Datenschutz-Checkliste für Apps auf privat finanzierten Endgeräten
WICHTIGER HINWEIS: DIE FOLGENDE CHECKLISTE WURDE ERSTELLT, UM EIN MÖGLICHST EINFACHES VERFAHREN ZUR DATENSCHUTZRECHTLICHEN PRÜFUNG VON APPS AUF PRIVAT FINANZIERTEN MOBILEN ENDGERÄTEN IN DER SCHULE ZU ETABLIEREN. BEI DER CHECKLISTE HANDELT ES SICH JEDOCH UM KEIN JURISTISCH GEPRÜFTES DOKUMENT. DIE AUTOREN DES KURSES KÖNNEN DESHALB WEDER FÜR DAS DOKUMENT NOCH FÜR DAS PRÜFUNGSVERFAHREN HAFTUNG ÜBERNEHMEN.
Diese Checkliste soll den Schulen als Unterstützung dienen, um die datenschutzrechtlichen Risiken beim Einsatz von Apps im Unterricht besser ab- und einschätzen zu können.
Gemäß § 31 Abs. 5 NSchG gilt: „Internetbasierte Lern- und Unterrichtsplattformen dürfen nur eingesetzt werden, soweit diese den Anforderungen der Datenschutz-Grundverordnung und der zu ihrer Durchführung erlassenen Rechtsvorschriften entsprechen und die Schulleitung dem Einsatz zugestimmt hat.“
Mit der Neufassung des § 31 NSchG (s. o.) wurde die Rolle der Schulleitung in diesem Zusammenhang klar geregelt. Grundsätzlich ist die Schulleitung im Sinne der DSGVO verantwortlich und ist im Rahmen ihrer Gesamtverantwortlichkeit zu beteiligen.
„Satz 1 dient der Klarstellung, dass der Einsatz von Cloudlösungen für den Schuleinsatz zulässig ist. Die Voraussetzung, dass die Cloud der Datenschutz-Grundverordnung zu entsprechen hat, versteht sich von selbst und hat hier einen hinweisenden Charakter. Diese Signalwirkung wird jedoch für erforderlich erachtet, um den Einsatz allgegenwärtiger, aber möglicherweise nicht datenschutzkonformer Dienste einzudämmen. Vergleichbare Regelungen sind auch in anderen Bundesländern getroffen worden. Lehrkräfte dürfen internetbasierte Lern- und Unterrichtsplattformen erst dann einsetzen, wenn die Schulleitung dem zugestimmt hat. So soll sichergestellt werden, dass die Schulleitung ihre Aufgabe als Verantwortliche effektiv wahrnehmen kann. Es wird aber keine Zuständigkeit der Schulleitung begründet, über den Einsatz von Lehr- und Lernmitteln zu entscheiden. Das obliegt nach § 35 Abs. 1 NSchG den zuständigen Fachkonferenzen.“[1]
Sicherlich lassen sich die hier explizit für cloudbasierte Dienste/ Apps formulierten Grundsätze auch auf rein lokal arbeitende Apps übertragen. Im Alltag ist für den Nutzer/ die Nutzerin häufig überhaupt nicht erkennbar, ob eine App im Betrieb auf Online-Komponenten zurückgreift. Das muss geprüft und als Ergebnis für eine Freigabe berücksichtigt werden.
Der/ Die Datenschutzbeauftragte der Schule berät die Schulleitung hierbei und achtet auf die Einhaltung der datenschutzrechtlichen Vorgaben.
Für die Praxis empfiehlt es sich, dass die Schulleitung eine Liste der freigegebenen Apps/ Online-Angebote erstellt und dem Kollegium bekannt gibt. Wenn Fachgruppen weitere Apps/ Online-Angebote nutzen möchten, bitten sie die Schulleitung um Prüfung und ggf. Freigabe durch Aufnahme in die Liste der freigegebenen Apps/ Online-Dienste.
[1] Aus der Gesetzesbegründung für § 31 NSchG, S. 28; www.landtag-niedersachsen.de/Drucksachen/Drucksachen_18_05000/04001-04500/18-04471.pdf