Blog

Veröffentlicht am

Notbetreuung in Corona Zeiten

Lesezeit: 2 Minuten

Die Corona Pandemie hat es erforderlich gemacht, dass Schulen für die Kinder von Personen, die in kritischen Berufen tätig sind, eine Notbetreuung anbieten. Eltern können für die Anmeldung ein vom Ministerium für Schule und Bildung vorgegebenes Formular1Neben dem Formular des MSB gibt es nach Aussagen des MSB auch Formulare von Schulträgern, die akzeptiert werden sollen: “Eine Reihe von Schulträgern hat ebenfalls Formulare bereitgestellt. Schulleitungen sollten alle Formulare, die ihnen vorgelegt werden, zunächst akzeptieren.” Corona Virus Notbetreuung FAQ Stand 21.04.2020  (die FAQ ist mittlerweile nicht mehr verfügbar – 29.08.2020) ausfüllen, um der Schule gegenüber den Nachweis eines Anrechts auf Notbetreuung des Kindes zu erbringen. Schulen müssen die dafür erforderlichen Daten erheben und die Anzahl der Schüler an die Schulaufsichtsbehörden übermitteln.

Die Rechtsgrundlagen

Wie jede Datenerhebung und -verarbeitung ist es auch hier erforderlich, die Betroffenen entsprechend Art. 13 DS-GVO zu informieren und im Verzeichnis der Verarbeitungstätigkeiten eine Beschreibung der Verarbeitungstätigkeit anzulegen. Die rechtliche Grundlage für die Erhebung und Verarbeitung der Daten aus dem Formular liefert Abs. 1 Satz 1 § 120 Schulgesetz NRW.

Schulen und Schulaufsichtsbehörden dürfen personenbezogene Daten der Schülerinnen und Schüler, der in § 36 genannten Kinder sowie der Eltern verarbeiten, soweit dies zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben erforderlich ist.

Die erforderliche Übermittlung regelt Abs. 5 Satz 2 § 120 Schulgesetz NRW

Die Übermittlung an andere öffentliche Stellen ist zulässig, wenn sie zur Erfüllung einer gesetzlichen Auskunfts- oder Meldepflicht erforderlich ist, ein Gesetz sie erlaubt oder die oder der Betroffene im Einzelfall eingewilligt hat.

Die “durch eine Rechtsvorschrift übertragene Aufgabe” ergibt sich aus der Corona-Betreuungsverordnung des Ministeriums für Arbeit, Gesundheit und Soziales vom 16.04.2020. Dort heißt es zunächst, dass “alle öffentlichen Schulen, Ersatzschulen und Ergänzungsschulen im Sinne des Schulgesetzes für das Land Nordrhein-Westfalen” geschlossen sind. Es werden in §1 Abs. 2 CoronaBetrVO Ausnahmen definiert.

(2) Ausgenommen von Absatz 1 sind […] 2. die Betreuung von Schülerinnen und Schülern, in der Regel der Jahrgangsstufen 1 bis 6, mit besonderem Betreuungsbedarf im Sinne von § 3 Absatz 1 in einer Vor-Ort-Betreuung (Notbetreuung) in den Schulräumlichkeiten. Das Nähere regelt das Ministerium für Schule und Bildung durch Erlass (insbesondere mittels sog. SchulMails);

Darüber hinaus weist das Ministerium für Arbeit, Gesundheit und Soziales den Schulen in der Leitlinie zur Bestimmung des Personals kritischer Infrastrukturen mit Stand vom 15. März 2020 die Aufgabe zu, die Entscheidung zu treffen, ob ein Kind, “dessen Eltern zu dem Kreis der im Bereich kritischer Infrastrukturen beruflich Tätigen gehört,” zur Betreuung an der Schule aufgenommen wird. Dazu ist das ausgefüllte Formular erforderlich.

II. Regelungen
1. Die Entscheidung, ein Kind zur Betreuung in der Schule oder Kindertageseinrichtung aufzunehmen, dessen Eltern zu dem Kreis der im Bereich kritischer Infrastrukturen beruflich Tätigen gehört, treffen die Leitungen der jeweiligen Schule bzw. Kindertageseinrichtungen. Es gelten die bestehenden rechtlichen Zuständigkeiten.
2. Grundlage der Entscheidung sind: (a) der Nachweis oder die Zusicherung, dass beide Elternteile (soweit nicht alleinerziehend) nicht in der Lage sind, die Betreuung zu übernehmen, weil sie in einer kritischen Infrastruktur tätig sind, und (b) das Vorliegen (oder die Zusicherung der Vorlage) einer schriftlichen Zusicherung der jeweiligen Arbeitgeber beider Elternteile (soweit vorhanden), dass deren Präsenz am Arbeitsplatz für das Funktionieren der jeweiligen kritischen Infrastruktur notwendig ist.2 Leitlinie zur Bestimmung des Personals kritischer Infrastrukturen, Stand: 15. März 2020

Die Rechtsgrundlage für die Übermittlung der Anzahl der zur Notbetreuung angemeldeten Schüler ergibt sich aus Schulmail Nr. 6 vom 17.03.2020.

“Bitte melden Sie der Schulaufsichtsbehörde noch am 18.03.2020, wie viele Schülerinnen und Schüler Sie am Mittwoch in die Notbetreuung aufgenommen haben.”

Vorlagen

Tipp

Stellen Sie die Informationen zur Datenverarbeitung bezüglich der Notbetreuung, angepasst an Ihre Schule, auf Ihrer Schulhomepage bereit, vielleicht kurzfristig über einen Link und einen Hinweis auf der Startseite und sonst verlinkt als PDF Download dort, wo die anderen Informationen zur Datenverarbeitung entsprechend Art. 13 DS-GVO bereitgestellt werden. Die Beschreibung der Verarbeitungstätigkeit Notbetreuung nehmen Sie in Ihr Verzeichnis der Verarbeitungstätigkeiten auf. Alternativ übertragen Sie die Informationen in das Referenzverzeichnis von Verarbeitungstätigkeiten der Medienberatung NRW, falls Sie dieses nutzen.

Veröffentlicht am

Padlet mit Einwilligung nutzen

Lesezeit: 2 Minuten

Padlet ist sehr beliebt bei Lehrkräften, da es einfach zu nutzen ist, für Schüler wie Lehrkräfte. Meist werden von Lehrkräften kostenlose Konten mit einer beschränkten Anzahl von Padlets erstellt. Mitunter ist Lehrkräften Padlet so nützlich, dass sie dafür sogar zahlen.

Es gibt mittlerweile eine sehr attraktive Alternative zu Padlet. Sie nennt sich Taskcards, kommt aus Deutschland und ist darauf ausgelegt, alle datenschutzrechtlichen Vorgaben einzuhalten. Vieles von dem, was man mit Padlet machen kann, funktioniert auch bei Taskcards. Die Plattform entwickelt sich schnell. Es gibt einen Vertrag zur Auftragsverarbeitung. Ein Beispiel für die Seite einer Grundschule und wie Taskcards wie Padlet für den Distanzunterricht eingesetzt werden kann Klasse 1b – Frau Kemter

Ohne eigenes Nutzerkonto der Schüler

Eine Nutzung von Padlet ist ohne eigenes Konto für Schüler möglich. Der Zugriff auf ein Padlet erfolgt dann auf Einladung durch die Lehrkraft über einen Link. Je nach Art der Nutzung fallen dabei fast gar keine bis einige personenbezogene Daten an. Erfolgt die Nutzung auf schulischen Endgeräten, ohne eine Anmeldung der Schüler an anderen externen Diensten und am Standort Schule, bleibt die Nutzung anonym, solange keine Inhalte mit personenbezogenen Daten in das Padlet eingestellt werden. Anders ist das bei der häuslichen Nutzung an einem privaten Endgerät oder im Fall von BYOD in der Schule. Über das Gerät, das System, den Browser und eventuelle Logins an anderen Plattformen sind Schüler für Padlet und dort eingesetzte Technologien von Dritten durch dort vorhandene Daten oder Zusammenführung mit Daten aus anderen Quellen potentiell identifizierbar.1Potentiell identifizierbar” muss nicht automatisch bedeuten, dass der Anbieter von Padlet dieses auch tut. Vertraut man der Datenschutzerklärung, werden keine Profile gebildet. Padlet setzt auf Google-Analytics. Momentan geht aus der Datenschutzerklärung nicht hervor, ob dabei auch Daten an Google fließen oder ob man die Option nutzt, Daten nur selbst zu verwenden. Nach einer Prüfung über https://checkgoogleanalytics.psi.uni-bamberg.de/ muss davon ausgegangen werden, dass Google-Analytics nicht mit IP Nummern Verkürzung genutzt wird. Stand 11.06.2020
Potentiell identifizierbar” würde hier bedeuten, dass einer identifizierbaren Person die Nutzung von Padlet an einem bestimmten Tag zu einer bestimmten Uhrzeit zugeordnet werden kann. Es geht dabei nicht um Inhalte eines Padlets, sofern diese nicht selbst aus externen Quellen eingebunden sind, wie YouTube Videos.

Vertiefende Informationen zur Datenverarbeitung durch Padlet finden sich unter Datenschutz Check – Padlet – digitale Pinnwand. Dort geht es auch um den Vertrag zur Auftragsverarbeitung, den Schulen mit dem Anbieter abschließen können, wenn sie ein Schulkonto einrichten.

Padlet mit Vertrag zur Auftragsverarbeitung

Padlet bietet auch die Möglichkeit, einen Vertrag zur Auftragsverarbeitung abzuschließen. Dieser ist erhältlich, wenn Schulen eine Backpack Schul- oder Lehrerlizenz erwerben. Der Vertrag zur Auftragsverarbeitung nennt sich bei Padlet Data Processing Addendum. Im Datenschutz-Check zu Padlet ist er genauer beschrieben und kann dort auch eingesehen werden.

Information und Einwilligung

Wie bei jeder Einwilligung sollten die Betroffenen, Eltern und Schüler, in die Lage versetzt werden, eine informierte Entscheidung zu treffen. Dafür sollten auch Informationen zur Datenverarbeitung bei Padlet gegeben werden. Ziel dieser Vorlage ist es, die Informationen möglichst leicht verständlich zu geben.

 

Hinweis 1
Lehrkräfte sollten vor einer Nutzung von Padlet wie auch anderen Online Tools, welche eine aktive Beteiligung von Schülern einschließt, die Genehmigung der Schulleitung einholen oder sie zumindest informieren. Wird Padlet nur als Website genutzt, um Schülern Inhalte bereitzustellen – und es geht nicht um eine aktive Arbeit der Schüler im Padlet – braucht es weder einer Einwilligung der Betroffenen noch eine Genehmigung/ Informierung der Schulleitung. Ein Padlet ist dann nichts anders als jede andere Website.
Hinweis 2
Bitte beachten Sie, dass durch das EU-GH Urteil vom 16.07.2020, der EU-US Privacy Shield für ungültig erklärt wurde. Transfers von personenbezogenen Daten in die USA, wie sie auch bei einer Nutzung von Padlet möglich sind, können damit nicht mehr auf der Grundlage des EU-US Privacy Shield erfolgen. Eltern sollten entsprechend informiert werden. Bei einer Nutzung von Padlet ohne personenbezogene oder -beziehbare Daten von Schülerinnen und Schülern, wie oben beschrieben, hat der Wegfall es EU-US Privacy Shield keine nachteiligen Auswirkungen.

Stand 05/2021

Veröffentlicht am

Eltern in NRW sind verpflichtet Schulen E-Mail Adresse zu geben

Lesezeit: < 1 Minute

Normalerweise beruht die Angabe einer privaten E-Mail Adresse von Eltern in NRW auf Freiwilligkeit. Viele Eltern geben zumindest eine E-Mail Adresse bei der Anmeldung des Kindes an der Schule an, aber nicht alle. Das Schulministerium NRW hat eine Corona Virus FAQ veröffentlicht und sich dort zum Thema Angabe einer E-Mail Adresse geäußert.1Das Zitat gibt den Stand vom 19.03.2020 wieder.

“Unter Rückgriff auf die allgemeine Regelung des § 3 Abs. 1 DSG NRW ist es zur Erfüllung des Bildungsauftrags der Schulen datenschutzrechtlich zulässig, in Fällen der längeren Schulschließungen wegen der Corona-Pandemie von den Schülerinnen und Schüler bzw. Eltern die Angabe der privaten E-Mail-Adresse zu fordern und ihnen die Materialien zuzusenden.”

Entsprechend § 3 Abs. 1 DSG NRW kann die Schule nun geltend machen, dass sie die E-Mail Adresse der Eltern einfordert, “wenn sie für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe der verarbeitenden Stellen erforderlich ist oder wenn sie in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.”

Hinweis: Die Verarbeitung der auf dieser Rechtsgrundlage bei den Eltern erhobenen E-Mail-Adressen erfolgt zweckgebunden, um „ihnen die Materialien zuzusenden“. Sobald durch die Aufhebung der Corona Virus bedingten Schulschließungen dieser Verarbeitungszweck entfällt, ist für Schulen eine  weitere Nutzung und Speicherung dieser E-Mail Adressen nicht länger zulässig. 2Bitte beachten Sie, diese Vorgabe gilt nur für die E-Mail Adressen, welche auf der Grundlage von § 3 Abs. 1 DSG NRW erhoben wurden, nicht für solche welche bei den Eltern auf der Grundlage einer Einwilligung erhoben wurden.

Veröffentlicht am

Einwilligung ohne Papier in Zeiten von Corona

Lesezeit: < 1 Minute

In Zeiten des Corona Virus sind die Schulen geschlossen und trotzdem muss der Unterrichtsbetrieb irgendwie weiterlaufen. Auch die Kommunikation mit Schülern und Erziehungsberechtigten muss möglichst reibungslos und unaufwändig weiterhin möglich sein. Schulen setzen von daher vermehrt auf Online-Plattformen und Apps. Da diese in der Vergangenheit jedoch entweder noch nicht genutzt wurden oder nur von einem Teil der Schülerinnen, Schüler, Lehrkräfte und eventuell auch Eltern, ist es oftmals erforderlich, eine Einwilligung der Betroffenen einzuholen. Wollte man dieses in Papierform erledigen, wäre solches mit sehr viel Aufwand verbunden. Außerdem müsste damit gerechnet werden, dass die Rücklaufquote nicht 100 % ist und je nach Situation sogar extrem gering ausfallen könnte, etwa weil Person das Haus nicht verlassen können.

Was viele nicht bekannt ist, Einwilligungen können durch aus auch elektronisch von den Betroffenen eingeholt werden. Auf welcher  Rechtsgrundlage dieses für Schulen in Nordrhein-Westfalen möglich ist wie man elektronische Einwilligungen umsetzen kann, wird in dem Beitrag Einwilligung einholen ohne Papier ausführlich erklärt.

Veröffentlicht am

Wenn Eltern personenbezogene Daten per E-Mail an die Schule senden …

Lesezeit: 3 Minuten

Es kommt immer wieder einmal vor, dass Eltern personenbezogene Daten via E-Mail an Lehrkräfte oder die Schule übermitteln. Mal ist es das eingescannte oder abfotografierte ärztliche Attest, mit welchem das Kind entschuldigt werden soll oder es ist eine Krankmeldung mit ausführlicher Darstellung des Befundes. Mitunter übermitteln Eltern auch Unterlagen, welche bei der Anmeldung an einer Schule vorzulegen sind, vom letzten Grundschulzeugnis bis zur Geburtsurkunde.

Auch aus diesem Grund wird von Lehrkräften immer mal wieder die Frage gestellt, ob sie dann den Eltern auf gleichem Wege antworten dürfen und dabei auch personenbezogene Daten übermitteln können?

Die E-Mail-Adresse, welche von Erziehungsberechtigten bei der Anmeldung an der Schule angegeben wird, kann selbst verständlich genutzt werden, um allgemeine Informationen an die Eltern zu übermitteln. Das können der schulische Newsletter sein, das Elternrundschreiben, die Informationen zur nächsten Klassenfahrt und ähnlich.

Schreiben Eltern, die gerade dabei sind, ihre Kinder an der Schule anzumelden, der Schule per E-Mail, so kann die Schule auf gleichem Wege antworten. Eltern müssen damit rechnen, dass ein E-Mail Empfänger, hier die Schule, die Absenderadresse nutzt, um seine Antwort an diese zu richten. Allerdings sollte sich die Schule davor hüten, auf diesem Wege personenbezogene Daten an die Eltern zu übermitteln. Wenn die Schule per E-Mail Unterlagen erhält, kann sie den Empfang dieser auf gleichem Wege bestätigen und sollte die Eltern dabei darauf hinweisen, dass dieser Weg der Übermittlung unsicher ist und man davon abrät, personenbezogene Daten des Kindes, vor allem sensible personenbezogene Daten, auf diesem Wege an die Schule zu übermitteln. Abhalten kann man die Eltern letztlich nicht von ihrem Handeln. Sie tun es in eigener Verantwortung und auf eigenes Risiko.

Die Schule auf ihrer Seite kann dieses nicht tun. Wenn sie als verantwortliche Stelle personenbezogene Daten verarbeitet, muss die Sicherheit der Verarbeitung gewährleistet sein. Das schließt auch die Übermittlung von personenbezogenen Daten ein. Selbst mit Einwilligung der Eltern sollte von einer ungeschützten Übermittlung von sensiblen personenbezogenen Daten per E-Mail abgesehen werden.1In Österreich wurde 2018 eine Strafe gegen eine Tagesklinik verhängt, weil diese Patientendaten unverschlüsselt an Patienten übermittelt hatte, mit Einwilligung der Patienten. “Die Datenschutzbehörde stellte in ihrer Entscheidung (DSB-D213.692/0001-DSB/2018) klar, dass Einwilligungserklärungen den (hohen) Anforderungen der DSGVO genügen müssen und dass eine Einwilligung der betroffenen Person nicht dazu dienen kann, um (ungenügende) Datensicherheitsmassnahmen zu rechtfertigen.” Quelle: Datenschutzbehörde Österreich: Einwilligung in den unverschlüsselten Versand von Patientendaten ist unwirksam; 31.05.2019; abgerufen am 07.03.2020

Welche Möglichkeiten haben Schulen, Eltern personenbezogene Daten zu übermitteln?

Es bleiben immer die klassischen Möglichkeiten, Eltern wichtige personenbezogene Daten per Post oder telefonisch zu übermitteln. Je nach Situation sind diese beiden Möglichkeiten aber nicht passend, etwa da Briefe zu lange brauchen, bis sie beim Empfänger ankommen, oder da einige Eltern telefonisch schwer erreichbar sind. Alternativ können Schulen auch sichere Messenger nutzen oder spezialisierte Apps für Schulen mit Funktionen zur Übermittlung von Nachrichten. WhatsApp, das auch bei Eltern weit verbreitet ist, bietet zwar eine sichere Ende-zu-Ende Verschlüsselung, kann aber von Schulen nicht für die Übermittlung von Nachrichten mit personenbezogenen Daten an Eltern genutzt werden, da die datenschutzrechtlichen Voraussetzungen insgesamt nicht gegeben sind. NRW gesteht Lehrkräften momentan die Möglichkeit zu, Eltern Nachrichten, auch mit personenbezogenen Daten, über WhatsApp zu übermitteln, wenn dieses im gegenseitigen Einvernehmen erfolgt.  2Wenn Lehrkräfte mit Eltern sowie Schülerinnen und Schülern über WhatsApp kommunizieren und personenbezogenen Daten übermittelt werden, liegt dies daher im persönlichen Ermessen aller Beteiligten und ist keine von der Schulleitung zu verantwortende dienstliche Kommunikation. Sinnvollerweise ist eine schriftliche Einverständniserklärung der betroffenen Personen bzw. der Erziehungsberechtigten für diese Form der Kommunikation einzuholen.Fragen zur Kommunikation mit Eltern, Medienberatung NRW, abgerufen am 09.03.2020; Zu empfehlen ist dieses jedoch nicht, mag aber manchmal vielleicht die einzige Möglichkeit sein. Andere Bundesländer sind hier deutlich restriktiver und untersagen Schulen und Lehrkräften die Kommunikation mit WhatsApp grundsätzlich.  

Es gibt allerdings gute Alternativen zu WhatsApp und E-Mail. Am Markt haben sich mittlerweile gut ein Dutzend Anbieter etabliert, welche spezielle Kommunikationsplattformen für Schulen entwickelt haben. Viele dieser Plattformen bieten außer Kommunikation weitere für Schulen nützliche Funktionen. Darüber hinaus gibt es neben WhatsApp auch einige reine Messenger, die datenschutzkonform nutzbar sind für Schulen. Ein Überblick über Messenger und Plattformen für Schulen mit Kommunikationsfunktionen, die für eine offizielle Nutzung durch Schule in Frage kommen, finden sich unter Schulische Plattformen (Kommunikation).

Veröffentlicht am

Brauchen Schülerfotos mit unkenntlich gemachtem Gesicht eine Einwilligung?

Lesezeit: 3 Minuten

Die Frage, ob man bei Fotos auf denen Personen abgebildet sind, um die lästige Einwilligung umhin kommen kann, wenn man die Gesichter der abgebildeten Personen unkenntlich macht, stellen sich Lehrkräfte in Schule immer wieder. Manchmal sind es bloggende Lehrkräfte aus dem Twitterlehrerzimmer, die einen Einblick in ihre Unterrichtsprojekte mit digitalen Medien geben möchten, oder es geht Lehrkräfte, die mit ihren Schülern Projekte aus dem Unterricht im Klassen-Blog vorstellen möchten. Auch bei der Erstellung von Präsentationen für den Informationsabend für Eltern neuer Schüler stellt sich die Frage immer wieder, wenn man im Archiv nach brauchbaren Aufnahmen sucht, welche den Unterricht und dasSchulleben anschaulich illustrieren.

Gemein ist allen Beispielen, dass es um Personenaufnahmen geht und deren Veröffentlichung setzt in den meisten Fällen eine Einwilligung der Betroffenen voraus1Siehe hierzu auch den Beitrag Alte Klassenfotos für Festschrift und Ausstellung nutzen – geht das?, wo Ausnahmen beschrieben sind, bei denen keine Einwilligung erforderlich ist, auch wenn die betroffene Person erkennbar abgebildet ist.. Während es im ersten und zweiten Beispiel um aktuelle Aufnahmen geht, sind im dritten Beispiel oft auch ältere Aufnahmen betroffen, Fotos, auf denen Schüler abgebildet sind, die nicht einmal mehr auf der Schule sind. Eine Einwilligung für die geplanten Veröffentlichungszwecke liegt dort meist nicht vor und kann auch nicht mehr eingeholt werden. Die bloggenden Lehrkräfte bzw. Lehrkräfte, die mit ihren Schülern im Unterricht einen Internetauftritt gestalten, hätten zwar die Möglichkeit, Einwilligungen einzuholen, versuchen aber, um die lästige Formalie herumzukommen.

Bild von Toller Unterricht verlinkt. Im unteren Bild sind die abgebildeten Schüler vermutlich eher nicht zu identifizieren. Eine Einwilligung dürfte dort nicht erforderlich sein. Beim oberen Bild könnte von den beiden Schülern vorne, zumindest der rechts sitzende Schüler anhand der Kleidung erkennbar sein, auch über die Klassen- oder Kursgruppe hinaus.

Immer wieder wird deshalb die Frage an Datenschutzbeauftragte gerichtet, ob es reicht, die Gesichter mit einem Smiley ? zu überdecken oder sonst unkenntlich zu machen, um die Fotos dann ohne vorliegende Einwilligung für Zwecke wie die oben beschriebenen nutzen zu können?

Auch mit unkenntlich gemachten Gesichtern fallen Personenabbildungen weiterhin unter die DS-GVO und KUG, solange die abgebildeten Personen erkennbar bleiben, wie der Tweet von Jörn Erbguth beschreibt.

Bei Bildern, auf denen Gesichter durch Smileys überdeckt oder anders unkenntlich gemacht sind,  fällt zwar das Gesicht als identifizierendes Merkmal weg, doch es verbleiben oftmals viele weitere Merkmale, wie die Kleidung, Statur und Körpergröße. An diesen können zumindest Personen, welche die Schüler kennen, diese meist problemlos identifizieren.2Darüber hinaus ist nicht auszuschließen, dass über entsprechende Programme und weiteres vorliegendes Bildmaterial aus anderen Quellen eine Identifizierung der abgebildeten Schüler möglich ist, wenn die Aufnahmen im Internet veröffentlicht werden.

Auch wenn alle Gesichter auf einer Aufnahme unkenntlich gemacht wurden, bedeutet dieses nicht automatisch, dass solche Fotos von Schülerinnen und Schülern ohne Einwilligung der Betroffenen veröffentlicht werden können. Dabei ist es unerheblich, ob es sich um eine Nutzung der Aufnahmen auf einer Website handelt oder um eine Nutzung für eine Präsentation, welche interessierten Eltern bei der Vorstellung der Schule am Informationsabend gezeigt wird.

Da die Identifizierung der Schüler durch das Unkenntlichmachen jedoch nur für einen kleinen Personenkreis aus dem unmittelbaren Umfeld der Schüler möglich ist, sollte für Eltern kaum etwas dagegen sprechen, Lehrkräften bzw. der Schule der Kinder eine Einwilligung zur Nutzung derart bearbeiteter Aufnahmen für die in den Beispielen beschriebenen Zwecke zu erteilen. Dass die Aufnahmen entsprechend bearbeitet werden, um die Identität der Kinder zu schützen, sollte in der Einwilligung deshalb ausdrücklich erwähnt werden.3 Normalerweise werden Einwilligungen für die Anfertigung und Nutzung bzw. Veröffentlichung von Aufnahmen in der Schule immer gegenüber der Schulleitung erteilt. Im Fall, dass eine Lehrkraft Fotos für ihr privates Lehrerblog nutzen möchte, muss die Einwilligung gegenüber der Lehrkraft erteilt werden. Die Lehrkraft sollte dieses jedoch mit der Schulleitung absprechen und diese Information entsprechend in die Einwilligung mit aufnehmen, eventuell sogar mit einer Unterschrift der Schulleitung. Eine Ausnahme bilden nur solche Aufnahmen, bei denen über das unkenntlich gemachte Gesicht hinaus keine weiteren Merkmale erkennbar sind, die es zulassen würden, die abgebildete Person zu identifizieren.

Auch bei Aufnahmen, bei welchen Schülerinnen und Schüler so fotografiert werden, dass sie nicht direkt in die Kamera schauen, muss darauf geachtet werden, ob sie trotzdem noch einfach zu erkennen sind, zumindest für die Personen in ihrem Umfeld. Ist das der Fall, sollte über eine Einwilligung nachgedacht werden.

Wie gut Algorithmen zur Gesichtserkennung mittlerweile sind, zeigt der Beitrag Gesichtserkennung und Identifikation trotz Atemmaske möglich von Datenschutz-Notizen.de und die Entwicklung geht hier in großen Schritten weiter.

Veröffentlicht am

Brexit und die Folgen für Schule aus Datenschutzsicht

Lesezeit: 2 Minuten

Großbritannien hat zum 01.02.2020 die EU verlassen. Bis zum 31.12.2020 gilt eine Übergangsfrist, während der die Vereinbarungen und Abkommen der EU weiterhin Bestand haben. Damit hat auch die DS-GVO noch bis Ende diesen Jahres Bestand auf der britischen Insel. Schulen können in dieser Zeit problemlos Apps1Apps meint hier solche, deren Nutzung eine Onlineanbindung an die Server des Anbieters erfordert. und Online-Plattformen britischer Anbieter mit Schülerinnen und Schülern nutzen, wenn deren Einsatz auch bisher den Anforderungen aus Schul- und Datenschutzrecht entsprach.

Sofern britische Anbieter ihre Verarbeitung personenbezogener Daten in diesem Zeitraum jedoch nicht für die Zeit nach Ende der Übergangsfrist umstellen, wird eine Nutzung für Schulen in der EU nicht länger möglich sein. Warum ist das so?

Nach dem Ende der Übergangsfrist gilt in Großbritannien nicht mehr die DS-GVO. Großbritannien gilt dann als ein sogenanntes unsicheres Drittland. Eine Übermittlung bzw. Verarbeitung von personenbezogenen Daten in einem Drittland ist nur möglich, wenn es

  • entweder ein Abkommen zwischen der EU und Großbritannien gibt oder
  • für Großbritannien ein Angemessenheitsbeschluss besteht oder
  • die EU Standardvertragsklauseln angewendet werden können oder
  • man eine Art EU UK Privacy Shield aushandelt, nach welchem Anbieter sich selbst zertifizieren können.

Die Möglichkeit, mit Erlaubnis der Aufsichtsbehörde einen Vertrag mit dem Anbieter abzuschließen, welche die Sicherheit und den Schutz der personenbezogenen Daten garantiert, besteht für Unternehmen und kommt für Schulen wohl eher nicht in Betracht.

Die britische Regierung hat bereits angekündigt, dass man von den Regelungen der DS-GVO abweichen und stattdessen eigenes Datenschutzrecht schaffen will. Das wird es deutlich erschweren, eine zeitnahe Lösung für eine Rechtsgrundlage auszuhandeln, auf welcher personenbezogene Daten aus der EU in Großbritannien verarbeitet werden können.

Das bedeutet

für britische Anbieter von Apps und Online-Plattformen im Bildungsbereich, dass sie andere Lösungen finden müssen, um Schulen in der EU auch nach dem Ende der Übergangsfrist eine datenschutzkonforme Nutzen zu ermöglichen. In der Praxis lässt sich dieses am leichtesten umsetzen, wenn die Verarbeitung und Speicherung der personenbezogenen Daten von Schülerinnen und Schülern aus der EU in ein EU-Land verlegt wird.2Möglich wäre auch die Nutzung eines Serverstandortes in einem Drittland, für welches ein Angemessenheitsbeschluss besteht, die EU Standardvertragsklauseln gelten oder es ein sonstiges Abkommen mit der EU gibt. Ein Serverstandort innerhalb der EU oder des EWR wird jedoch die einfachste und sicherste Lösung sein.

für Schulen hängt die Bedeutung des Endes der Übergangsfrist davon ab, ob der Anbieter eine Lösung gefunden hat, die es ihnen erlaubt, sein Produkt weiterhin datenschutzkonform zu nutzen oder nicht.

  • Schafft es der Anbieter nicht, Schulen nach Ende der Übergangsfrist eine datenschutzkonforme Lösung anzubieten, sind Schulen gezwungen, die Nutzung des Apps bzw. der Plattform mit dem Ende der Übergangsfrist einzustellen. Sämtliche Nutzerkonten sind bis dahin zu löschen. Erstellte digitale Medien sollten, sofern sie personenbezogene oder -beziehbare Daten enthalten, heruntergeladen oder in eine andere Plattform übertragen werden, bevor sie ebenfalls zu löschen sind.
  • Kann der Anbieter eine neue, datenschutzkonforme Lösung anbieten, sind gegebenenfalls bestehende Verträge zur Auftragsverarbeitung zu überprüfen und an die neuen Bedingungen anzupassen.

Nachtrag 28.02.2020

In einem im Februar veröffentlichten Strategiepapier der britischen Regierung “The Future Relationship with the EU – The UK’s Approach to Negotiations” strebt man einen Angemessenheitsbeschluss an3Data Adequacy

59. The UK will have an independent policy on data protection at the end of the transition period and will remain committed to high data protection standards.
60. To maintain the continued free flow of personal data from the EU to the UK, the UK will seek ‘adequacy decisions’ from the EU under both the General Data Protection Regulation and the Law Enforcement Directive before the end of the transition period. These are separate from the wider future relationship and do not form part of trade agreements. This will allow the continued free flow of personal data from the EEA States to the UK, including for law enforcement purposes. The European Commission has recognised a number of third countries globally as providing adequate levels of data protection.
61. On a transitional basis, the UK has allowed for the continued free flow of personal data from the UK to the EU. The UK will conduct assessments of the EEA States and other countries under an independent international transfer regime.
62. The UK will also seek appropriate arrangements to allow continued cooperation between the UK Information Commissioner’s Office and EU Member State data protection authorities, and a clear, transparent framework to facilitate dialogue on data protection issues in the future.

abgerufen am 28.02.2020 unter https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/868874/The_Future_Relationship_with_the_EU.pdf. Ob und wann es dazu kommt, ist aktuell nicht abzusehen.

 

Veröffentlicht am

Darf Schule die Adressen ehemaliger Schüler herausgeben?

Lesezeit: 2 Minuten

Vor allem weiterführende Schulen finden sich immer einmal wieder in der Situation, dass ehemalige Schüler anfragen, ob man ihnen Listen mit Namen und Kontaktdaten ehemaliger Mitschüler und Lehrkräfte aushändigen könne, damit man diese zu einem Klassen- oder Ehemaligentreffen einladen kann. Darf die Schule diese Informationen herausgeben und wenn ja unter welchen Bedingungen?

Das Schulgesetz NRW

Ein schneller Blick in §120 Abs. 5 Satz 3 SchulG NRW erbringt folgende Ergebnis:

“Die Übermittlung von Daten der Schülerinnen und Schüler und der Eltern an Personen oder Stellen außerhalb des öffentlichen Bereichs ist nur zulässig, wenn ein rechtlicher Anspruch auf die Bekanntgabe der Daten besteht und schutzwürdige Belange der oder des Betroffenen nicht beeinträchtigt werden oder wenn die oder der Betroffene im Einzelfall eingewilligt hat.”

Anfragende ehemalige Schülerinnen und Schüler oder auch Lehrkräfte handeln im beschriebenen Fall als Privatpersonen. Sie gelten damit als Personen außerhalb des öffentlichen Bereichs und fallen unter die Regelung aus Satz 3. Aus der Absicht, ein Ehemaligentreffen zu veranstalten, lässt sich kein rechtlicher Anspruch ableiten. Die Wahrscheinlichkeit, dass man an der Schule in der Vergangenheit Einwilligungen bei den ehemaligen Schülern wie Lehrkräften eingeholt hat, ihre Kontaktdaten zum Zweck der Organisation von Ehemaligentreffen an ehemalige Schüler herauszugeben, dürfte äußerst gering sein.

Für den Fall, dass keine entsprechende Einwilligung vorliegt, darf Schule die personenbezogenen Daten der ehemaligen Schüler und Lehrkräfte nicht herausgeben.

Alternativen

Gibt es trotzdem Möglichkeiten ehemalige Mitschüler und Lehrkräfte zur Organisation eines Ehemaligentreffens zu kontaktieren? Der Kommentar zum Schulgesetz NRW115. Erg.-Lfg., SchulG NRW-Kommentar, März 2015, Katernberg, S. 81f stellt das Adressmittlungsverfahren als eine Alternative vor, wie die Schule das Anliegen der ehemaligen Schüler unterstützen kann. Die Organisatoren des Ehemaligentreffens übergeben der Schule die Anschreiben mit Bitte um Mitteilung der Kontaktdaten an das Organisatorenteam, gedruckt oder als Vorlage für die Textverarbeitung, und die Schule versieht diese mit den Adressen der Ehemaligen. Anschließend gibt die Schule die fertigen Anschreiben in den Postversand. Die Ehemaligen entscheiden dann selbst, ob sie dem Organisatorenteam ihre Kontaktdaten übermitteln wollen oder nicht.

Alternativ stehen den Organisatoren auch noch weitere Möglichkeiten offen. Sie könnten die Schule bitten, das geplante Ehemaligentreffen auf die Schulhomepage zu setzen mit der Bitte um Anmeldung durch die Ehemaligen. Das Organisatorenteam könnte neben der Schulhomepage ihr Ehemaligentreffen auch über örtliche Zeitung oder Social Media bewerben.

Andere Bundesländer

Ein Blick über die Landesgrenzen hinaus zeigt, dass die Handhabe dieses Themas in nicht in allen Bundesländern gleich ist. In Rheinland-Pfalz findet sich in ÜSchO § 89 Abs. 8 eine Regelung, die eine Rechtsgrundlage für die Weitergabe von personenbezogenen Daten ehemaliger Schüler und auch Lehrkräften an Schüler zur Organisation von Ehemaligentreffen regelt.

(8) Die Schule kann ehemaligen Schülerinnen und Schülern die zur Organisation eines Treffens geeigneten personenbezogenen Daten von ehemaligen Schülerinnen, Schülern und Lehrkräften übermitteln.

 

 

Veröffentlicht am

Lehrer Apps und Cloud Speicher

Lesezeit: 7 Minuten

Viele Lehrkräfte nutzen schon seit Jahren Computer zur Vorbereitung von Unterricht wie auch zur Verwaltung von Noten. Excel Tabellen und analoge Lehrerkalender mit Notenteil werden heute zunehmend durch Apps auf Mobilgeräten abgelöst. Neben den großen Plattformen für die digitale Organisation des Schulalltags mit digitalem Klassenbuch, Stunden- und Vertretungsplan, Absenzenverwaltung u.s.w. gibt noch einen Markt für Apps und Plattformen, die sich an Einzelnutzer richten. Diese Angebote richten sich vor allem an Lehrkräfte, an deren Schulen es noch keine große Plattform gibt oder wo eine solche aus anderen Gründen nicht eingeführt werden kann oder soll. Apps und Plattformen für Einzelnutzer gibt es heute für alle Desktop und mobilen Betriebssysteme. Um diese soll es im Folgenden gehen. Die meisten Aussagen lassen sich jedoch auch auf die großen Plattformen übertragen, die für eine schulweite Nutzung konzipiert sind.

Mangels Dienstgeräten nutzen Lehrkräfte Apps zur Verwaltung von Noten, Absenzen, Versäumnislisten und ähnlich momentan überwiegend auf ihren privaten Endgeräten, d.h. Tablets, Smartphones, Notebooks oder auch stationären Rechnern. Wie die Anbieter für die großen Schulplattformen werben auch die Anbieter von Apps und Plattformen für Einzelnutzer mit Sicherheit und Einhaltung der DS-GVO. Trotzdem sollten Lehrkräfte bei der Auswahl eines Anbieters sehr genau hinsehen, ob sie bei der Nutzung der Plattform die rechtlichen Vorgaben aus der Schul- und Datenschutzgesetzgebung einhalten können, denn hier geht es um personenbezogene Daten von Schülerinnen und Schülern.

Genehmigung

In der Regel setzt die Verarbeitung von personenbezogenen Daten aus der Schule auf einem privaten Endgerät eine Genehmigung der Schulleitung voraus. Das ist streng genommen auch der Fall, wenn die Daten pseudonymisiert in das digitale Notenbuch eingetragen werden, denn auch dann handelt es sich noch immer um personenbezogene Daten1Die Lehrkraft, welche die Daten einträgt, kann sie auch einzelnen Schülern zuordnen., und diese unterliegen den Vorschriften aus den  schul- und datenschutzrechtlichen Vorgaben des jeweiligen Bundeslandes.

Speicherort der Daten

Beim Speicherort hängt viel davon ab, wo genau die personenbezogenen Daten abgelegt werden. Speichert das App oder Programm die Daten lokal auf dem Gerät selbst oder erfolgt die Speicherung der Daten in eine Cloud? Letztere Möglichkeit nutzen einige Anbieter, um Lehrkräften einen einfachen und komfortablen Weg zu bieten, die im App eingetragenen Daten zu sichern und bei Nutzung des Apps auf mehreren Geräten die Daten zwischen den Geräten zu synchronisieren. Manche Anbieter ermöglichen damit zusätzlich einen Zugriff über ein Webinterface, welches mit einem Browser von einem beliebigen Rechner aus angesteuert wird. Was bei den großen Schulplattformen in der Regel kein rechtliches Problem darstellt, kann bei Apps und Plattformen, die sich an Einzelnutzer richten, durchaus zu einem werden. Wann das der Fall ist, ist das Hauptanliegen dieses Beitrags und das wird im Folgenden erklärt.

Lokale Speicherung

Solange ein App Daten nur lokal ablegt und die Sicherheit der verarbeiteten Daten auf dem Endgerät durch entsprechende technische Maßnahmen des App Anbieters, Sicherheitseinstellungen auf dem Gerät, Backups und verantwortungsvolles Handeln des Nutzers gewährleistet ist, ist die Nutzung aus Sicht des Datenschutzes eher unbedenklich.2In NDS schätzt man das anders ein. Dort ist eine lokale Speicherung von personenbezogene Daten auf privaten mobilen Endgeräten (Smartphones und Tablets) seit Anfang 2020 nicht mehr zulässig. Apps, die keine Speicherung in einer offiziellen Cloud zulassen, können damit von Lehrkräften in NDS nicht mehr genutzt werden. Siehe dazu auch RdErl. d. MK v. 1. 1. 2020 – 15-05410/1-8 Abs. 1.1 Satz 4 “Die Speicherung personenbezogener Daten auf dem Festspeicher privater mobiler Endgeräte (Smartphones und Tablets) ist nicht zulässig. Zu berücksichtigen ist für eine Bewertung jedoch auch noch das für eine Datensicherung genutzte Verfahren. Dazu mehr weiter unten.

Cloud Speicherung

Sobald eine Cloud an der Speicherung von personenbezogenen Daten aus dem App beteiligt ist, wird es aus Sicht des Datenschutz deutlich enger. Die externe Speicherung von personenbezogenen Daten aus der Schule setzt immer einen Vertrag zur Auftragsdatenverarbeitung (AVV) zwischen Schule und Anbieter voraus, sofern es sich nicht um eine von der Schule selbst betriebene Lösung handelt3Selbst betrieben meint dabei, dass es sich weder um einen gemieteten Server handelt, noch dass dieser Server von Mitarbeitern des Schulträgers oder eines IT Dienstleisters betreut wird.. Es macht auch keinen Unterschied, wenn die App die Nutzung von nicht vom Anbieter betriebenen Cloud Diensten zulässt, etwa in Google Drive, iCloud, Dropbox, OneDrive oder NextCloud. Solange es von Seiten der Schule mit dem Anbieter des Cloud Dienstes keinen AVV gibt, ist eine Nutzung zur Sicherung oder Synchronisierung von personenbezogenen Daten durch Lehrkräfte nicht zulässig, egal um welche Art von genutztem App es sich dabei handelt.

Zu den nicht zulässigen Cloud Speichern zählen auch die Clouds der Anbieter der Hardware oder des Betriebssystem. Das ist bei iOS Geräten und Macs beispielsweise die iCloud, bei Android Geräten kann es Google Drive oder je nach Hersteller eine eigene Lösung sein, wie etwa bei Samsung. Je nach Einrichtung kann unter Windows z.B. OneDrive ein solcher Cloud Speicher sein. Egal, welcher Cloud Speicher auf einem Endgerät läuft, ob ein System- oder Hersteller-eigener oder ein anderer, wie Dropbox, solange es sich nicht um einen von der Schule offiziell genutzten Cloud Speicher handelt, müssen jegliches automatische Backup und jede Synchronisationsfunktion für die in der Lehrer App verarbeiteten personenbezogenen Daten deaktiviert werden.

Die Erfordernis zum Abschluss eines AVV besteht nach Ansicht vieler Fachleute selbst dann, wenn die Übertragung dieser Daten zwischen App und Cloud Ende-zu-Ende verschlüsselt ist, die Speicherung auf dem Server verschlüsselt erfolgt und der Schlüssel zur Entschlüsselung nur auf dem Endgerät des Nutzers hinterlegt ist4Aus Sicherheitsgründen sollte dieses immer der Fall sein. Cryptomator , der Anbieter einer Open Source Verschlüsselungsplattform, beschreibt die Möglichkeit, vertrauliche Daten verschlüsselt über einen Cloud Dienst mit einem Team zu nutzen:

“DSGVO-konform über die Cloud mit deinem ganzen Team synchronisieren
Beim Einsatz von Cryptomator und einem Cloud-Service mit entsprechendem AVV kannst du Daten DSGVO-konform über die Cloud synchronisieren und mit einem ganzen Team nutzen.”

Die andere Meinung – verschlüsselte Daten sind keine personenbezogenen Daten

In diesem Beitrag wird davon ausgegangen, dass die Speicherung von personenbezogenen Daten aus der Schule in einer Cloud auch dann einen AVV braucht, wenn sie dort in verschlüsselter Form abgelegt werden und der Anbieter keine Möglichkeit hat, die Daten zu entschlüsseln. Das wäre beispielsweise der Fall, wenn die Daten mit BoxCryptor oder Cryptomator verschlüsselt werden. Der Schlüssel liegt dabei nie in der Cloud. Für den Anbieter der Cloud handelt es sich nur um nicht lesbare Daten.

Verschlüsselung ist ein gängiges Verfahren, um die verarbeiteten personenbezogenen Daten vor unbefugtem Zugriff zu schützen, auch durch den Auftragsverarbeiter. Es ist vermutlich die Mehrheit der Fachleute, die davon ausgeht, dass es sich auch mit Verschlüsselung weiterhin um personenbezogene Daten handelt.

“Die umgesetzten Schutzmaßnahmen entscheiden nicht darüber, ob es sich um eine Auftragsverarbeitung handelt oder nicht.
Wenn in Ihrem Fall der Dienst, den Sie als Unternehmen anbieten, personenbezogene Daten verarbeitet (selbst, wenn nur Ihr Kunde diese eingibt und sehen kann), sind Sie trotzdem Auftragsverarbeiter.”

meint etwa die Fachfrau Regina Stoiber auf eine Nachfrage unter einem Beitrag auf ihrer Seite.

An verschiedenen Stellen wird auf eine Aussage der bayrischen Aufsichtsbehörde verwiesen, um zu begründen, warum es sich bei verschlüsselten Daten nicht länger um personenbezogene Daten handelt. Man sollte dabei jedoch berücksichtigen, dass dieser Tätigkeitsbereicht, in welchem sich folgende Aussage findet, wie Frau Stoiber in einem Kommetar unter diesem Beitrag anmerkt, von 2013/14 stammt, also deutlich vor Beginn der Umsetzung der DS-GVO:

Ein Teil der deutschen Datenschutzaufsichtsbehörden hält personenbezogene Daten, die mit einem starken kryptografischen Verfahren nach dem aktuellen Stand der Technik sicher verschlüsselt sind, bei einem Dienstleister für nicht personenbezogen, da er sie nicht zur Kenntnis nehmen könne. Zu dieser Gruppe der Aufsichtsbehörden gehören auch wir.”

Durch die DS-GVO dürfte diese Aussage überholt sein und wird so vermutlich auch nicht mehr von der bayrischen Aufsichtsbehörde vertreten.

Diese alte Aussage bezog sich auf Archive. Das App Lehrmeister (digitales Notenbuch), bei welcher die Daten fortlaufend verschlüsselt mit der Cloud des Anbieters abgeglichen werden und sogar der Schlüssel hinterlegt werden kann, ist mit einer Speicherung im Sinne einer Archivierung nicht vergleichbar.  Der Anbieter sieht das anders.5Siehe Informationen zum Thema Datenschutz und IT-Sicherheit auf der Website des Anbieters. In einem Austausch im Januar 2020 signalisierte der Anbieter seine Bereitschaft, auch einen Vertrag zur Auftragsverarbeitung mit Schulen abzuschließen. Will eine Lehrkraft dieses App nutzen, sollte sich vorher mit der Schulleitung abstimmen. Diese muss letztlich entscheiden. Ohne das Einverständnis der Schulleitung sollte man Lehrmeister oder vergleichbare Apps nicht nutzen.

Es gab vor Beginn der Umsetzung der DS-GVO zwei Meinungen bezüglich der Verarbeitung von verschlüsselten Daten und gibt sie auch heute noch. Selbst für Fachleute, die ähnlicher Meinung sind wie die bayrische Aufsichtsbehörde seinerzeit, ist aber immer eines klar:

auch wenn personenbezogene Daten so verschlüsselt sind, dass der Cloud Anbieter sie nicht zur Kenntnis nehmen kann, so kann man sie deshalb nicht wahllos jedem x-beliebigen Anbieter anvertrauen.

Ein Anbieter muss vertrauenswürdig sein, dass dort verarbeitete Daten jederzeit verfügbar sind und vertraulich bleiben. Außerdem muss die Verschlüsselung dem Stand der Technik entsprechen und gegebenfalls mit der Zeit aktualisiert werden. 6Von einer Speicherung von personenbezogenen Daten in den Clouds von US Abietern oder von Anbietern, die gängigen Sicherheitsstandards nicht genügen, sollte auch bei einer verschlüsselten Speicherung abgesehen werden. Fallen verschlüsselte Daten Unbefugten in die Hände, können sie auf Dauer eine tickende Bombe sein, denn mit forschreitender Technik gibt es keine Gewähr, dass sie nicht in absehbarer Zeit entschlüsselt werden können.

Sicherung der Daten

Apps, die nicht mit einer Cloud verbunden sind, benötigen ebenfalls Möglichkeiten, die dort gespeicherten Daten regelmäßig zu sichern. Dazu sind verschiedene Verfahren üblich. Der einfachste Weg ist ein Ausdruck auf Papier. Einige Apps lassen Exporte in verschlüsselte Tabellen, PDF oder Archiv Dateien zu, die dann entweder im Dateisystem abgelegt werden oder sich per E-Mail vom Gerät aus an ein anderes Gerät senden lassen, wo sie dann gespeichert werden. Sobald E-Mail zur Übermittlung genutzt wird, kommt dafür nur ein dienstliches E-Mail Konto in Frage. Auch E-Mail Dienste laufen über externe Server und nur das dienstliche E-Mail Konto erfüllt die Anforderungen, welche Schul- und Datenschutzrecht voraussetzen. Eine Übermittlung über ein privates E-Mail Konto ist nicht zulässig, auch wenn die Übermittlung verschlüsselt erfolgt.

Fazit

Nutzen Lehrkräfte Apps zur Verarbeitung von personenbezogenen Daten von Schülern, dann ist dieses aus datenschutzrechtlicher Sicht am wenigsten probematisch, wenn es dazu keine Speicherung in einer Cloud des Anbieters braucht. Ist das App mit einer Cloud des Anbieters verbunden, dann sollte dafür nach Möglichkeit ein Vertrag zur Auftragsverarbeitung mit dem Anbieter abgeschlossen werden. Diesen kann nicht die Lehrkraft abschließen, er muss zwischen Schulleitung und Anbieter abgeschossen werden.

Vertritt man die oben beschriebene Ansicht, dass die Speicherung der Daten verschlüsselt erfolgt und der Anbieter keine Möglichkeit hat in Kenntnis der Daten zu kommen und sie damit nicht personenbezogen sind, so könnten Lehrkräfte personenbezogene Daten von Schülern auch in Apps verarbeiten, die mit einer Anbieter Cloud gekoppelt sind, für welche der Anbieter keinen Vertrag zur Auftragsverarbeitung anbietet. Das Gesagte ließe sich auch auf die Nutzung eines privaten E-Mail Kontos zur Übermittlung einer verschlüsselten Sicherungsdatei übertragen. Wichtig ist hierbei eines – es geht bei der Entscheidung, ob die Nutzung eines solchen Anbieters zulässig ist oder nicht – nicht um die der einzelnen Lehrkraft, sondern die der Schulleitung. Lehrkräfte, die hier eigenmächtig entscheiden und einen solchen Anbieter nutzen, müssen im Fall der Fälle mit Rechtsfolgen rechnen.

Stand 02/2021

 

Veröffentlicht am

Alte Klassenfotos für Festschrift und Ausstellung nutzen – geht das?

Lesezeit: 4 Minuten

Jubiläen gehören zu den großen Feierlichkeiten von Schulen. Die Schule wird 50 Jahre, 75 Jahre oder 100 Jahre und man möchte zum Anlass des Jubiläums eine Festschrift erstellen und vielleicht sogar eine Ausstellung gestalten. In den Archiven der Schulen schlummern in der Regel zigtausende alte Aufnahmen, Klassenfotos, Fotos aus dem Schulleben und von Festen und Feiern. Zur Gestaltung einer Festschrift, einer Bilderschau oder für eine Ausstellung holt man diese alten Aufnahmen gerne wieder hervor, um mit ihnen die Geschichte der Schule zu illustrieren. In Zeiten einer erhöhten datenschutzrechtlicher Sensibilität stellen sich die Verantwortlichen irgendwann auch die Frage, ob es aus Sicht des Datenschutzes überhaupt zulässig ist, diese alten Aufnahmen für das geplante Vorhaben zu verwenden? Einwilligungen wurden bei der Erstellung der alten Aufnahmen nie eingeholt und die abgebildeten Personen sind, vor allem wenn die Aufnahmen älter sind, niemandem in der Schule bekannt. Das Einholen von Einwilligungen würde, selbst wenn alle Personen und auch ihre Kontaktinformationen bekannt sind, einen nicht zu vertretenen Aufwand darstellen. Was soll man also tun? Muss man auf die alten Aufnahmen verzichten?

Ein Beispiel

Klassenfoto 4. Klasse 1963
Klassenfoto 3. oder 4. Klasse 1963 oder 1964 ??? Volksschule Trostberg, Flickr, Labormicro, CC BY SA 2.0

Die Kinder auf der digitalisierten Aufnahme dürften jetzt um die 65 Jahre alt sein. Ihre Lehrerin ist vermutlich bereits verstorben. Nur eine sehr begrenzte Zahl von Personen wird in Lage sein, eine der abgebildeten Personen zu identifizieren, da dieses voraussetzt, dass man die Personen schon lange kennt.1Moderne Gesichtserkennungstechnologie wie Clearview AI ist in der Lage, auch Kinder zu identifizieren, sofern ihr von dieser Person Aufnahmen als Erwachsene Person vorliegen. Es ist zu erwarten, dass die Möglichkeiten mit einer Weiterentwicklung bestehender Technologien zur Gesichtserkennung zunehmen werden. Ob die technische Möglichkeit, einzelne Personen zu identifizieren, bei der obigen Aufnahme jemals bestehen wird, ist schwierig zu beurteilen. Beim Original auf Flickr könnte es aber möglich sein.

Die Rechtslage

Zumindest drei Rechtsgebiete könnten relevant sein:

  • Datenschutzrecht (DS-GVO)
  • Kunsturheberrecht (KUG), Recht am eigenen Bild
  • Urheberrecht, Urheberrecht des Fotografen

Das Urheberrecht wird man bei Fotos, welche die Schule in ihrem Archiv liegen hat, vermutlich vernachlässigen können, da diese Fotos entweder durch die Schule angefertigt wurden oder im Auftrag für die Schule.2Es gilt generell für Lichtbildwerke folgende Regelung: Lichtbildwerke: Definition und Schutzdauer Lichtbildwerke sind persönliche, geistige Schöpfungen. Sie sind kreativ, individuell und mit erkennbarer gestalterischer Höhe. Für Lichtbildwerke garantiert das Urheberrecht einen lebenslangen Schutz sowie weitere 70 Jahre für die Rechtsnachfolger. Quelle: firma.de, abgerufen 15.02.2020 Im folgenden geht es von daher nur darum, inwieweit sich das Datenschutzrecht sowie das Kunsturheberrecht auf die Fragestellung auswirken.

Unter dem Titel “DSGVO und Fotografie: Was ändert sich für Fotografen?” beschäftigt sich e-recht24 auch mit der Frage der Altbestände. Solange kein Ausnahme von der Einwilligungserfordernis vorliegt, so erklärt man dort, ist eine Einwilligung der Betroffenen erforderlich, denn die DS-GVO ist auch auf “Altbestände” anwendbar. Einmal erteilte Einwilligungen wirken allerdings fort.

Entsprechend macht es Sinn, wenn die Mittelbayrische im Beitrag mit dem Titel “Auch Opas Klassenfoto wird zensiert“, die Bayrische Aufsichtsbehörde mit der Aussage zitiert: “Das Zeigen ist tatsächlich nur zulässig, wenn von jedem einzelnen Abgebildeten eine Erlaubnis vorliegt.” Ohne Einwilligung der Betroffenen ist demnach nicht einmal das Aufhängen alter Klassenfotos im Schulgebäude zulässig. Und weiter heißt es im Beitrag:

Der Datenschutz ist ein Grundrecht. Und jede Erhebung personenbezogener Daten greift in dieses Grundrecht ein – auch Fotos. Schon seit 1949 gilt: Ohne Einverständnis der abgebildeten Person kein Foto. In der Vergangenheit sei das Rechtsbewusstsein in diesem Punkt noch nicht so ausgereift gewesen, sagt der Referatsleiter des BayLfD. Jahrelang seien Fotos angefertigt worden, ohne dass man sich Gedanken dazu gemacht habe. Tatsächlich sei aber jedes Foto ohne unterschriebene Einverständniserklärung rechtswidrig.

Ausnahmen von der Regel

Das Vorliegen einer Einwilligung der Betroffenen gilt allerdings nicht uneingeschränkt. Es gibt eine Reihe von Ausnahmen, bei welchen die Vorgaben der DS-GVO und des KUG nicht greifen.

Ausnahme: Beiwerk

Wenn die abgebildeten Personen nur Beiwerk sind, dann ist eine Nutzung ohne Einwilligung möglich. Ein Beispiel dafür wäre der Blick auf das gesamte Schulgebäude und den Schulhof davor und es ist eindeutig zu erkennen, dass es nicht um die zufällig mit abgebildeten Kinder, sondern das Schulgebäude oder Schulgelände geht.

Ausnahmen: Versammlung, Aufzug

Wenn es sich um Fotografien handelt, die auf öffentlichen Veranstaltungen entstanden, etwa Schulfesten, oder bei Beteiligung an öffentlichen Umzügen, dann sollte man diese auch ohne Einwilligung der abgebildeten Personen für die geplanten Zwecke nutzen können. Bei Fotografien von öffentlichen schulischen Veranstaltungen sollte allerdings bedacht werden, dass die Teilnahme für Kinder und Lehrkräfte verpflichtend war. Die Ausnahme gilt also nur für Besucher, denn diese haben die Veranstaltung freiwillig besucht und mussten damit rechnen, dass dort Fotografien angefertigt werden, auch für eine öffentliche Berichterstattung.

Ausnahme: Verstorbene

Eine weitere Ausnahme besteht, wenn die abgebildeten Personen bereits verstorben sind, denn die DS-GVO gilt nicht für die personenbezogenen Daten Verstorbener.3Mit Bezug auf die DS-GVO heißt es in Erwägungsgrund 27: “Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener.” Das könnte beispielsweise der Fall bei einem sehr alten Kollegiumsfoto sein. Zu beachten ist allerdings das KUG. Denn dieses gilt für Aufnahmen, die zu Lebzeiten der abgebildeten Person entstanden, 10 Jahre über den Tod hinaus. Sind die abgebildeten Personen bereits länger als zehn Jahre verstorben, kann das Foto dann aber tatsächlich ohne Einwilligung genutzt werden. Gleiches gilt für Fotografien von einzelnen Personen, etwa einer Schulleitung. Bei Fotografien, auf welchen Schüler abgebildet sind, wird man bei der heutigen Lebenserwartung vermutlich davon ausgehen müssen, dass diese etwa 100 – 110 Jahre alt sein müssen (Alter Ende 4. Klasse von 10 Jahren, plus 90 Lebensjahre, plus 10 Jahre gem. § 22 Satz 3 Kunsturhebergesetz (KUG)410 Jahre nach dem Tod des Abgebildeten endet das Recht am eigenen Bild. “Aber auch nach Ablauf von 10 Jahren nach dem Tod kann die Nutzung eines Fotos, auf dem ein Verstorbener abgebildet ist, unzulässig sein. Dies ist z.B. der Fall, wenn die konkrete Art der Fotonutzung das postmortale Persönlichkeitsrecht des Verstorbenen grob beeinträchtigt” Quelle, abgerufen am 15.02.2020 ), um keine Rechte lebender Personen mehr zu verletzen. 

Ausnahme: Personen nicht eindeutig erkennbar

Wenn die abgebildeten Personen nicht eindeutig identifiziert werden können, sind weder DS-GVO noch KUG anwendbar.

Was heißt das jetzt?

Möchte eine Schule alte Fotografien aus ihrem Archiv veröffentlichen, sind die oben genannten Voraussetzungen zu erfüllen. Wenn die abgebildeten Personen erkennbar und kein Beiwerk sind, es sich nicht um eine Versammlung oder einen Aufzug handelt oder der Todeszeitpunkt der Personen weniger als 10 Jahre zurückliegt, braucht es eine Einwilligung der Betroffenen. Einwilligungen von vor dem 25.05.2018 müssen den bis dahin geltenden datenschutzrechtlichen Vorgaben genügen, um weiterhin rechtswirksam zu sein. Es ist dabei unerheblich, ob die Fotografien für eine Festschrift genutzt, in einer Bilderschau vorgeführt, auf einer Website veröffentlicht oder in einer öffentlichen Ausstellung gezeigt werden sollen.

Solange für die Aufnahmen keine Veröffentlichung im Internet beabsichtigt ist, sollte man Aufnahmen wie die obige allerdings nutzen können, wenn sie in einer Form veröffentlicht werden, welche das Identifizieren einzelner Personen extrem erschwert oder gar unmöglich macht. Druckt man das Foto oben mit 10 cm Seitenlänge der längsten Seite ab, ist es so undeutlich, dass wenn überhaupt eigentlich nur die abgebildeten Personen selbst, Familienangehörige oder Personen, die im Besitz einer Originalaufnahme sind, in der Lage sein werden, Gesichter Personen zuordnen. Würde man bei diesem Foto die Auflösung oder die Schärfe reduzieren, wäre auch das nur noch möglich, wenn man ein Original daneben legte.

Man braucht also nicht unbedingt auf alte Aufnahmen verzichten, wenn man eine  Verwendung für eine Festschrift, Bilderschau oder Ausstellung im Rahmen eines Jubiläums der Schule plant – auch wenn das Einholen einer Einwilligung für einen Teil der Aufnahmen nicht möglich ist.

 

Stolz präsentiert von WordPress