Wenn es um die Frage geht, wie sicher die Nutzung einer digitalen Plattform oder eines IT-Systems ist, führt dies zwangsläufig zu der Frage, welche personenbezogenen oder -beziehbaren Daten bei der Nutzung verarbeitet werden und welchen Schutzbedarf diese haben. Der Schutzbedarf richtet sich danach, welche Folgen eine unbefugte Offenlegung, Manipulation oder der Verlust dieser Daten für die betroffenen Personen haben kann. Je höher die möglichen Risiken für die Rechte und Freiheiten der Betroffenen sind, desto höher ist auch der Schutzbedarf der Daten.
Die Bewertung des Schutzbedarfs ist deshalb von zentraler Bedeutung für die Auswahl und Ausgestaltung geeigneter technischer und organisatorischer Maßnahmen. Sie bestimmt unter anderem, welche Anforderungen an Zugriffskontrollen, Verschlüsselung, Protokollierung, Datenspeicherung oder Berechtigungskonzepte zu stellen sind, um eine datenschutzkonforme Verarbeitung sicherzustellen. Neben anderen Kriterien bestimmen sie auch, ob und in welchem Umfang eine Verarbeitung mit Apps, Plattformen und IT-Systemen möglich ist. Der Schutzbedarf ist darüber hinaus ein wesentliches Kriterium bei der Auswahl digitaler Anwendungen. Er beeinflusst, ob und unter welchen technischen und organisatorischen Rahmenbedingungen personenbezogene Daten mithilfe von Apps, Plattformen oder IT-Systemen verarbeitet werden können.
Ein Beispiel aus der Praxis
Ein Beispiel dafür, welche Bedeutung der Schutzbedarf der verarbeiteten Daten für die Auswahl und datenschutzrechtliche Bewertung einer Plattform haben kann, ist die schulische Nutzung von iPads in Verbindung mit der iCloud in Bremen. Im Jahr 2021 ließ die Senatorin für Kinder und Bildung durch ihren behördlichen Datenschutzbeauftragten, die datenschutz nord GmbH, prüfen, unter welchen Voraussetzungen die bis dahin stark eingeschränkte Nutzung der iCloud ausgeweitet werden könnte. Grundlage der Prüfung waren unter anderem Informationen von Apple, die dokumentierten technischen und organisatorischen Maßnahmen sowie die vertraglichen Rahmenbedingungen.
Im Ergebnis stufte die Senatorin für Kinder und Bildung die schulische Nutzung der iCloud für die Verarbeitung personenbezogener Daten mit normalem Schutzbedarf als vertretbar ein. Hierzu zählte sie unter anderem Namen, Kontaktinformationen, die Zugehörigkeit zu Klassen oder Kursen, Arbeitsergebnisse sowie in Lernanwendungen dokumentierte Lernstände. Voraussetzung waren insbesondere die Aktivierung der von Apple bereitgestellten Sicherheitsfunktionen, etwa der Gerätesperre und der Speicherverschlüsselung, eine datensparsame Nutzung sowie die vorherige datenschutzrechtliche Prüfung eingesetzter Drittanbieter-Apps.
Die spätere Bewertung durch die Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen fiel allerdings deutlich kritischer aus. Sicher auch vor dem Hintergrund der Zugriffsmöglichkeiten von US-Ermittlungsbehörden auf von Apple verarbeitete Daten europäischer Nutzer vertrat sie die Auffassung, dass die tatsächlich in der iCloud verarbeiteten Unterrichts-, Kalender-, Kontakt-, Browser-, Foto- und Audiodaten in ihrer Gesamtheit nicht lediglich einen normalen Schutzbedarf aufwiesen. Der Fall zeigt damit anschaulich, welche zentrale Bedeutung der Schutzbedarfsbewertung für die datenschutzrechtliche Beurteilung digitaler Plattformen zukommt. Bereits die unterschiedliche Einschätzung, welche personenbezogenen Daten tatsächlich verarbeitet werden und welchen Schutzbedarf diese haben, kann zu unterschiedlichen Bewertungen derselben Plattform führen. Unabhängig davon sind selbstverständlich auch weitere datenschutzrechtliche Anforderungen, etwa die Rechtsgrundlage oder die Erforderlichkeit der Verarbeitung, zu berücksichtigen.
Wie könnte man die Schutzbedarfe von in der Schule verarbeiteten personenbezogenen Daten einstufen?
Weder die Datenschutz-Grundverordnung noch die VO-DV I enthalten eine Einteilung personenbezogener Daten in Schutzklassen oder Schutzbedarfsstufen. Soll der Schutzbedarf personenbezogener Daten systematisch bewertet werden, bietet sich daher ein Blick auf die Methodik des Bundesamtes für Sicherheit in der Informationstechnik (BSI) an.
Im Rahmen des IT-Grundschutzes verwendet das BSI keine festen Schutzklassen für einzelne Datenarten. Stattdessen erfolgt eine Schutzbedarfsfeststellung, bei der bewertet wird, welche Auswirkungen eine Verletzung der Vertraulichkeit, Integrität oder Verfügbarkeit der Daten für die betroffenen Personen oder die Organisation hätte. Das BSI unterscheidet dabei drei Schutzbedarfsstufen1Siehe Nr. 8.2 in BSI-Standard 200-2 herunterladbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_2.pdf:
- normal – Die Schadensauswirkungen sind begrenzt und überschaubar.
- hoch – Die Schadensauswirkungen können beträchtlich sein.
- sehr hoch – Die Schadensauswirkungen können ein existenziell bedrohliches, katastrophales
Ausmaß erreichen
Das BSI betont zugleich, dass die Einstufung stets organisations- und anwendungsbezogen erfolgen muss. Eine allgemeingültige Zuordnung bestimmter personenbezogener Daten zu einer Schutzbedarfsstufe gibt es daher nicht.
Für den schulischen Bereich kann es hilfreich sein, die Schutzbedarfe stärker zu differenzieren und sich dabei aber weiterhin an der Systematik des BSI zu orientieren. Zwischen einfachen Organisationsdaten, wie der Klassenzugehörigkeit, und besonders sensiblen Daten, etwa zu einem sonderpädagogischen Förderbedarf oder zu Gesundheitsbeeinträchtigungen, liegt eine Vielzahl personenbezogener Daten, die sich nicht ohne Weiteres nur den Stufen „normal“, „hoch“ oder „sehr hoch“ zuordnen lassen. Hinzu kommen zahlreiche in der VO-DV I nicht katalogisierte Nutzungs-, Kommunikations- und Inhaltsdaten, die erst beim Einsatz digitaler Endgeräte, IT-Infrastruktur, Online-Plattformen, Apps und Anwendungen entstehen.
Für die nachfolgenden Übersichten wird deshalb ein an die Methodik des BSI angelehntes vierstufiges Modell verwendet. Dieses stellt keine rechtlich verbindliche Klassifizierung dar, sondern eine fachliche Orientierung für die Bewertung möglicher Folgen einer unberechtigten Offenlegung, Veränderung oder eines Verlustes personenbezogener Daten. Die konkrete Einstufung kann abhängig vom Verarbeitungszweck, vom Umfang der Daten, von ihrer Verknüpfung mit weiteren Informationen und vom jeweiligen Nutzungskontext abweichen.
| Schutzbedarfsstufe | Beschreibung | Mögliche Folgen einer Beeinträchtigung |
|---|---|---|
| Stufe 1 – normal | Personenbezogene Daten mit einem im schulischen Alltag üblichen und begrenzten Schutzbedarf. | Eine unberechtigte Offenlegung, Veränderung oder ein Verlust hätte voraussichtlich nur geringfügige oder überschaubare Nachteile für die betroffene Person. |
| Stufe 2 – erhöht | Personenbezogene Daten, deren Verarbeitung eine genauere Identifizierung, Kontaktaufnahme oder Beurteilung einzelner Personen ermöglicht. | Eine Beeinträchtigung könnte zu spürbaren persönlichen Nachteilen, unerwünschter Kontaktaufnahme, Bloßstellung oder einer begrenzten Beeinträchtigung der informationellen Selbstbestimmung führen. |
| Stufe 3 – hoch | Personenbezogene Daten, die vertiefte Einblicke in Leistungen, Verhalten, Kommunikation, familiäre Verhältnisse oder die persönliche Entwicklung ermöglichen. | Eine Beeinträchtigung könnte erhebliche soziale, schulische, persönliche oder rechtliche Nachteile verursachen oder die Bildung umfangreicher Leistungs- und Verhaltensprofile ermöglichen. |
| Stufe 4 – sehr hoch | Besonders sensible Daten, insbesondere besondere Kategorien personenbezogener Daten gem. Art. 9 DS-GVO sowie Daten, die eine umfassende Überwachung, Profilbildung oder Bewertung der Persönlichkeit ermöglichen. | Eine Beeinträchtigung könnte schwerwiegende oder langfristige Folgen haben, etwa Diskriminierung, Stigmatisierung, erhebliche Eingriffe in die Privatsphäre oder gravierende Nachteile für die weitere schulische und persönliche Entwicklung. |
Hinweis: Einen vergleichbaren Ansatz verfolgt auch das österreichische Bundesministerium für Bildung in seiner Handreichung zur Einteilung personenbezogener Daten in Schutzbedarfsklassen. Das dort verwendete Modell unterscheidet zwischen keinem, geringem, hohem und sehr hohem Schutzbedarf und orientiert sich ebenfalls an den möglichen physischen, materiellen und immateriellen Folgen für die betroffenen Personen. Abweichend davon geht das hier verwendete vierstufige Modell bei personenbezogenen Daten, die im schulischen Zusammenhang verarbeitet werden, grundsätzlich von zumindest einem geringen beziehungsweise normalen Schutzbedarf aus. Auch einfache Organisations- oder technische Daten sind damit nicht als völlig schutzbedürfnisfrei eingeordnet, da sie einer Person zugeordnet, mit weiteren Angaben verknüpft oder in einem anderen Verarbeitungskontext aussagekräftiger werden können. Auch das Schutzstufenkonzept des Landesbeauftragten für den Datenschutz Niedersachsen (von 2018) verfolgt einen vergleichbaren risikoorientierten Ansatz. Es unterscheidet sogar fünf Schutzstufen (A bis E) und orientiert sich ebenfalls am möglichen Schadenspotenzial für die betroffenen Personen.
Personenbezogene Daten nach der VO-DV I
Die folgende Tabelle ordnet wesentliche in der VO-DV I aufgeführte personenbezogene Daten und Datenkategorien den zuvor beschriebenen Schutzbedarfsstufen zu. Dabei werden zusammengehörige Einzelangaben teilweise zu übergeordneten Kategorien zusammengefasst. Die Zuordnung stellt keine verbindliche rechtliche Klassifizierung dar. Der konkrete Schutzbedarf kann insbesondere vom Inhalt, vom Umfang, von der Verknüpfung mit weiteren Daten und vom jeweiligen Verarbeitungskontext abhängen.
| Daten bzw. Datenkategorie | Beispiele nach der VO-DV I | Schutzbedarf | Begründung |
|---|---|---|---|
| Name und Vorname | Name, Geburtsname, Vorname | Stufe 1 – normal | Allgemeine Identifikationsdaten, deren Bekanntwerden für sich genommen regelmäßig nur begrenzte Nachteile verursacht. |
| Interne Identifikationsnummern | Schülernummer, Nummer des Gesamtschülerverzeichnisses | Stufe 2 – erhöht | Eindeutige Zuordnung innerhalb schulischer Systeme; ein Missbrauch kann die Verknüpfung weiterer Schuldaten erleichtern. |
| Geburtsangaben | Geburtsdatum, Geburtsort, Geburtsland, Jahr des Zuzugs | Stufe 2 – erhöht | Erleichtern in Verbindung mit weiteren Angaben die eindeutige Identifizierung und können Rückschlüsse auf Herkunft und Biografie ermöglichen. |
| Geschlecht | Angabe des Geschlechts | Stufe 2 – erhöht | Personenbezogenes Merkmal, das abhängig vom Kontext mit Diskriminierungs- oder Bloßstellungsrisiken verbunden sein kann. |
| Private Kontaktdaten | Wohnanschrift, Postanschrift, private E-Mail-Adresse, Telefon- und Faxnummer | Stufe 2 – erhöht | Ermöglichen eine unmittelbare Kontaktaufnahme und können bei unberechtigter Offenlegung für Belästigungen oder Täuschungsversuche genutzt werden. |
| Schulische Kontaktdaten | Schulische E-Mail-Adresse | Stufe 2 – erhöht | Ermöglichen eine gezielte Kontaktaufnahme und können für Phishing, Identitätstäuschung oder die Zuordnung zu einer Schule genutzt werden. |
| Staatsangehörigkeit | Eine oder mehrere Staatsangehörigkeiten | Stufe 2 – erhöht | Kann Rückschlüsse auf Herkunft und aufenthaltsbezogene Verhältnisse ermöglichen und mit Diskriminierungsrisiken verbunden sein. |
| Migrationsbezogene Angaben | Migrantenstatus, Anzahl der im Ausland geborenen Elternteile, Geburtsland der Eltern, Jahr des Zuzugs | Stufe 3 – hoch | Erlauben vertiefte Rückschlüsse auf die familiäre und biografische Herkunft und können zu Diskriminierung oder Stigmatisierung führen. |
| Sprachbezogene Angaben | Herkunftssprache, in der Familie gesprochene Sprache | Stufe 3 – hoch | Können Rückschlüsse auf Herkunft, familiäre Verhältnisse und Unterstützungsbedarfe ermöglichen. |
| Religionszugehörigkeit | Konfession, Angabe der Konfession auf dem Zeugnis | Stufe 4 – sehr hoch | Die religiöse Überzeugung gehört zu den besonderen Kategorien personenbezogener Daten nach Art. 9 DS-GVO. |
| Wirtschaftliche und soziale Verhältnisse | BAföG-Bezug, Beginn, Ende und Umfang der Förderung | Stufe 3 – hoch | Ermöglichen Rückschlüsse auf die wirtschaftliche Situation der Schülerin oder des Schülers und der Familie. |
| Foto | Schülerfoto | Stufe 3 – hoch | Ermöglicht die unmittelbare visuelle Identifizierung und kann unerlaubt verbreitet, verändert oder für Täuschungen verwendet werden. |
| Notfallkontakte | Name und Erreichbarkeit einer wichtigen Person oder Institution | Stufe 2 – erhöht | Enthalten personenbezogene Daten weiterer Personen und können familiäre oder betreuungsbezogene Beziehungen offenlegen. |
| Notfallinformationen | Art des Notfalls, Stichwort oder Kurzinformation | Stufe 4 – sehr hoch | Können Gesundheitsdaten oder andere besonders sensible Angaben enthalten, deren Offenlegung erhebliche Nachteile verursachen kann. |
| Daten der Eltern, Sorgeberechtigten und Verpflichteten | Name, Status, Staatsangehörigkeit, Anschrift und weitere Erreichbarkeitsdaten | Stufe 2 – erhöht | Ermöglichen die Identifizierung und Kontaktaufnahme und geben Aufschluss über familiäre oder rechtliche Beziehungen. |
| Familiäre und rechtliche Verhältnisse | Elternstatus, Vormundschaft, Pflege- oder Betreuungsverhältnisse | Stufe 3 – hoch | Können sensible Informationen über die familiäre Lebenssituation und rechtliche Verantwortungsverhältnisse offenlegen. |
| Grundlegende Schullaufbahndaten | Datum und Art der Einschulung oder Aufnahme, besuchte Schule, Klasse, Jahrgang | Stufe 1 – normal | Dienen überwiegend der schulischen Organisation und lassen für sich genommen regelmäßig nur begrenzte Rückschlüsse zu. |
| Erweiterte Schullaufbahndaten | Bisherige Bildungsgänge, Ausbildungsstätten, Schulwechsel, Klassenwiederholungen und deren Gründe | Stufe 3 – hoch | Ermöglichen eine weitergehende Bewertung der Bildungsbiografie und können Schwierigkeiten oder Brüche im schulischen Werdegang offenlegen. |
| Bildungsgang und Unterrichtsorganisation | Bildungsgang, Klasse, Jahrgangsstufe, Kurse, Unterrichtsfächer und Kurswahlen | Stufe 1 – normal | Überwiegend organisatorische Angaben; in Kombination können sie jedoch Rückschlüsse auf die schulische Laufbahn ermöglichen. |
| Schul- und Ausbildungsabschlüsse | Abschlüsse, Qualifikationen, Latinum, Graecum und vergleichbare Nachweise | Stufe 2 – erhöht | Beschreiben den individuellen Bildungsstand und können für schulische oder berufliche Auswahlentscheidungen relevant sein. |
| Ausbildungs- und Praktikumsdaten | Ausbildungsberuf, Ausbildungsbetrieb, Praktikumsbetrieb, Ausbildungsjahr | Stufe 2 – erhöht | Geben Aufschluss über die berufliche Orientierung und ermöglichen eine Zuordnung zu externen Einrichtungen. |
| Fehlzeiten und Verspätungen | Schulversäumnisse, entschuldigte und unentschuldigte Fehlzeiten, Verspätungen | Stufe 3 – hoch | Ermöglichen Rückschlüsse auf das Teilnahmeverhalten; bei Angabe von Gründen können zusätzlich gesundheitliche oder familiäre Umstände sichtbar werden. |
| Unterrichtsbefreiungen und Ausschlüsse | Befreiung von Unterricht oder Schulveranstaltungen, Ausschluss von der Teilnahme | Stufe 3 – hoch | Können Rückschlüsse auf gesundheitliche, religiöse, familiäre oder disziplinarische Gründe ermöglichen. |
| Einzelne Leistungsdaten | Einzelnoten, Ergebnisse einzelner Leistungsnachweise | Stufe 2 – erhöht | Betreffen die individuelle schulische Leistung, ergeben isoliert jedoch noch kein umfassendes Leistungsprofil. |
| Zusammengefasste Leistungsdaten | Notenlisten, Zeugnisse, Prüfungsergebnisse, Leistungsübersichten | Stufe 3 – hoch | Ermöglichen eine umfassendere Bewertung des Leistungsstandes und können für weitere Bildungsentscheidungen maßgeblich sein. |
| Leistungsnachweise und Arbeitsergebnisse | Klassenarbeiten, Prüfungsarbeiten, sonstige schriftliche oder digital erstellte Leistungsnachweise | Stufe 3 – hoch | Dokumentieren individuelle Kenntnisse, Fähigkeiten, Fehler und Lernentwicklungen und können persönliche Inhalte enthalten. |
| Arbeits- und Sozialverhalten | Bewertungen und Aufzeichnungen zum Arbeitsverhalten, Sozialverhalten und zur Mitarbeit | Stufe 3 – hoch | Enthalten wertende Aussagen über Verhalten und Persönlichkeit und können die schulische Wahrnehmung einer Person langfristig beeinflussen. |
| Förderempfehlungen und Fördermaßnahmen | Förderempfehlungen, Förderpläne, individuelle Lern- und Entwicklungsziele | Stufe 3 – hoch | Geben vertiefte Einblicke in Lernschwierigkeiten, Fähigkeiten, Entwicklungsstände und Unterstützungsbedarfe. |
| Sonderpädagogischer Förderbedarf | Förderschwerpunkt, Feststellungen und Angaben zur sonderpädagogischen Förderung | Stufe 4 – sehr hoch | Kann Gesundheits- und Entwicklungsdaten enthalten und ist mit erheblichen Risiken der Stigmatisierung oder Benachteiligung verbunden. |
| Gesundheitliche Beeinträchtigungen und Behinderungen | Körperliche oder gesundheitliche Beeinträchtigungen, Behinderungen, besondere Betreuungsbedarfe | Stufe 4 – sehr hoch | Gesundheitsdaten gehören zu den besonderen Kategorien personenbezogener Daten nach Art. 9 DS-GVO. |
| Medizinische und sonderpädagogische Gutachten | Schulärztliche, schulpsychologische oder sonderpädagogische Stellungnahmen und Gutachten | Stufe 4 – sehr hoch | Können detaillierte Gesundheits-, Entwicklungs- und Persönlichkeitsdaten enthalten. |
| Sprachstands- und Lernstandsdaten | Sprachstandsfeststellungen, Lernstandsberichte, Lernausgangslagen | Stufe 3 – hoch | Ermöglichen eine differenzierte Einschätzung individueller Fähigkeiten, Defizite und Förderbedarfe. |
| Ordnungs- und Erziehungsmaßnahmen | Erzieherische Einwirkungen, Ordnungsmaßnahmen und damit verbundene Vorgänge | Stufe 3 – hoch | Enthalten Angaben zu Konflikten oder Pflichtverletzungen und können zu Stigmatisierung und erheblichen schulischen Nachteilen führen. |
| Besondere Vorkommnisse | Dokumentierte Vorfälle, Gefährdungen oder besondere Anforderungen an Aufsicht und Schutz | Stufe 4 – sehr hoch | Können Angaben zu Gesundheit, Gewalt, Konflikten, familiären Situationen oder anderen besonders sensiblen Umständen enthalten. |
| Klassen- und Kursbücher | Unterrichtsinhalte, Anwesenheit, Fehlzeiten, Verspätungen und besondere Eintragungen | Stufe 3 – hoch | Führen zahlreiche organisatorische und verhaltensbezogene Angaben zusammen und ermöglichen eine Rekonstruktion des Schulalltags. |
| Prüfungsakten und Zeugnisunterlagen | Prüfungsarbeiten, Niederschriften, Bewertungsunterlagen, Zeugnislisten und Zeugnisdurchschriften | Stufe 3 – hoch | Enthalten gebündelte Leistungs- und Bewertungsdaten mit Bedeutung für den weiteren Bildungsweg. |
| Mitwirkung und schulisches Engagement | Mandate in Mitwirkungsgremien, Teilnahme an Wettbewerben oder besonderen schulischen Aktivitäten | Stufe 2 – erhöht | Geben Aufschluss über Interessen, Engagement und schulische Funktionen; abhängig vom Gegenstand können auch persönliche Überzeugungen erkennbar werden. |
| Schultagebuch für Kinder aus Familien beruflich Reisender | Schülerpersonalbogen, Schulbesuche, Lernstandsberichte, Lernausgangslage und individuelle Lernpläne | Stufe 3 – hoch | Führt umfangreiche Angaben zur familiär bedingten Mobilität, zur Schullaufbahn und zur individuellen Lernentwicklung zusammen. |
Hinweis: Entscheidend ist nicht allein die Bezeichnung einer Datenart. Mehrere für sich genommen weniger sensible Angaben können durch ihre Zusammenführung einen deutlich höheren Schutzbedarf erhalten. Ebenso kann eine Datenkategorie unterschiedliche Inhalte umfassen. Notfallinformationen, Unterrichtsbefreiungen oder besondere Vorkommnisse können beispielsweise Gesundheitsdaten oder andere besonders sensible Angaben enthalten und sind dann entsprechend höher einzustufen.
Personenbezogene Daten bei der Nutzung digitaler Endgeräte, Plattformen und Anwendungen
Bei der Nutzung digitaler Endgeräte, schulischer Netzwerke, Arbeits- und Kommunikationsplattformen, Lehr- und Lernplattformen, Apps und sonstiger IT-Anwendungen werden sehr unterschiedliche personenbezogene Daten verarbeitet. Für die Schutzbedarfsbewertung ist es hilfreich, zwischen solchen Daten zu unterscheiden, die unmittelbar mit der Person, ihren Inhalten und ihrem Handeln verbunden sind, und solchen Daten, die zunächst vor allem beim technischen Betrieb der Systeme entstehen.
Die erste Gruppe ist für die datenschutzrechtliche Bewertung regelmäßig von besonderer Bedeutung. Hierzu gehören insbesondere Zugangs- und Kontodaten, Kommunikationsinhalte, Lernprodukte, Nutzungsverläufe, Leistungsdaten sowie Foto-, Audio- und Videodaten. Bei der Bewertung der schulischen Nutzung von iPads und iCloud in Bremen spielten beispielsweise Unterrichts-, Kalender-, Kontakt-, Browser-, Foto- und Audiodaten eine zentrale Rolle.
Nutzer-, Inhalts-, Zugangs- und Verhaltensdaten
| Daten bzw. Datenkategorie | Typische Beispiele | Schutzbedarf | Begründung |
|---|---|---|---|
| Benutzer- und Kontodaten | Benutzername, Anzeigename, interne Nutzer-ID, schulische E-Mail-Adresse, Klassen-, Kurs- und Organisationszugehörigkeit | Stufe 2 – erhöht | Ermöglichen die eindeutige Zuordnung einer Person zu Benutzerkonten, Aktivitäten, Inhalten und schulischen Gruppen. |
| Authentifizierungsdaten | Passwörter, PINs, Wiederherstellungscodes und Sicherheitsschlüssel | Stufe 4 – sehr hoch | Eine Offenlegung kann unmittelbar zur Übernahme des Benutzerkontos und zum Zugriff auf weitere personenbezogene Daten führen. |
| Sitzungs- und Zugriffsdaten | Session-Cookies, Zugriffstoken, Refresh-Token und Anmeldeschlüssel | Stufe 4 – sehr hoch | Können einen unmittelbaren Zugriff auf Benutzerkonten und gespeicherte Inhalte ermöglichen, ohne dass das eigentliche Passwort bekannt ist. |
| Rollen und Berechtigungen | Rolle als Schülerin oder Schüler, Kursmitgliedschaften, Gruppenrechte sowie Freigabe- und Bearbeitungsrechte | Stufe 2 – erhöht | Geben Aufschluss über schulische Zugehörigkeiten und bestimmen, auf welche Inhalte und Funktionen eine Person zugreifen kann. |
| Kontakt- und Adressbuchdaten | Namen, E-Mail-Adressen, Telefonnummern, Verteiler und Gruppenmitgliedschaften | Stufe 3 – hoch | Führen personenbezogene Daten mehrerer Personen zusammen und machen soziale sowie organisatorische Beziehungen sichtbar. |
| Kalender- und Termindaten | Unterrichtstermine, Abgabefristen, Besprechungen, Erinnerungen und persönliche Kalendereinträge | Stufe 2 – erhöht | Geben Aufschluss über schulische Abläufe, Anwesenheit und gegebenenfalls persönliche Planungen. Bei umfangreichen oder privaten Kalendereinträgen kann der Schutzbedarf höher ausfallen. |
| Browser- und Webnutzungsdaten | Aufgerufene Webseiten, Browserverlauf, Suchbegriffe, Downloads und Lesezeichen | Stufe 3 – hoch | Können Interessen, Lernschwerpunkte, persönliche Fragestellungen sowie unter Umständen gesundheitliche, religiöse oder politische Bezüge offenlegen. |
| Suchanfragen | Suchbegriffe in Lernplattformen, Bibliotheken, Apps, Browsern oder KI-Systemen | Stufe 3 – hoch | Können Rückschlüsse auf Interessen, Verständnisprobleme, Lernschwierigkeiten und sensible persönliche Fragestellungen ermöglichen. |
| Aktivitäts- und Nutzungsdaten | Anmeldezeiten, Nutzungsdauer, Seitenaufrufe, Downloads, Uploads, Änderungen, Freigaben und Löschungen | Stufe 3 – hoch | Ermöglichen die Rekonstruktion des Nutzungs-, Lern- und Arbeitsverhaltens sowie der Zusammenarbeit mit anderen Personen. |
| Bearbeitungsdaten | Beginn und Ende einer Aufgabe, Bearbeitungsdauer, Unterbrechungen sowie Anzahl der Bearbeitungsversuche | Stufe 3 – hoch | Können Rückschlüsse auf Arbeitstempo, Ausdauer, Unsicherheiten, Konzentration und Leistungsfähigkeit zulassen. |
| Versions- und Änderungshistorien | Frühere Fassungen, einzelne Änderungen, Bearbeitungszeitpunkte und beteiligte Personen | Stufe 3 – hoch | Machen den gesamten Entstehungsprozess eines Dokumentes einschließlich verworfener Inhalte nachvollziehbar. |
| Datei- und Dokumenteninhalte | Textdokumente, Tabellen, Präsentationen, PDFs, Arbeitsblätter und sonstige Dateien | Stufe 3 – hoch | Dokumentieren Arbeitsergebnisse, Lernstände und häufig auch personenbezogene oder persönliche Inhalte. Der Schutzbedarf richtet sich wesentlich nach dem konkreten Inhalt. |
| Schriftliche Lern- und Arbeitsergebnisse | Hausaufgaben, Aufsätze, Berichte, Protokolle, Projektarbeiten und Präsentationen | Stufe 3 – hoch | Dokumentieren individuelle Kenntnisse, Fähigkeiten und Fehler und können zugleich persönliche Ansichten oder Erfahrungen enthalten. |
| Digitale Notizen und Entwürfe | Handschriftliche oder getippte Notizen, Markierungen, Skizzen und unveröffentlichte Entwürfe | Stufe 3 – hoch | Können persönliche Gedanken, Ideen und noch nicht zur Veröffentlichung bestimmte Inhalte enthalten. |
| Gestalterische und technische Lernprodukte | Zeichnungen, Collagen, Modelle, Webseiten, Programme und Quellcode | Stufe 2 – erhöht | Der Personenbezug ergibt sich vor allem aus der Urheberschaft und der Verwendung als schulische Leistung; je nach Inhalt kann der Schutzbedarf höher sein. |
| Automatisch gespeicherte Lernstände | Abgeschlossene Lektionen, erreichte Kompetenzstufen, richtige und falsche Antworten sowie Fortschrittsanzeigen | Stufe 3 – hoch | Ermöglichen eine differenzierte Einschätzung individueller Kenntnisse, Defizite und Lernentwicklungen und bilden häufig die Grundlage weiterer Auswertungen. |
| Kompetenz- und Leistungsprofile | Kompetenzstufen, Stärken-Schwächen-Profile, Fähigkeitsmodelle und automatisch erzeugte Leistungsübersichten | Stufe 4 – sehr hoch | Verdichten zahlreiche Einzelinformationen zu einem umfassenden Leistungs- und Entwicklungsprofil und können Grundlage weitreichender pädagogischer Entscheidungen sein. |
| Adaptive Lernpfade und Empfehlungen | Automatisch zugewiesene Aufgaben, Schwierigkeitsgrade, Förderhinweise und Leistungsprognosen | Stufe 4 – sehr hoch | Beruhen regelmäßig auf einer fortlaufenden Analyse des Lern- und Leistungsverhaltens und ermöglichen eine weitgehende Profilbildung. |
| Learning-Analytics-Daten | Zusammenführung von Nutzungsdaten, Lernständen, Bearbeitungszeiten, Fehlerquoten und Leistungsdaten | Stufe 4 – sehr hoch | Ermöglichen eine umfassende Analyse des Lern-, Arbeits- und Nutzungsverhaltens und führen regelmäßig zu detaillierten Persönlichkeits- oder Leistungsprofilen. |
| Lerntagebücher und Reflexionen | Selbsteinschätzungen, persönliche Lernberichte, Reflexionsaufgaben und Portfolios | Stufe 4 – sehr hoch | Können persönliche Gedanken, Gefühle, Schwierigkeiten sowie Angaben zur familiären oder gesundheitlichen Situation enthalten. |
| Fotos | Porträtfotos, Gruppenbilder, Unterrichts- und Projektaufnahmen | Stufe 3 – hoch | Ermöglichen die unmittelbare Identifizierung und können zusätzlich soziale Beziehungen, Aufenthaltsorte oder das persönliche Umfeld offenlegen. |
| Audioaufnahmen | Sprachaufnahmen, Podcasts, Interviews und mündliche Leistungsbeiträge | Stufe 4 – sehr hoch | Enthalten Stimme, Inhalt und Ausdrucksweise und ermöglichen eine besonders persönliche Wahrnehmung der betroffenen Person. |
| Videoaufnahmen | Referate, Lernvideos, Rollenspiele und Unterrichtsaufzeichnungen | Stufe 4 – sehr hoch | Verbinden Bild, Stimme, Verhalten und gegebenenfalls das schulische oder private Umfeld und erlauben eine besonders umfassende Bewertung. |
| Kommunikationsdaten | Chatnachrichten, Forenbeiträge, Kommentare, Whiteboard- und Pinnwandbeiträge | Stufe 3 – hoch | Enthalten persönliche Äußerungen, Meinungen, soziale Interaktionen sowie häufig Angaben zum Lern- und Arbeitsverhalten. |
| Vertrauliche Direktkommunikation | Private Nachrichten zwischen einzelnen Schülerinnen und Schülern oder mit Lehrkräften | Stufe 4 – sehr hoch | Kann persönliche, familiäre, gesundheitliche oder konfliktbezogene Inhalte enthalten und unterliegt einer besonderen Vertraulichkeit. |
| Feedback und Bewertungen | Korrekturen, Kommentare, Peer-Feedback, Punktzahlen, Noten und Bewertungsraster | Stufe 3 – hoch | Enthalten individuelle Leistungs- und Verhaltensbewertungen und können die schulische Entwicklung nachhaltig beeinflussen. |
| Rankings und Fortschrittsanzeigen | Bestenlisten, digitale Abzeichen, Punktestände und Fortschrittsbalken | Stufe 3 – hoch | Machen Leistungen und Verhaltensbewertungen sichtbar und können Leistungsdruck oder Stigmatisierung fördern. |
| Cloud-Speicherinhalte | Dokumente, Notizen, Kalender, Kontakte, Fotos, Audiodateien, Videos sowie App-Daten | Stufe 3 – hoch | Führen unterschiedliche personenbezogene Inhalte an einem Ort zusammen. Der konkrete Schutzbedarf richtet sich nach den gespeicherten Inhalten und kann bei besonders sensiblen Daten bis zur Stufe 4 reichen. |
| Geräte- und Cloud-Backups | Sicherungen von Dokumenten, Nachrichten, Fotos, Einstellungen, App-Daten und sonstigen Inhalten | Stufe 4 – sehr hoch | Enthalten regelmäßig umfangreiche und unterschiedlichste personenbezogene Daten und ermöglichen eine weitgehende Rekonstruktion der Nutzung eines Endgeräts oder Benutzerkontos. |
| Videokonferenzdaten | Teilnahmezeiten, Kamerabild, Mikrofon, Chat, Bildschirmfreigaben sowie Angaben zum verwendeten Gerät | Stufe 4 – sehr hoch | Verbinden Anwesenheits-, Kommunikations-, Bild-, Ton- und gegebenenfalls Umgebungsdaten in einer Verarbeitungssituation. |
| Bildschirmfreigaben und Bildschirmaufzeichnungen | Freigabe oder Aufzeichnung des gesamten Bildschirms oder einzelner Anwendungen | Stufe 4 – sehr hoch | Können eine Vielzahl persönlicher, schulischer und privater Inhalte gleichzeitig sichtbar und dauerhaft auswertbar machen. |
| KI-Eingaben | Prompts, hochgeladene Dokumente, Bilder, Sprachaufnahmen und sonstige Eingaben | Stufe 3 – hoch | Können Lernstände, Arbeitsergebnisse, persönliche Fragestellungen und – je nach Nutzung – auch besonders sensible personenbezogene Daten enthalten. |
| KI-Ausgaben und KI-Nutzungsverläufe | Generierte Texte, Bilder, Bewertungen, Empfehlungen, Chatverläufe und Prompt-Historien | Stufe 4 – sehr hoch | Ermöglichen über längere Zeiträume umfassende Einblicke in Interessen, Lernverhalten, Denkprozesse und persönliche Fragestellungen und können Grundlage einer Profilbildung sein. |
Hinweis: Die Zuordnung stellt eine fachliche Orientierung dar und erhebt keinen Anspruch auf Allgemeingültigkeit. Der tatsächliche Schutzbedarf hängt stets vom konkreten Inhalt der Daten, ihrem Umfang, ihrer Verknüpfung mit weiteren Informationen sowie vom jeweiligen Verarbeitungskontext ab. So können beispielsweise Dokumente, Chatnachrichten oder KI-Eingaben je nach Inhalt lediglich organisatorische Angaben enthalten oder Gesundheitsdaten, Informationen über einen sonderpädagogischen Förderbedarf, religiöse Überzeugungen oder andere besonders sensible personenbezogene Daten umfassen. Ebenso kann die Zusammenführung zahlreicher für sich genommen weniger sensibler Nutzungs-, Kommunikations- und Inhaltsdaten die Erstellung umfangreicher Leistungs-, Verhaltens- oder Persönlichkeitsprofile ermöglichen und damit zu einem deutlich höheren Schutzbedarf führen.
Technische Betriebs-, Geräte- und Diagnosedaten
| Daten bzw. Datenkategorie | Typische Beispiele | Schutzbedarf | Begründung |
|---|---|---|---|
| IP-Adressen | Öffentliche und interne IP-Adressen bei Anmeldung und Nutzung | Stufe 2 – erhöht | Ermöglichen die Zuordnung von Nutzungsvorgängen zu Anschlüssen, Geräten und Zeitpunkten und können gemeinsam mit weiteren Daten zur Identifizierung einer Person beitragen. |
| Gerätekennungen | Device-ID, Seriennummer, Installations-ID, Hardwarekennung | Stufe 2 – erhöht | Ermöglichen die dauerhafte Wiedererkennung eines Endgerätes und die Verknüpfung verschiedener Nutzungsvorgänge. |
| Netzwerkkennungen | MAC-Adresse, Hostname, WLAN-Zuordnung, Netzwerksegment | Stufe 2 – erhöht | Ermöglichen die Identifikation eines Gerätes innerhalb des Schulnetzwerks und gegebenenfalls die Zuordnung zu bestimmten Standorten. |
| Geräte- und Systeminformationen | Gerätetyp, Modell, Betriebssystem, Version, Browser, Spracheinstellungen | Stufe 1 – normal | Technische Angaben mit regelmäßig geringem Personenbezug; in Kombination mit weiteren Merkmalen kann jedoch ein eindeutiger Geräte-Fingerabdruck entstehen. |
| Gerätekonfiguration | Installierte Apps, Konfigurationsprofile, Zertifikate und Systemeinstellungen | Stufe 2 – erhöht | Kann Rückschlüsse auf Nutzung, Ausstattung und Einsatzbereiche des Gerätes ermöglichen. |
| Sicherheits- und Compliance-Daten | Verschlüsselungsstatus, Sperrcode, Geräteschutz, Root-/Jailbreak-Status, Sicherheitsrichtlinien | Stufe 2 – erhöht | Dienen der Absicherung der IT-Systeme, können aber zugleich Sicherheitslücken oder den technischen Zustand eines Endgerätes offenlegen. |
| Anmelde- und Sicherheitsprotokolle | Erfolgreiche und fehlgeschlagene Anmeldungen, Abmeldungen, Authentifizierungsereignisse und Sicherheitswarnungen | Stufe 2 – erhöht | Ermöglichen die Nachvollziehbarkeit von Zugriffen und können bei längerer Speicherung Nutzungs- und Anwesenheitsmuster erkennen lassen. |
| System- und Serverprotokolle | Logdateien, Zugriffsprotokolle, Audit-Logs und Administrationsprotokolle | Stufe 3 – hoch | Führen regelmäßig Benutzerkennungen, Zeitpunkte, IP-Adressen und konkrete Nutzungshandlungen zusammen und ermöglichen eine umfassende Rekonstruktion von Vorgängen. |
| Fehler- und Diagnosedaten | Absturzberichte, Fehlermeldungen, Debug-Informationen und Diagnosedaten | Stufe 2 – erhöht | Können technische Kennungen, Benutzerinformationen oder Ausschnitte aus bearbeiteten Dokumenten enthalten. |
| Telemetriedaten | Nutzungsstatistiken, Leistungsdaten, Gerätezustand und Systemereignisse | Stufe 2 – erhöht | Dienen der technischen Optimierung. Bei personenbezogener Erfassung oder langfristiger Speicherung können daraus Nutzungsprofile entstehen. |
| Datei-Metadaten | Dateiname, Dateigröße, Dateiformat, Erstellungs- und Änderungszeitpunkt, Autor | Stufe 2 – erhöht | Ermöglichen die Zuordnung von Dateien zu Personen und geben Aufschluss über Bearbeitungsabläufe und Arbeitsprozesse. |
| Synchronisationsdaten | Zeitpunkt und Status des Abgleichs zwischen Geräten, Apps und Cloud-Diensten | Stufe 2 – erhöht | Erlauben Rückschlüsse auf verwendete Geräte, Anwendungen und Nutzungszeitpunkte. |
| Mobile-Device-Management-Daten (MDM) | Gerätezuordnung, verwaltete Apps, Compliance-Status, Fernsperrung und Fernlöschung | Stufe 3 – hoch | Ermöglichen eine weitreichende technische Kontrolle des Endgerätes und verbinden diese regelmäßig mit einer bestimmten Person, sofern Geräte personenbezogen genutzt werden oder BYOD. |
| Inventar- und Ausleihdaten | Gerätenummer, Ausleihzeitraum, Rückgabe, Schadensvermerke und Gerätezuordnung | Stufe 2 – erhöht | Dokumentieren die Nutzung schulischer Endgeräte und können Verantwortlichkeiten sowie Nutzungszeiträume nachvollziehbar machen. |
| Druck- und Kopierprotokolle | Benutzerkennung, Druckzeitpunkt, Drucker, Seitenzahl, Dateiname | Stufe 2 – erhöht | Ermöglichen Rückschlüsse auf Arbeitsvorgänge und können über Dateinamen oder Druckzeitpunkte zusätzliche personenbezogene Informationen offenlegen. |
| Netzwerk- und WLAN-Protokolle | Anmeldung an Access Points, Verbindungsdauer, Datenvolumen, Netzwerkwechsel | Stufe 3 – hoch | Ermöglichen bei personenbezogener Zuordnung die Rekonstruktion von Aufenthaltsorten, Bewegungen und Nutzungsgewohnheiten innerhalb des Schulnetzwerks. |
| Technische Standortdaten | Zuordnung zu WLAN-Access-Points, Bluetooth-Beacons oder sonstigen technischen Standortinformationen | Stufe 3 – hoch | Erlauben Rückschlüsse auf Aufenthaltsorte; bei kontinuierlicher Erfassung können Bewegungsprofile entstehen. |
| Support- und Wartungsdaten | Support-Tickets, Fernwartungsprotokolle, Fehlerbeschreibungen, Screenshots und Kommunikationsverläufe | Stufe 3 – hoch | Können neben technischen Angaben auch personenbezogene Inhalte, Dokumente oder Bildschirmansichten enthalten. |
Hinweis: Technische Betriebs-, Geräte- und Diagnosedaten weisen für sich genommen häufig einen geringeren Schutzbedarf auf als Inhalts-, Kommunikations- oder Leistungsdaten. Sie ermöglichen jedoch regelmäßig die Zuordnung von Geräten zu bestimmten Personen sowie die Nachvollziehbarkeit von Nutzungs- und Verwaltungsvorgängen. Werden solche Daten über längere Zeiträume gespeichert oder mit Inhalts-, Kommunikations- oder Verhaltensdaten verknüpft, kann ihr Schutzbedarf erheblich steigen. Insbesondere umfangreiche Protokoll- und Telemetriedaten können die Erstellung detaillierter Nutzungs-, Bewegungs- oder Verhaltensprofile ermöglichen und erfordern daher eine sorgfältige datenschutzrechtliche Bewertung.
Stand 07/2026
