Die niedersächsische Aufsichtsbehörde hat mit Stand von Juni 2022 ein 6-seitiges Papier mit dem Titel „Eckpunkte für den datenschutzkonformen Einsatz von digitalen Lernplattformen in den niedersächsischen Schulen“ veröffentlicht. Mit dem Papier möchte man Schulen wie auch den Anbietern digitaler Lernplattformen eine Hilfestellung geben, welche datenschutzrechtlichen Standards bei der Nutzung einer Plattform einzuhalten sind. Das Eckpunktepapier besteht aus 9 Kapiteln: Rechtsgrundlage, Datensparsamkeit, Auftragsverarbeitung, Keine Übermittlung von personenbezogenen Daten an Dritte, Verzeichnis von Verarbeitungstätigkeiten, Erfüllung der Betroffenenrechte, Prüfung einer Datenschutz-Folgenabschätzung (DSFA), Löschkonzept und Umsetzung geeigneter technisch-organisatorischer Maßnahmen. Auch in Niedersachsen ist es möglich, die Verarbeitung der personenbezogenen Daten von Schülerinnen und Schülern zur Erfüllung des Bildungsauftrags auf das Schulgesetz zu stützen (§ 31 Absätze 1 und 5 Niedersächsisches Schulgesetz (NSchG)). Ist die Nutzung einer Lernplattform datenschutzkonform möglich, braucht es so keine Einwilligung der Betroffenen mehr.1„Einer Einwilligung der betroffenen Personen, die im Bereich der Über- und Unterordnung ohnehin rechtlich problematisch wäre (vgl. Erwägungsgrund 43 der DS-GVO), bedarf es somit grundsätzlich nicht.“ – Das „grundsätzlich“ bedeutet in der juristischen Fachsprache, dass Ausnahmen möglich sind.
Der Punkt Datensparsamkeit konkretisiert, an welchen Stellen und in welcher Form diese umzusetzen ist. Es dürfen nur die „zur pädagogischen Aufgabenerfüllung zwingend erforderlichen personenbezogenen Daten“ verarbeitet werden. Dabei ist die Datenverarbeitung der Schulverwaltung von der zu pädagogischen Zwecken „systemtechnisch“ zu trennen. Das heißt, in einer Lernplattform dürfen keine personenbezogenen Daten aus der Schulverwaltung verarbeitet werden. Als Beispiel wird die Verwaltung von Noten genannt.2Das sollte hier nicht die individuelle Leistungsrückmeldung meinen, sondern das Führen von Notenlisten. Die Schule soll die Stammdaten festlegen, welche für die Nutzung der Lernplattform zwingend erforderlich sind und welche Daten Schülerinnen und Schülern „optional auf der Basis freiwilliger Entscheidungen“ in ihr Nutzerprofil in der Lernplattform einstellen können. Gefordert wird auch, dass „bei der Einrichtung der Nutzerzugänge zu der Lernplattform […] die Möglichkeit bestehen [muss], pseudonymisierte Zugänge für die Schülerinnen und Schüler einzurichten.“ Die Zuordnung zu den zugehörigen Klarnamen soll nur den unterrichtenden Lehrkräften möglich und durch ein Berechtigungskonzept abgesichert sein. Lehrkräften soll es darüber hinaus nicht möglich sein, über die Plattform nachzuverfolgen, wie lange Schülerinnen und Schülern an einem Dokument gearbeitet haben, da dieses in der analogen Welt auch nicht möglich sei und eine derartige Auswertungsmöglichkeit „einen unverhältnismäßigen Eingriff in das Recht auf informationelle Selbstbestimmung der Schülerinnen und Schüler“ darstelle. Unter Auftragsverarbeitung wird auch auf das Thema (Unter-)Auftragsverarbeiter und die Nutzung von solchen eingegangen, die sich nicht im Geltungsbereich der DS-GVO befinden. Es sollen, so wird unter „Keine Übermittlung von personenbezogenen Daten an Dritte“ deutlich gemacht, bei der Nutzung einer Lernplattform keine personenbezogenen Daten von Schülerinnen und Schülern zu fremden Geschäftszwecken genutzt werden. Für den Fall „ein solches Auftragsverarbeitungsverhältnis zwischen Schule und Drittanbieter nicht gegeben ist, ist sicherzustellen, dass die personenbezogenen Daten der Schülerinnen und Schüler vollständig anonymisiert werden und damit dem Drittanbieter nicht preisgegeben werden.“ Das Anonymisierungskonzept muss schriftlich dokumentiert sein. Selbstredend müssen Schüler und Erziehungsberechtigte vor der Nutzung der Lernplattform über die anstehende Datenverarbeitung gemäß Art. 12 bis 14 DS-GVO informiert werden. Anders als beispielsweise in NRW müssen Schulen in Niedersachsen prüfen, ob eine Datenschutz Folgenabschätzung (DSFA) erforderlich ist. Dafür stellt die Aufsichtsbehörde eine Hilfestellung bereit. Beim Thema Löschen geht man davon aus, dass Daten von Schülerinnen und Schülern am Ende eine laufenden Schuljahres gelöscht werden, außer es geht um schuljahresübergreifende Projekte. Außerdem sind schulrechtliche Aufbewahrungsfristen zu beachten. Im letzten Punkt geht es um technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten bei Nutzung einer Lernplattform. Auch wenn es keine Mindeststandards gibt, führt die Schrift eine Reihe von Maßnahmen auf. Dazu gehört ein Rechte- und Rollenkonzept, eine kontinuierliche Prüfung der Plattform auf Schwachstellen, die Verschlüsselung der Verbindung zwischen Schülerendgeräten und Plattform, die Verwaltung der Endgeräte durch ein MDM und der Schutz der schulseitigen technische Infrastruktur vor Schadsoftware, sofern darüber auf die Lernplattform zugegriffen wird. „Von der Anbindung selbstkonfigurierter, privater mobiler Endgeräte (Smartphone, Tablet) der Schülerinnen und Schüler an das pädagogische Netzwerk wird abgeraten,“ da diese potentiell unsicher sind und Risiken hier nicht verlässlich eingedämmt werden können.
Bewertung
Die niedersächsische Aufsichtsbehörde hat mit den Eckpunkten eine Orientierung veröffentlicht, die nicht nur für Schulen in Niedersachsen hilfreich sein kann, wenn es um die Auswahl und Einrichtung von Lernplattformen geht. Was genau im Eckpunkte Papier unter einer Lernplattform verstanden wird, definiert das Papier nicht näher. Es gibt lediglich eine Stelle, an welcher Schulbuchverlage als mögliche Anbieter genannt werden. Das deutet auf Lernplattformen im engeren Sinne hin, also weniger multifunktionale Plattformen wie etwa ein Moodle. Beim Löschen ist dann jedoch von „schuljahresübergreifende Projekten“ die Rede. Solche wären in einer Plattform wie Anton, die eine reine Lernplattform ist nicht möglich, in einem Moodle wohl aber. Die hier für Lernplattformen vorgegeben Standards, lassen sich unabhängig davon in Teilen auch auf andere Arten von Plattformen übertragen. Pseudonymisierte Zugänge sind überall denkbar und werden so schon lange in einem Kurzpapier der Datenschutzkonferenz empfohlen. In einer Arbeits- und Kommunikationsplattform würde jedoch eine Beschränkung der Zuordnung von Pseudonymen zu Klarnamen auf die unterrichtenden Lehrkräften keinen Sinn machen, da auch andere Schülerinnen und Schüler ihre Mitschüler erkennen können müssen.