Datenschutzkonformität der IT in Schulen
Datenschutz in Schulen:
Schulträger in der Pflicht für passende Hard- und Software
Damit Schulen ihrer Verantwortung für die datenschutzgerechte Verarbeitung personenbezogener Daten nachkommen können, müssen ihnen die Schulträger geeignete Hard- und Software zur Verfügung stellen.
Eine Aussage des OVG NRW in einem seiner Protokolle (vom 22. Februar 2023, Az. 19 B 417/22) hat zu Nachfragen geführt: Danach sieht das Gericht die Verantwortung für die datenschutzgerechte Ausstattung der Schulen mit digitalen Arbeits- und Kommunikationsplattformen beim kommunalen Schulträger – und nicht bei der Schulleitung. Das Schulgesetz NRW (SchulG NRW) verpflichtet die Schulträger unter anderem dazu, den Schulen eine am allgemeinen Stand der Technik und Informationstechnologie orientierte Sachausstattung zur Verfügung zu stellen (§ 79 SchulG NRW). Auf der Grundlage dieser Vorschrift geht das Gericht davon aus, dass die Verpflichtung, datenschutzgerechte digitale Arbeits- und Kommunikationsplattformen zur Verfügung zu stellen, ausschließlich den kommunalen Schulträger trifft.
Die datenschutzrechtliche Verantwortung für die Verarbeitung personenbezogener Daten in inneren Schulangelegenheiten liegt andererseits bei den Schulen. Dies folgt aus § 5 Abs. 1 Satz 2 DSG NRW. Hiernach gelten Schulen der Gemeinden und Gemeindeverbände, soweit sie in inneren Schulangelegenheiten personenbezogene Daten verarbeiten, als (eigenständige) öffentliche Stellen im Sinne dieses Gesetzes. Die mit dem Einsatz der Arbeits- und Kommunikationsplattformen bezweckte Erfüllung des Bildungs- und Erziehungsauftrags ist eine innere Schulangelegenheit. Das bedeutet, dass allein die Schulen für die im Zusammenhang mit dem Einsatz der Arbeits- und Kommunikationsplattformen stattfindende Verarbeitung personenbezogener Daten verantwortlich sind.
Kommt der für die datenschutzgerechte Sachausstattung zuständige Schulträger seiner vom Gericht hervorgehobenen Verantwortung nicht nach, stehen die Schulleitungen vor einem großen Problem. Sie können die ihnen zur Verfügung gestellte Hard- und Software nicht nutzen, wenn ihr Einsatz unweigerlich mit unzulässigen Verarbeitungen der Daten von Schüler*innen und Lehrkräften verbunden ist. Der Schulträger muss daher darauf achten, Produkte zum Einsatz zu bringen, mit denen die Schulen ihre datenschutzrechtlichen Pflichten erfüllen können.
Sofern die vom Schulträger bereitgestellten Produkte nicht den Datenschutzvorgaben und damit nicht den Erfordernissen eines ordnungsgemäßen Unterrichts entsprechen, können sich die Schulleitungen an die Schulaufsicht wenden. Die Schulaufsichtsbehörden sollen eng mit den Schulträgern zusammenarbeiten (§ 88 Abs. 4 SchulG NRW) und haben unter anderem die Aufgabe, sie zur Erfüllung ihrer Pflichten anzuhalten (§ 86 Abs. 2 Satz 2 SchulG NRW). Hierzu gehört nach § 79 SchulG NRW, den Schulen eine am allgemeinen Stand der Technik und Informationstechnologie orientierte Sachausstattung zur Verfügung zu stellen, die – um zulässigerweise eingesetzt zu werden – auch die datenschutzrechtlichen Vorgaben erfüllen muss.
Fazit
Damit Schulen ihrer Verantwortung im Zusammenhang mit dem Einsatz von Hard- und Software gerecht werden können, benötigen sie die Unterstützung der Schulträger sowie der Schulaufsichtsbehörden.
Quelle: LDI NRW
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks