Wie die Rheinische Post am 25.06.2024 unter dem Titel Warum Dortmunder Schulen Google Workspace bald nicht mehr nutzen dürfen berichtet, hat sich jetzt das Nordrhein Westfälische Ministerium für Schule und Bildung (MSB) zu einem an Dortmunder Schulen drohenden Aus für die langjährig genutzte Arbeits- und Kommunikationsplattform Google Workspace for Education geäußert. Der Zeitungsbericht bezieht sich auf einen Bericht des MSB an den Ausschuss für Schule und Bildung, in welchem die Landesregierung sich zu einer Anfrage der FDP Fraktion zum „Sachstand Nutzung von Google Workspace – Keine Genehmigung durch Bezirksregierung Arnsberg“ (E 18/854.docx1im Dokumenten Archiv des Landtags NRW) äußert. Auslöser der Anfrage der FDP war die Aufforderung der Bezirksregierung Arnsberg an mehrere Dortmunder Schulen, ihre Nutzung von Google Workspace for Education (GWE) bis zum Ende des aktuellen Schuljahres einzustellen. Den Schulen wird dabei eine Übergangszeit für die Sicherung der in gespeicherten Arbeitsergebnisse von Schülerinnen und Schülern gewährt.
Der Fall in Dortmund ist nur Teil der Auswirkung eines Verfahrens vor dem OVG NRW, welches auch in Dortmund wegen datenschutzrechtlicher Bedenken bezüglich Google Workspace for Education seinen Ausgang genommen hatte, dann aber durch einen Brief der Bezirksregierung an alle Schulen in der Zuständigkeit der Bezirksregierung Arnsberg Wirkung in der Fläche entfaltete und vor Ort für sehr viel Unruhe und Verunsicherung führte. Im Bericht stellt das MSB klar, dass Schulen nur Lehr- und Lernplattformen sowie Arbeits- und Kommunikationsplattformen gem. § 8 Abs. 2 SchulG NRW nutzen dürfen, welche der Schulträger bereitgestellt und auf Datenschutzkompatibilität geprüft hat. Welche Plattform ein Schulträger seinen Schulen zur Verfügung stellt, steht gem. § 79 SchulG NRW in dessen Ermessen. Den Schulen steht dabei kein Initiativrecht zu, was bedeutet, dass der Schulträger nicht an Vorschläge oder Wünsche seiner Schulen gebunden ist. Im Fall Dortmund war GWE den Schulen nicht als datenschutzrechtlich geprüfte Plattform vom Schulträger zur Verfügung gestellt, sondern von den Schulen selbst beschafft worden und damit ist die Plattform für die Schulen nach Ansicht der Bezirksregierung Arnsberg von der Nutzung ausgeschlossen.
Laut Bericht der RP ist man in der FDP-Landtagsfraktion der Ansicht, dass das Land NRW seine Schulen und Schulträger im Stich lässt, da die Schulträger eine datenschutzrechtliche Prüfung nicht leisten und Schulen wegen drohender Verbote durch die für sie zuständige Schulaufsichtsbehörde keine marktgängigen Plattformen wählen können. Das Land, so fordert die Fraktion, soll „prüfen und festlegen, wie Schulen bestimmte Anwendungen, etwa von Google und Microsoft, datenschutzkonform gebrauchen können, so dass Schulen eigenständig gemäß der für sie am besten geeigneten Plattformen über den Einsatz entscheiden können.
Bewertung
Die Nutzung und Bereitstellung von Plattformen für den Unterricht ist schon seit Jahren rechtlich unsauber gelöst. Schulträger sind für äußere Angelegenheiten verantwortlich. Dazu gehört die Bereitstellung der Ausstattung von Schulen, also auch von Hardware und Plattformen. Für den Datenschutz bei der Verarbeitung von personenbezogenen Daten in der Schule sind jedoch die Schulleitungen verantwortlich, da es sich hier um innere Angelegenheiten handelt. Bei der Auswahl von Plattformen, welche der Schulträger seinen Schulen zur Verfügung stellt, sollte dieser natürlich darauf achten, dass es sich um datenschutzkonforme Plattformen handelt. Wie weit diese Verantwortung geht, ist hier in NRW aber weder im Schulgesetz noch an anderer Stelle festgelegt. Durch den Bericht des OVG ändert sich daran wenig. Dass der Schulträger im Falle des Zweifels an der Datenschutzkonformität durch Betroffene diesen gegenüber die Datenschutzkonformität nachweisen muss, ist aus den aktuellen Rechtsgrundlagen schwer herzuleiten. Wenn dann wäre das eher die Aufgabe des Verantwortlichen, der die Daten des Betroffenen mit der Plattform verarbeitet, also der Schulleitung. Die Regelung der Zuständigkeiten ist Aufgabe des Gesetzgebers. In Dänemark etwa ist der Schulträger tatsächlich in der datenschutzrechtlichen Verantwortung bezüglich der in den Schulen genutzten Plattformen und damit auch in der Verantwortung gegenüber Betroffenen wie auch der Aufsichtsbehörde. In Deutschland wird sich eine Aufsichtsbehörde immer an die Schule wenden, wenn Betroffene sich dort bezüglich des Datenschutzes beschweren, nie jedoch beim Schulträger. Eine Aufsichtsbehörde kann in Dänemark bei Datenschutzverstößen in einer von den Schulen genutzten Plattform gegen einen Schulträger vorgehen, in Deutschland besteht diese Möglichkeit nicht. Wenn dem Schulträger die Verantwortung zukommen soll, welche das OVG NRW ihm zuschreiben möchte, dann sollte der Gesetzgeber hier durch Anpassungen des Schulgesetzes für Klarheit sorgen. Dass die kommunalen Spitzenverbände eine solche Gesetzesiniative ablehnen würden, wäre jedoch zu erwarten.
Schulträger sind in der Tat damit überfordert wie auch Schulen selbst, wenn sie die DS-GVO Konformität von komplexen Plattformen wie etwa einem Google Workspace for Education, Apple iCloud oder Microsoft 365 selbst prüfen sollen. Was der Schulträger einer Millionenstadt wie Köln vielleicht noch leisten kann, übersteigt die Möglichkeiten kleiner Schulträger, die nicht einmal ein eigenes Schulamt, IT Abteilung oder eine Rechtsabteilung haben, völlig. Es kann letztlich auch nicht ihre Aufgabe sein. Hier sind andere gefordert. Das Beispiel Niedersachsen und die Nutzung von Microsoft Teams in öffentlichen Verwaltungen zeigt, wie es gehen kann. Was für öffentliche Verwaltungen geht, ist auch für den Bildungsbereich möglich. Die Bundesländer müssen selbst aktiv werden, mit den Anbietern verhandeln, Zusatzvereinbarungen abschließen und Rahmenverträge vereinbaren, denen Schulen beitreten können, um die Zusatzvereinbarung zu erhalten. Das ist u.a. auch gängige Praxis in der Schweiz. Zusätzlich müssen Schulen und ihren Schulträgern vom Land oder in dessen Auftrag erarbeitete Handreichungen für eine datenschutzfreundliche Konfiguration der Plattformen zur Verfügung gestellt werden sowie Muster für Nutzungsvereinbarungen und Dienstanweisungen. Aufsichtsbehördfen werden hier sicherlich gerne mit ihrer Expertise unterstützen. Orientieren könnte man sich hier beispielsweise an den Niederlanden, die anders als Deutschland und die Bundesländer ihre Schulen hier nicht im Stich lassen. Etwas Entlastung werden zukünftig Zertifizierungen bringen für schulische Plattformen wie etwa Directions und EduCheck2EduCheck nutzt zukünftig die Zertifizierungen von Directions. Schon jetzt gibt es Entlastungen durch Vidis, welches Plattformen, die in das Angebot aufgenommen werden, durch den TÜV Nord in Bezug auf Datenschutz prüfen lässt. Schulträger können dort dann Plattformen lizenzieren und ihren Schulen bereitstellen. Die Schulleitungen zeichnen anschließend den Vertrag zur Auftragsverarbeitung in der Plattform und können die Plattform an ein System ihrer Schule andocken.
Danke für diese – erneut sehr gute Zusammenfassung.
Es wird Zeit, dass Druck auf das MSB ausgeübt wird. Von allen Seiten. Denn dieses „im Stich lassen“ durch unterlassen Entscheidungen wird immer unerträglicher. Warum werden nicht auch Plattformen aller Art – auch LOGINEO NRW – in den Lehrmittererlass nach Prüfung aufgenommen?