In Rheinland Pfalz beabsichtigt man laut 33. Tätigkeitsbericht des Landesbeauftragten für Datenschutz für 2024 die Lehr-Lernplattform „Bildungsportal RLP“ auszubauen und dabei einen zentralen Stammdatenserver einzurichten, der es Nutzern erlauben soll, verschiedene dezentrale Dienste über einen einheitlichen Zugang zu erreichen. Damit das möglich ist, sollten die Daten aus dem Schulverwaltungssystem edoo.sys und weiteren Fachverfahren in einem gemeinsamen Verfahren zusammengeführt werden. Dazu ist es allerdings erforderlich, dass die Stammdaten von Schülerinnen und Schülern und Lehrkräften in einem automatisierten Abrufverfahren auf den zentralen Stammdatenserver gezogen werden. Mit Blick auf Datenschutz und Datensicherheit sind hierbei laut LfD Rheinland Pfalz die „rechtlichen und technischen Anforderungen höher sind als dies bei einer Übermittlung bzw. einem Datenexport der Fall wäre.“ Bisher war, darauf wies der LfD Rheinland Pfalz das Ministerium für Bildung hin, ein automatisiertes Abrufverfahren für Zwecke des Identitätsmanagements auch nicht über das Schulrecht abbildbar. Das Ministerium reagierte entsprechend und erließ eine „Verordnung zur Verarbeitung personenbezogener Daten beim Einsatz zentraler digitaler Anwendungen“, welche sicherstellt, dass personenbezogene Daten in der Schule bim Rahmen von automatisierten Abrufverfahren nur verarbeitet werden dürfen, wenn dies zur Erfüllung schulischer Aufgaben rechtlich erforderlich ist ( § 67 Abs. 1 S. 1 SchulG Rheinland Pfalz).
Bewertung
Der automatisierte Abruf von Stammdaten aus Schulverwaltungsprogrammen ist in vielen Ländern Standard. Wer mit Plattformen wie Apple School Manager, Google Workspace for Education oder Microsoft 365 arbeitet, findet dort immer wieder die Möglichkeit, solche Verfahren einzurichten. Sie sind, wenn rechtlich zulässig, eine Arbeitserleichterung, da sie keine Nutzerexporte und -importe erfordern. Es bedeutet allerdings auch, dass Schulen ein Stück weit die Kontrolle abgeben. Das ist bisher in den meisten Bundesländern nicht zulässig. In § 5 Abs. 2 Satz 6 VO-DV I heißt es ausdrücklich:
„Automatisierte Verfahren, die die Übermittlung personenbezogener Daten durch Abruf ermöglichen, sind unzulässig.„
Auch in NRW gibt es Pläne für ein zentrales ID und Access Management System. Ob so ein System tatsächlich einmal kommen wird und wenn ja, wann, ist aktuell offen. Wenn es aber käme, würde auch in NRW eine Anpassung der datenschutzrechtlichen Vorgaben erforderlich sein.