Datenschutz im Kontext Schule
Beim Einsatz und der Nutzung von digitalen Bildungsangeboten im Unterricht ergeben sich viele Fragen rund um das Thema Datenschutz. Wofür werden personenbezogene Daten, die bei der Nutzung eines Angebots anfallen, verwendet? Werden Daten an Dritte weitergegeben? Welche digitalen Anwendungen sind datenschutzfreundlich und können im Unterricht eingesetzt werden? Wie können personenbezogene Daten vor allem von (zumeist minderjährigen) Schülerinnen und Schülern geschützt werden?
VIDIS möchte Schulen bei der Nutzung von digitalen Bildungsangeboten in Datenschutzfragen unterstützen. Denn Schulen sind in vielen Ländern in Deutschland die sogenannte „verantwortliche Stelle“, d.h. dass Schulen die Verantwortung tragen, wenn es um die Verarbeitung von personenbezogenen Daten, insbesondere der Schülerinnen und Schüler, geht. Personenbezogene Daten fallen im Netz schnell an, da beispielsweise schon IP-Adressen (eine Ziffernfolge, über die ein Rechner in einem Netzwerk (z.B. Internet) eindeutig identifiziert werden kann) als personenbezogene Daten klassifiziert werden. Anonymität im Netz herzustellen ist also (fast) unmöglich.
Welche Vorteile haben Schulen im Hinblick auf Datenschutz durch die Nutzung von Angeboten über VIDIS? Warum ist der Zugang zu Bildungsangeboten über VIDIS sicher?
VERMITTLUNG VON DATEN
VIDIS übermittelt als Vermittlungsdienst nur die Daten vom Landesportal zum Bildungsanbieter, die tatsächlich für die Nutzung des Angebots benötigt werden. Daher spielt Datensparsamkeit eine tragende Rolle.
KEINE DATENSPEICHERUNG
Der Datenaustausch zwischen dem jeweiligen Landesportal und den digitalen Bildungsangeboten ist datenschutzkonform und sicher. Über VIDIS werden die Anmeldedaten an das digitale Bildungsangebot weitergeleitet und nur für die Dauer der Anmeldesitzung gespeichert. Im Anschluss daran werden sie aus dem System gelöscht.
KEINE EINWILLIGUNGEN
Wenn der Login über VIDIS stattfindet, sind keine Einwilligungen zur Nutzung eines Angebots im Unterricht notwendig. Die Schulen dürfen die anfallenden personenbezogenen Daten der Schülerinnen und Schüler zur Erfüllung ihres Bildungsauftrags erheben.
GEPRÜFTE ANGEBOTE
VIDIS unterstützt Schulen bei dem Einsatz von Angeboten im Unterricht, da nur Angebote an VIDIS angebunden werden, die die (datenschutz-) rechtlichen und technischen Teilnahmekriterien erfüllen. Lesen Sie hier mehr über die Prüfung von digitalen Angeboten im Rahmen von VIDIS.
Um für alle Lehrkräfte und Schülerinnen und Schüler in Deutschland einen sicheren Zugriff auf digitale Bildungsangebote durch den Login mit VIDIS zu ermöglichen, muss zunächst ein gemeinsames Verständnis über die Rechtsgrundlage erreicht werden. Das VIDIS (Datenschutz-) Rechtsmodell dient als Basis für die Ausarbeitung einer Vertragsmodellierung zwischen allen beteiligten Akteuren, welche im Rahmen von VIDIS mit Daten von Nutzerinnen und Nutzern von digitalen Bildungsangeboten (Schüler:innen und Lehrkräfte) in Kontakt kommen.
Im Rahmen des VIDIS‑Projekts wurde das FWU von allen 16 Ländern beauftragt, rechtliche und technische Rahmenbedingungen für Bildungsanbieter zu entwickeln und zu setzen. Das (Datenschutz-) Rechtsmodell wurde in einem Pilotvertragswerk umgesetzt, das später als Grundlage für die Betriebsphase dienen soll. Im Pilotvertragswerk werden die Kriterien detailliert dargestellt, anhand derer digitale Bildungsangebote im Auftrag des FWU technisch und (datenschutz-) rechtlich geprüft werden. Die Herausforderung dabei war, eine einheitliche, länderübergreifende Vertragsmodellierung für die Nutzung von VIDIS in der Pilotphase und – zu einem späteren Zeitpunkt – in der Betriebsphase zu erreichen.
Nachfolgend finden Sie weitere Informationen, welche Schritte für die Entwicklung eines (Datenschutz-) Rechtsmodells, eines Pilotvertragswerks und der Prüfkriterien für Bildungsangebote entscheidend waren.
WeiterlesenWelche Anforderungen müssen Anbieter erfüllen, um an VIDIS teilnehmen zu können? Wie läuft der Teilnahmeprozess für Anbieter ab? Welche Kriterien werden im Auftrag des FWU geprüft? Wie können Schulen Angebote aktivieren?
Diese und weitere Fragen werden im Teilnahmeprozess für Anbieter beantwortet.
Im folgenden Abschnitt befindet sich eine Auflistung der wichtigsten Kriterien für die Prüfung von Bildungsanbietern. Diese basieren auf den Teilnahmekriterien aus dem Pilotvertrag für Diensteanbieter.
Die wichtigsten Prüfkriterien
- Werbefreiheit (6.2.1 b)
- Einschränkungen zu In-App-Verkäufen (6.2.1 b)
- Zweckbindung bei der Datenverarbeitung (6.3 a)
- Keine Einwilligungsabfragen für Schüler:innen (6.3 b)
- Verarbeitung der Daten innerhalb der EU oder gleichgestellter Staaten (6.3 c)
- Keine angebotsübergreifenden Nutzerprofile (6.3 d)
- Keine Einbindung von Drittanbietern ohne AVV (6.3 e)
- Definierte Verwendungszwecke (6.3 f)
- Aufbewahrungs- und Löschfristen (6.3 h & i)
- Datenübertragbarkeit (6.3 j)
Warum muss eine Datenverarbeitung innerhalb der EU stattfinden? Und warum wird dies als Kriterium für die Teilnahme in den Pilotvertrag für Diensteanbieter aufgenommen?
Nachfolgend möchten wir auf einzelne Teilnahmekriterien aus dem Pilotvertrag für Diensteanbieter genauer eingehen und erläutern, aus welchen Gründen diese als Kriterien für die Prüfung von digitalen Bildungsangeboten herangezogen wurden.
Prüfkonzept und Prüfung von Angeboten
Das VIDIS Prüfkonzept für die Prüfung von digitalen Bildungsangeboten besteht aus einem zweistufigen Verfahren: der Selbstauskunft des Anbieters mit derzeit 63 Fragen folgt in der zweiten Stufe eine technische und rechtliche Prüfung des Bildungsangebots im Auftrag des FWU. Das Konzept wurde bereits mit dem DigitalPakt Projekt „eduCheck digital“ abgestimmt und soll nur innerhalb einer Übergangsphase eingesetzt werden bis technische und rechtliche Prüfkriterien durch „eduCheck digital“ entwickelt wurden. Eine europaweite Zertifizierung von digitalen Bildungsangeboten soll durch das sich derzeit in der Entwicklung befindliche Projekt „DIRECTIONS“ der Universität Kassel und Universität Karlsruhe erzielt werden.
Prüfungsumfang
VIDIS prüft die inhaltlichen Grundanforderungen an die digitalen Bildungsangebote und deren Rechtmäßigkeit auf Basis der zur Verfügung gestellten und frei verfügbaren Informationen kursorisch auf Plausibilität. Gleiches gilt für die Grundanforderungen zum Datenschutz und insbesondere einzelne Datenschutzklauseln. Im Auftrag des FWU wird nach bestem Wissen und Gewissen geprüft, es gibt allerdings keine Gewähr für die Richtigkeit des Prüfergebnisses. Die Prüfung im Auftrag des FWU ist kein Gütesiegel und keine Zertifizierung. Sie ist eine Momentaufnahme und Aussagen im Prüfbericht sind nur im Zusammenhang mit der technischen VIDIS‑Infrastruktur möglich. Hierbei ist zu beachten, dass Bildungsangebote nach dem Gleichbehandlungsgrundsatz geprüft werden.
VIDIS-Portal
Über das geplante VIDIS‑Portal können Schulen zukünftig Angebote selbst auswählen bzw. aktivieren und Auftragsverarbeitungsverträge (AVV) mit Anbietern digital zeichnen. Dabei können sich Schulen sicher sein, dass im VIDIS‑Portal nur Angebote eingepflegt werden, die zum einen an VIDIS angebunden sind und zum anderen bereits vorgeprüft wurden und gemäß den unten aufgeführten Kategorien entweder in die grüne oder graue Kategorie eingestuft wurden. In das VIDIS‑Portal werden keine Angebote der roten Kategorie eingepflegt.
So wird es für Schulen bei der Auswahl von Angeboten für den Unterricht zukünftig einfacher, nachzuvollziehen, wie ein Angebot im Rahmen der Prüfung eingestuft wurde. Angebote, die im VIDIS‑Portal aufgeführt werden, sind also datenschutzfreundlich und können im Unterricht eingesetzt werden.
Datenverarbeitung innerhalb der EU (6.3 c)
Warum muss eine Datenverarbeitung innerhalb der EU stattfinden? Und warum wurde dies als Kriterium für die Teilnahme in den Pilotvertrag für Diensteanbieter aufgenommen?
Szenarien: Bewertung von Angeboten
Wie wird ein Angebot in konkreten Fällen von VIDIS eingestuft? Beispiel am Hosting bei AWS und Senden von Push-Nachrichten
VERANTWORTLICHE STELLE
Die Datenschutz-Grundverordnung (DSGVO) definiert in Artikel 4, Ziffer 7 den/die Verantwortliche/n als „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“ Auf den Schulkontext bezogen sind in den meisten Ländern die Schulen verantwortliche Stelle, vereinzelt können es aber auch Schulträger oder das Land selbst (z.B. in Hamburg oder Berlin) sein.
PERSONENBEZOGENE DATEN
„Personenbezogene Daten“ sind nach der Definition in Art. 54 Nr. 1 in der EU-Datenschutz-Grundverordnung (DSGVO) „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.“ Identifizierbar ist eine natürliche Person, „die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“
Um personenbezogene Daten von minderjährigen Schülerinnen und Schülern, aber auch Lehrkräften zu schützen, übermittelt VIDIS nur Daten vom Identitätsanbieter (Landesportal) zum Anbieter. Diese werden nur für die Dauer der Anmeldesitzung gespeichert und pseudonymisiert.
ZWECKE
Die Erhebung, Verarbeitung und Speicherung von personenbezogenen Daten ist an den Grundsatz der Zweckbindung geknüpft. D.h. personenbezogene Daten dürfen nur für im Voraus festgelegte, eindeutige und legitime Zwecke erhoben und auch nur für diese Zwecke verarbeitet werden (Datenminimierung). Dadurch soll verhindert werden, dass Daten auf Vorrat erhoben oder große Datenmengen gestohlen werden können. Ebenso dürfen Daten nur so lange gespeichert werden, wie es für die Zwecke, für die die Daten verarbeitet werden, erforderlich ist. Durch ein Löschkonzept wird festgelegt, nach welcher Dauer die Daten wieder gelöscht werden.
Um an VIDIS teilnehmen zu können, muss ein Anbieter die Zwecke der Datenverarbeitung transparent darlegen.
RECHTSGRUNDLAGE
Voraussetzung für rechtmäßiges Handeln einer Person oder eines staatlichen Organs. Bezeichnet im Öffentlichen Recht Normen, die dem Staat erlauben, bestimmte Maßnahmen zu ergreifen. (Bundeszentrale für politische Bildung)
Die Verarbeitung personenbezogener Daten durch das Land bzw. die Schulen als Identitätsanbieter ist gemäß Artikel 6 Abs. 1 lit c DSGVO rechtmäßig, weil „die Verarbeitung […] zur Erfüllung einer rechtlichen Verpflichtung erforderlich [ist], der der Verantwortliche unterliegt;“ bzw. lit e, weil „die Verarbeitung […] für die Wahrnehmung einer Aufgabe erforderlich [ist], die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde“. Die Schulen dürfen die anfallenden personenbezogenen Daten zur Erfüllung ihres Bildungsauftrags beim Einsatz von digitalen Bildungsangeboten erheben.
EINWILLIGUNG
Bisher war es in vielen Schulen gängige Praxis, dass von den Eltern minderjähriger Schülerinnen und Schüler eine schriftliche Einwilligung für die Verarbeitung personenbezogener Daten, welche bei der Nutzung von digitalen Bildungsangeboten anfallen, erteilt wurde.
In Deutschlang herrscht Schulpflicht. In der verpflichtenden Teilnahme am Unterricht kann eine solche Einwilligung nicht freiwillig erfolgen, was aber nach Erwägungsgrund 32 der DSGVO notwendig ist. Aus diesem Grund wird bei der Anmeldung über VIDIS keine Einwilligung von Schülerinnen und Schülern, Lehrkräften oder Eltern abgefragt.
Quelle Datenschutz-Icons:
LfDI – Der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg:
https://www.baden-wuerttemberg.datenschutz.de/datenschutz-icons/