Autor: mr_tee

Veröffentlicht am

TeacherTool zeigt, Datenschutz kann einfach sein

Lesezeit: 2 Minuten

Es tut gut, wenn man sieht, dass es Softwareentwickler gibt, die mitdenken. Privacy by Design und Privacy by Default1Siehe dazu Privacy by Design gehören nach Art. 25 DS-GVO zu Grundprinzipien des Datenschutzes. Wer ein Softwareprodukt oder einen Online Dienst entwickelt, sollte entsprechend direkt bei der Entwicklung Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen berücksichtigen. TeacherTool, ein iOS App für die Schülerverwaltung, macht genau dieses schon seit Jahren auf vorbildliche Art und Weise. Der Entwickler der Software kennt die Nöte seiner Kunden, die vor allem in NRW seit der neuen Genehmigung eher zugenommen haben, wenn es um die dienstlichen Vorgaben zur Nutzung von Privatgeräten von Lehrkräften zur Verarbeitung von personenbezogenen Daten aus der Schule geht. Das App, welches Lehrkräften die Verwaltung von Schülerdaten (Noten, Fehlzeiten, Bemerkungen, …) erleichtert und auch die Führung eines Kursbuchs zur Planung des Unterrichts beinhaltet, dürfte von Lehrkräften überwiegend auf Privatgeräte genutzt werden. Und das geht ohne Genehmigung nicht. Strenge technische und organisatorische Vorgaben sind einzuhalten, um das Gerät sicher zu machen. iOS Geräte sind an sich schon sehr sicher, wenn man die vom System angebotenen Sicherheitseinstellungen nutzt. Teachertool packt seine eigenen Sicherheitsfeatures noch oben drauf, um Lehrern die Einhaltung datenschutzrechtlicher Vorgaben zu erleichtern. Das App lässt sich mit einer Zugangssperre versehen, die Datenbanken mit Passwort sichern und der Versand von Kursbüchern per E-Mail, um sie am Rechner zu sichern, erfolgt immer verschlüsselt und passwortgesichert.

Als zusätzlichen Service bietet der Entwickler des Programms auf seiner Website umfängliche Informationen zur sicheren Arbeit mit personenbezogenen Daten von Schülern in TeacherTool. Neben zahlreichen Hilfen auf der Website selbst, stehen aktuell zwei Downloads zur Verfügung. “Informationen zu Datenschutzfragen” geht auf die verschiedenen datenschutzrechtlichen Aspekte bei der Nutzung des Apps und der Desktopsoftware ein, erläutert, welche Daten überhaupt verarbeitet werden sowie relevante technische Aspekte bei der Nutzung und gibt Hinweise, wie man mit maximaler Sicherheit arbeitet. “TeacherTool und die DSGVO” beschäftigt sich speziell mit den Vorgaben der Datenschutz Grundverordnung, gibt aber auch noch weitere hinausgehende Informationen zum Thema.

Gerade für Lehrkräfte in NRW, die mit iOS Geräten arbeiten, ist TeacherTool ideal. Wer sich bei der Verarbeitung von personenbezogene Daten von Schülern auf einem iOS Gerät auf den Einsatz von TeacherTool beschränkt, und dabei sowohl die Sicherheitseinstellungen des Systems wie auch von TeacherTool vollumfänglich einsetzt, der kann den Antrag zur Genehmigung ohne Bedenken unterschreiben. Genauso sollte eine Schulleitung hier ohne Bedenken eine Genehmigung erteilen, denn sicherer geht es nicht.2Ich würde hierzu gegenenfalls das Genehmigungsformular um einen Passus ergänzen, welcher die Genehmigung zur Verarbeitung von personenbezogenen Daten von Schülerinnen und Schülern auf dem iOS Gerät, für welches eine Genehmigung eingeholt werden soll, auf TeacherTool beschränkt. Je nach Situation kann das eine Lösung sein, auch wenn sie nicht ideal ist, da so andere Verarbeitungsmöglichkeiten ausgeschlossen werden. Die Sicherungsdateien sollten dann auf einen schulischen Verwaltungsrechner geschickt und dort gespeichert werden.3So braucht es keine zusätzliche Genehmigung für ein weiteres privates Endgerät. Ausdrucken kann man entweder vom iOS Gerät per WLAN zu Hause oder in der Schule aus der übermittelten Datei.

Als schulischer Datenschutzbeauftragter kann ich für TeacherTool eine uneingeschränkte Empfehlung abgeben.

Schulen, die ihren Lehrer iPads stellen und diese über ein MDM verwalten, können darüber auch Voreinstellungen zur Datenverarbeitung für die Nutzung des TeacherTool App konfigurieren. So kann Schule sicherstellen, dass auch auf dienstlichen iPad im App nur zulässige personenbezogene Daten von Schülern verarbeitet werden.

Veröffentlicht am

Elektronische Schließanlagen in Schulen – ein Problem – zwei Sichten

Lesezeit: 4 Minuten

In NRW beschäftigt Schulen schon seit einiger Zeit das Problem elektronischer oder elektromechanischer Schließsysteme. Diese sollen die Sicherheit der Gebäudezugänge erhöhen und eine Vereinfachung der Verwaltung der Schlüssel- und Schließanlagen bewirken. So kann bei Verlust eines Schlüssels, die Schließberechtigung für diesen einen Schlüssel aufgehoben werden und ein Komplettaustausch der kompletten Schließanlage ist nicht mehr erforderlich.

Bei mechatronischen Schließanlagen hat man einen mechanischen Schlüssel, der im Kopfteil eine elektronische Komponente hat. Über das Zusammenwirken von Schlüssel und Schließzylinder kann durch Berechtigungen bestimmt werden, welcher Schlüssel welche Tür öffnen kann. Der Schließzylinder in der Tür  zeichnet sämtliche Schließvorgänge auf mit Datum und Uhrzeit und ob ein Schließversuch berechtigt oder unberechtigt war. Da die Schließzylinder nur eine begrenzte Anzahl von Schließvorgängen aufzeichnen können, werden die ältesten Schließvorgänge gelöscht, sobald der Speicher voll ist. Die Zuteilung der Schlüssel auf Benutzer erfolgt über eine Software, die meist bei der Haustechnik installiert ist. Mittels eines Handlesegerätes lassen sich die Schließzylinder auslesen. Die dabei aufgenommenen Daten lassen sich in die Software einspielen. Dort können dann Schließvorgänge mit Nutzern zusammengeführt werden. Elektronische Schließsysteme mit Funk-Transponder oder Chipkarten arbeiten vom Prinzip her ähnlich. Das Problem ist das gleiche. Es werden personenbezogene Daten der Personen aufgezeichnet, welche einen Schlüssel innehaben, mittels derer es möglich wäre, nachzuhalten, wann wer das Gebäude betreten hat, eine Tür verschlossen hat, etwa beim Verlassen des Klassenraumes, oder eine Toilette aufgesucht hat.

Interessant ist nun, dass dieser Sachverhalt, der definitiv eine datenschutzrechtliche Komponente hat, je nach Bundesland völlig anders bewertet wird, sowohl was die Verantwortlichkeiten angeht als auch die Rechte der Betroffenen.

Wer ist verantwortlich?

NRW – die Schulleitung ist verantwortlich

Hier in NRW ist man von Seiten des Schulministeriums der Ansicht, dass für die datenschutzrechtlichen Belange, welche sich durch den Betrieb einer elektronischen Schließanlage ergeben, die Schulleitung zuständig ist. Dieses leitet man aus der Dienstanweisung für die automatisierte Verarbeitung personenbezogener Daten in der Schule (BASS 10 – 41 Nr. 4) Nr 3. ab.1Zu einem entsprechenden Schluss kam in einem Urteil am 09.03. 2018 auch das Oberlandesgericht Hamm, 11 U 25/17
“Verantwortliche Stelle i.S.d. § 3 Abs. 3 DSG NW ist nach den obigen Ausführungen hier aber allein die Schule und nicht auch der Beklagte.”Gemeint ist mit der Beklagte der Schulträger, gegen welchen eine Lehrkraft vor Gericht gegangen war.

“Die Schule ist – auch soweit sie sich in kommunaler Trägerschaft befindet – speichernde Stelle im Sinne des Datenschutzgesetzes Nordrhein-Westfalen (DSG NW). Für das Einhalten der Datenschutzvorschriften ist die Schulleiterin oder der Schulleiter verantwortlich.”

Das hat rechtliche Folgen, denn betrieben wird die elektronische Schließanlage nicht durch die Schule, sondern durch den Schulträger oder einen mit dem Gebäudemanagement beauftragten Dienstleister. Die Schulleitung als Verantwortlicher muss demnach mit dem Schulträger einen Vertrag zur Datenverarbeitung im Auftrag abschließen, in welchem ein eventueller Dienstleister für das Gebäudemanagement als Unterauftragnehmer benannt ist. Der Schulträger ist damit gegenüber der Schulleitung weisungsgebunden. Das bedeutet, jegliches Auslesen der Schließzylinder und Zusammenführen der Daten kann nur auf Weisung der Schulleitung erfolgen.

Baden Württemberg – der Schulträger ist verantwortlich

Eine gänzlich andere Sicht auf diese Thematik hat man in Baden Württemberg. Dort geht man davon aus, dass nach § 48 Schulgesetz (SchG) der Schulträger im Rahmen seiner Zuständigkeit für die äußeren Schulangelegenheiten nicht nur das Schulgebäude errichtet und erhält, wozu auch der Einbau einer elektronischen Schließanlage zählt, sondern auch für den Betrieb dieser Anlage verantwortlich ist.2siehe Datenschutzrechtlich verantwortliche Stelle Entsprechend führt man auf einer Seite des Ministeriums aus:

“In der Konsequenz dieser schulrechtlichen Zuweisung der Verantwortung treffen auch die materiell-rechtlichen und formalen datenschutzrechtlichen Anforderungen an den Betrieb der Schließanlage nicht die Schulleitung, sondern den Schulträger.”

Damit liegt hier keine Erfordernis vor, einen Vertrag zur Datenverarbeitung im Auftrag abzuschließen. Dieses selbst dann nicht der Fall, wenn der Schulträger die Verwaltung der Schließanlage ganz oder teilweise auf den Schulleiter delegiert und dieser dann im Rahmen des § 41 SchG BaWü Aufgaben des Schulträgers übernimmt, dabei aber an dessen Weisungen gebunden ist.

Die Rechte der Betroffenen

Einwilligung in NRW

Die schulische Datenschutzgesetzgebung lässt nur die Verarbeitung von personenbezogenen Daten der Lehrkräfte zu, die in der VO-DV II aufgeführt sind. Entsprechend heißt es in einem Schreiben der Bezirksregierung Arnsberg von Januar 2016 zum Beschäftigtendatenschutz bei Einführung elektronischer Schließanlagen in Schulen3Eine gleichlautende Ausführung findet sich auch in einem Schreiben des Schulministeriums von Dezember 2015.:

Mangels Ermächtigung aus dem schulspezifischen Datenschutzrecht käme allenfalls eine Datenverarbeitung mit Einwilligung nach §§ 4, 29a Datenschutzgesetz (DSG) in Betracht.”

Demnach geht in Schulen in NRW nichts ohne eine Einwilligung der betroffenen Lehrkräfte. Diese ist nur rechtswirksam, wenn sie freiwillig erfolgt. Das wiederum ist jedoch nur möglich, wenn es Handlungsalternativen gibt. Das kann, wenn es nur um Außentüren geht, eine Türe sein, die ohne elektronische Schließanlage gesichert oder den ganzen Schultag über unverschlossen ist. Eine weitere Möglichkeit besteht in der Zulosung der Schlüssel, so dass die Schließvorgänge keinem Nutzer zugeordnet werden können.4Dieses bringt jedoch einen Nachteil mit sich. Bei Verlust eines Schlüssels müssen sämtliche Programmierungen verändert werden, so dass nur noch die nicht vorhandenen Schlüssel Schließberechtigung haben. Damit wird ein Pluspunkt dieser System komplett ad absurdum geführt. Schwierig wird es, wenn es um Fachräume geht, bei denen nur zwei oder drei Personen schließberechtigt sind. Ähnliches gilt für Serverräume. Eine Anonymität der Schließvorgänge ist in diesen Fällen nicht mehr herstellbar. Alternative Zugänge haben diese Räume in den meisten Fällen ebenfalls nicht, wodurch auch keine Freiwilligkeit mehr gegeben ist. Ein Dilemma für Schule und Schulträger. In Konformität mit den datenschutzrechtlichen Vorgaben ist eine elektronische Schließanlage hier gar nicht zu betreiben. Solange alle mitspielen und einwilligen, ist das im Alltag kein Problem. Was jedoch, wenn eine Lehrkraft nicht einwilligt oder ihre Einwilligung nachträglich, etwa im Streitfall, in Frage stellt?

Keine Einwilligung in Baden Württemberg

Die datenschutzrechtlichen Probleme, vor welche Schulen und Schulträger in NRW sich durch den Betrieb einer elektronischen Schließanlage gestellt sehen, kennt man in Baden Württemberg nicht. Man orientiert sich dabei an Aussagen des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein (ULD). Dort sieht man “die Erhebung und Speicherung von Zutrittsdaten in elektronischen Schließanlagen für Zwecke der Gefahrenabwehr  (Einbruchschutz und Brandbekämpfung) als zulässig an (Tätigkeitsbericht 2005, Kapitel 4.1.3).” Zu einer vergleichbaren Einschätzung kam auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit, (Jahresbericht 2010, Kapitel 9.1.2 [pdf].5Siehe Datenschutzrechtliche Anforderungen

Das bedeutet, hier ist keine Einwilligung durch die Betroffenen erforderlich, da die Erhebung und Speicherung von Zutrittsdaten in elektronischen Schließanlagen für Zwecke der Gefahrenabwehr rechtlich vorgeht.

Wie in NRW gelten natürlich auch in BaWü die allgemeinen datenschutzrechtlichen Vorgaben zur Transparenz wie zur Zweckbindung und zur Datenvermeidung und –minimierung. Selbstredend steht den Betroffenen ein Auskunftsrecht gegenüber dem Schulträger entsprechend des Landesdatenschutzgesetzes bzw. der DS-GVO zu.

Fazit

Wie das Beispiel Baden Württemberg6Es ist zu erwarten, dass auch andere Bundesländer in diesem Bereich ähnliche Regelungen haben, zumindest in Schleswig Holstein und in Berlin. zeigt, kann das Thema elektronische Schließanlagen auch anders gehandhabt werden. Dabei ist nicht entscheidend, wer letztlich verantwortliche Stelle für die Verarbeitung personenbezogener Daten in der Schließanlage ist, sondern wie diese Datenverarbeitung rechtlich eingeordnet wird.

Werden Betroffene in ihren Rechten zur informationellen Selbstbestimmung in Baden Württemberg eingeschränkt? Das trifft sicherlich zu. Die Frage ist jedoch, ob dieses von Bedeutung ist. Die Datenverarbeitung in den elektronischen Schließanlagen ist zweckgebunden. Entsprechend ist nach Bewertung des  Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein “die Nutzung der Protokoll- oder Ereignisdaten für Zwecke der Überwachung der Mitarbeiter, in der Schule also der Lehrerinnen und Lehrer sowie des Personals des Schulträgers für unzulässig.” Eine Zweckbindung reicht völlig aus, um Betroffene zu schützen. Die Schulleitung, die es wagen sollte, Daten aus der Schließanlage zweckfremd zur Überwachung der Lehrkräfte zu nutzen, wird dafür persönlich gerade stehen müssen und sich zivilrechtlich wie dienstrechtlich verantworten müssen.

Vielleicht sollte man hier in NRW von Seiten des MSB über entsprechende gesetzliche Änderungen nachdenken. Für Schulen und Schulträger könnten die quasi unlösbaren Probleme mit dem datenschutzrechtlich sauberen Betrieb einer elektronischen Schließanlage dann der Vergangenheit angehören.

Veröffentlicht am

DS-GVO – Datenschutz – welche Baustellen sind für Schulen aktuell wichtig?

Lesezeit: 6 Minuten

Mit Beginn der Umsetzung der Datenschutz Grundverordnung (DS-GVO) im Mai diesen Jahres begann für viele Schulen eine Zeit mit großen Unsicherheiten. Kann mir als Schule etwas passieren? Wo muss etwas getan werden? Sind Abmahnungen und Bußgelder in Millionenhöhe eine Gefahr und wie kann ich sie vermeiden? Vor allem die Homepages der Schulen wurden vielfach zum Sorgenkind, da sich hartnäckig Gerüchte über Abmahnungen für fehlende Datenschutzerklärungen und Datenerhebungen ohne Einwilligung hielten. Auch was Fotografien angeht, war und ist die Unsicherheit groß, wie Beispiele mit Fotoverboten bei Entlass- und Einschulungsfeiern und Massenlöschungen von Bildern auf Schulhomepages zeigen.

Mittlerweile hat sich die Aufregung gelegt. Manches wird klarer. Einige Reaktionen an Schulen waren vielleicht etwas übereilt und teilweise auch völlig überzogen, wenngleich verständlich und nachvollziehbar. Bei aller Aufregung um die Datenschutz Grundverordnung sollte jedoch nicht vergessen werden – im schulischen Alltag funktioniert der Datenschutz bisher mehrheitlich gut, und daran hat sich seit Mai diesen Jahres auch nichts geändert.

Nichts wird so heiß gegessen, wie es gekocht wird. Das gilt hier ebenso. Ganz sicher gibt es an fast jeder Schule Optimierungsbedarf beim Datenschutz, doch Schulen haben genug andere, drängendere Probleme zu bewältigen. Die folgende Übersicht soll vermitteln,  wo zeitnah Handlungsbedarf besteht und bei welchen Datenschutzthemen man es ruhiger angehen lassen kann.

Einwilligungen

Sie stellen das vermutlich dringlichste Thema dar, denn eine Schule muss nachweisen können, dass eine Einwilligung vorliegt, wenn personenbezogene Daten verarbeitet werden, die nicht auf gesetzlicher Grundlage (SchulG NRW, DS-GVO I & II) erhoben wurden. Nur so kann sie sich vor rechtlichen Folgen schützen. Alte Einwilligungen können, wenn sie gewisse Vorgaben erfüllen, weiter genutzt werden. Trifft das nicht zu oder es gibt gar keine Einwilligungen, sollte man mit gesundem Menschenverstand abwägen, ob es Sinn macht, die Einwilligung zu erneuern bzw. nachträglich einzuholen. Sind die Betroffenen noch Schüler bzw. Beschäftigte der Schule, sollte man auf jeden Fall aktuelle Einwilligungen dieser Personen haben, wenn es um neue Fotografien und Videos geht. Auch bei Zweckänderungen in der Verarbeitung von bereits erhobenen personenbezogenen Daten sollte man sich entsprechend durch eine Einwilligung absichern. Geht es um Bilder oder Berichte auf der Schulhomepage, die Personen sind nicht mehr an der Schule, haben sich aber nie beschwert, so belässt man die Dinge wie sie sind. Sollte irgendwann doch einmal ein Betroffener eine Löschung wünschen, kommt man dieser nach und das Thema ist damit in der Regel erledigt. Dass sich hieraus ein Rechtsstreit ergibt ist mit der DS-GVO nicht wahrscheinlicher geworden als zuvor.

Einwilligungen stehen hier an erster Stelle, da Betroffene vor Gericht auf Schadensersatz klagen können, wenn die Schule personenbezogene Daten ohne ihre Einwilligung verarbeitet und diese z.B. auf der Schulhomepage veröffentlicht oder an Dritte übermittelt.

Risiken minimieren

Auch wenn es insgesamt gut bestellt ist um den Datenschutz in der Schule, so beobachtet man doch immer wieder Praktiken, die riskant sind und zu viel Ärger und empfindlichen Strafen führen können, wenn es dann doch einmal schief geht. Gemeint sind folgende Bereiche:

  1. Keine personenbezogenen Daten per E-Mail versenden, wenn das E-Mail nicht verschlüsselt ist. Der Schulträger, die Verkehrsbetriebe oder eine andere Stelle benötigt eine Liste mit Teilnehmern oder das Schulamt fragt an wegen eines Schülers. Tabellen und Word Dokumente werden dann schnell verschickt. Es ist einfach und bequem – aber extrem unsicher! Auch wenn es mehr Arbeit macht, nutzen Sie einen sicheren Weg und wenn es per Brief ist oder Fax – falls Sie nicht in der Lage sind, E-Mails zu verschlüsseln.
  2. Transport von personenbezogenen Daten nur auf gesicherten Datenträgern! Einen USB Stick hat man schnell verloren, eine externe Festplatte bleibt auch einmal wo liegen. Ungesichert kann jeder den Inhalt auslesen. Falls man selbst keinen USB Stick verschlüsseln kann – es gibt solche mit integrierter Verschlüsselung. Sie kosten zwischen 20 und 30 € und sind einfach zu nutzen und sicher.
  3. Keine Aufnahmen von Schülerinnen und Schülern mal eben so! Es gibt viele schöne Projekte im Unterricht, wo es passend scheint, Aufnahmen zu anzufertigen, Bewegungsanalysen im Sportunterricht, ein Sketch im Fremdsprachunterricht und ähnlich. Auch wenn die Schüler nichts dagegen haben, sichert man sich besser durch eine Einwilligung ab. Man kann dieses bei der Anmeldung an der Schule machen oder später anlassbezogen nachholen. Besondere Anlässe benötigen immer eine anlassbezogene Einwilligung!
  4. Vor Veröffentlichung von personenbezogenen Daten – insbesondere Fotos und Videos – vergewissern, dass eine Einwilligung vorliegt! Wenn es an ihrer Schule Schüler oder Lehrkräfte gibt, die eine Einwilligung für die Veröffentlichung von personenbezogenen Daten generell oder bestimmten Formen (z.B. Fotos) nicht gegeben oder diese widerrufen haben, gehen sie vor jeder Veröffenlichung sicher, dass hier kein Fehler gemacht wird, denn dieses kann teuer werden. Wer nicht einwilligt oder eine Einwilligung widerruft, wird mit Sicherheit auf seinem Recht bestehen, auch vor Gericht.
  5. Melden sie ihre Schüler nicht mal einfach so auf irgendeiner Plattform an! Solange eine Plattform ohne Anmeldung mit personenbezogenen Daten genutzt werden kann, gibt es keine Probleme. Wenn sie für ihre Schüler ohne Einwilligung auf einer Plattform unter Verwendung personenbezogener Daten User anlegen, kann das Ärger geben. Bitte beachten sie, nach der DS-GVO sind in Deutschland Schüler selbst erst ab 16 Jahren einwilligungsfähig! Denken sie außerdem daran, dass die Nutzung einer externen Plattform mit personenbezogenen Daten eine Genehmigung durch die Schulleitung braucht und eventuell einen Vertrag zur Auftragsverarbeitung.
  6. Geben Sie keine personenbezogenen Daten ohne die entsprechende Einwilligung weiter! Eine Telefonliste für alle Eltern, die am ersten Elternabend anwesend sind, einschließlich der Telefonnummern der Eltern, die nicht anwesend sind, was ist schon dabei? Das örtliche Geldinstitut möchte gerne eine Teilnehmerliste der Zehner haben, die am Seminar in der Filiale teilnehmen. Kein Problem, oder? Leider doch. Schulen dürfen ohne Einwilligung nur personenbezogene Daten weitergeben, wenn dieses durch entsprechende Rechtsvorschriften abgedeckt ist, sonst nicht. Bevor also die Telefonliste herausgegeben wird an alle Eltern mit allen Nummern, muss erst die Einwilligung der fehlenden Eltern eingeholt werden. Bei den Zehnern braucht es die der Schülerinnen und Schüler, schriftlich, damit sie die Einwilligung nachweisen können.
  7. Vernichten bzw. löschen sie personenbezogene Daten sicher! Wenn personenbezogene Daten aus der Schule im Müll auftauchen oder auf dem Flohmarkt, gespeichert auf einer entsorgten Festplatte, dann kann das schwer ins Auge gehen. Deswegen sollten alle diese Unterlagen, ob in Form von Papier oder digitalen Medien sachgerecht und sicher entsorgt werden. In jedes Schulsekretariat gehört ein guter Schredder zumindest DIN 66399‎. Ausgediente digitale Medien sollte man entweder selbst physikalisch zerstören oder durch einen Profi Entsorger vernichten lassen. Gleiches gilt für gößere Aktenmengen. Schulträger haben die entsprechenden Kontakte. Sicheres Löschen bzw. Vernichten gilt auch für Lehrkräfte. Sollen digitale Medien weiter im Haus genutzt werden, müssen sie durch entsprechende Software sicher gelöscht werden. Gehen sie außer Haus ist eine Zerstörung bzw. professionelle Entsorgung der bessere Weg.
  8. Verzichten sie als Schule auf einen Facebook Auftritt – aktuell sieht es sehr danach aus, dass man als Betreiber einer eigenen Facebook Fanpage, und darunter fällt auch eine schulische Facebook Präsenz, Mitverantwortung für die Datenerhebung und -verarbeitung durch Facebook trägt. Wer der Schule übel will, könnte das ausnutzen, um rechtliche Schritte gegen die Schule einzuleiten.1Sollten sie nicht auf die Facebook Präsenz ihrer Schule verzichten wollen, so würde ich auf jeden Fall dringend von der Veröffentlichung irgendwelcher personenbezogener Daten von Schülern und Lehrkräften abraten, vor allem von Fotos und Videos.

Schulhomepage

Auch wenn es bei der Schulhomepage bezüglich des Datenschutz keine Angriffspunkte gibt, wegen derer eine Schule abgemahnt werden könnte, sollte man vorbeugen und die Verarbeitung von personenbezogenen Daten auf das notwendige Minimum reduzieren. Es empfiehlt sich sehr, auf Website Elemente zu verzichten, die Daten erheben und an Dritte weiterleiten und stattdessen auf datenschutzfreundliche Alternativen zu setzen. Wenn es doch nicht ohne geht, dann muss in der Datenschutzerklärung darüber informiert werden. Aktuell gehen rechtliche Risiken in Bezug auf die Schulhomepage weniger von Seiten des Datenschutz aus als von Verletzungen des Urheberrechts oder des Persönlichkeitsrechts. Viele Schulen waren hier schon aktiv und es sollte kaum noch Handlungsbedarf bestehen.

Vertrag zur Datenverarbeitung im Auftrag

Wenn Schulen personenbezogene Daten durch externe Dienstleister verarbeiten lassen, sei es der Hoster für die Website, der Schulträger für ein Lernmanagementsystem, die Office 365 Cloud, Apple für die Managed Apple IDs, Westermanns Leseplattform Antolin oder ähnlich, so muss dieser dazu beauftragt werden. Hier gibt es eine Vorgabe für Schulen in NRW in der VO-DV I §2 Abs. 32(3) Die Schulen und Schulaufsichtsbehörden sind berechtigt, unter Beachtung der Voraussetzung des § 11 DSG NRW die Datensicherheit gewährleistende und zuverlässige Institutionen mit der Verarbeitung ihrer Daten zu beauftragen. Die Datenverarbeitung im Auftrag ist nur zulässig nach Weisung der Schule oder der Schulaufsichtsbehörden und ausschließlich für deren Zwecke.. Das Mittel, um die Beauftragung zu dokumentieren, ist ein Vertrag zur Auftragsverarbeitung, der auch elektronisch abgeschlossen werden kann. Es ist gut, wenn man die entsprechenden Verträge hat. Wer wird es kontrollieren? Vermutlich niemand. Sollte es beim Anbieter zu einem Datenschutzvorfall kommen, ist man mit einem Vertrag aber eindeutig auf der sicheren Seite.

Verzeichnis von Verarbeitungstätigkeiten

Die DS-GVO macht die Vorgabe, diese Verzeichnisse zu erstellen. Was genau eine Verarbeitungstätigkeit von einer anderen abgrenzt, bleibt bislang unklar. Wird der Datenschutz besser durch dieses Verzeichnis? Wohl nicht. Anders als noch die alten Verfahrensverzeichnisse, müssen die neuen Verzeichnisse Betroffenen nicht offengelegt werden. Auch die Vorabkontrolle durch die Datenschutzbeauftragten gibt es nicht mehr. Wenn überhaupt, dann könnte die Aufsichtsbehörde sie anfordern. Aber auch damit ist nicht zu rechnen, denn die geringe Zahl der Mitarbeiter lässt der Aufsichtbehörde dafür kaum Zeit. Man muss sich um Betriebe kümmern. Und anders als bei öffentlichen Stellen, zu denen Schulen zählen, können Betriebe mit Bußgeldern belegt werden, wenn die Dokumentation fehlt oder nicht stimmig ist. Das heißt: Schulen können dieses Thema weit hintenanstellen. Wenn Zeit und Ressourcen da sind, lädt man die passenden Vorlagen herunter, füllt das Vorblatt und ergänzt oder streicht, wo erforderlich und gut ist.

Veröffentlicht am

Personenbezogene Daten mal eben löschen – was ist zu beachten?

Lesezeit: < 1 Minute

In Schule ist ganz klar geregelt, was mit personenbezogenen Daten zu geschehen hat, wenn die Person, welche sie betreffen, die Schule verlassen hat und die Aufbewahrungsfristen abgelaufen sind. Für einige Daten ist dieser Zeitpunkt recht früh erreicht, bei Schülern sind beispielsweise die ersten Daten nach fünf Jahren fällig, bei Lehrkräften sogar schon nach nur einem Jahr1Siehe dazu VO-DV I & VO-DV II jeweils §9. Viele Personen haben dann nur noch zwei Begriffe im Kopf, Löschen und Vernichten.

So einfach ist es jedoch nicht, denn es gibt auch eine Pflicht, die Daten der Schule einem Archiv anzubieten. Der Themenbeitrag AUFBEWAHRUNGSFRIST ABGELAUFEN – UND JETZT? setzt sich intensiver mit dem Thema auseinander und erklärt, worauf man achten sollte.

Veröffentlicht am

Dürfen Gäste bei Schulveranstaltungen Fotos machen?

Lesezeit: 7 Minuten

Vor ein paar Monaten machte sich noch niemand Gedanken, ob es wohl rechtmäßig ist, wenn Besucher bei einer Schulveranstaltung Fotos machen. Es war normal, dass bei Schulfesten, Einschulungsfeiern, Schulentlassungen und ähnlich Eltern die Veranstaltung in in Form von Fotos und teilweise auch Videos festhielten. War das in der Vergangenheit auf einige wenige foto- oder videobegeisterte Eltern beschränkt, so ist heute fast jeder mit dabei. Und anders als früher landen einige der entstandenen Medien auch schnell in sozialen Netzwerken. Man möchte die Freude teilen und die Fotos und Videos auch anderen, die dabei waren, zur Verfügung stellen.

Eltern fotografieren ihre Kinder bei einer Entlassfeier in der Aula der Schule mit ihren Smartphones.

Seit Beginn der Umsetzung der DS-GVO am 25.05.2018 herrscht an mancher Schule herrscht große Unsicherheit, ob die bisherige Praxis so weiter Bestand haben kann, braucht die Schule selbst doch Einwilligungen der Erziehungsberechtigten für das Anfertigen von Fotos von Schülerinnen und Schülern. In Folge untersagten dann Schulen Eltern das Fotografieren bei Schulveranstaltungen. Über die Medien bekannt geworden sind mehrere solche Fälle, z.B. im Raum München, wo eine Schule Eltern das Fotografieren auf dem Schulgelände grundsätzlich verbietet, und in der Lausitz, wo die Schulleitung Teilnehmern der Einschulungsfeier Fotos und Video im Kulturhaus und auf dem Schulgelände untersagt. Auch ein bayrisches Schulamt empfiehlt Schulen, dass Eltern das Fotografieren nicht mehr erlaubt werden soll. Verwiesen wird in allen Fällen auf die DS-GVO.

Im Schulamt Cottbus hält man ein generelles Fotografierverbot für nicht angemessen, sieht jedoch die Erfordernis einer vorherigen Einwilligung durch alle Eltern1“Ein generelles Fotografierverbot wäre nicht angemessen und würde bei den Eltern auf Unverständnis stoßen. Um allerdings Fotos machen zu können, bräuchte man das Einverständnis aller Eltern“, sagt Gerald Boese.” Schulanfang 2018 und die DSGVO – Grundschule verbietet Eltern Fotos bei Einschulungs-Feier und verweist sonst auf die Möglichkeit, Fotos außerhalb der Veranstaltung zu machen.

Die rechtliche Seite

Grundsätzlich kann die Schulleitung durch ihr Hausrecht tatsächlich Besuchern das Anfertigen von Fotos und Videos auf dem Schulgelände untersagen. Doch ist das zur Einhaltung der Vorgaben der DS-GVO tatsächlich erforderlich?

Bei der Anfertigung von Fotografien und Videos auf schulischen Veranstaltungen geht es rechtlich um zwei verschiedene Dinge, das Anfertigen selbst und die Veröffentlichung.

Der bayrische Datenschutzbeauftragte Thomas Petri sieht kein Problem darin, wenn Eltern Fotos ihrer Kinder anfertigen und andere Kinder auf diesen Fotos als “Beiwerk” erscheinen. Allerdings macht es, wenn es um das Veröffentlichen in sozialen Netzwerken geht, seiner Meinung nach schon einen Unterschied, ob die Fotos irgendwo entstehen oder in einer Schule.

“Das Veröffentlichen von Fotos, die bei Schulveranstaltungen gemacht wurden, ist etwas heikler: Denn die Schule ist ein besonders geschützter Rahmen. Für das private Familienalbum ist das Fotografieren ok. Anders bei einer Veröffentlichung auf Facebook. Dann müssen Eltern mit Haftungsrisiken leben, wenn sich Eltern anderer mit abgebildeter Kinder gegen die Veröffentlichung zur Wehr setzen.” 2Datenschutz bei Kindern; Wenn Schulen und Kitas das Fotografieren verbieten, 05.07.2018

Genau in die gleiche Richtung argumentiert auch Thomas Stadler, ein Fachanwalt für IT- Recht, in seinem Beitrag “Fordert der Datenschutz ein Fotografierverbot auf Schulfesten?” Er sieht keine Erfordernis für ein Verbot, da sich aus der DS-GVO kein solches ableiten lasse. Vielmehr sieht er eine Anwendbarkeit der Datenschutz Grundverordnung in derartigen Fällen für nicht gegeben, wenn die Anfertigung der Fotos ausschließlich persönlichen und familiären Zwecken dient.

Art. 2 Abs. 2 c) DSGVO besagt, dass der Anwendungsbereich der Verordnung nicht eröffnet ist, wenn natürliche Personen personenbezogene Daten zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten erheben. Das trifft auf das Fotografieren auf Schulveranstaltungen zu rein privaten Zwecken unzweifelhaft zu.”

Nicht unerwähnt bleiben soll an dieser Stelle, dass es zu dieser Frage auch andere Sichtweisen gibt. Kevin Leibold, Dipl. Jurist für Datenschutzrecht, IT-Recht und Urheberrecht ist der Meinung, dass die Anfertigung von Fotografien bei Schulfeiern durch die DS-GVO geregelt wird, da sie nicht unter die in Art. 2 Abs. 2c) beschriebene Ausnahme fällt:

“Auch für das Anfertigen der Fotos für bspw Schulfeiern ist mE nicht die Ausnahme nach Art. 2 Abs. 2 lit. c #DSGVO einschlägig. So sieht es auch der EuGH-C-212/13 wonach diese Ausnahme eng auszulegen ist und die Miterfassung des öffentlichen Raumes dies ausschließt #heiseshow”3via Twitter https://twitter.com/kleibold23/status/1024966626792353792

Wie Aussagen des Thüringer Datenschutzbeauftragte Hasse 4Der Beitrag ist mittlerweile nicht mehr verfügbar.[ 29.08.2020/mfn] zeigen, vertritt er diese Ansicht nicht alleine und fasst die Vorgaben sogar noch enger5“Da hat der Europäische Gerichtshof einen Riegel vorgeschoben indem er sagt, privat und familiärer Umkreis bedeutet, dass es im familiären und privaten Umkreis desjenigen der die Fotos macht, passiert. Dieser Kreis ist aber verlassen, wenn der Fotografierende oder Videografierende außerhalb dieses Kreises Aufnahmen macht. Also im öffentlichen Verkehrsraum oder dem Nachbargrundstück. Dann braucht man eine Einwilligung. Auch dann, wenn ich diese Bilder nicht veröffentlichen will.”; Kinderfotos schwärzen – muss das sein?; MDR Jump 02.08.2018 (Zitierte Seite ist mittlerweile nicht mehr online.). Die aktuelle Diskussion tendiert momentan allerdings etwas mehr in Richtung der Auffassung von Herrn Stadler.6Siehe auch die Diskussion auf Twitter, die auf Seite 2 dieses Beitrags wiedergegeben ist. Die Auslegung von Art. 2 Abs. 2c) hat schon viele Experten beschäftigt und füllt seitenlange Kommentare. Im Streitfall wird es dann letztlich eine Entscheidung der Richter sein. Unabhängig davon hat die Veröffentlichung der von Eltern auf Schulveranstaltungen angefertigten Fotos und Videos einen anderen rechtlichen Charakter. Hier ist nach Einschätzung von Thomas Stadler eine Einwilligung der Betroffen auf jeden Fall erforderlich.

“Wer also auf Instagram oder Facebook Fotos veröffentlicht, auf denen Personen zu erkennen sind, muss diese Menschen fragen, bevor er die Fotos postet.”

Im Alltag wird wohl kaum jemand eine solche Einwilligung einholen. In der Regel wird das auch nicht zu Problemen führen, da bei solchen Veranstaltungen fast jeder fotografiert. Dass es eventuell doch einmal zu rechtlichen Folgen kommen kann, ist allerdings nie auszuschließen. Darüber hinaus ist auch das letzte Wort noch nicht gesprochen, was das Kunsturheberrechtsgesetz (KUG) und seine Stellung und Geltung gegenüber der DS-GVO angeht.

Fazit

Für Schulen lässt sich aus den Vorgaben der DS-GVO keine Notwendigkeit ableiten, Eltern, anderen Familienangehörigen und Freunden der Schülerinnen und Schüler das Anfertigen von Fotografien und Videos auf schulischen Veranstaltungen zu untersagen. Schulen stehen hier in keiner diesbezüglichen Pflicht. Was schon immer möglich war, ist auch weiterhin möglich. Wer als Besucher einer schulischen Veranstaltung mit familiärer oder freundschaftlicher Beziehung zu den Schülerinnen und Schülern dort Fotos oder Videos anfertigt, sollte jedoch bei der Veröffentlichung in sozialen Medien eine ausreichende Sorgfalt walten lassen. So lassen sich Konflikte mit anderen Personen oder deren Angehörigen vermeiden, wenn diese auf Fotos oder Videos mit auftauchen.

Nachtrag August 2019

Wie nicht anders zu erwarten, kocht das Thema zum Ende der Schulferien im August 2019 erneut hoch. Die Rede ist von Schulen, die das Fotografieren verbieten. Viele Medien greifen das Thema auf.

Einer der wohl besten Beiträge stammt Rechtsanwalt David Seiler, der sich auf Fotorecht spezialisiert hat. In “Fotografierverbot an Schulen und Kitas wegen Datenschutz?“greift er die aktuellen Entwicklungen auf und erläutert umfassend die rechtliche Lage. Einen datenschutzrechtlichen Grund sieht auch er nicht, das Fotografieren zu verbieten.

Stand 08/2019

Seiten: 1 2
Veröffentlicht am

Dürfen digitale Klassenarbeiten auf privaten Lehrerendgeräten gespeichert werden?

Lesezeit: 4 Minuten

Folgende Frage wurde gestellt:

“Angenommen eine Kollegin lässt im EDV-Unterricht eine Excel-Tabelle als Leistungsüberprüfung (z.B. Klassenarbeit) erstellen. Diese werden von den SuS im pädagogischen Netz gespeichtert. Da die Kollegin keinen schulischen Arbeitsplatz zur Verfügung hat, möchte sie die Excel-Tabellen gerne am privaten PC bewerten. Darf sie das?”

Wie in der Anfrage bereits festgestellt, werden Klassenarbeiten nicht in der Genehmigung für die Verarbeitung personenbezogener Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken … aufgeführt.

Anlage 3 der VO-DV I führt tatsächlich nur “Leistungsbewertung in den Fächern, in denen die Lehrkraft die Schülerinnen und Schüler unterrichtet” als zum Datensatz gehörig auf, den Lehrerinnen und Lehrer mit Genehmigung verarbeiten dürfen. Klassenarbeiten selbst gehören in NRW nicht einmal zum Datenbestand der Schule selbst, sondern nur die Noten daraus und die Bewertungen.1 Anders als bei Unterlagen zum sonderpädagogischen Förderbedarf, wo ausdrücklich nur das Ergebnis der Entscheidung verarbeitet werden darf, nicht aber beispielsweise die zugrundeliegenden Gutachten, werden Klassenarbeiten auch an keiner Stelle von der Verarbeitung ausgeschlossen. 2    In Schleswig Holstein zählen Klassenarbeiten zu den von der Schule geführten Akten, die gesondert von der Schülerakte geführt werden. (Siehe dazu §8 “Landesverordnung über die Verarbeitung personenbezogener Daten an öffentlichen Schulen (Schul-Datenschutzverordnung – SchulDSVO)“) 

Für den Fragesteller ergibt sich deshalb die Frage, ob

“Leistungsüberprüfungen überhaupt als personenbezogene Daten im Sinne der Datenschutzgesetzgebung anzusehen sind?”

Gehören die Inhalte von Leistungsüberprüfungen zu den personenbezogenen Daten?

Leistungsüberprüfungen enthalten mit der Namensangabe automatisch personenbezogene Daten, außer sie werden anonym verfasst, etwa um einen allgemeinen Eindruck vom Stand der Lerngruppe zu erhalten. Dem Datum Name lassen sich dann weitere Daten aus dem Inhalt der Leistungsüberprüfung zuordnen: richtig, falsch, Anzahl richtig und falsch, vollständig, unvollständig, ausführlich, knapp, Aufgabe missverstanden, Fehlertypen, usw.. Je nach Aufgabenstellung können etwa auch Meinungen enthalten sein.

Personenbezogene Daten umfassen, laut Artikel 4 DS-GVO und Kommentaren dazu, ohne Einschränkung “alle Informationen”, die sich auf eine Person beziehen und der Begriff ist von daher grundsätzlich weit zu verstehen.3Siehe dazu Klar/Kühling in Kühling/Buchner, Art. 4 Nr. 1 DS-GVO Rn. 8 So fallen darunter auch innere Zustände. Eine Klassenarbeit kann als Ausdruck eines inneren Zustandes gesehen werden. Schüler X verfügt über folgende Kompetenzen/ verweigert die Leistung/hat die Aufgabenstellung nicht verstanden/ lehnt es ab, Tiere zu töten, ….

Das gilt für analoge Klassenarbeiten, wo es noch das zusätzliche Merkmal Handschrift gibt oder vielleicht den typischen Geruch des Heftes (Raucher, Parfüm, ….) wie auch für digitale Klassenarbeiten. Bei digitalen Daten und digitale Klassenarbeiten fallen darunter, ist die DS-GVO noch einmal kritischer. Wenn es um automatisierte Datenverarbeitung geht, worunter schon das bloße Speichern fällt, gibt es kein belangloses Datum.4Siehe dazu Klar/Kühling in Kühling/Buchner, Art. 4 Nr. 1 DS-GVO Rn. 9

Digitale Klassenarbeiten lassen sich darüber hinaus auch digital aus- und mittels entsprechender Algorithmen bewerten, ähnlich wie Daten in einer Lernplattform. Rein technisch gesehen liefert eine Klassenarbeit wie alle von Schülern angefertigten Arbeiten, wie ihr Verhalten, ihre Mitarbeit, … (personenbezogene) Rohdaten, welche Lehrkräfte auswerten und den Schülern zugeordnet in Noten fassen, wodurch sie neue personenbezogene Daten generieren.

In Abgrenzung zu den Sachdaten liegt bei einer Klassenarbeit ein Zweckelement vor, da es möglich ist, die Informationen darin zur Beurteilung einer Person zu nutzen.

Was bedeutet das nun für die Kollegin?

Die Bewertung der gesamten Situation wird, wie oben dargestellt, deutlich erschwert durch das Fehlen jeglicher Regelungen bezüglich der Verarbeitung von derartigen personenbezogenen Daten. Auf der sicheren Seite ist man deshalb eigentlich nur, wenn man die bestehenden Vorgaben restriktiv auslegt. Damit darf die Kollegin, wenn sie sich an die Vorgaben der VO-DV I hält, die von den Schülern bearbeiteten Excel Tabellen nicht auf ihrem privaten Endgerät speichern.

Wie kann man das Problem lösen?

Zwei Möglichkeiten sind denkbar.

  1. Arbeitet die Schule offiziell mit einer Plattform wie Moodle, Office 365 oder ähnlich5        Dazu würde in NRW auch Logineo NRW zählen. und es ist dadurch möglich, die Dateien über Zugriff auf die Plattform von zu Hause aus innerhalb der Plattform anzuzeigen, in einem in die Plattform integrierten Datei Viewer oder im Fall von Office 365 über die Browser Version von Excel, dann ist dieses mit den Vorgaben der VO-DV I vereinbar. Die vorübergehende Speicherung im Cache des Browsers zur Anzeige stellt keine Speicherung bzw. Verarbeitung auf dem Gerät selbst im Sinne der DS-GVO6        Siehe dazu Eßer in Eßer/Kramer/ v. Lewinski Art. 4 Nr. 2 DS-GVO Rn. 43 und Herbst in Kühling/Buchner, Art. 4 Nr. 2 DS-GVO Rn. 24 dar. Die Lehrkraft ist damit nicht der Beschränkung auf die in VO-DV I Anlage 3 aufgeführten personenbezogenen Daten unterworfen.7       Der Lehrkraft sollte eine Genehmigung der Schulleitung zur Verarbeitung personenbezogener Daten aus der Schule vorliegen.
  2. Stellt die Schule USB Sticks8         Diese USB Sticks sollten geschützt sein. Siehe dazu auch den Themen Beitrag: USB Sticks und Datensicherheit zur Verfügung, man speichert die Dateien der Schüler auf diesem USB Stick und öffnet sie von dort aus (also ohne sie auf den Rechner zu kopieren) mit einem kompatiblen Tabellenkalkulationsprogramm, dann ist auch das mit den Vorgaben der VO-DV I vereinbar. Die temporäre Arbeitskopie, wie beispielsweise Excel sie anlegt, wenn man die Datei vom USB Stick öffnet, fällt nicht unter den Begriff der Speicherung9         Siehe dazu ebenfalls Eßer in Eßer/Kramer/ v. Lewinski Art. 4 Nr. 2 DS-GVO Rn. 43 Herbst in Kühling/Buchner, Art. 4 Nr. 2 DS-GVO Rn. 24, die ihrerseits eine Form der Verarbeitung ist. Somit kann man auch auf diesem Wege die Beschränkung auf die in VO-DV I Anlage 3 gelisteten personenbezogenen Daten umgehen, da die Verarbeitung nicht auf dem Gerät selbst stattfindet.10        Der Lehrkraft sollte trotzdem eine Genehmigung der Schulleitung zur Verarbeitung personenbezogener Daten aus der Schule vorliegen.

Die beiden vorgeschlagenen Lösungen lassen sich aktuell so aus datenschutzrechtlicher Sicht nicht umsetzen. Um den Zeitpunkt als der Beitrag entstand, ging man im Schulministerium NRW noch davon aus, dass es mit Genehmigung für private Endgeräte durch die Schulleitung Lehrkräften möglich ist, nicht in Anlage 3 aufgeführte personenbezogene Daten aus der Schule mit Vorliegen der Genehmigung für private Endgeräte in einer virtuellen Umgebung wie Logineo NRW zu verarbeiten. Das war auch der Gedanke bei der Nutzung des sogenannten Daten-Safe. Mittlerweile musste das MSB hier seine Position korrigieren. Wie im Beitrag Verarbeiten – Speichern – Unterricht – Lehrergeräte ausführlich dargestellt, fällt bereits die Anzeige von personenbezogenen Daten am Bildschirm unter den Begriff der Verarbeitung. Das bedeutet für die Praxis:

Auch mit Genehmigung dürfen Lehrkräfte von einem privaten Endgerät aus nur die in Anlage 3 aufgeführten personenbezogenen Daten aus der Schule verarbeiten! Alle anderen Daten dürfen nur von Dienstgeräten oder für Verwaltungsarbeiten eingerichteten Arbeitsplätzen aus verarbeitet werden. Arbeiten, die Schüler im pädagogischen Netz angefertigt haben, können entsprechend auch dort durch die Lehrkraft verarbeitet werden.

Die Kollegin kann nach aktueller Rechtslage die Excel-Tabellen nur an einem Schulrechner bewerten oder sie muss sie ausdrucken. In Papierform kann sie sie mitnehmen wie jedes Arbeitsmaterial. Diese Antwort ist natürlich unbefriedigend und jeder muss für sich entscheiden, was man daraus macht.

Übertragen bedeutet das

Es ist zur Beweissicherung auch nicht zulässig, Klassenarbeiten abzufotografieren oder zu Hause einzuscannen, etwa wenn Schüler immer wieder die zurückgegebene, bewertete Arbeiten manipulierten, um der Lehrkraft Fehler zu unterstellen mit dem Ziel, eine bessere Note zu bekommen. Hier bleibt dann nur die Kopie am Kopierer oder das Einscannen über einen schulischen Dokumentenscanner.

überarbeitet mit Stand 05/2019

Veröffentlicht am

Welche Löschfristen gelten für personenbezogene Daten auf einem dienstlichen USB Stick?

Lesezeit: 2 Minuten

Nach Lektüre meines Themen Beitrags USB Sticks und Datensicherheit, in welchem erklärt wird, welche Möglichkeiten es gibt, USB Sticks so zu sichern, dass die Vertraulichkeit der darauf gespeicherten personenbezogenen Daten gewährleistet ist, stellte sich ein Leser die Frage, wie es mit den Löschfristen der auf einem dienstlichen USB Stick gespeicherten personenbezogenen Daten aus der Schule aussieht.

“Bei einem privaten Endgerät beträgt die Löschfrist ein Jahr zum Ende des Kalenderjahres. Ändert sich etwas, wenn die Schule den Kolleginnen und Kollegen einen schulischen USB-Stick zur Verfügung stellt? Gilt dann die 5 Jahresfrist?”

Die VO-DV I legt unter §9 Abs. 2 für die Aufbewahrung und Löschung von auf privaten Endgeräten von Lehrkräften gespeicherte personenbezogene Daten aus der Schule gesonderte Fristen fest, die deutlich kürzer sind als die für Computer in der Schule.

“(2) Sind die Daten nach Absatz 1 in öffentlichen ADV-Anlagen oder auf Datenträgern gespeichert, gelten die Aufbewahrungsfristen entsprechend. Für in privaten ADV-Anlagen gespeicherte Daten (§ 2 Abs. 2) beträgt die Aufbewahrungsfrist ein Jahr. Sie beginnt abweichend von Absatz 1 mit Ablauf des Kalenderjahres, in dem die Schülerin oder der Schüler von der Lehrerin oder dem Lehrer nicht mehr unterrichtet wird.”

Die Frage ist nun also, fallen von der Schule bereitgestellte, dienstliche USB Sticks unter Datenträger im Sinne von §9 Abs. 2 oder muss man sie doch eher wie private ADV-Anlagen betrachten?

  • Richtet man sich nach dem Wortlaut der VO-DV I (grammatikalische Auslegung), gilt die Regel mit der Löschfrist nach einem Jahr ab Ablauf des Kalenderjahres eindeutig nur für private Endgeräte. Ein von der Schule zur Verfügung gestellter USB Stick fiele demnach nicht unter diese Regelung und wäre gleichzubehandeln mit einem Datenträger, wie im ersten Satz von §9 Abs. 2 genannt. Entsprechend würden hier dann auch die dafür geltenden Löschfristen zutreffen.
  • Man könnte die Sache allerdings auch dem Sinn und Zweck nach betrachten (teleologische Auslegung). Wenn man also zu dem Schluss kommt, der dienstlich bereitgestellte USB Stick wird vom Charakter her wie ein privater USB Stick genutzt, dann müsste der USB Stick wie ein Privatgerät behandelt werden und entsprechend die einjährige Löschfrist gelten.

Eine gleiche Fragestellung würde sich auch für Dienstgeräte ergeben und die Löschfristen dort. Persönlich würde ich eher zur grammatikalischen Auslegung tendieren.

Käme es zu einem Streitfall, würde man entsprechend argumentieren. Das sollte vor Gericht ausreichen.

Man sollte die Frage bezüglich der Löschfristen sicher auch noch unter dem Gesichtspunkt der Datenminimierung betrachten. Ist es erforderlich, dass auf einem USB Stick personenbezogene Daten von Schülern gespeichert sind, die eine Lehrkraft das letzte Mal zwei Jahren zuvor unterrichtet hat? Diese Frage kann man in der Mehrheit der Fälle wohl verneinen. Und es bliebe der Lehrkraft immer noch die Möglichkeit, die Daten in der Schule in einem ihr zugewiesenen Verzeichnis im Verwaltungsnetz abzulegen.

Veröffentlicht am

Fotos & Videos ohne Einwilligung können auch zu Disziplinarmaßnahmen führen

Lesezeit: < 1 Minute

Wie ein Fall von vor einigen Jahren aus NRW zeigt, verstößt eine Lehrkraft, die ohne Einwilligung Fotos oder Videos von ihren Schülerinnen und Schülern macht, nicht nur gegen die Datenschutzgesetzgebung, sondern verletzt auch die ihr obliegenden Dienstpflichten, wofür sie dann entsprechend mit Disziplinarmaßnahmen belegt werden kann.

Durch die Lehrkraft waren im Sportunterricht Videoaufnahmen von Schülerinnen angefertigt worden, ohne eine Einwilligung der Erziehungsberechtigten oder Erlaubnis durch die Schulleitung und obwohl die Schülerinnen den Aufnahmen widersprochen hatten. Die Schulleitung, bei welcher sich die Schülerinnen beschwert hatten, hatte die Lehrkraft daraufhin auf die Rechtswidrigkeit dieses Verhaltens hingewiesen. Nach diesem Vorfall hatte die Lehrkraft Fotografien von Schülern einer 7. Klasse im Chemieunterricht angefertigt und diese auf einem privaten Datenspeicher gespeichert, obwohl auch dazu keine Einwilligungen vorgelegen und ein Schüler darauf hingewiesen hatte.

Entsprechend hatte dann die Disziplinarkammer im ursprünglichen Verfahren einen Dienstvergehenstatbestand als erfüllt angesehen und eine Geldbuße verhängt. Ein Antrag auf Berufung wurde vom Oberverwaltungsgericht nicht zugelassen.

Der Fall ist interessant, weil er zeigt, dass ein Verstoß gegen Vorgaben der Datenschutzgesetzgebung durchaus auch dienstrechtliche Konsequenzen haben kann. Mit Beginn der Umsetzung der DS-GVO haben sich einige Dinge geändert.

Was kann man daraus mitnehmen für die Zukunft?

Verstöße gegen die Persönlichkeitsrechte von Schülerinnen und Schülern bzw. gesetzlichen Vorgaben aus dem Datenschutz und der entsprechenden Schulgesetzgebung können selbst wenn sie zu keinen Bußgeldern durch die Aufsichtsbehörden und auch keiner Schadesersatzforderung durch die Betroffenen führen, durchaus als Verstoß gegen das Dienstrecht geahndet werden, da sie immer auch mit einer Verletzung der einer Lehrkraft obliegenden Dienstpflichten einhergehen.

Quelle: Oberverwaltungsgericht NRW, 3d A 1203/16.O

Veröffentlicht am

Eltern klagen wegen Veröffentlichung eines Klassenfotos und unvollständiger Auskunft

Lesezeit: 2 Minuten

Wie der Bayrische Rundfunk berichtet, entschied das Verwaltungsgericht Augsburg am 12.07.2018 über einen Fall, in welchem Eltern eines 13 jährigen Schülers wegen der Veröffentlichung eines Klassenfotos in einem Jahresbericht klagen, auf welchem der Sohn abgebildet ist.

Das Verwaltungsgericht Augsburg entscheidet heute über eine ungewöhnliche Klage: Die Eltern eines 13 Jahre alten Schülers hatten verlangt, dass ein Klassenfoto, auf dem ihr Sohn zu sehen ist, nicht veröffentlicht werden darf. Im Jahresbericht der Schule wurde das Bild dann aber doch abgedruckt. Die Leitung der Geschwister-Scholl-Mittelschule in Aichach hat nach Angaben des Gerichts einen Fehler eingeräumt. Sie habe sich auch bei den Eltern entschuldigt.

Dem Bericht nach haben die Eltern in einer “Datenschutzerklärung”, gemeint sein wird wohl eine datenschutzrechtliche Einwilligung, der Anfertigung eines Klassenfotos mit dem Sohn zugestimmt, dabei jedoch keine Einwilligung zu einem “Abdruck in einer Lokalzeitung oder für die Verwendung im Internet” oder im Jahresbericht gegeben. In letzterem wurde das Bild dann abgedruckt, rechtswidrig wie die Eltern meinen. Diesen Tatbestand soll das Gericht bestätigen. Eine Entschuldigung der Schule, die ihren Fehler einräumt, reicht den Eltern nicht aus.

Dem Bericht nach haben die Eltern wohl auch von ihrem Auskunftsrecht gegenüber der Schule nach Art. 15 DS-GVO Gebrauch gemacht. Da sie der Meinung sind, die Schülerakte nicht vollständig erhalten zu haben, klagen sie auch diesbezüglich.

Für mich stellt sich die Frage, was die Eltern mit ihrer Klage bewecken. Geht es nur ums Recht oder will man auf Schadensersatz klagen? Normalerweise ist so etwas zunächst ein Fall für die Aufsichtsbehörde.

Das Urteil ist noch nicht publiziert. Es sollte jedoch in Kürze unter VG Augsburg – Rechtsprechungsübersicht (dejure.org) nachzulesen sein.

Was der Fall auf jeden Fall zeigt: es ist wichtig, nicht nur Einwilligungen von Erziehungsberechtigten bezüglich der Anfertigung und Veröffentlichung von Fotografien einzuholen, sondern bei einer Nichteinwilligung auch entsprechend zu handeln.

Es wäre in diesem Fall sinnvoll gewesen, auch Klassenfotos ohne den betreffenden Schüler anzufertigen, um Material für das Jahrbuch zu haben. Dass Eltern ihre Einwilligung zur Veröffentlichung von Fotografien, vor allem wenn es um Klassenfotos oder Gruppenaufnahmen geht, verweigern, ist eher die Ausnahme als die Regel. Wenn es aber einen solchen Fall gibt, sollte eine Schule besondere Sorgfalt walten lassen, um hier keine Fehler zu begehen. Wie das Beispiel zeigt, können derartige Fehler Konsequenzen nach sich ziehen, und wenn es nur Gerichtstermine sind. Im schlimmsten Fall kann es zu Schadensersatzforderungen kommen, auch wenn es nur um immaterielle Schäden1Nach Art. 82 DS-GVO Abs. 1 hat ein Betroffener auch bei immateriellen Schäden “Anspruch auf Schadenersatz gegen den Verantwortlichen”, in diesem Fall die Schule. geht.

Quelle: Streit um Datenschutz in der Schule – Eltern klagen wegen Klassenfoto ihres Sohnes

Veröffentlicht am

Gut Ding will Weile haben – Logineo NRW (wohl) kommt doch noch

Lesezeit: < 1 Minute

Logineo NRW sollte die Plattform des Landes werden, mit welcher Schulen eine Cloud Lösung erhalten, welche datenschutzkonformes Arbeiten und Austauschen von Daten erlaubt und durch Single-Sign-On eine datensparsame Nutzung verbundener Plattformen ermöglicht. Schon in diesem Schuljahr sollte der Rollout beginnen. Daraus wurde dann leider nichts, technische Probleme, auch im Zusammenhang mit der Gewährleistung des Datenschutzes, wie man hörte. Wie das Ministerium heute in einer Pressemitteilung verkündete, hat man sich entschlossen, die technischen Probleme zu beheben und danach in eine Pilotierung zu gehen. Verläuft diese erfolgreich, kommt dann der Rollout in die Breite.

Das klingt schon mal ganz gut. Nach den Erfahrungen der vergangenen Jahre mit diversen angekündigten und abgesagten Starttermin, wird man an den Schulen erst mal abwarten. Die Landesregierung NRW hat hier eine Menge Vertrauen verspielt. Sicherlich wird es viele Schulen geben, die mittlerweile das Warten leid sind und andere Lösungen gefunden haben.

Wenn Logineo NRW tatsächlich kommt, wie geplant, kann Schulen dieses tatsächlich einige Vorteile bringen, wenn es um die Einhaltung datenschutzrechtlicher Vorgaben bei der alltäglichen Arbeit geht. An einem Problem ändert die Plattform jedoch nichts. Mit privaten Endgeräten dürfen Lehrkräfte auf Logineo NRW nur zugreifen, wenn sie für die Verarbeitung von personenbezogenen Daten ihrer Schüler eine Genehmigung ihrer Schulleitung haben. Viele Schulen in NRW kämpfen aktuell mit diesem Problem. Lehrkräfte beantragen die Genehmigung nicht, da sie kein Risiko eingehen wollen. Auch Schulleitungen erteilen häufig die Genehmigung grundsätzlich nicht in ihren Kollegien, da sie sich nicht imstande sehen, zu beurteilen, ob sie den Anträgen auf Genehmigung nach den dort gemachten Angaben stattgeben sollen oder nicht.

Stolz präsentiert von WordPress