Häufig gestellte Fragen (FAQ)

Das Forschungsprojekt directions (Data Protection Certification for Educational Information Systems) entwickelt eine Datenschutzzertifizierung für digitale Tools im Bildungswesen (schulische Informationssysteme). Das sind zum Beispiel Lernplattformen, Videokonferenz-Tools, digitale Klassenbücher und ähnliche Anwendungen, die im Schulalltag zum Einsatz kommen.

Das Ziel: Anbieter solcher Systeme sollen nachweisen können, dass sie die Anforderungen der Datenschutz-Grundverordnung (DSGVO) einhalten. Schulen, Schulträger und Lehrkräfte erhalten dadurch eine verlässliche Orientierung bei der Auswahl digitaler Tools – ohne dass dafür tiefes juristisches Fachwissen nötig ist.

Das Forschungsprojekt directions wird von einem Konsortium aus vier Partnern durchgeführt: Dem Karlsruher Institut für Technologie (KIT), der Universität Kassel, datenschutz cert und Trusted Cloud. Das Projekt wird vom Bundesministerium für Bildung, Familie, Senioren, Frauen und Jugend mit über 6 Millionen Euro gefördert (FKZ 01PP21003) und läuft von 2021 bis 2027.

Unterstützt wird directions von über 40 assoziierten Partnern aus dem Bildungsbereich sowie einem Expert:innenbeirat mit Vertreter:innen von Bildungsverbänden, Gewerkschaften, Bildungswirtschaft, Datenschutzexpert:innen, Datenschutz-Aufsichtsbehörden, Ministerien und der Deutschen Akkreditierungsstelle (DAkkS).

Digitale Lernplattformen, Lernanwendungen und Content-Plattformen verarbeiten täglich personenbezogene Daten von Schülerinnen und Schülern. Datenschutzkonformität ist dabei schwer zu überprüfen und nachzuweisen.

Gleichzeitig fehlt es Anbietern bislang an einem anerkannten Instrument, mit dem sie ihre DSGVO-Konformität nachweisen können. Für alle Beteiligten bedeutet das: Unsicherheit bei der Auswahl digitaler Tools und ein erheblicher Aufwand bei der eigenständigen Prüfung von Datenschutzfragen. Das Forschungsprojekt directions schafft hier Abhilfe.

Im Mittelpunkt steht der Schutz der personenbezogenen Daten von Schülerinnen und Schülern. Soweit sie minderjährig sind, genießen sie in der DSGVO einen besonderen Schutz. Hinzu kommt, dass sie sich der Datenverarbeitung im schulischen Kontext aufgrund der Schulpflicht nicht entziehen können.

Darüber hinaus können auch personenbezogene Daten von Lehrkräften, weiterem pädagogischem Personal und Erziehungsberechtigten verarbeitet werden. Auch deren Schutz wird im Rahmen der Zertifizierung berücksichtigt.

Der directions-Kriterienkatalog bildet datenschutzrechtliche Anforderungen als handhabbare und überprüfbare Kriterien. Dabei bildet er drei rechtliche Ebenen ab:

Europäische Ebene: DSGVO
Die DSGVO bildet die zentrale Grundlage. Sie enthält einheitliche Vorgaben zur Verarbeitung personenbezogener Daten und lässt den Mitgliedstaaten in bestimmten Bereichen Spielräume durch sogenannte Öffnungsklauseln.

Bundesebene: BDSG
Das Bundesdatenschutzgesetz konkretisiert diese Spielräume etwa mit Vorgaben zur Benennung von Datenschutzbeauftragten.

Landesebene: Landesdatenschutz- und Landesschulgesetze
Die Bundesländer haben im Schulbereich eigene gesetzliche Regelungen erlassen, beispielsweise besondere Anforderungen an den Einsatz von Videokonferenzsystemen.

Zertifiziert werden die Datenverarbeitungsvorgänge innerhalb schulischer Informationssysteme und nicht die Produkte selbst. Das ergibt sich aus den Vorgaben der DSGVO (Art. 42), die darauf abzielt, die Einhaltung der DSGVO bei Verarbeitungsvorgängen nachzuweisen.

In der Praxis bedeutet das: Anbieter können die Datenverarbeitung in ihren bereitgestellten Diensten zertifizieren lassen. Auch im Einsatz befindliche Open-Source-Software kann zertifiziert werden, sofern konkrete Datenverarbeitungsvorgänge stattfinden. Reiner Software-Code ohne laufende Datenverarbeitung kann hingegen nicht zertifiziert werden.

Die Zertifizierung richtet sich an Anbieter schulischer Informationssysteme, also an Unternehmen, die Lernplattformen, Lernanwendungen oder Content-Plattformen für den schulischen Einsatz bereitstellen. Das gilt sowohl für den Vormittagsmarkt (direkte Anbindung an die Schule) als auch für den Nachmittagsmarkt (Angebote ohne direkte Schuleinbindung). Anbieter werden dabei sowohl in ihrer Rolle als datenschutzrechtlich Verantwortliche als auch als Auftragsverarbeiter adressiert.

Das Forschungsprojekt directions verfolgt einen zweistufigen Ansatz:

  1. directions-Selbstverpflichtungserklärung (SVE): Die SVE ist ein freiwilliges Instrument, das Anbietern bereits heute zur Verfügung steht. Anbieter erklären auf Basis des directions-Kriterienkatalogs verbindlich, dass sie die Anforderungen der DSGVO einhalten und verantwortungsvoll mit den Daten von Schülerinnen und Schülern umgehen. Die SVE basiert auf einem Self-Assessment und wird im öffentlichen Trusted-Cloud-Register gelistet. Sie ist kostenlos und sofort verfügbar. Wichtig: Die SVE ist kein abschließender Datenschutznachweis, aber ein wichtiger erster Schritt, der Transparenz schafft und auf die spätere Zertifizierung vorbereitet.
  2. eduSeal-Zertifizierung: eduSeal ist die Datenschutzzertifizierung nach Art. 42 DSGVO für schulische Informationssysteme. Hier prüft eine unabhängige, akkreditierte Zertifizierungsstelle, ob ein System die Anforderungen des Kriterienkatalogs erfüllt. Das Ergebnis ist ein rechtssicherer Nachweis der DSGVO-Konformität. Nach der Zertifizierung finden regelmäßige Zwischenüberprüfungen statt. Das Zertifikat ist ab Erteilung drei Jahre gültig. Die Zertifizierung durchläuft aktuell den Genehmigungsprozess und ist voraussichtlich ab 2027 verfügbar.

Der Prozess umfasst vier Schritte: Zunächst machen sich Anbieter mit dem directions-Kriterienkatalog und dem zugehörigen Regelwerk vertraut. Dann führen sie auf Basis des Katalogs eine Selbstbewertung ihrer Datenschutzmaßnahmen durch und erstellen einen Bewertungsbericht. Anschließend wird die ausgefüllte Selbstverpflichtungserklärung zusammen mit dem Bewertungsbericht an Trusted Cloud übermittelt. Nach gegenseitiger Unterzeichnung der Nutzungsvereinbarung wird das Informationssystem in das öffentliche Trusted-Cloud-Register aufgenommen.

Das eduSeal-Zertifizierungsverfahren gliedert sich in sechs Phasen: Der Anbieter stellt einen Antrag bei einer von der DAkkS akkreditierten Zertifizierungsstelle. Darauf folgt die Evaluierung, bei der das System anhand des Kriterienkatalogs geprüft wird. In der Bewertungsphase beurteilen die Entscheider der Zertifizierungsstelle, ob alle Kriterien erfüllt sind. Bei positiver Entscheidung erhält der Anbieter das eduSeal-Zertifikat. Danach finden regelmäßige Zwischenüberprüfungen statt, um die fortlaufende Einhaltung der Anforderungen sicherzustellen.

Anbieter, die die directions-Selbstverpflichtungserklärung abgegeben haben, sind im öffentlichen Trusted-Cloud-Register gelistet. In Zukunft tragen zertifizierte Systeme zusätzlich das eduSeal-Siegel und werden im Zertifizierungsregister der ausstellenden Zertifizierungsstelle geführt. Das Siegel macht auf einen

Für die Zertifizierung steht eine Reihe von Dokumenten zur Verfügung. Kern ist der Kriterienkatalog. Er legt verbindlich fest, welche Anforderungen ein schulisches Informationssystem erfüllen muss, um zertifiziert zu werden. Er liegt in zwei Versionen vor: eine für System-Anbieter in der Rolle des Auftragsverarbeiters und eine für System-Anbieter in der Rolle des Verantwortlichen.

Ergänzend dazu stehen folgende Begleitdokumente zur Verfügung, die den Zertifizierungsprozess unterstützen:

  • Erläuterungen und Umsetzungshinweise: Erklären die einzelnen Kriterien des Katalogs und geben konkrete Hinweise zu ihrer Umsetzung, etwa durch Verweise auf den BSI-Grundschutz und das Standard-Datenschutzmodell.
  • Risikobewertungskonzept: Unterstützt Anbieter bei der systematischen Bewertung datenschutzrelevanter Risiken im Rahmen der Zertifizierungsvorbereitung.
  • Zertifizierungsgegenstand: Beschreibt, was genau Gegenstand der Zertifizierung ist und wie dieser durch den Anbieter abgegrenzt und dokumentiert werden muss.
  • Erläuterungen zum Zertifizierungsverfahren für System-Anbieter: Erklären Schritt für Schritt, wie der Zertifizierungsprozess abläuft und welche Vorbereitungen Anbieter treffen müssen.

Alle Dokumente stehen kostenlos zum Download bereit.

directions, eduCheck digital und VIDIS verfolgen komplementäre Ziele im Rahmen des DigitalPakt Schule. Alle drei Vorhaben verbessern die Bildungsmedieninfrastruktur und bieten Schulen und Schulträgern Orientierung, allerdings mit jeweils unterschiedlichem Schwerpunkt:

eduCheck digital bewertet und sichert die Qualität digitaler Bildungsmedien hinsichtlich Technik, Recht, Benutzerfreundlichkeit und Barrierefreiheit. Das Ergebnis ist ein Gütesiegel für Bildungsmedien.

VIDIS ist ein Single-Sign-On-Dienst für Bildungsangebote. Er vermittelt zwischen Identitätsanbietern und Bildungsangeboten, stellt eine einheitliche Schnittstelle zur Übermittlung von Daten bereit und ermöglicht den sicheren Zugang zu Diensteanbietern.

directions entwickelt eine Datenschutzzertifizierung speziell für schulische Informationssysteme. Im Mittelpunkt steht die Zertifizierung der Datenverarbeitung durch eine externe Stelle als rechtssicherer Nachweis der Einhaltung der DSGVO.

Zur Vermeidung doppelter Prüfungen planen directions und eduCheck digital eine gegenseitige Teilanerkennung von Prüfergebnissen. Alle drei Projekte tauschen sich regelmäßig aus.

Die Entwicklung einer Datenschutzzertifizierung nach Art. 42 DSGVO ist ein aufwendiger Prozess. In der Phase der Planung und Entwicklung wurden alle relevanten rechtlichen Anforderungen erarbeitet. Hinzu kamen die Vorgaben der Datenschutzkonferenz (DSK) und des Europäischen Datenschutzausschusses (EDSA) sowie gängige Standards wie ISO-Normen.

Das Projekt umfasst zudem umfangreiche Erprobungsphasen mit Praxispartnern und eine Prüfung durch die Aufsichtsbehörden und die Deutsche Akkreditierungsstelle (DAkkS). Erst nach all diesen Schritten können die offiziellen Schritte zur Akkreditierung eingeleitet werden. Die directions-Selbstverpflichtungserklärung steht als Übergangsinstrument bereits jetzt zur Verfügung. Die ersten rechtssicheren eduSeal-Zertifizierungen werden voraussichtlich ab 2027 möglich sein.

Das Thema Zugänglichkeit und faire Bedingungen für kleinere Anbieter ist im Projekt von Anfang an mitgedacht worden. Ziel ist es, dass die Zertifizierung für Anbieter unterschiedlicher Größe zugänglich bleibt und keine unangemessenen Wettbewerbsverzerrungen entstehen. Gleichzeitig müssen unabhängig von der Größe eines Unternehmens die hohen Anforderungen der DSGVO an den Datenschutz eingehalten werden. Die directions-Selbstverpflichtungserklärung bietet als kostenloser erster Schritt eine niedrigschwellige Möglichkeit, sich bereits heute zu positionieren.

Auch Open-Source-Lösungen können im Rahmen von directions zertifiziert werden. Voraussetzung ist, dass die Lösungen tatsächlich betrieben werden und konkrete Datenverarbeitungsvorgänge stattfinden. Denn nicht der Software-Code selbst wird zertifiziert, sondern die Datenverarbeitung im laufenden Betrieb. So können beispielsweise Schulträger, die eine Open-Source-Lernplattform selbst betreiben, deren Datenverarbeitung zertifizieren lassen.