AACHEN. Reizthema Datenverarbeitung und aktuelle EU-Richtlinien: Als Externer Datenschutzbeauftragter und Berater für Datenschutz und Informationssicherheit ist Gastautor Ingo Goblirsch immer auf dem neuesten Stand. Bereits im ersten und zweiten Teil seiner Artikelreihe „Datenschutz: Mythen – und die Fakten“ räumte er mit gängigen Falschannahmen rund um den Datenschutz im schulischen Umfeld auf. Jetzt, im dritten Teil, geht’s um den Privacy Shield, Hyperscaler – und den ganz normalen Schulalltag.
1. Mythos: Der Europäische Gerichtshof (EuGH) hat die Datenübermittlung in die USA verboten.
Die Wahrheit: Der EuGH hat in der Rechtssache C-311/18 „Schrems II“ hauptsächlich das den EU-US-Privacy-Shield-Beschluss für ungültig erklärt. Dieser Beschluss kann nicht mehr als Rechtsgrundlage zur Übermittlung von Daten in die USA als „unsicheren Drittstaat“ herangezogen werden. Der Privacy Shield war allerdings auch keine EU-Gütesiegel, sondern lediglich eine informelle, transatlantische Vereinbarung. Um „Privacy-Shield-zertifiziert“ zu sein, musste ein Dienstleister einfach auf einer Website ein Formular[1] ausfüllen und den dort aufgeführten Vorgaben zustimmen. Kontrolle und inhaltliche Qualität waren natürlich bei einem solchen Verfahren nicht gegeben und entsprechend war es abzusehen, dass der EU-Gesetzgeber ein Verbot aussprechen würde.
Stattdessen hat die EU-Kommission jetzt neue EU-Standardvertragsklauseln veröffentlicht, welche den EuGH-Datenschutzanforderungen deutlich entgegenkommen. Außerdem sind diese Vertragsklauseln sicherer als das Privacy Shield. In der Praxis sieht es so aus, dass zwei Parteien einen Vertrag miteinander schließen, also eine einzelvertragliche Regelung vereinbaren, in der sie die EU-Standardvertragsklauseln für gültig erklären. Letztere legen genau fest, was die Vertragspartner tun müssen, um datenschutzkonform zu handeln.
Die neue Version der EU-Standardvertragsklauseln muss seit dem 27. Oktober 2021 bei jedem Vertragsabschluss auf Basis von Standardvertragsklauseln zugrunde gelegt werden. Bestehende Verträge mit bestehenden Standardvertragsklauseln müssen bis zum 27. Dezember 2022 vollständig auf die neuen EU-Standardvertragsklauseln umgestellt worden sein.
2. Mythos: Schulen dürfen keine Daten in die USA übermitteln.
Die Wahrheit: Schließt beispielsweise eine Schule (oder eine Stadt als Schulträger) mit einem US-Unternehmen wie Microsoft (und dann die einzelne Schule mit der Stadt) den Vertrag nach den neuen EU-Standardvertragsklauseln, ist genau geregelt, was die Vertragspartner in Sachen Datenschutz erfüllen müssen. Und nach diesen Regelungen ist es gerade im schulischen Umfeld wahrscheinlicher geworden, dass eine Datenübermittlung in die USA rechtskonform ist.
Um diese Rechtskonformität sicherstellen zu können, muss die Schulleitung gemeinsam mit dem Datenschutzbeauftragten eine Datenschutz-Folgenabschätzung inklusive der Bewertung der Folgen einer Übermittlung von Daten außerhalb des EWR anstellen. Dies klingt komplex, jedoch stellen seriöse Anbieter hierfür Vorlagen zur Verfügung.
Wir unterstützen Schulen dabei, Office 365 datenschutzkonform zu nutzen.
In der Corona-Krise haben viele Schulen schnell handeln müssen und dabei nicht immer alle Datenschutz-Vorgaben beachten können. Um perspektivisch mit den so entstandenen Lösungen arbeiten zu können – und nicht absehbar die bisher geleistete Arbeit komplett aufgeben zu müssen–, gibt es das Verwaltungsnetzwerk von AixConcept, das mit Blick auf die Erfordernisse des Datenschutzes konfiguriert ist.
Auch bei den Aufgaben, die sich Schulen darüber hinaus beim Datenschutz stellen – Einverständniserklärungen von Eltern einholen zum Beispiel – hilft AixConcept: etwa mit elektronischen Vorlagen, die automatisch aus einem einmal angelegten Verteiler versendet und digital unterschrieben vom System gesammelt und ausgewertet werden. Und was passiert, wenn Eltern die Zustimmung verweigern? Selbst dafür gibt es dann Lösungen – die Anonymisierung von Schülerinnen- und Schülerdaten etwa.
Erfahren Sie mehr unter https://aixconcept.de/loesungen/ und vereinbaren Sie noch heute einen Beratungstermin! Sie erreichen uns per Mail vertrieb@aixconcept.de oder gerne auch telefonisch +49 (2402) 389 4110
Im Rahmen dieser Bewertung werden nicht nur objektive Bewertungskriterien, ob eine Datenverarbeitung sicher ist oder nicht, eingebracht. (Dazu gehört zum Beispiel die Festlegung, ob eine sichere Verschlüsselung gegeben ist.) Sondern jetzt können zur Bewertung des Risikos der Übermittlung auch subjektive Bewertungskriterien wie beispielsweise die Wahrscheinlichkeit, dass US-Geheimdienste auf die Daten in einer Schul-Cloud zugreifen, herangezogen werden.
Wenn die Wahrscheinlichkeit dieses Zugriffs, also das subjektive Bewertungskriterium, doch eher niedrig ist, spricht vieles dafür, dass die Übermittlung der Daten auf Basis der neuen EU-Standardvertragsklauseln rechtlich in Ordnung ist. Aus Risikosicht ist es eben anders zu bewerten, ob jemand Gesundheitsdaten aus einer Klinik oder Daten zur Gewerkschaftszugehörigkeit in die US-Cloud überträgt oder ob man eine Klassenzugehörigkeit mit einem Stundenplan und den letzten Hausaufgaben in die USA übermittelt.
3. Mythos: Die Landesdatenschutzbeauftragten dürfen Schulen verbieten, IT-Dienstleistungen oder -Produkte von US-Anbietern zu nutzen.
Die Wahrheit: Die Landesdatenschutzbehörden haben hundertprozentige Befugnisse, die Datenverarbeitung durch US-Konzerne einzuschränken oder zu verbieten – ohne vorab ein Verbot in Aussicht zu stellen. Sie können also die Nutzung bestimmter Produkte unmöglich machen. Aber: Für Schulen gibt es natürlich keine anderen rechtlichen Grundlagen als für Unternehmen, Gewerkschaften oder sonstige Institutionen. Sie unterliegen wie alle anderen der EU-Datenschutz-Grundverordnung, gegebenenfalls noch landesspezifischer Gesetze. Was für Schulen verboten wird, ist dann also auch für Unternehmen nicht mehr rechtskonform.
Die EU-Datenschutzgrundverordnung macht nur da Unterschiede, wo das Risiko anders ist. Bei der Verarbeitung von Gesundheitsdaten besteht zum Beispiel ein anderes Risiko als bei der Verarbeitung von Schülerdaten. Bei der Verarbeitung von Schülerdaten haben wir ein anders Risiko als bei der Verarbeitung von Kundendaten eines Online-Shops für Schuhe.
Die Aussprache einer „Duldung“ der Datenverarbeitung zur Nutzung eines Produkts wie zum Beispiel der Microsoft-Anwendung Teams auszusprechen, wie in Hessen geschehen, gehört übrigens nicht zu den Befugnissen der Aufsichtsbehörden (gemäß Art. 58 Abs. 2 DSGVO). Diese „Duldung“ ist lediglich als politische Aussage einzuordnen.
4. Mythos: Schülerdaten sind sensibler als Arbeitnehmerdaten.
Die Wahrheit: Das stimmt nur bedingt. Es gibt sieben Kategorien personenbezogener Daten, die besonderen Schutz erfordern. Das sind zum Beispiel Gesundheitsdaten, biometrische Daten, Daten zur religiösen Weltanschauung oder Daten zur sexuellen Orientierung. Daten von Kindern sind schützenswert, weil es sich um Minderjährige handelt. Daten von Lehrerinnen und Lehrern sind ebenfalls besonders schützenswert beziehungsweise schützenswürdiger als andere Daten, da diese in einem abhängigen Dienstverhältnis zum Dienstherrn beschäftigt sind. Dasselbe gilt für Arbeitnehmerinnen und Arbeitnehmer.
5. Mythos: Die meisten Datenschutzverletzungen an Schulen passieren durch mangelnde Sicherheit in der Datenverarbeitung durch externe Anbieter.
Die Wahrheit: Wenn es um Datenschutzverletzungen geht, konzentriert sich die öffentliche Berichterstattung sehr auf die sogenannten „Hyperscaler“. Gemeint sind damit in der Regel die großen Cloud-Anbieter Amazon, Microsoft und Google. Die tatsächlichen Datenschutzverletzungen finden allerdings in der täglichen Schulverwaltung statt. Und zwar so mannigfaltig, dass hier noch viel Aufklärungsarbeit geleistet werden muss.
Einige Beispiele aus der Praxis: Bei einer Schulkonferenz sollen sich die Teilnehmer und Teilnehmerinnen zur Kontrolle der 3G-Vorschrift in eine Liste eintragen. Wer sich zuletzt einträgt, kann dann natürlich wunderbar sehen, wer von den anderen Teilnehmern geimpft, genesen oder getestet ist. Dann wiederum kommt es häufig vor, dass Eltern bei der Anmeldung an einer neuen Schule keine grundlegenden Informationen zur Verarbeitung der Daten ihres Kindes durch die Schule im Sinne des Artikel 13 DSGVO erhalten. Immer wieder wird auf Anmeldebögen auch der Beruf oder die E-Mail-Adresse der Eltern standardmäßig abgefragt. Zur Verarbeitung dieser Daten bedarf es aber einer gesonderten Einwilligung der Eltern. Apropos Einwilligung: Zwar verlangen die meisten Schulen inzwischen vor Fototerminen Einwilligungserklärungen zur Nutzung von Bildmaterial, zum Beispiel auf der Internetseite der Schule. Allerdings sind diese häufig falsch formuliert und das Papier, auf dem sie stehen, nicht wert. Ingo Goblirsch
zulässig. Für jeden Einzelfall und jedes Ereignis sollte eine separate Einwilligung eingeholt werden. Vorlage für Formulierung: Zu folgenden Verarbeitungen möchten wir Ihre Einwilligung einholen: Alle Einwilligungen sind freiwillig. Aus der Nichterteilung oder dem eventuellen späteren Widerruf der Einwilligung entstehen Ihnen keine Nachteile. Die Einwilligungen können für jederzeit widerrufen werden. Dabei kann der Widerruf auch nur auf einen Teil der Einwilligungen bezogen sein. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Ingo Goblirsch [1] https://www.privacyshield.gov/PrivacyShield/ApplyNow
Besteht tatsächlich die Ansicht, dass eine einzelne Schule – mithin eine einzelne Schulleitung – derart eigenständig agieren kann, dass sie internationale Rechtsverhältnisse betreffende Verträge mit kommerziellen Unternehmen schließen kann?
Und wie problematisch und schwierig Datenschutzfolgeabschätzungen bei internationalem Datenverkehr insbesondere proprietärer Dienste (wie hier Microsoft) sind und wie wenig brauchbare Vorlagen es da gibt, hat doch gerade das Pilotprojekt in Baden-Württemberg mit einer speziellen Version von MS365 gezeigt.
Was dort ein Kultusministerium zusammen mit Microsoft nicht hinbekommt, soll eine einzelne Schule mit „Vorlagen“ bewältigen?
Hallo Herr Goblirsch, ich bin doch einigermaßen überrascht nach dieser Überschrift eine solche Ansammlung von Mythen zu finden. Gab es nicht in Baden-Württemberg den Wunsch des Kultusministeriums MS 365 an Schulen einzusetzen. Gestartet wurde ein Pilotprojekt in Zusammenarbeit von Microsoftexperten und der LfDI. Das eindeutige Ergebnis sollte bei guter Recherche auch Ihnen bekannt sein. Ich zitiere:
„Wenn es trotz großer Anstrengungen, hohem Personaleinsatz und Zugang zu versierten Microsoft-Technikern im Rahmen des Pilotbetriebs selbst dem Kultusministerium mit intensiver Unterstützung des LfDI nicht gelungen ist, eine hinreichende Klarheit über Datenflüsse, Rechtsgrundlagen und technische Maßnahmen des Anbieters zu erlangen, so ist es schwer vorstellbar, dass einzelnen Schulen dieses besser gelingt. Da die Schulen jedoch Verantwortliche für die Verarbeitungen von Schülerdaten sind und insoweit eine Garantenstellung einnehmen, liegt hier ein ungelöstes Datenschutzproblem im Sinne von Artikel 5 Absatz 2 DS-GVO vor.“
Nachzulesen unter:
https://fragdenstaat.de/dokumente/118410-2021-04-23_empfehlung_lfdi/
Das ganze Verfahren zeigt die Ideologisierung des Themas Datenschutz in Deutschland.
Da beschwert sich ein Landesdatenschutzbeauftragter darüber, dass er nicht unbegrenzten Zugang zu sämtlichen Datenströmen (also auch den Betriebsgeheimnissen) eines multinationalen Konzerns bekommt – und will deshalb Schulen die Nutzung von funktionierender Software, mit der in der Wirtschaft und im Gesundheitswesen Billionen von sensiblen Daten ohne Probleme verarbeitet werden, verbieten.
Andersherum: Welche Schulleitung kann denn garantieren, dass mit selbstgebastelter Open Source Software, die ja offensichtlich gepuscht werden soll, kein Datenmissbrauch stattfindet? Haben Schulleitungen in Deutschland neuerdings Informatik studiert?
Es gibt keine per se datengeschützte Software – es kommt immer darauf an, wie die Schule bzw. die Lehrkraft vor Ort damit umgeht. Letztlich benötigt die Schule einen vertrauenswürdigen Anbieter, der den Aufbau und den Service übernimmt. Alles andere ist unpraktikabler Quark.
Können wir in Deutschland mal aufhören, alles zu einem riesigen Prinzipienkack aufzublasen und stattdessen nach praxisorientierten Lösungen zu suchen, die Wunsch und Wirklichkeit miteinander verbinden? Es werden ja schon Menschenleben in Deutschland gefährdet, weil der Datenschutz wie irre überall hineinregiert: https://www.dgu-online.de/news-detailansicht/dgu-praesident-uebertriebener-datenschutz-gefaehrdet-menschenleben-in-der-schwerverletztenversorgung.html
Datenschutz heißt nicht Schutz der Daten, sondern Schutz der Personen hinter den Daten
Ohne wasserdichten Auftrag zur Auftragsverarbeitung nach DSGVO (ehemals: Auftragsdatenverarbeitung) durch den/die Verantwortliche(n), als SL sind alle Datenverarbeitungen, auch an Schulen, eher heikel und keine Sache für so nebenbei zu erledigen.
Eine Nutzung von Microsoft 365 oder Teilen davon aus dem Paket ist nur mittels eines Microsoft OS (Betriebssystem) möglich. Da Windows 10 selbst umfangreiche Telemetriedaten ermittelt, entsteht je nach Lizenz von Office 365, Einstellung der Administratoren und eigenen Datenschutzeinstellungen ein komplexes Geflecht von Verantwortlichkeiten, die sich zwischen dem Anbieter (Schule), vielleicht noch Rechenzentrum des Schulträgers und Microsoft verteilen. Werden dann auch noch neben den Dienstgeräten weitere private digitale Endgeräte, möglicherweise ohne dienstliche Genehmigung genutzt wird es noch komplexer.
Leider entsteht die mangelnde Sicherheit in der Datenverarbeitung nicht wie im Bericht bemerkt **durch externe Anbieter**, sondern bereits durch die Nutzer selbst, z. B. bei LuL über umfangreiche Tracking- und Analyseprogramme, Whatsapp etc. im Hintergrund, schulische Kontaktdaten auf privaten Endgeräten, private Mailaccounts, private Clouddienste usw..
Alleinige Verantwortung für die schulische Datenverarbeitung trägt die Schulleitung vertreten durch den Schulleiter oder die Schulleiterin und da sehe ich schlicht eine vollkommene Überforderung bei Verantwortungsdiffusion und ohne juristischen Background. Und Unwissenheit kann dazu als spätere Ausrede nicht herhalten.
Office 365 in der Schule – Grobe Verletzungen datenschutzrechtlicher Vorschriften
https://netzpolitik.org/2020/office-365-in-der-schule-grobe-verletzungen-datenschutzrechtlicher-vorschriften/
Nun, ich kann mich als Schulleiter derzeit nicht über Arbeit beschweren.
Dazu kommt die seit Mai 2020 durchgehend angeordnete Notfallerreichbarkeit, die mittlerweile leider auch genutzt wird.
Da wir dem Datenschutzbeauftragten kein Deputat geben können, ist es utopisch, von Lehrkräften im „Ehrenamt“ eine solche verantwortung einzufordern – ohne diese überhaupt dafür ausgebildet zu haben.
Man erfrage bei der jeweils nächsthöheren Ebene die verbindliche, präzise Vorgabe zu dem korrekten Prozedere und den korrekten Computer-/System-Sicherheitsvorkehrungen plus -einstellungen, nach der korrekten Software und nach der korrekten Verschlüsselungsprozedur plus korrekter Datensicherungsweise bei der Notenverwaltung. Und dann betrachte man ehrfürchtig, wie sich die Dinge ent- und verwickeln. Tiefergehende Nachfragen sind selbstverständlich gerne gesehen und zeugen von Engagement und Gewissenhaftigkeit des Lehrkörpers. Niemals wird solches Tun als Querulantentum missverstanden.
1a Tipp.
NUr, dass meine Vorgesetzten das HomeOffice – Paket vom Techniker installieren lassen mussten. Na, was da ein tiefgründigen Überlegungen wohl kommen werden bei so viel Anwendersachverstand
Digital vs analog
Tut es ja gar nicht. Verliert eine Lehrkraft ein Notenheft und gelangen so sensible Daten an die Öffentlichkeit, haftet sie dafür.
Aber eben nur die Lehrkraft.
Also ich finde es sehr bedenklich, wenn News 4 teacher als Redaktion eine Lösung als sicher präsentiert, wenn mir eine aktuelle Stellungnahme seitens des Bildungsministeriums NRW vorliegt, dass es datenschutzrechtliche Bedenken gibt hinsichtlich einer Lösung auf Basis Microsoft 365.
Man solle dich lieber auf die NRW-seitige datenschutzrechtlich saubere Lösung setzen.
Eine einfache Recherche hätte dies schnell in Erfahrung gebracht.
Ich vermute, dass der hier beworbene Anbieter sein Produkt verkaufen und deshalb mit angeblicher Rechtssicherheit werben will.
Die entsprechende Stellungnahme darf News4teacher gerne bei mir abrufen.
Sehr geehrter Michael,
wir haben ausführlich über den Stand der Dinge in Nordrhein-Westfalen berichtet – die Datenschutzbeauftragte Bettina Gayk hat unlängst klargestellt, dass Schulen in Nordrhein-Westfalen selbstverständlich auch weiterhin Plattformen wie Teams von Microsoft nutzen können. Wie unser Gastautor aufzeigt, geht es bei den „datenschutzrechtlichen“ Bedenken um einen Prinzipienstreit, der alle US-Konzerne betrifft. Deren Produkte in Deutschland zu verbieten (was die Datenschutzbeauftragten qua Amt durchaus könnten), wäre allerdings absurd – niemand mehr, ob Schulen, Unternehmen oder Sie persönlich, dürften dann noch Word, Excel und Co. oder Apple oder Google nutzen. Deutschland wäre schlagartig in die digitale Steinzeit zurückversetzt.
Gerne hier nachlesen: https://www.news4teachers.de/2021/10/datenschuetzerin-rudert-zurueck-microsoft-und-co-sind-fuer-schulen-weiterhin-erlaubt/
Herzliche Grüße
Die Redaktion
In NRW scheinbar mehr Unsicherheiten statt Sicherheit mit der schulischen Anwendung von MS (365)
MSB: „Wie sieht die datenschutzrechtliche Bewertung von Microsoft 365 für den schulischen Einsatz in NRW aus?
Von der LDI NRW ist mitgeteilt worden, dass ein bundesländerübergreifendes Verfahren zur datenschutzrechtlichen Beurteilung von Microsoft 365 stattfindet. Eine abschließende bundesländerübergreifende Bewertung der Datenschutzbeauftragten in Abstimmung mit Microsoft liegt noch nicht vor.
Vor diesem Hintergrund musste daher von der LDI die Verarbeitung von personenbezogenen oder personenbeziehbaren Daten innerhalb von Microsoft 365 aktuell als datenschutzrechtlich bedenklich eingestuft werden.
Das Schulministerium empfiehlt daher, bei der Beschaffung und Nutzung von cloudbasierten Anwendungen auf das landesseitig zur Verfügung gestellte Angebot LOGINEO NRW für Datenspeicherung und E-Mail-Verkehr, auf LOGINEO NRW LMS als Lernmanagementsystem sowie auf LOGINEO NRW Messenger mit integrierter Videokonferenzoption zurückzugreifen. Zudem ist künftig für LOGINEO NRW die Anbindung einer Office-Komponente vorgesehen.“
Stand: 16.12.2021 MSN
https://www.schulministerium.nrw/fragen-und-antworten-zum-datenschutz
Weiter zum Thema aus dem LANDTAG NORDRHEIN-WESTFALEN / 17. Wahlperiode
Drucksache 17/14804 vom 10.08.2021
https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&cad=rja&uact=8&ved=2ahUKEwjZ17Wm–f0AhWl_7sIHTxrBr8QFnoECBEQAQ&url=https%3A%2F%2Fwww.landtag.nrw.de%2Fportal%2FWWW%2Fdokumentenarchiv%2FDokument%2FMMD17-14804.pdf&usg=AOvVaw0ijlCOokSp0B93rbnJLMGV
„Für Schulen gibt es natürlich keine anderen rechtlichen Grundlagen als für Unternehmen, Gewerkschaften oder sonstige Institutionen“ das ist mit Verlaub blanker Unsinn: Schulen sind öffentliche Stellen iSd. LDSG, Unternehmen&Gewerkschaften sind nicht öffentliche Stellen.
Tststs…