Alte Klassenfotos für Festschrift und Ausstellung nutzen – geht das?

Lesezeit: 4 Minuten

Jubiläen gehören zu den großen Feierlichkeiten von Schulen. Die Schule wird 50 Jahre, 75 Jahre oder 100 Jahre und man möchte zum Anlass des Jubiläums eine Festschrift erstellen und vielleicht sogar eine Ausstellung gestalten. In den Archiven der Schulen schlummern in der Regel zigtausende alte Aufnahmen, Klassenfotos, Fotos aus dem Schulleben und von Festen und Feiern. Zur Gestaltung einer Festschrift, einer Bilderschau oder für eine Ausstellung holt man diese alten Aufnahmen gerne wieder hervor, um mit ihnen die Geschichte der Schule zu illustrieren. In Zeiten einer erhöhten datenschutzrechtlicher Sensibilität stellen sich die Verantwortlichen irgendwann auch die Frage, ob es aus Sicht des Datenschutzes überhaupt zulässig ist, diese alten Aufnahmen für das geplante Vorhaben zu verwenden? Einwilligungen wurden bei der Erstellung der alten Aufnahmen nie eingeholt und die abgebildeten Personen sind, vor allem wenn die Aufnahmen älter sind, niemandem in der Schule bekannt. Das Einholen von Einwilligungen würde, selbst wenn alle Personen und auch ihre Kontaktinformationen bekannt sind, einen nicht zu vertretenen Aufwand darstellen. Was soll man also tun? Muss man auf die alten Aufnahmen verzichten?

Ein Beispiel

Klassenfoto 4. Klasse 1963
Klassenfoto 3. oder 4. Klasse 1963 oder 1964 ??? Volksschule Trostberg, Flickr, Labormicro, CC BY SA 2.0

Die Kinder auf der digitalisierten Aufnahme dürften jetzt um die 65 Jahre alt sein. Ihre Lehrerin ist vermutlich bereits verstorben. Nur eine sehr begrenzte Zahl von Personen wird in Lage sein, eine der abgebildeten Personen zu identifizieren, da dieses voraussetzt, dass man die Personen schon lange kennt.1Moderne Gesichtserkennungstechnologie wie Clearview AI ist in der Lage, auch Kinder zu identifizieren, sofern ihr von dieser Person Aufnahmen als Erwachsene Person vorliegen. Es ist zu erwarten, dass die Möglichkeiten mit einer Weiterentwicklung bestehender Technologien zur Gesichtserkennung zunehmen werden. Ob die technische Möglichkeit, einzelne Personen zu identifizieren, bei der obigen Aufnahme jemals bestehen wird, ist schwierig zu beurteilen. Beim Original auf Flickr könnte es aber möglich sein.

Die Rechtslage

Zumindest drei Rechtsgebiete könnten relevant sein:

  • Datenschutzrecht (DS-GVO)
  • Kunsturheberrecht (KUG), Recht am eigenen Bild
  • Urheberrecht, Urheberrecht des Fotografen

Das Urheberrecht wird man bei Fotos, welche die Schule in ihrem Archiv liegen hat, vermutlich vernachlässigen können, da diese Fotos entweder durch die Schule angefertigt wurden oder im Auftrag für die Schule.2Es gilt generell für Lichtbildwerke folgende Regelung: Lichtbildwerke: Definition und Schutzdauer Lichtbildwerke sind persönliche, geistige Schöpfungen. Sie sind kreativ, individuell und mit erkennbarer gestalterischer Höhe. Für Lichtbildwerke garantiert das Urheberrecht einen lebenslangen Schutz sowie weitere 70 Jahre für die Rechtsnachfolger. Quelle: firma.de, abgerufen 15.02.2020 Im folgenden geht es von daher nur darum, inwieweit sich das Datenschutzrecht sowie das Kunsturheberrecht auf die Fragestellung auswirken.

Unter dem Titel „DSGVO und Fotografie: Was ändert sich für Fotografen?“ beschäftigt sich e-recht24 auch mit der Frage der Altbestände. Solange kein Ausnahme von der Einwilligungserfordernis vorliegt, so erklärt man dort, ist eine Einwilligung der Betroffenen erforderlich, denn die DS-GVO ist auch auf „Altbestände“ anwendbar. Einmal erteilte Einwilligungen wirken allerdings fort.

Entsprechend macht es Sinn, wenn die Mittelbayrische im Beitrag mit dem Titel „Auch Opas Klassenfoto wird zensiert„, die Bayrische Aufsichtsbehörde mit der Aussage zitiert: „Das Zeigen ist tatsächlich nur zulässig, wenn von jedem einzelnen Abgebildeten eine Erlaubnis vorliegt.“ Ohne Einwilligung der Betroffenen ist demnach nicht einmal das Aufhängen alter Klassenfotos im Schulgebäude zulässig. Und weiter heißt es im Beitrag:

Der Datenschutz ist ein Grundrecht. Und jede Erhebung personenbezogener Daten greift in dieses Grundrecht ein – auch Fotos. Schon seit 1949 gilt: Ohne Einverständnis der abgebildeten Person kein Foto. In der Vergangenheit sei das Rechtsbewusstsein in diesem Punkt noch nicht so ausgereift gewesen, sagt der Referatsleiter des BayLfD. Jahrelang seien Fotos angefertigt worden, ohne dass man sich Gedanken dazu gemacht habe. Tatsächlich sei aber jedes Foto ohne unterschriebene Einverständniserklärung rechtswidrig.

Ausnahmen von der Regel

Das Vorliegen einer Einwilligung der Betroffenen gilt allerdings nicht uneingeschränkt. Es gibt eine Reihe von Ausnahmen, bei welchen die Vorgaben der DS-GVO und des KUG nicht greifen.

Ausnahme: Beiwerk

Wenn die abgebildeten Personen nur Beiwerk sind, dann ist eine Nutzung ohne Einwilligung möglich. Ein Beispiel dafür wäre der Blick auf das gesamte Schulgebäude und den Schulhof davor und es ist eindeutig zu erkennen, dass es nicht um die zufällig mit abgebildeten Kinder, sondern das Schulgebäude oder Schulgelände geht.

Ausnahmen: Versammlung, Aufzug

Wenn es sich um Fotografien handelt, die auf öffentlichen Veranstaltungen entstanden, etwa Schulfesten, oder bei Beteiligung an öffentlichen Umzügen, dann sollte man diese auch ohne Einwilligung der abgebildeten Personen für die geplanten Zwecke nutzen können. Bei Fotografien von öffentlichen schulischen Veranstaltungen sollte allerdings bedacht werden, dass die Teilnahme für Kinder und Lehrkräfte verpflichtend war. Die Ausnahme gilt also nur für Besucher, denn diese haben die Veranstaltung freiwillig besucht und mussten damit rechnen, dass dort Fotografien angefertigt werden, auch für eine öffentliche Berichterstattung.

Ausnahme: Verstorbene

Eine weitere Ausnahme besteht, wenn die abgebildeten Personen bereits verstorben sind, denn die DS-GVO gilt nicht für die personenbezogenen Daten Verstorbener.3Mit Bezug auf die DS-GVO heißt es in Erwägungsgrund 27: “Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener.” Das könnte beispielsweise der Fall bei einem sehr alten Kollegiumsfoto sein. Zu beachten ist allerdings das KUG. Denn dieses gilt für Aufnahmen, die zu Lebzeiten der abgebildeten Person entstanden, 10 Jahre über den Tod hinaus. Sind die abgebildeten Personen bereits länger als zehn Jahre verstorben, kann das Foto dann aber tatsächlich ohne Einwilligung genutzt werden. Gleiches gilt für Fotografien von einzelnen Personen, etwa einer Schulleitung. Bei Fotografien, auf welchen Schüler abgebildet sind, wird man bei der heutigen Lebenserwartung vermutlich davon ausgehen müssen, dass diese etwa 100 – 110 Jahre alt sein müssen (Alter Ende 4. Klasse von 10 Jahren, plus 90 Lebensjahre, plus 10 Jahre gem. § 22 Satz 3 Kunsturhebergesetz (KUG)410 Jahre nach dem Tod des Abgebildeten endet das Recht am eigenen Bild. „Aber auch nach Ablauf von 10 Jahren nach dem Tod kann die Nutzung eines Fotos, auf dem ein Verstorbener abgebildet ist, unzulässig sein. Dies ist z.B. der Fall, wenn die konkrete Art der Fotonutzung das postmortale Persönlichkeitsrecht des Verstorbenen grob beeinträchtigt“ Quelle, abgerufen am 15.02.2020 ), um keine Rechte lebender Personen mehr zu verletzen. 

Ausnahme: Personen nicht eindeutig erkennbar

Wenn die abgebildeten Personen nicht eindeutig identifiziert werden können, sind weder DS-GVO noch KUG anwendbar.

Was heißt das jetzt?

Möchte eine Schule alte Fotografien aus ihrem Archiv veröffentlichen, sind die oben genannten Voraussetzungen zu erfüllen. Wenn die abgebildeten Personen erkennbar und kein Beiwerk sind, es sich nicht um eine Versammlung oder einen Aufzug handelt oder der Todeszeitpunkt der Personen weniger als 10 Jahre zurückliegt, braucht es eine Einwilligung der Betroffenen. Einwilligungen von vor dem 25.05.2018 müssen den bis dahin geltenden datenschutzrechtlichen Vorgaben genügen, um weiterhin rechtswirksam zu sein. Es ist dabei unerheblich, ob die Fotografien für eine Festschrift genutzt, in einer Bilderschau vorgeführt, auf einer Website veröffentlicht oder in einer öffentlichen Ausstellung gezeigt werden sollen.

Solange für die Aufnahmen keine Veröffentlichung im Internet beabsichtigt ist, sollte man Aufnahmen wie die obige allerdings nutzen können, wenn sie in einer Form veröffentlicht werden, welche das Identifizieren einzelner Personen extrem erschwert oder gar unmöglich macht. Druckt man das Foto oben mit 10 cm Seitenlänge der längsten Seite ab, ist es so undeutlich, dass wenn überhaupt eigentlich nur die abgebildeten Personen selbst, Familienangehörige oder Personen, die im Besitz einer Originalaufnahme sind, in der Lage sein werden, Gesichter Personen zuordnen. Würde man bei diesem Foto die Auflösung oder die Schärfe reduzieren, wäre auch das nur noch möglich, wenn man ein Original daneben legte.

Man braucht also nicht unbedingt auf alte Aufnahmen verzichten, wenn man eine  Verwendung für eine Festschrift, Bilderschau oder Ausstellung im Rahmen eines Jubiläums der Schule plant – auch wenn das Einholen einer Einwilligung für einen Teil der Aufnahmen nicht möglich ist.

 

Signal Messenger in der Schule – Möglichkeiten und Grenzen

Lesezeit: 4 Minuten

Geht es in Schule um das Thema, ist damit meist WhatsApp gemeint. Selbst wenn eine Nutzung in Schule für die informelle Kommunikation zwischen Eltern, Schülern und Lehrkräften oder von Lehrkräften untereinander geduldet ist, heißt das nicht, dass dieser Messenger eine gute Wahl darstellt. Der Austausch von Nachrichten ist zwar Ende-zu-Ende verschlüsselt, doch Facebook, zu dem WhatsApp gehört, erhält trotzdem noch immer eine Fülle an wertvollen Meta-Informationen über die Nutzer, die sich gewinnbringend verwerten lassen, demnächst auch für die gezielte Anzeige von Werbung im Messenger. Nicht umsonst gehen einige Bundesländer soweit, Lehrkräften die Nutzung von WhatsApp in Schule komplett zu untersagen.

Eine Alternative, die in der Diskussion um WhatsApp immer wieder genannt wird, ist Signal.1Die folgende Aussage stammt aus einer Telegram Gruppe.

„Edward Snowden empfiehlt Signal. Der Quellcode ist Open Source, die Verschlüsselung also nachvollziehbar (gut).
An meiner Schule sind alle bei Signal, weil der Datenschutzbeauftragte  da nicht locker gelassen hat.“

Signal nutzt ein Open Source Protokoll, ist sehr sicher und ganz gewiss eine gute Alternative zu WhatApp. Trotzdem sind den Nutzungsmöglichkeiten von Signal an einer Schule Grenzen gesetzt. Warum?

Voraussetzungen zur Nutzung eines Messengers für eine offizielle Kommunikation in der Schule

Möchte eine Schule eine Messaging Plattform zur offiziellen Kommunikation in der Schule nutzen, so müssen dazu aus Sicht des Datenschutzes einige Bedingungen erfüllt sein.

(1) Vertrag zur Auftragsverarbeitung (AVV) zwischen Schule und Anbieter

Erforderlich ist ein AVV immer dann, wenn in der Schule personenbezogene Daten über einen externen Anbieter verarbeitet werden sollen. Möchte das Kollegium über einen Messenger auch Notenlisten, Informationen über Erkrankungen von Schülern und ähnlich austauschen, setzt dieses einen AVV voraus. Gleiches gilt auch, wenn der Messenger zum Austausch personenbezogener Daten zwischen Lehrkräften und Schülern oder zwischen Lehrkräften und Eltern genutzt werden soll.2Könnte man auf einen AVV nicht verzichten, da sämtliche Nachrichten in Signal verschlüsselt sind und der Anbieter sie niemals zu Gesicht bekommt? Damit verarbeitet er doch gar keine personenbezogenen Daten. Aus Sicht des Anbieters handelt es sich tatsächlich nicht um personenbezogene Daten. Für den Sender wie auch den Empfänger sind und bleiben es personenbezogene Daten. Solange die Nachrichten nicht mit einer beschränkten Lebensdauer versehen sind, liegen sie weiterhin auf den Servern des Anbieters und können vom Sender und Empfänger eingesehen werden. Es werden also personenbezogene Daten verarbeitet und ein AVV ist erforderlich. Verwaltet die Schule die Nutzerkonten von Schülern, Lehrkräften und eventuell sogar Eltern, setzt dieses immer einen AVV voraus.

(2) Einwilligung in die Verarbeitung von personenbezogenen Daten

Die Verarbeitung von personenbezogenen Daten durch die Schule setzt eine Einwilligung der Betroffenen voraus, sobald sich keine Rechtsgrundlage für diese Verarbeitung aus dem Schulgesetz ergibt. Bezüglich der Nutzung eines Messengers gibt es aktuell wohl in keinem Bundesland entsprechende Rechtsgrundlagen.

(3) Freiwilligkeit der Nutzung

Die Nutzung eines Messengers kann unter den gegebenen rechtlichen Bedingungen nur auf der Basis von Freiwilligkeit erfolgen. Das bedeutet, weder Lehrkräfte, noch Schüler oder Eltern können zu einer Nutzung verpflichtet werden.

(4) Alternative Kanäle

Aus der Freiwilligkeit ergibt sich, dass Personen aus einer Nichtnutzung keine Nachteile entstehen dürfen. Die Schule muss also in der Lage sein, die über den Messenger kommunizierten Informationen immer auch auf alternativen Kanälen anzubieten. Welche dieses sind, hängt vom jeweiligen Setting ab. Es kann die Nachricht in Papierform im Fach der Lehrkraft sein oder als E-Mail, die Elternmitteilung als Brief oder ähnlich.

(5) Sicherheit

Nachrichten sollten mit Ende-zu-Ende Verschlüsselung ausgetauscht und verschlüsselt auf dem Endgerät wie dem Server des Anbieters gespeichert werden. Die Kontoerstellung sollte ohne eine Mobilfunknummer möglich sein. Metadaten sollten in möglichst geringem Umfang gespeichert werden.

(6) Europäische Anbieter und Server in der EU

Von der Möglichkeit einer datenschutzkonformen Nutzung kann am ehesten ausgegangen werden, wenn der Anbieter seinen Sitz in Europa hat, im Idealfall in der EU, im EWR3Europäischere Wirtschaftsraum oder in einem Land, für welches ein sogenannter Angemessenheitsbeschluss entsprechend Art. 45 DS-GVO vorliegt. Gleiches gilt für die Standorte der Server. Bei Anbietern aus den USA sollte man momentan der Sicherheit halber davon ausgehen, dass diese die Voraussetzungen für eine datenschutzkonforme Nutzung nicht erfüllen können. Dabei macht es keinen Unterschied, ob die Server des Anbieters in seinem Eigentum sind oder in dessen Auftrag betrieben werden, da für diese bei EU Standort der amerikanische CLOUD-Act gilt.4Bei Servern in den USA greift der CLOUD-Act nicht. Dafür bestehen hier für US Ermittlungsbehörden direktere Möglichkeiten, Zugriff auf die dort gespeicherten Daten zu erhalten.

Für eine offizielle Kommunikation ist Signal nicht datenschutzkonform nutzbar

Können bei einer Nutzung von Signal zur offiziellen Kommunikation alle oben genannten Voraussetzungen erfüllt werden? Die Antwort ist, nein. Zwar ist das Risiko bezüglich eines Zugriffs durch US Ermittlungsbehörden für Nutzer trotz Sitz des Anbieters und Server Standort in den USA dank der sehr sicheren Verschlüsselung extrem gering, so dass man Kriterium Nr. 6 hier eventuell vernachlässigen könnte, doch die Betreiber des Signal Messengers stellen keinen Vertrag zur Auftragsverarbeitung zur Verfügung. Und damit ist ein wesentliche Voraussetzung für eine rechtssichere Nutzung von Signal für den Austausch von personenbezogenen Daten für Schulen nicht gegeben. Dabei ist es unerheblich, dass die Schule die Konten der Nutzer nicht verwaltet. Der entscheidende Punkt ist, dass bei Signal personenbezogene Daten aus der Schule von einem externen Anbieter verarbeitet werden.

Wäre eine Nutzung von Signal zur informellen Kommunikation zwischen Lehrkräften und Eltern/ Lehrkräften und Schülern möglich?

In NRW sieht man aktuell keinen Grund, Schulen eine informelle Nutzung von Whatsapp und vergleichbaren Messengern zwischen Lehrkräften und Eltern sowie Schülern zu verbieten, solange dieses im gegenseitigen Einvernehmen geschieht. Selbst wenn dabei personenbezogene Daten ausgetauscht werden, gilt dieses nicht als dienstliche Kommunikation.5„Wenn Lehrkräfte mit Eltern sowie Schülerinnen und Schülern über WhatsApp kommunizieren und personenbezogenen Daten übermittelt werden, liegt dies daher im persönlichen Ermessen aller Beteiligten und ist keine von der Schulleitung zu verantwortende dienstliche Kommunikation. Sinnvollerweise ist eine schriftliche Einverständniserklärung der betroffenen Personen bzw. der Erziehungsberechtigten für diese Form der Kommunikation einzuholen.“  Qelle: https://www.medienberatung.schulministerium.nrw.de/Medienberatung/Datenschutz-und-Schule/Haeufig-gestellte-Fragen/Elternkommunikation/, abgerufen am 15.02.2020 Diese informelle Nutzung erfolgt quasi im privaten Bereich. Bei einer informellen Nutzung sollten die oben aufgeführten Kriterien 2 – 6 idealerweise auch erfüllt sein.

Um dienstliche Kommunikation würde es sich in dem Moment handeln, wenn die Messaging Plattform offiziell von der Schule für den Austausch von Informationen eingeführt würde.

Signal eindeutig WhatsApp vorzuziehen, wenn es um einen informellen Austausch zwischen Lehrkräften und Eltern sowie Schülern gehen soll, so wie er in NRW momentan zulässig ist.

Wäre es möglich, Signal zur informellen Kommunikation im Kollegium zu nutzen?

Unvorstellbar wäre ein solches Szenario sicherlich nicht, doch wenn Lehrkräfte untereinander kommunizieren, dürfte dieses eher einen überwiegend dienstlichen Charakter haben und damit wäre Signal außen vor. Selbst wenn alle sich fest vornehmen, keine personenbezogenen Daten über den Messenger zu kommunizieren, so dürfte klar sein, dass dieses in Wirklichkeit anders aussehen wird. An vielen Schulen nutzen Lehrkräfte WhatsApp, um schnell und einfach Nachrichten auszutauschen. Und obwohl jeder weiß, dass damit keine personenbezogenen Daten weitergegeben werden dürfen, so geschieht dieses doch immer wieder. Es ist eben der schnellste und einfachste Weg. Von daher kann auch von einer informellen Nutzung innerhalb eines Kollegiums nur abgeraten werden.6Wenn ein Kollegium allerdings unbedingt einen informellen Informationskanal nutzen möchte (auch ohne Billigung/ Wissen/ Beteiligung der Schulleitung), dann wäre Signal gegenüber WhatsApp eindeutig der Vorzug zu geben. Man könnte dann immerhin davon ausgehen, dass die Kommunikation datenschutzfreundlich möglich ist und aktuell kein bekanntes Risiko eines unrechtmäßigen Zugriffs auf kommunizierte Inhalte durch Dritte besteht.

Alternativen?

Signal ist zwar eine in Bezug auf Sicherheit sehr überzeugende Messaging Lösung, doch die Möglichkeiten einer Nutzung sind für Schulen begrenzt. Wenn es um eine Messaging Plattform geht, welche als offizieller Informationskanal genutzt werden soll, so gibt es für Schulen bessere Lösungen. Es haben sich mittlerweile eine ganze Reihe Anbieter am Markt platziert, welche Messenger Dienste anbieten, die von Schulen in Einklang mit den Vorgaben aus Schul- und Datenschutzgesetzen genutzt werden können. Die Mehrheit der angebotenen Messenger Dienste sind Bestandteil von Plattformen mit weiteren Schule interessanten Funktionen. Eine Übersicht über Anbieter solcher Plattformen findet sich in einem Padlet mit dem Namen Schulische Plattformen (Kommunikation).

Mitbestimmung

Bei der Einführung eines Messaging Dienstes als offizieller Informationskanal sollte auch das Thema Mitbestimmung berücksichtigt werden. Wie Personen im Privatbereich einen Messenger nutzen, ist ihre Sache. Doch wenn es um offizielle dienstliche Kommunikation geht, sollten Regelungen gefunden werden, welche für alle Beteiligten verträglich sind. Dazu gehören beispielsweise Vereinbarungen, an welchen Tagen und zu welchen Zeiten Nachrichten gelesen werden müssen und wann dieses nicht erwartet werden kann.

Schule – Offener Ganztag – Schulsozialarbeit & Datenschutz

Lesezeit: 3 Minuten

Was ist bezüglich datenschutzrechtlicher Vorgaben zu beachten bei der Zusammenarbeit von Schule und offenem Ganztag (OGS)? Und wie sieht es aus, wenn es um die Schulsozialarbeit geht? Diese Fragen beschäftigen viele, denn die Rechtslage erschließt sich den Beteiligten aus den Gesetzen und Verordnungen nur ungenügend. Auch ich selbst hatte hier mangels besseren Wissens bisher eher konservativ beraten und für die Weitergabe von personenbezogenen Daten an den OGS sowie Schulsozialpädagogen, die nicht nach §58 auf Lehrerstellen sitzen und somit als Landesbedienstete gelten, das Einholen einer Einwilligung zur rechtlichen Absicherung empfohlen.

In §120 Schulgesetz NRW heißt es:

„Die gespeicherten personenbezogenen Daten dürfen in der Schule nur den Personen zugänglich gemacht werden, die sie für die Erfüllung ihrer Aufgaben benötigen.“

Doch wer ist mit den Personen gemeint? Es geht um Personen in der Schule, also definitiv nicht um Personen außerhalb der Schule. Und damit ist auch klar, dass dazu neben den Lehrkräften und Schulsozialpädagogen, die nach §58 als Landesbedienstete auf Lehrerstellen sitzen, auch die Mitarbeiter im Schulsekretariat gehören, Integrationshelfer, Hausmeister und auch Eltern wie Schüler, die in Mitwirkungsgremien tätig sind1entsprechend §§ 62 ff SchulG NRW oder Eltern, welche am Unterricht teilnehmen bzw. dort in Teilbereichen mitarbeiten.2entsprechend §44 Abs. 3 SchulG NRW

Kleine Anfrage im Landtag

Im Dezember 2019 wurde dann genau dieses Thema Gegenstand einer kleinen Anfrage mit dem Titel Datenschutzrechtliche Zusammenarbeit in der Schule, im Hinblick auf den offenen Ganztag (OGT) und die Schulsozialarbeit (Drucksache 17/8328) Vier Fragen wurden der Landesregierung NRW gestellt:

  1. Welche Personengruppen werden mit der Formulierung „in der Schule nur den Personen“ (§ 120 (1) SchulG) neben Lehrer*innen (§ 57 SchulG) und weiteren Landesbedienstete nach § 58 SchulG gesehen?
  2. Welche personenbezogenen Daten dürfen den Mitarbeitern des offenen Ganztags übermittelt werden bzw. mit diesen ausgetauscht werden?
  3. Ist das Zusammenstellen einer Liste von Schüler*innen und die Weitergabe der Liste an die Mitarbeiter*innen der Multiprofessionellen Teams erlaubt? Und falls ja, aufgrund welcher Rechtsgrundlage ist das erlaubt?
  4. Plant die Landesregierung dies in einer Neufassung der VO DV I klarzustellen?

Antwort der Landesregierung

Im Januar 2020 wurden dann die Antworten auf die Anfrage als Drucksache 17/8396 veröffentlicht. Dabei wurde deutlich, dass die Landesregierung die Gesetzestexte sehr viel weiter auslegt, als viele Datenschutzbeauftragte das bisher taten.

  1. Zu den Personen, denen zur Erfüllung ihrer Aufgaben nach § 120 Abs. 1 SchulG NRW personenbezogene Daten zugänglich gemacht werden dürfen, gehört neben den Lehrkräften und sonstigen im Landesdienst stehendem pädagogischen und sozialpädagogischen Personal nach § 58 SchulG auch im Ganztag eingesetztes Personal3Verwiesen wird bezüglich dieses Personals auf Nr. 7 des Rd.Erl. zum Ganztagsangebot – BASS 12-63 Nr. 2.pdf .
  2. Da nach Aussage der Landesregierung Ganztagsangebote auch von außerschulischen Trägen als schulische Veranstaltung gelten, ist es damit auch zulässig, den Mitarbeiterinnen und Mitarbeitern des offenen Ganztags diejenigen personenbezogenen Daten zugänglich zu machen, welche diese Personen zur Erfüllung der Angebote des Ganztags benötigen. Dazu gehört dann auch der Austausch zu den Förderbedarfen der Schülerinnen und Schüler.
  3. Auch externen Sozialarbeiter bzw. Sozialpädagogen, die anderes als Schulsozialpädagogen im Landesdienst nicht zu den Personen gemäß §58 SchulG NRW zählen, dürfen entsprechend der unter 1. beschrieben Auslegung von §120 Abs. 1 SchulG NRW durch die Landesregierung personenbezogene Daten aus der Schule zugänglich gemacht werden. Dieses ist allerdings nur dann zulässig, sofern sie als Mitglied eines Multiprofessionellen Teams4gemäß der Erlasse 21-13 Nr. 6 „Beschäftigung von Fachkräften für Schulsozialarbeit in Nordrhein-Westfalen“ sowie 21-13 Nr. 9 „Soziale Arbeit an Schulen zur Integration durch Bildung für neu zugewanderte Schüler*innen (Multiprofessionelle Teams)“ diese Daten zur Erfüllung ihrer Aufgaben benötigen. Das meint hier eine Liste mit den Namen der Schülerinnen und Schüler, die sie zu betreuen haben.
  4. Eine entsprechende Änderung des Schulgesetzes NRW oder der anhängigen Verordnungen ist nicht geplant.

Hinweis: Man sollte bezüglich Antwort 2 unbedingt berücksichtigen, dass es ausdrücklich um den Austausch zu den Förderbedarfen der Schülerinnen und Schüler geht, die Informationen, die zur Erfüllung der Angebote des Ganztags benötig werden. Personenbezogene Daten, welche nicht darunter fallen, können nur mit Einwilligung der Erziehungsberechtigten weitergegeben werden. So würde die Bankverbindung der Erziehungsberechtigten sicher nicht darunter fallen, falls es dem Träger etwa darum ginge, diese zu aktualisieren und er dafür bei der Schule anfragt. Gleiches dürfte auch für Kontaktdaten gelten, welche der Träger normalerweise von Schulträger erhalten sollte.

Fazit

Mit der Antwort der Landesregierung auf die kleine Anfrage besteht jetzt endlich Klarheit bezüglich der datenschutzrechtlichen Stellung von Mitarbeiterinnen und Mitarbeitern von Trägern, die im offenen Ganztag eingesetzt sind. Da der offene Ganztag als schulische Veranstaltung gilt, darf die Schule diesen Personen die personenbezogenen Daten derjenigen Kinder im OGS zugänglich machen, welche sie zur Erfüllung der Angebote des Ganztags benötigen. Darunter fallen dann beispielsweise auch Informationen zu den Förderbedarfen der im OGS betreuten Schülerinnen und Schüler. Für die Schulen, das meint vor allem Grundschulen, besteht von daher keine Erfordernis, eine Einwilligung der Erziehungsberechtigten einzuholen, um sich mit Mitarbeitern des OGS bezüglich der dort betreuten Kinder auszutauschen.

Externen Schulsozialarbeitern dürfen personenbezogene Daten (Namenslisten von zu betreuenden Schülerinnen und Schülern) zugänglich gemacht, wenn sie Mitglied eines Multiprofessionellen Teams an der Schule sind. In allen anderen Fällen gilt weiterhin, dass eine Weitergabe von personenbezogenen Daten von Schülern eine Einwilligung der Betroffenen voraussetzt.

Interessant sind in dem Zusammenhang vielleicht auch:

Wenn Windows 10 – dann unbedingt die Education Version

Lesezeit: 2 Minuten

Im Januar 2020 stellte Microsoft, wie lange vorher angekündigt, endgültig den Support von Windows 7 ein1Microsoft bietet Kunden allerdings noch bis zu  3 Jahre die Möglichkeit, Updates gegen Gebühr zu erhalten. Problematisch ist jedoch, dass mit der Zeit immer mehr Software nicht mehr sicher auf Windows 7 laufen wird, da die Hersteller den Support ihrer Software für das veraltete System einstellen werden. Dazu gehören auch Virenscanner – siehe auch Windows-7-Support-Ende: Rund 500 Millionen PCs unsicher; abgerufen am 01.02.2020. Schulen, welche dieses mittlerweile über 10 Jahre alte Betriebssystem in Verwaltung und pädagogischem Netz nutzten, sind in der Regel direkt auf Windows 10 umgestiegen, um weiterhin sicher arbeiten zu können. Als dann im letzten Jahr Meldungen aufkamen, dass Windows 10 aufgrund der an Microsoft übermittelten Telemetriedaten nicht datenschutzkonform betrieben werden könne, war die Unsicherheit groß. Im nun vorliegenden 9. Tätigkeitsbericht des Bayerischen Landesamts für Datenschutzaufsicht für das Jahr 2019 wird jetzt Entwarnung gegeben. Eine von der Datenschutzkonferenz beauftragte Arbeitsgruppe unter Leitung des Bayerischen Landesbeauftragten für den Datenschutz führte im Dezember 2019 unter Beteiligung von Microsoft Mitarbeitern eine Laboranalyse von Windows 10 durch. Getestet wurde die Windows 10 Enterprise Edition (Version 1909). Mit Hilfe der von Microsoft offiziell zur Verfügung gestellten Informationen und Tools wurde das System auf das Telemetrielevel „Security“ eingestellt.

Im Ergebnis konnte so der Nachweis erbracht werden, dass die Übermittlung von Telemetriedaten an Microsoft erfolgreich unterbunden werden kann.2Wie im Bericht erwähnt, wurden in der Konfigurationeinstellung aus Sicherheitsgründen nicht sämtliche Datenabflüsse unterbunden, auch wenn dieses technisch möglich ist. Siehe Seite 22 im Bericht. Im Bericht lautet das Fazit deshalb:

Vom Ergebnis konnte bei diesem Treffen in unserem technischen Labor festgestellt werden, dass die datenschutzrechtlich kontrovers diskutierten Telemetriedaten bei Einsatz der Enterprise Version (und damit auch bei der Education-Version) im überprüften Szenario deaktivierbar sind.

Der Labortest von Windows 10 Enterprise fand unter kontrollierten Bedingungen statt. Im schulischen Alltag findet die Nutzung jedoch in der Regel in einer verwalteten Umgebung statt, da die Windows PCs Teil eines Netzwerks sind. Deshalb ist die Aussage des Bayerischen Landesbeauftragten für den Datenschutz mit einer kleinen Einschränkung versehen.3Es gibt genau genommen noch eine weitere Einschränkung. Die Aussagen im Bericht beziehen sich nur auf das Thema Telemetriedaten. Etwaige andere Datenschutzprobleme, die bei einer Nutzung von Windows 10 auftreten können, sind dabei nicht berücksichtigt. Damit sichert sich der Bayerische Landesbeauftragte für den Datenschutz rechtlich ab.

Sollte sich dieses Ergebnis beim realen Einsatz von Windows 10 bei Unternehmen bestätigen, dann stellt zumindest der Umgang mit Telemetriedaten bei Windows 10 Enterprise (auch in verwalteten Umgebungen) keinen datenschutzrechtlichen Hinderungsgrund eines Einsatzes dieses Betriebssystems dar.

Man dürfte aber wohl davon ausgehen können, dass bei fachmännisch administrierten Windows 10 Education PCs das Laborergebnis replizierbar ist.

Was bedeutet das für Schulen?

Schulen, die Windows 10 einsetzen oder auf diese Version wechseln wollen, müssen eine Education Version nutzen und zwar in der Version 19094Man sollte davon ausgehen können, dass auch künftige Versionen die gleichen Möglichkeiten bieten werden, die Übermittlung von Telemetriedaten an Microsoft zu unterbinden. und müssen diese mittels der von Microsoft bereitgestellten Informationen und Tools auf das Telemetrielevel „Security“ einstellen. Nur dann ist es möglich, die Übermittlung von Telemetriedaten an Microsoft datenschutzkonform zu unterbinden.

Lizenzrechtlich ist es zulässig, Windows 10 Education sowohl im pädagogischen Bereich wie auch der schulischen Verwaltung zu nutzen5Siehe dazu das PDF Microsoft-Berechtigungskriterien für Qualifizierte Nutzer für Forschung & Lehre (EMEA).pdf; abgerufen am 01.02.2020. Dort werden auch „Verwaltungsbüros einer Ausbildungseinrichtung“ als berechtigt aufgeführt. .

Auch beim Einsatz von Office 365, für welches es bisher leider noch keine vergleichbaren Aussagen der Aufsichtsbehörden gibt, ist für Schulen dringend die Nutzung von Education Versionen zu empfehlen. Genau wie bei Windows 10 bieten nur diese Versionen – neben Enterprise Versionen – die umfangreichsten Möglichkeiten, Einfluss auf die Datenabflüsse an Microsoft zu nehmen. Hinzu kommt noch, dass Microsoft bei den Education Versionen zusätzliche Versicherungen abgibt, Nutzungsdaten nicht zur Profilbildung zu Werbezwecken zu verwenden.

Google Analytics und Schulhomepage

Lesezeit: 2 Minuten

Lange Zeit war Google Analytics ein beliebtes Tool für die Betreiber von Websites, Informationen über die Anzahl der täglichen Besucher, besuchte Seiten, verwendete Suchbegriffe und ähnlich zu erhalten. Dass man damit auch Google die Türe öffnete, umfangreich Informationen über die Website Besucher zu sammeln, war dabei nur wenigen bewusst. Auch auf Schulhomepages wurde das kostenlose Tool häufig verwendet, bis zum Beginn der Umsetzung der DS-GVO. Mit der dann einsetzenden Unsicherheit bezüglich der rechtlichen Zulässigkeit einer Nutzung verabschiedeten sich viele Schulen von Google Analytics und wechselten zu datenschutzfreundlicheren Alternativen oder verzichteten komplett auf eine Erhebung und Auswertung der Besucherzahlen.

Mittlerweile haben sich einige Veränderungen ergeben. Google hat nachgebessert bei den Administrationsmöglichkeiten in Google Analytics. Das hat auch Auswirkungen auf die datenschutzrechtliche Zulässigkeit der Nutzung dieses Tools.*

Nach Aussagen des Bayerischen Landesamtes für Datenschutzaufsicht im 9. Tätigkeitsbericht (2019) ist eine Nutzung von Google Analytics durchaus möglich, auch ohne Einwilligung, setzt dann jedoch die richtige Konfiguration des Tools voraus. Entsprechend heißt es im Bericht auf S. 30f:

Google Analytics kann datenschutzkonform eingesetzt werden. Voraussetzung dafür ist aber, dass der Website-Betreiber neben der erforderlichen Information auch die notwendigen Konfigurationen vornimmt.

Schulen, die auf ihrer Homepage noch immer Google Analytics nutzen, sollten also unbedingt prüfen, ob sie das Tool so eingestellt haben, dass keine Daten mit Google geteilt werden. Standardmäßig ist die sogenannte „Datenfreigabe“ an Google durch den Dienst aktiviert. Sie muss durch die Schule deaktiviert werden, um eine datenschutzfreundliche Nutzung zu ermöglichen. Die Einstellungen findet man unter Tab Verwaltung > Kontoeinstellungen > „Einstellungen für die Datenfreigabe“. Wie im Screenshot gezeigt, sollten keine der Optionen ausgewählt sein.

Auch wenn mit diesen Einstellungen keine Einwilligung der Seitenbesucher zur Nutzung von Google Analytics mehr einzuholt werden muss, ist eine Information über den Einsatz des Tools zur Reichweitenmessung in der Datenschutzerklärung der Homepage notwendig.

Nicht zu vergessen ist, dass auch ohne eine Weitergabe der Analytics Daten an Google ein Vertrag zur Auftragsverarbeitung mit Google weiterhin erforderlich ist und auch die IP Nummern der Nutzer nicht vollständig erfasst werden sollten.1Weitere Informationen dazu finden sich bei Google unter https://support.google.com/analytics/answer/3379636 Dort finden sich im Menü auf der rechten Seite auch Informationen zu Einstellungen und zum Thema IP-Anonymisierung; abgerufen am 29.01.2020

Mit diesem Beitrag sollen Schulen ausdrücklich nicht motiviert werden, Google Analytics zu nutzen. Es gibt andere Werkzeuge, die aus Sicht des Datenschutz eindeutig sicherer sind. Der Beitrag richtet sich an Schulen, die das Google Tool weiterhin nutzen.

* Der Beitrag stellt die datenschutzrechtliche Lage mit Stand von Januar 2020 dar. Bitte beachten Sie, dass sich durch Änderungen Seitens Google eine neue datenschutzrechtliche Bewertung bezüglich der Zulässigkeit einer Nutzung von Google Analytics ergeben kann.

Referenz-Verarbeitungsübersicht der Medienberatung NRW

Lesezeit: 2 Minuten

Bei der Medienberatung NRW ist man schon seit Monaten sehr bemüht, das Unterstützungsangebot für Schulen zum Thema Datenschutz auszubauen. Im Rahmen dieser Arbeiten wurde zum Ende des vergangenen Jahres (2019) eine sogenannte Referenz-Verarbeitungsübersicht veröffentlicht. Das Format ist nicht unbekannt, aber aktuell noch weniger verbreitet. Das gängige Format entspricht eher den Vorlagen, wie sie auf dieser Seite bereitgestellt werden.

Das soll jedoch nicht heißen, dass die Lösung aus der Medienberatung NRW schlechter wäre. Nein, sie ist sogar sehr gut, denn sie ist sehr übersichtlich. Sie besteht aus Tabellen, die mit Tabellenblättern unterteilt sind. Das vorausgefüllte Muster deckt die verschiedenen Verarbeitungstätigkeiten, welche sich an Schulen finden, weitestgehend ab. Schulen brauchen die Vorlage nur noch ergänzen um schulspezifische Informationen und speichern die Verarbeitungsübersicht dann ab. Es ist nicht nötig, einen Ausdruck zu erstellen. Lediglich das Vorblatt mit den Informationen zum Verantwortlichen und dem Feld für eine Unterschrift sollte ausgedruckt und abgelegt werden.

Screenshot Referenz-Verarbeitungsübersicht Schulen NRW
Screenshot Referenz-Verarbeitungsübersicht Schulen der Medienberatung NRW (Link hinter dem Bild führt zur Seite der Medienberatung)

Der Download auf der Seite Referenz-Verzeichnis der Verarbeitungstätigkeiten für Schulen besteht aus zwei Dateien im XLSX Format und lässt sich mit gängigen Tabellenkalkulationsprogrammen bearbeiten.

Es ist möglich, in den Tabellen Angaben zu den technischen und organisatorischen Maßnahmen zum Schutz und zur Sicherheit der Verarbeitung zu machen. Als Ergänzung zum Referenz-Verzeichnis der Verarbeitungstätigkeiten empfehle ich meine Vorlage für ein schulisches Sicherheitskonzept sowie für ein schulisches Löschkonzept zu nutzen. Beide Vorlagen finden sich unter Verzeichnis von Verarbeitungstätigkeiten ganz unten auf der Seite.

Verarbeitungstätigkeiten einer Schule, die sich nicht in die Referenz-Verarbeitungsübersicht einordnen lassen, können problemlos auch mit Vorlagen wie auf meiner Seite bereitgestellt, ergänzt werden. Gleiches gilt auch Beschreibungen von Verarbeitungstätigkeiten, welche beispielsweise von Auftragsverarbeitern teilausgefüllt bereitgestellt werden. Es besteht kein Zwang, alle Verarbeitungstätigkeiten unbedingt in das Muster der Medienberatung zu schreiben. Wenn man sich dazu in der Lage sieht bzw. es möglich ist, dann sollte man das Muster ergänzen und wenn nicht, nutzt man eine der anderen Vorlagen. Solange man alle Verarbeitungstätigkeiten der Schule in irgendeiner Form erfasst hat, ist der Form Genüge getan, um selbst einen Überblick zu haben und im Falle der Fälle der Aufsichtsbehörde etwas vorlegen zu können.

Die Referenz-Verarbeitungsübersicht ist übrigens durchaus auch für Schulen in anderen Bundesländern von Interesse und kann auch von Schulen in kirchlicher Trägerschaft genutzt werden, sofern von dort nicht verpflichtend andere Vorlagen zur Verfügung gestellt werden. Anpassungen sind vor allem bei den genannten Rechtsgrundlagen vorzunehmen und den eingesetzten Anwendungen.

Datenschutz im schulischen Förderverein

Lesezeit: 3 Minuten

Fördervereine und Schulen sind oft sehr eng miteinander verwoben, durch Personen, die nicht nur Mitglieder im Förderverein sind, auch mit Funktionen, sondern auch Lehrkräfte, Eltern oder Schulleitung. Gerade diese enge Verzahnung muss auch beim Thema Datenschutz beachtet werden. Darüber hinaus unterliegt jeder Förderverein aber auch den datenschutzrechtlichen Vorgaben, wie sie für jeden Vereine gelten.

Förderverein und Schule sind datenschutzrechtlich zu trennen

Im Alltag kommt es immer wieder vor, dass zwischen Förderverein und Schule Namenlisten und Adressen austauscht werden. Die Schule hat alle aktuellen Daten von Schülern und Eltern. Der Förderverein braucht aktuelle Adressen und je nach Art der Zusammenarbeit möchte man von Seiten des Fördervereins auch immer mal wieder Informationen haben. Und dann gibt es noch das heikle Thema der Anträge an den Förderverein. Vor allem beim Austausch von Informationen zwischen Schule und Förderverein wird oftmals gegen geltendes Datenschutzrecht verstoßen, da er ohne eine Einwilligung der Betroffenen erfolgt.

Grundsätzlich sollten sowohl Förderverein wie auch Schule beachten, dass eine Übermittlung von personenbezogenen Daten für beide Seiten eine Einwilligung der betroffenen voraussetzt. Das heißt:

  • Anträge, bei welchen es um die Bezuschussung von Schülerinnen und Schülern geht, sollten aus Gründen des Datenschutz nie die Namen der betroffenen Personen enthalten. Zur Bewilligung von Anträgen ist die Kenntnis der Namen der Betroffenen auch nicht erforderlich.
  • Wenn der Förderverein wegen der Aktualisierung von einer oder mehreren Adressen bei der Schule anfragt, kann die Schule hier nur weiterhelfen, wenn sie zuvor die Einverständnis der Betroffenen eingeholt hat.
  • Wenn es um Mitgliederwerbung geht, ist es für die Schule immer einfacher, wenn der Förderverein Anmeldezettel an Eltern verteilt. Will eine Schule eine Liste mit den Adressen der Eltern an den Förderverein übermitteln, so braucht sie dafür die ausdrückliche Einwilligung aller dieser Eltern.

Das gilt auch, wenn Personen aus dem Kollegium oder der Schulleitung im Fördererein tätig sind. Aus Datenschutzgründen müssen die Rollen klar getrennt sein.

Anmeldung im Förderverein

Bei der Anmeldung am Förderverein werden personenbezogene Daten erhoben, um mit den Mitgliedern in Kontakt zu treten (Information über die Arbeit, Einladung zu Versammlungen, …) und die Mitglieder zu verwalten. Zu letzterem gehört auch der Zahlungsverkehr im Zusammenhang mit den Mitgliedsbeiträgen. Vielfach wird in Vereinen bei Anmeldungen von den Betroffenen eine Einwilligung in die Verarbeitung von personenbezogenen Daten eingeholt. Das ist nach Ansicht von Fachjuristen und Aufsichtsbehörden nicht erforderlich.1Quelle des Zitats unten: 9. Tätigkeitsbericht (2019) des Bayerischen Landesamtes für Datenschutzaufsicht 

Eine Einwilligung wird für diesen Verarbeitungszweck jedoch grundsätzlich nicht benötigt. Denn gemäß Art. 6 Abs. 1 Buchst. b DS-GVO ist geregelt, dass die Verarbeitung personenbezogener Daten zulässig ist, wenn sie zur Erfüllung eines Vertrages erfolgt. Da das Mitgliedschaftsverhältnis ein vertragsähnliches Rechtsverhältnis ist (vgl. BGHZ 110, 323, 327), ist die Verarbeitung für Zwecke, die zur Durchführung des Mitgliedschaftsverhältnisses erforderlich sind, auf Grundlage von Art. 6 Abs. 1 Buchst. b DS-GVO zulässig. Gleiches gilt aber auch für Verarbeitungstätigkeiten, die zur Erreichung weiterer Zwecke erforderlich sind, die als solche hinreichend deutlich als Vereinszwecke in der Satzung des Vereins angelegt sind.

Immer erforderlich ist bei der Anmeldung allerdings eine Information über die Verarbeitung von personenbezogenen Daten nach Art. 13 DS-GVO. Dazu gehört auch eine Information über die Rechte der Betroffenen.

Beitrittsformular

Da nach Einschätzung verschiedener Experten ein Mitgliedsverhältnis in einem Verein einer vertraglichen Erlaubnis sehr ähnlich ist, kann die Verarbeitung der personenbezogenen Daten von Vereinsmitgliedern, wie oben beschrieben, auf Grundlage von Art. 6 DSGVO Abs. 1 Satz 1 lit. b –  Vertrag/Vorvertrag – erfolgen. 1 Eine Einwilligung ist damit nicht erforderlich.

Weitere Informationen zu Datenschutz und Förderverein

Die Broschüre „Datenschutz im Verein nach der Datenschutz-Grundverordnung“ der LDI NRW deckt alle Bereiche ab, welche einen Verein in Bezug auf Datenschutz betreffen können. In der sehr umfangreichen Schrift werden auch Themen behandelt, welche für kleinere Vereine, die nur wenige personenbezogene Daten verarbeiten und meist auch keine umfangreichen Verarbeitungsprozesse durchführen, weniger relevant sind.

Auch aus Bayern gibt es Hilfen für Vereine unter DSGVO für Vereine: Fragen und Antworten

Bewerbungsverfahren und Datenschutz

Lesezeit: < 1 Minute

Schulen stellen nicht nur Lehrkräfte ein, welche ihnen von Seiten des Landes zugewiesen werden, sondern führen auch Einstellungen durch im Rahmen von schulscharfen Auswahlverfahren. Bewerber schicken dabei ihre Bewerbungsunterlagen direkt an die Schule. Neben diesem offiziellen Weg landen auch schon einmal Initiativbewerbungen im Schulbüro. Dazu kommen noch Krankheitsvertretungen und Elternzeitvertretungen. Die Bewerbungen können dabei unterschiedliches Format haben. Neben den klassischen Bewerbungsmappen landen auch Bewerbungen in digitaler Form als E-Mail mit Anhang bei den Schulen. Bewerbungs- bzw. Einstellungsverfahren sind Verarbeitungsvorgänge, bei denen es sogar um recht sensible personenbezogene Daten gehen kann.

Wie bei jeder Datenverarbeitung sind Betroffene entsprechend Art. 12 DS-GVO über die Verarbeitung ihrer Daten zu informieren. Das erfolgt am besten, wenn den Bewerbern der Eingang ihrer Bewerbung schriftlich bestätigt wird. Zu berücksichtigen sind entsprechend je nach Bewerber Angaben nach Art. 13 (bezüglich der Bewerbungsunterlagen, die vom Bewerber selbst eingereicht werden) und Art. 14 (bezüglich Unterlagen, die von einer anderen Dienststelle angefordert werden, etwa die Personalakte). Angegeben werden sollten dabei:

  • Art der personenbezogenen Daten: Lebenslauf, Zeugnisse, Qualifikationen, …,
  • Herkunft der personenbezogenen Daten: vom Bewerber eingereicht, von der Schulaufsicht angefordert (z.B. Bezirksregierung),
  • Übermittlung der personenbezogenen Daten: an die am Auswahlverfahren beteiligten Personen, z.B. Mitglieder der Schulleitung, Abteilungsleiter, Fachleiter, Gleichstellungsbeauftragte(r), Mitglied des Personalrates, … und bei einer Einstellung z.B. Schulaufsicht
  • Speicherdauer der personenbezogenen Daten :
    • bei Ablehnung Rückgabe oder Löschung 2 Monate nach Beendigung des Bewerbungsverfahrens (in Orientierung an §15 Abs. 4 AGG)
    • bei einer Einstellung Aufnahme in die Personalakte,
  • Rechte der Bewerber Betroffenenrechte wie z.B. Löschung, Auskunft oder Recht auf Berichtigung).

Weiterlesen:

Kontaktliste Kollegium – was geht?

Lesezeit: < 1 Minute

In einem Tweet wundert sich am 09.11.2019 @grundschulmann

#Datenschutz #Schule #twitterlehrerzimmer

Zu Beginn des Schuljahres wird eine Lehrer-Kontaktliste an alle KuK verteilt, die neben Name und Geburtstag auch Privatadresse, Handynummer, Festnetz und (private) Email beinhaltet.

Sehe nur ich das kritisch?

Das Thema ist datenschutzrechtlich sehr ähnlich zu dem der Eltern-Telefonliste. Dort gilt, die Telefonnummer von Eltern darf anderen Eltern nur dann bekannt gegeben werden, wenn dazu eine Einwilligung der Eltern vorliegt.

Wenn die Schulleitung eine Liste des Kollegiums erstellt, die an jede Lehrkraft ausgegeben werden soll, dann kann sie dieses ohne Einwilligung der Lehrkräfte tun, solange sie sich dabei neben dem Namen auf personenbezogene Daten beschränkt, welche dienstliche Belange betreffen. Das wären etwa

  • Funktionen an der Schule wie z.B. Klassenleitung 8c, Medienbeauftragte, Oberstufenkoordinator, Vorsitzender des Lehrerrates oder
  • Daten zur dienstliche Erreichbarkeit wie dienstliches Telefon, dienstliches E-Mail usw.

Alle außer dem Namen im Tweet genannten Informationen zählen definitiv nicht zu diesen Daten.

Möchte die Schulleitung also eine Liste wie im Tweet beschrieben, erstellen und weitergeben ans Kollegium, braucht es eine Einwilligung und diese sollte eine Auswahl zulassen, welche Daten in die Liste aufgenommen werden dürfen und ggf. in welcher Form. Die folgende Vorlage für eine Einwilligung berücksichtigt diesen Aspekt und ist um eine alternative Form ergänzt, wie die Einwilligungen etwas unbürokratischer eingeholt werden könnten.

Tipps zur Datensicherheit auf privaten Endgeräten überarbeitet

Lesezeit: < 1 Minute

Die Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken ist nun schon über ein Jahr verbindlich vorgegeben für Lehrkräfte in NRW. Für viele Lehrkräfte ist die Situation bezüglich der Verarbeitung von personenbezogenen Daten von Schülern auf eigenen Geräten noch immer nicht zufriedenstellend geklärt. An einigen Schulen geht auch jetzt noch nichts. Entweder die Schulleitungen verweigern die Unterschrift unter die Genehmigung oder die Lehrkräfte wollen sie nicht einholen. Man darf deshalb gespannt sein, ob es mit der anstehenden Änderung in §§120-22 SchulG NRW und dem finalen Rollout von Logineo NRW noch einmal Änderungen am Genehmigungsformular geben wird. Änderungen sind durchaus möglich, da der Genehmigungsvordruck noch immer in der Kritik steht, vor allem bezüglich des Haftungspassus, und das MSB zum anderen bestrebt sein dürfte, weitere personenbezogene Daten zur Verarbeitung auf privaten Endgeräten zuzulassen1Letzteres ist eine Vermutung, die vor allem auf der Entwicklungsgeschichte von Logineo NRW beruht. Der Daten Safe kann ohne eine Erweiterung der für eine Verarbeitung auf privaten Endgeräten zugelassenen Daten nie im geplanten Sinne genutzt werden und wäre damit als Konstrukt mehr oder weniger hinfällig..

Auch wenn noch immer Schulen und Lehrkräfte die Genehmigung verweigern, so gibt es doch auch solche, die dann irgendwann doch den Schritt gehen und die Genehmigung geben bzw. einholen. Die Tipps helfen dabei, die in Teil B – Datensicherheit der Genehmigung geforderten Maßnahmen zum Schutz der auf dem privaten Endgerät verarbeiteten Daten zu gewährleisten. Da sich seit der Erstellung der Tipps Anfang 2018 wieder einiges getan hat bei den großen Betriebssystemen – Windows, Mac OS, Linux, iOS und Android2Chrome OS fehlt hier, da dieses Betriebssystem komplett Cloud basiert ist und eine Nutzung für die Verarbeitung von personenbezogenen Daten aus der Schulverwaltung gegenwärtig aus datenschutzrechtlicher Sicht nicht vertretbar ist. – gibt es die Tipps jetzt in einer aktualisierten Version.