Softwarenutzung - Anwendungen für den Unterricht

Computerprogramme sind urheberrechtlich geschützt, § 69a UrhG, soweit sie das Ergebnis einer persönlichen geistigen Schöpfung sind. Nach § 69c UrhG ist die Weitergabe an Dritte und die öffentliche Wiedergabe ausschließlich den Rechteinhabenden vorbehalten und nur mit deren Erlaubnis möglich. Möchte eine Schule Software anschaffen, muss sie daher Urheberrechte beachten. Da die Installation von Computerprogrammen eine urheberrechtlich relevante Vervielfältigung darstellt (§ 69c Nr. 1 UrhG), benötigt jeder schuleigene PC eine eigene Lizenz.

Allerdings unterliegt § 69c UrhG dem sogenannten „Erschöpfungsgrundsatz“. Danach darf eine käuflich erworbene Software unabhängig von den vereinbarten Lizenzbestimmungen an Dritte weitergegeben werden, § 69c Nr. 3 S. 2 UrhG. Das Verbreitungsrecht, also das Recht des Urhebers zum Verkauf, ist mit dem Verkauf innerhalb des europäischen Wirtschaftsraums erschöpft, also verbraucht. Damit soll die Möglichkeit des Weiterverkaufs von urheberrechtlich geschützten Werken erhalten werden (Thomas Hoeren: Internetrecht, S. 141). Einzige Voraussetzung ist, dass Ersterwerbende vor dem Verkauf alle Kopien, die sich noch bei ihnen befinden, löschen oder deinstallieren.

Das bedeutet für den oben genannten Fall, dass die Schulleitung die Software problemlos erwerben kann. Die Eltern müssen lediglich sicherstellen, dass sie alle vorhandenen Kopien gelöscht haben.

Soweit vertraglich nichts anderes geregelt ist, wird bei Vervielfältigungshandlungen, die für eine bestimmungsgemäße Benutzung des Computerprogramms einschließlich der Fehlerberichtigung durch die oder den Berechtigten notwendig sind, keine Zustimmung benötigt, § 69d Abs. 1 UrhG.

Außerdem darf die Erstellung einer Sicherungskopie durch die oder den Berechtigten nicht vertraglich untersagt werden, wenn sie für die Sicherung künftiger Benutzung erforderlich ist, § 69d Abs. 2 UrhG. Umstritten ist jedoch, ob eine Sicherungskopie noch erlaubt ist, wenn die Software mit einer CD-ROM geliefert wird. Es wird die Ansicht vertreten, die CD-ROM stelle bereits die Sicherungskopie des auf dem Computer installierten Programms dar. Unproblematisch ist hingegen das Erstellen einer Sicherungskopie eines Programms, welches durch einen Download von der Verkäuferin oder dem Verkäufer zur Verfügung gestellt wurde. Darüber hinaus kann die oder der Berechtigte ohne Zustimmung das Funktionieren eines erworbenen Programms beobachten, untersuchen oder testen, um die einem Programmelement zugrunde liegenden Ideen und Grundsätze zu ermitteln, § 69d Abs. 3 UrhG.

Software ist rechtlich geschützt. Die Urheber sollen für die Zeit und Arbeit entschädigt werden, die sie in die Entwicklung der Software investiert haben. So ist der Kauf einer Lizenz in der Regel mit einer finanziellen Abgeltung verbunden. Die Entwicklerinnen und Entwickler von sogenannter „freier“ Software oder auch „Open-Source-Software“ tragen dem Gedanken Rechnung, dass wissenschaftliche Erkenntnisse nicht monopolisierbar sein sollen. Freie Software bedeutet, dass der Quellcode offen liegt und jede Benutzerin bzw. jeder Benutzer das Recht hat, kostenlos Tester und Verbesserer für den Hersteller zu sein. Das Wissen, welches in der Software steckt, wird vollständig weitergegeben und dadurch weiterentwickelt.

Dennoch ist auch diese Software nicht frei von Rechten. In der Regel liegen umfassende Bedingungen zugrunde, um den oben genannten Grundsatz der Nicht-Monopolisierung von Erkenntnissen zu gewährleisten. Der Einsatz von freier Software spart dadurch nicht nur Kosten, sondern trägt auch zur Weiterentwicklung technischer Kenntnisse bei. Die Verwendung von freier Software hat darüber hinaus den Vorteil, dass Schülerinnen und Schüler nicht nur die Standard-Anwendung erlernen, sondern auch den Quellcode nutzen und das Programm weiterentwickeln können. Es können viele Personen gemeinnützig an der Software mitarbeiten, sie den eigenen Bedürfnissen anpassen und weitere Funktionen hinzufügen. Inzwischen gibt es viele Lizenz-Modelle, die es anderen erlauben, Computerprogramme kostenlos zu nutzen. Hinweise dazu finden Sie unter Quellen und Links.

Cloud-Dienste und Videokonferenz-Tools außereuropäischer Anbieter

Bei der Nutzung cloudbasierter Dienste außereuropäischer Anbieter durch Schulen ergeben sich technische und rechtliche Gegebenheiten, die problematisch sein können. So findet systembedingt eine Übermittlung bestimmter Nutzungsdaten, wie z. B der IP-Adresse, in der Regel statt. Auch kann nicht ausgeschlossen werden, dass der Cloud-Anbieter diese Daten, wie z. B. die User-ID, für eigene Zwecke verwendet oder an Werbepartner weitergibt. Dies würde einen Verstoß gegen § 103 Abs. 1 der Schulordnung für die öffentlichen Realschulen plus, Integrierten Gesamtschulen, Gymnasien, Kollegs und Abendgymnasien - Übergreifenden Schulordnung (ÜSchO) darstellen, der die Weitergabe von Unterlagen über Schülerinnen und Schüler sowie deren Eltern für Werbezwecke untersagt (vgl. auch § 83 Abs. 1 Schulordnung für die öffentlichen Sonderschulen; § 60 Abs. 1 Schulordnung für die öffentlichen Grundschulen; § 68 Abs. 1 Schulordnung für die öffentlichen berufsbildenden Schulen). Neben datenschutzrechtlichen Aspekten ergeben sich somit auch potentielle Konflikte mit originärem Schulrecht.

Nachdem der Europäische Gerichtshof (EuGH) mit Urteil vom 16. Juli 2020 (Rechtssache 311/18; „Schrems II“) das sog. Privacy Shield für ungültig erklärt hat, können Datenübermittlungen in die USA nicht mehr auf dieses Instrument gestützt werden. Der EuGH hat seine Entscheidung u. a. damit begründet, dass Sicherheitsbehörden in den USA die Möglichkeit haben, massenhaft auf Daten, welche bei US-amerikanischen Unternehmen gespeichert sind, zuzugreifen und europäische Nutzerinnen und Nutzer diese Überwachungsmaßnahmen nicht gerichtlich überprüfen lassen können.

Die in Art. 44 ff. der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung - DS-GVO) genannten rechtlichen Voraussetzungen für eine Datenverarbeitung in den USA sind mit dem Wegfall des Privacy Shields derzeit kaum zu erfüllen.

Soweit die Datenverarbeitung durch einen außereuropäischen Anbieter auf sogenannte EU-Standard-Datenschutzklauseln, also Musterverträge, gestützt wird, liegen entsprechende Muster vor; diese sind vielfach Bestandteil entsprechender Verträge auch mit US-amerikanischen Dienstleistern. Nach der Schrems II-Entscheidung des EuGH sind bei Übermittlungen personenbezogener Daten in die USA jedoch zusätzliche Maßnahmen zu ergreifen, die sicherstellen, dass ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU gewährleistet wird. Hier bedarf es in jedem Einzelfall der Klärung, welche konkreten Maßnahmen im Licht dieser vom EuGH klargestellten Anforderung und mit Blick auf die unterschiedlichen Nutzungsszenarien letztlich genau in Betracht kommen.

Die Europäische Kommission und die Vereinigten Staaten haben im März 2022 bekannt gegeben, dass sie sich grundsätzlich auf einen neuen Transatlantischen Datenschutzrahmen geeinigt haben, mit dem der transatlantische Datenverkehr gefördert und die vom Gerichtshof der Europäischen Union im Schrems-II-Urteil vom Juli 2020 geäußerten Bedenken ausgeräumt werden. Damit der Transatlantische Datenschutzrahmen wirksam werden kann muss diese Vereinbarung nun in Rechtstexte umgesetzt werden. Zu diesem Zweck werden die Selbstverpflichtungen der Vereinigten Staaten in eine Durchführungsverordnung (Executive Order) überführt, die dann als Grundlage für die Bewertung der Kommission in einem künftigen sog. Angemessenheitsbeschluss dient.

Auch bei der Nutzung von Komponenten der Microsoft 365 Umgebung kann eine Übermittlung personenbezogener Daten in einen Staat außerhalb des Geltungsbereich der Datenschutz-Grundverordnung und die Zugriffsmöglichkeit dortiger Behörden (siehe auch die Erläuterungen zur Frage „Warum stellt der US-amerikanische CLOUD-Act ein Datenschutzproblem dar?“ in unserem FAQs-Bereich zu Baustein 2.3 - Softwarenutzung - Anwendungen für den Unterricht) nicht ausgeschlossen werden. Daher ist es nach Auffassung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit RLP (LfDI) erforderlich, die Vergleichbarkeit des Datenschutzniveaus weitestgehend sicherzustellen und zusätzliche, kompensatorische Maßnahmen zu ergreifen. Unter bestimmten Voraussetzungen ist dann ein Einsatz von Microsoft 365 im unterrichtlichen Kontext datenschutzrechtlich zulässig. Hierzu zählen zwingend:

• die Nutzung eines Vertragswerks, das auf den aktuellen EU-Standard-Datenschutzklauseln beruht,
• die Verwendung pseudonymer Mailadressen/Accounts für Schülerinnen und Schüler und das Verbot der Nutzung privater Microsoft-Accounts sowie
• die Minimierung des Personenbezugs der beim Lehren und Lernen verarbeiteten Daten.

Zum weiteren Ausschluss nachteiliger Folgen kommen insbesondere folgende Maßnahmen in Betracht:

• der Betrieb von MS Office 365 auf eigenen IT-Strukturen („On-Premises-Lösung“),
• die Unterbindung der Übertragung von Telemetrie-Daten beim Einsatz von Microsoft 365 bzw. dem darunterliegenden Windows-Betriebssystem,
• die Nutzung über einen vorkonfigurierten und abgesicherten Browser mit integrierten Schutzmaßnahmen,
• die Zwischenschaltung entsprechend vorkonfigurierter Terminal-Clients,
• die Verwendung schulseitig bereitgestellter und datensparsam konfigurierter Endgeräte, sowie die Umleitung des Internetverkehrs über eine eigene Infrastruktur mit geeigneten technischen Maßnahmen zur Verschleierung der heimischen IP-Adressen.

Vor dem Einsatz muss in einem Datenschutz-Sicherheitskonzept niedergelegt werden, welche Kategorien personenbezogener Daten von Schülerinnen und Schülern, Lehrkräften, Eltern und sonstigem Schulpersonal zu welchem Zweck in Drittländer übermittelt oder dortigen Zugriffen ausgesetzt werden sollen. Daneben muss das Konzept folgende Punkte beinhalten:

• eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck,
• eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen sowie
• die zur Kompensation der Risiken vorgesehenen Maßnahmen.

Die Umsetzung der genannten Maßnahmen inkl. der Erstellung des Datenschutz-Sicherheitskonzeptes kann durch eine beauftragte Lehrkraft an der Schule, in Zusammenarbeit mit dem Schulträger oder im Rahmen einer Beauftragung, z. B. durch einen IT-Dienstleister vorgenommen werden. Verantwortlicher i. S. der DS-GVO für das Vorhalten und die Umsetzung eines Datenschutz-Sicherheitskonzeptes ist die Schulleiterin bzw. der Schulleiter. Die hier aufgelisteten Maßnahmen basieren auf den vom LfDI RLP formulierten Rahmenbedingungen.

Ausführlichere Informationen zur Ergreifung entsprechender Maßnahmen finden sich auf der folgenden Website des LfDI: https://www.datenschutz.rlp.de/themen/microsoft-office-365

Ein Dokument mit Hinweisen des LfDI zur Datenschutz-Folgenabschätzung steht bei Quellen und Links zum Download bereit.

Das Ministerium für Bildung stellt rheinland-pfälzischen Schulen zur Nutzung der iCloud bzw. Microsoft 365 auf Anfrage entsprechende Konfigurationsvorgaben und Vorlagen zur Dokumentation der Datenschutzpflichten zur Verfügung. Diese können vonseiten des Schulträgers oder den Koordinatorinnen und Koordinatoren Bildung in der digitalen Welt über die Serviceplattform des Digitalen Kompetenzzentrums DigiKomp.Service angefragt werden. Mehr zu DigiKomp.Service finden Sie unter Quellen und Links.

§ 2 UrhG – Geschützte Werke

§ 69a UrhG – Gegenstand des Schutzes

§ 69b UrhG – Urheber in Arbeits- und Dienstverhältnissen

§ 69c UrhG – Zustimmungsbedürftige Handlungen

§ 69d UrhG – Ausnahmen von den zustimmungsbedürftigen Handlungen

§§ 103, 105 ÜSchO – Werbung, Gewerbliche Betätigung

Skriptum „Internet-Recht“ von Prof. Dr. Thomas Hoeren, Stand Januar 2021
Abrufbar unter unter https://www.itm.nrw/wp-content/uploads/Skript-Internetrecht-Dezember-2020.pdf

Dr. Artur-Axel Wandtke/Dr. Winfried Bullinger: Praxiskommentar zum Urheberrecht. 3. Auflage. München 2009.

Thomas Dreier/Gernot Schulze: Urheberrechtsgesetz – Urheberrechtswahrnehmungsgesetz – Kunsturhebergesetz. Kommentar. 3. Auflage. München 2008.

Dossier „Open Source“ der Bundeszentrale für politische Bildung
Abrufbar unter https://www.bpb.de/gesellschaft/digitales/opensource/ 

Website des Instituts für Rechtsfragen der freien und Open-Source-Software mit juristischen Hintergründen zu freier Software und alternativen Lizenzmodellen
Abrufbar unter http://www.ifross.de/ 

Hintergründe zu freien Software-Lizenzmodellen

• Website der Free Software Foundation (Englisch)
  Abrufbar unter http://www.fsf.org/ 
• Portal für quelloffene Software weltweit (Englisch)
  Abrufbar unter http://sourceforge.net/ 

Website zur GNU General Public License
Abrufbar unter http://www.gnu.de/ 

Themenbereich des LfDI: Videogestützte Kommunikationstechnik im Schulunterricht
Abrufbar unter https://www.datenschutz.rlp.de/themen/videogestuetzte-kommunikationstechnik 

Datenschutzkonferenz – Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder: Orientierungshilfe der Datenschutzaufsichtsbehörden für Online-Lernplattformen im Schulunterricht, April 2018.
Abrufbar unter https://www.datenschutzkonferenz-online.de/media/oh/20180426_oh_online_lernplattformen.pdf 

23. Tätigkeitsbericht des LfDI, 14.02.2012, Tz. 6.1.2: Gut gemeint - schlecht gemacht: Werbemaßnahmen im Schulbereich
Abrufbar unter https://www.datenschutz.rlp.de/service/informationen-downloads/taetigkeitsberichte 

Weitere Informationen des LfDI zur Führung eines Verarbeitungsverzeichnis
Abrufbar unter https://www.datenschutz.rlp.de/themen/verzeichnis-von-verarbeitungstaetigkeiten 

Hinweise des LfDI zur Datenschutz-Folgenabschätzung nach Art. 35 Datenschutz-Grundverordnung
Abrufbar unter https://www.datenschutz.rlp.de/fileadmin/datenschutz/Dokumente/Orientierungshilfen/Hinweise_DSFA_20171205.pdf 

Datenschutzkonforme Angebote des Pädagogischen Landesinstituts zum Online-Lehren, -Lernen und - Zusammenarbeiten

• Bildungsportal, Schulcampus RLP, Lernplattform@RLP, MNS+
  Abrufbar unter https://bildung.rlp.de/pl/leistungen/it-dienste.html
• Schulbox RLP - Cloud-Lösung für Schulen, die weder Schulcampus, lernplattform@RLP noch MNS+ nutzen
  Abrufbar unter https://bildung.rlp.de/bildungsnetz/groupware-und-cloud/schulbox

Digitales Kompetenzzentrum des Pädagogischen Landesinstituts, Informationen zur Koordination Bildung in der digitalen Welt
Abrufbar unter
https://bildung.rlp.de/digikomp/kbiddw

Informationen zur Serviceplattform DigiKomp.Service
Abrufbar unter
https://bildung.rlp.de/digikomp/kbiddw