Müssen Schulen einen Datenschutzbeauftragten an die Aufsichtsbehörden melden?

Lesezeit: 2 Minuten

Pflicht zur Meldung des Datenschutzbeauftragten an die Aufsichtsbehörden

Nach Art 37 Abs 7 der DS-GVO veröffentlicht der Verantwortliche oder Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragten 1Siehe dazu auch den Beitrag Muss der Datenschutzbeauftragte auf die Schulhomepage? 2Siehe auch Datenschutzbeauftragte FAQ Grundlagen und Benennung – der LDI NRW < und

“teilt diese Daten der Aufsichtsbehörde mit.”

Diese Vorgabe gilt auch für öffentliche Stellen wie Schulen. Für die Aufsichtsbehörde ist diese Meldung von Bedeutung, da der Datenschutzbeauftragte nur so in der Lage ist seiner Tätigkeit als Anlaufstelle für die Aufsichtsbehörde effektiv nachgehen zu können (vgl. Artikel 39 Absatz 1 Buchstabe e) DS-GVO).

Praktische Umsetzung bei Schulen – offene Fragen

Bisher ist leider nicht klar, ob jede einzelne Schule diese Meldung separat für sich machen muss. Schulen in NRW brauchen keine eigenen Datenschutzbeauftragten, denn es gibt die behördlich bestellten schulischen Datenschutzbeauftragten. In jedem Kreis bzw. jeder kreisfreien Stadt wurde dafür eine zuständige Person benannt. Teilweise sind es auch zwei Personen, die sich diese Zuständigkeit teilen. Alle diese Personen sind dem MSB bekannt (siehe Übersicht Behördliche Datenschutzbeauftragte) wie auch den fünf Bezirksregierungen.

In NRW gibt es 5.436 öffentliche Schulen3siehe Schulen, Klassen, Schülerinnen, Schüler und Lehrkräfte an
allgemeinbildenden und beruflichen Schulen 2019 nach Schulformen – IT.NRW
. Würde jede einzelne eine Meldung machen, wären es entsprechend viele Meldungen. Da jeder behördliche Datenschutzbeauftragte für mehrere Schulen zuständig ist, würde jede dieser Personen x-fach gemeldet.

Von daher macht es eher Sinn, wenn das MSB jetzt am Start einmal die Aufsichtsbehörde, die LDI NRW, informiert. Das wäre eine Meldung. Spätere Änderungen werden dann entweder die Kreise bzw. kreisfreien Städte oder die Bezirksregierungen mitteilen. Dass jede Schule dieses für sich übernimmt, führt zu einer unnötigen Flut an Meldungen und Arbeit. Übernehmen die Kreise und kreisfreien Städte diese Aufgabe, geht es um 52 behördliche Datenschutzbeauftragte plus eventuell deren Vertreter.

Mitteilungen an die LDI NRW werden ab dem 25. Mai 2018 möglich sein. Nach einer Information der LDI NRW soll es dazu dann eine Möglichkeit zur Online-Meldung über die Homepage der Aufsichtsbehörde geben.

Wird der Datenschutzbeauftragte nicht gemeldet, so stellt dieses bereits einen Verstoß gegen die Vorgaben der Datenschutzgesetzgebung dar.

Abwarten empfohlen

Es soll für den Start eine Übergangsfrist geben. Dieses ist auf der Homepage der LDI NRW bekanntgegeben.

WICHTIGER HINWEIS: Wir beabsichtigen, unterlassene Meldungen der Kontaktdaten der/des Datenschutzbeauftragten während einer Übergangszeit bis zum 31.12.2018 nicht als Datenschutzverstöße zu verfolgen oder zu ahnden.

Das MSB hat sich bisher nicht zu der Frage geäußert, wie die Meldung praktisch umgesetzt werden soll, ob es eine erste Meldung durch das MSB gibt oder die Bezirksregierungen. Da bis zum 31.12.2018 eine Übergangsfrist besteht, empfehle ich Schulen in NRW (bis zur Klärung dieser Frage) zunächst einige Wochen abzuwarten. Es wird hier sicher noch eine Mitteilung von Seiten des Ministeriums oder der Bezirksregierungen geben. Natürlich steht es jeder Schule frei, ihren Datenschutzbeauftragten direkt nach dem 25.05.2018 zu melden. Es ist kein Schaden.

Datenschutzgesetz NRW – dauert noch (ein paar Tage)

Lesezeit: 2 Minuten

Schon erstaunlich, dass die Übergangsfrist von zwei Jahren in NRW scheinbar kaum genutzt wurde, um das alte Datenschutzgesetz NRW auf die Vorgaben der Europäischen Datenschutz Grundverordnung anzupassen. Die 1. Lesung zum neuen Datenschutzgesetz fand Anfang März diesen Jahres statt. Am 16.05.2018 soll nun die 2. Lesung stattfinden. Wie aus dem Beratungsverlauf ersichtlich und den Stellungnahmen, sind zahlreiche öffentliche Stellen und Interessengruppen am Gesetzgebungsverfahren beteiligt. Die LDI NRW ist mit der Umsetzung ihrer Vorschläge wohl nicht völlig einverstanden. Es sieht aber trotz allem sehr danach aus, als werde es am ersten Entwurf keine großen Veränderungen mehr geben. Entsprechend empfielt der Hauptausschuss des Landtags den Parteien, mit ihren Stimmen den Gesetzes entwurf mit dem Namen Drucksache 17/1981 anzunehmen.

Für Schulen gibt es im Gesetzesentwurf eine interessante Stelle, die man kennen sollte.

§ 28 Befugnisse
(2) Kommt die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit zu dem Ergebnis, dass Verstöße gegen die Vorschriften dieses Gesetzes oder gegen andere Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung personenbezogener Daten vorliegen, kann sie oder er diese

3. …. bei öffentlichen Schulen der Leitung der Schule  …

beanstanden und kann vor Ausübung der Befugnisse des Artikels 58 Absatz 2 Buchstabe b bis g, i und j der Verordnung (EU) 2016/679 Gelegenheit zur Stellungnahme innerhalb einer angemessenen Frist geben. In den Fällen von Satz 1 Nummer 2 bis 4 unterrichtet die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit gleichzeitig auch die zuständige Aufsichtsbehörde.
Von der Einräumung der Gelegenheit zur Stellungnahme kann abgesehen werden, wenn eine sofortige Entscheidung wegen Gefahr im Verzug oder im öffentlichen Interesse notwendig erscheint oder ihr ein zwingendes öffentliches Interesse entgegensteht.

Die Aufsichtsbehörde des Landes NRW, also die Landesbauftragte für Datenschutz und Informationsfreiheit, hat demnach auch die Möglichkeit,

i) eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,

Es kann aber sicher davon ausgegangen werden, dass hier schon extreme Fälle von Verstößen gegen das Datenschutzgesetz vorliegen müssen und dass die Schulleitung keinerlei Einsicht zeigt und Willen, den Problemen abzuhelfen.

Das alles ist nicht komplett neu, fand sich im alten Datenschutzgesetzt nur auf verschiedene Stellen verteilt § 24 Beanstandungen durch den Landesbeauftragten und § 34 Ordnungswidrigkeiten.

Eingreifen kann die LDI NRW auch, wenn eine Schule ihren Pflichten nach dem Informationsfreiheitsgesetz NRW nicht nachkommt. Hier allerdings gehen die Maßnahmen nicht über die Möglichkeiten hinaus, eine Stellungnahme anzufordern.

Abmahnung & Schulhomepage

Lesezeit: 3 Minuten

Die Umsetzung der Datenschutz Grundverordnung (DS-GVO) steht unmittelbar bevor. Überall im Internet werkeln die Betreiber von Blogs und anderen Internetauftritten an den Einstellungen ihrer Webseiten, um die Erhebung von personenbezogenen Daten bei den Besuchern zu vermeiden oder zumindest zu reduzieren. Mechanismen zur Einholung von Einwilligungen bei Cookies, Kommentaren und dem Abonnement von Newslettern werden eingerichtet. Datenschutzerklärungen werden schnell noch angepasst oder gar erst erstellt, um den Pflichten der DS-GVO nachzukommen. Gleiches ist auch bei den Machern von Schulhomepages zu beobachten.

Alle haben Angst vor der drohenden Abmahnung!!!! 

Das ist es das Unwort, AbMahnung. Muss eine Schule sich hier überhaupt Gedanken machen? Kann eine Schule wegen ihrer Schulhomepage und dort begangenen Rechtsverstößen abgemahnt werden?

Beschäftigt man sich näher mit dem Thema Abmahnung, dann sieht man schnell, dass eine Schule prinzipiell zwar durchaus abgemahnt werden kann wegen Inhalten der Schulhomepage, dass dieses wegen des Thema Datenschutzes jedoch eher unwahrscheinlich ist. Warum?

JuraWiki beschreibt den Begriff Abmahnung wie folgt:

“Allen Abmahnungen gemeinsam ist, dass sie ein bestimmtes Verhalten rügen. Es wird darauf hingewiesen, dass man dies nicht toleriert und bei forgesetztem Fehlverhalten Konsequenzen drohen.”

Abmahnungen sind in verschiedenen Rechtsbereichen vertreten. Arbeitsrecht, Mietrecht und Verwaltungsrecht treffen auf eine Schulhomepage nicht zu. Schulen in öffentlicher Trägerschaft können eindeutig auch nicht vom Wettbewerbsrecht betroffen sein. Es bleiben noch das Urheberrecht, das Markenrecht und das Persönlichkeitsrecht.

Hier können sich tatsächlich Konstellationen in Bezug auf die Homepage ergeben, aus denen Abmahnungen folgen könnten.

Urheberrecht

Finden sich auf einer Schulhomepage urheberrechtlich geschützte Materialien, die ohne Erlaubnis des Rechteinhabers dort genutzt werden, so hat der Rechteinhaber die Möglichkeit, sich über eine Abmahnung dagegen zu wehren. Alternativ werden auch Lizenzkosten erhoben. Fälle, dass dieses sogar mit Creative Commons lizenzierten Bildern geschieht, sind bekannt. Dabei waren dann die Lizenzangaben nicht richtig oder unvollständig gemacht worden.

Markenrecht

Die Nutzung urheberrechtlich geschützter Markenzeichen kann auf einer Schulhomepage, sofern keine Einwilligung des Rechteinhabers vorliegt, eine Abmahnung zur Folge haben. Dazu gehören auch die Logos von Sportmannschaften.

Persönlichkeitsrecht

Auch bei Verletzungen des Persönlichkeitsrechts sind Abmahnungen möglich, auch gegen Schulen. Das könnte der Fall sein, wenn auf einer Schulhomepage über eine Person berichtet wird, so dass das Persönlichkeitsrecht verletzt wird, etwa durch eine grob sachlich falsche oder beleidigende Darstellung einer Person.

An dieser Stelle sind durchaus Überschneidungen mit dem Datenschutzgesetz möglich, etwa wenn Informationen ohne Einwilligung des Betroffenen auf der Schulhomepage veröffentlich werden und diese Informationen rufschädigende Wirkung haben.

Da es bei einer Abmahnung darum geht, jemanden dazuzubringen, ein Verhalten zu unterlassen, und es bei den Inhalten von Schulhomepages in der Regel um Personen geht, die der Schule bekannt sind, muss es schon weit kommen, dass eine Person zur Abmahnung als letztes Mittel greift, wenn es zu einer Verletzung des Persönlichkeitsrechts kommt.

Was ist mit dem Impressum?

Eine Abmahnung wegen fehlenden oder fehlerhafen Impressums ist eine Abmahnung aus dem Bereich des Wettbewerbsrechts. Auf Schulen in öffentlicher Trägerschaft trifft das normalerweise nicht zu.1Ob man einer Schule, die Werbebanner auf ihrer Homepage betreibt und Amazon Affiliate Links nutzt, einen Strick daraus drehen könnte, halte ich für wenig wahrscheinlich. Eine Abmahnung wegen fehlenden Impressums ist von daher auch nicht wirklich möglich. Haben sollten Schulhomepages ein Impressum aber auf jeden Fall.

Gibt es nicht doch Möglichkeiten, wo eine Schule wegen der Schulhomepage in Bezug auf Verletzungen des Datenschutz abgemahnt werden kann?

Schaut man sich die Rechtsbereiche an, bei denen Abmahnungen üblich sind, so ist schnell klar, dass bei Verstößen gegen die Datenschutzgesetzgebung, wenn es um Schulen geht, nicht mit Abmahnungen gerechnet werden muss. Möglich sind in sochen Fällen Beschwerden bei den Aufsichtsbehörden.

Ist eine fehlende oder fehlerhafte Datenschutzerklärung nicht doch ein Abmahnungsgrund?

Nein, auch nicht. Weder nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) noch nach dem Unterlassungsklagengesetz (UKlaG) ist hier eine Abmahnung möglich, denn in beiden Fällen geht es immer um kommerzielle Interessen des Betreibers der Homepage. Das ist bei einer Schule in öffentlicher Trägerschaft eindeutig nicht der Fall. Eine Datenschutzerklärung ist nach der DS-GVO natürlich trotz allem ein verpflichtender Bestandteil der Schulhomepage.

Fazit

Schulen brauchen sich, wenn es um das Thema Datenschutz und DS-GVO geht, bezüglich ihrer Schulhomepage keine Gedanken machen. Die Wahrscheinlichkeit, dass hier ein Abmahnanwalt ein Geschäft wittert, ist eher gering. Um eine Abmahnung erteilen zu können, braucht es eine Rechtsgrundlage und solange auf einer Schulhomepage keine Urheberrechtsverletzung begangen wird oder die Persönlichkeitsrechte einer Person missachtet werden, ist mit einer Abmahnung nicht zu rechnen. Trotzdem gelten auf jeden Fall die Vorgaben der Datenschutzgesetzgebung, die dazu anhalten die Erhebung von personenbezogenen Daten auf ein Minimum zu beschränken und Nutzer über die Erhebung in Kenntnis zu setzen, ihre Einwilligung einzuholen, wo erforderlich und die Datenverarbeitung über die Homepage allgemein mittels einer Datenschutzerklärung zu informieren.

Bitte beachten, für Privatschulen, die kommerziell betrieben werden, gelten obige Aussagen nicht uneingeschränkt.

Siehe auch:

In einer Reihe von Tweets hat die Rechtsanwältin Nina Diercks am 20.05.2018 sehr gut erklärt, wie es mit dem Abmahnrisiko für Websiten in Bezug auf die DS-GVO aussieht.

Link zum ersten Tweet: https://twitter.com/RAinDiercks/status/998079439727661056

Link zum restlichen Thread (11 Tweets): https://twitter.com/RAinDiercks/status/998080633464344576

Tipps zur Genehmigung für Lehrkräfte zur Nutzung von Privatgeräten auf neuesten Stand gebracht

Lesezeit: < 1 Minute

Sehr viel Neues gibt es nicht zur Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gem. § 2 Abs.2 VO-DV I / § 2 Abs.4 VO-DV II).

Die Tipps, wie man die Vorgaben einhalten kann, sind auf den neuesten Stand gebracht. Ergänzt ist als Thema Verschlüsselung für Geräte selbst und externe Medien wie USB Sticks, Festplatten etc.. Außerdem gibt es einen Hinweis auf eine Alternative zum Anlegen eines 2. dienstlichen Nutzers auf dem Rechner.

Tipps und Antworten für die Praxis – Genehmigung private Endgeräte (Google Doc – view only)

Nicht wirklich Neues in Bezug auf die Genehmigung für Privatgeräte in NRW

Lesezeit: 3 Minuten

Heute fanden die Schulen in NRW das angekündigte E-Mail von Staatssekretär Richter in ihren Postfächern. Wirklich Neues bringt dieses Mail nicht. Im Wesentlichen gibt es das wieder, was am 24.04.2018 gesagt wurde. Das E-Mail, welches unter [02.05.2018] Dienstanweisung für die automatisierte Verarbeitung von personen-bezogenen Daten in der Schule – BASS 10-41 Nr.4 nachzulesen ist, greift noch einmal die verschiedenen Punkte auf und spielt dabei die mit der Genehmigung verbundenen Probleme für Lehrkräfte etwas herunter. Entsprechend heißt es:

“Ich möchte Ihnen gegenüber versichern, dass die DA ADV keine neuen Standards setzt. Sie begründet keine neuen rechtlichen Verpflichtungen oder gar Verschärfungen im Datenschutz, sie gibt lediglich die aktuelle Rechtslage wieder. Die neugefasste DA ADV soll erklären und unterstützen.”

An anderer Stelle heißt es dann “der Genehmigungsvordruck ist eine Hilfestellung“. Von vielen Lehrkräften wird das nicht so empfunden. Sicher ist es richtig, dass Vorgaben vom Datenschutz einzuhalten sind, doch als Hilfe lässt sich die Genehmigung schwer verstehen, vor allem nicht, wenn von der Erfüllung der Vorgaben und dem Nachweis dessen abhängt, ob Land oder Lehrer haftet.

Interessant ist folgender Passus bezüglich der Kontrollfunktion der Schulleitung:

“Die geregelten Nachweispflichten beinhalten selbstverständlich nicht die Verpflichtung der Schulleitung, die privaten Endgeräte jeder einzelnen Lehrkraft persönlich zu überprüfen. Das wäre gar nicht leistbar.”

Das klang zeitweise anders. Stattdessen wird wieder auf die schulischen Datenschutzbeauftragten (DSB) verwiesen:

“Die dokumentierten Angaben sind zudem von der bzw. von dem zuständigen behördlichen Datenschutzbeauftragten an Schulen zu prüfen, insbesondere daraufhin, ob zu den erforderlichen Maßnahmen zur Datensicherheit abweichende Angaben erfolgt sind, die einer Genehmigung entgegen stehen könnten.”

Abweichende Angaben zu den erforderlichen Maßnahmen zur Datensicherheit, die sollen die DSB prüfen und feststellen, ob sie einer Genehmigung entgegenstehen. Auch für DSB ist eine solche Beurteilung schwierig, vor allem wenn sich die Angaben im Formular zum Gerät, für welches eine Genehmigung eingeholt werden soll, auf Seriennummer und Gerätename beschränken. Für eine solche Prüfung ist mehr erforderlich, z.B. der genaue Gerätetyp, am besten mit Modelljahr (vor allem bei Android Geräten wichtig) und die OS Version. Nach der Handreichung zur Genehmigung sind bei bestimmten Gerätetypen Abweichungen von den Vorgaben der Genehmigung in Teil B möglich, etwa weil sich bei iOS kein zweiter Nutzer einrichten lässt oder dort kein Virenschutz erforderlich ist.

Alte Genehmigungen gelten weiterhin,

“Ausdrücklich darauf hinweisen möchte ich, dass in der Vergangenheit erteilte Genehmigungen weiterhin Bestand haben. Die Neufassung der DA ADV löst keinen neuen Handlungsdruck aus.”

An den verschiedenen Schulen sind über die Jahre höchst unterschiedliche Genehmigungsformulare unterwegs gewesen. Viele dürften in ihrer Anlage weit von den Vorgaben entfernt sein, welche die neue Genehmigung verbindlich vorgibt.

In der VO-DV I, §2 Abs. (2) heißt es zu den Voraussetzungen für eine Genehmigung,

“bedarf der schriftlichen, ein Verfahrensverzeichnis gemäß § 8 DSG NRW enthaltenden Genehmigung […] Die Genehmigung darf nur erteilt werden, wenn […] ein angemessener technischer Zugangsschutz nachgewiesen wird.”

Was das MSB sich unter einem angemessenen technischen Zugangsschutz vorstellt, ist nicht weiter präzisiert und lässt so Spielraum für Interpretation. Für ein Verfahrensverzeichnis sind im DSG NRW Vorgaben gemacht, was enthalten sein sollte. Aber auch da ist ein gewisser Spielraum, wie genau dieses ausgestaltet ist. Das sieht man am alten vom LDI NRW erstellten Genehmigungsformular wie an der neuen Genehmigung.

Die alten Genehmigungen dürfen somit unbegrenzt weiter genutzt werden. Was die Schulleitung unter einem angemessenen technischen Zugangsschutz versteht, bleibt dem eigenen Gutdünken der jeweiligen Schulleitung überlassen. Wer eine Genehmigung hat, darf sich also freuen. Lehrkräfte, die neu an eine Schule kommen, müssen leider das neue Formular nutzen.

An der Haftungsfrage, welche sich für Lehrkräfte mit dieser Genehmigung verbindet, hat sich leider auch mit diesem E-Mail nichts geändert. Schade.

Für die Lehrkräfte und Schulleitungen, welche nun mit der neuen Genehmigung arbeiten müssen, verspricht der Staatssekretär weitere Information auf der Plattform des Landes.

Auch mit dem Thema Dienstgeräte will man sich von Seiten des Landes auseinandersetzen. Das Feld ist schwierig und man wird sehen, was sich daraus ergibt.

Mehr Erfolg werden vermutlich Bemühungen der Landesregierung NRW haben, wenn es um die Ausstattung mit weiteren Verwaltungsrechnern für die Schulen geht, an welchen Lehrkräfte arbeiten können.

Einwilligung bei Schulanmeldung für nicht von VO-DV I erfasste Daten einholen

Lesezeit: < 1 Minute

Bei der Aufnahme neuer Schüler an der Schule fragt man gerne nach zusätzlichen Kontaktmöglichkeiten für den Fall, dass die Erziehungsberechtigten einmal außer der Reihe kontaktiert werden müssen. “Wo können wir sie denn auf der Arbeit erreichen, falls mal etwas ist?” Kann die Schule Daten dieser Art einfach erheben? Was ist dabei aus Sicht des Datenschutz zu beachten?

Das Schulgesetz und die  VO-DV I § 1 sind in NRW die rechtliche Grundlage, auf welcher Schulen Daten der Betroffenen, sprich der Schüler bzw. der Erziehungsberechtigten, erheben und verarbeiten dürfen.

§ 1 (Fn 2)
Zulässigkeit der Datenverarbeitung, Datensicherheit

(1) Schulen und Schulaufsichtsbehörden sind gemäß § 120 Abs. 1 Satz 1, Abs. 3 in Verbindung mit § 3 SchulG, im Übrigen nach den allgemeinen datenschutzrechtlichen Vorschriften, berechtigt und verpflichtet, personenbezogene Daten

1. der Schülerinnen und Schüler,
2. der Eltern gemäß § 123 SchulG,
3. der Verpflichteten gemäß § 41 SchulG

in Dateien und/oder Akten zu verarbeiten, soweit diese Verordnung oder andere Rechtsvorschriften dies zulassen.

In der Anlage 1 zu VO-DV I sind diese Daten exakt aufgelistet. Unter diesen Daten befinden sich auch einige, deren Verarbeitung nicht auf gesetzlicher Grundlage möglich ist. Hierfür muss eine Einwilligung eingeholt werden. Dieses sollte direkt bei der Anmeldung an der Schule erfolgen.

Bei den Grunddaten gehören hierzu:

  • Foto (z.B. für die Schulverwaltungssoftware, zum Erstellen eines Schülerausweises, …)
  • Notfallinformationen
    • Art des Notfalls: Stichwort, Kurzinfo
    • Wichtige Person oder Institution: Name, Vorname, Bezeichnung, Erreichbarkeit: Anschrift Wohnsitz, Anschrift Arbeitsplatz, Telefon, Fax, E-Mail
  • zur Erreichbarkeit Mutter, Vater:
    • am Wohnsitz: E-Mail und Fax
    • am Arbeitsplatz: Telefon, E-Mail
  • zur Erreichbarkeit von Verpflichteten:
    • am Wohnsitz: Fax, E-Mail
    • am Arbeitsplatz: Telefon, E-Mail

Die Einwilligung zur Nutzung dieser Daten durch die Schule ist freiwillig und kann jederzeit ohne Angabe von Gründen ganz oder in Teilen widerufen werden.

Ein passendes Formular findet sich unter Einwilligungen-Schule

Müssen Einwilligungen neu eingeholt werden?

Lesezeit: 3 Minuten

Die meisten Schulen, mit denen ich zu tun habe, sichern die Nutzung aller personenbezogenen Daten, die nicht auf der Grundlage des Schulgesetzes NRW und der VO-DV I & II erhoben werden dürfen, durch Einholen einer Einwilligung bei den Betroffenen ab, also den Erziehungsberechtigten oder den Schülern, wenn diese 16 Jahre oder älter sind.

In der Datenschutz Grundverordnung (DS-GVO) sind die Vorgaben für eine rechtsgültige Einwilligung noch einmal etwas umfangreicher geworden. Damit ergibt sich mit dem Beginn der Umsetzung der DS-GVO am 25. Mai 2018 bei vielen Schulen die Frage, ob die bestehenden Einwilligungen weiterhin gültig sind oder durch neue DS-GVO konforme Einwilligungen ersetzt werden müssen.

In einer FAQs zur Datenschutz-Grundverordnung des BMI heißt es dazu:

Gelten Einwilligungen der Betroffenen nach altem Recht fort?
Gemäß Erwägungsgrund 171 Satz 3 Datenschutz-Grundverordnung gelten Einwilligungen dann fort und es bedarf keiner erneuten Einwilligung, wenn “die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht”. Die Bedingungen für die Fortgeltung bisher erteilter Einwilligungen unter der Datenschutz-Grundverordnung haben die Aufsichtsbehörden des Bundes und der Länder konkretisiert.”

Was bedeutet das?

Viele bestehende, an Schulen bisher genutzte Einwilligungen werden den Bedingungen der DS-GVO vermutlich nicht entsprechen. Die Antwort nennt einen Erwägungsgrund und eine Konkretisierung der Aufsichtsbehörden. Daraus lassen sich fünf Kriterien ableiten, welche für die Rechtswirksamkeit einer Einwilligung auf jeden Fall erfüllt sein müssen. Beschränkt man sich auf diese, sollten doch ein paar der alten Einwilligungen weiter Gültigkeit haben.

Erwägungsgrund 171 Satz 3

Im Erwägungsgrund 171 Satz 3 wird verwiesen auf die alte Richtlinie 95/46/EG, in welcher eine datenschutzrechtliche Einwilligung wie folgt definiert ist:

Einwilligung der betroffenen Person” jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, daß personenbezogene Daten, die sie betreffen, verarbeitet werden.

Es werden in der Richtlinie vier Kriterien vorgegeben für die rechtliche Wirksamkeit einer Einwilligung:

  • jede Willensbekundung – es muss klar erkennbar sein, dass die betroffene Person einwilligt1Dafür sind entsprechende Formulierungen in der Einwilligung erforderlich, z.B. ich willige ein, dass …; ich gebe meine Einwilligung …; ich stimme zu …; ich bin damit einverstanden, dass … und ähnlich.
  • ohne Zwang – es muss die Freiwilligkeit gegeben sein2Die Freiwilligkeit muss durch eine entsprechende Formulierung in der Einwilligung erwähnt werden. In bestimmten Situationen ist das Thema Freiwilligkeit eine schwierige Situation. In Schule sollte Freiwilligkeit jedoch immer Grundlage jeder Einwilligung sein.
  • für den konkreten Fall – es muss ein konkreter Zweck genannt sein, Pauschaleinwilligungen sind von vornherein rechtlich unwirksam
  • in Kenntnis der Sachlage – die betroffene Person muss die Folgen der Einwilligung abschätzen können. Es geht um eine informierte Einwilligung.3Dieses Kriterium ist etwas schwammig und sollte bei den meisten alten Einwilligungen kein Problem sein, außer es geht um Verarbeitungsformen, bei denen nicht erwartet werden kann, dass die betroffene Person von sich aus abschätzen kann, welche Folgen die Verarbeitung für sie haben können.

Konkretisierung der Aufsichtsbehörden

Die Aufsichtsbehörden heben in ihrem Beschluss zwei Kriterien besonders hervor, die zwingend erfüllt sein müssen4Die Informationspflichten nach Artikel 13 DS-GVO waren nach den alten Vorgaben noch keine Pflicht und müssen dafür nicht erfüllt sein, da sie keine Bedingungen im Sinne des genannten Erwägungsgrundes (Erwägungsgrund 171, Satz 3) sind. Sie sind also keine Bedingung für die Gültigkeit einer alten Einwilligung., damit eine alte Einwilligung weiterhin Gültigkeit behalten kann: Freiwilligkeit5wie sie sich aus der Definition einer Einwilligung in Richtlinie 95/46/EG ergibt und Altersgrenze von 16 Jahren6Diese Altersgrenze gab es so bisher nicht. Sie ist mit der DS-GVO neu hinzugekommen.

Fünf Kriterien für rechtliche Wirksamkeit einer alten Einwilligung

Zusammengefasst ergeben sich so aus dem Erwägungsgrund und den Ausführungen der Aufsichtsbehörden die folgenden fünf Kriterien:

  1. Wenn also die Einwilligung keinen Passus hat bezüglich der Freiwilligkeit der Einwilligung oder die Freiwilligkeit bei der Einwilligung nicht gegeben war, so ist sie ab dem 25.05.2018 ungültig.
  2. Hat ein Schüler, der jünger als 16 Jahre ist, eingewilligt, oder war zum Zeitpunkt der Einwilligung weniger als 16 Jahre alt, so ist die Einwilligung ebenfalls nicht weiter gültig.
    • Ist der Schüler unter 16 Jahre alt, muss die Einwilligung bei den Erziehungsberechtigten eingeholt werden.
    • Ist der Schüler 16 Jahre oder älter, kann er/sie die Einwilligung selbst erteilen.
  3. Informierte Einwilligung
  4. klar definierter Zweck bzw. Zwecke
  5. klar erkennbare Willensbekundung

Das bedeutet für Schulen

Es müssen alle bestehenen Einwilligungen für die Verarbeitung von personenbezogenen Daten daraufhin überprüft werden, ob sie diesen fünf Kriterien entsprechen. Ist nur ein Kriterium nicht erfüllt, ist die Einwilligung nicht länger gültig und sollte neu eingeholt werden. Dazu gehören:

  • Nutzung von personenbezogenen Daten und Fotos auf der Schulhomepage und in der lokalen Presse.
  • Erstellung von Videos und Audioaufnahmen im Unterricht.
  • Nutzung des WLAN der Schule7Da dieses nahezu immer mit einer Verarbeitung personenbezogener Daten und einer entsprechenden Einwilligung verbunden ist..
  • Nutzung der Computer/ Tablets/ des Computer Raums.8Da dieses nahezu immer mit einer Verarbeitung personenbezogener Daten und einer entsprechenden Einwilligung verbunden ist.
  • Nutzung von Kontaktmöglichkeiten von Erziehungsberechtigten nach VO-DV I Anl. 1, die auf einer Einwilligung beruhen (z.B. E-Mail, berufliches Telefon & E-Mail, …)9Achtung! Hier können natürlich nur die Erziehungsberechtigten selbst einwilligen, nicht der Schüler ab 16 Jahren.
  • Nutzung einer Lernplattform/ eines LMS/ …10Da dieses bisher nahezu immer mit einer Verarbeitung personenbezogener Daten und einer entsprechenden Einwilligung verbunden ist.

Vorlagen für den Vorgaben der DS-GVO entsprechende Einwilligungen finden sich unter Service-Downloads > Einwilligungen Schule (NRW).

Genehmigung Lehrkräfte Privatgeräte kann auch entspannter gehen – siehe BaWü

Lesezeit: 2 Minuten

In NRW hat man von Seiten der Landesregierung in einem Gespräch am 24.04.2018 versucht, die Wogen zu glätten, was die umstrittene Genehmigung 1Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gemäß § 2 Absatz 2 VO-DV I/§ 2 Absatz 4 VO-DV II angeht, welche Lehrkräfte benötigen, um personenbezogene Daten aus der Schule auf privaten Geräten verarbeiten zu dürfen. Ein für “in einigen Tagen” versprochenes Dienst E-Mail mit weiteren Informationen lässt derweil auf sich warten.

Dass es auch ganz anders gehen kann, zeigt das Beispiel Baden Württemberg. Unter “Private Datenverarbeitungsgeräte (PC, Mac, Smartphones, Tablets, etc.)” wird dort ganz aktuell, mit Bezug auf die DS-GVO erklärt, welche Vorgaben zu erfüllen sind. In 9 kurzen, leicht verständlichen Absätzen werden dort verschiedene Maßnahmen erklärt. Nummer 2 ist dabei besonders interessant:

Am besten ist es, wenn sämtliche dienstlichen personenbezogenen Daten nur auf einem USB-Stick gespeichert werden. Dieser USB-Stick muss in jedem Fall verschlüsselt sein.

Man rät den Lehrkräften in BaWü, die personenbezogenen Daten aus der Schule nie auf dem privaten Gerät selbst zu speichern, sondern immer auf einem USB-Stick, der verschlüsselt sein muss.

Ergänzt werden diese Vorgaben noch einmal durch eine Anlage “Datenschutzrechtliche Hinweise für den Gebrauch privater Datenverarbeitungsgeräte durch Lehrkräfte zur Verarbeitung personenbezogener Daten“, die ausführlichere Erläuterungen gibt.

In einer FAQ erklärt man dann auch, warum es von Vorteil ist, die Daten auf einem USB-Stick zu speichern:

Indem Sie sämtliche personenbezogenen Daten ausschließlich auf einem USB- Stick abspeichern und diesen USB-Stick verschlüsseln, z.B. mittels der Software VeraCrypt, verringern Sie Ihren Aufwand erheblich. Dadurch wird z.B. wirksam ein unbefugter Zugriff auf die Daten verhindert, sie müssen also keine aufwändigen Berechtigungsstrukturen hinterlegen. Ferner können Sie auf diese Weise leicht dem Auskunftsanspruch Ihrer Schulleitung oder des Landesbeauftragten für den Datenschutz nachkommen, da Sie dann nur den USB-Stick – und nicht den ganzen Computer, auf dem sich u.U. auch private Daten befinden – vorweisen müssen. Bitte denken Sie auch an die Sicherungskopie auf einem weiteren USB-Stick.

Auch in Baden Württemberg nimmt man es mit dem Datenschutz in Bezug auf die Verarbeitung personenbezogener Daten auf Privatgeräten von Lehrkräften ernst. Und selbstverständlich geht auch hier ohne Vorgaben und eine Genehmigung nichts. Allerdings sind die Hürden deutlich niedriger. Arbeitet man als Lehrkraft mit einem verschlüsselten USB-Stick, erleichtert man sich die Trennung von Privat und Beruflich. Darüber hinaus lässt sich so der technische Aufwand zur Sicherstellung des Datenschutz auf dem privaten Gerät deutlich leichter einhalten, auch für technisch weniger versierte Lehrkräfte.

In Haftung werden die Lehrkräfte übrigens durch ihre Unterschrift auch nicht genommen.

Auch im Bundesland Hessen geht man einen vergleichbaren Weg und rät zur Nutzung von sicheren USB Sticks, am besten Hardware verschlüsselte USB Sticks. Siehe dazu “Verarbeitung von Schüler- oder Elterndaten auf privaten Datenverarbeitungseinrichtungen der Lehrkräfte“.

Krankmeldung über die Schulhomepage

Lesezeit: 4 Minuten

An Schulen kommt von Seiten der Eltern immer wieder der Wunsch auf, Krankmeldungen zu vereinfachen. Was liegt da näher als ein entsprechendes Formular in die Schulhomepage einzubauen. So hat man, besser als bei einer E-Mail, eine standardisierte Krankmeldung mit allen erforderlichen Informationen. Lästige Telefonanrufe im Sekretariat entfallen. Aus rechtlichen Gründen wird die Entschuldigung anschließend auf Papier nachgereicht. Alles gut, oder doch nicht?

Das Beispiel von der Homepage einer Schule zeigt, wie viele personenbezogene Daten in diesem Fall verarbeitet werden. Je nachdem, was Eltern eintragen, können diese Informationen hochsensibel sein. Hinzu kommt noch die IP Adresse, die ebenfalls ein personenbezogenes Datum darstellt. Alle diese Informationen werden, sofern für die Forumular Funktion nicht externe Dienstleister genutzt werden, in der Datenbank der Webseite gespeichert. Je nach Einstellung wird die Schule über den Eintrag per E-Mail informiert.

Die Krankmeldung in dieser Form ist von der Technik her vergleichbar einem Kontaktformular. Welche Vorgaben sich aus der DS-GVO dafür ergeben, wird an vielen Stellen im Netz ausführlich erläutert. Sie heißt es zum Beispiel bei datenschmutz.net.

“Werden mittels Formularen Daten erhoben und gespeichert (zum Beispiel durch ein Formular-Plugin, das alle Einträge auch in der Datenbank speichert), so muss der Nutzer dazu explizit seine Einwilligung erteilen. Eine entsprechende Checkbox zur Einholung der Zustimmung des Nutzers (darf standardmäßig nicht angehakt sein) ist die sicherste Art der Umsetzung.”

erecht24 fragt Achtung Abmahnung: Ist eine Einwilligung bei Kontaktformularen notwendig? und kommt mit Verweis auf ein Urteil des OLG Köln zu dem Schluss, dass es ohne Einwilligung nicht geht und die Datenschutzerklärung einen “Passus zum Umgang mit Daten aus dem Kontaktformular” enthalten sollte. Unter das Formular sollte eine Checkbox zur Einwilligung eingebunden werden und daneben soltel es einen “Einwilligungstext zum Umgang mit den Daten der Nutzer und Ihr Recht auf Widerspruch” geben.

Was müssen Schulen bei Online Krankmeldungen in Formularform beachten?

  • Vertrag zur Auftragsverarbeitung (AV Vertrag)
    Schulen können nach VO-DV I §2 Abs 3 externe Anbieter mit der Verarbeitung ihrer Daten beauftragen.1“Die Schulen und Schulaufsichtsbehörden sind berechtigt, unter Beachtung der Voraussetzung des § 11 DSG NRW die Datensicherheit gewährleistende und zuverlässige Institutionen mit der Verarbeitung ihrer Daten zu beauftragen. Die Datenverarbeitung im Auftrag ist nur zulässig nach Weisung der Schule oder der Schulaufsichtsbehörden und ausschließlich für deren Zwecke.” Wenn die schulische Homepage, wie wohl in den meisten Fällen über einen Hoster (z.B. 1&1, Strato, Kommunales Rechenzentrum, …) betrieben wird, ist dafür ohnehin ein AV Vertrag erforderlich, denn es werden immer personenbezogene Daten von Besuchern der Homepage verarbeitet. Wichtig! Die personenbezogenen Daten, welche über das Formular verarbeitet werden, müssen im AV Vertrag berücksichtigt werden.
  • Als Verarbeiter muss die Schule den Datenschutz sicherstellen. Bei sensiblen Daten wie Gesundheitsdaten ist dieses umso wichtiger. Das bedeutet, die Schule muss sicher sein, dass der gewählte Auftragsverarbeiter das erforderliche Schutzniveau durch technisch organisatorische Maßnahmen (Art 25, 32 DS-GVO) gewährleistet. Ein Severstandort in Deuschland ist zu empfehlen, jedoch kein Muss, da ab dem 25.05.2018 überall in EU Land die gleichen Regeln gelten. Deutsche Anbieter haben allerdings einen Vorteil, die Kommunikation ist einfacher und der AV Vertrag ist in deutscher Sprache. Wer für die Krankmeldung ein Google Formular nutzen möchte (auch schon gesehen), sollte davon besser Abstand nehmen. 
  • Die Schule muss durch die technische Gestaltung des Online Formulars und Informierung der Betroffenen dafür sorgen, dass
    • eine eindeutige Einwilligung der Betroffenen möglich ist und dokumentiert wird, (Häkchen)
    • die Betroffenen über ihre Rechte bezüglich der Verarbeitung der Daten informiert werden (Datenschutzerklärung)
    • die Betroffenen ihre Rechte auf Auskunft, Widerruf, Berichtigung und Löschung wahrnehmen können.
    • die Übermittlung der personenbezogenen Daten sicher abläuft (SSL)
  • Darüber hinaus muss die Schule im Sinne der Datenminimierung dafür sorgen, dass
    • die IP Nummern sobald möglich entweder gelöscht oder pseudonymisiert werden,
    • die Formulardaten in kürzest möglicher Zeit gelöscht werden, bzw. sobald sie nicht mehr erforderlich sind. Das ist in der Regel der Fall, wenn das E-Mail mit dem Inhalt des Formulars an die Schule verschickt worden ist.
    • auch die E-Mails gelöscht werden, sobald sie ihren Zweck erfüllt haben.
  • Zu regeln ist von Seiten der Schule, dass nur Berechtigte Zugriff auf die Daten aus dem Formular haben2VO-DV I §2 Abs 1 “Insbesondere ist sicherzustellen, dass Berechtigte nur Zugang zu personenbezogenen Daten erhalten, die für die jeweilige Aufgabenerfüllung erforderlich sind.”, auf dem Webserver selbst (über die Adminoberfläche der Webseite) und in der Schule, der/die Empfänger der E-Mails.
  • In der Datenschutzerklärung sollte die Schule bezüglich der Online Krankmeldung informieren über:
    • die erhobenen Daten,
    • den Zweck der Verarbeitung,
    • die Art und Weise der Verarbeitung der Formulardaten (und der dabei erhobenen IP Adresse), wozu auch die Übermittlung per E-Mail gehört,
    • die Speicherdauer
    • die Verarbeitung im Auftrag,
    • die Sicherheitsmaßnahmen (SSL, Updates der Software auf der die Website läuft, z.B. WordPress, und der Plugins) und
    • die Kategorien von Zugriffsberechtigten bezüglich der erhobenen Daten (Empfänger)

Empfehlung für einen Text beim Kästchen für die Einwilligung beim Senden Button:

Mit der Nutzung dieser Online Krankmeldung erklärst du dich mit der Speicherung und Verarbeitung deiner Daten durch diese Website einverstanden. Weitere Informationen zu den verarbeiteten personenbezogenen Daten, deinem Recht auf Widerruf, Widerspruch, Auskunft, Berichtigung und Löschung findest du in der Datenschutzerklärung.

Die “Datenschutzerklärung” ist dabei verlinkt.

Thema Löschen

Je nach der für Plattform, die für den Betrieb der Schulhomepage genutzt wird, könnte es schwierig sein, eine automatische Löschroutine für die gespeicherten Formulareinträge einzurichten. Hier sollte eine Lösung gefunden werden, etwa in der Form, dass die Einträge jede Woche oder jede zweite Woche von Hand gelöscht werden. Entsprechend sollte dieses in der Datenschutzerklärung bei Speicherdauer berücksichtigt werden.

Missbrauch vorbeugen

Formulare für eine Krankmeldung lassen sich leicht missbrauchen. Niemand hindert Personen daran, einen Schüler über das Formular krankzumelden, und diesen dann irgendwo einzusperren. Bis Mittag merkt hier niemand etwas. Solches lässt sich unterbinden, wenn man ein Formular nutzt, welches eine Bestätigung per E-Mail einfordert, indem an die angegebene E-Mail Adresse eine Nachricht mit einem Bestätigungslink gesendet wird. Erst dann wird der Eintrag im Formular gespeichert. Der hierbei entstehende zusätzliche Verarbeitungsschritt ist entsprechend zu dokumentieren. Es muss darauf auch beim Formular selbst hingewiesen werden.

Muss der Datenschutzbeauftragte auf die Schulhomepage?

Lesezeit: 2 Minuten

Die Europäische Datenschutz Grundverordnung (DS-GVO) ist zwar schon in Kraft, wird aber noch nicht umgesetzt. Am 25.05.2018 ist es soweit. Viele Schulen sind aus diesem Grund aktuell dabei, ihren Internetauftritt an die Vorgaben anzupassen. Dabei taucht auch immer wieder die Frage auf, muss auf der Homepage ein Datenschutzbeauftragter genannt werden?

Was sagen das Gesetz und die Literatur?

In dem Beitrag Oft gefragt: Muss der Datenschutzbeauftragte zwingend auf der Internetseite genannt werden? ging die itrecht Kanzlei München der Frage schon 2015 nach. Seinerzeit ließ sich aus dem BDSG keinerlei solche Notwendigkeit ableiten.

Aber mit der DS-GVO ändert sich dieses nun. Zwar gibt es auch hier keine Stelle im Gesetzestext, wo eine spezielle Erfordernis zur Veröffentlich auf der Webseite der Institution ausdrücklich benannt ist, doch Datenschutzexperten leiten aus anderen Aussagen eine Notwendigkeit ab. Art. 37 DSGVO Benennung eines Datenschutzbeauftragten führt in Abs. 7 aus:

“Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten …”

Eine entsprechende Passage findet sich im neuen Bundesdatenschutzgesetz §5 Benennung Abs. 5:

“Die öffentliche Stelle veröffentlicht die Kontaktdaten der oder des Datenschutzbeauftragten …”

Entsprechend kommen Datenschutzexperten zu dem Schluss:

“Ist ein DSB benannt, sind dessen Kontaktdaten (mindestens Anschrift, E-Mail-Adresse, nicht jedoch der Name, vgl. Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, Kap. 6, Rn. 19) zu veröffentlichen, z. B. auf der Website des Verantwortlichen.”

Koreng/Lachmann

“Eine spezielle Form der Veröffentlichung sieht das Gesetz nicht vor. Aus dem Zweck des Gesetzes folgt jedoch, dass beispielsweise ein Aushang am Unternehmenssitz nicht genügt. Vielmehr wird zu verlangen sein, dass die Angaben an gut auffindbarer Stelle in der WWW Seite gemacht werden (vergl. Helfrich in HK-EuDSchVO Art 37 Rn 129), etwa im Impressum und einer eventuellen Datenschutzerklärung.” … “Zu den Kontaktdaten gehört nicht der Name des Datenschutzbeauftragten: Das Gesetz unterscheidet zwischen dem Namen und den Kontaktdaten des Datenschutzbeauftragten”

Kühling/Buchner

Als vertrauensbildende Maßnahme wird in dieser Literatur empfohlen, auch den Namen des DSB zu veröffentlichen.

Was bedeutet das für die Schulhomepage?

Es empfiehlt sich, auf der Schulhomepage entweder in der Datenschutzerklärung selbst oder im Impressum eine Angabe zum Datenschutzbeauftragten zu machen. Genannt werden kann dabei entweder der behördlich bestellte schulische Datenschutzbeauftragte oder eine Person aus der Schule, welche als Datenschutzbeauftragter benannt wurde.

Es ist dabei jedoch nicht erforderlich, den Namen der Person zu nennen. Anschrift und E-Mail Adresse genügen. Für Nutzer der Webseite wird es sicher schöner sein, wenn sie in Bezug auf den Datenschutz auch einen Namen finden, der für eine Person steht, an die man sich wenden kann. Wenn von Seiten des/der Datenschutzbeauftragten keine Einwände bestehen, sollte man dann auch den Namen nennen.