Die Aufsichtsbehörde erhält regelmäßig Anfragen zum Thema „Bring Your Own Device“ (BYOD) im Umfeld von Schulen. Dort bedeutet der Begriff BYOD, dass Lehrkräfte ihre privaten Datenverarbeitungsanlagen (private Endgeräte wie Smartphone, Tablet, Notebook) der Schule für deren Aufgabenerfüllung zur Verfügung stellen. Nachfolgend sind folgende grundsätzliche Überlegungen zum BYOD-Modell anzustellen und Hinweise hierzu zu beachten.
Zunächst ist die grundsätzliche Frage zu stellen, warum Lehrkräfte (Bedienstete des Landes) den Schulen (verantwortliche Stellen) ihre privaten Datenverarbeitungsgeräte zur Verfügung stellen sollten, damit der Staat (die Schulen) seinem gesetzlich bestimmten Auftrag zur Bildung und Erziehung nachkommen kann. Den Lehrkräften wird nicht einfach zu vermitteln sein, warum Aufgaben des Staates unter Nutzung privater Technik erfüllt werden sollen.
Weiterhin wäre zu klären, wer die privaten Endgeräte im Namen des Verantwortlichen (Schule) technisch betreuen soll. Schulen verfügen weder über die dafür erforderliche Rechtsfähigkeit noch über die notwendigen finanziellen Mittel. Daher käme dafür zurzeit nur der Schulträger in Betracht. Datenschutzrechtlich sind Schulen und Schulträger jedoch jeweils eigenständige Verantwortliche mit unterschiedlichen Datenverarbeitungsbefugnissen. Aus verschieden Schulgesetzen ergibt sich, dass die Schulträger verpflichtet sind, die Schulen mit Technik auszustatten und diese zu administrieren. Sie sind hingegen nicht verpflichtet, die technische Administration privater Datenverarbeitungsanlagen der Lehrkräfte für den dienstlichen Gebrauch zu gewährleisten. Wenn ein Schulträger das BYOD-Modell technisch und finanziell unterstützt, muss er einen Vertrag zur Auftragsverarbeitung mit dem Verantwortlichen (Schule) abschließen, da der Schulträger keine eigene Datenverarbeitungsbefugnis für die beim BYOD-Modell anfallenden personenbezogenen Daten hat. Art. 28 Europäische Datenschutz-Grundverordnung (DSGVO) ist dann vollumfänglich einzuhalten und schließt das Haftungsrisiko der DSGVO für Auftragsverarbeiter ein. In diesem Zusammenhang muss daher die grundsätzliche Frage aufgeworfen werden, warum sich Schulträger über ihre gesetzlich normierten Aufgaben hinaus einem zusätzlichen finanziellen Risiko aussetzen sollten, wenn sie bereits die Schulen mit Technik ausstatten.
Sollte trotz aller Bedenken die Umsetzung des BYOD-Modelles geplant werden, sind folgende Hinweise zu berücksichtigen:
Das Zurverfügungstellen der privaten Datenverarbeitungsgeräte durch Lehrkräfte muss völlig freiwillig sein.
Die Schule muss als Verantwortlicher der Rechenschaftspflicht zur Einhaltung aller datenschutzrechtlichen Vorgaben gemäß Art. 5 Abs. 2 DSGVO nachkommen. Beim BYOD-Modell kann die Schule rechtlich zunächst keine Ansprüche gegen die Lehrkraft durchsetzen, solange sie keine faktische Hoheit über das private Endgerät hat und ihr noch keine vertraglichen Nutzungs- und Administrationsrechte übertragen wurden. Dafür wären vertragliche Vereinbarungen zwischen der Schule und der Lehrkraft zu schließen, welche zwangsläufig umfänglich in das Recht der Nutzung des privaten Datenverarbeitungsgerätes der Lehrkraft eingreifen. Die Lehrkraft wäre dann zwar weiterhin Eigentümer des Gerätes, würde jedoch ihre eigenen Nutzungsrechte stark einschränken bzw. vollständig an die Schule abgeben.
- Der Schule ist ein Zutrittsrecht zur privaten Wohnung der Lehrkraft zu datenschutzrechtlichen Kontrollzwecken einzuräumen, damit sie ihrer Rechenschaftspflicht nachkommen kann.
- Für die Administration und Dokumentation unterschiedlicher privater Endgeräte von Lehrkräften sind unter anderem das Verzeichnis von Verarbeitungstätigkeiten, Datenschutz- und Sicherheitskonzepte (für eine Vielzahl von unterschiedlichen Geräten), die stetige Wartung der Geräte sowie die Umsetzung umfassender technischer und organisatorischer Maßnahmen erforderlich.
Vor einer weiteren Diskussion der datenschutzrechtlichen Aspekte von BYOD-Modellen sollten zudem folgende Fragen geklärt werden:
- Sind die Lehrkräfte bereit, ihre private Technik der Schule für deren Aufgabenerfüllung zur Verfügung zu stellen?
- Ist der Lehrer-Hauptpersonalrat als Gesamtvertretung für alle Lehrkräfte mit dem BYOD-Modell vertraut und würde er diesem zustimmen?
- Sind die Schulträger mit dem BYOD-Modell vertraut und insbesondere über die zusätzlichen, über die gesetzlichen Anforderungen hinausgehenden Verpflichtungen (Auftragsverarbeiter, Administration der privaten Datenverarbeitungsanlagen, finanzielles Risiko, Tragen der Kosten) informiert und stimmen sie diesen zu?
Die vorstehenden Überlegungen und Hinweise verdeutlichen, dass das BYOD-Modell allenfalls einen theoretischen Ansatz darstellt. Die Aufsichtsbehörde geht davon aus, dass dieses Modell an der praktischen Umsetzbarkeit und an der fehlenden Akzeptanz der beteiligten Akteure scheitern wird.
Quelle: LfDI M-V
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks