen, dass es beim Einsatz einer Lernplattform wohl in den allerseltensten Fällen zu Folgen kommen wird, die ein Risiko für die Rechte und Freiheiten der Betroffenen führen können.
g) Rolle der Aufsichtsbehörden
Die Aufsichtsbehörden erhalten durch die DSGVO deutlich mehr Kompetenzen. Sie können nicht nur Verfahren z.B. anhand des Verarbeitungsverzeichnisses prüfen und müssen den Beschwerden von Betroffenen nachgehen. Sie können nun auch empfindliche Bußgelder bei Datenschutzverstößen verhängen und bei schwerwiegenden Mängeln Verarbeitungen zeitweise aussetzen oder auch gänzlich verbieten, wenn die Mängel vom Verantwortlichen nicht abgestellt werden.
Die Schule wird mit ihrer Aufsichtsbehörde (Landesdatenschutzbeauftragter) insbesondere dann Kontakt haben, wenn sich ein Betroffener (z.B. ein Nutzer der Lernplattform, ein Besucher der Schulwebsite) bei der Aufsichtsbehörde nach Art. 77 DSGVO über die Verarbeitung seiner personenbezogenen Daten beschwert. In diesem Fall muss die Behörde tätig werden und die Inhalte der Beschwerde mit dem Verantwortlichen (der Schule) klären. Die Aufsichtsbehörde wird Änderungen an der Verarbeitung personenbezogener Daten von der Schule einfordern, wenn sie die Rechtmäßigkeit der Verarbeitung z.B. wegen technischer Mängel oder undokumentierten bzw. unwirksamen Einwilligungen als nicht gegeben ansieht.
h) Schadensersatz
Seit Rechtskraft der DSGVO kann ein Betroffener vom Verantwortlichen sowie vom Auftragsverarbeiter Ersatz für materielle und immaterielle Schäden einfordern, die er infolge eines Verstoßes des Verantwortlichen oder des Auftragsverarbeiters gegen die DSGVO erlitten hat (Art. 82 DSGVO). Man wird jedoch Mühe haben, einen Fall zu konstruieren, der infolge der Nutzung einer Lernplattform einen Schadensersatz begründen könnte.
i) Bußgelder und Abmahnungen: Entwarnung
Aufsichtsbehörden können Schulen als öffentliche Stellen zwar datenschutzrechtlich prüfen und Änderungen an laufenden Verarbeitungen verlangen, aber keine Bußgelder gegen öffentliche Stellen verhängen.
Auch die Gefahr von Abmahnungen z.B. wegen mangelhafter Datenschutzerklärungen ist grundsätzlich nicht gegeben, da sich Abmahnungen in Bezug auf datenschutzrechtliche Mängel nur aus dem Gesetz gegen den unlauteren Wettbewerb (UWG) ableiten lassen, Schulen aber dem Wettbewerbsrecht nicht unterliegen.
Weiter zum nächsten Artikel
Zurück zur Übersichtsseite