Müssen Einwilligungen neu eingeholt werden?

Lesezeit: 3 Minuten

Die meisten Schulen, mit denen ich zu tun habe, sichern die Nutzung aller personenbezogenen Daten, die nicht auf der Grundlage des Schulgesetzes NRW und der VO-DV I & II erhoben werden dürfen, durch Einholen einer Einwilligung bei den Betroffenen ab, also den Erziehungsberechtigten oder den Schülern, wenn diese 16 Jahre oder älter sind.

In der Datenschutz Grundverordnung (DS-GVO) sind die Vorgaben für eine rechtsgültige Einwilligung noch einmal etwas umfangreicher geworden. Damit ergibt sich mit dem Beginn der Umsetzung der DS-GVO am 25. Mai 2018 bei vielen Schulen die Frage, ob die bestehenden Einwilligungen weiterhin gültig sind oder durch neue DS-GVO konforme Einwilligungen ersetzt werden müssen.

In einer FAQs zur Datenschutz-Grundverordnung des BMI heißt es dazu:

Gelten Einwilligungen der Betroffenen nach altem Recht fort?
Gemäß Erwägungsgrund 171 Satz 3 Datenschutz-Grundverordnung gelten Einwilligungen dann fort und es bedarf keiner erneuten Einwilligung, wenn „die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht“. Die Bedingungen für die Fortgeltung bisher erteilter Einwilligungen unter der Datenschutz-Grundverordnung haben die Aufsichtsbehörden des Bundes und der Länder konkretisiert.“

Was bedeutet das?

Viele bestehende, an Schulen bisher genutzte Einwilligungen werden den Bedingungen der DS-GVO vermutlich nicht entsprechen. Die Antwort nennt einen Erwägungsgrund und eine Konkretisierung der Aufsichtsbehörden. Daraus lassen sich fünf Kriterien ableiten, welche für die Rechtswirksamkeit einer Einwilligung auf jeden Fall erfüllt sein müssen. Beschränkt man sich auf diese, sollten doch ein paar der alten Einwilligungen weiter Gültigkeit haben.

Erwägungsgrund 171 Satz 3

Im Erwägungsgrund 171 Satz 3 wird verwiesen auf die alte Richtlinie 95/46/EG, in welcher eine datenschutzrechtliche Einwilligung wie folgt definiert ist:

Einwilligung der betroffenen Person“ jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, daß personenbezogene Daten, die sie betreffen, verarbeitet werden.

Es werden in der Richtlinie vier Kriterien vorgegeben für die rechtliche Wirksamkeit einer Einwilligung:

  • jede Willensbekundung – es muss klar erkennbar sein, dass die betroffene Person einwilligt1Dafür sind entsprechende Formulierungen in der Einwilligung erforderlich, z.B. ich willige ein, dass …; ich gebe meine Einwilligung …; ich stimme zu …; ich bin damit einverstanden, dass … und ähnlich.
  • ohne Zwang – es muss die Freiwilligkeit gegeben sein2Die Freiwilligkeit muss durch eine entsprechende Formulierung in der Einwilligung erwähnt werden. In bestimmten Situationen ist das Thema Freiwilligkeit eine schwierige Situation. In Schule sollte Freiwilligkeit jedoch immer Grundlage jeder Einwilligung sein.
  • für den konkreten Fall – es muss ein konkreter Zweck genannt sein, Pauschaleinwilligungen sind von vornherein rechtlich unwirksam
  • in Kenntnis der Sachlage – die betroffene Person muss die Folgen der Einwilligung abschätzen können. Es geht um eine informierte Einwilligung.3Dieses Kriterium ist etwas schwammig und sollte bei den meisten alten Einwilligungen kein Problem sein, außer es geht um Verarbeitungsformen, bei denen nicht erwartet werden kann, dass die betroffene Person von sich aus abschätzen kann, welche Folgen die Verarbeitung für sie haben können.

Konkretisierung der Aufsichtsbehörden

Die Aufsichtsbehörden heben in ihrem Beschluss (PDF) zwei Kriterien besonders hervor, die zwingend erfüllt sein müssen4Die Informationspflichten nach Artikel 13 DS-GVO waren nach den alten Vorgaben noch keine Pflicht und müssen dafür nicht erfüllt sein, da sie keine Bedingungen im Sinne des genannten Erwägungsgrundes (Erwägungsgrund 171, Satz 3) sind. Sie sind also keine Bedingung für die Gültigkeit einer alten Einwilligung., damit eine alte Einwilligung weiterhin Gültigkeit behalten kann: Freiwilligkeit5wie sie sich aus der Definition einer Einwilligung in Richtlinie 95/46/EG ergibt und Altersgrenze von 16 Jahren6Diese Altersgrenze gab es so bisher nicht. Sie ist mit der DS-GVO neu hinzugekommen.

Fünf Kriterien für rechtliche Wirksamkeit einer alten Einwilligung

Zusammengefasst ergeben sich so aus dem Erwägungsgrund und den Ausführungen der Aufsichtsbehörden die folgenden fünf Kriterien:

  1. Wenn also die Einwilligung keinen Passus hat bezüglich der Freiwilligkeit der Einwilligung oder die Freiwilligkeit bei der Einwilligung nicht gegeben war, so ist sie ab dem 25.05.2018 ungültig.
  2. Hat ein Schüler, der jünger als 16 Jahre ist, eingewilligt, oder war zum Zeitpunkt der Einwilligung weniger als 16 Jahre alt, so ist die Einwilligung ebenfalls nicht weiter gültig.
    • Ist der Schüler unter 16 Jahre alt, muss die Einwilligung bei den Erziehungsberechtigten eingeholt werden.
    • Ist der Schüler 16 Jahre oder älter, kann er/sie die Einwilligung selbst erteilen.
  3. Informierte Einwilligung
  4. klar definierter Zweck bzw. Zwecke
  5. klar erkennbare Willensbekundung

Das bedeutet für Schulen

Es müssen alle bestehenen Einwilligungen für die Verarbeitung von personenbezogenen Daten daraufhin überprüft werden, ob sie diesen fünf Kriterien entsprechen. Ist nur ein Kriterium nicht erfüllt, ist die Einwilligung nicht länger gültig und sollte neu eingeholt werden. Dazu gehören:

  • Nutzung von personenbezogenen Daten und Fotos auf der Schulhomepage und in der lokalen Presse.
  • Erstellung von Videos und Audioaufnahmen im Unterricht.
  • Nutzung des WLAN der Schule7Da dieses nahezu immer mit einer Verarbeitung personenbezogener Daten und einer entsprechenden Einwilligung verbunden ist..
  • Nutzung der Computer/ Tablets/ des Computer Raums.8Da dieses nahezu immer mit einer Verarbeitung personenbezogener Daten und einer entsprechenden Einwilligung verbunden ist.
  • Nutzung von Kontaktmöglichkeiten von Erziehungsberechtigten nach VO-DV I Anl. 1, die auf einer Einwilligung beruhen (z.B. E-Mail, berufliches Telefon & E-Mail, …)9Achtung! Hier können natürlich nur die Erziehungsberechtigten selbst einwilligen, nicht der Schüler ab 16 Jahren.
  • Nutzung einer Lernplattform/ eines LMS/ …10Da dieses nahezu immer mit einer Verarbeitung personenbezogener Daten und einer entsprechenden Einwilligung verbunden ist.

Vorlagen für den Vorgaben der DS-GVO entsprechende Einwilligungen finden sich unter Service-Downloads > Einwilligungen Schule (NRW).

Genehmigung Lehrkräfte Privatgeräte kann auch entspannter gehen – siehe BaWü

Lesezeit: 2 Minuten

In NRW hat man von Seiten der Landesregierung in einem Gespräch am 24.04.2018 versucht, die Wogen zu glätten, was die umstrittene Genehmigung 1Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gemäß § 2 Absatz 2 VO-DV I/§ 2 Absatz 4 VO-DV II angeht, welche Lehrkräfte benötigen, um personenbezogene Daten aus der Schule auf privaten Geräten verarbeiten zu dürfen. Ein für „in einigen Tagen“ versprochenes Dienst E-Mail mit weiteren Informationen lässt derweil auf sich warten.

Dass es auch ganz anders gehen kann, zeigt das Beispiel Baden Württemberg. Unter „Private Datenverarbeitungsgeräte (PC, Mac, Smartphones, Tablets, etc.)“ wird dort ganz aktuell, mit Bezug auf die DS-GVO erklärt, welche Vorgaben zu erfüllen sind. In 9 kurzen, leicht verständlichen Absätzen werden dort verschiedene Maßnahmen erklärt. Nummer 2 ist dabei besonders interessant:

Am besten ist es, wenn sämtliche dienstlichen personenbezogenen Daten nur auf einem USB-Stick gespeichert werden. Dieser USB-Stick muss in jedem Fall verschlüsselt sein.

Man rät den Lehrkräften in BaWü, die personenbezogenen Daten aus der Schule nie auf dem privaten Gerät selbst zu speichern, sondern immer auf einem USB-Stick, der verschlüsselt sein muss.

Ergänzt werden diese Vorgaben noch einmal durch eine Anlage „Datenschutzrechtliche Hinweise für den Gebrauch privater Datenverarbeitungsgeräte durch Lehrkräfte zur Verarbeitung personenbezogener Daten„, die ausführlichere Erläuterungen gibt.

In einer FAQ erklärt man dann auch, warum es von Vorteil ist, die Daten auf einem USB-Stick zu speichern:

Indem Sie sämtliche personenbezogenen Daten ausschließlich auf einem USB- Stick abspeichern und diesen USB-Stick verschlüsseln, z.B. mittels der Software VeraCrypt, verringern Sie Ihren Aufwand erheblich. Dadurch wird z.B. wirksam ein unbefugter Zugriff auf die Daten verhindert, sie müssen also keine aufwändigen Berechtigungsstrukturen hinterlegen. Ferner können Sie auf diese Weise leicht dem Auskunftsanspruch Ihrer Schulleitung oder des Landesbeauftragten für den Datenschutz nachkommen, da Sie dann nur den USB-Stick – und nicht den ganzen Computer, auf dem sich u.U. auch private Daten befinden – vorweisen müssen. Bitte denken Sie auch an die Sicherungskopie auf einem weiteren USB-Stick.

Auch in Baden Württemberg nimmt man es mit dem Datenschutz in Bezug auf die Verarbeitung personenbezogener Daten auf Privatgeräten von Lehrkräften ernst. Und selbstverständlich geht auch hier ohne Vorgaben und eine Genehmigung nichts. Allerdings sind die Hürden deutlich niedriger. Arbeitet man als Lehrkraft mit einem verschlüsselten USB-Stick, erleichtert man sich die Trennung von Privat und Beruflich. Darüber hinaus lässt sich so der technische Aufwand zur Sicherstellung des Datenschutz auf dem privaten Gerät deutlich leichter einhalten, auch für technisch weniger versierte Lehrkräfte.

In Haftung werden die Lehrkräfte übrigens durch ihre Unterschrift auch nicht genommen.

Auch im Bundesland Hessen geht man einen vergleichbaren Weg und rät zur Nutzung von sicheren USB Sticks, am besten Hardware verschlüsselte USB Sticks. Siehe dazu „Verarbeitung von Schüler- oder Elterndaten auf privaten Datenverarbeitungseinrichtungen der Lehrkräfte„.

Krankmeldung über die Schulhomepage

Lesezeit: 4 Minuten

An Schulen kommt von Seiten der Eltern immer wieder der Wunsch auf, Krankmeldungen zu vereinfachen. Was liegt da näher als ein entsprechendes Formular in die Schulhomepage einzubauen. So hat man, besser als bei einer E-Mail, eine standardisierte Krankmeldung mit allen erforderlichen Informationen. Lästige Telefonanrufe im Sekretariat entfallen. Aus rechtlichen Gründen wird die Entschuldigung anschließend auf Papier nachgereicht. Alles gut, oder doch nicht?

Das Beispiel von der Homepage einer Schule zeigt, wie viele personenbezogene Daten in diesem Fall verarbeitet werden. Je nachdem, was Eltern eintragen, können diese Informationen hochsensibel sein. Hinzu kommt noch die IP Adresse, die ebenfalls ein personenbezogenes Datum darstellt. Alle diese Informationen werden, sofern für die Forumular Funktion nicht externe Dienstleister genutzt werden, in der Datenbank der Webseite gespeichert. Je nach Einstellung wird die Schule über den Eintrag per E-Mail informiert.

Die Krankmeldung in dieser Form ist von der Technik her vergleichbar einem Kontaktformular. Welche Vorgaben sich aus der DS-GVO dafür ergeben, wird an vielen Stellen im Netz ausführlich erläutert. Sie heißt es zum Beispiel bei datenschmutz.net.

„Werden mittels Formularen Daten erhoben und gespeichert (zum Beispiel durch ein Formular-Plugin, das alle Einträge auch in der Datenbank speichert), so muss der Nutzer dazu explizit seine Einwilligung erteilen. Eine entsprechende Checkbox zur Einholung der Zustimmung des Nutzers (darf standardmäßig nicht angehakt sein) ist die sicherste Art der Umsetzung.“

erecht24 fragt Achtung Abmahnung: Ist eine Einwilligung bei Kontaktformularen notwendig? und kommt mit Verweis auf ein Urteil des OLG Köln zu dem Schluss, dass es ohne Einwilligung nicht geht und die Datenschutzerklärung einen „Passus zum Umgang mit Daten aus dem Kontaktformular“ enthalten sollte. Unter das Formular sollte eine Checkbox zur Einwilligung eingebunden werden und daneben soltel es einen „Einwilligungstext zum Umgang mit den Daten der Nutzer und Ihr Recht auf Widerspruch“ geben.

Was müssen Schulen bei Online Krankmeldungen in Formularform beachten?

  • Vertrag zur Auftragsverarbeitung (AV Vertrag)
    Schulen können nach VO-DV I §2 Abs 3 externe Anbieter mit der Verarbeitung ihrer Daten beauftragen.1„Die Schulen und Schulaufsichtsbehörden sind berechtigt, unter Beachtung der Voraussetzung des § 11 DSG NRW die Datensicherheit gewährleistende und zuverlässige Institutionen mit der Verarbeitung ihrer Daten zu beauftragen. Die Datenverarbeitung im Auftrag ist nur zulässig nach Weisung der Schule oder der Schulaufsichtsbehörden und ausschließlich für deren Zwecke.“ Wenn die schulische Homepage, wie wohl in den meisten Fällen über einen Hoster (z.B. 1&1, Strato, Kommunales Rechenzentrum, …) betrieben wird, ist dafür ohnehin ein AV Vertrag erforderlich, denn es werden immer personenbezogene Daten von Besuchern der Homepage verarbeitet. Wichtig! Die personenbezogenen Daten, welche über das Formular verarbeitet werden, müssen im AV Vertrag berücksichtigt werden.
  • Als Verarbeiter muss die Schule den Datenschutz sicherstellen. Bei sensiblen Daten wie Gesundheitsdaten ist dieses umso wichtiger. Das bedeutet, die Schule muss sicher sein, dass der gewählte Auftragsverarbeiter das erforderliche Schutzniveau durch technisch organisatorische Maßnahmen (Art 25, 32 DS-GVO) gewährleistet. Ein Severstandort in Deuschland ist zu empfehlen, jedoch kein Muss, da ab dem 25.05.2018 überall in EU Land die gleichen Regeln gelten. Deutsche Anbieter haben allerdings einen Vorteil, die Kommunikation ist einfacher und der AV Vertrag ist in deutscher Sprache. Wer für die Krankmeldung ein Google Formular nutzen möchte (auch schon gesehen), sollte davon besser Abstand nehmen. 
  • Die Schule muss durch die technische Gestaltung des Online Formulars und Informierung der Betroffenen dafür sorgen, dass
    • eine eindeutige Einwilligung der Betroffenen möglich ist und dokumentiert wird, (Häkchen)
    • die Betroffenen über ihre Rechte bezüglich der Verarbeitung der Daten informiert werden (Datenschutzerklärung)
    • die Betroffenen ihre Rechte auf Auskunft, Widerruf, Berichtigung und Löschung wahrnehmen können.
    • die Übermittlung der personenbezogenen Daten sicher abläuft (SSL)
  • Darüber hinaus muss die Schule im Sinne der Datenminimierung dafür sorgen, dass
    • die IP Nummern sobald möglich entweder gelöscht oder pseudonymisiert werden,
    • die Formulardaten in kürzest möglicher Zeit gelöscht werden, bzw. sobald sie nicht mehr erforderlich sind. Das ist in der Regel der Fall, wenn das E-Mail mit dem Inhalt des Formulars an die Schule verschickt worden ist.
    • auch die E-Mails gelöscht werden, sobald sie ihren Zweck erfüllt haben.
  • Zu regeln ist von Seiten der Schule, dass nur Berechtigte Zugriff auf die Daten aus dem Formular haben2VO-DV I §2 Abs 1 „Insbesondere ist sicherzustellen, dass Berechtigte nur Zugang zu personenbezogenen Daten erhalten, die für die jeweilige Aufgabenerfüllung erforderlich sind.“, auf dem Webserver selbst (über die Adminoberfläche der Webseite) und in der Schule, der/die Empfänger der E-Mails.
  • In der Datenschutzerklärung sollte die Schule bezüglich der Online Krankmeldung informieren über:
    • die erhobenen Daten,
    • den Zweck der Verarbeitung,
    • die Art und Weise der Verarbeitung der Formulardaten (und der dabei erhobenen IP Adresse), wozu auch die Übermittlung per E-Mail gehört,
    • die Speicherdauer
    • die Verarbeitung im Auftrag,
    • die Sicherheitsmaßnahmen (SSL, Updates der Software auf der die Website läuft, z.B. WordPress, und der Plugins) und
    • die Kategorien von Zugriffsberechtigten bezüglich der erhobenen Daten (Empfänger)

Empfehlung für einen Text beim Kästchen für die Einwilligung beim Senden Button:

Mit der Nutzung dieser Online Krankmeldung erklärst du dich mit der Speicherung und Verarbeitung deiner Daten durch diese Website einverstanden. Weitere Informationen zu den verarbeiteten personenbezogenen Daten, deinem Recht auf Widerruf, Widerspruch, Auskunft, Berichtigung und Löschung findest du in der Datenschutzerklärung.

Die „Datenschutzerklärung“ ist dabei verlinkt.

Thema Löschen

Je nach der für Plattform, die für den Betrieb der Schulhomepage genutzt wird, könnte es schwierig sein, eine automatische Löschroutine für die gespeicherten Formulareinträge einzurichten. Hier sollte eine Lösung gefunden werden, etwa in der Form, dass die Einträge jede Woche oder jede zweite Woche von Hand gelöscht werden. Entsprechend sollte dieses in der Datenschutzerklärung bei Speicherdauer berücksichtigt werden.

Missbrauch vorbeugen

Formulare für eine Krankmeldung lassen sich leicht missbrauchen. Niemand hindert Personen daran, einen Schüler über das Formular krankzumelden, und diesen dann irgendwo einzusperren. Bis Mittag merkt hier niemand etwas. Solches lässt sich unterbinden, wenn man ein Formular nutzt, welches eine Bestätigung per E-Mail einfordert, indem an die angegebene E-Mail Adresse eine Nachricht mit einem Bestätigungslink gesendet wird. Erst dann wird der Eintrag im Formular gespeichert. Der hierbei entstehende zusätzliche Verarbeitungsschritt ist entsprechend zu dokumentieren. Es muss darauf auch beim Formular selbst hingewiesen werden.

Muss der Datenschutzbeauftragte auf die Schulhomepage?

Lesezeit: 2 Minuten

Die Europäische Datenschutz Grundverordnung (DS-GVO) ist zwar schon in Kraft, wird aber noch nicht umgesetzt. Am 25.05.2018 ist es soweit. Viele Schulen sind aus diesem Grund aktuell dabei, ihren Internetauftritt an die Vorgaben anzupassen. Dabei taucht auch immer wieder die Frage auf, muss auf der Homepage ein Datenschutzbeauftragter genannt werden?

Was sagen das Gesetz und die Literatur?

In dem Beitrag Oft gefragt: Muss der Datenschutzbeauftragte zwingend auf der Internetseite genannt werden? ging die itrecht Kanzlei München der Frage schon 2015 nach. Seinerzeit ließ sich aus dem BDSG keinerlei solche Notwendigkeit ableiten.

Aber mit der DS-GVO ändert sich dieses nun. Zwar gibt es auch hier keine Stelle im Gesetzestext, wo eine spezielle Erfordernis zur Veröffentlich auf der Webseite der Institution ausdrücklich benannt ist, doch Datenschutzexperten leiten aus anderen Aussagen eine Notwendigkeit ab. Art. 37 DSGVO Benennung eines Datenschutzbeauftragten führt in Abs. 7 aus:

„Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten …“

Eine entsprechende Passage findet sich im neuen Bundesdatenschutzgesetz §5 Benennung Abs. 5:

„Die öffentliche Stelle veröffentlicht die Kontaktdaten der oder des Datenschutzbeauftragten …“

Entsprechend kommen Datenschutzexperten zu dem Schluss:

„Ist ein DSB benannt, sind dessen Kontaktdaten (mindestens Anschrift, E-Mail-Adresse, nicht jedoch der Name, vgl. Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, Kap. 6, Rn. 19) zu veröffentlichen, z. B. auf der Website des Verantwortlichen.“

Koreng/Lachmann

„Eine spezielle Form der Veröffentlichung sieht das Gesetz nicht vor. Aus dem Zweck des Gesetzes folgt jedoch, dass beispielsweise ein Aushang am Unternehmenssitz nicht genügt. Vielmehr wird zu verlangen sein, dass die Angaben an gut auffindbarer Stelle in der WWW Seite gemacht werden (vergl. Helfrich in HK-EuDSchVO Art 37 Rn 129), etwa im Impressum und einer eventuellen Datenschutzerklärung.“ … „Zu den Kontaktdaten gehört nicht der Name des Datenschutzbeauftragten: Das Gesetz unterscheidet zwischen dem Namen und den Kontaktdaten des Datenschutzbeauftragten“

Kühling/Buchner

Als vertrauensbildende Maßnahme wird in dieser Literatur empfohlen, auch den Namen des DSB zu veröffentlichen.

Was bedeutet das für die Schulhomepage?

Es empfiehlt sich, auf der Schulhomepage entweder in der Datenschutzerklärung selbst oder im Impressum eine Angabe zum Datenschutzbeauftragten zu machen. Genannt werden kann dabei entweder der behördlich bestellte schulische Datenschutzbeauftragte oder eine Person aus der Schule, welche als Datenschutzbeauftragter benannt wurde.

Es ist dabei jedoch nicht erforderlich, den Namen der Person zu nennen. Anschrift und E-Mail Adresse genügen. Für Nutzer der Webseite wird es sicher schöner sein, wenn sie in Bezug auf den Datenschutz auch einen Namen finden, der für eine Person steht, an die man sich wenden kann. Wenn von Seiten des/der Datenschutzbeauftragten keine Einwände bestehen, sollte man dann auch den Namen nennen.

Offener Ganztag und Datenschutz

Lesezeit: 2 Minuten

An vielen Grundschulen in NRW gibt es das Angebot des offenen Ganztags.

„In einer offenen Ganztagsschule im Primarbereich (§ 9 Absatz 3 SchulG) nimmt ein Teil der Schülerinnen und Schüler der Schule an den außerunterrichtlichen Angeboten teil.“1Runderlass des MSB 12-63 Nr. 2.

Das Land NRW unterstützt diese Angebote finanziell, die Durchführung erfolgt in Zusammenarbeit von Schule und Kinder und Jugendhilfe, gemeinwohlorientierten Institutionen und Organisationen aus Kultur und Sport, Wirtschaft und Handwerk sowie weiteren außerschulischen Partnern.

Die Schule selbst kann nach SchulG §9 Abs. 3 nach Zustimmung durch die Schulkonferenz einbezogen werden. Es können also auch Lehrkräfte im offenen Ganztag beteiligt sein.

Im Zusammenhang damit kam jetzt in einem Gespräch mit einer Schule folgende Frage auf:

Wie sieht es mit dem Thema Datenschutz aus, wenn im offenen Ganztag Fotos gemacht werden?

  • Nach meiner Einschätzung deckt die Einwilligung der Eltern, welche die Grundschule für Fotos einholt, den offenen Ganztag nicht ab, da die Schule nicht selbst verantwortlich ist. Die Schule ist auch nicht Auftraggeber, denn hier ist der Schulträger verantwortlich. Entsprechend heißt es beim MSB „Gesamtverantwortung hat der Schulträger„.  Wenn ein Anbieter wie BAS gGmbH durchführender Träger an Offenen Ganztagsschulen ist, müsste dieser auch die rechtliche Verantwortung tragen. Dabei sollte es auch keinen Unterschied geben, ob die Fotos von einer im offenen Ganztag beteiligten Lehrkraft gemacht werden oder einer vom außerschulischen Partner beschäftigten Person.
  • Entsprechend müsste der außerschulische Partner eine eigene Einwilligung bei den Erziehungsberechtigten einholen.
  • Werden die Fotos an die Schule weitergegeben für eine Veröffentlichung auf der Schulhomepage, müsste auch dieses durch die Einwilligung abgedeckt sein. Die Veröffentlichung der Bilder durch die Schule sollte dann jedoch durch die von der Schule eingeholte Einwilligung abgedeckt sein.

Meine Empfehlung:

Wer als außerschulischer Partner im offenen Ganztag sicher gehen will in Sachen Datenschutz, der holt für für Fotos von Schülerinnen und Schülern eine Einwilligung der Erziehungsberechtigten ein. Gleiches gilt für die Arbeit mit Medien, bei denen Schülerinnen und Schüler selbst aufgenommen werden.


Schulisches Verwaltungsrecht ist nicht mein Gebiet, auch wenn es den Datenschutz berührt. Wenn hier also jemand weitere Informationen hat, möglichst mit Belegen – E-Mail oder Kommentar.

Das MSB NRW kommt Schulen bei Genehmigung für Privatgeräte entgegen

Lesezeit: 2 Minuten

Die Genehmigung mit dem langen Namen1Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gemäß § 2 Absatz 2 VO-DV I/§ 2 Absatz 4 VO-DV II hatte in der Zeit nach der Veröffentlichung im Februar 2018 für eine Menge Verunsicherung und Unmut in den Schulen gesorgt. Nachdem das Ministerium lange kein Problem in der Genehmigung sehen wollte, gab es nun am 24.04.2018 ein Gespräch des Schulministeriums mit Lehrerverbänden, Gewerkschaft und Schulleitervereinigungen. Thema war „Datenverarbeitung in Schulen“.

In der Dienstanweisung heißt es:

„Die Verarbeitung personenbezogener Daten für dienstliche Zwecke auf privaten ADV-Anlagen von Lehrkräften ist nur mit schriftlicher Genehmigung der Schulleiterin oder des Schulleiters zulässig. Es gilt § 2 Absatz 2 mit Anlage 3 der VO-DV I. Für die Genehmigung ist der als Anlage beigefügte Genehmigungsvordruck zu verwenden.“2Dienstanweisung für die automatisierte Verarbeitung
von personenbezogenen Daten in der Schule

Das wurde mehrheitlich so verstanden, dass die alten Genehmigungen nicht länger Gültigkeit besitzen. Anders als in den alten Genehmigungen, sind in der neuen sehr deutliche Vorgaben gemacht, was Lehrkräfte leisten müssen, um die Sicherheit der verarbeiteten Daten auf ihren privaten Geräten zu gewährleisten. Dazu kam noch die Frage der Haftung.

„Sofern Sie die hier aufgeführten Maßnahmen zum Schutz der Daten einhalten, ist eine Haftung für Sie ausgeschlossen.“

Für viele war das dann der Punkt, die Unterschrift zu verweigern. Selbst die LDI NRW riet den Schulleitungen davon ab, den Lehrkräften die Genehmigung zu erteilen, da sie eine Beurteilung, ob eine Genehmigung aufgrund der von der Lehrkraft gemachten Angaben, nicht leisten könne.

Das Gespräch sorgte dann am 24.04.2018 für Entspannung. Der Philologen-Verband NRW hat die Ergebnisse zusammengefasst. Drei Informationen sind bezüglich der Genehmigung dabei von Bedeutung:

  1. Es gibt keine Frist, bis wann Lehrkräfte die Genehmigungen unterzeichnen müssen.
  2. Die alten Genehmigungen behalten weiter ihre Gültigkeit (und müssen demnach nicht durch die neue ersetzt werden).
  3. In den letzten 30 Jahren wurde laut MSB in NRW keine Lehrkraft wegen unsachgemäßen Umgangs belangt wurde.

Das MSB sieht die Haftungsfrage der Genehmigung scheinbar sehr entspannt, weil man mit Blick auf die Vergangenheit mit keinen Problemen durch Datenschutzverletzungen rechnet. Man darf sich dann aber die Frage stellen, warum man die Haftung überhaupt in die Genehmigung aufgenommen hat.

In Österreich brauchen sich Schulen als öffentliche Stellen in Bezug auf das Thema Haftung übrigens vorerst keine Sorgen machen, denn dort wurde jetzt in einer Gesetzesnovelle beschlossen, dass gegen Behörden und öffentliche Stellen keine Geldbußen verhängt werden können.3Keine Strafen: Österreich zieht neuem Datenschutz die Zähne

Interessant im Zusammenhang mit der Genehmigung ist noch der letzte Punkt in der Zusammenfassung des Philologenverbandes:

„Gegebenenfalls wird zum Umgang mit der Dienstanweisung die für Ende Mai 2018 zu erwartende Europäische Datenschutzverordnung einbezogen.“

Hier muss man nun abwarten, ob sich durch die Umsetzung der DS-GVO noch etwas ändern wird beim Umgang mit der Dienstanweisung.

Ein Dienstmail soll, laut Staatsekretär Richter im WDR4WDR 5 Westblick 24.04.2018, den Schulen in NRW am 25.04. 5Das war dann wohl nichts. Aus dem 25.04. wurde nichts. In einem anderen Interview sprach Staatssekretär Richter dann auf einmal von „in einigen Tagen“detaillierte Informationen dazu geben, was die Anwendung der Genehmigung betrifft und wie sie zu verstehen ist. Fakt ist aber, die Dienstanweisung gilt, die Schulen erhalten im Umgang mit der Genehmigung jedoch mehr Handlungsspielraum.

Update

Mittlerweile hat sich auch der VBE zum Treffen vom 24.04.2018 geäußert. Im Wesentlichen gibt man im Rundmail an die Mitglieder das wieder, was auch der Philologen-Verband NRW aufgeführt hatte. Ganz in meinem Sinne ist am Ende die Forderung

Die unterstützende Nutzung privater Endgeräte muss über ein pragmatisches datenschutzkonformes Verfahren erlaubt werden. Eine allgemeine Verpflichtungserklärung zur Einhaltung des Datenschutzes sollte ausreichen.

Vor allem der zweite Satz ist dabei wichtig. Die Haftung kann weg.

BookCreator geht DS-GVO konform

Lesezeit: 2 Minuten

BookCreator ist eine Plattform zur einfachen Erstellung digitaler multimedialer Bücher und vor allem in der iPad Version verbreitet an Schulen. Seit letztem Jahr bietet BookCreator außerdem eine Webplattform für die plattformunabhängige Nutzung mit dem Chrome Browser an, welche die Funktionalitäten des App nahezu gleichwertig abbildet und dazu noch Echtzeit-Kollaboration zulässt. Wer BookCreator nur lokal auf einem iPad nutzt, braucht sich um die Datenschutz Grundverordnung kaum Gedanken machen, solange die iCloud nicht ins Spiel kommt.

Anders sieht das aus, wenn man die Webplattform nutzt. An diese kann auch das App angebunden werden für den Export von Büchern. Bei der Nutzung der Online Version landen in der Regel personenbezogene Daten von Schülerinnen und Schülern wie auch Lehrkräften in der Cloud. Das ist datenschutzrechtlich nur zulässig, wenn dieses im Auftrag der Schule erfolgt und dafür ist der Abschluss eines Vertrags zur Auftragsverarbeitung (AV Vertrag) zwischen Schule und BookCreator erforderlich. Die Schule ist dabei Auftraggeber (Controller) und BookCreator Auftragnehmer (Processor) und damit weisungsgebunden gegenüber der Schule.

BookCreator nutzt als Online Speicher die Google Cloud in den USA. Google arbeitet hier als Auftragnehmer von BookCreator. Der Vertrag regelt unter anderem, wie in Verträgen dieser Art üblich, dass Google dabei kein Recht hat, die Daten einzusehen. Der AV Vertrag zwischen Schule und BookCreator sollte auch für Nutzer aus Europa kein Problem darstellen, da Google sich dem EU-US Privacy Shield Abkommen verpflichtet hat und zusätzliche EU Modell Vertrags Klauseln unterzeichnet hat.1Weitere Informationen unter <a href=“https://bookcreator.com/gdpr/“>GDPR Compliance</a> BookCreator ist in Großbritannien zu Hause und damit (noch) EU.

Den AV Vertrag kann man laden unter Book Creator Data Processing Addendum.PDF Der gesamte Vertrag ist in englischer Sprache gehalten und bereits unterzeichnet. Schulen müssen ihn nur noch gegenzeichnen und an BookCreator schicken, damit er gültig ist.

Wird das Angebot nicht vollkommen anonymisiert genutzt, was viele kreative Einschränkungen mit sich bringt, müssen von Schülern und Lehrkräften darüber hinaus Einwilligungen vorliegen für die Nutzung ihrer personenbezogenen Daten auf der BookCreator Plattform.

Für die Nutzung der Online Version über den Chromebrowser müssen Schüler über einen Google Account (in der Regel ein G-Suite for Education Account) oder ein Office 365 Konto verfügen. Auch für die schulische Nutzung dieser beiden Angebote ist übrigens ein AV Vertrag erforderlich.

Eine FAQ zur DS-GVO für Schulen aus Niedersachsen

Lesezeit: 2 Minuten

Von Seiten der Niedersächsischen Landesschulbehörde hat man eine Sammlung von Fragen und Antworten zum Thema Datenschutz Grundverordnung, soweit sie Schulen betrifft, zusammengestellt.

  • Demnach müssen Schulen nach dem 25.05.2018 bei einem Verstoß gegen die DS-GVO nicht mit der Verhängung von Bußgeldern rechnen, da dieses nur für Unternehmen gilt, die am Wettbewerb teilnehmen.
  • Einen Fortbildungsbedarf für die Datenschutzbeauftragten in Schulen mit Bezug auf die Änderungen durch die DS-GVO  sieht man in Niedersachsen nicht.
  • Als wichtigste Schritte bei der Umsetzung der Vorgaben der DS-GVO sieht man:
    • die Bestellung einer oder eines Datenschutzbeauftragten
    • die Erstellung des in Art. 30 DS-GVO geforderten Verzeichnis der Verarbeitungstätigkeiten
    • die Überprüfung der Schulhomepage auf die Erfordernisse der DS-GVO und die Anpassung der Datenschutzerklärung an die DS-GVO
  • Aussagen werden auch zu den Haftungsrisiken der behördliche Datenschutzbeauftragten in Schulen durch die DS-GVO gemacht. Nach Auffassung der Landesschulbehörde ändert sich hier nichts wesentlich.
    • Die Schulleitung trägt weiterhin die rechtliche Verantwortung in Bezug auf den Datenschutz, der oder die Datenschutzbeauftragte berät die Schulleitung und weißt auf mögliche Verstöße hin.
    • Eine Haftung kommt nur bei grober Fahrlässigkeit oder Vorsatz in Frage. Außerdem kommt es bei Datenschutzverstößen nur selten zu Vermögensschäden.
    • Es sind eher atypische Ausnahmefälle in Bezug auf eine fehlerhafte datenschutzrechtliche Beratung, dass einer als Datenschutzbeauftragter tätigen Lehrkraft der Vorwurf der groben Fahrlässigkeit gemacht werden kann.
  • Anders als viele Unternehmen brauchen sich Schulen nach Ansicht der Landesschulbehörde wegen der DS-GVO keine Sorgen machen, da ihnen keine Bußgelder verhängt werden.

Mir neu war bei diesen FAQ, dass Schulen bei Datenschutzverstößen nicht mit der Verhängung von Bußgeldern rechnen müssen. Zu klären wäre nun, ob dieses eine langespezifische Regelung aus Niedersachsen ist oder ob dieses auf alle Bundeslänger übertragen werden kann.

Nicht ganz teilen kann ich die Einschätzung bezüglich der Vermögensschäden. Wenn ein Schüler durch einen Datenschutzverstoß z.B. nachweislich einen Ausbildungsplatz nicht erhält, könnte dafür vermutlich schon ein Vermögensschaden geltend gemacht werden. Außerdem können nach der DS-GVO auch immaterielle Schäden geltend gemacht werden. Das wäre der Fall, wenn ein Schüler durch ein in einem Datenschutzverstoß öffentlich gewordenes Fördergutachten oder Zeugnis unter dem Gehänsel der Mitschüler leidet.

Nicht ganz passt die Frage des Haftungsrisiko auch zur Haftung, in welche eine Lehrkraft in NRW genommen wird, wenn sie die Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gem. § 2 Abs.2 VO-DV I / § 2 Abs.4 VO-DV II unterschreibt. Ginge man im MSB NRW von einer gleichen Einschätzung bezüglich der Haftungsrisiken aus wie in Niedersachsen, bräuchte sich im Prinzip niemand Sorgen machen wegen der Unterschrift. Falls dem so wäre, sollte dieses vom MSB NRW jedoch auch für alle Lehrkräfte des Landes klargestellt werden, falls man bei der Haftung bleiben will. Andererseits ergibt eine generelle Haftung der Lehrkräfte, wie die Genehmigung sie vorsieht, keinen Sinn, wenn es ohnehin kein erhöhtes Haftungsrisko im Vergleich zu vorher gibt.

Berichtigung in den Tipps zur Genehmigung für die Verarbeitung schulischer Daten auf Privatgeräten von Lehrkräften

Lesezeit: < 1 Minute

Im Austausch mit meinen Kollegen und Kolleginnen schulische  Datenschutzbeauftragte kam auch das Thema der Gültigkeit der Genehmigung mit dem endlos langen Namen ( Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gem. § 2 Abs.2 VO-DV I / § 2 Abs.4 VO-DV II) auf. So wie ich es verstanden und in meinen Tipps aufgeschrieben hatte, ist sie auf die Person der Schulleitung bezogen. Das stimmt, wie aus dem Referat 212 des MSB NRW zu erfahren war, so nicht.

Es gibt da ein Verwaltungsverfahrensgesetz für das Land Nordrhein-Westfalen, kurz VwVfG NRW. Und nach diesem behält die Genehmigung bei einem Wechsel der Schulleitung ihre volle Gültigkeit und Wirksamkeit.

In den Tipps ist es geändert. Wer sich die Tipps ausgedruckt hatte, sollte die Seite 20 neu ausdrucken und austauschen. Sollte jemand weitere Fehler finden, bitte über einen Kommentar anmerken.

Datenschutz Tipps & Antworten für Lehrkräfte, die schulische personenbezogenen Daten auf Privatgeräte verarbeiten wollen

Lesezeit: 2 Minuten

Lange Zeit hat sich niemand wirklich Gedanken gemacht, ob es in Ordnung ist, dass eine Lehrkraft die personenbezogenen Daten von Schülern auf ihren privaten Rechnern verarbeitet haben. Wie so viele andere Dinge im Lehreralltag hat man das einfach gemacht. Niemand fragte danach. Genehmigungen wären hier eigentlich schon seit Jahren erforderlich gewesen. An vielen Schulen wusste man davon nichts oder setzte diese Vorgabe nicht um. In NRW hat das Thema mit der Dienstanweisung einen verbindlichen Charakter erhalten. Die   Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken
auf privaten ADV-Anlagen von Lehrkräften gem. § 2 Abs.2 VO-DV I / § 2 Abs.4 VO-DV II
 
ist für alle Schulen verbindlich. Aber auch in anderen Bundesländern geht ohne Genehmigung nichts.

Die Vorgaben aus der Genehmigung sind orientiert an den technisch organisatorischen Maßnahmen zum Schutz der Daten, die für jede Verarbeitung von personenbezogenen Daten und von denen von Schülerinnen und Schüler insbesondere gelten.

Das Problem ist die Umsetzung dieser Vorgaben. Vielen Lehrkräften fällt das schwer. Deshalb habe ich in Orientierung am Teil B – Datensicherheit – des Genehmigungsformulars aus NRW eine Übersicht erstellt, die angibt, was zu tun ist, wenn man sein Gerät, ob Windows, Mac OS, Linux, iOS oder Android möglichst sicher machen möchte im Sinne der Vorgaben. Die Übersicht ist ein Google Doc mit dem Namen Tipps & Antworten für die Praxis . Das Dokument kann weitergenutzt werden und steht dafür unter einer Creative Commons Attribution 4.0 International Lizenz. Als Urheber ist zu nennen datenschutz-schule.info.

Die FAQ im zweiten Teil bezieht sich auf die Genehmigung aus NRW. Alles andere ist auch in anderen Bundesländern sinnvoll, wenn man als Lehrkraft sicher arbeiten möchte. Das Dokument werde ich versuchen, aktuell zu halten.