Schlagwort: Hessischer Datenschutzbeauftragter
9. Dezember 2021
Seit den Änderungen des Infektionsschutzgesetzes (IfSG), die seit dem 24. November deutschlandweit gelten, dürfen Arbeitgeberinnen und Arbeitgeber den Impfstatus ihrer Beschäftigten abfragen und sind zur Kontrolle und Dokumentation des jeweiligen “G-Status” ihrer Mitarbeitenden verpflichtet. Mit der Aktualisierung des IfSG hat der Gesetzgeber die von Arbeitgeberinnen und Arbeitgebern lang ersehnte Rechtsgrundlage für eine solche Abfrage und Dokumentation geschaffen.
Eine bundesweit einheitliche Rechtsgrundlage für die Abfrage und Dokumentation des Impfstatus von Schülerinnen und Schülern fehlt jedoch auch nach den Neuerungen des IfSG. Zwar dürfen Schulen den Impf-, Genesenen- oder Teststatus ihrer Lehrkräfte und Beschäftigten abfragen und dokumentieren. Den “G-Status” von Schülerinnen und Schülern dürfen Schulen hingegen nur dann erheben, wenn die jeweiligen landesrechtlichen Regelungen eine entsprechende Rechtsgrundlage dafür vorsehen. Dies ist in einigen Bundesländern bereits der Fall und die Landesverordnungen sehen solche Regelungen grundsätzlich vor, so z.B. in NRW. In Hessen hingegen fehlt eine solche Rechtsgrundlage.
Die hessischen Corona-Schutzverordnung, die zwar explizit die Abfrage dieser Gesundheitsdaten vorsieht, enthält keine Rechtsgrundlage für die Dokumentation, d.h. Speicherung dieser Daten in einer Liste oder digitalen Datei. Die damit einhergehenden Probleme hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) in einer Stellungnahme vom 30.11.2021 verdeutlicht. Diese ergeben sich, so der Hessische Datenschutzbeauftragte insbesondere daraus, dass an den Schulen nach der Landesverordnung einerseits eine Testpflicht bestehe, um am Unterricht teilnehmen zu können, andererseits viele Schülerinnen und Schüler aber bereits über einen Impfnachweis verfügten, seitdem die STIKO im Sommer ihre Impfempfehlung für Kinder und Jugendliche ab 12 Jahren ausgesprochen hat. In diesen Fällen bestehe nach der derzeitigen Regelung in Hessen nicht die Möglichkeit, einen von den Schülerinnen und Schülern freiwillig vorgezeigten Impfausweis zu dokumentieren. Damit müssten die Schulen, sollte ein Impfausweis beispielsweise vergessen werden, auch trotz Impfung einen Test bei den betroffenen Schülern durchführen. Eine Möglichkeit für Schulen, die erneute Vorlage des Impfausweises zu vermeiden, besteht nach derzeitigen Regelungen in Hessen somit nicht.
Der HBDI ist bereits an das Hessische Kultusministerium herangetreten und hat empfohlen, eine entsprechende Lösung für dieses Problem zu finden. Es bleibt daher abzuwarten, wann diese umgesetzt wird und ob auch hier eine bundeseinheitliche Regelung getroffen wird.
7. April 2021
Der Hessische Beauftragte für Datenschutz und Informationsfreiheiten Alexander Roßnagel kündigte das Ende der Duldung für den Einsatz von Microsoft Teams an Schulen an. Das Kultusministerium sucht nun Ersatz.
Bisher wurde an hessischen Schulen Microsoft Teams für den Distanz-Unterricht genutzt. Dies duldete der hessische Datenschutzbeauftragte. Nun wird die Frist am 31. Juli 2021 enden.
In einer Stellungnahme hieß es dabei, dass die Duldung der Videokonferenzsysteme von US-Anbietern – im speziellen Microsoft Teams – ausläuft. Dies sei vorher nur verlängert worden, weil kein Ersatz da war. „Der Grund für den verlängerten Zeitraum bis Ende Juli dieses Jahres lag in dem gescheiteren Bemühen des Hessischen Kultusministeriums (HKM), den hessischen Schulen bis zum Beginn des aktuellen Schuljahres ein landeseinheitliches, datenschutzkonformes Videokonferenzsystem zur Verfügung zu stellen.” Zudem hatten die „Komplexität des Ausschreibungsverfahrens sowie die Klärung grundsätzlicher Fragestellungen zum Datenschutz” dazu geführt. Eine weitere Verlängerung dieser Duldung sei „ausgeschlossen“.
Wie der Datenschutzbeauftragte mitteilt, sei vielmehr davon auszugehen, „dass bis zum Beginn des neuen Schuljahres eine Anwendung zur Verfügung steht, die sowohl den technischen als auch datenschutzrechtlichen Anforderungen entspricht.“ Hierzu wird ein europaweites Ausschreibungsverfahren durchgeführt. Der fortlaufende Einsatz von Microsoft Teams ist dann also nicht mehr „erforderlich noch datenschutzrechtlich zulässig”. Auch weitere Bundesländer prüfen derzeit Alternativen zu US-amerikanischen Softwareprodukten.
8. August 2019
Anfang Juli 2019 hatte die hessische Datenschutzbehörde Schulen die Nutzung von Microsoft Office 365 untersagt. In seiner Stellungnahme erklärte der Hessische Beauftragte für Datenschutz und Informationsfreiheit, dass es unzulässig sei, das Programm an hessischen Schulen einzusetzen, sofern dort personenbezogene Daten in der europäischen Cloud gespeichert werden.
Am 2. August 2019 folgte eine zweite Stellungnahme zum Einsatz von
Microsoft Office 365 in hessischen Schulen. Der Landesdatenschutzbeauftragte
erklärte darin: „Seither fanden intensive Gespräche mit Microsoft über die
Datenschutzkonformität der schulischen Anwendung von Office 365 statt, die zu
einer datenschutzrechtlich veränderten Einschätzung führten und die einen
erheblichen Anteil der Bedenken entkräfteten.“ Im Rahmen dieser Einschätzung erweist sich diese
Überprüfung als außerordentlich komplex und aufwendig, da eine Vielzahl rechtlicher und technischer
Fragen zu klären war.
In seiner zweiten offiziellen Stellungnahme hat der Hessische Beauftragte
für Datenschutz und Informationsfreiheit sich nach intensiven Gesprächen mit
Microsoft dazu entschlossen, den Einsatz von Office 365 in hessischen Schulen
unter bestimmten Voraussetzungen und dem Vorbehalt weiterer Prüfungen zum
gegenwärtigen Zeitpunkt zu dulden. Die Einschätzung betrifft die Version ab
1904 (für die Produkte Office 365 ProPlus, Office 365 Online und
Office 365 Apps) und der Landesdatenschutzbeauftragte betont, dass Schulen
Office 365 einsetzen dürfen, wenn sie die Übermittlung jedweder Art von
Diagnosedaten unterbinden.
Zu gegebener Zeit wird der Landesdatenschutzbeauftragte weitere
Vorgaben hinsichtlich der Parameter machen, die als Grundlage für die Nutzung
der Cloud umzusetzen sind. Dazu wird
auch Microsoft Schulen Handlungsanleitungen zur Verfügung stellen.
Allerdings können sich die Schulen, die den Erwerb beabsichtigen,
ebenfalls auf die Duldung berufen, aber tragen das finanzielle Risiko, falls
die weitere Überprüfung zur Unzulässigkeit des Einsatzes von Office 365 in
hessischen Schulen führen sollte.
17. Juli 2019
Die digitalen Anwendungen im Schulalltag verändert das Lernen wie kaum
zuvor. Jedoch scheint Hessen auf ein Problem mit Cloudanwendung von Office 365
gestoßen zu sein, so dass die Nutzung von Office 365 an hessischen Schulen derzeit
verboten werden soll. Was für Microsoft Office 365 gilt, ist auch
für andere Cloud-Lösungen etwa von Google oder Apple zutreffend.
Michael Ronellenfitsch, der Hessische Beauftragte für Datenschutz und
Informationsfreiheit, betonte, dass Dritte Zugriff auf die Microsoft Cloud
erlangen könnten, weswegen Schulen die Cloudanwendung von Office 365 nicht mehr
nutzen sollen. Laut Ronellenfitsch liegt das Problem, dass personenbezogene
Schülerdaten aus Deutschland in die USA übermittelt werden. In seiner
Stellungnahme erklärte der
Landesdatenschutzbeauftragte, dass der entscheidende Aspekt ist, „ob
die Schule als öffentliche Einrichtung personenbezogene Daten von Kindern in
einer europäischen Cloud speichern kann, die z.B. einem möglichen Zugriff
US-amerikanischer Behörden ausgesetzt ist.“ Ferner begründet er
seine Auffassung, dass Office 365 nicht
für Schulen geeignet ist, mit der besonderen Verantwortung der
öffentlichen Einrichtungen in Deutschland beim Datenschutz hinsichtlich der
Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten. Zudem
mahnt Ronellenfitsch, dass “die
digitale Souveränität staatlicher Datenverarbeitung gewährleistet sein”
müsse. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auch
darauf hingewiesen, dass über Windows 10 und Microsoft Office 365 “eine Fülle von Telemetrie-Daten an Microsoft
übermittelt” würden, deren Inhalte trotz wiederholter Anfragen noch
nicht hinreichend geklärt seien.
Der Landesdatenschutzbeauftragte argumentiert, dass man auch mit
der Einwilligung der Betroffenen das Problem nicht lösen könnte, da die Sicherheit
und Nachvollziehbarkeit der Datenverarbeitungsprozesse nicht gewährleistet
sind. Der Versuch einer Heilung durch eine Einwilligung der Eltern bietet auch keine Lösung, weil es nicht nachvollziehbar ist, welche Daten
tatsächlich übermittelt werden.
Diese Regelungen gelten zurzeit nur
in Hessen. Es bleibt abzuwarten, wie die anderen Bundesländer hiermit umgehen
werden.