In Rheinland Pfalz beabsichtigt man laut 33. Tätigkeitsbericht des Landesbeauftragten für Datenschutz für 2024 die Lehr-Lernplattform „Bildungsportal RLP“ auszubauen und dabei einen zentralen Stammdatenserver einzurichten, der es Nutzern erlauben soll, verschiedene dezentrale Dienste über einen einheitlichen Zugang zu erreichen. Damit das möglich ist, sollten die Daten aus dem Schulverwaltungssystem edoo.sys und weiteren Fachverfahren in einem gemeinsamen Verfahren zusammengeführt werden. Dazu ist es allerdings erforderlich, dass die Stammdaten von Schülerinnen und Schülern und Lehrkräften in einem automatisierten Abrufverfahren auf den zentralen Stammdatenserver gezogen werden. Mit Blick auf Datenschutz und Datensicherheit sind hierbei laut LfD Rheinland Pfalz die „rechtlichen und technischen Anforderungen höher sind als dies bei einer Übermittlung bzw. einem Datenexport der Fall wäre.“ Bisher war, darauf wies der LfD Rheinland Pfalz das Ministerium für Bildung hin, ein automatisiertes Abrufverfahren für Zwecke des Identitätsmanagements auch nicht über das Schulrecht abbildbar. Das Ministerium reagierte entsprechend und beabsichtigt nun eine „Verordnung zur Verarbeitung personenbezogener Daten beim Einsatz zentraler digitaler Anwendungen“ zu veröffentlichen, welche sicherstellt, dass personenbezogene Daten in der Schule im Rahmen von automatisierten Abrufverfahren nur verarbeitet werden dürfen, wenn dies zur Erfüllung schulischer Aufgaben rechtlich erforderlich ist ( § 67 Abs. 1 S. 1 SchulG Rheinland Pfalz).
Bewertung
Der automatisierte Abruf von Stammdaten aus Schulverwaltungsprogrammen ist in vielen Ländern Standard. Wer mit Plattformen wie Apple School Manager, Google Workspace for Education oder Microsoft 365 arbeitet, findet dort immer wieder die Möglichkeit, solche Verfahren einzurichten. Sie sind, wenn rechtlich zulässig, eine Arbeitserleichterung, da sie keine Nutzerexporte und -importe erfordern. Es bedeutet allerdings auch, dass Schulen ein Stück weit die Kontrolle abgeben. Das ist bisher in den meisten Bundesländern nicht zulässig. In § 5 Abs. 2 Satz 6 VO-DV I heißt es ausdrücklich:
„Automatisierte Verfahren, die die Übermittlung personenbezogener Daten durch Abruf ermöglichen, sind unzulässig.„
Auch in NRW gibt es Pläne für ein zentrales ID und Access Management System. Ob so ein System tatsächlich einmal kommen wird und wenn ja, wann, ist aktuell offen. Wenn es aber käme, würde auch in NRW eine Anpassung der datenschutzrechtlichen Vorgaben erforderlich sein.
Es scheint keine „Verordnung zur Verarbeitung personenbezogener Daten beim Einsatz zentraler digitaler Anwendungen“ in Rheinland-Pfalz zu geben.
Bitte um Mitteilung, inwieweit hier eine Verordnung nicht vorhanden, im Entstehen ist oder einfach auf die Möglichkeit des § 67 Abs. 8 SchulG-RP rekurriert wurde.
Das ist eine gute Frage. Ich habe nach dieser „Verordnung zur Verarbeitung personenbezogener Daten beim Einsatz zentraler digitaler Anwendungen“ gesucht, sie aber nicht gefunden und habe vermutet, sie ist nicht öffentlich zugänglich. Im Tätigkeitsbericht heißt es „Da die gegenwärtige Rechtslage einen solchen Abruf für Zwecke des Identitätsmanagements nicht hergab, griff das Ministerium für Bildung den Hinweis des LfDI auf, mit der „Verordnung zur Verarbeitung personenbezogener Daten beim Einsatz zentraler digitaler Anwendungen“ eine tragfähige rechtliche Grundlage zu schaffen.“
Es scheint also so, als gebe es die Verordnung noch nicht, doch sie ist geplant. Werde das im Text etwas anpassen. Danke für den Hinweis.