Was mensch zu Lernplattformen wissen sollte

Blick auf die Datenschutz-Grundverordnung (DS-GVO)

Was es mit Blick auf die Datenschutz-Grundverordnung (DS-GVO) generell zu beachten gilt1

  • Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO). Die Schule ist datenschutzrechtlich die Daten verarbeitende Stelle. Die an einer Schule genutzte Lernplattform bringt eine Rechenschaftspflicht der Schulleitung mit sich. Der Personalrat und die schulische Daten-schutzbeauftragte überprüfen die Einhaltung geltenden Rechts (Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit nach Art. 5 Abs. 1 DS-GVO).

Konkretisieren lässt sich diese Rechenschaftspflicht über folgende, ineinandergreifende Maßnahmen:2

  • Einhaltung des Datenschutzes (Art. 32 Abs. 4 DS-GVO). Hierzu sollten regelmäßige Schulungen der Lehrkräfte stattfinden sowie Handreichungen etwa zum sicheren Umgang mit Schüler*innendaten beim Betrieb der Lernplattform sowie die „Verordnung zur Verarbeitung personenbezogener Daten an Schulen“ vor- bzw. ausliegen.3
  • Auftragsverarbeitungsvertrag (Art. 28 DS-GVO). Ein solcher AV-Vertrag muss immer dann vorliegen, wenn die Plattform von der Schule von Dritten und nicht autonom auf schuleigenem Server betrieben wird, also in der Regel immer.
  • Einwilligung der betroffenen Person (Art. 6 und 7 DS-GVO) zur Verarbeitung der ei- genen Daten auf der Lernplattform. Lehrkräften und Schüler*innen bzw. deren Eltern sind entsprechende Informationsblätter zur Erfüllung der Transparenz- und Informations- pflichten (DS-GVO Art. 12, 13 und 14) und Einwilligungsformulare vorzulegen.
  • Technische und organisatorische Maßnahmen (Art. 24, 32 DS-GVO) zur Sicherheit der Datenverarbeitung müssen durchgeführt werden.
  • Informations- und Benachrichtigungspflicht bei Datenpannen (Art. 33 und 34 DS- GVO) hat die Schule gegenüber dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) und den Betroffenen zu erfüllen.
  • Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DS-GVO) ist von der Schule anzufertigen, um nachweisen zu können, dass die diversen Pflichten im Umgang mit den personenbezogenen Daten auch eingehalten werden. Es muss auch dann angefertigt werden, wenn ein Auftragsverarbeitungsvertrag mit Dritten vorliegt, etwa dem SPH.
  • Datenschutz-Folgenabschätzung – „DSFA“ (Art. 35 und 36 DS-GVO) ist eine Risiko- abschätzung, die die personenbezogenen Daten beim Betrieb der Lernplattform unterliegen und ist im Zusammenhang mit den anderen hier genannten Maßnahmen zu erstellen.
  • Auskunftsrecht des Betroffenen nach Art 15 DS-GVO darüber, ob und welche personenbezogenen Daten über sie verarbeitet werden.
  • Sanktionsmöglichkeiten (Art. 58 DS-GVO) des HBDI „haben sich gegenüber öffentlichen Stellen erweitert. Neben der (schon bislang bestehenden) Möglichkeit, eine „förmliche Beanstandung“ auszusprechen, sieht die DS-GVO darüber hinaus u.a. vor: Warnung, Verwarnung, Anordnungs- und Untersagungsbefugnisse“. Damit der HBDI tätig werden kann, müssen Betroffene selbstredend die Verweigerung der geschilderten Pflichten zur Wahrung des Datenschutzes ggf. bei diesem in Form einer Beschwerde anzeigen.
  • Erwägungsgrund 43 besagt, dass Einwilligungen gegenüber „public authorities“ (Schulen sind solche) bei einem erkennbaren Ungleichgewicht als nicht freiwillig erachtet werden können. Der hessische Datenschutzbeauftragte schreibt in seinem 47. Tätigkeitsbericht: „Zum anderen ist eine Einwilligung nur wirksam, wenn sie freiwillig erteilt wurde. Eine solche Freiwilligkeit kann im schulischen Zusammenhang in der Regel kaum unterstellt werden.“

1 Orientiert an HBDI: Datenschutzrechtliche Pflichten einer Schule nach der DS-GVO. Kurz-URL: ogy.de vgln (8.7.2020). Hier sind auch weiterführende Hinweise und Vorlagen zu finden.

2 Für einige der hier genannten Maßnahmen finden sich Mustervorlagen auf datenschutz-schule.info (8.7.2020). Die Homepage wird von einem Datenschutzbeauftragten aus NRW betrieben. Die Vorlagen müssen daherggf. auf hessische Gesetzeslagen angepasst werden.

3 Zu finden unter kultusministerium.hessen.de/schulsystem/schulrecht/datenschutz (30.7.2020)


Anhang: Rechte der Gesamtkonferenz und des Personalrats bei Einführung einer Lernplattform

Rechte des Personalrats nach § 74 (1.2, 1.17) HPVG (Auszüge)

2. Maßnahmen zur Hebung der Arbeitsleistung und zur Erleichterung des Arbeitsablaufs, 17. Einführung, Anwendung, wesentliche Änderung oder Erweiterung von technischen Einrichtungen, die dazu geeignet sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen.

Rechte der Gesamtkonferenz nach § 133 (1, 2) HschG (Auszug)

  1. Grundsätze der Unterrichts- und Erziehungsarbeit an der Schule, das Schulcurriculum (§ 4 Abs. 4) sowie über den Einsatz von Beratungsdiensten und Beratungslehrerinnen und -lehrern,
  2. Vorschläge für ein Schulprogramm und zur Entwicklung, Gliederung und Organisationsänderung der Schule.

Bild: matejmo, istock