Autor: mr_tee

Veröffentlicht am

Datenschutz – die Beweislast liegt bei der Schule

Lesezeit: 2 Minuten

Ein aktueller Beitrag in der FAZ beleuchtet recht gut, was sich durch die Datenschutz Grundverordnung (DS-GVO) für Schulen verändert hat. Schulen mussten wie jede öffentliche Stelle, welche personenbezogene Daten verarbeitet, schon immer entsprechend der Datenschutzgesetzgebung dokumentieren, welche Daten verarbeitet werden, zu welchem Zweck, auf welcher rechtlichen Grundlage, wie lange sie aufbewahrt werden, was zur Sicherheit der Daten getan wird und so weiter. Auch wenn  Verfahrensverzeichnisse heute Verzeichnisse von Verarbeitungstätigkeiten heißen und auch Datenverarbeitung im Auftrag mit Auftragsverarbeitung einen neuen Namen erhalten hat, so sind diese Formen der Dokumentation Schulen nicht gänzlich fremd. Trotzdem war die Dokumentation bei vielen Schulen bisher eher lückenhaft. Das war weitestgehend unproblematisch, denn passieren konnte Schulen deswegen nichts. Und wenn sich tatsächlich ein Betroffener meldete und wegen einer Datenschutzverletzung beschwerte, lag die Beweislast bei dieser Person. Sie musste erst einmal nachweisen, dass es zu einem Verstoß gegen datenschutzrechtliche Vorgaben gekommen war. Mit der Umsetzung der DS-GVO hat sich das deutlich geändert.

Schul-IT-Experte Jürgens weist aber auf einen wichtigen Unterschied hin: Durch die DSGVO hat sich die Beweislast umgekehrt. Bislang musste einer Schule erst einmal nachgewiesen werden, dass sie unsauber mit Daten arbeitet. Durch die neuen Regeln müssen sie nun lückenlos aufzeigen können, wie sie geltendes Recht in der Praxis einhalten.

Bedeutet konkret: Alles muss niet- und nagelfest dokumentiert und gesichert sein. Wer hat Zugriff auf personenbezogene Daten? Wo sind sie gespeichert? Sind sie ausreichend geschützt? Koordiniert werden muss all das ab sofort von einem designierten Datenschutzbeauftragten, etwa einem computeraffinen Lehrer. Schließlich verlangt die DSGVO ein Verzeichnis der Verarbeitungstätigkeiten, in das sämtliche Vorgänge und Prozesse, bei denen in der Schule personenbezogene Daten verarbeitet werden, einzutragen sind.

Kommt es nun zu einer Beschwerde durch Betroffene, müssen Schulen, durch ihre Dokumentation nachweisen können, dass sie die datenschutzrechtlichen Vorgaben eingehalten haben. Ohne Dokumentation stehen sie, sollte es zu einem gerichtlichen Verfahren um Schadensersatz kommen, äußerst schlecht da. Die Chancen, dass sie im Verfahren unterliegen, sind ohne ausreichende datenschutzrechtliche Dokumentation groß, selbst wenn sie sonst alles richtig gemacht haben. Es reicht nicht aus, sich an alle datenschutzrechtlichen Vorgaben gehalten zu haben, wenn man es nicht belegen kann.

Diese Webseite möchte aus genau diesem Grund, Schulen und Datenschutzbeauftragte dabei unterstützen, eine korrekte und vollständige Dokumentation zu erstellen und zu pflegen, mit Einwilligungen, Datenschutzerklärungen, Informationsschreiben, Datenschutzordnungen, Verfahrensverzeichnissen, Anleitungen und mehr.

Quelle: Neue Datenschutzregeln: Hat die DSGVO Schulen ins Chaos gestürzt? FAZ; 26.06.2018

Veröffentlicht am

Auftragsverarbeitung und die Form des Vertragsschlusses

Lesezeit: 4 Minuten

Viele Schulen sind erst durch die Datenschutz Grundverordnung darauf aufmerksam geworden, dass sie in Bezug auf die Dokumentation zum Datenschutz etwas tun müssen. Es reicht dabei allerdings nicht aus, lediglich ein Verzeichnis von Verarbeitungstätigkeiten anzulegen, sondern es müssen auch Verträge zur Auftragsverarbeitung (AV Verträge) abgeschlossen werden, wenn die Verarbeitung personenbezogener Daten außerhalb der schuleigenen IT Systeme erfolgt. Damit ergeben sich jedoch gleich neue noch komplexere Probleme – wo und wie schließt man die Verträge zur Auftragsverarbeitung ab?

Schulträger/ kommunales Rechenzentrum/ regionale Dienstleister

Relativ unproblematisch ist der Abschluss von Verträgen zur Auftragsbearbeitung, wenn die Dienste eines kommunalen Rechenzentrums genutzt werden, da diese in der Regel von sich aus entsprechende Verträge anbieten. Ähnliches gilt für Dienstleister im deutschsprachigen Raum, die Softwareprodukte für Online Klassenbücher, digitale Schwarze Bretter, Classroom Management Systeme, Lernplattformen und ähnlich anbieten. Schwieriger wird es schon, wenn ein solcher Vertrag mit dem Schulträger abgeschlossen werden muss, wobei das kommunale Rechenzentrum oder ein anderer Dienstleister nur Unterauftragnehmer ist. Das liegt daran, dass Schulträger sich häufig nicht als Auftragnehmer begreifen, wenn es um schulische Datenverarbeitung geht.

Hoster für Schulhomepage

Auftragsbearbeitung liegt auch vor, wenn für den Betrieb der Schulhomepage ein Hoster genutzt wird. Bei den meisten Schulhomepages dürfte dieses der Fall sein. Teilweise machen die Anbieter ihre Kunden von sich aus auf die Möglichkeit, einen entsprechenden Vertrag abzuschließen, aufmerksam. In der Regel liegt dieser als vom Hoster vorunterzeichneter Vertrag in Form einer PDF Datei vor. Die Schule druckt diese Datei aus, füllt den Kopfteil aus, unterzeichnet, scannt das Dokument ein und sendet es per E-Mail an den Hoster zurück. Der bestätigt den Eingang.

Genau genommen war der Vertrag zur Auftragsverarbeitung schon in dem Moment gültig, wo die Schule ihn für sich ausgefüllt und unterzeichnet hat. Von Seiten des Hosters lag bereits mit dem zum Download bereitgestellten, unterzeichneten Vertrag eine Willenserklärung vor.1Was damit gemeint ist, wird unten erklärt.. Man sollte den Vertrag totzde zurücksenden, denn erst dadurch erlangt der Hoster Kenntnis von der Zeichnung des Vertrags.

Große internationale Dienstleister

Schwieriger kann es werden, wenn es um Verträge mit internationalen Dienstleistern in der Branche geht. Nicht alle bieten einen downloadbaren vorunterzeichneten Vertrag an wie die Firma Apple für den Apple School Manager (ASM) oder Microsoft für Office 365. Apple bietet für die Nutzung des ASM einen vorunterzeichneten Vertrag im PDF Format an2Der Vertrag, das “Apple School Manager Agreement” ist im ersten Teil in englischer Sprache gefasst. Im zweiten Teil sind deutschsprachige Teile, die unterzeichnet werden müssen, um Gültigkeit zu erlangen.. Bei Microsoft ist der vorunterzeichnete Vertrag im Docx Format gehalten3Es geht hier um dem OST Vertrag. Man wählt die Sprache, lädt ihn herunter, druckt ihn aus und unterzeichnet auf der vorletzten Seite. Soll der Vertrag digitalisiert verwahrt werden, empfiehlt es sich, das PDF Format zu wählen.4Für die Office 365 mit der MS Cloud Deutschland wird der AV Vertrag mit der Telekom abgeschlossen, die Datentreuhänder ist für Microsoft..

Was ist, wenn der Dienstleister keinen Vertrag in der oben beschrieben Form anbietet, sondern lediglich eine Möglichkeit, eine Webseite durchzulesen und den Vertrag mit dem Bestätigen einer Checkbox abzuschließen?

Bei Google heißt es an der Stelle, wo es bisher einen Vertrag zum Download gab,

Stattdessen steht ab diesem Zeitpunkt ein Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO zur Verfügung, den Sie elektronisch abschließen können (vgl. Sie bitte Art. 28 Abs. 9 DSGVO zur Möglichkeit, Auftragsverarbeitungsverträge auch in ‘elektronischer Form’ abzufassen).5https://static.googleusercontent.com/media/www.google.de/de/de/analytics/terms/de.pdf

Einen AV Vertrag elektronisch abschließen – geht das?

Das Thema ist nicht ganz einfach. Zwar sagt Art. 28 Abs. 9 DS-GVO, dass die Abfassung des Vertrags auch “in einem elektronischen Format erfolgen kann“, doch wie dieses elektronische Format genau auszusehen hat, darüber herrscht keine absolute Einigkeit unter den Experten.

Dass es der Papierform für einen Vertrag nicht mehr bedarf und man stattdessen mit digitalen Dokumenten in Word- oder  PDF-Format arbeiten kann, daran besteht wenig Zweifel. Das entscheidende Kriterium ist hier, dass das gewählte Format sicherstellt, dass nachträgliche Änderungen technisch unmöglich ist. In der Fachliteratur findet man dazu folgende Ausführung.

Vielmehr ist es nach Art. 28 Abs. 9 DS-GVO ausreichend, dass der Auftragsverarbeitungsvertrag durch zwei gegenseitige Willenserklärungen i. S. v. §§ 145 ff. BGB geschlossen und zumindest elektronisch „abgefasst“ wird. Entscheidend ist, dass der Vertragsschluss in irgendeiner Form dokumentiert wird. Einer Verkörperung, z. B. als Ausdruck, bedarf es zwar nicht, jedoch muss das gewählte Format sicherstellen, dass nachträgliche Änderungen technisch unmöglich sind und ersichtlich bleibt, dass zwei kongruente Willenserklärungen vorlagen. 6Koreng/Lachenmann DatenschutzR-FormHdB, 1. Vergleich Auftragsverarbeitung nach dem BDSG und der DS-GVO Rn. 1. – 7., beck-online

Der Punkt ist nun, wie man die beiderseitige Willenerklärung dokumentiert. Einige Experten sind der Ansicht, es bedürfe dazu einer elektronischen Signatur. Allerdings geben andere europäische Rechtsnormen keinen Hinweis darauf, dass dieses erforderlich ist7Kühling/Buchner/Hartung, DS-GVO, Art. 28 Rn. 94 ff.. Nach Koreng/Lachmann sollte es möglich sein, dass

bei einem Onlinevertragsschluss der Vertrag über die Auftragsverarbeitung digital bereitgestellt werden kann.

Dann wiederum sollte es ausreichen, wenn der Kunde mit dem Bestätigen einer Checkbox ein

ein rechtswirksames Angebot auf einen bereitgestellten Vertrag abgeben kann, das der Vertragspartner sodann mit dem Hauptvertrag annimmt, wenn der Vertrag speicher- und druckbar ist.

Letzteres ist von Bedeutung, um den Vertragsabschluss auch auf Seiten der Schule zu dokumentieren. Es empfiehlt sich, die eigene Willensbekundung zum Abschluss des AV Vertrags, wenn sie nur durch Bestätigen einer Checkbox möglich ist, ebenfalls zu dokumentieren. In der Regel sollte die Annahme des Vertrags zur Auftragsverarbeitung in der Online Vertragsverwaltung an irgendeiner Stelle angezeigt werden. Diese Seite sollte man dann ausdrucken. Der Anbieter hat seine Willensbekundung bereits mit der Bereitstellung des Vertrags auf seinem Portal getätigt. Im folgende Beispiel sieht man, wie so etwas aussehen könnte.

Wenn es kein PDF gibt

Bietet der Dienstleister, so wie Google bei Google Analytics oder der G-Suite for Education keinen AV Vertrag als PDF zum Download an, empfehle ich folgendes Vorgehen, um den Abschluss eines AV Vertrages zu dokumentieren.

  • Wenn bei Anbieter im Kontobereich/Vertragsverwaltungsbereich des Nutzungsvertrages die erfolgte Zeichnung des AV Vertrags angezeigt wird, wie im folgenden Beispiel bei G-Suite for Education, dann sollte man diese Seite als PDF sichern oder ausdrucken.8Die Namen sind hier aus Gründen des Datenschutz herausgelöscht.
  • Den eigentlichen Vertrag und zugehörige Bestandteile (bei Google beispielsweise die Standardvertragsklauseln) sollte man ebenfalls als PDF abspeichern.

Auf diese Art und Weise kann man erstens die Willensbekundung der Schule dokumentieren, den Vertrag einzugehen, und zweitens der Erfordernis nachkommen, den Vertrag in einem Format zu sichern, welches eine nachträgliche Änderung technisch unmöglich macht9Natürlich kann man auch ein PDF verändern, doch es geht hier weniger darum, dass die Schule den AV Vertrag ändern könnte, sondern der Auftragnehmer, etwa Google..

Fazit

Noch herrscht einige Unsicherheit, selbst unter Experten, wie genau der Abschluss eines Vertrags zur Auftragsverarbeitung in elektronischer Form aussehen sollte. Weder Experten noch Anbieter sind hier einer Meinung, wie bei letzteren die unterschiedlichen Formen, AV Verträge bereitzustellen zeigen. Grundsätzlich empfiehlt es sich, mit einem Vertrag in Form eines vorunterzeichneten PDF zu arbeiten, wenn dieses möglich ist. Bei Anbietern, die diesen Weg nicht anbieten, sollte man den Vertragsabschluss möglichst gut dokumentieren und den Vertrag selbst in einem sicheren Format speichern oder auch ausdrucken.

Es ist zu erwarten, dass die Zukunft Rechtssicherheit bringen wird, was genau unter einem elektronischen Format nach Art. 28 Abs. 9 DS-GVO zu verstehen ist. Entsprechende Nachsteuerungen durch den Gesetzgeber oder Urteile von Gerichten werden dafür sorgen. Bis dahin sollte man einen der oben beschriebenen Wege nutzen.

Weitere Informationen

Veröffentlicht am

Schule, Datenschutz und Kirchenrecht

Lesezeit: < 1 Minute

Schule ist nicht gleich Schule, wenn es um rechtliche Vorgaben geht. Das Schulgesetz unterscheidet zwischen Schulen in öffentlicher Trägerschaft und Ersatzschulen (§100 – §115). Zwar gelten für letztere überwiegend die gleichen rechtlichen Regelungen, doch das Schulgesetz lässt in Teilbereichen die Möglichkeit für eigene rechtliche Vorgaben zu, wie etwa beim Datenschutz. § 122 SchulG, Ergänzende Regelungen, führt dazu aus

(2) §§ 120 und 121 gelten für Ersatzschulen, soweit für diese gleichwertige datenschutzrechtliche Regelungen nicht bestehen.

Für Privatschulen in Trägerschaft der evangelischen Kirche gilt so beispielsweise das evangelische Kirchenrecht und in Bezug auf den Datenschutz das EKD-Datenschutzgesetz (DSG-EKD – 2018).

Auch in der Datenschutz Grundverordnung findet sich entsprechende Vorschriften. Art. 91 DSGVO, Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften, räumt die Möglichkeit zu selbständigen Regelungen für den Datenschutz für Kirchen ein.

Nach einer Meldung des Portals Datenschutzbeauftragter-info mit dem Titel Ev. Kirche: Datenschutzerklärung nach § 13 TMG weiterhin rechtskonform sieht der Beauftragte für Datenschutz der Evangelischen Kirche in Deutschland keinen Änderungsbedarf bei gegenwärtig rechtskonformen Datenschutzerklärungen gemäß §13 Telemediengesetz (TMG). Für Privatschulen, die unter evangelisches Kirchenrecht fallen, kann das bedeuten, dass eventuell kein Handlungsbedarf besteht zur Anpassung der Datenschutzerklärung. Das bedeutet jedoch laut Datenschutzbeauftragter-info nicht, dass die “Informationspflichten nach Art. 12ff. DS-GVO nicht vollumfänglich umzusetzen” sind.

Einen Unterschied gibt es auch bei den Bestimmungen zu den Informationspflichten der verarbeitenden Stelle. Nach der Art. 13 und Art. 14 DS-GVO müssen die verarbeitenden Stellen ihrer Informationspflicht bei unmittelbarer Datenerhebung unaufgefordert nachkommen. Diese Verpflichtung kennt §17 DSG-EKD nicht. Dort heißt es:

( 1 ) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt die verantwortliche Stelle der betroffenen Person auf Verlangen in geeigneter und angemessener Weise Folgendes mit:

Informiert werden braucht hier bloß auf Verlangen hin. Es kann also nützlich sein, wenn ein entsprechendes Informationblatt wie Information über die Datenverarbeitung.docx in der Anmeldezeit im Sekretariat bereit liegt.

Veröffentlicht am

Schulen und Facebook Pages

Lesezeit: 2 Minuten

Viele Schulen haben eine Präsenz auf Facebook. Bei einigen ist es nicht mehr als eine Visitenkarte, doch andere Schulen laden regelmäßig Fotos auf ihre Facebook Seite und berichten über schulische Ereignisse. An einigen Schulen gibt es Einwilligungsformulare, in welchen eine Einwilligung für die Veröffentlichung von Fotos für die Schulhomepage und Facebook in einem eingeholt wird.

Facebook ist in vielen Bereichen definitiv ein wichtiger Kanal, um Öffentlichkeitsarbeit zu betreiben und Kontakt zu anderen herzustellen. Benötigen Schulen eine Facebook Präsenz? Darüber lässt sich sicherlich streiten.

Aus Sicht des Datenschutz spricht Einiges gegen eine schulische Facebook Präsenz und noch mehr gegen die Veröffentlichung von personenbezogenen Daten von Schülern und Lehrkräften auf diesem Medium.

Schulen können die Vorgaben des EuGH und der Datenschutzkonferenz nicht erfüllen

Egal wie man es dreht und wendet, für Schulen gilt dasselbe wie für alle anderen Betreiber von Facebook Seiten. Sie sind gemeinsam mit Facebook verantwortlich für die Verarbeitung von personenbezogenen Daten von Besuchern und müssen entsprechenden Pflichten nachkommen. Das ist jedoch nicht möglich, wenn Facebook von seiner Seite aus nicht an einer Lösung mitarbeitet. Als öffentliche Stelle kann eine Schule es sich wohl eher nicht leisten, unter diesen Bedingungen eine Facebook Präsenz zu unterhalten. Auch wenn öffentliche Schulen von Seiten der Aufsichtsbehörden nicht mit Bußgeldern bei Datenschutzverstößen zu rechnen haben, empfiehlt es sich Schulen eher, auf eine Facebook Präsenz zu verzichten.

Facebook bietet keine Verlässlichkeit in Bezug auf Datenschutz

Schulen sollten keine personenbezogenen Daten von Schülern, Lehrkräften und anderen am Schulleben beteiligten Personen bei Facebook einstellen, vor allem kein Bildmaterial. Selbst wenn Fotos von Personen aus der Schule ohne Namensnennung eingestellt werden, wird Facebook seine Gesichtserkennungsalgorithmen nutzen und Personen identifizieren, auch wenn es lediglich Fotos mit größeren Gruppen sind. Die Auflösungen von Kameras und auch Smartphones sind heute so gut, dass auf Fotos viele Details zu erkennen sind. Facebook hat in der Vergangenheit immer wieder gezeigt, dass es kein verlässlicher Partner in Sachen Datenschutz ist. Immer wieder ändern sich Geschäftsbedingungen und kommt es zu Fehlern. Persönlich halte ich es mittlerweile für fahrlässig, wenn eine Schule Fotos von Schülern bei Facebook einstellt, selbst wenn dieses mit Einwilligung der Eltern erfolgt. Die Folgen auf Dauer sind einfach nicht abschätzbar.

Weiter lesen: 

Veröffentlicht am

EU-US Privacy Shield auf der Kippe und für Schulen wird nichts besser

Lesezeit: 2 Minuten

Der EU-US Privacy Shield, der Nachfolger des Safe Harbour Agreements, bietet US amerikanischen Anbietern wie Microsoft, Google, Apple und Amazon die Möglichkeit, europäischen Nutzern Garantien für die Sicherheit von personenbezogenen Daten anzubieten, welche auf US Servern verarbeitet werden. Bei großen weltweit agierenden Anbietern ist es normal, dass man ein über die Welt verstreutes Netzwerk (CDN) an Servern hat. Wichtige Server stehen dort, wo die Firmen ihre Zentralen haben, in den USA.

Die Übermittlung von Daten in Länder außerhalb der EU ist aus datenschutzrechtlicher Sicht ein komplexes Thema, denn es geht um Schutzniveaus und Garantien, dass die personenbezogenen Daten europäischer Bürger in diesen Drittstaaten sicher sind und auf einem der EU vergleichbaren Datenschutzniveau verarbeitet werden. Es geht um Sicherheit vor Missbrauch der Daten und unberechtigten Zugriffen. Dank des EU-US Privacy Shields ist es aktuell recht einfach, die Dienste der genannten Anbieter in Anspruch zu nehmen, wenn man den Anbietern selbst vertraut. In der Regel sind große Anbieter zusätzlich von unabhängigen Instanzen zertifiziert und man unterzeichnet darüber hinaus noch Standardvertragsklauseln.

Für Schulen ist der unterrichtliche Einsatz von Angeboten, welche die Nutzung US amerikanischer Server mit einschließen, Angeboten wie Office 365 mit der Cloud von Microsoft, G-Suite for Education von Google und iCloud von Apple auch trotz EU-US Privacy Shield nicht ohne Probleme. Bis auf Ausnahmen1z.B. LDI Hessen für Office 365 mit  der (Deutschland) Cloud und LDI RLP für G-Suite for Education (ohne personenbezogenen Daten). sprechen die Aufsichtsbehörden der Bundesländer keine Empfehlungen für Schulen aus, dass sie eines der genannten Produkte ohne Bedenken mit Nutzerkonten mit Klarnamen und weiteren personenbezogenen Daten der Schüler im Unterricht nutzen können. Für sie gibt es, trotz EU-US Privacy Shield und zusätzlichen Selbstverpflichtungen zu viele ungeklärte Fragen.

Am 11. Juni 2018 hat man in Brüssel festgestellt, dass das EU-US Privacy Shield keinen ausreichenden Schutz für die personenbezogenen Daten von EU Bürgern garantiert. Nun soll die europäische Kommission das Abkommen auf Eis legen, sollten die USA nicht bis zum 1. September Garantien bieten, welche den Vorgaben der DS-GVO entsprechen. Darüber hinaus steht wohl auch noch eine Entscheidung des europäischen Gerichtshofs (EuGH) zu den Standardvertragsklauseln an. Experten sind sich aktuell unsicher, wie das alles enden wird.

Fakt ist jedoch: sollten das EU-US Privacy Shield und/oder die Standardvertragsklauseln kippen und es gibt keine neuen vertraglichen Regelungen zwischen den USA und der EU, dann wird es für Schulen noch schwieriger, eventuell sogar unmöglich, manche Produkte der großen Anbieter zu nutzen. Und nicht nur das. Selbst nicht US Anbieter unterhalten oft in den USA Datenzentren und Niederlassungen, da dort einer ihrer größten Märkte ist. Andere Anbieter nutzen die Serverdienste von Amazon (AWS) und Google, da sie selbst keine eigenen Server haben.2Die Problematik geht eigentlich sogar noch weiter, denn auch die großen Betriebssystem, von Linux einmal abgesehen, kommen ohne Datenfluss zu und von US Servern nicht aus, wenn es um Updates geht, um anonymisierte Nutzungsdaten, die Zugriffe von Apps usw.

Fazit: Was ohnehin schon problematisch ist, wir womöglich noch problematischer werden.

Alles könnte einfacher:  Es gäbe einfache Auswege. Schulen könnten problemlos Angebote wie Collabora Office, Nextcloud und ähnlich nutzen, um vergleichbare Funktionalitäten für den Einsatz im Unterricht zu erhalten. In vielen Kommunen sieht man jedoch eine Dominanz von Microsoft Produkten, denn diese sind in den kommunalen Verwaltungen im Einsatz, werden von den kommunalen Dienstleistern unterstützt und von Wirtschaftsbetrieben vor Ort an den Schulen favorisiert. Vielleicht ist es an der Zeit, den Schalter umzulegen und auf andere Lösungen zu setzen. Die Vergangenheit zeigt, dass es für Schulen aus datenschutzrechtlicher Sicht problematisch ist, auf die großen Anbieter zu setzen.

Die Zukunft des EU-US Privacy Shields und der Standardvertragsklauseln sind zur Zeit ungewiss. Es bleibt abzuwarten, was passiert.

Veröffentlicht am

Schülerfahrverkehr – wann braucht es eine Einwilligung in die Datenübermittlung?

Lesezeit: 3 Minuten

Das Thema Schülerfahrverkehr wird in verschiedenen Städten und Gemeinden unterschiedlich geregelt. In den meisten Fällen erhalten nur die Schüler eine Fahrkarte für Bus/Bahn, die einen gesetzlichen Anspruch auf Erstattung der Schülerfahrkosten nach §97 SchulG NRW haben. Einige Schulträger stellen allen Schülerinnen und Schülern ihrer Kommune ohne Ausnahme ein Schülerticket zur Verfügung. Je nach Schulträger werden die für die Erstellung der Tickets erforderlichen personenbezogenen Daten der Schüler durch die Schule an den Schulträger selbst übermittelt, der die Berechtigung überprüft, oder seltener auch direkt an den Betreiber des öffentlichen Nahverkehrs. Ob es einer Einwilligung durch die Betroffenen bedarf, hängt maßgeblich davon ab, an wen die Schule die Daten übermittelt. Bei Städten und Kommunen, in welchen der Prozess der Bewilligung von Schülerfahrkosten und die Vergabe von Fahrkarten, von der kommunalen Verwaltung selbst geregelt wird, ist die Schule aus Sicht des Datenschutz außen vor und das Folgende ohne Bedeutung.

Die rechtliche Seite

Grundsätzlich gilt für die Übermittlung von personenbezogenen Daten durch die Schule nach §120 SchulG

(5) Die in Absatz 1 Satz 1 genannten Daten dürfen […] dem Schulträger, [… ] nur übermittelt werden, soweit sie von diesen Stellen zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben benötigt werden.

Da nach §97 SchulG der Schulträger für die Schülerfahrkosten zuständig ist1“§ 97 SchulG – Schülerfahrkosten (1) Den Schülerinnen und Schülern der allgemein bildenden Schulen gemäß §§ 11, 14 bis 18, der Förderschulen gemäß § 20, der Schule für Kranke gemäß § 21 und Berufskollegs in Vollzeitform gemäß § 22, die ihren Wohnsitz in Nordrhein-Westfalen haben, werden die Kosten erstattet, die für ihre wirtschaftlichste Beförderung zur Schule und zurück notwendig entstehen.” und er im Rahmen seiner Möglichkeiten auch eine Fahrkarte stellen kann anstelle einer Kostenerstattung2§97 SchulG (3) “Werden Schülerzeitkarten nach Satz 1 zur Verfügung gestellt, sind sie die wirtschaftlichste Art der Beförderung; es entfällt jegliche Erstattung von Fahrkosten.”, liegt eine vom Land NRW an den Schulträger übertragene Rechtsvorschrift vor. Damit ist die Voraussetzung erfüllt für eine Übermittlung personenbezogener Daten von Schülern nach §120 (5) SchulG.

Was bedeutet dieses für die Praxis?

Fall 1 – nur nach §97 SchulG berechtigte Schüler erhalten die Fahrkarte und die Daten werden an den Schulträger übermittelt

Nach Art. 6 Abs. 1 c DS-GVO ist eine Verarbeitung3Nach Art. 4 Abs. 2 schließt Verarbeitung auch die “die Offenlegung durch Übermittlung” ein. rechtmäßig, wenn

“die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;”

Eine Einwilligung durch die Betroffenen ist somit nicht erforderlich. Die Schule kann die Daten übermitteln, muss aber über die Übermittlung informieren, was bei der Anmeldung an der Schule erfolgen kann. Wechselt ein Schüler im Laufe der Schulzeit an einer Schule den Wohnort und erfüllt dadurch die Vorgaben zum Anrecht auf eine Fahrkarte, müssen die Betroffenen eventuell bezüglich der Datenübermittlung informiert werden.

Ob eine Schule vorsortiert, von welchen Schülern sie die Daten an den Schulträger übermittelt, hängt auch von den örtlichen Absprachen ab. Rechtlich ist es vertretbar, die entsprechenden Daten sämtlicher Schüler zu übermitteln, da der Schulträger nur so die Berechtigungen bzw. den Anspruch auf Zuteilung einer Fahrkarte für alle Schüler prüfen kann.

Man kann jedoch auch argumentieren, dass es nicht erforderlich ist, die Daten von Schülern zu übermitteln, die am Schulort selbst wohnen und ohnehin keinen Anspruch auf eine Fahrkarte haben.4Eine Ausnahme sind immer Schüler, die aus anderen Gründen Anspruch auf eine Beförderung haben.

Fall 2 – alle Schüler der Stadt/ Kommune erhalten ein Ticket und die Daten werden an den Schulträger übermittelt

Der Fall ist etwas anders gelagert, da es hier nicht mehr um eine Überprüfung des Anspruchs durch den Schulträger geht. Da alle Schüler eine Fahrkarte erhalten, auch die, welche nach gesetzlichen Vorgaben keinen Anspruch haben, werden hier Daten übermittelt und es besteht keine eindeutige rechtliche Grundlage. Wer sicher gehen möchte, holt eine Einwilligung dafür ein. Damit das Verfahren vereinfacht ist, holen viele Schulen die Einwilligung grundsätzlich bei allen Schülern ein. Wenn das Verfahren etabliert ist, kann man die Einwilligung direkt bei der Anmeldung an der Schule mit einholen.5In diesem Fall sollte die Einwilligung in die Datenübermittlung als Auswahloption vorgesehen sein, so dass die Betroffenen aktiv auswählen müssen.

Ob man sich als Schule in diesem Fall mit einer Einwilligung absichert, hängt letztlich auch von der Interpretation der gesetzlichen Vorgaben ab. Legt man die Vorgaben eher eng aus, empfiehlt sich die Einwilligung.

Fall 3 – die Schule übermittelt die personenbezogenen Daten der Schüler direkt an das Beförderungsunternehmen

In diesem Fall ist es egal, ob es sich nur um nach §97 SchulG berechtigte Schüler handelt oder alle. Die Übermittlung soll an eine Stelle erfolgen, welche nicht unter die nach dem Schulgesetz zulässigen Stellen fällt. Da die gesetzliche Grundlage fehlt, ist hier eine Einwilligung vor Übermittlung der Daten unbedingt erforderlich. Die Einwilligung ist für Grundschulen wie weiterführende Schulen nutzbar.6Die Formulierung “Aus der Nichterteilung oder dem Widerruf der Einwilligung entstehen keine Nachteile.” ist eine allgemeine Formulierung. Jedem Betroffenen sollte jedoch klar sein, dass ohne Einwilligung keine Fahrkarte erstellt werden kann. Nachteil meint hier eher Nachteil in der Schule insgesamt.

Veröffentlicht am

Einwilligung und Zweckänderung

Lesezeit: 2 Minuten

Frage: ich fotografiere einen Schüler (anlassbezogen gibt es eine Genehmigung1Aus Sicht des Datenschutz wird immer von EINWILLIGUNG gesprochen!). Darf ich das Foto online an CEWE Fotodienst schicken zum Ausdrucken?

In der Einwilligung ist, so lässt die Frage vermuten, nicht aufgeführt, dass das Foto der betroffenen Person über einen externen Dienstleister ausgedruckt und diesem dazu das Foto übermittelt werden soll. Daher rührt wohl die Unsicherheit, ob das Foto auf der Grundlage der bestehenden Einwilligung übermittelt werden darf.

Die Antwort ist recht einfach.

Eine wirksame Einwilligung setzt voraus, dass sie bestimmt ist. Wenn eine Einwilligung sich nicht auf bestimmte Datenverarbeitungszwecke beschränkt, ist sie unwirksam. Das bedeutet nicht, dass sie sich auf einen einzigen Zweck beschränken muss. Die betroffenen Personen, Eltern oder Schüler, können ihre Einwilligung für einen oder mehrere bestimmte Zwecke geben (Art. 6 Abs. 1).

Das heißt, die Einwilligung muss die Zweckbestimmung festlegen. Sie muss eindeutig sein und legitim. Von daher ist es wichtig, dass die Zweckbestimmung so präzise wie möglich angegeben ist.

Der Verantwortliche, die Schule, muss sicherstellen, dass die personenbezogenen Daten nicht für Zwecke verarbeitet werden, mit denen die betroffene Person bei der Erhebung nicht rechnen musste.

Mit den Anforderungen an eine wirksame Einwilligung ist somit schnell zu verstehen, was dieses für eine Zweckänderung bedeutet. Eine Zweckänderung ergibt sich auch durch einen neuen Zweck. Kommt nachträglich ein neuer Verarbeitungszweck hinzu, wie vermutlich in diesem Fall mit der Übermittlung an einen Fotodienstleister, bedarf es dazu einer entsprechenden Einwilligung der betroffenen Person. 2Zwar gibt es nach (Art. 6 Abs. 4) auch die Möglichkeit, abzuwägen, ob der neue Verarbeitungszweck eine zweckkompatible Verarbeitung bedeutet. Kommt man nach den Kriterien von Abs. 4  zu dem Schluss, dass mit der Weiterverarbeitung der Daten zu einem anderen als dem ursprünglich verfolgten Zweck eine zweckkompatible Weiterverarbeitung vorliegt, braucht es keine neue Einwilligung. (Kühling/Buchner Art. 6 RN 181). Es mag Fälle geben, wo diese Abwägung einfach ist. Wer keinen Fehler machen möchte, sichert sich durch eine zusätzliche Einwilligung ab.

Im angefragten Fall bedeutet dieses: Schließen die in der Einwilligung aufgeführten Verarbeitungszwecke nicht die Übermittlung und Verarbeitung der Fotos an einen externen Dienstleister mit ein, sollte hierfür aus datenschutzrechtlciher Sicht eine zusätzliche Einwilligung eingeholt werden.

Tipp: Von daher erspart man sich Arbeit, wenn man beim Einholen der Einwilligung alle beabsichtigten Verarbeitungszwecke von vorneherein mitbedenkt. Damit ist jedoch nicht gemeint, dass man versucht, direkt pauschal jeden möglichen Verarbeitungszweck abzudecken, denn dieses würde dem Grundsatz der Bestimmtheit widersprechen.

Veröffentlicht am

Datenübermittlung zur Erstellung eines Schülerausweises im Scheckkarten Format

Lesezeit: 2 Minuten

Will eine Schule Schülerausweise im Scheckkarten Format durch eine Firma erstellen lassen, so ist dafür eine Übermittlung von personenbezogenen Daten der Schüler an diese Firma erforderlich. Dabei ist es egal, ob die Daten als Tabelle geliefert werden oder die Ausweise mit einer Software in der Schule erstellt und die Druckdateien dann an die Firma übermittelt werden. Mitunter wird auch noch ein Fotograf mit der Aufnahme der Fotos für den Ausweis beauftragt.

Alle Daten für den Schülerausweis liegen in jeder Schule vor1VO-DV I, Anlage 2, II. Weitere Informationssammlungen. Falls die Anfertigung des Fotos nicht bereits durch eine andere Einwilligung abgedeckt ist, muss dafür eine solche eingeholt werden, da Fotos nicht zu den personenbezogenen Daten gehören, welche eine Schule auf Grundlage des SchulG NRW verarbeiten darf.

Für den Fall, dass Ausweis und Fotos von einer Firma erstellt werden, könnte man z. B. diese Einwilligung in die Übermittlung und Erstellung der Fotos nutzen. In der ersten Variante wird eine Schüler ID mit übermittelt, um den Schülerausweis auch als Bibliotheksausweis nutzen zu können.

Die zweite Variante sieht diese Schüler ID nicht vor.

Erstellt die Schule die Fotos selbst oder wird ein unabhängiger Fotograf beauftragt, ist die Einwilligung entsprechend abzuändern2z.B. so, dass die Einwilligung klar trennt, wer die Aufnahmen macht und die Einwilligung dafür kenntlich macht.

Die dritte Variante geht davon aus, dass die Fotos bereits vorliegen und die Anfertigung auf einer bestehenden Einwilligung beruht.

Hinweis: Bitte achten Sie bei der Übermittlung der personenbezogenen Daten Ihrer Schüler an die Firma, welche die Schülerausweise erstellt, dass diese sicher erfolgt. Eine Möglichkeit dazu ist die Verschlüsselung des E-Mails oder zumindest der Datei3Ein Passwort geschütztes ZIP Archiv oder zumindest eine durch Passwort lesegeschützte Datei sind das absolute Minimum.. Das Passwort zum Entschlüsseln sollte dann jedoch separat mitgeteilt werden. Achten Sie bei Vergabe des Auftrags auch darauf, dass die Zweckbindung der Daten sowie Löschung nach Abschluss des Auftrags gewährleistet sind.

Alternative: Bei großen Schulen bietet es sich eventuell an, einen Scheckkarten Ausweisdrucker anzuschaffen und die Schülerausweise selbst zu erstellen. Liegt keine entsprechene Einwilligung zur Erstellung und Nutzung von Fotos zur Erstellung eines Schülerausweises4Zweck der Verarbeitung vor, ist diese vorher einzuholen.

Wie alle anderen Vorlagen für Einwilligungen finden sich diese unter Einwilligungen Schule (NRW).

Veröffentlicht am

Schulen müssen bei der Erhebung von Daten entsprechend der DS-GVO informieren

Lesezeit: 2 Minuten

Erhebt eine Schule direkt bei den betroffenen Personen personenbezogene Daten, muss sie diese bei der Erhebung nach Art 13. EU-DSGVO informieren. Meist ist dieses der Fall bei der Anmeldung an einer Schule. Hier werden sehr umfangreich Daten bei den Eltern oder erwachsenen Schülern erhoben. Anders als bisher gibt es dabei nun eine Informationspflicht durch die Schule. Mitgeteilt werden müssen, wer die datenverarbeitende Stelle ist, wer der Verantwortliche, wer Datenschutzbeauftragter, zu welchen Zwecken personenbezogene Daten erhoben und verarbeitet werden, auf welcher rechtlichen Grundlage dieses geschieht, wer Empfänger der Daten ist, wie lange die Daten gespeichert werden und welche Rechte aber auch Pflichten die Betroffenen gegenüber der Schule als datenverarbeitende Stelle haben.

In NRW ist man von Seiten des MSB zum Schluss gekommen, dass zur Reduzierung des Aufwands grundlegende Informationen auf der Schulhomepage veröffentlich werden sollen1Ein Muster dazu soll noch folgen., mit Verweisen auf die VO-DV I und II. Da jedoch direkt bei der Erhebung informiert werden muss, wird den Schulen folgendes Vorgehen vorgeschlagen.

“Da die DSGVO verlangt, dass im Zeitpunkt der Datenerhebung über die Datenverarbeitung informiert wird, ist es anlässlich der Anmeldung einer Schülerin oder eines Schülers an einer Schule erforderlich, den Eltern bzw. dem volljährigen Schüler oder der Schülerin einen Papierausdruck der VO DV I auszuhändigen.”

Die VO-DV I ist recht umfangreich2Je nach Formatierung können das zwischen 4 und 10 Seiten sein. und schwierig zu verstehen. Außerdem fehlen dort Informationen, die zum Zeitpunkt der Erhebung gegeben werden müssen.3z.B. verarbeitende Stelle, Verantwortlicher und Datenschutzbeauftragter, sowie die Hinweise auf die Rechte der Betroffenen und das Beschwerderecht bei der Aufsichtsbehörde. Dafür finden sich dort jedoch Informationen, die ohne Bedeutung sind bezüglich der Erhebung.

Als Alternative empfehle ich deshalb die Nutzung eines deutlich kürzeren, auf die tatsächlich erforderlichen Informationen beschränkten Informationsschreibens.

Download: Information über die Datenverarbeitung.docx

Das Informationsschreiben ist in der zum Download angebotenen Form mehr auf Grundschulen und Sekundarstufe I ausgelegt, kann aber leicht für die gymnasiale Oberstufe und das Berufskolleg angepasst werden. Anpassungen sind auch in einigen Teilbereichen (Zwecke, Empfänger) erforderlich. Auf der letzten Seite gibt es dazu Informationen.

Tipp: Wenn Sie bei der Aufnahme neuer Schüler mit einem Erhebungsbogen arbeiten, können Sie das Informationsschreiben mit diesem kombinieren.

 

Veröffentlicht am

Übermittlung personenbezogene Daten von Schülern an Träger im offenen Ganztag

Lesezeit: < 1 Minute

Vor einem Monat war ich hier im Blog der Frage nachgegangen, ob eine Einwilligung der Erziehungsberechtigten bezüglich Fotos, welche der Schule gegeben wurde, auch auf den Träger im offenen Ganztag übertragbar ist (Offener Ganztag und Datenschutz) und war zu dem Schluss gekommen, dass dieses eher nicht der Fall ist.

Nachtrag Februar 2020

Nachdem sich die Landesregierung im Rahmen einer kleinen Anfrage zu genau diesem Thema geäußert hat, ist nun klar, es braucht keine Einwilligung, damit die Schule sich mit Mitarbeitern des offenen Ganztags bezüglich der individuellen Förderung der Kinder austauschen kann. Warum das so ist, erkläre ich ausführlich unter Schule – Offener Ganztag – Schulsozialarbeit & Datenschutz 

Aufgrund einer Nachfrage habe ich heute eine neue Einwilligung erstellt, die ebenfalls mit Schule und dem Träger zu tun hat. Der offene Ganztag kann nur funktionieren, wenn die Personen, welche die Kinder nach dem Unterricht betreuen, über ausreichende Informationen verfügen, um für die Kinder passgenaue Unterstützungsangebote erstellen zu können. Wenn der offene Ganztag keine reine Hausaufgabenhilfe sein soll, müssen die Mitarbeiter wissen, wo das Kind Förderbedarfe hat, ob es Lernbeeinträchtigungen hat und ähnlich. Die Informationen sollten aktuell sein und die Mitarbeiter des Trägers können sie nur von der Schule erhalten, von den Lehrkräften, welche das Kind unterrichten. Als externer Partner gehören die Träger von offenen Ganztagsangeboten nicht zur Schule.

Da es keine rechtliche Grundlage im Schulgesetz NRW gibt, aufgrund derer die Schule derartige Informationen bzw. personenbezogene Daten an Dritte wie einen Träger (ein Unternehmen) weitergeben darf, kann ein solcher Informationsaustausch nur auf der Basis einer informierten und freiwilligen Einwilligung erfolgen.1Anders als im Bereich der Schulsozialarbeit und dem Informationsaustausch mit Ämtern, Ärzten u. Ä. empfehle ich hier eine datenschutzrechtliche Absicherung durch eine entsprechende Einwilligung und keine Entbindung von der Schweigepflicht.

Die Einwilligung findet sich dauerhaft im Download Bereich unter Einwilligungen Schule (NRW).

Bitte achten Sie als Schule darauf, die Daten Ihrer Schüler an den Träger Ihres offenen Ganztagsangebot nur auf sicheren Wegen zu übermitteln. 

Stolz präsentiert von WordPress