IT-Recht

LOGINEO NRW – Schülerdaten werden in Cloud gespeichert

Schulen in NRW erhalten eine neue IT-Arbeitsplattform namens LOGINEO NRW. Unter anderem können zukünftig über eine Cloud alle Daten von Schülern, Eltern und Lehrkräften gespeichert und verarbeitet werden. Hier stellen sich teils erhebliche datenschutzrechtliche Problemfelder, da auch sensible Daten von Schülern wie Zensuren, Zeugnisse und Gesundheitsdaten gespeichert werden. Zudem muss das Datenschutzrecht angepasst werden. Wir berichten:

Im Jahr 2017 sind Computer und Internet auch im schulischen Bereich selbstverständlich nicht mehr entbehrlich. Es stellen sich allerdings gerade im Zusammenhang mit personenbezogenen Daten von Kindern teils erhebliche datenschutzrechtliche Fragestellungen und Problemfelder. Schließlich werden in Schulen personenbezogene Daten, oftmals sogar höchst sensible Daten, gesammelt und verarbeitet. Den Schulen in NRW soll nun eine IT-Arbeitsplattform zur schulischen Kommunikation, Organisation und Dokumentenverwaltung zur Verfügung gestellt werden.

IT-Arbeitsplattform LOGINEO NRW

Die neue IT-Infrastruktur soll einen großen und wichtigen Schritt in den digitalen Schulalltag für zeitgemäßes Lehren und Lernen bedeutet. Die neue Plattform nennt sich „LOGINEO NRW“.  LOGINEO NRW soll in der 2. Hälfte des Schuljahres 2016/2017 den Schulen in NRW zur Verfügung stehen. Mit LOGINEO NRW soll unter anderem, so der ambitionierte Plan, ein geschützter Vertrauensraum für Lehrer im Internet geschaffen werden. Doch es gibt bereits vor der Einführung datenschutzrechtliche Bedenken.

Sensible Schüler-Daten in einer Cloud

Ein zentraler Bestandteil der Arbeitsplattform soll ein Cloud-Dateimanager sein. Verständlich, da Cloud Computing die Zukunft gehören dürfte und bereits jetzt zahlreiche Unternehmen verstärkt Rechenkapazität, Speicherplatz und Software über das Internet beziehen. Zukünftig sollen alle Dateien mit Hilfe des Dateimanagers in einer „Cloud“ auf einem Server beim  Kommunalen Rechenzentrum Niederrhein(KRZN) gespeichert werden. Dadurch wird ein zentraler Zugang zu schulinternen Materialien ins Leben gerufen. Alle Daten stehen zukünftig orts-und zeitunabhängig zur Verfügung. Und zwar sowohl schutzwürdige Daten von Eltern und Schülern als auch von Lehrkräften. Allesamt gespeichert unter dem Dach von LOGINEO NRW.  Das bringt zweifelsohne zahlreiche Vorteile mit sich, birgt jedoch auch besondere Gefahren.

Im Kern geht es um die brisante Frage, ob sensible personenbezogene Schüler-Daten in einer Cloud gespeichert und verarbeitet werden dürfen. Spricht man von sensiblen personenbezogenen Schüler-Daten, sind dabei vor allem Daten wie  Zensuren, Zeugnisse, Klassenbucheinträge, Gesundheitsdaten, Fördergutachten, Mahnverfahren wegen Gewalttätigkeiten oder Daten bezüglich der Abwesenheit von Schülern während des Unterrichts gemeint. Diese Daten dürfen verständlicherweise nicht in fremde Hände gelangen.

Einsatz von privaten Computern

Rechtlich sind Lehrer dazu verpflichtet, solche Daten einzig auf Computern zu verarbeiten, die hierfür explizit eingerichtet wurden. Dazu zählen vor allem Computer, die sich im Schulbüro, im sogenannten Verwaltungsnetz, befinden. Da jedoch Lehrern in der Schule selbst regelmäßig kein Arbeitsplatz zur Verfügung steht, ist der Einsatz privater Rechner, der an sich aus Gründen der Datensicherheit nicht zulässig ist, üblich. Die privaten Computer müssen dabei immer zuvor vom jeweiligen Schulleiter auf deren Sicherheit geprüft werden, da Lehrer bei der Erledigung ihrer dienstlichen Aufgaben am privaten Rechner, denselben Datenschutzbestimmungen unterliegen, die auch für die Schule im Allgemeinen gelten.

Cloud-Nutzung – Änderung des Datenschutzes notwendig

Zukünftig nun will die Landesregierung NRW die Verarbeitung von sensiblen Schülerdaten auch auf Computern erlauben, die sich außerhalb des Schulbüros befinden und nicht gesondert für Verwaltungszwecke eingerichtet wurden. Mit diesen Computern sollen Lehrkräfte zukünftig ebenfalls, genauso wie mit dem eigenen heimischen Computer, auf die LOGINEO-Cloud zugreifen können, die, nach in Krafttreten, von kommunalen Rechenzentren bereitgestellt werden. Hier stellt sich die Frage, auf welche Daten der einzelne Lehrer Zugriff erhalten soll. Lediglich auf Daten seiner Klasse(n)?Oder auf die Daten der gesamten Schule? Oder gar auf darüber hinaus gehende Daten?

Damit die LOGINEO-Cloud jedoch rechtskonform betrieben werden kann, müssten wichtige Datenschutzverordnungen geändert und angepasst werden.

Und nun wird es kritisch: Insbesondere müssen im Zuge dessen die Verordnung über die zur Verarbeitung zugelassenen Daten von Schülerinnen, Schülern und Eltern (VO-DV I) sowie die Verordnung über die zur Verarbeitung zugelassenen Daten der Lehrerinnen und Lehrer (VO-DV II) eine Änderung erfahren. Beide Verordnungen konkretisieren die Regelungen des Schulgesetzes NRW, welche die Rechtsgrundlage für den Eingriff in das Recht der Betroffenen auf informationelle Selbstbestimmung bilden.

Eingriff in das Recht auf informationelle Selbstbestimmung?

Aus rechtlicher Sicht dürfen die Verordnungsänderungen zunächst einmal nicht gegen die Bestimmungen verstoßen, die im Schulgesetz verankert sind,was auch nicht der Fall sein dürfte. Die Änderungen dürfen jedoch außerdem nicht gegen das Grundrecht auf informationelle Selbstbestimmung verstoßen.

Als Recht auf informationelle Selbstbestimmung wird das Recht des Einzelnen verstanden, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Das Recht auf informationelle Selbstbestimmung ist im Grundgesetz nicht explizit geregelt. Das Bundesverfassungsgericht hat es jedoch aus dem allgemeinen Persönlichkeitsrecht (Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG) entwickelt und versteht es als eine besondere Ausprägung des allgemeinen Persönlichkeitsrechts.

Sobald die Änderungen der Verordnungen durch den Landtag NRW beschlossen wurden, um LOGINEO rechtskonform einsetzen zu können, werden jedoch zukünftig erheblich mehr Daten sowohl von Schülerinnen und Schülern als auch von Lehrerinnen und Lehrern gespeichert, weitergeleitet und verarbeitet, als es bislang der Fall gewesen ist. Eine Einwilligung der Betroffenen in die Verarbeitung der eigenen Daten wäre zukünftig entbehrlich. Informationen aller rund 180.000 Lehrkräfte in NRW werden dann in der Cloud auf einem Server gespeichert.

Elternvertreter wurden nicht angehört – Bedenken der Landesbeauftragten für Datenschutz NRW

Trotz erheblicher Kritikpunkte sind die Änderungen am 8.2.2017 beschlossen worden. Zwar wurden im Vorfeld  bereits sowohl Gewerkschaften als auch Lehrerverbände angehört, Elternvertreter jedoch nicht, obwohl die Hälfte der Verordnungsänderungen die Daten der Schülerinnen und Schüler sowie deren Eltern betreffen.

Auch die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI-NRW) hat in einer Stellungnahme gegen den Einsatz privater Computer, Notebooks, Smartphones und Tablets zu dienstlichen Zwecken „durchgreifende datenschutzrechtliche Bedenken“ geäußert, mit der Begründung, dass durch den technischen Fortschritt bislang keine fundierte Risikoanalyse solcher Geräte existiere.

Daher, so die Datenschutzbeauftragte, sei es auch nicht möglich, eine Empfehlung zur Herstellung der datenschutzrechtlich zu fordernden Datensicherheit  solcher Geräte zu geben. Somit könnten solche Geräte jedenfalls derzeit nicht zu Verwaltungszwecken eingerichtet werden. Schulleitungen könnten mangels Prüfgrundlage den Einsatz nicht genehmigen, da Sicherheitsüberprüfungen die Schulleitungen vor unlösbare Aufgaben stellen würden. Die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW sieht als einzige Lösung nur die Beschaffung von dienstlichen Computern für alle Lehrkräfte.

Fazit

Damit könnten nach dem derzeitigen Stand die Cloud-Dienste und LOGINEO überhaupt nicht rechtskonform betrieben werden, solange die dienstlichen Computer nicht angeschafft worden sind.

Hier wird das letzte Wort noch nicht gesprochen worden sein, da bislang sowohl Eltern, als auch Schülerinnen und Schüler wenig bis gar nicht darüber informiert sein dürften, dass ihre Persönlichkeitsrechte zukünftig erheblich eingeschränkt werden könnten. Datenschützer fordern zudem bereits, eine Verfassungsbeschwerde gegen die aktuellen datenschutzrechtlichen Verordnungen zur Verarbeitung von Daten in NRW-Schulen einzureichen.

Selbst wenn die Cloud sicherheitstechnisch auf dem neusten Stand- und vor Hacker-Angriffen geschützt sein sollte, wovon auszugehen ist, bleibt ein erheblicher Risikofaktor bestehen: Der Lehrer selbst. Für Schüler mit technischem Verständnis dürfte es ein Leichtes sein, Zugriff auf den Lehrercomputer zu erhalten, wenn dieser seinen privaten Computer mit im Klassenraum haben sollte. Dann könnten Schüler schnell Zugriff auf unzählige sensible Datensätze erlangen. (TOS)

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (5 Bewertungen, Durchschnitt: 4,80 von 5)

RSSKommentare (1)

Kommentar schreiben

  1. PW sagt:

    Als findiger Schüler ist es sogar ohne technisches Verständnis möglich den Lehrerkalender mit Zensuren zu entwenden (oder bei kurzer Abwesenheit zu fotografieren) genauso wie Fehlzeiten aus dem Klassenbuch zu filtern. Das Argument des findiger Schülers halte ich für vorgeschoben.

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.