Die Thüringer Aufsichtsbehörde hat ihren Tätigkeitsbericht für 2020 vorgestellt. Das Dokument wurde am 25.10.2021 veröffentlicht und kann unter 3. Tätigkeitsbericht des TLfDI zum Datenschutz nach der DS-GVO: Berichtsjahr 2020 heruntergeladen werden. Die Aufsichtsbehörde unter dem TLfDI Lutz Hasse äußert sich im Tätigkeitsbericht ab S. 79 auch zum Thema Schule. Es geht dort um das wohl wichtigste Thema von 2020, Distanzunterricht und Videokonferenzsysteme. Es geht dort auf knapp 6 Seiten um datenschutzrechtliche Fragen beim Einsatz von Videokonferenzsystemen. Erklärt wird, welche datenschutzrechtlichen Vorgaben zu erfüllen sind. Da es im Thüringer Schulgesetz keine Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten per Videokonferenz gibt, ist hier eine Einwilligung der Schüler bzw. deren Erziehungsberechtigten erforderlich. Für Lehrkräfte kann die Teilnahme an Videokonferenzen verpflichtend sein, wenn „sofern die Schulleitung dies innerhalb ihrer Organisationsbefugnis festlegt.“ Ähnlich wie in anderen Bundesländern stützt man diese Verpflichtung dann durch einen Rückgriff auf allgemeine datenschutzrechtliche Regelungen der DS-GVO und und Regelungen des Thüringer Datenschutzgesetz in Verbindung mit dem Thüringer Beamtengesetz.
Immer wieder betont wird im Text die Verantwortung der Schulleitung für die Datenverarbeitung in der Schule. Da die Schulleitung die Schule nach außen vertritt und gegenüber den Lehrkräften weisungsberechtigt ist, können Lehrkräfte nicht eigenmächtig Videokonferenz Systeme für Nutzung mit ihren Schülerinnen und Schülern einführen, sondern müssen dafür zuvor die Genehmigung der Schulleitung einholen. Für die Schulleitung bedeutet diese Verantwortung auch, dass sie als Verantwortlicher verpflichtet ist, „gemäß Art. 24 DS-GVO geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen und nachzuweisen, dass die Verarbeitung personenbezogener Daten gemäß der DS-GVO erfolgt.“ Das gilt auch für „Open-Source-Lösungen wie zum Beispiel BigBlueButton und Jitsi Meet.“
Wird das Videokonferenzsystem vom Schulträger vorgegeben, so ist auch dieser in der Pflicht und muss „grundsätzlich die hinreichenden Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung datenschutzgerecht erfolgt.“ Die Aufsichtbehörde hebt in dem Zusammenhang hervor:
„Wichtig ist, dass bei Fehlen dieser Voraussetzungen diese nicht im Wege der Einwilligung quasi ersetzt werden können – die Einwilligung ersetzt lediglich die sonst fehlende Rechtsgrundlage, kann aber nicht Verstöße gegen die DS-GVO legalisieren.“
Stellt der Schulträger das Videokonferenzsystem bereit, muss die Schule mit diesem einen Vertrag zur Auftragsverarbeitung abschließen. Sehr interessant in diesem Zusammenhang ist, dass die Aufsichtsbehörde hier auch die Möglichkeit einer gemeinsamen Verantwortlichkeit gem. Art. 26 Abs. 1 DS-GVO sieht:
„Als weitere Möglichkeit können die Schule und der Schulträger gemäß Art. 26 Abs. 1 DS-GVO als gemeinsam für die Verarbeitung Verantwortliche die Zwecke der und die Mittel zur Verarbeitung festlegen. Hierzu müssen die Schule und der Schulträger eine Vereinbarung abschließen, in der insbesondere festgelegt wird, wer von ihnen welche Verpflichtung erfüllt und wer welchen Informationspflichten gemäß den Artikeln 13 und 14 DS- GVO nachkommt.“
Im Folgenden werden dann erforderliche technische und organisatorische Maßnahmen beschrieben, die vom Verantwortlichen bei der Nutzung von Videokonferenzsystem mit Schülern getroffen werden müssen und welche Funktionen auf keinen Fall genutzt werden dürfen (Aufnahme von Videokonferenzen). Danach geht es um die Auswahl eines geeigneten Systems, ob on Premise oder als Software-as-a-Service“ (SaaS) in der Cloud. Bei Online Diensten muss vorab geprüft werden, ob diese die schuldatenschutzrechtlichen Voraussetzungen erfüllen.
„Als Mindestvoraussetzung sollten nur Anbieter ausgewählt werden, die sich im Anwendungsbereich der DS-GVO befinden. Problematisch ist auch, dass Anbieter nur Daten im Auftrag der Schule verarbeiten dürfen, welche vom Verarbeitungszweck schulischen Charakter haben. Verfolgt ein Anbieter auch eigene Zwecke (Analyse von Nutzerverhalten, Datensammlung zu Marketingzwecken, Werbung), so darf die Schule auch hier die Plattform nicht nutzen.“
Da bei der Nutzung von SaaS Anbietern immer ein Vertrag zur Auftragsverarbeitung abzuschließen ist, muss dieser von der Schule zuvor gut geprüft werden. Schulen sollen bei Unklarheiten Fragen stellen und im Zweifelsfall den AVV nicht akzeptieren. Viele der in Schulen genutzten SaaS Videokonferenzsystem Lösungen kommen von US Anbietern. Deswegen weist die Aufsichtsbehörde zum Ende noch einmal auf die Problematiken einer Nutzung, die sich durch Schrems II ergeben, hin, und dass man die Nutzung kritisch sieht.
Die Aufsichtsbehörde bemüht sich um Unterstützung der Schulen des Bundeslandes, wie aus dem Bericht deutlich wird. Es gab fortlaufende Informationsschreiben für Schulleitungen zu (nicht-)Empfehlungen von Videokonferenzsystem und man stand Schulleitung im Rahmen von Videokonferenzsprechstunden zu Fragen des Datenschutzes im Online-Unterricht Rede und Antwort.
Bewertung
Der Abschnitt des Tätigkeitsberichtes des TLfDI zum Distanzunterricht und Videokonferenzsystemen ist sehr lesenwert und nach meiner Einschätzung eine hilfreiche Lektüre, wenn es um die Auswahl von geeigneten Plattformen für den Einsatz im Unterricht geht, denn was hier exemplarisch für Videokonferenzplattormen erklärt wird, lässt sich problemlos auch auf andere Arten von Plattformen übertragen, seien es Lernmanagementsysteme, Schulmessenger, Arbeits- und Kommunikationsplattformen, Lern- und Diagnoseplattformen und ähnlich.
Höchst interessant ist auch die im Tätigkeitsbericht angesprochene Möglichkeit einer gemeinsamen Verantwortlichkeit von Schule und Schulträger gem. Art. 26 Abs. 1 DS-GVO. Hiermit tut man sich bisher im Allgemeinen noch recht schwer. Dass die Aufsichtsbehörde hier eine Möglichkeit für Schulen sieht, ist bemerkenswert und weiterer Überlegungen wert, bietet es doch eine Möglichkeit, Schulleitungen zumindest in Teilen in ihrer datenschutzrechtlichen Verantwortung zu entlasten.