Blog – Seite 4 – datenschutz-schule.info

Mai 9, 2020Januar 20, 2021

Microsoft Teams – Einwilligung

Lesezeit: < 1 Minute

Auf Nachfrage gibt es jetzt auch eine Vorlage für Informationen zur Datenverarbeitung gem. Art. 13 DS-GVO und eine Einwilligung in die Datenverarbeitung zur Nutzung von Microsoft Teams. Die Vorlage ist ausgerichtet auf Schulen, die kein Office 365/ Microsoft 365 nutzen, und berücksichtigt deshalb auch die Erstellung eines Nutzerkontos. Für Schulen, die bereits Office 365/ Microsoft 365 nutzen, kann die Vorlage auch auf die Nutzung der Kommunikationstools, Sprachnachricht, Audi- Videokonferenz und Chat reduziert werden.

Schulen, die Teams mit ihren Schülern ohne ein eigenes Nutzerkonto nutzen möchten, brauchen eine andere Einwilligung, da hierbei deutlich weniger personenbezogene und -beziehbare Daten verarbeitet werden.

Einwilligung – EU-DSGVO konform – MS Teams – Schüler – ohne – Konto.docx

Bitte denken Sie daran, auch eine Nutzungsvereinbarung zu Teams zu erstellen, denn nur wenn Regeln vereinbart werden, kann man erwarten, dass Nutzer sich daran halten. Eine Vorlage speziell für Teams findet sich bei der Stadt Nürnberg. Die Nutzungsvereinbarung ist ein essentieller Bestandteil der organisatorischen Maßnahmen zum Schutz und zur Sicherheit der personenbezogenen Daten der Nutzer und ergänzt die technischen Maßnahmen. Zu diesen gehören neben einem Rechte- und Rollenkonzept auch sichere Voreinstellungen in MS Teams.

Bitte beachten Sie, dass durch das EU-GH Urteil vom 16.07.2020, der EU-US Privacy Shield für ungültig erklärt wurde. Transfers von personenbezogenen Daten in die USA, wie sie auch bei einer Nutzung von MS Teams möglich sind, können damit nicht mehr auf der Grundlage des EU-US Privacy Shield erfolgen.¹ Die Informationen zur Datenverarbeitung, die zur Einwilligung gehören, berücksichtigen dieses in der aktualisierten Version. Bitte lesen Sie sich die Informationen in den Vorlagen genau durch.
Ob die Aufsichtsbehörden dieses Vorgehen so als einen gangbaren Weg akzeptieren, bleibt vorerst abzuwarten.

Stand 09/2020

Mai 6, 2020Mai 8, 2020

Einwilligung – Vorlagen für BigBlueButton

Lesezeit: < 1 Minute

Wenn eine Schule eine Videokonferenz Plattform betreibt oder mit einem Vertrag zur Auftragsverarbeitung durch einen Dienstleister betreiben lässt, fallen bei der Nutzung personenbezogenen Daten der Videokonferenzteilnehmer an. Dieses ist nur mit einer Information über die Datenverarbeitung nach Art. 12 DS-GVO möglich und einer Einwilligung, die gegenüber der Schulleitung abgegeben wird.

Diese Vorlage ist für Schüler gedacht, die ohne ein eigenes Nutzerkonto an Videokonferenzen der Schule teilnehmen.

Diese Vorlage ist für Lehrkräfte gedacht, die gegebenenfalls auch ein Nutzerkonto erhalten, um Videokonferenzen leiten zu können.

Beide Vorlagen lassen sich leicht auch auf andere Plattformen anpassen. Dabei muss nur darauf geachtet werden, dass bei den Informationen zur Datenverarbeitung alle funktionsbedingten Datenverarbeitungen mit berücksichtigt werden. Beispiel: die Plattform erlaubt Umfragen und diese werden genutzt.

Sollen Videokonferenzen mit Eltern durchgeführt werden, empfiehlt es sich, aus der Vorlage für Schüler eine entsprechende Version zu erstellen.

Bitte achten Sie auch darauf, die Nutzung Ihrer Videokonferenz Plattform durch mit den Teilnehmern und Gastgebern vereinbarte Nutzungsregeln abzusichern.

Wichtig! Die Vorlagen gehen davon aus,

dass die von der Schule genutzte BigBlueButton Instanz so konfiguriert betrieben wird, dass nur die personenbezogenen Daten verarbeitet werden, die zum Betrieb tatsächlich erforderlich sind, und
die Nutzung per Voreinstellungen auf größtmögliche Sicherheit ausgelegt ist.¹

Weitere Informationen zu BigBlueButton und Videokonferenzen in Schule

April 21, 2020Oktober 29, 2020

Notbetreuung in Corona Zeiten

Lesezeit: 2 Minuten

Die Corona Pandemie hat es erforderlich gemacht, dass Schulen für die Kinder von Personen, die in kritischen Berufen tätig sind, eine Notbetreuung anbieten. Eltern können für die Anmeldung ein vom Ministerium für Schule und Bildung vorgegebenes Formular¹ ausfüllen, um der Schule gegenüber den Nachweis eines Anrechts auf Notbetreuung des Kindes zu erbringen. Schulen müssen die dafür erforderlichen Daten erheben und die Anzahl der Schüler an die Schulaufsichtsbehörden übermitteln.

Die Rechtsgrundlagen

Wie jede Datenerhebung und -verarbeitung ist es auch hier erforderlich, die Betroffenen entsprechend Art. 13 DS-GVO zu informieren und im Verzeichnis der Verarbeitungstätigkeiten eine Beschreibung der Verarbeitungstätigkeit anzulegen. Die rechtliche Grundlage für die Erhebung und Verarbeitung der Daten aus dem Formular liefert Abs. 1 Satz 1 § 120 Schulgesetz NRW.

Schulen und Schulaufsichtsbehörden dürfen personenbezogene Daten der Schülerinnen und Schüler, der in § 36 genannten Kinder sowie der Eltern verarbeiten, soweit dies zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben erforderlich ist.

Die erforderliche Übermittlung regelt Abs. 5 Satz 2 § 120 Schulgesetz NRW

Die Übermittlung an andere öffentliche Stellen ist zulässig, wenn sie zur Erfüllung einer gesetzlichen Auskunfts- oder Meldepflicht erforderlich ist, ein Gesetz sie erlaubt oder die oder der Betroffene im Einzelfall eingewilligt hat.

Die “durch eine Rechtsvorschrift übertragene Aufgabe” ergibt sich aus der Corona-Betreuungsverordnung des Ministeriums für Arbeit, Gesundheit und Soziales vom 16.04.2020. Dort heißt es zunächst, dass “alle öffentlichen Schulen, Ersatzschulen und Ergänzungsschulen im Sinne des Schulgesetzes für das Land Nordrhein-Westfalen” geschlossen sind. Es werden in §1 Abs. 2 CoronaBetrVO Ausnahmen definiert.

(2) Ausgenommen von Absatz 1 sind […] 2. die Betreuung von Schülerinnen und Schülern, in der Regel der Jahrgangsstufen 1 bis 6, mit besonderem Betreuungsbedarf im Sinne von § 3 Absatz 1 in einer Vor-Ort-Betreuung (Notbetreuung) in den Schulräumlichkeiten. Das Nähere regelt das Ministerium für Schule und Bildung durch Erlass (insbesondere mittels sog. SchulMails);

Darüber hinaus weist das Ministerium für Arbeit, Gesundheit und Soziales den Schulen in der Leitlinie zur Bestimmung des Personals kritischer Infrastrukturen mit Stand vom 15. März 2020 die Aufgabe zu, die Entscheidung zu treffen, ob ein Kind, “dessen Eltern zu dem Kreis der im Bereich kritischer Infrastrukturen beruflich Tätigen gehört,” zur Betreuung an der Schule aufgenommen wird. Dazu ist das ausgefüllte Formular erforderlich.

II. Regelungen
1. Die Entscheidung, ein Kind zur Betreuung in der Schule oder Kindertageseinrichtung aufzunehmen, dessen Eltern zu dem Kreis der im Bereich kritischer Infrastrukturen beruflich Tätigen gehört, treffen die Leitungen der jeweiligen Schule bzw. Kindertageseinrichtungen. Es gelten die bestehenden rechtlichen Zuständigkeiten.
2. Grundlage der Entscheidung sind: (a) der Nachweis oder die Zusicherung, dass beide Elternteile (soweit nicht alleinerziehend) nicht in der Lage sind, die Betreuung zu übernehmen, weil sie in einer kritischen Infrastruktur tätig sind, und (b) das Vorliegen (oder die Zusicherung der Vorlage) einer schriftlichen Zusicherung der jeweiligen Arbeitgeber beider Elternteile (soweit vorhanden), dass deren Präsenz am Arbeitsplatz für das Funktionieren der jeweiligen kritischen Infrastruktur notwendig ist.²

Die Rechtsgrundlage für die Übermittlung der Anzahl der zur Notbetreuung angemeldeten Schüler ergibt sich aus Schulmail Nr. 6 vom 17.03.2020.

“Bitte melden Sie der Schulaufsichtsbehörde noch am 18.03.2020, wie viele Schülerinnen und Schüler Sie am Mittwoch in die Notbetreuung aufgenommen haben.”

Vorlagen

Tipp

Stellen Sie die Informationen zur Datenverarbeitung bezüglich der Notbetreuung, angepasst an Ihre Schule, auf Ihrer Schulhomepage bereit, vielleicht kurzfristig über einen Link und einen Hinweis auf der Startseite und sonst verlinkt als PDF Download dort, wo die anderen Informationen zur Datenverarbeitung entsprechend Art. 13 DS-GVO bereitgestellt werden. Die Beschreibung der Verarbeitungstätigkeit Notbetreuung nehmen Sie in Ihr Verzeichnis der Verarbeitungstätigkeiten auf. Alternativ übertragen Sie die Informationen in das Referenzverzeichnis von Verarbeitungstätigkeiten der Medienberatung NRW, falls Sie dieses nutzen.

April 9, 2020Mai 6, 2021

Padlet mit Einwilligung nutzen

Lesezeit: 2 Minuten

Padlet ist sehr beliebt bei Lehrkräften, da es einfach zu nutzen ist, für Schüler wie Lehrkräfte. Meist werden von Lehrkräften kostenlose Konten mit einer beschränkten Anzahl von Padlets erstellt. Mitunter ist Lehrkräften Padlet so nützlich, dass sie dafür sogar zahlen.

Es gibt mittlerweile eine sehr attraktive Alternative zu Padlet. Sie nennt sich Taskcards, kommt aus Deutschland und ist darauf ausgelegt, alle datenschutzrechtlichen Vorgaben einzuhalten. Vieles von dem, was man mit Padlet machen kann, funktioniert auch bei Taskcards. Die Plattform entwickelt sich schnell. Es gibt einen Vertrag zur Auftragsverarbeitung. Ein Beispiel für die Seite einer Grundschule und wie Taskcards wie Padlet für den Distanzunterricht eingesetzt werden kann Klasse 1b – Frau Kemter

Ohne eigenes Nutzerkonto der Schüler

Eine Nutzung von Padlet ist ohne eigenes Konto für Schüler möglich. Der Zugriff auf ein Padlet erfolgt dann auf Einladung durch die Lehrkraft über einen Link. Je nach Art der Nutzung fallen dabei fast gar keine bis einige personenbezogene Daten an. Erfolgt die Nutzung auf schulischen Endgeräten, ohne eine Anmeldung der Schüler an anderen externen Diensten und am Standort Schule, bleibt die Nutzung anonym, solange keine Inhalte mit personenbezogenen Daten in das Padlet eingestellt werden. Anders ist das bei der häuslichen Nutzung an einem privaten Endgerät oder im Fall von BYOD in der Schule. Über das Gerät, das System, den Browser und eventuelle Logins an anderen Plattformen sind Schüler für Padlet und dort eingesetzte Technologien von Dritten durch dort vorhandene Daten oder Zusammenführung mit Daten aus anderen Quellen potentiell identifizierbar.¹

Vertiefende Informationen zur Datenverarbeitung durch Padlet finden sich unter Datenschutz Check – Padlet – digitale Pinnwand. Dort geht es auch um den Vertrag zur Auftragsverarbeitung, den Schulen mit dem Anbieter abschließen können, wenn sie ein Schulkonto einrichten.

Padlet mit Vertrag zur Auftragsverarbeitung

Padlet bietet auch die Möglichkeit, einen Vertrag zur Auftragsverarbeitung abzuschließen. Dieser ist erhältlich, wenn Schulen eine Backpack Schul- oder Lehrerlizenz erwerben. Der Vertrag zur Auftragsverarbeitung nennt sich bei Padlet Data Processing Addendum. Im Datenschutz-Check zu Padlet ist er genauer beschrieben und kann dort auch eingesehen werden.

Information und Einwilligung

Wie bei jeder Einwilligung sollten die Betroffenen, Eltern und Schüler, in die Lage versetzt werden, eine informierte Entscheidung zu treffen. Dafür sollten auch Informationen zur Datenverarbeitung bei Padlet gegeben werden. Ziel dieser Vorlage ist es, die Informationen möglichst leicht verständlich zu geben.

Einwilligung Schüler – Padlet.docx

Hinweis 1
Lehrkräfte sollten vor einer Nutzung von Padlet wie auch anderen Online Tools, welche eine aktive Beteiligung von Schülern einschließt, die Genehmigung der Schulleitung einholen oder sie zumindest informieren. Wird Padlet nur als Website genutzt, um Schülern Inhalte bereitzustellen – und es geht nicht um eine aktive Arbeit der Schüler im Padlet – braucht es weder einer Einwilligung der Betroffenen noch eine Genehmigung/ Informierung der Schulleitung. Ein Padlet ist dann nichts anders als jede andere Website.

Hinweis 2
Bitte beachten Sie, dass durch das EU-GH Urteil vom 16.07.2020, der EU-US Privacy Shield für ungültig erklärt wurde. Transfers von personenbezogenen Daten in die USA, wie sie auch bei einer Nutzung von Padlet möglich sind, können damit nicht mehr auf der Grundlage des EU-US Privacy Shield erfolgen. Eltern sollten entsprechend informiert werden. Bei einer Nutzung von Padlet ohne personenbezogene oder -beziehbare Daten von Schülerinnen und Schülern, wie oben beschrieben, hat der Wegfall es EU-US Privacy Shield keine nachteiligen Auswirkungen.

Stand 05/2021

März 19, 2020April 3, 2020

Eltern in NRW sind verpflichtet Schulen E-Mail Adresse zu geben

Lesezeit: < 1 Minute

Normalerweise beruht die Angabe einer privaten E-Mail Adresse von Eltern in NRW auf Freiwilligkeit. Viele Eltern geben zumindest eine E-Mail Adresse bei der Anmeldung des Kindes an der Schule an, aber nicht alle. Das Schulministerium NRW hat eine Corona Virus FAQ veröffentlicht und sich dort zum Thema Angabe einer E-Mail Adresse geäußert.¹

“Unter Rückgriff auf die allgemeine Regelung des § 3 Abs. 1 DSG NRW ist es zur Erfüllung des Bildungsauftrags der Schulen datenschutzrechtlich zulässig, in Fällen der längeren Schulschließungen wegen der Corona-Pandemie von den Schülerinnen und Schüler bzw. Eltern die Angabe der privaten E-Mail-Adresse zu fordern und ihnen die Materialien zuzusenden.”

Entsprechend § 3 Abs. 1 DSG NRW kann die Schule nun geltend machen, dass sie die E-Mail Adresse der Eltern einfordert, “wenn sie für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe der verarbeitenden Stellen erforderlich ist oder wenn sie in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.”

Hinweis: Die Verarbeitung der auf dieser Rechtsgrundlage bei den Eltern erhobenen E-Mail-Adressen erfolgt zweckgebunden, um „ihnen die Materialien zuzusenden“. Sobald durch die Aufhebung der Corona Virus bedingten Schulschließungen dieser Verarbeitungszweck entfällt, ist für Schulen eine weitere Nutzung und Speicherung dieser E-Mail Adressen nicht länger zulässig. ²

März 19, 2020

Einwilligung ohne Papier in Zeiten von Corona

Lesezeit: < 1 Minute

In Zeiten des Corona Virus sind die Schulen geschlossen und trotzdem muss der Unterrichtsbetrieb irgendwie weiterlaufen. Auch die Kommunikation mit Schülern und Erziehungsberechtigten muss möglichst reibungslos und unaufwändig weiterhin möglich sein. Schulen setzen von daher vermehrt auf Online-Plattformen und Apps. Da diese in der Vergangenheit jedoch entweder noch nicht genutzt wurden oder nur von einem Teil der Schülerinnen, Schüler, Lehrkräfte und eventuell auch Eltern, ist es oftmals erforderlich, eine Einwilligung der Betroffenen einzuholen. Wollte man dieses in Papierform erledigen, wäre solches mit sehr viel Aufwand verbunden. Außerdem müsste damit gerechnet werden, dass die Rücklaufquote nicht 100 % ist und je nach Situation sogar extrem gering ausfallen könnte, etwa weil Person das Haus nicht verlassen können.

Was viele nicht bekannt ist, Einwilligungen können durch aus auch elektronisch von den Betroffenen eingeholt werden. Auf welcher Rechtsgrundlage dieses für Schulen in Nordrhein-Westfalen möglich ist wie man elektronische Einwilligungen umsetzen kann, wird in dem Beitrag Einwilligung einholen ohne Papier ausführlich erklärt.

März 11, 2020Oktober 31, 2020

Wenn Eltern personenbezogene Daten per E-Mail an die Schule senden …

Lesezeit: 3 Minuten

Es kommt immer wieder einmal vor, dass Eltern personenbezogene Daten via E-Mail an Lehrkräfte oder die Schule übermitteln. Mal ist es das eingescannte oder abfotografierte ärztliche Attest, mit welchem das Kind entschuldigt werden soll oder es ist eine Krankmeldung mit ausführlicher Darstellung des Befundes. Mitunter übermitteln Eltern auch Unterlagen, welche bei der Anmeldung an einer Schule vorzulegen sind, vom letzten Grundschulzeugnis bis zur Geburtsurkunde.

Auch aus diesem Grund wird von Lehrkräften immer mal wieder die Frage gestellt, ob sie dann den Eltern auf gleichem Wege antworten dürfen und dabei auch personenbezogene Daten übermitteln können?

Die E-Mail-Adresse, welche von Erziehungsberechtigten bei der Anmeldung an der Schule angegeben wird, kann selbst verständlich genutzt werden, um allgemeine Informationen an die Eltern zu übermitteln. Das können der schulische Newsletter sein, das Elternrundschreiben, die Informationen zur nächsten Klassenfahrt und ähnlich.

Schreiben Eltern, die gerade dabei sind, ihre Kinder an der Schule anzumelden, der Schule per E-Mail, so kann die Schule auf gleichem Wege antworten. Eltern müssen damit rechnen, dass ein E-Mail Empfänger, hier die Schule, die Absenderadresse nutzt, um seine Antwort an diese zu richten. Allerdings sollte sich die Schule davor hüten, auf diesem Wege personenbezogene Daten an die Eltern zu übermitteln. Wenn die Schule per E-Mail Unterlagen erhält, kann sie den Empfang dieser auf gleichem Wege bestätigen und sollte die Eltern dabei darauf hinweisen, dass dieser Weg der Übermittlung unsicher ist und man davon abrät, personenbezogene Daten des Kindes, vor allem sensible personenbezogene Daten, auf diesem Wege an die Schule zu übermitteln. Abhalten kann man die Eltern letztlich nicht von ihrem Handeln. Sie tun es in eigener Verantwortung und auf eigenes Risiko.

Die Schule auf ihrer Seite kann dieses nicht tun. Wenn sie als verantwortliche Stelle personenbezogene Daten verarbeitet, muss die Sicherheit der Verarbeitung gewährleistet sein. Das schließt auch die Übermittlung von personenbezogenen Daten ein. Selbst mit Einwilligung der Eltern sollte von einer ungeschützten Übermittlung von sensiblen personenbezogenen Daten per E-Mail abgesehen werden.¹

Welche Möglichkeiten haben Schulen, Eltern personenbezogene Daten zu übermitteln?

Es bleiben immer die klassischen Möglichkeiten, Eltern wichtige personenbezogene Daten per Post oder telefonisch zu übermitteln. Je nach Situation sind diese beiden Möglichkeiten aber nicht passend, etwa da Briefe zu lange brauchen, bis sie beim Empfänger ankommen, oder da einige Eltern telefonisch schwer erreichbar sind. Alternativ können Schulen auch sichere Messenger nutzen oder spezialisierte Apps für Schulen mit Funktionen zur Übermittlung von Nachrichten. WhatsApp, das auch bei Eltern weit verbreitet ist, bietet zwar eine sichere Ende-zu-Ende Verschlüsselung, kann aber von Schulen nicht für die Übermittlung von Nachrichten mit personenbezogenen Daten an Eltern genutzt werden, da die datenschutzrechtlichen Voraussetzungen insgesamt nicht gegeben sind. NRW gesteht Lehrkräften momentan die Möglichkeit zu, Eltern Nachrichten, auch mit personenbezogenen Daten, über WhatsApp zu übermitteln, wenn dieses im gegenseitigen Einvernehmen erfolgt. ²

Es gibt allerdings gute Alternativen zu WhatsApp und E-Mail. Am Markt haben sich mittlerweile gut ein Dutzend Anbieter etabliert, welche spezielle Kommunikationsplattformen für Schulen entwickelt haben. Viele dieser Plattformen bieten außer Kommunikation weitere für Schulen nützliche Funktionen. Darüber hinaus gibt es neben WhatsApp auch einige reine Messenger, die datenschutzkonform nutzbar sind für Schulen. Ein Überblick über Messenger und Plattformen für Schulen mit Kommunikationsfunktionen, die für eine offizielle Nutzung durch Schule in Frage kommen, finden sich unter Schulische Plattformen (Kommunikation).

März 2, 2020März 6, 2020

Brauchen Schülerfotos mit unkenntlich gemachtem Gesicht eine Einwilligung?

Lesezeit: 3 Minuten

Die Frage, ob man bei Fotos auf denen Personen abgebildet sind, um die lästige Einwilligung umhin kommen kann, wenn man die Gesichter der abgebildeten Personen unkenntlich macht, stellen sich Lehrkräfte in Schule immer wieder. Manchmal sind es bloggende Lehrkräfte aus dem Twitterlehrerzimmer, die einen Einblick in ihre Unterrichtsprojekte mit digitalen Medien geben möchten, oder es geht Lehrkräfte, die mit ihren Schülern Projekte aus dem Unterricht im Klassen-Blog vorstellen möchten. Auch bei der Erstellung von Präsentationen für den Informationsabend für Eltern neuer Schüler stellt sich die Frage immer wieder, wenn man im Archiv nach brauchbaren Aufnahmen sucht, welche den Unterricht und dasSchulleben anschaulich illustrieren.

Gemein ist allen Beispielen, dass es um Personenaufnahmen geht und deren Veröffentlichung setzt in den meisten Fällen eine Einwilligung der Betroffenen voraus¹. Während es im ersten und zweiten Beispiel um aktuelle Aufnahmen geht, sind im dritten Beispiel oft auch ältere Aufnahmen betroffen, Fotos, auf denen Schüler abgebildet sind, die nicht einmal mehr auf der Schule sind. Eine Einwilligung für die geplanten Veröffentlichungszwecke liegt dort meist nicht vor und kann auch nicht mehr eingeholt werden. Die bloggenden Lehrkräfte bzw. Lehrkräfte, die mit ihren Schülern im Unterricht einen Internetauftritt gestalten, hätten zwar die Möglichkeit, Einwilligungen einzuholen, versuchen aber, um die lästige Formalie herumzukommen.

Bild von Toller Unterricht verlinkt. Im unteren Bild sind die abgebildeten Schüler vermutlich eher nicht zu identifizieren. Eine Einwilligung dürfte dort nicht erforderlich sein. Beim oberen Bild könnte von den beiden Schülern vorne, zumindest der rechts sitzende Schüler anhand der Kleidung erkennbar sein, auch über die Klassen- oder Kursgruppe hinaus.

Immer wieder wird deshalb die Frage an Datenschutzbeauftragte gerichtet, ob es reicht, die Gesichter mit einem Smiley ? zu überdecken oder sonst unkenntlich zu machen, um die Fotos dann ohne vorliegende Einwilligung für Zwecke wie die oben beschriebenen nutzen zu können?

Auch mit unkenntlich gemachten Gesichtern fallen Personenabbildungen weiterhin unter die DS-GVO und KUG, solange die abgebildeten Personen erkennbar bleiben, wie der Tweet von Jörn Erbguth beschreibt.

Bei Bildern, auf denen Gesichter durch Smileys überdeckt oder anders unkenntlich gemacht sind, fällt zwar das Gesicht als identifizierendes Merkmal weg, doch es verbleiben oftmals viele weitere Merkmale, wie die Kleidung, Statur und Körpergröße. An diesen können zumindest Personen, welche die Schüler kennen, diese meist problemlos identifizieren.²

Auch wenn alle Gesichter auf einer Aufnahme unkenntlich gemacht wurden, bedeutet dieses nicht automatisch, dass solche Fotos von Schülerinnen und Schülern ohne Einwilligung der Betroffenen veröffentlicht werden können. Dabei ist es unerheblich, ob es sich um eine Nutzung der Aufnahmen auf einer Website handelt oder um eine Nutzung für eine Präsentation, welche interessierten Eltern bei der Vorstellung der Schule am Informationsabend gezeigt wird.

Da die Identifizierung der Schüler durch das Unkenntlichmachen jedoch nur für einen kleinen Personenkreis aus dem unmittelbaren Umfeld der Schüler möglich ist, sollte für Eltern kaum etwas dagegen sprechen, Lehrkräften bzw. der Schule der Kinder eine Einwilligung zur Nutzung derart bearbeiteter Aufnahmen für die in den Beispielen beschriebenen Zwecke zu erteilen. Dass die Aufnahmen entsprechend bearbeitet werden, um die Identität der Kinder zu schützen, sollte in der Einwilligung deshalb ausdrücklich erwähnt werden.³ Eine Ausnahme bilden nur solche Aufnahmen, bei denen über das unkenntlich gemachte Gesicht hinaus keine weiteren Merkmale erkennbar sind, die es zulassen würden, die abgebildete Person zu identifizieren.

Auch bei Aufnahmen, bei welchen Schülerinnen und Schüler so fotografiert werden, dass sie nicht direkt in die Kamera schauen, muss darauf geachtet werden, ob sie trotzdem noch einfach zu erkennen sind, zumindest für die Personen in ihrem Umfeld. Ist das der Fall, sollte über eine Einwilligung nachgedacht werden.

Wie gut Algorithmen zur Gesichtserkennung mittlerweile sind, zeigt der Beitrag Gesichtserkennung und Identifikation trotz Atemmaske möglich von Datenschutz-Notizen.de und die Entwicklung geht hier in großen Schritten weiter.

Februar 23, 2020Februar 28, 2020

Brexit und die Folgen für Schule aus Datenschutzsicht

Lesezeit: 2 Minuten

Großbritannien hat zum 01.02.2020 die EU verlassen. Bis zum 31.12.2020 gilt eine Übergangsfrist, während der die Vereinbarungen und Abkommen der EU weiterhin Bestand haben. Damit hat auch die DS-GVO noch bis Ende diesen Jahres Bestand auf der britischen Insel. Schulen können in dieser Zeit problemlos Apps¹ und Online-Plattformen britischer Anbieter mit Schülerinnen und Schülern nutzen, wenn deren Einsatz auch bisher den Anforderungen aus Schul- und Datenschutzrecht entsprach.

Sofern britische Anbieter ihre Verarbeitung personenbezogener Daten in diesem Zeitraum jedoch nicht für die Zeit nach Ende der Übergangsfrist umstellen, wird eine Nutzung für Schulen in der EU nicht länger möglich sein. Warum ist das so?

Nach dem Ende der Übergangsfrist gilt in Großbritannien nicht mehr die DS-GVO. Großbritannien gilt dann als ein sogenanntes unsicheres Drittland. Eine Übermittlung bzw. Verarbeitung von personenbezogenen Daten in einem Drittland ist nur möglich, wenn es

entweder ein Abkommen zwischen der EU und Großbritannien gibt oder
für Großbritannien ein Angemessenheitsbeschluss besteht oder
die EU Standardvertragsklauseln angewendet werden können oder
man eine Art EU UK Privacy Shield aushandelt, nach welchem Anbieter sich selbst zertifizieren können.

Die Möglichkeit, mit Erlaubnis der Aufsichtsbehörde einen Vertrag mit dem Anbieter abzuschließen, welche die Sicherheit und den Schutz der personenbezogenen Daten garantiert, besteht für Unternehmen und kommt für Schulen wohl eher nicht in Betracht.

Die britische Regierung hat bereits angekündigt, dass man von den Regelungen der DS-GVO abweichen und stattdessen eigenes Datenschutzrecht schaffen will. Das wird es deutlich erschweren, eine zeitnahe Lösung für eine Rechtsgrundlage auszuhandeln, auf welcher personenbezogene Daten aus der EU in Großbritannien verarbeitet werden können.

Das bedeutet

für britische Anbieter von Apps und Online-Plattformen im Bildungsbereich, dass sie andere Lösungen finden müssen, um Schulen in der EU auch nach dem Ende der Übergangsfrist eine datenschutzkonforme Nutzen zu ermöglichen. In der Praxis lässt sich dieses am leichtesten umsetzen, wenn die Verarbeitung und Speicherung der personenbezogenen Daten von Schülerinnen und Schülern aus der EU in ein EU-Land verlegt wird.²

für Schulen hängt die Bedeutung des Endes der Übergangsfrist davon ab, ob der Anbieter eine Lösung gefunden hat, die es ihnen erlaubt, sein Produkt weiterhin datenschutzkonform zu nutzen oder nicht.

Schafft es der Anbieter nicht, Schulen nach Ende der Übergangsfrist eine datenschutzkonforme Lösung anzubieten, sind Schulen gezwungen, die Nutzung des Apps bzw. der Plattform mit dem Ende der Übergangsfrist einzustellen. Sämtliche Nutzerkonten sind bis dahin zu löschen. Erstellte digitale Medien sollten, sofern sie personenbezogene oder -beziehbare Daten enthalten, heruntergeladen oder in eine andere Plattform übertragen werden, bevor sie ebenfalls zu löschen sind.
Kann der Anbieter eine neue, datenschutzkonforme Lösung anbieten, sind gegebenenfalls bestehende Verträge zur Auftragsverarbeitung zu überprüfen und an die neuen Bedingungen anzupassen.

Nachtrag 28.02.2020

In einem im Februar veröffentlichten Strategiepapier der britischen Regierung “The Future Relationship with the EU – The UK’s Approach to Negotiations” strebt man einen Angemessenheitsbeschluss an³. Ob und wann es dazu kommt, ist aktuell nicht abzusehen.

Februar 20, 2020April 23, 2020

Darf Schule die Adressen ehemaliger Schüler herausgeben?

Lesezeit: 2 Minuten

Vor allem weiterführende Schulen finden sich immer einmal wieder in der Situation, dass ehemalige Schüler anfragen, ob man ihnen Listen mit Namen und Kontaktdaten ehemaliger Mitschüler und Lehrkräfte aushändigen könne, damit man diese zu einem Klassen- oder Ehemaligentreffen einladen kann. Darf die Schule diese Informationen herausgeben und wenn ja unter welchen Bedingungen?

Das Schulgesetz NRW

Ein schneller Blick in §120 Abs. 5 Satz 3 SchulG NRW erbringt folgende Ergebnis:

“Die Übermittlung von Daten der Schülerinnen und Schüler und der Eltern an Personen oder Stellen außerhalb des öffentlichen Bereichs ist nur zulässig, wenn ein rechtlicher Anspruch auf die Bekanntgabe der Daten besteht und schutzwürdige Belange der oder des Betroffenen nicht beeinträchtigt werden oder wenn die oder der Betroffene im Einzelfall eingewilligt hat.”

Anfragende ehemalige Schülerinnen und Schüler oder auch Lehrkräfte handeln im beschriebenen Fall als Privatpersonen. Sie gelten damit als Personen außerhalb des öffentlichen Bereichs und fallen unter die Regelung aus Satz 3. Aus der Absicht, ein Ehemaligentreffen zu veranstalten, lässt sich kein rechtlicher Anspruch ableiten. Die Wahrscheinlichkeit, dass man an der Schule in der Vergangenheit Einwilligungen bei den ehemaligen Schülern wie Lehrkräften eingeholt hat, ihre Kontaktdaten zum Zweck der Organisation von Ehemaligentreffen an ehemalige Schüler herauszugeben, dürfte äußerst gering sein.

Für den Fall, dass keine entsprechende Einwilligung vorliegt, darf Schule die personenbezogenen Daten der ehemaligen Schüler und Lehrkräfte nicht herausgeben.

Alternativen

Gibt es trotzdem Möglichkeiten ehemalige Mitschüler und Lehrkräfte zur Organisation eines Ehemaligentreffens zu kontaktieren? Der Kommentar zum Schulgesetz NRW¹ stellt das Adressmittlungsverfahren als eine Alternative vor, wie die Schule das Anliegen der ehemaligen Schüler unterstützen kann. Die Organisatoren des Ehemaligentreffens übergeben der Schule die Anschreiben mit Bitte um Mitteilung der Kontaktdaten an das Organisatorenteam, gedruckt oder als Vorlage für die Textverarbeitung, und die Schule versieht diese mit den Adressen der Ehemaligen. Anschließend gibt die Schule die fertigen Anschreiben in den Postversand. Die Ehemaligen entscheiden dann selbst, ob sie dem Organisatorenteam ihre Kontaktdaten übermitteln wollen oder nicht.

Alternativ stehen den Organisatoren auch noch weitere Möglichkeiten offen. Sie könnten die Schule bitten, das geplante Ehemaligentreffen auf die Schulhomepage zu setzen mit der Bitte um Anmeldung durch die Ehemaligen. Das Organisatorenteam könnte neben der Schulhomepage ihr Ehemaligentreffen auch über örtliche Zeitung oder Social Media bewerben.

Andere Bundesländer

Ein Blick über die Landesgrenzen hinaus zeigt, dass die Handhabe dieses Themas in nicht in allen Bundesländern gleich ist. In Rheinland-Pfalz findet sich in ÜSchO § 89 Abs. 8 eine Regelung, die eine Rechtsgrundlage für die Weitergabe von personenbezogenen Daten ehemaliger Schüler und auch Lehrkräften an Schüler zur Organisation von Ehemaligentreffen regelt.

(8) Die Schule kann ehemaligen Schülerinnen und Schülern die zur Organisation eines Treffens geeigneten personenbezogenen Daten von ehemaligen Schülerinnen, Schülern und Lehrkräften übermitteln.