13.01.2021

Regeln für private IT von Lehrkräften

Bereits Ende 2017 ist der Erlass zur Verarbeitung personenbezogener Daten auf privaten IT-Geräten von Lehrkräften außer Kraft getreten. Im Berichtszeitraum hat das Niedersächsische Kultusministerium eine Neufassung auf den Weg gebracht. Dabei hat das Ministerium mehrere Änderungen formuliert, die zu großen Teilen aus datenschutzrechtlicher Sicht von der Datenschutzaufsichtsbehörde mitgetragen wurde.

Der Runderlass „Verarbeitung personenbezogener Daten auf privaten informationstechnischen Systemen (IT-Systemen) von Lehrkräften“ vom 01.02.2012 regelte, unter welchen Voraussetzungen Lehrerinnen und Lehrer ihre privaten IT-Geräte für dienstliche Zwecke nutzen durften. Der Einsatz privater Geräte ist grundsätzlich möglich, jedoch an strikte Voraussetzungen bei der Datenspeicherung geknüpft und nur in einem bestimmten Rahmen datenschutzrechtlich zulässig.

Bei den Änderungen in der Entwurfsfassung handelt es sich im Wesentlichen um die folgenden Punkte:

Nutzung privater mobiler Endgeräte nur für die Eingabe und Anzeige personenbezogener Daten auf den gesicherten Servern der Schule oder einer beauftragten Stelle.
Ergänzung des zulässigen Datenrahmens um die Fehlzeiten der Schülerinnen und Schüler sowie um personenbezogene Gesundheitsdaten i.S.v. Art. 9 Abs. 1 Datenschutz-Grundverordnung (DSGVO), die für die Erstellung eines Fördergutachtens zur Feststellung sonderpädagogischen Unterstützungsbedarfs erforderlich sind.
Wegfall des Zutrittsrechts meiner Behörde in den häuslichen Bereich der Lehrkraft.

Es wurde begrüsst, dass die Neufassung Klarheit schafft, indem sie zwischen Desktop-PCs und mobilen Endgeräten (Smartphones/Tablets) differenziert. Für die Verarbeitung personenbezogener Daten auf mobilen Endgeräten regelt der Erlass, dass diese nicht auf dem Festspeicher des Endgeräts selbst, sondern ausschließlich auf einem gesicherten Server der Schule oder dem Server einer hierfür beauftragten dritten Stelle vorgenommen werden darf. Damit wurde eine wesentliche Forderung der Behörde umgesetzt.

Kontrollmöglichkeit in der Schule reicht aus

Es wurde auch mitgetragen, dass das Zutrittsrechts der Landesbeauftragten für den Datenschutz in den häuslichen Bereich der Lehrkraft wegfallen soll. Entscheidend für die Ausübung der Kontrollbefugnisse ist der Zugang zu den eingesetzten privaten IT-Systemen und Speichermedien. Das kann auch in den Diensträumen der jeweiligen Schule geschehen, sodass ein Zugang zu den Privaträumen der Lehrkräfte nicht erforderlich ist.

Schutz besonders sensibler Schülerdaten

Nicht akzeptabel ist jedoch die Erweiterung des zulässigen Datenrahmens um Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO von Schülerinnen und Schülern zur Feststellung eines sonderpädagogischen Unterstützungsbedarfs. Die Verarbeitung besonderer Kategorien personenbezogener Daten stellt in Bezug auf die Sicherheit der Verarbeitung höhere Anforderungen an die zu treffenden technischen und organisatorische Maßnahmen. Diesen Anforderungen genügen private mobile Endgeräte grundsätzlich nicht.

Die Kontrolle, ob die eingesetzten technischen und organisatorischen Maßnahmen eingehalten werden und stets auf dem aktuellsten Stand sind, obliegt der verantwortlichen Schule. Diese regelmäßige Kontrolle wäre mit einem umfassenden Zugriff auf jedes einzelne private mobile Endgerät verbunden und würde eine private Nutzung des Geräts faktisch unmöglich machen. Die sichere Verarbeitung besonderer Kategorien personenbezogener Daten auf privaten mobilen Endgeräten ist daher derzeit praktisch nicht umsetzbar.

Die von der Aufsichtsbehörde mitgetragenen Änderungen des Erlasses führen dazu, dass Lehrkräfte flexibler und unabhängiger arbeiten können. Der Erlass trat am 1. Januar 2020 in Kraft.

Quelle: LfD Niedersachsen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks