Logo Ministerium für Schule und Bildung

Genehmigung zur Nutzung privater ADV-Anlagen

Orientierungsbereich (Sprungmarken)

Navigation ein/aus

Genehmigung zur Nutzung privater ADV-Anlagen

Antrag nach Genehmigungsvordruck

  •  Hat meine alte Genehmigung auch weiterhin Gültigkeit?


Frühere gemäß § 2 Abs. 2 VO DV I erteilte Genehmigungen haben weiterhin Bestand. Dies gilt auch beim Wechsel der Leitung der Schule oder der Leitung des ZfsL. Wenn Zweifel bestehen, ob solche früheren Genehmigungen wirklich noch ausreichen, sollten Schulleitungen in Erwägung ziehen, neue Genehmigungen nach dem Vordruck zu erteilen.

Im Übrigen sind neue Genehmigungen oder Anpassungen an die bestehenden immer dann erforderlich, wenn sich zu den individuell anzugebenen Daten Änderungen ergeben haben. Bei neu zu erteilenden Genehmigungen ist die jeweils aktuelle Fassung des Genehmigungsvordrucks zu verwenden.

  • Sind einschränkende Anmerkungen im Antrag zulässig?     

Anpassungen des Genehmigungsvordrucks z. B. durch einschränkende Anmerkungen einer Lehrkraft oder weitergehende Konkretisierungen der Schulleitung sind durchaus zulässig. Sie sind auch notwendig, wenn z.B. einzelne technisch-organisatorische Maßnahmen nicht umgesetzt werden können. Es liegt jedoch in der Verantwortung der Schulleitung, ob sie die Genehmigung auf Basis der Änderungen erteilt. Dabei sollte sie sich von der bzw. dem zuständigen behördlichen Datenschutzbeauftragten beraten lassen.

  • Zu welchem Zweck wird die Seriennummer der Hardware auf dem Genehmigungsvordruck abgefragt?

Die Seriennummer dient der Identifizierung eines genehmigten Gerätes und somit dem Nachweis, dass auf diesem Gerät personenbezogene Schülerdaten verarbeitet werden dürfen.

  • Was soll als Seriennummer bei selbst zusammengestellten Rechnern angegeben werden?

Bei selbst konfigurierten Geräten handelt es sich in der Regel um Desktoprechner, die nicht in der Schule, sondern im häuslichen Umfeld einer Lehrkraft zum Einsatz kommen. Falls erwünscht, kann hier die Seriennummer einer zentralen Hardwarekomponente, z. B. des Mainboards, angegeben werden.
 

  • Sind Tablets und Handys generell unsicher? Welches sichere Gerät darf ich für die Arbeit mit Schülerdaten benutzen?       

Grundsätzlich sind Tablets oder Handys nicht unsicherer als Notebooks oder stationäre Desktop-PC. Es können Geräte eingesetzt werden, bei denen die nach § 2 Abs. 2 VO DV I geforderten und in der Genehmigung benannten Maßnahmen zum Datenschutz und zur Datensicherheit umgesetzt werden können. Wichtig ist bei allen Geräten und Betriebssystemen die Pflege und Wartung der verwendeten Software. Beim häuslichen Einsatz von Tablets und Handys ist die Zweckmäßigkeit und Zulässigkeit einer Verwendung stets zu bedenken:


Sinn und Zweck der Verordnungsregelung ist, die Verarbeitung von Schülerdaten in privaten ADV-Anlagen (z.B. Laptop, Tablet oder Handy) aufgrund einer Genehmigung zu ermöglichen, damit Lehrkräfte einen Teil ihrer Arbeit am häuslichen Arbeitsplatz oder (mobil) in der Schule erledigen. Verbleiben trotz Beachtung der Regelungen und Umsetzung der empfohlenen Maßnahmen im konkreten Fall Zweifel, ob die datenschutzrechtlichen Bedingungen mit einzelnen mobilen oder auch stationären Geräten erfüllt werden können, ist die Verarbeitung personenbezogener Schülerdaten darauf nicht vertretbar.

  • Sind private NAS zulässig?


NAS („Network Attached Storages“) sind so zu bewerten wie jedes andere Speichermedium (z. B. externe Festplatte). Besonderes Augenmerk sollte beim Einsatz von privaten NAS auf die Zugriffsrechte bezüglich der gespeicherten dienstlichen Daten gelegt werden. Grundsätzlich ist es zu begrüßen, wenn Lehrkräfte konsequent Datensicherungen vornehmen; dieses wird in „Teil B – Datensicherheit“ der Genehmigung sogar ausdrücklich gefordert.

  • Wie soll eine Schulleitung reagieren, wenn Genehmigungen nicht eingeholt werden?

Die Schulleitung sollte das Gespräch suchen und die Lehrkraft darauf hinweisen, dass die Verarbeitung von personenbezogenen Daten von Schülerinnen, Schülern und Eltern auf Privatgeräten (ohne Genehmigung) nicht zulässig ist.

Gleiches gilt für die Verarbeitung der Daten von Lehramtsanwärterinnen und –anwärtern und Lehrkräften in Ausbildung auf Privatgeräten der mit Ausbildung betrauten Personen (vgl. § 2 Abs. 4 VO DV II).

  • Muss der Abschnitt über die Verarbeitung von Daten von Referendarinnen und Referendaren auch von Lehrkräften ausgefüllt werden, die Gutachten im Rahmen des Ausbildungsunterrichts anfertigen?  

Lehrkräfte, die an Schulen in die Ausbildung von Lehramtsanwärterinnen, Lehramtsanwärtern oder Lehrkräften in Ausbildung eingebunden sind, benötigen für die Verarbeitung von Daten dieser Personen eine Genehmigung. Dazu wurde festgelegt, dass die Genehmigung - anders als im Vordruck vorgesehen - ebenfalls von der Schulleitung erteilt wird.  

Bis zu einer entsprechenden Änderung des Genehmigungsvordrucks (die erst nach klarstellender Änderung der VO DV II möglich sein wird) sind somit die Teile E und F des Genehmigungsvordrucks für diese Ausbildungslehrkräfte an Schulen im Einzelfall von der Schulleitung - und nicht von einer ZfsL-Leitung - auszufüllen.

  • Wo werden die Anträge gesammelt?      

Es gehört zum Verantwortungsbereich der Lehrkräfte, sich für die Nutzung ihrer Privatgeräte eine Genehmigung der Schulleitung erteilen zu lassen. Falls erforderlich, muss diese auch nachgewiesen werden können. Es ist daher ratsam, ein Exemplar zu den eigenen Unterlagen zu nehmen.  Daneben ist ein Exemplar in die persönliche Akte jeder Lehrkraft beim Schulleiter aufzunehmen, vgl. § 5 Abs. 2 VO DV II.       

  • Wer genehmigt Schulleitungen den Einsatz von Privatgeräten?


Es ist in den schulischen Regularien zum Datenschutz nicht vorgesehen, dass die Schulaufsichtsbehörde eine solche Genehmigung für Schulleitungen zu erteilen hat.
Zur eigenen Sicherheit sollte die Schulleitung sich an den Inhalten des Genehmigungsvordrucks orientieren. Sie kann sich zudem von der bzw. dem schulischen Datenschutzbeauftragten beraten lassen.

 

  • Wie verhält es sich mit den Bedenken der LDI zum Einsatz von Privatgeräten?

 

Die Bedenken der LDI sind dem MSB bekannt. Angesichts des Umstands, dass Lehrkräfte traditionell einen Teil ihrer dienstlichen Tätigkeit zu Hause erbringen, ist Absicht des MSB, Lehrkräften am heimischen Arbeitsplatz auch den Einsatz privater ADV-Geräte zu ermöglichen.

Deshalb ist die Genehmigungspflicht vorgegeben. Sie beinhaltet u. a. die datenschutzrechtlich erforderlichen technischen und organisatorischen Maßnahmen, die zu treffen sind. Die Lehrkraft ist damit verpflichtet, die personenbezogenen Schülerdaten nur für dienstliche Zwecke zu verarbeiten und die technischen und organisatorischen Vorgaben umzusetzen und einzuhalten.

Den Einsatz von Privatgeräten unter der Voraussetzung einer qualifizierten Genehmigung zu ermöglichen, ist aus Sicht des MSB vertretbar, um datenschutzrechtliche Anforderungen mit der Praxis und der fortschreitenden Digitalisierung vereinbaren zu können.

Zulässige Datenverarbeitungen auf privaten Endgeräten

  • Welche Daten dürfen wie lange auf privaten Endgeräten gespeichert werden?

Die zur Verarbeitung - und somit auch zur Speicherung - auf privaten ADV-Anlagen zugelassenen Daten sind in Anlage 3 zur VO DV I abschließend aufgeführt und im Genehmigungsvordruck unter Nr. 3 entsprechend benannt.   

Die Aufbewahrungsfrist für die auf privaten Endgeräten von Lehrkräften gespeicherten Daten beträgt ein Jahr. Sie beginnt mit Ablauf des Kalenderjahres, in dem die Schülerin oder der Schüler nicht mehr von der Lehrkraft unterrichtet wird (§ 9 Abs. 2 S. 2 u.3 VO DV I). Darunter fallen auch ggf. erstellte Backups. Sollten Daten über diese Frist hinaus gespeichert werden, so sind diese auf schulische Anlagen zu übertragen.      

  • Dürfen Wortzeugnisse auf privaten Endgeräten erstellt werden, obwohl diese ja Verhaltensinformationen enthalten können? 

In Anlage 3 zur VO DV I sind abschließend die Daten aufgeführt, deren Verarbeitung auf Privatgeräten zulässig ist. Unter Abschnitt I Nr. 10 sind genannt: „Leistungsbewertungen in den Fächern, in denen die Lehrkraft die Schülerinnen und Schüler unterrichtet.“ „Leistungsbewertungen“ können nach Maßgabe des § 48 Abs. 1 SchulG anstelle von Noten auch schriftliche Aussagen sein.       

Die einzelne Lehrkraft hat also die Möglichkeit, Bewertungen und Textpassagen automatisiert zu verarbeiten, die vorbereitend für spätere Zeugniseintragungen für ihre jeweiligen Schülerinnen und Schüler sind, - allerdings nur bezogen auf die konkreten Fächer der Lehrkraft.

Der Personenkreis, der vollständige Zeugnisse (also sämtliche Angaben für alle Fächer und Zeugnisbemerkungen) auf Privatgeräten verarbeiten darf, ist unter Abschnitt IIder Anlage 3 genannt, nämlich: Schulleitung bzw. Stellvertretung, Beauftragte sowie Klassen-/Stufenleitung.

 

  • Dürfen Gutachten, Zeugnisse etc. mit Pseudonymen auch ohne Genehmigung auf Privatgeräten erstellt werden?      

Sofern die Identität der Betroffenen soweit geschützt ist, dass ein Rückschluss auf die betreffende Person nicht möglich ist, ist dieses Vorgehen zulässig. Zu beachten ist, dass in den entsprechenden Dokumenten nicht nur keine Klarnamen verwendet werden, sondern auch andere Daten mit Personenbezug, z. B. Geburtsdatum, Adresse etc. zu pseudonymisieren sind.
Die „Funktionstabelle“, also die Zuordnung eines Dokuments zu einer Person, darf jedoch nicht auf dem Privatgerät gespeichert werden. Denn sie müsste zwangsläufig personenbezogene Daten enthalten und deren Verarbeitung ist ohne die Genehmigung ja gerade nicht zulässig.
Ohne die Genehmigung zur Nutzung des Privatgeräts für personenbezogene Schülerdaten ist die Zuordnungstabelle getrennt in analoger Form zu führen und vor unbefugtem Zugang geschützt aufzubewahren.

  • Welche Inhalte dürfen mit Eltern über E-Mail ausgetauscht werden?      

Datenschutzrechtlich relevant sind nur Inhalte, die personenbezogenen Daten der Schülerinnen und Schüler enthalten. Derartige dienstliche Kommunikation über E-Mail kommt daher aus datenschutzrechtlicher Sicht nur über dienstliche E-Mail-Adressen in Betracht, die von der Schulleitung bzw. dem Schulträger bereitgestellt wurden.  

Soweit Lehrkräfte über private E-Mail-Konten mit Schülerinnen und Schülern oder Eltern kommunizieren, ist dies ihre persönliche Entscheidung, die einvernehmlich mit Eltern bzw. Schülerinnen und Schülern zu erfolgen hat. Die Kommunikation fällt nicht in die datenschutzrechtliche Verantwortung der Schulleitung.     

Über LOGINEO NRW oder andere dienstlich zur Verfügung gestellte E-Mail-Konten können E-Mails mit personenbezogenen Daten auch von Privatgeräten versendet werden; in dem System wird eine dienstliche E-Mail-Adresse zur Verfügung gestellt.      

 

  • Wie gehe ich mit sensiblen Dokumenten um, die mir Eltern oder Schüler per E-Mail zukommen lassen?

Sollten Schülerinnen oder Schüler sowie Eltern sensible Dokumente per E-Mail versenden, so liegt dies in deren eigener Verantwortung. Lernende sollten im Rahmen der Medienkompetenzbildung über die Folgen informiert werden.    
Sollte eine Lehrkraft sensible Dokumente per E–Mail erhalten, so sind diese Dokumente umgehend in eine datenschutzrechtlich konforme Umgebung zu überführen.

 

  • Wie lange darf ich Fotos auf meinem Handy speichern?     

Fotos sind - wie alle anderen auf Basis einer Einwilligung durch die betroffenen Schülerinnen und Schüler bzw. deren Eltern erhobenen Daten mit Personenbezug - nach Wegfall des in der Einwilligungserklärung angegebenen Verarbeitungszweckes oder ggf. nach Maßgabe gesonderter Festlegungen in der Einwilligungserklärung zu löschen.

 

  • Dürfen Lehrkräfte ihr Handy für die telefonische Kommunikation mit Eltern nutzen? 

Telefongespräche mit einzelnen Eltern von einem mobilen Telefon aus zu führen ist unproblematisch. Telefonnummern oder Namenslisten von Schülerinnen und Schülern und Eltern mit Kontaktdaten auf einem mobilen Handy zu speichern, bedarf dagegen der Einwilligung der Betroffenen, oder, sofern die Speicherung erforderlich ist, der Genehmigung der Schulleitung zur Nutzung dieses Gerätes für personenbezogene Schüler-/Elterndaten.

 

  • Darf pädagogisches und sonstiges Personal (z.B. Ganztagspersonal, Integrationshelfer) Daten auf privaten Endgeräten verarbeiten?   

Nach § 2 Abs. 2 Satz 1 VO DV I ist nur zugelassen, dass Lehrkräften eine Genehmigung erteilt werden kann, personenbezogene Schülerdaten auf ihren privaten ADV-Anlagen zu verarbeiten. Nach der Definition im Schulgesetz fällt das pädagogische und sozialpädagogische Personal nach § 58 SchulG nicht unter den Begriff der Lehrkräfte. Eine solche Genehmigung kann diesem Personenkreis nach geltender Rechtslage somit nicht erteilt werden.

Auch für sonstiges Hilfspersonal (z. B. Integrationshelfer, externes Personal für die Ganztagbetreuung) fehlt eine gesetzliche Grundlage zur Verarbeitung der Schülerdaten auf Privatgeräten. Dazu wäre eine Einwilligung im Einzelfall im Rahmen des jeweiligen Vertragsverhältnisses erforderlich.

 

Umsetzung der in der Genehmigung festgelegten Maßnahmen

  • Woher erhalten Lehrkräfte und Schulleitungen Anleitungen und Unterstützung zur Umsetzung der geforderten Maßnahmen?

 

Bei allgemeinem Beratungsbedarf kann die Schule auf die Unterstützungsangebote der behördlichen Datenschutzbeauftragten für die Schulen, der Medienberaterinnen und Medienberater oder der Medienberatung NRW zurückgreifen.    

  • Welche Fachkenntnisse werden von Lehrkräften zur Umsetzung der Maßnahmen gefordert?      

Die geforderten Maßnahmen übersteigen nicht die Anforderungen an die erforderlichen Kenntnisse, die auch bei einer rein privaten Nutzung von Informationstechnologie zu beachten sind. Wird in der Schule diesbezüglich ein Qualifizierungsbedarf festgestellt, sollte dieser durch entsprechende Informationsveranstaltungen und Fortbildungsmaßnahmen gedeckt werden.     

 

  • Wie wird sichergestellt, dass die Maßnahmen von den Lehrkräften umgesetzt werden?

 

Die Umsetzung liegt in der Eigenverantwortung der Lehrkraft. Es ist praktisch nicht möglich, dass eine Schulleitung die Einhaltung dienstlicher Pflichten jeder einzelnen Lehrkraft ständig kontrolliert, sei es an dienstlich zur Verfügung gestellten oder sei es an privaten Endgeräten. Ebenso ist es auch nicht gewährleistet, dass die vom Schulträger zur Verfügung gestellte Hard- und Software von der Schulleitung ständig auf die Einhaltung der Informationssicherheits- und Datenschutzvorgaben überprüft wird. Vorhandener Qualifizierungsbedarf sollte in der Schule festgestellt und durch entsprechende Informationsveranstaltungen und Fortbildungsmaßnahmen gedeckt werden. Zusätzlich kann die Schule bei allgemeinem Beratungsbedarf auf die Unterstützungsangebote der behördlichen Datenschutzbeauftragten für die Schulen, der Medienberaterinnen und Medienberater und der Medienberatung NRW zurückgreifen.

 

  • Wer darf die privaten Geräte auf Umsetzung der geforderten Maßnahmen prüfen?

 

Die geregelten Bedingungen in der Genehmigung beinhalten selbstverständlich nicht die Berechtigung, private Endgeräte von Lehrkräften persönlich zu überprüfen.

 

  • Wie wird im Schadensfall nachgewiesen, dass die geforderten Maßnahmen umgesetzt wurden?

 

Die Art und Weise des Nachweises hängt vom Einzelfall ab und kann daher nicht pauschal beantwortet werden. Grundsätzlich kann nur die Lehrkraft selber den Nachweis erbringen, ob und welche Maßnahmen sie umgesetzt hat.

 

Fragen zu konkreten IT-Anwendungen

  • Welche Anwendungen sind erlaubt?      

Zulässig sind Anwendungen, bei denen sichergestellt werden kann, dass Daten mit Personenbezug aus der Schule nach den Vorgaben der DSGVO verarbeitet werden können. Es muss u.a. sichergestellt sein, dass die Daten nur von berechtigten Personen und bei cloudbasierten Systemen auf Basis gültiger Vereinbarungen zur Auftragsverarbeitung verarbeitet und nicht an unberechtigte Dritte weitergegeben werden.

 

  • Dürfen Webanwendungen wie SchiLD Web oder LOGINEO NRW auch ohne Genehmigung auf privaten Endgeräten genutzt werden?


Eine Genehmigung ist für die Nutzung eines privaten Endgerätes einzuholen, sobald Daten mit Personenbezug auf diesem verarbeitet werden sollen (vgl. § 2 Abs. 2 Satz 1 VO DV I bzw. § 2 Abs. 4 VO DV II). Dieses gilt auch, wenn z. B. nur Webanwendungen mit personenbezogenen Daten aufgerufen werden.

    

  • Darf ich auf privaten Endgeräten Programme wie 'Whatsapp', IMessage' oder 'Telegram' benutzen, wenn ich auf dem gleichen Gerät meine dienstlichen Daten verarbeite?

 

Die privaten Endgeräte bzw. die darauf installierten Apps sind so zu konfigurieren, dass keine Daten mit Personenbezug aus der Schule an Dritte weitergegeben werden. Im Zweifelsfall ist von der Installation der App oder der Nutzung des privaten Endgerätes für dienstliche Zwecke abzusehen.

Ausstattung durch den Dienstherrn

  • Werden Lehrkräften digitale Endgeräte zur dienstlichen Nutzung bereitgestellt? Werden Schulen mit ausreichenden Endgeräten ausgestattet, die den Anforderungen genügen?

Das MSB wird zeitnah die Fragen der Bereitstellung und des Supports von digitalen Endgeräten für Lehrkräfte sowie der Ausstattung von Schulen mit Endgeräten zur spezifischen Speicherung und Verarbeitung von sensiblen Schülerdaten klären. Hierzu sind noch Abstimmungen – auch zur Frage der Finanzierung – innerhalb der Landesregierung und mit den kommunalen Schulträgern nötig. Der rechtliche und politische Klärungsprozess wird intensiv vorangetrieben, dauert aber naturgemäß noch an.

Ziel des MSB ist es, in den Schulen gemeinsam mit den Schulträgern moderne Arbeitsbedingungen für Schulleitungen und Lehrkräfte zu schaffen, wozu auch eine entsprechende IT-Ausstattung gehört (vgl. auch Schulmail vom 09.07.2018).

  • Wenn Lehrkräfte private Endgeräte benutzen, wer trägt dann die Kosten der geforderten Sicherheitsvorkehrungen für das eigene Gerät?   


Die Genehmigung bezieht sich auf die Nutzung privater Endgeräte. Die Finanzierung der Geräte selbst, wie auch die Umsetzung der für die Erteilung der Genehmigung erforderlichen Maßnahmen z. B. durch den Erwerb von Virenschutz-Software, trägt die einzelne Lehrkraft. Die entstandenen Kosten können ggf. steuerlich geltend gemacht werden.     

Zum Seitenanfang

Bildungsthemen im Zuständigkeitsbereich anderer Landesministerien

Ministerium für Schule und Bildung des Landes Nordrhein-Westfalen
Völklinger Straße 49, 40221 Düsseldorf