Aufsichtsbehörde Niedersachsen veröffentlicht Abschlussbericht zur anlasslosen Prüfung von 50 Schulen

Mit Datum vom 05. Mai 2023 veröffentlicht die Landesbeauftragte für Datenschutz Niedersachsen (LfD) den Abschlussbericht Anlassloses datenschutzrechtliches Kontrollverfahren an niedersächsischen Schulen. Hintergrund für diese anlasslose Prüfung waren laut LfD Unsicherheiten bei den Schulen „im Bereich der datenschutzkonformen Umsetzung des digitalen Lernens,“ die aus verschiedenen Beschwerden und Beratungsanfragen deutlich wurden. Mit der anlasslosen Prüfung von 50 zufällig ausgewählten Schulen (weiterführende, allgemeinbildende Schulen des sekundären Bildungsbereichs und Berufsschulen aus städtischen Gebieten Niedersachsen) ssollte überprüft werden, ob an niedersächsischen Schulen Datenschutz regelkonform umgesetzt wird und ob Schulen die vorhandenen Unterstützungsangebote der Regionalen Landesämter für Schule und Bildung (RLSB) nutzen. Den 50 Schulen ging dafür ein Fragebogen mit 14 Fragen zu. Alle Fragebögen gingen ausgefüllt wieder bei der LfD ein.

In den ersten neun Fragen (Teil A) ging es um das allgemeine Datenschutzkonzept der Schulen. Dabei standen die Teilbereiche Datenschutzbeauftragte, Betroffenenrechte und Datenpannen im Fokus.

  • Datenschutzbeauftragte: Alle bis auf drei der geprüften Schulen hatten einen Datenschutzbeauftragten benannt.
  • Erfüllung der Informationspflichten: Die meisten Schulen hatten Datenschutzerklärungen gem. Art. 13, 14 DS-GVO. Allerdings waren die Angaben dort nicht immer vollständig, teils veraltet und teils widersprüchlich. Vor allem wenn eigene Vorlagen genutzt wurden, schienen die Defizite größer: „Es fehlten oftmals erforderliche Informationen, wie Namen und Adresse der Auftragsverarbeiter und die Empfänger von personenbezogenen Daten im Fall von Übermittlungsvorgängen. Häufig wurden die Rechtsgrundlagen nicht eindeutig genug genannt oder die Datenschutzerklärung war generell unübersichtlich und damit intransparent gestaltet.“ Nutzten Schulen eine veraltete Vorlage des RLSB, stimmten dort u.a. die Rechtsgrundlagen nicht mehr. Die LfB empfiehlt deshalb die Nutzung der aktuellen Vorlage und Angabe des Datums des Bearbeitungsstandes.
  • Erfüllung von Auskunftsersuchen: Für die LfD ergab sich ein sehr uneinheitliches Bild. Immerhin hatten sich alle bis auf eine Schule bereits mit der Thematik befasst. Zwei Schulen hatten „ihr Vorgehen bezüglich der Bearbeitung eines Auskunftsersuchens als Dienstanweisung festgelegt,“ 14 ein standardisiertes Verfahren festgelegt und 28 Schulen haben lediglich einen Ablaufplan, der jedoch nicht standardisiert wurde. Der LfD fiel auf, dass die von einigen Schulen als Vorgehen übermittelten Abläufe und Flussdiagramme zwei Websites, darunter auch dieser Seite hier, stammten und so wie sie übernommen worden waren, nicht den rechtlichen Vorgaben für Schulen in Niedersachsen entsprechen. Kritisch sah die LfD auch wie einige Schulen mit der zur Beantwortung von Auskunftsanfragen vorgegebenen Frist von einem Monat und Fristverlängerungen umgingen. Die wenigsten Schulen hatten bei ihren Vorgehensweisen die Rechte Dritter gem. Art. 15 Abs. 4 DS-GVO berücksichtigt, welche das Recht der Auskunftsersuchenden auf eine Kopie einschränkt.
  • Löschkonzept: In diesem Bereich fand die LfD die größten Defiziten bei den geprüften Schulen vor. Nur 9 Schulen konnten überhaupt ein den Anforderungen des Art. 30 – DS-GVO entsprechendes Löschkonzept vorlegen. Allerdings waren davon alle bis auf eines fehlerhaft und bezogen sich beispielsweise auf einen veralteten Runderlass. Wie beim Auskunftsersuchen wurde auch hier ein nicht auf Niedersachsen angepasstes Löschkonzept eingereicht, allerdings nur von einer Schule. Die LfD stellt fest, dass das RLSB für Schulen in Niedersachsen eine Reihe von Vorlagen bereitstellt, aktuell jedoch noch keine Vorlage für ein Löschkonzept.
  • Schulung von Mitarbeitenden bzgl. der Meldepflicht: 45 Schulen informieren laut ihren Antworten ihre Mitarbeitenden über die Meldepflicht von Datenschutzverletzungen. Allerdings informieren nicht alle Schulen regelmäßig, ob am Schuljahresanfang oder auf Dienstbesprechungen, und berücksichtigen auch neue Mitarbeiter.
  • Organisatorische Vorkehrungen für die Meldung von Datenschutzverletzungen: Auch wenn die meisten der geprüften Schulen versucht hatten „das Verfahren, die Meldewege und die Schritte zur Risikobewertung darzulegen,“ und vier vorbildlich agierten, konnte die Mehrheit der restlichen Schulen nicht völlig überzeugen. Bei einem Teil der Schulen war das Vorgehen bis auf die Risikoeinschätzung in Ordnung, andere müssen in anderen Bereichen nachbessern. Einige Schulen sind überhaupt nicht vorbereitet, was die LfD als inakzeptabel einstuft, da die kurzen Fristen keine Zeit lassen sich erst dann Gedanken zu machen. Von den drei Schulen, welche ihr Vorgehen als Dienstanweisung festgehalten haben, war nur eine Dienstanweisung ausreichend. Die LfD weist außerdem darauf hin, dass Schulen auf ihrer Pflicht zur Dokumentation des Ergebnisses der Prüfung gem. Art. 33 Abs. 5 DS-GVO hingewiesen werden sollten.

Fazit war für die LfD, dass die geprüften Schulen „ein Bewusstsein für datenschutzrechtliche Belange ihrer SchülerInnen“ haben, es bei der Umsetzung jedoch an jeder Schule Defizite gibt. Diese betreffen entweder nur einen, teils auch mehrere Teilbereiche und sind im Einzelfall sogar gravierend. Schulen, welche sich an den Vorlagen des RLSB oder ihres Schulträgers orientieren sind „grundsätzlich besser aufgestellt als Schulen, die eigene Vorlagen verwenden,“ da letztere oft mangelhaft sind und, wenn sie von privaten Anbietern stammen, fehlerhaft sein können, wenn sie nicht auf die Belange von Schulen in Niedersachsen angepasst werden. Das RLSB stellt viele Vorlagen bereit, doch es gibt dort noch Lücken, welche die Schulen aktuell selbst füllen müssen.

In Teil B dem kleineren Teil des Fragebogens ging es mit insgesamt vier Fragen um die Nutzung der Niedersächsischen Bildungscloud (NBC)1Bei der NBC handelt es sich um eine Weiterentwicklung der HPI-Schul-Cloud durch Dataport – Anstalt des öffentlichen Rechts (Dataport AöR) – Siehe dazu auch Länder Brandenburg, Niedersachsen und Thüringen unterzeichnen Abkommen zur Weiterentwicklung der „Schul-Cloud“ und andere von Schulen eingesetzte Lernplattformen, Videokonferenzsysteme und Messenger. 30 Schulen gaben an, über eine Instanz der NBC zu verfügen. Überwiegend nutzen diese Schulen die NBC für pädagogische Zwecke, Teils in Kombination mit anderen Plattformen (vor allem IServ und ItsLearning). Einige Schulen nutzen die NBC nur für spezifische Zwecke und einige wenige Schulen gar nicht.

Die Aufsichtsbehörde hat momentan bezüglich IServ und ItsLearning keine Bedenken. Die Plattformen wurden bisher allerdings auch noch nicht geprüft, auch weil sie „keinen Ansatz für datenschutzrechtliche Bedenken [bieten], da die Anbieter ihren Sitz zumindest in Deutschland haben und bei kursorischer Internet-Recherche keine grundsätzlich problematischen Punkte festzustellen waren.“ Bei den meisten der neben, in Kombination oder als Alternative zu NBC genutzten Plattformen hatte die LfD bisher keinen Anlass, sich mit der DS-GVO Konformität auseinanderzusetzen. „Unbekannt“ meint in diesem Zusammenhang, dass die Aufsichtsbehörde keine Anfragen oder Beschwerden im Zusammenhang mit einer der Plattformen hatte. Eine Ausnahme stellt hier Microsoft 365 dar, welches von 15 überwiegend berufsbildenden Schulen genutzt wird, teils vom Schulträger vorgegeben und teils auch im Rahmen eines sog. Innovationsprojektes des Niedersächsischen Kultusministeriums. Interessant ist die Angabe, dass „5 Schulen wohl eine Variante anbieten, die ohne eine Verarbeitung personenbezogener Daten auskommt.“ Auch wenn der Prüfbericht feststellt: „dass die Schulen den datenschutzkonformen Einsatz von MS 365- Produkten gegenwärtig nicht darstellen können,“ lässt es die LfD aktuell so auf sich beruhen, kündigt aber an, die Thematik zu einem späteren Zeitpunkt erneut zu überprüfen. Bezüglich der anderen angegebenen Plattformen, gibt es im Prüfbericht einige kursorische Anmerkungen, etwa zur Nutzung von Anbietern mit Sitz in den USA (Datentransfer in Drittländer), Nutzung von Plattformen mit Diagnosetools (Datenschutzkonformität, insbesondere Zweckbindung) und Profiling.

Wie geht es weiter?

Die LfD hat allen 50 Schulen individuell geantwortet und dabei die festgestellten Defizite benannt und um Abhilfe gebeten. Zu den Prüfungsfragen wurde eine FAQ erstellt, in welcher diese näher erläutert werden. Ausgewählte Schulen werden vor Ort von der LfD geprüft. Darüber hinaus wird sich die LfD auch mit dem Thema intelligente Tutorensysteme  beschäftigen, da einige Schulen angegeben hatten, solche nutzen zu wollen.

Bewertung

Diese anlasslose Prüfung bietet vor allem mit Blick auf Teil A wertvolle Informationen für alle, die sich mit schulischem Datenschutz befassen. Man wird davon ausgehen können, dass andere Aufsichtsbehörden bei vergleichbaren anlasslosen Prüfungen an den Schulen ihrer Bundesländer zu vergleichbaren Ergebnissen kommen werden. Wenn es Unterschiede zwischen den Bundesländern gibt, dann dürften diese auf das Unterstützungsangebot des Schulministeriums oder der Aufsichtsbehörde selbst und die Standardisierung von Verfahren durch verbindliche Vorgaben etwa von Formularen und Dienstanweisungen oder Erlassen bedingt sein. Auch die Ausbildung von Schulleitungen und Datenschutzbeauftragten durch das jeweilige Bundesland könnten eine Rolle spielen. Auch für Schulen und Datenschutzbeauftragter sind die Ergebnisse sehr aufschlussreich, denn sie zeigen nicht nur, worauf Aufsichtsbehörden bei Prüfungen schauen, sondern worauf es ankommt, wenn Datenschutz an einer Schule gut umgesetzt wird. Dazu gehören:

  • Die Informationspflichten gem. Art 13, 14 DS-GVO sollten alle Verarbeitungen beinhalten, welche Lehrer bzw. Schülerinnen und Schüler und ihre Eltern betreffen,
    • sich auf die aktuellen schuldatenschutzrechtlichen Vorgaben (des Bundeslandes) beziehen,
    • bei Nutzung von Auftragsverarbeitern gem. Art. 28 DS-GVO diese benennen und mit Adresse aufführen,
    • ein Datum zur Anzeige des Bearbeitungsstandes haben, an dem zu erkennen ist, ob die Informationen möglicherweise veraltet sind,
    • Vorlagen des Schulministeriums oder der Datenschutzaufsicht des Bundeslandes nutzen, vor allem wenn diese verbindlich vorgegeben sind.
  • Ein Konzept zur Erfüllung der Auskunftspflichten gem. Art. 15 DS-GVO,
    • welches auch die Einhaltung der Fristen zur Beantwortung von Anfragen berücksichtigt, und Regelungen für die Ferienzeiten vorsieht,
    • welches als Dienstanweisung festgelegt ist,
    • welches bei der Vorgehensweise die Rechte Dritter nach Art. 15 Abs. 4 DS-GVO berücksichtigt,
    • welches bei der Nutzung von Vorlagen aus dem Internet auf die datenschutzrechtlichen Vorgaben des eigenen Bundeslandes angepasst werden muss.
  •  Ein Löschkonzept,
    • welches entweder auf einer Vorlage des zuständigen Schulministeriums oder der Aufsichtsbehörde erstellt wird,
    • oder auf die datenschutzrechtlichen Vorgaben des eigenen Bundeslandes bezüglich der Lösch- und Aufbewahrungsfristen sowie möglichen spezifischen Vorgaben zur Archivierung angepasst wird, wenn die Vorlage aus anderen Quellen kommt.
  • Schulungen zur Meldepflicht bei Datenschutzverletzungen,
    • die mindestens einmal jährlich auf einer Dienstbesprechung oder am Schuljahresanfang durchgeführt werden,
    • die auch neu hinzukommende Mitarbeiter berücksichtigen,
    • die von der Schulleitung oder dem zuständigen Datenschutzbeauftragten durchgeführt werden.
  • Konzept zur Meldung von Datenschutzverletzungen, welches
    • Angaben enthält zum Verfahren, zu den Meldewegen und den Schritten zur Risikobewertung,
    • das Vorgehen Dienstanweisung festhält,
    • berücksichtigt, dass das Ergebnis der Prüfung zu dokumentieren ist (Art. 33 Abs. 5 DS-GVO)
  • Bestellung eines Datenschutzbeauftragten (ist in den Bundesländern unterschiedlich geregelt), der
    • nicht durch andere Funktionen in einen Interessenkonflikt kommt,
    • eine Vertretung hat, wobei klar geregelt ist, wer Datenschutzbeauftragter ist und wer Vertreter.

Es wäre wünschenswert, wenn die LfD ihre FAQ zum Fragebogen der Prüfung veröffentlichen würde, so dass auch andere Schulen diese wertvollen Hinweise nutzen könnten.

Auch Teil B ist nicht uninteressant. Wer sich mit dem Thema Microsoft 365 befasst, wird mit Interesse die Aussage dazu im Prüfbericht zur Kenntnis nehmen. Wie alle Aufsichtsbehörden, ist auch die LfD der Ansicht, dass Schulen nicht in der Lage sind, den Nachweis zu führen, dass sie die Plattform datenschutzkonform einsetzen können. Auch wenn die Aufsichtsbehörde dies bei den Schulen, die angegeben haben, die Plattform einzusetzen, erst einmal auf sich beruhen lassen will, heißt das nicht, damit ist alles gut. Die 15 betroffenen Schulen werden sich auf ein zukünftiges aufsichtsbehördliches Verfahren zu ihrem Einsatz von Microsoft 365 einstellen können. Interessant wäre zu erfahren, wie die fünf Schulen, welche laut dem Prüfbericht „eine Variante anbieten, die ohne eine Verarbeitung personenbezogener Daten auskommt,“ dieses technisch bewerkstelligen. Möglicherweise verfahren sie nach dem Fuldaer Modell, bei dem der Zugang über ucs@school als IAMS erfolgt, alle Online-Funktionalitäten deaktiviert sind und nur gelegentliche Abgleiche der auf privaten Schülergeräten installierten Office Versionen mit Microsoft Lizenz Servern erfolgen.

In Teil B geht es neben der offiziellen Landeslösung NBC auch um andere von den Schulen genutzte Plattformen. In der Darstellung zeigt sich, die Aufsichtsbehörde wird bei Anbietern hellhörig, wenn es um Firmen geht, die aus den USA kommen, Plattformen digitale Diagnosetools beinhalten, nicht klar ist, ob Anbieter Daten möglicherweise für eigene Zwecke nutzen und Profiling möglich ist. Kommen Anbieter aus Deutschland und sind bisher nicht im Rahmen von Beschwerden aufgefallen und auch die über das Internet öffentlichen Informationen sind unauffällig, hat die Aufsichtsbehörde erst einmal keine Bedenken. Das dürfte in anderen Aufsichtsbehörden nicht anders sein. Deutlich wird, es hängt sehr vom Anbieter, sprich seinem Hintergrund und auch etwaigen genutzten Dienstleistern ab, der Art und der Funktionen der Plattform und ob ein Anbieter schon einmal aufgefallen ist, ob eine Aufsichtsbehörde genauer hinsehen wird oder nicht.

Nachtrag

Über den Prüfbericht zum Datenschutz an Schulen berichtet auch Kommune 21. Im Beitrag geht man auch auf die Probleme ein, welche die LfD bei der Nutzung von Tutorensystemen von Bildungsverlagen sieht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert