Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Analyse
24. März 2021

Datenschutz in der Schule in Corona-Zeiten

DP+
Homeschooling & Co. stelle hohe Ansprüche auch an den Datenschutz
Bild: iStock.com / evgenyatamanenko
5,00 (2)
Allgemeine Regeln gelten auch beim digitalen Lernen
Präsenzunterricht findet nur eingeschränkt statt. Schüler und Lehrer werden immer wieder ins Distanzlernen bzw. Homeschooling geschickt. Um den Bildungsauftrag der Schulen aufrechtzuerhalten, sind digitale Hilfsmittel wie Lernplattformen und Videokonferenzsysteme nötig. Die Aufsichtsbehörden geben Tipps, was alle Beteiligten dabei aus Sicht des Datenschutzes beachten müssen.

Regelungen zur Schule sind Sache der Bundesländer. Deshalb sind insgesamt keine allgemeingültigen Aussagen möglich. Aber die Vorschriften zum Datenschutz gelten auch in speziellen Zeiten.

Schule als Verantwortlicher

Das bedeutet, dass die jeweiligen Schulen Verantwortliche im Sinne des Datenschutzes sind. Sie müssen also im Vorfeld von Distanzlernen nach Art. 13 Datenschutz-Grundverordnung (DSGVO) informieren, Betroffenenrechte beachten und personenbezogene Daten löschen, wenn sie sie nicht mehr benötigen.

Orientieren können sich Verantwortliche und beratende Datenschutzbeauftragte an den zahlreichen Hinweisen der Datenschutzaufsichtsbehörden und an ersten Entscheidungen der Gerichte.

Distanzlernen

Distanzlernen wird auch als Homeschooling oder digitaler Unterricht bezeichnet. Dazu verwenden die Schulen meist IT-Lösungen, die man Lernplattformen nennt.

Für diese Plattformen gibt es verschiedene Anbieter. Kennzeichnend ist, dass sie über Funktionen verfügen wie eine Benutzerverwaltung mit Anmeldung, die Verwaltung der Unterrichtskurse mit Inhalten und Dateien, ein Rollen- und Rechtesystem mit differenzierten Rechten für verschiedene Nutzerkategorien, Kommunikationsmethoden wie Chats sowie Lernwerkzeuge wie Kalender und Notizen.

Lernplattformen sind meist webbasiert.

Aufsichten halten sich zurück

2020 waren die Aufsichtsbehörden bei allen schnell ins Leben gerufenen digitalen Lernmöglichkeiten vielfach beratend und unterstützend, z.B. mit Handlungsempfehlungen, aktiv. Sie haben dabei für das Ziel, den Bildungsauftrag der Schulen zu sichern, übergangsweise akzeptiert, dass Schulen nicht oder nur teilweise datenschutzkonforme Lösungen bei Lernplattformen und Videokonferenzen nutzen.

Die Aufsichtsbehörden weisen aber ausdrücklich darauf hin, dass der Einsatz nicht datenschutzkonformer Lösungen allenfalls übergangsweise möglich ist. Sie fordern, so z.B. die Berliner Landesbeauftragte für Datenschutz und Informationsfreiheit, spätestens zum Beginn des nächsten Schuljahrs Konformität mit allen Datenschutzregelungen herzustellen.

Besonders schutzwürdig

Verantwortliche sollten sich bewusst sein, dass beim digitalen Lernen v.a. personenbezogene Daten von Kindern und Jugendlichen verarbeitet werden. Diese sieht die DSGVO als besonders schutzwürdig an (Erwägungsgrund 38 DSGVO).

Lernplattformen

Die Lernplattformen erfassen umfangreich personenbezogene Daten der Nutzenden, z.B.

  • die Namen und Passwörter der Nutzer,
  • die Protokollierung der Logins,
  • die Nutzungsdauer und
  • den Aufruf verschiedener Kurse.

Weiterhin speichern die Plattformen die Bearbeitungen der Nutzerinnen und Nutzer, z.B. hochgeladene Daten, Antworten in Chats und Fragen an die Lehrkräfte. Videokonferenzen lassen sich aufzeichnen und speichern. Lehrkräfte geben Leistungsbewertungen über die Plattform bekannt. Damit besteht die Gefahr, dass Persönlichkeitsprofile der Nutzer entstehen.

DSK zu Datenschutz bei Lernplattformen

Bereits 2018 hat die Datenschutzkonferenz (DSK) eine Orientierungshilfe zu Lernplattformen veröffentlicht (siehe https://ogy.de/oh-lernplattformen).
Sie hat auch in Corona-Zeiten nichts von ihrer Gültigkeit verloren.


Aufsichtsbehoerden zu Datenshcutz bei Distanzlernen

Verantwortliche und ihre Datenschutzbeauftragten finden zusätzlich bei den einzelnen Aufsichtsbehörden Hinweise zum Distanzlernen. Eine
Übersicht nach Bundesland bietet der Digitalverband Bitkom unter www.bitkom.org/Themen/Datenschutz-im-digitalen-Fern-Unterricht.

Datenverarbeitung auf privaten IT-Geräten der Lehrkräfte

Schon vor einigen Jahren haben sich die Aufsichtsbehörden dahingehend geäußert, dass die Verarbeitung von Schülerdaten auf Lehrergeräten nur in engen Grenzen datenschutzrechtlich zulässig ist (siehe dazu auch die dreiteilige Reihe zu „Schule und Datenschutz“ in den Heften 08/2016, 09/2016 und 05/2017).

Angesichts der aktuellen Lage lässt der Hessische Beauftragte für Datenschutz und Informationsfreiheit eine zeitlich befristete Nutzung von Privatgeräten unter bestimmten Bedingungen zu (siehe https://ogy.de/hessen-schulen-covid19). Dazu gehören z.B.

  • ein Verzicht darauf, sensible Daten zu speichern,
  • die Sicherung der Geräte durch PIN und Passwort sowie
  • die Löschung nicht mehr benötigter Daten.

Zeitlich begrenzt auf das aktuelle Schuljahr sieht er auch eine Noteneingabe durch Lehrkräfte am häuslichen Arbeitsplatz als möglich an (siehe https://ogy.de/noteneingabe).

Videokonferenzen

Um das Distanzlernen lebendiger zu gestalten, können Schulen Videokonferenzen einsetzen – das virtuelle Klassenzimmer entsteht, wenn alle Schüler und Lehrkräfte darüber miteinander verbunden sind.

Risiken

Bei einer Videokonferenz werden umfangreich personenbezogene Daten verarbeitet. So überträgt die Software z.B. Sprache, Verhalten, Mimik und Gestik der Teilnehmenden an alle weiteren Teilnehmenden.

All diese Daten lassen sich dauerhaft speichern. Damit ist es möglich, die Sprache oder das Verhalten der Schülerinnen und Schüler sowie der Lehrkräfte auszuwerten und zu analysieren. Das kann je nach verwendetem Konferenzsystem auch nachträglich oder zeitversetzt geschehen.

Ist eine Videokonferenz nicht genügend abgesichert, z.B. durch Zugangscodes, besteht die Möglichkeit, dass sich unbefugte Dritte in die Konferenz einloggen.

Im Januar haben die Medien über einen solchen Vorfall in Hessen berichtet: Dort hatten sich Unbekannte in verschiedene Videokonferenzen von Grundschulen „gehackt“, die Lehrkräfte als Konferenzleitung „ausgeschaltet“ und den Grundschülern pornografische Bilder gezeigt. Das sind datenschutzrechtliche Risiken, denen Verantwortliche durch gute Auswahl, gute Absicherung und Bekanntgabe von Regeln an alle Beteiligten im Vorfeld begegnen sollten. Auch dazu haben sich verschiedene Datenschutzaufsichtsbehörden konkret geäußert:

Praxis-Tipp
Schritte zur datenschutzkonformen Videokonferenz in der Schule

  • Geeignetes Konferenzsystem auswählen:
    • Außereuropäische Videokonferenzsoftware ist oft nicht datenschutzkonform!
    • Nutzung von US-Produkten im noch laufenden Schuljahr vertretbar, um den Bildungsauftrag aufrechtzuerhalten (LfDI Rheinland-Pfalz 6.1.2021), allerdings nur unter Auflagen:
      • Betrieb auf schuleigenen Systemen oder per Auftragsverarbeitung auf Systemen deutscher oder europäischer Anbieter
      • datensparsame Konfiguration
      • Schule muss Zugangsdaten pseudonymisieren können
      • Verwendung der Nutzungsdaten für Werbezwecke muss vertraglich ausgeschlossen sein
      • Information der Nutzer nach Art. 13 DSGVO
      • Widersprechen Eltern/Schüler der Nutzung, muss die Schule entsprechende Ersatz-Lehrangebote zur Verfügung stellen.
    • Die Landesbeauftragte für den Datenschutz Berlin hat verschiedene Produkte für Videokonferenzen untersucht. Das – umstrittene – Dokument ist zu finden unter https://ogy.de/berlin-videokonferenz-2.
    • Der LfDI Rheinland-Pfalz empfiehlt die Lösung Big Blue Button (BBB, siehe https://bigbluebutton.org/). Das ist eine Open-Source-Lösung, die die Johannes-Gutenberg-Universität Mainz hostet. Sie lässt sich vollständig unter Kontrolle des Verantwortlichen auf eigenen Systemen betreiben. Eine Übermittlung von Nutzungsdaten an Dritte oder eine Verwendung für Werbezwecke lässt sich ausschließen.
  • Vertragliche Regelung mit dem Anbieter: Auftragsverarbeitung
  • Information an Eltern, Schüler, Lehrer nach Art. 13 DSGVO
  • Regeln für die Nutzung der Videokonferenzen aufstellen, z.B. keine Speicherung, Screenshots o.Ä. durch Schüler, Vertraulichkeitsverpflichtung von Schülern (Muster dazu stellt der LfDI Rheinland-Pfalz bereit: https://ogy.de/faq-datenschutz-schule).
  • Videokonferenzen bei der Durchführung absichern durch Zugangscodes, Deaktivierung der Übermittlung von Nutzungsdaten an Dritte

Gesundheitsdaten in der Schule: Atteste zur Befreiung von der Maskenpflicht

Findet zumindest teilweise wieder Präsenzunterricht in den Schulen statt, kommt auch erneut die Maskenpflicht – d.h. die Pflicht zum Aufsetzen einer Mund-Nasen-Bedeckung – zum Tragen.

Geregelt ist diese Pflicht in den Bundesländern auf der Grundlage von § 28a Infektionsschutzgesetz in Verbindung mit den Regelungen der jeweiligen (Landes-)Corona-Verordnung. Letztere regelt meist, dass ein ärztliches Attest Personen aufgrund einer gesundheitlichen Beeinträchtigung oder Vorerkrankung von der Maskenpflicht befreien kann.

Und nun kommt der Datenschutz ins Spiel. Denn die meisten Bundesländer verlangen einen bestimmten Umfang und eine bestimmte Aussagekraft für solche Befreiungsatteste. Das legt z.B. die Landesschulbehörde fest.

Niedersachsen verlangt bei einem Attest, das von der Maskenpflicht befreit, z.B.:

  • Aus dem aktuellen Attest muss sich nachvollziehbar ergeben, welche konkret zu benennende gesundheitliche Beeinträchtigung aufgrund des Tragens einer Mund-Nasen-Bedeckung im Unterricht zu erwarten ist und woraus diese im Einzelnen resultiert.
  • Liegen relevante Vorerkrankungen vor, muss das Attest sie konkret benennen.
  • Darüber hinaus muss im Regelfall erkennbar sein, auf welcher Grundlage die attestierende Ärztin oder der attestierende Arzt zu dieser Einschätzung gelangt ist.

Gesundheitsdaten betroffen

Es handelt sich dabei um die Verarbeitung besonderer Kategorien personenbezogener Daten, nämlich um Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO. Die Verarbeitung solcher Daten ist im Grundsatz verboten, da sie besonders schützenswert sind. Jedoch lässt Art. 9 Abs. 2 DSGVO Ausnahmen zu, unter denen eine Verarbeitung stattfinden kann.

Einschätzungen von Behörden und Gerichten

Die Landesbeauftragte für den Datenschutz Niedersachsen hält es für datenschutzrechtlich nicht zu beanstanden, ein qualifiziertes Attest mit den genannten Inhalten gegenüber der Schulleitung oder einer autorisierten Person vorlegen zu müssen. Das gelte aber nur für Schülerinnen und Schüler, nicht für Lehrkräfte.

Die jeweilige Schule müsse aufgrund ihrer Fürsorge- und Obhutspflicht für die Gesundheit aller Schüler (Art. 2 Abs. 2 Satz 1 Grundgesetz) einen besonderen Infektionsschutz gewährleisten. Die Vorlage eines solchen qualifizierten Attests lasse sich zwar nicht aus der Niedersächsischen Corona-Verordnung ableiten. Sie könne sich aber auf verschiedene Gerichtsentscheidungen stützen.

Das Oberverwaltungsgericht (OVG) Nordrhein-Westfalen (Beschluss vom 24.09.2020, Az. 13 B 1368/20) verlangt z.B. Mindestanforderungen an Atteste zur Maskenbefreiung. Der Beschluss bezieht sich nicht nur auf Schüler. Zu den Anforderungen gehören:

  • zu erwartende und zu benennende Gesundheitsbeeinträchtigungen durch das Maskentragen
  • Benennung des Grundes für die Beeinträchtigungen
  • Grundlage der ärztlichen Einschätzung
  • Benennung relevanter Vorerkrankungen

Der Bayerische Verwaltungsgerichtshof (Beschluss vom 26.10.2020, Az. 20 CE 20.2185) verlangt dagegen:

  • Benennung von nachvollziehbaren Befundtatsachen
  • ärztliche Diagnose

Die Corona-Verordnung Rheinland-Pfalz regelt unter dem Abschnitt „Schulen“, dass das Attest die ärztliche Diagnose und die Gründe für die Unzumutbarkeit des Maskentragens nennen muss. Ausdrücklich geregelt ist, dass die Schule die Atteste dokumentieren, aber nicht kopieren darf.

Im Gegensatz dazu steht eine Entscheidung des OVG Berlin-Brandenburg (Beschluss vom 04.01.2021, Az. 11 S 132/20), die sich mit der Befreiung von der Maskenpflicht allgemein befasst. Das OVG hatte hier bezweifelt, ob eine Rechtsgrundlage aus dem Infektionsschutzgesetz überhaupt einen Eingriff in datenschutzrechtlich abgesicherte Rechte ermöglicht.

Es handle sich um sensible Gesundheitsdaten, die nach dem Datenschutzrecht einem besonderen Schutz unterstünden. Für den Betroffenen sei nicht von der Hand zu weisen, dass seine Gesundheitsdaten allgemein bekannt würden, wenn er – von der Maskenpflicht befreit – sein Attest mit Diagnose vorweisen müsse, um im Supermarkt oder in der Apotheke Einlass zu erhalten. Denn die entsprechende Landesverordnung regle auch keine Geheimhaltungspflicht und keine Zweckbindung der Datenverwendung bezüglich dieser Gesundheitsdaten.

Das Gericht hat somit die Preisgabe der Gesundheitsdaten als gravierenden Eingriff in die Rechte des Betroffenen gewertet und die Regelung in der Landesverordnung vorläufig außer Vollzug gesetzt (da der Rechtsstreit bisher nur im sogenannten Eilverfahren geführt wurde). Diese Entscheidung dürfte auch auf die Gesundheitsdaten von Schülern anzuwenden sein.

Es sind also unterschiedliche Einschätzungen der Aufsichtsbehörden und der Gerichte – je nach Bundesland – möglich, da auch die Landes-Corona-Verordnungen keine einheitlichen Regelungen haben. Außerdem kann sich durch neuere Gerichtsentscheidungen eine andere rechtliche Einschätzung ergeben.

Datenschutzkonforme Lösungen anstreben

In Notsituationen akzeptieren die Aufsichtsbehörden vorübergehend Lösungen, die nur eingeschränkt datenschutzkonform sind.

Verantwortliche tun aber gut daran, solche Übergangslösungen zeitnah in datenschutzkonforme Dauerlösungen zu überführen. Denn der Einsatz nicht datenschutzgerechter digitaler Dienste ist rechtswidrig. Außerdem geht es hier um personenbezogene Daten besonders schutzwürdiger Personen.

Andrea Gailus

Andrea Gailus
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
DP
Andrea Gailus
Rechtsanwältin Andrea Gailus ist in eigener Anwaltskanzlei tätig und befasst sich neben dem Zivilrecht schwerpunktmäßig mit IT- und Datenschutzrecht.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.