In ihrem 29. Tätigkeitsbericht für das Jahr 2023 setzt sich die LDI NRW, Bettina Gayk, auch mit der umstrittenen Rechtsauffassung des Oberverwaltungsgerichts NRW bezüglich der datenschutzrechtlichen Verantwortlichkeiten von Schulträgern bei der Bereitstellung von unterrichtlich genutzten Plattformen auseinander. Die drei Richter des Senats des OVG waren im Fall einer Dortmunder Schule zu dem Schluss gekommen, dass die Nutzung einer Plattform durch eine Schule, sofern sie unter sogenannte Lehr- und Lernplattformen sowie Arbeits- und Kommunikationsplattformen im Sinne von § 120 Abs. 5 Satz 2 des Schulgesetzes NRW fällt, die Beschaffung durch den kommunalen Schulträger gem. § 79 SchulG NRW und daraus folgend eine Prüfung auf Datenschutzkonformität durch diesen voraussetzt. Damit – und das ist die umstrittene Rechtsauffassung – liege es auch in der Verantwortung des Schulträgers und nicht der Schulleitung, die Datenschutzkonformität gegenüber Schülern, Eltern oder Lehrkräften nachzuweisen, wenn diese sie anzweifeln. Folgt man dieser im Bericht des OVG dargelegten Rechtsauffassung wäre im Falle einer Klage durch eine betroffene Person der Schulträger der Beklagte und nicht die Schule bzw. die Bezirksregierung.
Im Tätigkeitsbericht wird auf den Seiten 49/50 unter der Überschrift „Verantwortung für die Datenschutzkonformität von Hard- und Software in Schulen“ Stellung genommen. Anlass waren Nachfragen bei der Aufsichtsbehörde. Wie dem Verfasser des Beitrages bekannt, kam es unter anderem von Seiten von Schulträgern zu solchen Anfragen, die sich durch den Bericht des OVG – und im Bereich der Bezirksregierung Arnsberg durch ein Schreiben der Bezirksregierung – auf einmal in einer neuen Verantwortung sahen.
Die LDI NRW positioniert sich klar gegen diese Rechtsauffassung. Schulen sind für die Verarbeitung von personenbezogenen Daten in inneren Angelegenheiten, hier die Erfüllung des Bildungs- und Erziehungsauftrages, verantwortlich. Dieses wird aus § 5 Abs. 1 Satz 2 DSG NRW hergeleitet, wonach „die Schulen der Gemeinden und Gemeindeverbände, soweit sie in inneren Schulangelegenheiten personenbezogene Daten verarbeiten, als (eigenständige) öffentliche Stellen im Sinne dieses Gesetzes.“
Daraus ergibt sich für die LDI NRW eindeutig, „dass allein die Schulen für die im Zusammenhang mit dem Einsatz der Arbeits- und Kommunikationsplattformen stattfindende Verarbeitung personenbezogener Daten verantwortlich sind.„
Die Schulträger hingegen sind für eine „datenschutzgerechte Sachausstattung“ zuständig, da Schulen bereitgestellte Hard- und Software nur nutzen können, wenn dieses möglich ist, ohne dass es dabei gezwungenermaßen zu einer unzulässigen Verarbeitungen der Daten von Schülern und Lehrkräften kommt.
Für die LDI NRW heißt dieses, „der Schulträger muss daher darauf achten, Produkte zum Einsatz zu bringen, mit denen die Schulen ihre datenschutzrechtlichen Pflichten erfüllen können.„
Kommen Schulträger dieser Pflicht nicht nach, ist die Schulaufsicht gefordert, sie gem. § 86 Abs. 2 S. 2 SchulG NRW zur Erfüllung ihrer Pflichten anzuhalten.
Fazit für die Aufsichtsbehörde ist in dem kurzen Abschnitt: „Damit Schulen ihrer Verantwortung im Zusammenhang mit dem Einsatz von Hard- und Software gerecht werden können, benötigen sie die Unterstützung der Schulträger sowie der Schulaufsichtsbehörden.“
Bewertung
Die Aufsichtsbehörde positioniert sich recht deutlich gegen die Rechtsauffassung der drei Richter des Senats des OVG NRW, verpackt dieses aber diplomatisch. Anders als die Richter betrachtet sie nicht nur die Ausstattung der Schulen mit Lehr- und Lernplattformen sowie Arbeits- und Kommunikationsplattformen, sondern mit Hard- und Software generell, sofern mit deren Nutzung die Verarbeitung der personenbezogenen Daten von Menschen in der Schule einhergeht. Betroffen ist von daher die gesamte digitale Ausstattung, von der Infrastruktur wie z.B. WLAN Routern und Netzwerktechnik über digitale Endgeräte wie Tablets, Laptops, Drohnen und VR-Brillen bis eben zu Apps und Online Plattformen. Kommunale Schulträger haben insofern eine Verantwortung als dass die bereitgestellte digitale Ausstattung ihren Schulen eine datenschutzgerechte Nutzung ermöglicht. Die Aufsichtsbehörde NRW äußert sich hier sehr viel klarer als dieses etwa die Hessische Aufsichtsbehörde in ihrem 52. Tätigkeitsbericht im Zusammenhang mit der Bereitstellung von Microsoft 365 durch Schulträger tut. Schulträger sind gefordert, bei der Ausstattung das Thema Datenschutz mitzudenken, so dass die zur Verfügung gestellte digitale Ausstattung eine datenschutzgerechte Nutzung ermöglicht.
Kommt es tatsächlich wieder einmal zu einem Fall wie dem in Dortmund, wo das Verfahren, welches vor dem OVG NRW endete, seinen Ausgang nahm, werden die Richter des Verwaltungsgerichtes nicht umhin können, die Position der LDI NRW zu berücksichtigen. Da diese mit der Auslegung und Anwendung von Landesrecht durch das OVG NRW kollidiert, werden sie das Verfahren vermutlich unmittelbar an das OVG verweisen, damit dieses seine Auslegung und Anwendung von § 79 SchulG NRW überprüft.
Sieht die LDI NRW die Schulträger mit ihrer rechtlichen Bewertung der Zuständigkeiten in der Pflicht, sämtliche digitale Hard- und Software vor der Bereitstellung und im Fall von Lehr- und Lernplattformen sowie Arbeits- und Kommunikationsplattformen vor der Unterbreitung eines Vorschlags an die Schulkonferenz einer umfassenden datenschutzrechtlichen Prüfung zu unterziehen? Nach Einschätzung des Verfassers dieses Beitrags ist das sicherlich nicht der Fall. Schulträger können sich auch anderweitig orientieren. Wird eine Plattform in anderen Bundesländern als Landeslösung bereitgestellt, kann man davon ausgehen, dass eine datenschutzgerechte Nutzung auch für Schulen in NRW möglich ist. Gleiche Orientierung sollte auch die Bereitstellung durch einen sehr großen kommunalen Schulträger bieten, da diese in der Regel eher die Ressourcen haben, um sich selbst ein Urteil zu bilden. Aber auch die Aussagen von Anbietern selbst zu ihrer Datenschutzkonformität können zu Hilfe genommen werden, vor allem wenn es um etablierte Anbieter aus dem EU Raum geht. Ein Schulträger könnte hier auf das OLG Karlsruhe, Beschluss vom 07.09.2022 – 15 Verg 8/22 verweisen. Der Beschluss sagt, dass solange es keine konkreten Anhaltspunkte dafür gibt, dass die vertraglichen Zusagen des Anbieters zweifelhaft sind, ein öffentlicher Auftragsgeber auch nicht gehalten ist, durch Einholung ergänzende Informationen die Erfüllbarkeit des Leistungsversprechens beziehungsweise die hinreichende Leistungsfähigkeit des Bieters (meint hier einen Anbieter, der einen Auftrag zur Bereitstellung einer Plattform haben will) zu prüfen. Zu dem Leistungsversprechen gehört auch die Zusage, dass man DS-GVO konform sei.1 – https://openjur.de/u/2449559.html Bezüglich einiger Plattformen gibt es auch Aussagen von Aufsichtsbehörden. Teilweise kann auch ein Blick über die Grenzen in andere EU Länder helfen. Wenn eine Aufsichtsbehörde in Deutschland oder der EU die unterrichtliche Nutzung einer Plattform für möglich hält, kann ein Schulträger sich darauf berufen. Wichtig ist dabei aber immer, dass genau ermittelt wird, unter welchen Bedingungen die jeweilige Aufsichtsbehörde die datenschutzgerechte Nutzung einer Plattform für möglich hält. Das können beispielsweise spezielle mit dem jeweiligen Land ausgehandelte Verträge und zur Verfügung gestellte Versionen einer Plattform sein. Ein Beispiel dafür ist aktuell im Juli 2024 die Plattform Google Workspace for Education, deren Nutzung in den Niederlanden mit Gutheißen der Aufsichtsbehörde möglich ist. Dafür stellt Google in den Niederlanden speziell angepasste Versionen seiner Plattformen zur Verfügung, die in Deutschland noch nicht verfügbar sind aber noch dieses Jahr kommen sollen. Außerdem gibt es eine angepasste Version der datenschutzrechtlichen Verträge mit über die normale Version hinausgehenden Zusagen. Wird eine Plattform über den Vermittlungsdienst VIDIS bereitgestellt, bietet auch das eine Orientierung, da nur vorab geprüfte Plattformen an VIDIS angebunden werden. Zukünftig wird man sich außerdem auch an Zertifizierungen durch Directions orientieren können.
Hallo zusammen,
„Die LDI NRW positioniert sich klar gegen diese Rechtsauffassung“
und wo findet man diese positioniertung ?
In dem akutellen LDI Bericht https://www.ldi.nrw.de/system/files/media/document/file/29_bericht_2024_3.pdf
findet ic dazu nichts.
Könntet ihr diese wichtige Informtion noch hinzufügen!
Ursprünglich fand sich diese Formulierung auch in der Überschrift. Nach Kritik, die nachvollziehbar war, erfolgte eine „Entschärfung“ der Überschrift. Fakt ist aber, dass die LDI NRW nicht die Auffassung des OVG NRW teilt und das ist im Beitrag mit Zitat belegt.
Diese Aussage ist nach Auffassung des Autors des Beitrags eine klare Positionierung gegen die Aussage des OVG. Wenn die Schule allein für die im Zusammenhang mit dem Einsatz der Arbeits- und Kommunikationsplattformen stattfindende Verarbeitung personenbezogener Daten verantwortlich sind, dann liegt diese Verantwortung eindeutig nicht beim Schulträger und es kann auch nicht dessen Aufgabe/ Verantwortlichkeit sein, Betroffenen gegenüber die DS-GVO Konformität nachzuweisen.