Eckpunkte für einen datenschutzkonformen Einsatz von Tablets im Schulunterricht

Die Landesbeauftragte für den Datenschutz Niedersachsen hat den folgenden Text veröffentlicht:

Die Digitalisierung hat in den letzten Jahren auch an den niedersächsischen Schulen zunehmend Einzug gehalten. Immer mehr Schulen setzen dabei auf internetbasierte Wissensvermittlung. Ein wichtiger Baustein ist die Einführung von sog. Tablet-Klassen. Hierbei werden grundsätzlich zwei Nutzungsmodelle unterschieden: die Verwendung von Geräten, die im Eigentum des Landes bzw. des Schulträgers stehen oder die Verwendung von schülereigenen Geräten.
Das Lernen mit und über neue Medien ist aus pädagogischer Sicht uneingeschränkt zu begrüßen. Zugleich ist aber auch festzustellen, dass die Verwendung von schülereigenen mobilen Geräten die Gefahr der Vermischung von privaten und schulischen Inhalten und damit besondere Risiken für die personenbezogenen Daten der Schülerinnen und Schüler birgt. Diesen Risiken gilt es, nicht erst seit unmittelbarer Geltung der EU-Datenschutz-Grundverordnung (DS-GVO) in den niedersächsischen Schulen, zu begegnen.

Vor diesem Hintergrund kann der Einsatz von Tablet-Klassen in den Schulen nur unter den folgenden Voraussetzungen als datenschutzkonform angesehen werden:

  1. Einwilligung
    Der Einsatz von Tablets im Schulunterricht erfordert gegenüber den herkömmlichen analogen Lernsystemen die Verarbeitung zusätzlicher Daten. Dies betrifft mindestens die IP-Adresse der Schülerinnen und Schüler und ggf. weitere Daten. Da insoweit keine Erforderlichkeit gemäß § 31 Nds. Schulgesetz gegeben ist, bedarf es einer wirksamen Einwilligung der Eltern bzw. der Schülerinnen und Schüler. Zur Gewährleistung der Freiwilligkeit der Einwilligung sind zudem seitens der Schule wirksame Handlungsalternativen vorzuhalten.
  2. OH Lernplattformen beachten
    Beim Einsatz der Tablets erfolgt erfahrungsgemäß eine Nutzung von Online-Lernplattformen.
    Für deren Nutzung hat die Datenschutzkonferenz des Bundes und der Länder im April 2018 die Orientierungshilfe für Online-Lernplattformen im Schulunterricht erlassen, welche seitens der Schule zu beachten ist und unter www.lfd.niedersachsen.de/Themen/Schulen /Übersicht rechts im Downloadbereich oder unter diesem Link abgerufen werden kann.
  3. Nutzung von Apps
    Sofern die Nutzung weiterer Softwareprodukte oder Apps vorgesehen ist, muss die Schule als verantwortliche Stelle gewährleisten, dass keine überbordende oder zweckändernde Nutzung der Schülerdaten durch Dritte erfolgt. Empfehlenswert ist die verbindliche Festlegung eines Kanons von datenschutzkonformen Softwareprodukten durch die Schule oder die Schulaufsichtsbehörde.
  4. Auftragsverarbeitungsvertrag mit Drittanbietern abschließen
    Da im Rahmen der Tablet-Klasse regelmäßig von Angeboten Dritter, wie z.B. App-Anbietern, Gebrauch gemacht wird, ist mit diesen ein Auftragsverarbeitungsvertrag gemäß § 28 DS-GVO abzuschließen.
  5. Datenschutzfolgenabschätzung
    Vor der Einführung der Tablet-Klasse ist zu prüfen, welches Risiko für die Rechte und Freiheiten der Schülerinnen und Schüler besteht. Führt diese Risikoabwägung zu dem Ergebnis eines hohen Risikos, ist nach Art. 35 DS-GVO eine Datenschutz-Folgenabschätzung durchzuführen. Diese beinhaltet folgende Maßnahmen:
    a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung;
    b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
    c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1;
    d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen.
  6. Keine Datenspeicherung auf dem privaten Endgerät
    Die Nutzung privater mobiler Endgeräte der Schülerinnen und Schüler im Rahmen der Tablet-Klasse ist angesichts der verwendeten unsicheren Betriebssysteme nur dann hinnehmbar, wenn gewährleistet ist, dass die Geräte nur als Web-Endgeräte genutzt werden und die Datenhaltung und Datenspeicherung ausschließlich auf einem gesicherten Server der Schule stattfindet. Alternativ darf die Datenverarbeitung auch auf dem Server eines Drittanbieters erfolgen, wenn zwischen der Schule und diesem ein wirksamer Auftragsverarbeitungsvertrag abgeschlossen wurde, der den Anforderungen des Art. 28 und insbesondere der Art. 44 ff. DS-GVO gerecht wird.
  7. Weitere Anforderungen in technisch-organisatorischer Hinsicht
    Es ist sicher zu stellen, dass die eingesetzten privaten Geräte einen aktuellen Softwarestand im Hinblick auf Betriebssystem und Browser aufweisen. Ferner bedarf es der Implementierung eines dem Stand der Technik entsprechenden Verschlüsselungsmechanismus. Zudem ist ein dem Schutzbedarf der betroffenen Daten entsprechend differenziertes Rollen- und Berechtigungskonzepts vorzusehen.

Die vorstehenden Eckpunkte sind seitens der jeweiligen Schule als verantwortliche Stelle nach § 1 Abs. 1 NDSG vor Einführung der Tablet-Klasse zu beachten.

Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
Telefon 0511 120-4500
Fax 0511 120-4599
Stand: 18.09.2018

Dieses Dokument finden Sie hier zum Download:

https://www.lfd.niedersachsen.de/download/136716/Eckpunkte_fuer_einen_datenschutzkonformen_Einsatz_von_Tablets_im_Schulunterricht_Stand_18.09.2018_.pdf