Noch befindet sich der Vermittlungsdienst für das digitale Identitätsmanagement an Schulen Vidis in der Pilotphase. Um die Teilnahmebedingungen für Anbieter weiterzuentwickeln zur finalen Version hat Vidis jetzt einen Aufruf gestartet, die im „Pilotvertrag für Diensteanbieter“ (Version 3) kritisch unter die Lupe zu nehmen und Rückmeldungen zu geben. In den aktuellen Stand der Teilnahmebedingungen sind „bereits Anforderungen und Rückmeldungen fast aller Kultusministerien, der Aufsichtsbehörden und zahlreicher Anbieter von Bildungsangeboten eingeflossen.“
Neben technischen und inhaltlichen Anforderungen finden sich in der konsolidierten Version 3 auch datenschutzrechtliche Anforderungen an zukünftige Teilnehmer, die einen Dienst anbieten wollen. Grundsätzlich muss ein Diensteanbieter sich Der Diensteanbieter zum datenschutzrechtskonformen Umgang mit den
personenbezogenen Daten der Nutzer:innen, das heißt Schülerinnen und Schülern und Lehrkräften, verpflichten. Darüber hinaus werden 10 weitere Anforderungen definiert. Diese sind
- Zweckbindung – Verarbeitung nur, um das Bildungsangebot verfügbar zu machen,
- Verzicht auf eine Einwilligung zur Nutzung des Dienstes,
- Datenverarbeitung nur in einem Land der EU, des EWR oder einem Land, für welches ein Angemessenheitsbeschluss der gemäß Art. 45 DS-GVO,
- Datentrennung – Nutzerprofile nur innerhalb des angebotenen digitalen Bildungsangebots, keine Zusammenführung mit Datenquellen,
- Keine Einbindung von Diensten Dritter ohne ein genehmigtes Auftragsdatenverarbeitungs-Verhältnis,
- Beschränkung der Verarbeitung durch den Diensteanbieter auf vertraglich definierte Kategorien von personenbezogenen Daten zu definierten Zwecken,
- Bezüglich der Einbindung des VIDIS-Login-Buttons auf der Webseite des Diensteanbieters wird ein Auftragsverarbeitungsvertrag zwischen Vidis und Diensteanbieter geschlossen,
- Der Diensteanbieter muss für die bei ihm gespeicherten Daten der Nutzer:innen eine Aufbewahrungs- bzw. Speicherdauer und nach Ablauf derselben für eine Löschung zu sorgen,
- Ungeachtet der vorherigen Regelung müssen Diensteanbieter die personenbezogenen Daten der Nutzer:innen, 18 Monate ab letzten Nutzungsvorgang löschen,
- Datenübertrabarkeit – Diensteanbieter müssen den Nutzer:innen ein Recht auf Datenübertragbarkeit einräumen und entsprechende Funktionalitäten einrichten.
In einem begleitenden Dokument werden die Grundanforderungen an digitale Bildungsangebote im Pilotvertrag erläutert. Dort werden auch die beteiligten Akteure und die rechtlichen Zuständigkeiten beschrieben. Da ist einmal der Diensteanbieter, der sein Bildungsangebot über Vidis verknüpft für Nutzer:innen bereitstellen möchte. Vidis tritt als Identitätsvermittler auf zwischen dem Indentitätsanbieter und dem Diensteanbieter. Indentitätsanbieter ist die Stelle, welche die Identitäten der Nutzer:innen (Schüler und Lehrkräfte) verwaltet. In NRW wäre dieses das Land NRW über die Logineo NRW Plattform. Und dann gibt es noch die Stelle, welche für die Stellen, die für die Datenverarbeitung verantwortlich ist und die die Diensteanbieter mit der Erbringung von Lernmitteldiensten beauftragt. Gerade letztere Stelle ist schwierig, da hier zwischen Sachaufwandsträger und Verantwortlichem im Sinne des Datenschutzrechts zu unterscheiden ist. Entsprechend kommentiert Vidis in einer Fußnote:
„Durch datenschutzrechtliche Vorschriften der Länder wird die Verantwortlichkeit für die Verarbeitung der Daten von Schüler:innen im pädagogischen Kontext regelmäßig den Schulen als Behörde zugewiesen. Vertragspartner des Dienstvertrags mit dem Diensteanbieter im zivilrechtlichen Sinne dürfte demgegenüber regelmäßig der Schulträger sein; beide können jedoch im jeweiligen Kontext durch den Schulleiter vertreten werden, weswegen das Auseinanderfallen
zwischen Rechtsträger im zivilrechtlichen Sinne und verantwortlicher Stelle, als Stelle gegenüber der die Bindung durch die Auftragsvereinbarung nach Art. 28 DSGVO erfolgt, in der Praxis unerheblich sein wird.“
Um Identitäten vermitteln zu können zwischen Identitätsanbieter und Diensteanbieter, braucht Vidis Zugriff auf die Daten des Identitätsanbieters. Dieses wird
datenschutzrechtlich mit einem Vertrag zur Auftragsverarbeitung zwischen beiden abgebildet.
Im Vertrag ist eine Prüfung der im Vertrag definierten inhaltlichen Grundanforderungen an die digitalen Bildungsangebote und deren Rechtmäßigkeit anhand der öffentlich verfügbaren Dokumentation der Anbieter festgehalten. Auch die Möglichkeit zu einer datenschutzrechtlichen Prüfung, die durch einen von Vidis selbst durch einen vom Identitätsanbieter bzw. dem Land beauftragten Dienstleister anhand eines noch zu erstellenden Prüfkatalogs erfolgt, räumt der Vertrag gegenüber dem Diensteanbieter ein.
Im Vertrag werden dann noch weitere Anforderungen und darüberhinaus vertragsrechtliche Themen abgearbeitet.
Bewertung
Wie der Vertrag in seiner dritten Version deutlich zeigt, sind Aufbau und Betrieb eine Identitätsvermittlungsdienstes sehr komplex und das vor allem in rechtlicher Hinsicht. Schulen hatten bisher vor allem mit der Identitätsvermittlung im Rahmen von Single sign-on (SSO) Lösungen zu tun. Allgemein bekannt sind SSO Dienste wie die von Microsoft, Google und Facebook. Das Problem hierbei ist, der SSO Anbieter erhält Informationen über alle von einem Nutzer verknüpften Zugänge und wann und wie oft diese genutzt werden. Die Länder setzen deshalb auf eigene SSO Lösungen als Bestandteil der von ihnen entwickelten oder eingekauften Schul-Plattformen. Aus datenschutzrechtlicher Sicht ist dieses dann recht einfach zu lösen. Die Schule schließt mit dem Betreiber der Landesplattform einen Vertrag zur Auftragsverarbeitung ab. Dieser schließt auch das Identitätsmanagement mit ein. Möchte die Schule eine weitere Plattform, ob LMS oder über eine Plattform bereitgestelltes digitales Schulbuch, nutzen, wird mit deren Anbieter ebenfalls ein Vertrag zur Auftragsverarbeitung abgeschlossen. Die Nutzung von SSO ist dabei eine Möglichkeit, den Login für Nutzer:innen zu vereinfachen und ihre Identitäten schützen und wirkt sich auf das Vertragsverhältnis zwischen Schule und Anbieter nur geringfügig aus. SSO Schnittstellen sind standardisiert, können sich aber trotzdem zwischen verschiedenen Plattformen und damit auch von Bundesland zu Bundesland unterscheiden. Dienstanbieter müssen so gegebenenfalls für verschiedene Bundesländer unterschiedliche Schnittstellen bedienen, um für deren Nutzer:innen einen SSO anbieten zu können. Vidis tritt nun zwischen diese beiden Stellen, um Anbietern eine einzige Schnittstelle anzubieten. Die Länder ihrerseits müssen sich mit Vidis verbinden. Mit Vidis verarbeitet so eine weitere Stelle die personenbezogenen Daten der Nutzer:innen. Klar dürfte schon jetzt sein, um den Vertrag zur Auftragsverarbeitung mit dem eigentlichen Diensteanbieter werden Schulen auch bei Nutzung von Vidis nicht umhinkommen, da der Diensteanbieter immer die personenbezogenen Daten der Nutzer:innen verarbeiten wird. Dies können sowohl technische als inhaltliche Daten mit Personenbezug sein.