mr_tee – Seite 13 – datenschutz-schule.info

April 24, 2018Mai 26, 2019

Das MSB NRW kommt Schulen bei Genehmigung für Privatgeräte entgegen

Lesezeit: 2 Minuten

Die Genehmigung mit dem langen Namen¹ hatte in der Zeit nach der Veröffentlichung im Februar 2018 für eine Menge Verunsicherung und Unmut in den Schulen gesorgt. Nachdem das Ministerium lange kein Problem in der Genehmigung sehen wollte, gab es nun am 24.04.2018 ein Gespräch des Schulministeriums mit Lehrerverbänden, Gewerkschaft und Schulleitervereinigungen. Thema war „Datenverarbeitung in Schulen“.

In der Dienstanweisung heißt es:

“Die Verarbeitung personenbezogener Daten für dienstliche Zwecke auf privaten ADV-Anlagen von Lehrkräften ist nur mit schriftlicher Genehmigung der Schulleiterin oder des Schulleiters zulässig. Es gilt § 2 Absatz 2 mit Anlage 3 der VO-DV I. Für die Genehmigung ist der als Anlage beigefügte Genehmigungsvordruck zu verwenden.”²

Das wurde mehrheitlich so verstanden, dass die alten Genehmigungen nicht länger Gültigkeit besitzen. Anders als in den alten Genehmigungen, sind in der neuen sehr deutliche Vorgaben gemacht, was Lehrkräfte leisten müssen, um die Sicherheit der verarbeiteten Daten auf ihren privaten Geräten zu gewährleisten. Dazu kam noch die Frage der Haftung.

“Sofern Sie die hier aufgeführten Maßnahmen zum Schutz der Daten einhalten, ist eine Haftung für Sie ausgeschlossen.”

Für viele war das dann der Punkt, die Unterschrift zu verweigern. Selbst die LDI NRW riet den Schulleitungen davon ab, den Lehrkräften die Genehmigung zu erteilen, da sie eine Beurteilung, ob eine Genehmigung aufgrund der von der Lehrkraft gemachten Angaben, nicht leisten könne.

Das Gespräch sorgte dann am 24.04.2018 für Entspannung. Der Philologen-Verband NRW hat die Ergebnisse zusammengefasst. Drei Informationen sind bezüglich der Genehmigung dabei von Bedeutung:

Es gibt keine Frist, bis wann Lehrkräfte die Genehmigungen unterzeichnen müssen.
Die alten Genehmigungen behalten weiter ihre Gültigkeit (und müssen demnach nicht durch die neue ersetzt werden).
In den letzten 30 Jahren wurde laut MSB in NRW keine Lehrkraft wegen unsachgemäßen Umgangs belangt wurde.

Das MSB sieht die Haftungsfrage der Genehmigung scheinbar sehr entspannt, weil man mit Blick auf die Vergangenheit mit keinen Problemen durch Datenschutzverletzungen rechnet. Man darf sich dann aber die Frage stellen, warum man die Haftung überhaupt in die Genehmigung aufgenommen hat.

In Österreich brauchen sich Schulen als öffentliche Stellen in Bezug auf das Thema Haftung übrigens vorerst keine Sorgen machen, denn dort wurde jetzt in einer Gesetzesnovelle beschlossen, dass gegen Behörden und öffentliche Stellen keine Geldbußen verhängt werden können.³Keine Strafen: Österreich zieht neuem Datenschutz die Zähne

Interessant im Zusammenhang mit der Genehmigung ist noch der letzte Punkt in der Zusammenfassung des Philologenverbandes:

“Gegebenenfalls wird zum Umgang mit der Dienstanweisung die für Ende Mai 2018 zu erwartende Europäische Datenschutzverordnung einbezogen.”

Hier muss man nun abwarten, ob sich durch die Umsetzung der DS-GVO noch etwas ändern wird beim Umgang mit der Dienstanweisung.

Ein Dienstmail soll, laut Staatsekretär Richter im WDR⁴, den Schulen in NRW ~~am 25.04.~~ ⁵detaillierte Informationen dazu geben, was die Anwendung der Genehmigung betrifft und wie sie zu verstehen ist. Fakt ist aber, die Dienstanweisung gilt, die Schulen erhalten im Umgang mit der Genehmigung jedoch mehr Handlungsspielraum.

Update

Mittlerweile hat sich auch der VBE zum Treffen vom 24.04.2018 geäußert. Im Wesentlichen gibt man im Rundmail an die Mitglieder das wieder, was auch der Philologen-Verband NRW aufgeführt hatte. Ganz in meinem Sinne ist am Ende die Forderung

Die unterstützende Nutzung privater Endgeräte muss über ein pragmatisches datenschutzkonformes Verfahren erlaubt werden. Eine allgemeine Verpflichtungserklärung zur Einhaltung des Datenschutzes sollte ausreichen.

Vor allem der zweite Satz ist dabei wichtig. Die Haftung kann weg.

April 22, 2018Februar 22, 2020

BookCreator geht DS-GVO konform

Lesezeit: 2 Minuten

BookCreator ist eine Plattform zur einfachen Erstellung digitaler multimedialer Bücher und vor allem in der iPad Version verbreitet an Schulen. Seit letztem Jahr bietet BookCreator außerdem eine Webplattform für die plattformunabhängige Nutzung mit dem Chrome Browser an, welche die Funktionalitäten der App nahezu gleichwertig abbildet und dazu noch Echtzeit-Kollaboration zulässt. Wer BookCreator nur lokal auf einem iPad nutzt, braucht sich um die Datenschutz Grundverordnung kaum Gedanken machen, solange die Speicherung von Projekten nicht in der iCloud erfolgt¹.

Anders sieht das aus, wenn man die Webplattform nutzt. An diese kann auch das App angebunden werden für den Export von Büchern. Bei der Nutzung der Online Version landen in der Regel personenbezogene Daten von Schülerinnen und Schülern wie auch Lehrkräften in der Cloud. Das ist datenschutzrechtlich nur zulässig, wenn dieses im Auftrag der Schule erfolgt und dafür ist der Abschluss eines Vertrags zur Auftragsverarbeitung (AV Vertrag) zwischen Schule und BookCreator erforderlich. Die Schule ist dabei Auftraggeber (Controller) und BookCreator Auftragnehmer (Processor) und damit weisungsgebunden gegenüber der Schule.

BookCreator nutzt als Online Speicher die Google Cloud in den USA. Google arbeitet hier als Auftragnehmer von BookCreator. Der Vertrag regelt unter anderem, wie in Verträgen dieser Art üblich, dass Google dabei kein Recht hat, die Daten einzusehen. Der AV Vertrag zwischen Schule und BookCreator sollte auch für Nutzer aus Europa kein Problem darstellen, da Google sich dem EU-US Privacy Shield Abkommen verpflichtet hat und zusätzliche EU Modell Vertrags Klauseln unterzeichnet hat.² BookCreator ist in Großbritannien zu Hause und damit (noch) EU.

Den AV Vertrag kann man laden unter Book Creator Data Processing Addendum.PDF Der gesamte Vertrag ist in englischer Sprache gehalten und bereits unterzeichnet. Schulen müssen ihn nur noch gegenzeichnen und an BookCreator³ schicken, damit er gültig ist.

Wird das Angebot nicht vollkommen anonymisiert genutzt, was viele kreative Einschränkungen mit sich bringt, müssen von Schülern und Lehrkräften darüber hinaus Einwilligungen vorliegen für die Nutzung ihrer personenbezogenen Daten auf der BookCreator Plattform.

Für die Nutzung der Online Version über den Chrome Browser müssen Schüler über einen Google Account (in der Regel ein G-Suite for Education Account) oder ein Office 365 Konto verfügen. Auch für die schulische Nutzung dieser beiden Angebote ist übrigens ein AV Vertrag erforderlich.

Die datenschutzfreundlichste Möglichkeit, die online Version von BookCreator mit Schülern zu nutzen besteht darin, anstelle des Chrome Browsers den auf Chrome basierenden Brave Browser⁴ zu nutzen, und für den Login der Schüler QR Code Login für diese zu erstellen.

BookCreator hat seinen Sitz in Großbritannien. Das wird Auswirkungen auf die datenschutzrechtlichen Voraussetzungen für die Nutzung der online Version haben. Bis zum Ende des Übergangszeitraum am 31. Dezember 2020 gilt in GB noch die DS-GVO. Danach gilt britisches Datenschutzrecht. Dieses soll deutliche Abweichungen von der DS-GVO haben. Ohne einen sogenannten Angemessenheitsbeschluss der EU können dann dort personenbezogene Daten von EU Bürgern nicht länger ohne zusätzliche Absicherungen DS-GVO konform verarbeitet werden. Für Schulen in der EU wird eine Nutzung der online Version von BookCreator mit personenbezogenen Daten von Schülern ab Januar 2021 damit nicht länger möglich sein. Bereits angelegte Schülerkonten müssen bis dahin gelöscht werden und Projekte, die personenbezogene Daten enthalten, sind zu exportieren und ebenfalls zu löschen. Sollten die Anbieter von BookCreator bis dahin ein DS-GVO konforme Lösung in Form von Servern anbieten, auf welchen die Daten von EU Nutzern verarbeitet und gespeichert werden können, müsste ein entsprechender Wechsel vollzogen werden.

Letzte Bearbeitung 2020-02-22

April 20, 2018September 19, 2018

Eine FAQ zur DS-GVO für Schulen aus Niedersachsen

Lesezeit: 2 Minuten

Von Seiten der Niedersächsischen Landesschulbehörde hat man eine Sammlung von Fragen und Antworten zum Thema Datenschutz Grundverordnung, soweit sie Schulen betrifft, zusammengestellt.

Demnach müssen Schulen nach dem 25.05.2018 bei einem Verstoß gegen die DS-GVO nicht mit der Verhängung von Bußgeldern rechnen, da dieses nur für Unternehmen gilt, die am Wettbewerb teilnehmen.
Einen Fortbildungsbedarf für die Datenschutzbeauftragten in Schulen mit Bezug auf die Änderungen durch die DS-GVO sieht man in Niedersachsen nicht.
Als wichtigste Schritte bei der Umsetzung der Vorgaben der DS-GVO sieht man:
- die Bestellung einer oder eines Datenschutzbeauftragten
- die Erstellung des in Art. 30 DS-GVO geforderten Verzeichnis der Verarbeitungstätigkeiten
- die Überprüfung der Schulhomepage auf die Erfordernisse der DS-GVO und die Anpassung der Datenschutzerklärung an die DS-GVO
Aussagen werden auch zu den Haftungsrisiken der behördliche Datenschutzbeauftragten in Schulen durch die DS-GVO gemacht. Nach Auffassung der Landesschulbehörde ändert sich hier nichts wesentlich.
- Die Schulleitung trägt weiterhin die rechtliche Verantwortung in Bezug auf den Datenschutz, der oder die Datenschutzbeauftragte berät die Schulleitung und weißt auf mögliche Verstöße hin.
- Eine Haftung kommt nur bei grober Fahrlässigkeit oder Vorsatz in Frage. Außerdem kommt es bei Datenschutzverstößen nur selten zu Vermögensschäden.
- Es sind eher atypische Ausnahmefälle in Bezug auf eine fehlerhafte datenschutzrechtliche Beratung, dass einer als Datenschutzbeauftragter tätigen Lehrkraft der Vorwurf der groben Fahrlässigkeit gemacht werden kann.
Anders als viele Unternehmen brauchen sich Schulen nach Ansicht der Landesschulbehörde wegen der DS-GVO keine Sorgen machen, da ihnen keine Bußgelder verhängt werden.

Mir neu war bei diesen FAQ, dass Schulen bei Datenschutzverstößen nicht mit der Verhängung von Bußgeldern rechnen müssen. Zu klären wäre nun, ob dieses eine langespezifische Regelung aus Niedersachsen ist oder ob dieses auf alle Bundeslänger übertragen werden kann.

Nicht ganz teilen kann ich die Einschätzung bezüglich der Vermögensschäden. Wenn ein Schüler durch einen Datenschutzverstoß z.B. nachweislich einen Ausbildungsplatz nicht erhält, könnte dafür vermutlich schon ein Vermögensschaden geltend gemacht werden. Außerdem können nach der DS-GVO auch immaterielle Schäden geltend gemacht werden. Das wäre der Fall, wenn ein Schüler durch ein in einem Datenschutzverstoß öffentlich gewordenes Fördergutachten oder Zeugnis unter dem Gehänsel der Mitschüler leidet.

Nicht ganz passt die Frage des Haftungsrisiko auch zur Haftung, in welche eine Lehrkraft in NRW genommen wird, wenn sie die Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gem. § 2 Abs.2 VO-DV I / § 2 Abs.4 VO-DV II unterschreibt. Ginge man im MSB NRW von einer gleichen Einschätzung bezüglich der Haftungsrisiken aus wie in Niedersachsen, bräuchte sich im Prinzip niemand Sorgen machen wegen der Unterschrift. Falls dem so wäre, sollte dieses vom MSB NRW jedoch auch für alle Lehrkräfte des Landes klargestellt werden, falls man bei der Haftung bleiben will. Andererseits ergibt eine generelle Haftung der Lehrkräfte, wie die Genehmigung sie vorsieht, keinen Sinn, wenn es ohnehin kein erhöhtes Haftungsrisko im Vergleich zu vorher gibt.

April 19, 2018September 19, 2018

Berichtigung in den Tipps zur Genehmigung für die Verarbeitung schulischer Daten auf Privatgeräten von Lehrkräften

Lesezeit: < 1 Minute

Im Austausch mit meinen Kollegen und Kolleginnen schulische Datenschutzbeauftragte kam auch das Thema der Gültigkeit der Genehmigung mit dem endlos langen Namen ( Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gem. § 2 Abs.2 VO-DV I / § 2 Abs.4 VO-DV II) auf. So wie ich es verstanden und in meinen Tipps aufgeschrieben hatte, ist sie auf die Person der Schulleitung bezogen. Das stimmt, wie aus dem Referat 212 des MSB NRW zu erfahren war, so nicht.

Es gibt da ein Verwaltungsverfahrensgesetz für das Land Nordrhein-Westfalen, kurz VwVfG NRW. Und nach diesem behält die Genehmigung bei einem Wechsel der Schulleitung ihre volle Gültigkeit und Wirksamkeit.

In den Tipps ist es geändert. Wer sich die Tipps ausgedruckt hatte, sollte die Seite 20 neu ausdrucken und austauschen. Sollte jemand weitere Fehler finden, bitte über einen Kommentar anmerken.

April 17, 2018März 14, 2020

Datenschutz Tipps & Antworten für Lehrkräfte, die schulische personenbezogenen Daten auf Privatgeräte verarbeiten wollen

Lesezeit: 2 Minuten

Lange Zeit hat sich niemand wirklich Gedanken gemacht, ob es in Ordnung ist, dass eine Lehrkraft die personenbezogenen Daten von Schülern auf ihren privaten Rechnern verarbeitet haben. Wie so viele andere Dinge im Lehreralltag hat man das einfach gemacht. Niemand fragte danach. Genehmigungen wären hier eigentlich schon seit Jahren erforderlich gewesen. An vielen Schulen wusste man davon nichts oder setzte diese Vorgabe nicht um. In NRW hat das Thema mit der Dienstanweisung einen verbindlichen Charakter erhalten. Die Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken
auf privaten ADV-Anlagen von Lehrkräften gem. § 2 Abs.2 VO-DV I / § 2 Abs.4 VO-DV II ist für alle Schulen verbindlich. Aber auch in anderen Bundesländern geht ohne Genehmigung nichts.

Die Vorgaben aus der Genehmigung sind orientiert an den technisch organisatorischen Maßnahmen zum Schutz der Daten, die für jede Verarbeitung von personenbezogenen Daten und von denen von Schülerinnen und Schüler insbesondere gelten.

Das Problem ist die Umsetzung dieser Vorgaben. Vielen Lehrkräften fällt das schwer. Deshalb habe ich in Orientierung am Teil B – Datensicherheit – des Genehmigungsformulars aus NRW eine Übersicht erstellt, die angibt, was zu tun ist, wenn man sein Gerät, ob Windows, Mac OS, Linux, iOS oder Android möglichst sicher machen möchte im Sinne der Vorgaben. Die Übersicht ist ein Google Doc mit dem Namen Tipps & Antworten für die Praxis . Das Dokument kann weitergenutzt werden und steht dafür unter einer Creative Commons Attribution 4.0 International Lizenz. Als Urheber ist zu nennen datenschutz-schule.info.

Die FAQ im zweiten Teil bezieht sich auf die Genehmigung aus NRW. Alles andere ist auch in anderen Bundesländern sinnvoll, wenn man als Lehrkraft sicher arbeiten möchte. Das Dokument werde ich versuchen, aktuell zu halten.

April 15, 2018Januar 25, 2024

Gelten Löschfristen für Schüler- & Lehrerdaten auch für Schild-NRW?

Lesezeit: 2 Minuten

Schild-NRW ist ein Schulverwaltungsprogramm und es basiert auf einer Datenbanklösung. Jahr für Jahr werden neue Schüler mit den personenbezogenen Daten in das Programm eingepflegt, die früher nur auf dem Schülerstammblatt eingetragen waren. Leistungsdaten kommen zu den Halbjahreswechseln zur Erstellung der Zeugnisse hinzu. Jahr für Jahr wird ein Schuljahreswechsel durchgeführt. Schüler, welche die Schule verlassen, werden entsprechend markiert und verschwinden in den Tiefen der Datenbank.

In der Schulgesetzgebung sind Löschfristen für Schülerdaten (§ 9 Abs. 1 und 2 VO-DV I) und Lehrerdaten (§ 9 VO-DV II) vorgegeben.

Bei Text Dateien sind diese Löschfristen einfach einzuhalten. Baut man auf dem Verwaltungsserver ein Dateisystem mit Jahresbezeichnungen auf, kann man leicht sehen, wann welche Dateien zur Löschung fällig sind, ob es sich um PDF Kopien von Zeugnissen handelt oder Beurteilungen von Lehrkräften. Wie aber sieht das in der Datenbank von Schild-NRW aus?

Aktuell haben die ältesten Schülerdaten in den Schild-NRW Datenbanken von Schulen die Löschfrist von 20 Jahren für Schülerstammblätter noch nicht erreicht, das das Programm noch nicht einmal so alt ist. Bei Lehrerdaten ist die maximale Löschfrist von 5 Jahren jedoch schon erreicht.

Im Forum zu Schild-NRW gab es einen Eintrag, der eine Perspektive aufzeigt. Unter dem Thread “Schild-NRW / Allgemeines / Re: EU-Datenschutzverordnung – Löschen alter Daten?“¹ hieß es in einer Antwort auf eine entsprechende Frage:

Wir werden auf jeden Fall Funktionen zur Einhaltung der Löschfristen bereitstellen. Wenn man sich die VO-DVI jedoch genau ansieht, dann sind die Löschfristen für bestimmte Daten sehr lang. Schülerstammblätter z.B. 20 Jahre. Unsere Software ist noch gar keine 20 Jahre alt und die beim Schüler hinterlegten Daten werden u.U. alle zum Nachdruck eines Stammblattes benötigt. Aus unserer Sicht ist eine Löschung also noch gar nicht notwendig. Im Sinne der Datensparsamkeit, werden wir aber solche Löschfunktionen früher einführen….

Das klingt gut. Was die Daten der Lehrkräfte angeht, bedeutet es jedoch vorerst noch Handarbeit, wenn man die Daten abgegangener Lehrkräfte nach 5 Jahren fristgerecht löschen will.

Hinweis

Die Löschfristen gelten auch für die angefertigten Sicherungen von Schild-NRW. Da bisher alle jemals erfassten Daten in der Datenbank gespeichert bleiben, müssen Sicherungsdateien, die älter sind als 5 Jahre gelöscht werden, um die darin gespeicherten Lehrerdaten von abgegangenen Lehrkräften fristgerecht zu löschen.

Stand 06/2023

April 13, 2018September 11, 2022

Welche personenbezogenen Daten von Lehrkräften dürfen OHNE Einwilligung auf die Schulhomepage?

Lesezeit: 2 Minuten

Viele Schulen möchten auf ihrer Schulhomepage über das Schulpersonal und dessen Funktionen informieren, so dass jeder weiß, an wen er sich wenden kann. Dabei herrscht aber oft Unsicherheit, ob es dafür einer Einwilligung der Betroffenen bedarf. Die eine oder andere Lehrkraft möchte nicht namentlich auf der Schulhomepage genannt werden. Wie sieht die rechtliche Seite aus? Die folgenden Aussagen beziehen sich auf NRW. In anderen Bundesländern, vor allem denen ohne ein Informationsfreiheitsgesetz können andere Regelungen gelten.

In einer FAQ für den Lehrerrat des Philologen-Verband NW heißt es dazu:

“In Nordrhein-Westfalen gestatten die §§ 12 und 9 Absatz 3 Informationsfreiheitsgesetz Nordrhein-Westfalen (IFG NRW) die Veröffentlichung von Namen, Titeln, akademischen Graden, Berufs- und Funktionsbezeichnungen, Büroanschriften und dienstlichen Rufnummern sowie dienstlichen E-Mail-Adressen der Lehrkräfte und des sonstigen Schulpersonals ohne deren Einwilligung, sofern keine schutzwürdigen Belange entgegenstehen. Gleichwohl sind die Betroffenen vor einer Veröffentlichung zu informieren. Das IFG NRW gilt im Übrigen nur für öffentliche Schulen in Nordrhein-Westfalen.”

Das Informationsfreiheitsgesetz Nordrhein-Westfalen (IFG) gilt auch mit dem Inkrafttreten der DS-GVO weiterhin nahezu unverändert.

Von Seiten der LDI NRW gibt es ein Schreiben von 2017 (Az.LDI:212.4.1.1-4248/16)¹.

Nach Einschätzung der LDI NRW ist es im Rahmen des Informationsfreiheitsgesetz NRW möglich “Übersichten über Aufgaben- und Funktionszuweisungen innerhalb des Lehrerkollegiums grundsätzlich zu veröffentlichen, wenn der Veröffentlichung nicht im Einzelfall ausnahmsweise – eng auszulegende – schutzwürdige Belange einer betroffenen Lehrerin oder eines Lehrers entgegenstehen.” Außerdem heißt es “Gemäß § 12 Satz 3 IFG NRW hat die Veröffentlichung der Übersichten – soweit möglich – elektronisch (also ggf. via Internet) zu erfolgen. Nach Maßgabe des § 9 Abs. 3 IFG NRW dürfen dabei Namen, Titel, akademischer Grad, Berufs- und Funktionsbezeichnung und ggf. dienstliche Erreichbarkeit (dienstliche Telefonnummer sowie ggf. dienstliche E-Mail-Anschrift) genannt werden, ohne dass es hierzu einer Einwilligung der Betroffenen bedarf. Neben den bereits angesprochenen Übersichten über Aufgaben- und Funktionszuweisungen können auch Stundenpläne mit den jeweils unterrichtenden Lehrkräften veröffentlicht werden.” Auch die LDI NRW empfiehlt, die Betroffenen vorab zu informieren, um “etwaige schutzwürdige Interessen, die nach § 9 Abs. 3 IFG NRW einer Veröffentlichung ausnahmsweise entgegenstehen können, geltend zu machen.”

Das heißt also, wenn eine Schule auf ihrer Homepage über das Kollegium und anderes Schulpersonal informieren möchte, dann kann sie dieses ohne deren Einwilligung tun, wenn sie dabei drei Dinge beachtet:

Sie hält sich an die Vorgaben und veröffentlicht nur die nach dem IFG zugelassenen personenbezogenen Daten.
Sie beachtet dabei schutzwürdige Belange der betroffenen Personen.
Sie informiert die Betroffenen vor der Veröffentlichung.

Fotos gehören nicht zu den durch das IFG für eine Veröffentlichung zugelassenen personenbezogenen Daten. Hierfür ist eine gesonderte Einwilligung erforderlich, die natürlich auch verweigert oder ohne Angabe von Gründen widerrufen werden kann.

Steht also auf einer Schulhomepage eine Beschreibung wie:

Johanna Schneider
Oberstudienrätin
Unterstufenkoodinatorin
Klassenlehrerin 8e
dienstliche E-Mail: johanna.schneider@mustergymnasium.de
dienstliche Telefonnummer: 02781-85 5033

dann ist dieses durch das IFG NRW abgedeckt und es bedarf keiner Einwilligung hierfür.

Mit folgendem Informationsschreiben können Lehrkräfte vorab informiert werden:

Information über die Veröffentlichung personenbezogener Daten nach IFG.docx

Bitte passen Sie das Schreiben entsprechend der Gegebenheiten Ihrer Schule an.

Zum Thema Digitale Stunden- und Vertretungspläne gibt es einen separaten Beitrag.

Stand 09/2022

April 10, 2018April 14, 2018

Youtube Videos auf Schulhomepage / Unterrichtsseite datenschutzkonform einbinden

Lesezeit: 3 Minuten

Videos spielen auf Internetseiten eine wichtige Rolle, da sie Inhalte anders darstellen können als Text, Audio oder Fotos. Deshalb findet man sie auch auf den Webseiten von Schulen und auf denen von Lehrkräften, die damit Materialien bereitstellen, z.B. Erklärvideos, um sie für Flipped Classroom Learnsettings zu nutzen. Meist werden die Video extern bei Youtube oder anderen Anbietern abgelegt und dann über einen Code in die eigene Webseite eingebettet. Das Problem dabei ist, bei der Einbettung eines Youtube Videos erhält auch ein Dritter, hier Youtube, Informationen über die Besucher der Webseite, auf welcher das Video eingebettet ist.

Grundsätzlich sollte entsprechend der DS-GVO bei einer Website der Schutz der personenbezogenen Daten durch die technische Gestaltung einer Webseite gefordert (Privacy by Design) und die Standardeinstellungen (Privacy by Default) gewährleistet sein.

Werden auf einer Webseite Daten erhoben und verarbeitet, was bei nahezu allen Webseiten der Fall ist, besteht nach der DS-GVO (Art. 13) für den Betreiber eine Informationspflicht gegenüber den Besuchern der Webseite. Dieses erfolgt in der Datenschutzerklärung, die von jeder Seite aus einfach zugänglich sein sollte.

Zusätzlich muss der Nutzer in die Erhebung der Daten nach DS-GVO (Art. 6, Abs. 1 a) einwilligen. Bei einem Kommentar kann dieses leicht über eine Checkbox und einen Text erfolgen.

Videos besser einbetten

¹ Bei WordPress gibt es eine recht einfache Möglichkeit, Youtube Videos datenschutzkonform einzubetten, wenn das WordPress entweder eine Bezahlversion ist oder man es selbst hostet und so in der Lage ist, Plugins zu installieren. Was man braucht, ist das Pugin Embed videos and respect privacy.

Praktisch an diesem Plugin ist, dass man nichts weiter tun muss. Man integriert Youtube Videos wie gehabt über den Teilen Link, den die Plattform bereitstellt. Alle Videos, auch alte werden automatisch datenschutzkonform eingebunden. Eine Verbindung zwischen Besucher und Youtube kommt nicht zustande, keine Cookies, kein Tracking. Erst durch das Anklicken des Videos wird ein Cookie gesetzt und werden Daten an Youtube übertragen. Vorher passiert nichts.

Unter das Video setzt man einen Text, der darüber informiert und außerdem auf die Datenschutzerklärung verweist. In dieser wird entsprechend erklärt, dass für Videos von Youtube die Datenschutzbestimmungen des Anbieters Youtube gelten. Mit dem Anklicken, welches eine eindeutige bestätigende Handlung darstellt, erklärt sich der Nutzer mit den Datenschutzbestimmungen von Youtube einverstanden.²³

Beispiel

Aktivieren Sie JavaScript um das Video zu sehen.
https://youtu.be/Qkf8vy1P0g8

Durch das Starten des Videos, willigst du ein, dass ein Cookie gesetzt und Daten an Youtube übermittelt werden. Weitere Informationen dazu findest du in der Datenschutzerklärung.

Video von Sebastian Schmidt, Youtube Creative Commons Namensnennung Lizenz

Das bedeutet nun für die Betreiber der Webseiten von Schulen oder Unterrichtsseiten

Alle Youtube Videos sollten datenschutzkonform eingebettet sein in eine Webseite. Nutzt man WordPress in einer Form, bei welcher man Plugins installieren kann, so hat man keine Probleme.

Bei der kostenlosen WordPress Version muss man sich mit einem Vorschaubild des Videos und einem Link behelfen und hoffen, dass WordPress in seinen Bemühungen, die Plattform DS-GVO freundlich zu machen, auch eine entsprechende Lösung für das Einbinden von Youtube Videos schafft.

Was andere Plattformen für Webseiten angeht, wie auch die Videos anderer Anbieter, da braucht man andere Lösungen. Vimeo bietet aktuell kein vergleichbares Verfahren an. Alternativ könnte man auch hier einen Screenshot des Videos als Bild einbauen und entweder das Bild zum Video verlinken oder einen Textlink dazu unter das Bild setzen. Auch über eine Google Suche findet man vielleicht eine Lösung.

Man sollte auf jeden Fall dafür Sorge tragen, dass Besucher der Webseite, egal auf welcher Seite sie zuerst landen, dort immer die erforderlichen Informationen finden bezüglich Daten, die über eingebettete Dienste von ihnen erhoben werden könnten, wenn möglich, bevor die Daten fließen, so dass sie selbst entscheiden können.

April 8, 2018Juni 8, 2018

Viele Schulhomepages laufen über Auftragsdatenverarbeitung

Lesezeit: 2 Minuten

Die meisten Schulhomepages dürften wohl nicht auf Servern laufen, die von der Schule selbst betrieben werden. Stattdessen laufen sie auf Servern, die entweder durch den Schulträger oder einen von ihm beauftragten IT-Dienstleister bereitgestellt werden oder, und das wird bei der überwiegenden Zahl aller Schulhomepages der Fall sein, sie laufen auf dem Server eines Web-Hosters wie 1&1, Strato, Domainfactory, Host Europe o.ä.

In Bezug auf den Datenschutz kann dieses von Bedeutung sein. Vermutlich gibt es kaum eine Schulhomepage, auf der nicht personenbezogene Daten verarbeitet werden. Lehrerinnen und Lehrer werden mit Name, Klasse und Informationen zur dienstlichen Erreichbarkeit aufgeführt und Schülerinnen und Schüler eventuell namentlich genannt bei Berichten über Projekte oder teilnahmen an Wettbewerben.

Trifft dieses zu, gilt Art. 28 Datenschutz Grundverordnung bzw. § 62 BDSG Auftragsverarbeitung. Ein Fall von Auftragsdatenverarbeitung liegt vor.

“Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags¹”

Die Verarbeitung durch einen Auftragsverarbeiter hat auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments zu erfolgen, der oder das den Auftragsverarbeiter an den Verantwortlichen bindet und der oder das den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Rechte und Pflichten des Verantwortlichen festlegt.²

Gegenwärtig dürften wohl nur die wenigsten Schulen einen solchen Vertrag mit dem Betreiber des Servers abgeschlossen haben, auf welchen ihrer Homepage betrieben wird. Ein solcher Vertrag ist nicht erst seit der DS-GVO erforderlich, sondern war auch schon die ganze Zeit durch die Datenschutzgesetzgebung vorgeschrieben. Mit der DS-GVO werden die Rechte der einzelnen Personen jedoch deutlich gestärkt und Schulen sollten aus Eigeninteresse sobald wie möglich einen solchen Vertrag abschließen. Auf den Webseiten der verschiedenen Web-Hoster sind die entsprechenden Unterlagen nicht immer leicht zu finden. Zur Not muss man Kontakt aufnehmen.

Üblicherweise findet man diese Verträge in Form eines PDF und dieses ist von Seiten des Anbieters bereits unterzeichnet. Man trägt in den Vertrag die eigenen Kontaktdaten und die Verantwortlichen ein und macht Angaben zur Art und zum Zweck der Verarbeitung. Häufig gibt es dafür vorgefertigte Listen, wo man entsprechende Angaben durch Ankreuzen machen kann. Der ausgefüllte unterschriebene Vertrag wird anschließend an den Web-Hoster zurückgeschickt. Er ist damit rechtlich gültig.

Liegt die Homepage auf einem Server des Schulträgers (z.B. bei der kommunalen IT im Rathaus) oder eines beauftragten Dienstleisters (zum Beispiel Kommunales Rechenzentrum), muss der entsprechende Vertrag beim Schulträger angefordert werden.

Ist die Schulhomepage auf einem Server untergebracht, der im Schulgebäude steht, ist zumindest das Führen eines Verzeichnisses der Verarbeitungstätigkeiten erforderlich.

April 5, 2018April 5, 2018

Datenschutz als Waffe gegen Schule

Lesezeit: < 1 Minute

Mittlerweile machen sich die ersten Schulen Gedanken, ob Schüler im Kampf um Noten nicht zur Waffe Datenschutz greifen könnten. Durch die neue DS-GVO ist anders als bisher nicht mehr der Betroffene in der Nachweispflicht, sondern der Verarbeitende (Art. 82 Abs. 3 DSGVO). Das wäre dann die Lehrkraft bzw. die Schulleitung der Schule. Den Schritt, einen Verstoß anzuzeigen, macht das deutlich leichter. Oder aber man droht lediglich damit, um so zu einer besseren Note zu kommen.

Bei tatsächlichen Verstößen gegen die Vorgaben der DS-GVO hat die betroffene Person nach Art. 82 Abs. 1 DSGVO Anspruch auf Schadenersatz, wenn es ein Verschulden des Verantwortlichen gibt und es dadurch es zu einem materiellen oder immateriellen Schaden gekommen ist.

Zusätzlich kann nach Art. 83 DSGVO auch noch ein Bußgeld von den Aufsichtsbehörden verhängt werden.

Quelle: DSGVO: Schadensersatz bei Datenschutzverstoß möglich (04/2018)

Fazit: Lehrkräfte sollten den Schutz der personenbezogenen Daten immer beachten und keine unnötigen Fehler machen. Es könnte sie teuer zu stehen kommen. Wo Möglichkeiten sich ergeben, werden sie auch genutzt.