VIDIS (Datenschutz-) Rechtsmodell
Bei der Nutzung von digitalen Bildungsangeboten im schulischen Kontext fallen schnell personenbezogene Daten von Schülerinnen und Schülern an. Da diese in den meisten Fällen minderjährig sind, sind deren personenbezogene Daten besonders schützenswert. Aus diesem Grund sind vergleichsweise umfangreiche vertragliche Regelungen mit digitalen Bildungsangeboten einschließlich ihrer Überprüfung erforderlich. Aber auch, weil in der Konzeptionsphase des Projekts bei der Evaluierung von verschiedenen Lösungsansätzen schnell klar wurde, dass keine reinen Techniklösungen das Anfallen von personenbezogenen Daten bei Anbietern vollständig verhindern können. Zusätzlich verursachen diese Techniklösungen in der Regel großen Aufwand bei gleichzeitigen Sicherheits- und Funktionseinschränkungen.
Bevor jedoch vertragliche Regelungen entstehen, muss innerhalb eines (Datenschutz-) Rechtsmodells beschrieben werden, welche Akteure bei der Beauftragung von Diensten und der Verarbeitung von personenbezogenen Daten auftreten und wie sich dadurch Vertragsbeziehungen ableiten lassen.
Vereinfachtes Modell bei der Beauftragung von Diensten
In einem vereinfachten Modell lässt sich schnell erkennen, dass Schulen bzw. Schulleitungen Lernmittelbezugsverträge samt zugehörigen Auftragsverarbeitungsverträgen mit den Anbietern digitaler Bildungsangebote abschließen. Schaut man sich nun an, welche weiteren Akteure bei einer Nutzung von VIDIS als Vermittlungsdienst in der Pilotphase auftreten, wird schnell klar, dass wir es hier mit einem komplexeren Vertragsmodell zu tun haben.
Vertragsmodell für die Nutzung von VIDIS in der Pilotphase
In der Pilotphase können Schülerinnen und Schüler und Lehrkräfte von Pilotschulen sicher und einfach auf digitale Bildungsangebote zugreifen, indem sie sich über VIDIS einloggen. Neben den Schulleitungen (Schulen) und den Anbietern digitaler Bildungsangebote gibt es jedoch noch die Identitätsanbieter (Landesportale wie bspw. BayernCloud Schule oder Logineo NRW) und neu hinzu kommt natürlich VIDIS als Identitätsvermittler.
Um zu gewährleisten, dass technische und rechtliche Teilnahmekriterien erfüllt werden, schließen im VIDIS Rechtsmodell Identitätsanbieter (das Land oder dessen technische Betreiber einer Landesportals) einen Pilotvertrag mit dem Identitätsvermittler VIDIS/ dem FWU ab. Ebenso schließen Anbieter einen Pilotvertrag mit dem FWU/VIDIS ab. Dieser enthält die technischen und rechtlichen Kriterien für die Teilnahme an VIDIS, woraus sich wiederum die Kriterien für eine Prüfung des Angebots ableiten lassen.
Beauftragung von Diensten mit VIDIS
Die Verarbeitung personenbezogener Daten wird durch einen Auftragsverarbeitungsvertrag (AVV) zwischen der Schule (gezeichnet durch die Schulleitung) und dem Anbieter digitaler Bildungsangebote geregelt. Ebenso schließt der Anbieter einen Lehrmittelbezugsvertrag mit Schulen ab, oder es müssen Nutzungsbedingungen/AGBs auf der Webseite des Anbieters abrufbar sein (wenn das Angebot kostenfrei genutzt werden kann).
Hypothesen zur Vertragsmodellierung
Folgende Hypothesen zur Vertragsmodellierung wurden Landesdatenschützer:innen, behördlichen Datenschützer:innen und den Kultusministerien in trilateralen oder bilateralen Gesprächen vorgestellt und diskutiert.
1. Landes-IdPs (Identitätsanbieter) können mit VIDIS/FWU Auftragsverarbeitungsverträge (AVV) abschließen. Identitätsanbieter können durch einen AV-Vertrag die Datenverarbeitung, welche im Rahmen der einzelnen Authentifizierungen durchgeführt wird, an VIDIS bzw. das FWU beauftragen.
In diesen Verträgen kann die Verarbeitung von Daten, die im Rahmen der einzelnen Authentifizierungen durchgeführt wird, durch Landes-IdP (Identitätsanbieter) mithilfe einer AVV an VIDIS/ das FWU beauftragt werden.
2. Anstelle der Identitätsanbieter kann eine Beauftragung auch direkt durch die Schule stattfinden (ggf. in Vertretung für die Schulträger).
3. Schulen können Auftragsverarbeitungsverträge (AVV) für digitale Bildungsangebote abschließen.