Fragen zur dienstlichen Verarbeitung personenbezogener Daten auf privaten Endgeräten

Bestehende Genehmigungen müssen bei Änderung der verwendeten Endgeräte an die dann aktuelle Fassung angepasst werden.

Anpassungen des Genehmigungsvordrucks durch einschränkende Anmerkungen einer Lehrkraft z. B. in Bezug auf die verfügbare Sicherheitssoftware des individuell verwendeten Gerätes oder weitergehende Konkretisierungen der Schulleitung sind durchaus zulässig. Es liegt jedoch in der Verantwortung der Schulleitung, ob sie die Genehmigung auf Basis der Änderungen erteilt, denn das Mindestmaß an notwendigen Maßnahmen zum Datenschutz darf nicht unterschritten werden. Dabei sollte sie sich von der bzw. dem zuständigen behördlichen Datenschutzbeauftragten beraten lassen.

Es gehört zum Verantwortungsbereich der Lehrkräfte, sich für die Nutzung ihrer Privatgeräte eine Genehmigung der Schulleitung erteilen zu lassen. Falls erforderlich, muss diese auch nachgewiesen werden können. Es ist daher ratsam, ein Exemplar zu den eigenen Unterlagen zu nehmen. Daneben ist ein Exemplar in die persönliche Schulakte der Lehrkraft in der Schule aufzunehmen (vgl. §5 Abs. 2 VO DV II).

Es ist in den schulischen Regularien zum Datenschutz nicht vorgesehen, dass die Schulaufsbehörde eine solche Genehmigung für Schulleitungen zu erteilen hat.

Zur eigenen Sensibilisierung sollte die Schulleitung sich an den Inhalten des Genehmigungsvordrucks orientieren. Sie kann sich zudem von den schulischen Datenschutzbeauftragten beraten lassen.

Die Genehmigung muss vorliegen, sobald Daten auf den privaten Endgeräten verarbeitet werden sollen.

Keine Lehrkraft ist verpflichtet, private Endgeräte für dienstliche Zwecke zu nutzen. Die Schulleitung sollte das Kollegium jedoch darauf hinweisen, dass die Verarbeitung von personenbezogenen Daten von Schülerinnen, Schülern und Eltern auf Privatgeräten ohne Genehmigung nicht zulässig ist.

Gleiches gilt für die Verarbeitung der Daten von Lehramtsanwärterinnen und –anwärtern und Lehrkräften in Ausbildung auf Privatgeräten der mit Ausbildung betrauten Personen (vgl. § 2 Abs. 4 VO DV II).

Die Umsetzung liegt in der Eigenverantwortung der Lehrkraft. Es ist praktisch nicht möglich, dass eine Schulleitung die Einhaltung dienstlicher Pflichten jeder einzelnen Lehrkraft ständig kontrolliert, sei es an dienstlich zur Verfügung gestellten oder sei es an privaten Endgeräten. Ebenso ist es auch nicht gewährleistet, dass die vom Schulträger zur Verfügung gestellte Hard- und Software von der Schulleitung ständig auf die Einhaltung der Informationssicherheits- und Datenschutzvorgaben überprüft wird. Vorhandener Qualifizierungsbedarf sollte in der Schule festgestellt und durch entsprechende Informationsveranstaltungen und Fortbildungsmaßnahmen gedeckt werden. Zusätzlich kann die Schule und können einzelne Lehrkräfte bei allgemeinem Beratungsbedarf auf die Unterstützungsangebote der behördlichen Datenschutzbeauftragten für die Schulen, der Medienberaterinnen und Medienberater und der Medienberatung NRW zurückgreifen.

Die geregelten Bedingungen in der Genehmigung beinhalten selbstverständlich nicht die Berechtigung, private Endgeräte von Lehrkräften persönlich zu überprüfen.

Die Art und Weise des Nachweises hängt vom Einzelfall ab und kann daher nicht pauschal beantwortet werden. Grundsätzlich kann nur die Lehrkraft selber den Nachweis erbringen, ob und welche Maßnahmen sie umgesetzt hat.

Eine Genehmigung ist für die Nutzung eines privaten Endgerätes einzuholen, sobald Daten mit Personenbezug auf diesem verarbeitet werden sollen (vgl. § 2 Abs. 2 Satz 1 VO DV I bzw. § 2 Abs. 4 VO DV II). Dieses gilt auch, wenn z. B. Webanwendungen mit personenbezogenen Daten nur aufgerufen werden; auch das reine Betrachten bzw. Lesen von Daten auf dem Bildschirm fällt bereits unter den Begriff der Datenverarbeitung.

Die Seriennummer dient der Identifizierung eines genehmigten Gerätes und somit dem Nachweis, dass auf diesem Gerät personenbezogene Daten aus der Schule verarbeitet werden dürfen. Die Angabe kann zudem hilfreich sein, wenn z.B. über einen Schadensersatzanspruch bei Beschädigung eines Gerätes zu entscheiden ist.

Bei selbst konfigurierten Geräten handelt es sich in der Regel um Desktoprechner, die nicht in der Schule, sondern im häuslichen Umfeld einer Lehrkraft zum Einsatz kommen. Hier ist die Seriennummer einer zentralen Hardwarekomponente, z. B. des Mainboards, anzugeben.

Lehrkräfte, die an Schulen in die Ausbildung von Lehramtsanwärterinnen, Lehramtsanwärtern oder Lehrkräften in Ausbildung eingebunden sind, benötigen für die Verarbeitung von Daten dieser Personen eine Genehmigung. Dazu wurde festgelegt, dass die Genehmigung - anders als im Vordruck vorgesehen - ebenfalls von der Schulleitung erteilt wird.

Bis zu einer entsprechenden Änderung des Genehmigungsvordrucks (die erst nach Änderung der VO DV II möglich sein wird) sind somit die Teile E und F des Genehmigungsvordrucks für diese Ausbildungslehrkräfte an Schulen im Einzelfall von der Schulleitung - und nicht von einer ZfsL-Leitung - zu unterzeichnen.

Empfehlungen für sichere Passwörter finden sich u.a. auf den Seiten des BSI: Link
Vor allem bei Geräten, die regelmäßig mit in die Schule genommen werden, sollte das Passwort regelmäßig geändert und darauf geachtet werden, dass Lernende die Anmeldung am Gerät nicht beobachten können, um das Passwort oder Sperrmuster auszuspionieren. Ein Passwort sollte an einem sicheren Ort und nicht etwa im Deckel des Lehrerplaners, der dann vielleicht offen in der Klasse liegt, notiert sein. Passwortmanager können bei der Ablage der Passworte eine Hilfe sein.

In der Regel wird ein Passwort beim Anlegen eines Benutzerkontos erstellt. Da bisher nur wenige PC oder Notebooks über biometrische Verfahren (z. B. Fingerabdruck) zur Sicherung des Gerätes verfügen, bleibt das Passwort das gängigste Verfahren, den Zugriff auf diese Geräte zu sichern.

Falls das eingesetzte Endgerät Biometrische Verfahren, wie Fingerabdruck, Retina Scan oder Gesichtserkennung unterstützt, bieten diese in einer schulischen Umgebung eine gute und verlässliche Sicherung, da diese von Lernenden nicht leicht ausspioniert werden können

Die Genehmigung fordert die Einrichtung eines Sperrkennwortes. Sollte das eingesetzte Betriebssystem die Möglichkeit bieten, bei Abmeldung die Festplatte bzw. Festplattenpartition zu verschlüsseln – z. B. FileVault auf Mac-Rechnern - so sollte diese aktiviert werden.

Über die Einrichtung eines separaten – dienstlichen – Nutzerkontos wird eine klare Trennung von dienstlicher und privater Nutzung des Gerätes vorgenommen und gewährleistet dass unberechtigte Personen – z. B. die eigenen Kinder – keine dienstlichen Daten zur Kenntnis nehmen.

Das Bundesamt für Informationssicherheit (BSI) veröffentlicht auf seinen Seiten Handlungsempfehlungen für Verbraucherinnen und Verbraucher.

Um Daten endgültig zu löschen reicht es nicht aus, diese einfach in den Papierkorb zu ziehen. Für ein sicheres Löschen existieren auf dem Markt geeignete Softwarelösungen. Auch die Festplattenhersteller bieten Systemwerkzeuge an, um Datenträger zu bereinigen. Beim Löschen sind auch Backupdatenträger einzubeziehen.

Solange Geräte von der Lehrkraft zur Ausübung ihrer dienstlichen Tätigkeiten in Verwendung sind, und die geforderten Maßnahmen zur Datensicherheit eingehalten werden - z. B. der Verwendung eines separaten, dienstlichen Benutzerkontos und eines sicheren Sperrcodes, kann das „unsichere Löschen“ als unkritisch betrachtet werden.

Dagegen ist bei der Weitergabe oder dem Verkauf von zu dienstlichen Zwecken eingesetzten privaten Endgeräten unbedingt darauf zu achten, dass die Geräte vorher „gesäubert“ werden. Dazu gibt es spezielle Softwaretools, mit denen ggf. noch vorhandene Daten endgültig gelöscht werden können. Gleiches gilt bei Verwendung von mobilen Datenträgern zum Datenaustausch – z. B. USB-Sticks oder Festplatten für Datenbackups.

Sollen Datenträger endgültig dem Recycling zugeführt werden, können diese auch physikalisch zerstört werden, sodass eine Verwendung nicht mehr möglich ist.

Weitere Informationen bietet das Bundesamt für Informationssicherheit (BSI).

Ein Datenaustausch zwischen privatem Endgerät und schulischer IT kann z. B. über die Dateiablage von LOGINEO NRW oder einer anderen schulischen Basis-IT-Infrastruktur erfolgen. Ebenso können Daten mittels verschlüsselter USB-Sticks oder anderer mobiler Datenträger transportiert werden. Darüber hinaus gibt es für SCHiLD NRW eine gesicherte Online-Übertragung von Noten.

Computer, für deren Betriebssystem keine Sicherheitsupdates existieren, stellen auch dann ein potenzielles Risiko dar, wenn sie nicht mit einem Netzwerk verbunden sind. Spätestens dann, wenn Daten z. B. über externe Datenträger ausgetauscht werden sollen, können Schadprogramme auf diese Rechner gelangen oder von dort über externe Datenträger verbreitet werden. Aus diesem Grund ist für solche Geräte die Genehmigung zu verweigern.

Zulässig sind Anwendungen, Programme und Apps, bei denen sichergestellt werden kann, dass Daten mit Personenbezug aus der Schule nach den Vorgaben der DSGVO verarbeitet werden können.

Es muss u. a. sichergestellt sein, dass die betreffenden Daten

• nur von berechtigten Personen verarbeitet werden.
• bei cloudbasierten Systemen auf Basis gültiger Vereinbarungen zur Auftragsverarbeitung verarbeitet werden.
• nicht an unberechtigte Dritte weitergegeben werden.

Es wird stattdessen vielmehr empfohlen, bei der Beschaffung und Nutzung von cloudbasierten Anwendungen auf das landesseitig zur Verfügung gestellte Angebot LOGINEO NRW für Datenspeicherung und E-Mail-Verkehr, auf LOGINEO NRW LMS als Lernmanagementsystem sowie auf LOGINEO NRW Messenger mit integrierter Videokonferenzoption zurückzugreifen. Zudem ist künftig für LOGINEO NRW die Anbindung einer Office-Komponente vorgesehen.

Grundsätzlich gibt es keine rechtliche Regelung, die Schulen sowie Lehrkräften die Verwendung von modernen Kommunikationsmedien wie WhatsApp ausdrücklich verbietet. Die Zulässigkeit der Datenverarbeitung und -speicherung ist vielmehr umfassend durch Gesetz, Verordnungen und Erlasse geregelt. Die Schulleitung steht in der Verantwortung für die Beachtung der Datenschutzbestimmungen.

Nach diesen Vorgaben muss bei der dienstlichen Kommunikation an öffentlichen Schulen gewährleistet sein, dass der gewählte Kommunikationskanal die datenschutzrechtlichen Voraussetzungen erfüllt. Sofern personenbezogene Schülerdaten übermittelt werden, erfüllt WhatsApp diese datenschutzrechtlichen Voraussetzungen nicht. Wenn Lehrkräfte mit Eltern sowie Schülerinnen und Schülern über WhatsApp kommunizieren und personenbezogenen Daten übermittelt werden, liegt dies daher im persönlichen Ermessen aller Beteiligten und ist keine von der Schulleitung zu verantwortende dienstliche Kommunikation. Sinnvollerweise ist eine schriftliche Einverständniserklärung der betroffenen Personen bzw. der Erziehungsberechtigten für diese Form der Kommunikation einzuholen.

Den Schulen stehen bei Fragen die Medienberaterinnen und -berater vor Ort sowie die schulischen Datenschutzbeauftragten in den Schulamtsbezirken zur Seite.

Es ist nicht erforderlich, kostenpflichtige Anwendungen einzusetzen. Bei kostenfreien Programmen ist allerdings zu prüfen, ob die jeweilige Lizenz sich ebenfalls auf einen Einsatz zu kommerziellen Zwecken erstreckt. Manche Progamme sind zudem kostenfrei bei einem Einsatz im Bildungsbereich.

Empfehlungen seitens des MSB werden nicht ausgesprochen.

Zum aktuellen Zeitpunkt können die folgenden Empfehlungen gegeben werden:

Symmetrische Verschlüsselungsverfahren:
AES-128, AES-192, AES-256

Asymmetrische Verschlüsselungsverfahren:
ECIES-250, min. DLIES-2000, min. RSA 2000, curve25519, cuve448

Programme die das umsetzen sind beispielsweise 7-Zip, VeraCrypt oder Gpg4win. Aber auch Microsoft setzt ab Office 2007 auf diese starken Algorithmen.

Weitere Empfehlungen finden sich auf den Seiten des Bundesamt für Informationssicherheit (BSI): Link

Von der LDI NRW ist mitgeteilt worden, dass ein bundesländerübergreifendes Verfahren zur datenschutzrechtlichen Beurteilung von Microsoft 365 stattfindet. Eine abschließende bundesländerübergreifende Bewertung der Datenschutzbeauftragten in Abstimmung mit Microsoft liegt noch nicht vor. Vor diesem Hintergrund musste daher von der LDI die Verarbeitung von personenbezogenen oder personenbeziehbaren Daten innerhalb von Microsoft 365 aktuell als datenschutzrechtlich bedenklich eingestuft werden.

Es wird stattdessen vielmehr empfohlen, bei der Beschaffung und Nutzung von cloudbasierten Anwendungen auf das landesseitig zur Verfügung gestellte Angebot LOGINEO NRW für Datenspeicherung und E-Mail-Verkehr, auf LOGINEO NRW LMS als Lernmanagementsystem sowie auf LOGINEO NRW Messenger mit integrierter Videokonferenzoption zurückzugreifen. Zudem ist künftig für LOGINEO NRW die Anbindung einer Office-Komponente vorgesehen.

Eine Genehmigung ist für die Nutzung eines privaten Endgerätes einzuholen, sobald Daten mit Personenbezug auf diesem verarbeitet werden sollen (vgl. § 2 Abs. 2 Satz 1 VO DV I bzw. § 2 Abs. 4 VO DV II). Dieses gilt auch, wenn z. B. Webanwendungen mit personenbezogenen Daten nur aufgerufen werden; auch das reine Betrachten bzw. Lesen von Daten auf dem Bildschirm fällt bereits unter den Begriff der Datenverarbeitung.

Grundsätzlich gibt es keine rechtliche Regelung, die Schulen sowie Lehrkräften die Verwendung von modernen Kommunikationsmedien wie WhatsApp ausdrücklich verbietet. Die Zulässigkeit der Datenverarbeitung und -speicherung ist vielmehr umfassend durch Gesetz, Verordnungen und Erlasse geregelt. Die Schulleitung steht in der Verantwortung für die Beachtung der Datenschutzbestimmungen.

Nach diesen Vorgaben muss bei der dienstlichen Kommunikation an öffentlichen Schulen gewährleistet sein, dass der gewählte Kommunikationskanal die datenschutzrechtlichen Voraussetzungen erfüllt. Sofern personenbezogene Schülerdaten übermittelt werden, erfüllt WhatsApp diese datenschutzrechtlichen Voraussetzungen nicht. Wenn Lehrkräfte mit Eltern sowie Schülerinnen und Schülern über WhatsApp kommunizieren und personenbezogenen Daten übermittelt werden, liegt dies daher im persönlichen Ermessen aller Beteiligten und ist keine von der Schulleitung zu verantwortende dienstliche Kommunikation. Sinnvollerweise ist eine schriftliche Einverständniserklärung der betroffenen Personen bzw. der Erziehungsberechtigten für diese Form der Kommunikation einzuholen.

Den Schulen stehen bei Fragen die Medienberaterinnen und -berater vor Ort sowie die schulischen Datenschutzbeauftragten in den Schulamtsbezirken zur Seite.

Zwar sind Tablets oder Handys nicht grundsätzlich unsicherer als Notebooks oder stationäre Desktop-PC. Es können jedoch nur Geräte eingesetzt werden, bei denen die nach § 2 Abs. 2 VO DV I geforderten und in der Genehmigung benannten Maßnahmen zum Datenschutz und zur Datensicherheit umgesetzt werden können. Wichtig ist bei allen Geräten und Betriebssystemen die Pflege und Wartung der verwendeten Software. Beim häuslichen Einsatz von Tablets und Handys ist die Zweckmäßigkeit und Erforderlichkeit einer Verwendung stets zu bedenken:

Sinn und Zweck der Verordnungsregelung ist, die Verarbeitung von Schülerdaten in privaten ADV-Anlagen (z.B. Laptop, Tablet oder Handy) aufgrund einer Genehmigung zu ermöglichen, weil Lehrkräfte einen Teil ihrer Arbeit am häuslichen Arbeitsplatz erledigen oder wenn sie dies mobil in der Schule erledigen.

Verbleiben trotz Beachtung der Regelungen und Umsetzung der empfohlenen Maßnahmen im konkreten Fall Zweifel, ob die datenschutzrechtlichen Bedingungen mit einzelnen mobilen oder auch stationären Geräten erfüllt werden können, ist die Verarbeitung personenbezogener Schülerdaten darauf nicht vertretbar.

Es können Geräte eingesetzt werden, bei denen die nach § 2 Abs. 2 VO DV I geforderten und in der Genehmigung benannten Maßnahmen zum Datenschutz und zur Datensicherheit umgesetzt werden können. Grundsätzlich sind Tablets oder Handys nicht unsicherer als Notebooks oder stationäre Desktop-PC. Wichtig ist bei allen Geräten und Betriebssystemen die Pflege und Wartung der verwendeten Software. Beim häuslichen Einsatz von Tablets und Handys in dienstlichem Kontext ist die Zweckmäßigkeit und Zulässigkeit einer Verwendung zu bedenken.

Sinn und Zweck der Verordnungsregelung ist, die Verarbeitung von Schülerdaten in privaten ADV-Anlagen (z.B. Laptop, Tablet oder Handy) aufgrund einer Genehmigung zu ermöglichen, damit Lehrkräfte einen Teil ihrer Arbeit am häuslichen Arbeitsplatz oder (mobil) in der Schule erledigen. Verbleiben trotz Beachtung der Regelungen und Umsetzung der empfohlenen Maßnahmen im konkreten Fall Zweifel, ob die datenschutzrechtlichen Bedingungen mit einzelnen mobilen oder auch stationären Geräten erfüllt werden können, ist die Verarbeitung personenbezogener Daten aus der Schule darauf nicht vertretbar.

NAS („Network Attached Storages“) sind so zu bewerten wie jedes andere Speichermedium (z. B. externe Festplatte). Besonderes Augenmerk sollte beim Einsatz von privaten NAS auf die Zugriffsrechte bezüglich der gespeicherten dienstlichen Daten gelegt werden. Grundsätzlich ist es zu begrüßen, wenn Lehrkräfte mit NAS konsequent Datensicherungen vornehmen; Maßnahmen zur Datensicherung werden in „Teil B – Datensicherheit“ der Genehmigung auch ausdrücklich gefordert.

Die zur Verarbeitung - und somit auch zur Speicherung - auf privaten ADV-Anlagen zugelassenen Daten sind in Anlage 3 zur VO DV I abschließend aufgeführt und im Genehmigungsvordruck unter Nr. 3 entsprechend benannt.

Die Aufbewahrungsfrist für die auf privaten Endgeräten von Lehrkräften gespeicherten Daten beträgt ein Jahr. Sie beginnt mit Ablauf des Kalenderjahres, in dem die Schülerin oder der Schüler nicht mehr von der Lehrkraft unterrichtet wird (§9 Abs. 2 S. 2 u.3 VO DV I). Darunter fallen auch ggf. erstellte Backups. Sollten Daten über diese Frist hinaus gespeichert werden, so sind diese auf schulische Anlagen zu übertragen.

Sofern die Identität der Betroffenen soweit geschützt ist, dass ein Rückschluss auf die betreffende Person nicht möglich ist, ist dieses Vorgehen zulässig. Dies begegnet, auch nach Einschätzung der zuständigen Aufsichtsbehörde (LDI), keinen datenschutzrechtlichen Bedenken. Zu beachten ist, dass in den entsprechenden Dokumenten nicht nur keine Klarnamen verwendet werden, sondern auch andere Daten mit Personenbezug zu pseudonymisieren sind. Denn ein Personenbezug kann sich auch durch Kombination verschiedener Informationen oder Zusatzwissen ergeben. Insgesamt ist daher darauf zu achten, dass abgesehen von eindeutig personenbezogenen Daten (z. B. Name, Geburtsdatum, Adresse) auch durch sonstige Angaben (wie z.B. ungewöhnlicher Bildungsweg, ausführliche Anamnese) kein Bezug zu einzelnen Personen herstellbar ist.

Die „Funktionstabelle“, also die Zuordnung eines Dokuments zu einer Person, darf nicht auf dem Privatgerät gespeichert werden. Denn sie müsste zwangsläufig personenbezogene Daten enthalten und deren Verarbeitung ist ohne die Genehmigung ja gerade nicht zulässig.

Ohne die Genehmigung zur Nutzung eines Privatgeräts für personenbezogene Schülerdaten ist die Zuordnungstabelle getrennt in analoger Form zu führen und vor unbefugtem Zugang geschützt aufzubewahren.

In Anlage 3 zur VO DV I sind abschließend die Daten aufgeführt, deren Verarbeitung auf Privatgeräten zulässig ist. Unter Abschnitt I Nr. 10 sind darin genannt: „Leistungsbewertungen in den Fächern, in denen die Lehrkraft die Schülerinnen und Schüler unterrichtet.“ „Leistungsbewertungen“ können nach Maßgabe des §48 Abs. 1 SchulG anstelle von Noten auch schriftliche Aussagen sein.

Die einzelne Lehrkraft hat also die Möglichkeit, Bewertungen und Textpassagen zu verarbeiten, die vorbereitend für spätere Zeugniseintragungen für ihre jeweiligen Schülerinnen und Schüler sind, - allerdings nur bezogen auf die konkreten Fächer der Lehrkraft.

Der Personenkreis, der vollständige Zeugnisse (also sämtliche Angaben für alle Fächer und Zeugnisbemerkungen) auf Privatgeräten verarbeiten darf, ist unter Abschnitt II der Anlage 3 genannt. Dies sind Schulleitung bzw. Stellvertretung, Beauftragte sowie die Klassen-/Stufenleitung.

Die Genehmigung bezieht sich auf die Nutzung privater Endgeräte. Die Finanzierung der Geräte selbst, wie auch die Umsetzung der für die Erteilung der Genehmigung erforderlichen Maßnahmen - z. B. durch den Erwerb von Virenschutz-Software - trägt die einzelne Lehrkraft. Die entstandenen Kosten können ggf. steuerlich geltend gemacht werden.

Die geforderten Maßnahmen übersteigen nicht die Anforderungen an die erforderlichen Kenntnisse, die auch bei einer rein privaten Nutzung von Informationstechnologie zu beachten sind. Wird in der Schule oder bei einzelnen Lehrkräften diesbezüglich ein Qualifizierungsbedarf festgestellt, sollte dieser durch entsprechende Informationsveranstaltungen und Fortbildungsmaßnahmen gedeckt werden.

Bei allgemeinem Beratungsbedarf kann die Schule auf die Unterstützungsangebote der behördlichen Datenschutzbeauftragten für die Schulen, der Medienberaterinnen und Medienberater oder der Medienberatung NRW zurückgreifen.