Blog

Veröffentlicht am

Datenübermittlung zur Erstellung eines Schülerausweises im Scheckkarten Format

Lesezeit: 2 Minuten

Will eine Schule Schülerausweise im Scheckkarten Format durch eine Firma erstellen lassen, so ist dafür eine Übermittlung von personenbezogenen Daten der Schüler an diese Firma erforderlich. Dabei ist es egal, ob die Daten als Tabelle geliefert werden oder die Ausweise mit einer Software in der Schule erstellt und die Druckdateien dann an die Firma übermittelt werden. Mitunter wird auch noch ein Fotograf mit der Aufnahme der Fotos für den Ausweis beauftragt.

Alle Daten für den Schülerausweis liegen in jeder Schule vor1VO-DV I, Anlage 2, II. Weitere Informationssammlungen. Falls die Anfertigung des Fotos nicht bereits durch eine andere Einwilligung abgedeckt ist, muss dafür eine solche eingeholt werden, da Fotos nicht zu den personenbezogenen Daten gehören, welche eine Schule auf Grundlage des SchulG NRW verarbeiten darf.

Für den Fall, dass Ausweis und Fotos von einer Firma erstellt werden, könnte man z. B. diese Einwilligung in die Übermittlung und Erstellung der Fotos nutzen. In der ersten Variante wird eine Schüler ID mit übermittelt, um den Schülerausweis auch als Bibliotheksausweis nutzen zu können.

Die zweite Variante sieht diese Schüler ID nicht vor.

Erstellt die Schule die Fotos selbst oder wird ein unabhängiger Fotograf beauftragt, ist die Einwilligung entsprechend abzuändern2z.B. so, dass die Einwilligung klar trennt, wer die Aufnahmen macht und die Einwilligung dafür kenntlich macht.

Die dritte Variante geht davon aus, dass die Fotos bereits vorliegen und die Anfertigung auf einer bestehenden Einwilligung beruht.

Hinweis: Bitte achten Sie bei der Übermittlung der personenbezogenen Daten Ihrer Schüler an die Firma, welche die Schülerausweise erstellt, dass diese sicher erfolgt. Eine Möglichkeit dazu ist die Verschlüsselung des E-Mails oder zumindest der Datei3Ein Passwort geschütztes ZIP Archiv oder zumindest eine durch Passwort lesegeschützte Datei sind das absolute Minimum.. Das Passwort zum Entschlüsseln sollte dann jedoch separat mitgeteilt werden. Achten Sie bei Vergabe des Auftrags auch darauf, dass die Zweckbindung der Daten sowie Löschung nach Abschluss des Auftrags gewährleistet sind.

Alternative: Bei großen Schulen bietet es sich eventuell an, einen Scheckkarten Ausweisdrucker anzuschaffen und die Schülerausweise selbst zu erstellen. Liegt keine entsprechene Einwilligung zur Erstellung und Nutzung von Fotos zur Erstellung eines Schülerausweises4Zweck der Verarbeitung vor, ist diese vorher einzuholen.

Wie alle anderen Vorlagen für Einwilligungen finden sich diese unter Einwilligungen Schule (NRW).

Veröffentlicht am

Schulen müssen bei der Erhebung von Daten entsprechend der DS-GVO informieren

Lesezeit: 2 Minuten

Erhebt eine Schule direkt bei den betroffenen Personen personenbezogene Daten, muss sie diese bei der Erhebung nach Art 13. EU-DSGVO informieren. Meist ist dieses der Fall bei der Anmeldung an einer Schule. Hier werden sehr umfangreich Daten bei den Eltern oder erwachsenen Schülern erhoben. Anders als bisher gibt es dabei nun eine Informationspflicht durch die Schule. Mitgeteilt werden müssen, wer die datenverarbeitende Stelle ist, wer der Verantwortliche, wer Datenschutzbeauftragter, zu welchen Zwecken personenbezogene Daten erhoben und verarbeitet werden, auf welcher rechtlichen Grundlage dieses geschieht, wer Empfänger der Daten ist, wie lange die Daten gespeichert werden und welche Rechte aber auch Pflichten die Betroffenen gegenüber der Schule als datenverarbeitende Stelle haben.

In NRW ist man von Seiten des MSB zum Schluss gekommen, dass zur Reduzierung des Aufwands grundlegende Informationen auf der Schulhomepage veröffentlich werden sollen1Ein Muster dazu soll noch folgen., mit Verweisen auf die VO-DV I und II. Da jedoch direkt bei der Erhebung informiert werden muss, wird den Schulen folgendes Vorgehen vorgeschlagen.

“Da die DSGVO verlangt, dass im Zeitpunkt der Datenerhebung über die Datenverarbeitung informiert wird, ist es anlässlich der Anmeldung einer Schülerin oder eines Schülers an einer Schule erforderlich, den Eltern bzw. dem volljährigen Schüler oder der Schülerin einen Papierausdruck der VO DV I auszuhändigen.”

Die VO-DV I ist recht umfangreich2Je nach Formatierung können das zwischen 4 und 10 Seiten sein. und schwierig zu verstehen. Außerdem fehlen dort Informationen, die zum Zeitpunkt der Erhebung gegeben werden müssen.3z.B. verarbeitende Stelle, Verantwortlicher und Datenschutzbeauftragter, sowie die Hinweise auf die Rechte der Betroffenen und das Beschwerderecht bei der Aufsichtsbehörde. Dafür finden sich dort jedoch Informationen, die ohne Bedeutung sind bezüglich der Erhebung.

Als Alternative empfehle ich deshalb die Nutzung eines deutlich kürzeren, auf die tatsächlich erforderlichen Informationen beschränkten Informationsschreibens.

Download: Information über die Datenverarbeitung.docx

Das Informationsschreiben ist in der zum Download angebotenen Form mehr auf Grundschulen und Sekundarstufe I ausgelegt, kann aber leicht für die gymnasiale Oberstufe und das Berufskolleg angepasst werden. Anpassungen sind auch in einigen Teilbereichen (Zwecke, Empfänger) erforderlich. Auf der letzten Seite gibt es dazu Informationen.

Tipp: Wenn Sie bei der Aufnahme neuer Schüler mit einem Erhebungsbogen arbeiten, können Sie das Informationsschreiben mit diesem kombinieren.

 

Veröffentlicht am

Übermittlung personenbezogene Daten von Schülern an Träger im offenen Ganztag

Lesezeit: < 1 Minute

Vor einem Monat war ich hier im Blog der Frage nachgegangen, ob eine Einwilligung der Erziehungsberechtigten bezüglich Fotos, welche der Schule gegeben wurde, auch auf den Träger im offenen Ganztag übertragbar ist (Offener Ganztag und Datenschutz) und war zu dem Schluss gekommen, dass dieses eher nicht der Fall ist.

Nachtrag Februar 2020

Nachdem sich die Landesregierung im Rahmen einer kleinen Anfrage zu genau diesem Thema geäußert hat, ist nun klar, es braucht keine Einwilligung, damit die Schule sich mit Mitarbeitern des offenen Ganztags bezüglich der individuellen Förderung der Kinder austauschen kann. Warum das so ist, erkläre ich ausführlich unter Schule – Offener Ganztag – Schulsozialarbeit & Datenschutz 

Aufgrund einer Nachfrage habe ich heute eine neue Einwilligung erstellt, die ebenfalls mit Schule und dem Träger zu tun hat. Der offene Ganztag kann nur funktionieren, wenn die Personen, welche die Kinder nach dem Unterricht betreuen, über ausreichende Informationen verfügen, um für die Kinder passgenaue Unterstützungsangebote erstellen zu können. Wenn der offene Ganztag keine reine Hausaufgabenhilfe sein soll, müssen die Mitarbeiter wissen, wo das Kind Förderbedarfe hat, ob es Lernbeeinträchtigungen hat und ähnlich. Die Informationen sollten aktuell sein und die Mitarbeiter des Trägers können sie nur von der Schule erhalten, von den Lehrkräften, welche das Kind unterrichten. Als externer Partner gehören die Träger von offenen Ganztagsangeboten nicht zur Schule.

Da es keine rechtliche Grundlage im Schulgesetz NRW gibt, aufgrund derer die Schule derartige Informationen bzw. personenbezogene Daten an Dritte wie einen Träger (ein Unternehmen) weitergeben darf, kann ein solcher Informationsaustausch nur auf der Basis einer informierten und freiwilligen Einwilligung erfolgen.1Anders als im Bereich der Schulsozialarbeit und dem Informationsaustausch mit Ämtern, Ärzten u. Ä. empfehle ich hier eine datenschutzrechtliche Absicherung durch eine entsprechende Einwilligung und keine Entbindung von der Schweigepflicht.

Die Einwilligung findet sich dauerhaft im Download Bereich unter Einwilligungen Schule (NRW).

Bitte achten Sie als Schule darauf, die Daten Ihrer Schüler an den Träger Ihres offenen Ganztagsangebot nur auf sicheren Wegen zu übermitteln. 

Veröffentlicht am

Müssen Schulen einen Datenschutzbeauftragten an die Aufsichtsbehörden melden?

Lesezeit: 2 Minuten

Pflicht zur Meldung des Datenschutzbeauftragten an die Aufsichtsbehörden

Nach Art 37 Abs 7 der DS-GVO veröffentlicht der Verantwortliche oder Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragten 1Siehe dazu auch den Beitrag Muss der Datenschutzbeauftragte auf die Schulhomepage? 2Siehe auch Datenschutzbeauftragte FAQ Grundlagen und Benennung – der LDI NRW < und

“teilt diese Daten der Aufsichtsbehörde mit.”

Diese Vorgabe gilt auch für öffentliche Stellen wie Schulen. Für die Aufsichtsbehörde ist diese Meldung von Bedeutung, da der Datenschutzbeauftragte nur so in der Lage ist seiner Tätigkeit als Anlaufstelle für die Aufsichtsbehörde effektiv nachgehen zu können (vgl. Artikel 39 Absatz 1 Buchstabe e) DS-GVO).

Praktische Umsetzung bei Schulen – offene Fragen

Bisher ist leider nicht klar, ob jede einzelne Schule diese Meldung separat für sich machen muss. Schulen in NRW brauchen keine eigenen Datenschutzbeauftragten, denn es gibt die behördlich bestellten schulischen Datenschutzbeauftragten. In jedem Kreis bzw. jeder kreisfreien Stadt wurde dafür eine zuständige Person benannt. Teilweise sind es auch zwei Personen, die sich diese Zuständigkeit teilen. Alle diese Personen sind dem MSB bekannt (siehe Übersicht Behördliche Datenschutzbeauftragte) wie auch den fünf Bezirksregierungen.

In NRW gibt es 5.436 öffentliche Schulen3siehe Schulen, Klassen, Schülerinnen, Schüler und Lehrkräfte an
allgemeinbildenden und beruflichen Schulen 2019 nach Schulformen – IT.NRW. Würde jede einzelne eine Meldung machen, wären es entsprechend viele Meldungen. Da jeder behördliche Datenschutzbeauftragte für mehrere Schulen zuständig ist, würde jede dieser Personen x-fach gemeldet.

Von daher macht es eher Sinn, wenn das MSB jetzt am Start einmal die Aufsichtsbehörde, die LDI NRW, informiert. Das wäre eine Meldung. Spätere Änderungen werden dann entweder die Kreise bzw. kreisfreien Städte oder die Bezirksregierungen mitteilen. Dass jede Schule dieses für sich übernimmt, führt zu einer unnötigen Flut an Meldungen und Arbeit. Übernehmen die Kreise und kreisfreien Städte diese Aufgabe, geht es um 52 behördliche Datenschutzbeauftragte plus eventuell deren Vertreter.

Mitteilungen an die LDI NRW werden ab dem 25. Mai 2018 möglich sein. Nach einer Information der LDI NRW soll es dazu dann eine Möglichkeit zur Online-Meldung über die Homepage der Aufsichtsbehörde geben.

Wird der Datenschutzbeauftragte nicht gemeldet, so stellt dieses bereits einen Verstoß gegen die Vorgaben der Datenschutzgesetzgebung dar.

Abwarten empfohlen

Es soll für den Start eine Übergangsfrist geben. Dieses ist auf der Homepage der LDI NRW bekanntgegeben.

WICHTIGER HINWEIS: Wir beabsichtigen, unterlassene Meldungen der Kontaktdaten der/des Datenschutzbeauftragten während einer Übergangszeit bis zum 31.12.2018 nicht als Datenschutzverstöße zu verfolgen oder zu ahnden.

Das MSB hat sich bisher nicht zu der Frage geäußert, wie die Meldung praktisch umgesetzt werden soll, ob es eine erste Meldung durch das MSB gibt oder die Bezirksregierungen. Da bis zum 31.12.2018 eine Übergangsfrist besteht, empfehle ich Schulen in NRW (bis zur Klärung dieser Frage) zunächst einige Wochen abzuwarten. Es wird hier sicher noch eine Mitteilung von Seiten des Ministeriums oder der Bezirksregierungen geben. Natürlich steht es jeder Schule frei, ihren Datenschutzbeauftragten direkt nach dem 25.05.2018 zu melden. Es ist kein Schaden.

Veröffentlicht am

Datenschutzgesetz NRW – dauert noch (ein paar Tage)

Lesezeit: 2 Minuten

Schon erstaunlich, dass die Übergangsfrist von zwei Jahren in NRW scheinbar kaum genutzt wurde, um das alte Datenschutzgesetz NRW auf die Vorgaben der Europäischen Datenschutz Grundverordnung anzupassen. Die 1. Lesung zum neuen Datenschutzgesetz fand Anfang März diesen Jahres statt. Am 16.05.2018 soll nun die 2. Lesung stattfinden. Wie aus dem Beratungsverlauf ersichtlich und den Stellungnahmen, sind zahlreiche öffentliche Stellen und Interessengruppen am Gesetzgebungsverfahren beteiligt. Die LDI NRW ist mit der Umsetzung ihrer Vorschläge wohl nicht völlig einverstanden. Es sieht aber trotz allem sehr danach aus, als werde es am ersten Entwurf keine großen Veränderungen mehr geben. Entsprechend empfielt der Hauptausschuss des Landtags den Parteien, mit ihren Stimmen den Gesetzes entwurf mit dem Namen Drucksache 17/1981 anzunehmen.

Für Schulen gibt es im Gesetzesentwurf eine interessante Stelle, die man kennen sollte.

§ 28 Befugnisse
(2) Kommt die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit zu dem Ergebnis, dass Verstöße gegen die Vorschriften dieses Gesetzes oder gegen andere Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung personenbezogener Daten vorliegen, kann sie oder er diese

3. …. bei öffentlichen Schulen der Leitung der Schule  …

beanstanden und kann vor Ausübung der Befugnisse des Artikels 58 Absatz 2 Buchstabe b bis g, i und j der Verordnung (EU) 2016/679 Gelegenheit zur Stellungnahme innerhalb einer angemessenen Frist geben. In den Fällen von Satz 1 Nummer 2 bis 4 unterrichtet die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit gleichzeitig auch die zuständige Aufsichtsbehörde.
Von der Einräumung der Gelegenheit zur Stellungnahme kann abgesehen werden, wenn eine sofortige Entscheidung wegen Gefahr im Verzug oder im öffentlichen Interesse notwendig erscheint oder ihr ein zwingendes öffentliches Interesse entgegensteht.

Die Aufsichtsbehörde des Landes NRW, also die Landesbauftragte für Datenschutz und Informationsfreiheit, hat demnach auch die Möglichkeit,

i) eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,

Es kann aber sicher davon ausgegangen werden, dass hier schon extreme Fälle von Verstößen gegen das Datenschutzgesetz vorliegen müssen und dass die Schulleitung keinerlei Einsicht zeigt und Willen, den Problemen abzuhelfen.

Das alles ist nicht komplett neu, fand sich im alten Datenschutzgesetzt nur auf verschiedene Stellen verteilt § 24 Beanstandungen durch den Landesbeauftragten und § 34 Ordnungswidrigkeiten.

Eingreifen kann die LDI NRW auch, wenn eine Schule ihren Pflichten nach dem Informationsfreiheitsgesetz NRW nicht nachkommt. Hier allerdings gehen die Maßnahmen nicht über die Möglichkeiten hinaus, eine Stellungnahme anzufordern.

Veröffentlicht am

Abmahnung & Schulhomepage

Lesezeit: 3 Minuten

Als dieser Beitrag ursprünglich entstand, stand der Beginn der Umsetzung der DS-GVO kurz bevor. Es herrschte große Unsicherheit, wie eine Website im Einklang mit der Datenschutz-Grundverordnung gestaltet werden sollte. Datenschutzerklärungen wurden aktualisiert oder neu erstellt, Cookie Banner eingerichtet und das Laden von kritischen externen Inhalten wie YouTube Videos so umgestellt, dass Nutzer dieses selbst aktivieren müssen. Auf einige Inhalte verzichten viele Websites seither, etwa Google Maps und Google Analytics. Auch Schulen überarbeiteten ihre Internetauftritte entsprechend.

Trotz aller Anpassungen war und ist da immer die Sorge vor dem Schreckgespenst – Abmahnung!!!! 

Auch wenn die Zeit der Abmahnwellen mittlerweile durch ist, bleiben Abmahnungen durch aus ein Thema. Doch muss eine Schule sich hier überhaupt Gedanken machen? Kann eine Schule wegen ihrer Schulhomepage und dort möglicherweise begangenen Rechtsverstößen abgemahnt werden?

Beschäftigt man sich näher mit dem Thema Abmahnung, dann sieht man schnell, dass eine Schule prinzipiell zwar durchaus abgemahnt werden kann wegen Inhalten der Schulhomepage, dass dieses wegen des Thema Datenschutzes jedoch eher unwahrscheinlich ist. Warum?

JuraWiki beschreibt den Begriff Abmahnung wie folgt:

“Allen Abmahnungen gemeinsam ist, dass sie ein bestimmtes Verhalten rügen. Es wird darauf hingewiesen, dass man dies nicht toleriert und bei forgesetztem Fehlverhalten Konsequenzen drohen.”

Abmahnungen sind in verschiedenen Rechtsbereichen vertreten. Arbeitsrecht, Mietrecht und Verwaltungsrecht treffen auf eine Schulhomepage nicht zu. Schulen in öffentlicher Trägerschaft können eindeutig auch nicht vom Wettbewerbsrecht betroffen sein. Es bleiben noch das Urheberrecht, das Markenrecht und das Persönlichkeitsrecht.

Hier können sich tatsächlich Konstellationen in Bezug auf die Homepage ergeben, aus denen Abmahnungen folgen könnten.

Urheberrecht

Finden sich auf einer Schulhomepage urheberrechtlich geschützte Materialien, die ohne Erlaubnis des Rechteinhabers dort genutzt werden, so hat der Rechteinhaber die Möglichkeit, sich über eine Abmahnung dagegen zu wehren. Alternativ werden auch Lizenzkosten erhoben. Fälle, dass dieses sogar mit Creative Commons lizenzierten Bildern geschieht, sind bekannt. Dabei waren dann die Lizenzangaben nicht richtig oder unvollständig gemacht worden. Weitere Informationen finden sich in der von der BR Münster veröffentlichten Schrift Urheberrecht trifft Schule (PDF, 2024), die sich in Kapitel 5 mit dem Thema Abmahnungen befasst und Schulen empfiehlt, sich in solchen Angelegenheiten nicht selbst mit dem Abmahner auseinanderzusetzen, sondern die Angelegenheit unmittelbar an ihre Bezirksregierung abzugeben.

Markenrecht

Die Nutzung urheberrechtlich geschützter Markenzeichen kann auf einer Schulhomepage, sofern keine Einwilligung des Rechteinhabers vorliegt, eine Abmahnung zur Folge haben. Dazu gehören auch die Logos von Sportmannschaften.

Persönlichkeitsrecht

Auch bei Verletzungen des Persönlichkeitsrechts sind Abmahnungen möglich, auch gegen Schulen. Das könnte der Fall sein, wenn auf einer Schulhomepage über eine Person berichtet wird, so dass das Persönlichkeitsrecht verletzt wird, etwa durch eine grob sachlich falsche oder beleidigende Darstellung einer Person.

An dieser Stelle sind durchaus Überschneidungen mit dem Datenschutzgesetz möglich, etwa wenn Informationen ohne Einwilligung des Betroffenen auf der Schulhomepage veröffentlich werden und diese Informationen rufschädigende Wirkung haben.

Da es bei einer Abmahnung darum geht, jemanden dazuzubringen, ein Verhalten zu unterlassen, und es bei den Inhalten von Schulhomepages in der Regel um Personen geht, die der Schule bekannt sind, muss es schon weit kommen, dass eine Person zur Abmahnung als letztes Mittel greift, wenn es zu einer Verletzung des Persönlichkeitsrechts kommt.

Was ist mit dem Impressum?

Eine Abmahnung wegen fehlenden oder fehlerhafen Impressums ist eine Abmahnung aus dem Bereich des Wettbewerbsrechts. Auf Schulen in öffentlicher Trägerschaft trifft das normalerweise nicht zu.1Ob man einer Schule, die Werbebanner auf ihrer Homepage betreibt und Amazon Affiliate Links nutzt, einen Strick daraus drehen könnte, halte ich für wenig wahrscheinlich. Eine Abmahnung wegen fehlenden Impressums ist von daher auch nicht wirklich möglich. Haben sollten Schulhomepages ein Impressum aber auf jeden Fall.

Gibt es nicht doch Möglichkeiten, wo eine Schule wegen der Schulhomepage in Bezug auf Verletzungen des Datenschutz abgemahnt werden kann?

Schaut man sich die Rechtsbereiche an, bei denen Abmahnungen üblich sind, so ist schnell klar, dass bei Verstößen gegen die Datenschutzgesetzgebung, wenn es um Schulen geht, nicht mit Abmahnungen gerechnet werden muss. Möglich sind in sochen Fällen Beschwerden bei den Aufsichtsbehörden.

Ist eine fehlende oder fehlerhafte Datenschutzerklärung nicht doch ein Abmahnungsgrund?

Nein, auch nicht. Weder nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) noch nach dem Unterlassungsklagengesetz (UKlaG) ist hier eine Abmahnung möglich, denn in beiden Fällen geht es immer um kommerzielle Interessen des Betreibers der Homepage. Das ist bei einer Schule in öffentlicher Trägerschaft eindeutig nicht der Fall. Eine Datenschutzerklärung ist nach der DS-GVO natürlich trotz allem ein verpflichtender Bestandteil der Schulhomepage.

Fazit

Schulen brauchen sich, wenn es um das Thema Datenschutz und DS-GVO geht, bezüglich ihrer Schulhomepage keine Gedanken machen. Die Wahrscheinlichkeit, dass hier ein Abmahnanwalt ein Geschäft wittert, ist eher gering. Um eine Abmahnung erteilen zu können, braucht es eine Rechtsgrundlage und solange auf einer Schulhomepage keine Urheberrechtsverletzung begangen wird oder die Persönlichkeitsrechte einer Person missachtet werden, ist mit einer Abmahnung nicht zu rechnen. Trotzdem gelten auf jeden Fall die Vorgaben der Datenschutzgesetzgebung, die dazu anhalten die Erhebung von personenbezogenen Daten auf ein Minimum zu beschränken und Nutzer über die Erhebung in Kenntnis zu setzen, ihre Einwilligung einzuholen, wo erforderlich und die Datenverarbeitung über die Homepage allgemein mittels einer Datenschutzerklärung zu informieren.

Bitte beachten, für Privatschulen, die kommerziell betrieben werden, gelten obige Aussagen nicht uneingeschränkt.

Siehe auch:

In einer Reihe von Tweets hat die Rechtsanwältin Nina Diercks am 20.05.2018 sehr gut erklärt, wie es mit dem Abmahnrisiko für Websiten in Bezug auf die DS-GVO aussieht.

Link zum ersten Tweet: https://twitter.com/RAinDiercks/status/998079439727661056

Link zum restlichen Thread (11 Tweets): https://twitter.com/RAinDiercks/status/998080633464344576

Veröffentlicht am

Tipps zur Genehmigung für Lehrkräfte zur Nutzung von Privatgeräten auf neuesten Stand gebracht

Lesezeit: < 1 Minute

Sehr viel Neues gibt es nicht zur Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gem. § 2 Abs.2 VO-DV I / § 2 Abs.4 VO-DV II).

Die Tipps, wie man die Vorgaben einhalten kann, sind auf den neuesten Stand gebracht. Ergänzt ist als Thema Verschlüsselung für Geräte selbst und externe Medien wie USB Sticks, Festplatten etc.. Außerdem gibt es einen Hinweis auf eine Alternative zum Anlegen eines 2. dienstlichen Nutzers auf dem Rechner.

Tipps und Antworten für die Praxis – Genehmigung private Endgeräte (Google Doc – view only)

Veröffentlicht am

Nicht wirklich Neues in Bezug auf die Genehmigung für Privatgeräte in NRW

Lesezeit: 3 Minuten

Heute fanden die Schulen in NRW das angekündigte E-Mail von Staatssekretär Richter in ihren Postfächern. Wirklich Neues bringt dieses Mail nicht. Im Wesentlichen gibt es das wieder, was am 24.04.2018 gesagt wurde. Das E-Mail, welches unter [02.05.2018] Dienstanweisung für die automatisierte Verarbeitung von personen-bezogenen Daten in der Schule – BASS 10-41 Nr.4 nachzulesen ist, greift noch einmal die verschiedenen Punkte auf und spielt dabei die mit der Genehmigung verbundenen Probleme für Lehrkräfte etwas herunter. Entsprechend heißt es:

“Ich möchte Ihnen gegenüber versichern, dass die DA ADV keine neuen Standards setzt. Sie begründet keine neuen rechtlichen Verpflichtungen oder gar Verschärfungen im Datenschutz, sie gibt lediglich die aktuelle Rechtslage wieder. Die neugefasste DA ADV soll erklären und unterstützen.”

An anderer Stelle heißt es dann “der Genehmigungsvordruck ist eine Hilfestellung“. Von vielen Lehrkräften wird das nicht so empfunden. Sicher ist es richtig, dass Vorgaben vom Datenschutz einzuhalten sind, doch als Hilfe lässt sich die Genehmigung schwer verstehen, vor allem nicht, wenn von der Erfüllung der Vorgaben und dem Nachweis dessen abhängt, ob Land oder Lehrer haftet.

Interessant ist folgender Passus bezüglich der Kontrollfunktion der Schulleitung:

“Die geregelten Nachweispflichten beinhalten selbstverständlich nicht die Verpflichtung der Schulleitung, die privaten Endgeräte jeder einzelnen Lehrkraft persönlich zu überprüfen. Das wäre gar nicht leistbar.”

Das klang zeitweise anders. Stattdessen wird wieder auf die schulischen Datenschutzbeauftragten (DSB) verwiesen:

“Die dokumentierten Angaben sind zudem von der bzw. von dem zuständigen behördlichen Datenschutzbeauftragten an Schulen zu prüfen, insbesondere daraufhin, ob zu den erforderlichen Maßnahmen zur Datensicherheit abweichende Angaben erfolgt sind, die einer Genehmigung entgegen stehen könnten.”

Abweichende Angaben zu den erforderlichen Maßnahmen zur Datensicherheit, die sollen die DSB prüfen und feststellen, ob sie einer Genehmigung entgegenstehen. Auch für DSB ist eine solche Beurteilung schwierig, vor allem wenn sich die Angaben im Formular zum Gerät, für welches eine Genehmigung eingeholt werden soll, auf Seriennummer und Gerätename beschränken. Für eine solche Prüfung ist mehr erforderlich, z.B. der genaue Gerätetyp, am besten mit Modelljahr (vor allem bei Android Geräten wichtig) und die OS Version. Nach der Handreichung zur Genehmigung sind bei bestimmten Gerätetypen Abweichungen von den Vorgaben der Genehmigung in Teil B möglich, etwa weil sich bei iOS kein zweiter Nutzer einrichten lässt oder dort kein Virenschutz erforderlich ist.

Alte Genehmigungen gelten weiterhin,

“Ausdrücklich darauf hinweisen möchte ich, dass in der Vergangenheit erteilte Genehmigungen weiterhin Bestand haben. Die Neufassung der DA ADV löst keinen neuen Handlungsdruck aus.”

An den verschiedenen Schulen sind über die Jahre höchst unterschiedliche Genehmigungsformulare unterwegs gewesen. Viele dürften in ihrer Anlage weit von den Vorgaben entfernt sein, welche die neue Genehmigung verbindlich vorgibt.

In der VO-DV I, §2 Abs. (2) heißt es zu den Voraussetzungen für eine Genehmigung,

“bedarf der schriftlichen, ein Verfahrensverzeichnis gemäß § 8 DSG NRW enthaltenden Genehmigung […] Die Genehmigung darf nur erteilt werden, wenn […] ein angemessener technischer Zugangsschutz nachgewiesen wird.”

Was das MSB sich unter einem angemessenen technischen Zugangsschutz vorstellt, ist nicht weiter präzisiert und lässt so Spielraum für Interpretation. Für ein Verfahrensverzeichnis sind im DSG NRW Vorgaben gemacht, was enthalten sein sollte. Aber auch da ist ein gewisser Spielraum, wie genau dieses ausgestaltet ist. Das sieht man am alten vom LDI NRW erstellten Genehmigungsformular wie an der neuen Genehmigung.

Die alten Genehmigungen dürfen somit unbegrenzt weiter genutzt werden. Was die Schulleitung unter einem angemessenen technischen Zugangsschutz versteht, bleibt dem eigenen Gutdünken der jeweiligen Schulleitung überlassen. Wer eine Genehmigung hat, darf sich also freuen. Lehrkräfte, die neu an eine Schule kommen, müssen leider das neue Formular nutzen.

An der Haftungsfrage, welche sich für Lehrkräfte mit dieser Genehmigung verbindet, hat sich leider auch mit diesem E-Mail nichts geändert. Schade.

Für die Lehrkräfte und Schulleitungen, welche nun mit der neuen Genehmigung arbeiten müssen, verspricht der Staatssekretär weitere Information auf der Plattform des Landes.

Auch mit dem Thema Dienstgeräte will man sich von Seiten des Landes auseinandersetzen. Das Feld ist schwierig und man wird sehen, was sich daraus ergibt.

Mehr Erfolg werden vermutlich Bemühungen der Landesregierung NRW haben, wenn es um die Ausstattung mit weiteren Verwaltungsrechnern für die Schulen geht, an welchen Lehrkräfte arbeiten können.

Veröffentlicht am

Einwilligung bei Schulanmeldung für nicht von VO-DV I erfasste Daten einholen

Lesezeit: < 1 Minute

Bei der Aufnahme neuer Schüler an der Schule fragt man gerne nach zusätzlichen Kontaktmöglichkeiten für den Fall, dass die Erziehungsberechtigten einmal außer der Reihe kontaktiert werden müssen. “Wo können wir sie denn auf der Arbeit erreichen, falls mal etwas ist?” Kann die Schule Daten dieser Art einfach erheben? Was ist dabei aus Sicht des Datenschutz zu beachten?

Das Schulgesetz und die  VO-DV I § 1 sind in NRW die rechtliche Grundlage, auf welcher Schulen Daten der Betroffenen, sprich der Schüler bzw. der Erziehungsberechtigten, erheben und verarbeiten dürfen.

§ 1 (Fn 2)
Zulässigkeit der Datenverarbeitung, Datensicherheit

(1) Schulen und Schulaufsichtsbehörden sind gemäß § 120 Abs. 1 Satz 1, Abs. 3 in Verbindung mit § 3 SchulG, im Übrigen nach den allgemeinen datenschutzrechtlichen Vorschriften, berechtigt und verpflichtet, personenbezogene Daten

1. der Schülerinnen und Schüler,
2. der Eltern gemäß § 123 SchulG,
3. der Verpflichteten gemäß § 41 SchulG

in Dateien und/oder Akten zu verarbeiten, soweit diese Verordnung oder andere Rechtsvorschriften dies zulassen.

In der Anlage 1 zu VO-DV I sind diese Daten exakt aufgelistet. Unter diesen Daten befinden sich auch einige, deren Verarbeitung nicht auf gesetzlicher Grundlage möglich ist. Hierfür muss eine Einwilligung eingeholt werden. Dieses sollte direkt bei der Anmeldung an der Schule erfolgen.

Bei den Grunddaten gehören hierzu:

  • Foto (z.B. für die Schulverwaltungssoftware, zum Erstellen eines Schülerausweises, …)
  • Notfallinformationen
    • Art des Notfalls: Stichwort, Kurzinfo
    • Wichtige Person oder Institution: Name, Vorname, Bezeichnung, Erreichbarkeit: Anschrift Wohnsitz, Anschrift Arbeitsplatz, Telefon, Fax, E-Mail
  • zur Erreichbarkeit Mutter, Vater:
    • am Wohnsitz: E-Mail und Fax
    • am Arbeitsplatz: Telefon, E-Mail
  • zur Erreichbarkeit von Verpflichteten:
    • am Wohnsitz: Fax, E-Mail
    • am Arbeitsplatz: Telefon, E-Mail

Die Einwilligung zur Nutzung dieser Daten durch die Schule ist freiwillig und kann jederzeit ohne Angabe von Gründen ganz oder in Teilen widerufen werden.

Ein passendes Formular findet sich unter Einwilligungen-Schule

Veröffentlicht am

Müssen Einwilligungen neu eingeholt werden?

Lesezeit: 3 Minuten

Die meisten Schulen, mit denen ich zu tun habe, sichern die Nutzung aller personenbezogenen Daten, die nicht auf der Grundlage des Schulgesetzes NRW und der VO-DV I & II erhoben werden dürfen, durch Einholen einer Einwilligung bei den Betroffenen ab, also den Erziehungsberechtigten oder den Schülern, wenn diese 16 Jahre oder älter sind.

In der Datenschutz Grundverordnung (DS-GVO) sind die Vorgaben für eine rechtsgültige Einwilligung noch einmal etwas umfangreicher geworden. Damit ergibt sich mit dem Beginn der Umsetzung der DS-GVO am 25. Mai 2018 bei vielen Schulen die Frage, ob die bestehenden Einwilligungen weiterhin gültig sind oder durch neue DS-GVO konforme Einwilligungen ersetzt werden müssen.

In einer FAQs zur Datenschutz-Grundverordnung des BMI heißt es dazu:

Gelten Einwilligungen der Betroffenen nach altem Recht fort?
Gemäß Erwägungsgrund 171 Satz 3 Datenschutz-Grundverordnung gelten Einwilligungen dann fort und es bedarf keiner erneuten Einwilligung, wenn “die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht”. Die Bedingungen für die Fortgeltung bisher erteilter Einwilligungen unter der Datenschutz-Grundverordnung haben die Aufsichtsbehörden des Bundes und der Länder konkretisiert.”

Was bedeutet das?

Viele bestehende, an Schulen bisher genutzte Einwilligungen werden den Bedingungen der DS-GVO vermutlich nicht entsprechen. Die Antwort nennt einen Erwägungsgrund und eine Konkretisierung der Aufsichtsbehörden. Daraus lassen sich fünf Kriterien ableiten, welche für die Rechtswirksamkeit einer Einwilligung auf jeden Fall erfüllt sein müssen. Beschränkt man sich auf diese, sollten doch ein paar der alten Einwilligungen weiter Gültigkeit haben.

Erwägungsgrund 171 Satz 3

Im Erwägungsgrund 171 Satz 3 wird verwiesen auf die alte Richtlinie 95/46/EG, in welcher eine datenschutzrechtliche Einwilligung wie folgt definiert ist:

Einwilligung der betroffenen Person” jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, daß personenbezogene Daten, die sie betreffen, verarbeitet werden.

Es werden in der Richtlinie vier Kriterien vorgegeben für die rechtliche Wirksamkeit einer Einwilligung:

  • jede Willensbekundung – es muss klar erkennbar sein, dass die betroffene Person einwilligt1Dafür sind entsprechende Formulierungen in der Einwilligung erforderlich, z.B. ich willige ein, dass …; ich gebe meine Einwilligung …; ich stimme zu …; ich bin damit einverstanden, dass … und ähnlich.
  • ohne Zwang – es muss die Freiwilligkeit gegeben sein2Die Freiwilligkeit muss durch eine entsprechende Formulierung in der Einwilligung erwähnt werden. In bestimmten Situationen ist das Thema Freiwilligkeit eine schwierige Situation. In Schule sollte Freiwilligkeit jedoch immer Grundlage jeder Einwilligung sein.
  • für den konkreten Fall – es muss ein konkreter Zweck genannt sein, Pauschaleinwilligungen sind von vornherein rechtlich unwirksam
  • in Kenntnis der Sachlage – die betroffene Person muss die Folgen der Einwilligung abschätzen können. Es geht um eine informierte Einwilligung.3Dieses Kriterium ist etwas schwammig und sollte bei den meisten alten Einwilligungen kein Problem sein, außer es geht um Verarbeitungsformen, bei denen nicht erwartet werden kann, dass die betroffene Person von sich aus abschätzen kann, welche Folgen die Verarbeitung für sie haben können.

Konkretisierung der Aufsichtsbehörden

Die Aufsichtsbehörden heben in ihrem Beschluss zwei Kriterien besonders hervor, die zwingend erfüllt sein müssen4Die Informationspflichten nach Artikel 13 DS-GVO waren nach den alten Vorgaben noch keine Pflicht und müssen dafür nicht erfüllt sein, da sie keine Bedingungen im Sinne des genannten Erwägungsgrundes (Erwägungsgrund 171, Satz 3) sind. Sie sind also keine Bedingung für die Gültigkeit einer alten Einwilligung., damit eine alte Einwilligung weiterhin Gültigkeit behalten kann: Freiwilligkeit5wie sie sich aus der Definition einer Einwilligung in Richtlinie 95/46/EG ergibt und Altersgrenze von 16 Jahren6Diese Altersgrenze gab es so bisher nicht. Sie ist mit der DS-GVO neu hinzugekommen.

Fünf Kriterien für rechtliche Wirksamkeit einer alten Einwilligung

Zusammengefasst ergeben sich so aus dem Erwägungsgrund und den Ausführungen der Aufsichtsbehörden die folgenden fünf Kriterien:

  1. Wenn also die Einwilligung keinen Passus hat bezüglich der Freiwilligkeit der Einwilligung oder die Freiwilligkeit bei der Einwilligung nicht gegeben war, so ist sie ab dem 25.05.2018 ungültig.
  2. Hat ein Schüler, der jünger als 16 Jahre ist, eingewilligt, oder war zum Zeitpunkt der Einwilligung weniger als 16 Jahre alt, so ist die Einwilligung ebenfalls nicht weiter gültig.
    • Ist der Schüler unter 16 Jahre alt, muss die Einwilligung bei den Erziehungsberechtigten eingeholt werden.
    • Ist der Schüler 16 Jahre oder älter, kann er/sie die Einwilligung selbst erteilen.
  3. Informierte Einwilligung
  4. klar definierter Zweck bzw. Zwecke
  5. klar erkennbare Willensbekundung

Das bedeutet für Schulen

Es müssen alle bestehenen Einwilligungen für die Verarbeitung von personenbezogenen Daten daraufhin überprüft werden, ob sie diesen fünf Kriterien entsprechen. Ist nur ein Kriterium nicht erfüllt, ist die Einwilligung nicht länger gültig und sollte neu eingeholt werden. Dazu gehören:

  • Nutzung von personenbezogenen Daten und Fotos auf der Schulhomepage und in der lokalen Presse.
  • Erstellung von Videos und Audioaufnahmen im Unterricht.
  • Nutzung des WLAN der Schule7Da dieses nahezu immer mit einer Verarbeitung personenbezogener Daten und einer entsprechenden Einwilligung verbunden ist..
  • Nutzung der Computer/ Tablets/ des Computer Raums.8Da dieses nahezu immer mit einer Verarbeitung personenbezogener Daten und einer entsprechenden Einwilligung verbunden ist.
  • Nutzung von Kontaktmöglichkeiten von Erziehungsberechtigten nach VO-DV I Anl. 1, die auf einer Einwilligung beruhen (z.B. E-Mail, berufliches Telefon & E-Mail, …)9Achtung! Hier können natürlich nur die Erziehungsberechtigten selbst einwilligen, nicht der Schüler ab 16 Jahren.
  • Nutzung einer Lernplattform/ eines LMS/ …10Da dieses bisher nahezu immer mit einer Verarbeitung personenbezogener Daten und einer entsprechenden Einwilligung verbunden ist.

Vorlagen für den Vorgaben der DS-GVO entsprechende Einwilligungen finden sich unter Service-Downloads > Einwilligungen Schule (NRW).

Mit Stolz präsentiert von WordPress