Veröffentlicht am

Windows 7 Support endet Anfang 2020

Lesezeit: 1 Minute

In einigen Schulverwaltungen laufen noch immer PCs mit dem Betriebssystem Microsoft Windows 7. Dieses wird demnächst nicht mehr unterstützt. Bei Microsoft heißt es dazu1Ende des Supports für Windows 7:

„Ab dem 14. Januar 2020 stellt Microsoft weder Sicherheitsupdates noch technischen Support für Windows 7 zur Verfügung.“

Ein veraltetes Betriebssystem ist auch ein Datenschutz-Thema. In der Schulverwaltung werden personenbezogene Daten von Schülerinnen und Schülern, von Eltern und Lehrkräften verarbeitet, darunter auch sehr sensible Daten. Eine Verarbeitung von personenbezogenen Daten setzt nach §2 Abs. 1 SchulG NRW2(1) Die automatisierte Verarbeitung der personenbezogenen Daten ist zulässig auf ADV-Arbeitsplätzen und in Netzwerken, die für Verwaltungszwecke eingerichtet sind, auf sonstigen schulischen ADV-Anlagen und in sonstigen Netzwerken, wenn jeweils über die Konfiguration die Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Revisionsfähigkeit und
Transparenz gemäß § 10 des Datenschutzgesetzes Nordrhein-Westfalen
gewährleistet sind. 3Eine vergleichbare Vorgabe zu technischen und organisatorischen Maßnahmen findet sich in Art. 32 DS-GVO. voraus, dass durch geeignete technische und organisatorische Maßnahmen der Schutz und die Sicherheit dieser Daten gewährleistet ist.

Mit Windows 7 wird dieses nach dem 14. Januar 2020 nicht mehr möglich sein.4Ausnahme: der Schulträger bezahlt Microsoft für weitere Sicherheitsupdates und technischen Support. Dann ließe sich eine Nutzung unter Einhaltung der Vorgaben des Schulgesetzes NRW und der DS-GVO noch bis 2023 vertreten. Es reicht auch nicht, sich hier auf einen guten Virenschutz zu verlassen. Sobald ein Betriebssystem keine Sicherheitsupdates mehr erhält, steigt mit jedem neu entdeckten Sicherheitsleck das Risiko, dass Dritte ohne Berechtigung Zugriff auf die Daten der Schule erhalten, diese entwenden, verändern oder zerstören können.

Von daher ist es Schulen dringend zu empfehlen, sich mit dem Schulträger in Verbindung zu setzen und das Upgrade auf eine neuere Version des Betriebssystems, bei den meisten Schulen vermutlich Windows 10, frühzeitig zu planen, so dass dieses spätestens in den Weihnachtsferien zum Ende diesen Jahres in Angriff genommen werden kann.5System Administratoren sollten hierbei bedenken, Windows 10 durch entsprechende Maßnahmen ausreichend zu härten, um die Sicherheit des Systems zu erhöhen. Siehe hierzu SiSyPHuS Win10: Studie zu Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10 des BSI

Weitere Informationen: Ende des Supports für Windows 7

 

Veröffentlicht am

Datenschutz – ein Quiz mit Kahoot für Fortbildungen

Lesezeit: 1 Minute

Für Fortbildungen von Lehrkräften und zur Sensibilisierung für datenschutzrechtliche Fragen im Schulalltag gibt es nun ein Kahoot Quiz mit 25 Fragen.

Ergänzend dazu gibt es zu jeder Frage Erläuterungen mit den rechtlichen Hintergründen, bezogen auf die Rechtslage in NRW. Der Quiz kann auch in anderen Bundesländern genutzt werden, da die Rechtslage überwiegend ähnlich ist. Die Erläuterungen als PDF und in anpassbaren Versionen.

Sollte sich die Rechtslage durch Anpassungen des Schulgesetzes oder der Verordnungen zur Datenverarbeitung ändern, werden Quiz und Erläuterungen aktualisiert.

 

Veröffentlicht am

Wie kann Schule das Problem mit E-Mails und Datenschutz pragmatisch lösen?

Lesezeit: 1 Minute

E-Mail ist ein wichtiges Kommunikationsmittel für Schulen, stellt sie aber gleichzeitig wegen der datenschutzrechtlichen Anforderungen für eine sichere Übermittlung von personenbezogenen Daten vor enorme, teilweise nicht lösbare Probleme. Im Themen Beitrag E-Mail Kommunikation sicher nutzen stelle ich pragmatische Lösungen vor, die für Schulen und Lehrkräfte umsetzbar sein sollten, ohne großes Expertenwissen, damit so etwas wie in der Grafik dargestellt, garantiert nicht vorkommt.

E-Mails werden mit Inhalten, die personenbezogene Daten aus der Schule enthalten, ohne jeglichen Schutz von einer privaten E-Mail Adresse an die Schule verschickt – ein absolutes NO GO.
Veröffentlicht am

Sonderfall Video- und Tonaufzeichnung in der Lehrerausbildung (NRW)

Lesezeit: 2 Minuten

Will man im Unterricht mit Schülern eine Video- und Tonaufzeichnung anfertigen, so braucht man dafür entsprechend § 3 Abs. 2 Satz 1 VO-DV I eine Einwilligung der Betroffenen6„Nicht in den Anlagen aufgeführte Daten dürfen nur erhoben werden, wenn die oder der Betroffene eingewilligt hat.“.

Bei der Anfertigung von Video- und Tonaufzeichnungen gibt es allerdings in Schulen in NRW eine Ausnahme, bei welcher keine Einwilligung erforderlich ist. Das ist die Anfertigung von Video- und Tonaufzeichnungen im Rahmen der Lehrerausbildung. In §120 Abs. 3 Satz 2 heißt es:

“Für Zwecke der Lehrerbildung sowie der Qualitätsentwicklung und Qualitätssicherung dürfen vom Ministerium genehmigte Bild- und Tonaufzeichnungen des Unterrichts erfolgen, wenn die Betroffenen rechtzeitig über die beabsichtigte Aufzeichnung und den Aufzeichnungszweck informiert worden sind und nicht widersprochen haben.”

Video- und Tonaufnahmen des Unterrichts stellen eine besondere Situation dar, weil Schüler und Lehrkräfte sich diesen im Klassenraum nicht entziehen können, da der Unterricht in der Regel verpflichtend ist. Aus diesem Grund ist es besonders wichtig, dass man die in Abs. 3 Satz 2 aufgeführten Vorgaben sorgfältig beachtet. Diese sind Vorgaben sind:

  1. Es muss vorab eine Genehmigung für die beabsichtigte Video- oder Tonaufzeichnung beim MSB eingeholt werden.
  2. Die Betroffenen (Schüler und Lehrkräfte) sind rechtzeitig zu informieren über
    1. die beabsichtigte Aufzeichnung und
    2. den Aufzeichnungszweck
  3. Es ist keine Einwilligung erforderlich, aber den betroffenen Schülerinnen und Schülern bzw. deren Eltern muss die Möglichkeit gegeben werden, von ihrem Widerspruchsrecht Gebrauch zu machen. (Für Lehrkräfte existiert dieses Widerspruchsrecht nicht.)7Ein solches Widerspruchsrecht haben die Lehrkräfte gemäß § 121 Abs. 1 Satz 2 SchulG dagegen nicht (vgl. unter Erl. 1.2 zu § 121 SchulG) in Kommentar zum SchulG NRW, März 2015, Katernberg

Die praktische Umsetzung

Die Information sollte schriftlich erfolgen. So lässt sich dokumentieren, dass entsprechend der Vorgaben informiert wurde. Bei der praktischen Umsetzung sollten folgende Punkte bedacht werden:

  1. Vorab bedeutet eine frühzeitige Planung. Die Adresse beim Ministerium für Schule und Bildung, an welche der Genehmigungsantrag zu richten ist, sollte bei den ZFSL bekannt sein.
  2. Auch die Information der betroffenen Schüler und Lehrkräfte sollte zeitig genug erfolgen. Bevor man hier aktiv wird, sollte man eventuell die erteilte Genehmigung des Ministeriums abwarten.
    1. Angegeben werden sollte hier, wer die Aufzeichnung machen möchte (Name des/ der LAA), an welchem Datum, in welchem Fach, eventuell in welcher Stunde, (zusätzlich angeben sollte man u.U. auch, wie lange die Aufzeichnungen aufbewahrt werden),
    2. wofür die Aufzeichnung gemacht (z.B. Beobachtung des Lehrerfeedbacks, Beobachtung des Umgangs mit Unterrichtsstörungen durch die Lehrkraft) wird und wer die Aufzeichnung sehen wird (z.B. die Mitglieder des Fachseminars Deutsch am ZFSL Dortmund)
  3. Im Informationsschreiben sollte direkt eine Möglichkeit gegeben werden, vom Widerspruchsrecht Gebrauch zu machen.

Es empfiehlt sich, im Informationsschreiben darauf hinzuweisen, dass Schüler jederzeit von ihrem Recht auf Widerspruch Gebrauch machen können, auch wenn die Eltern von Schülern unter 14 Jahren selbst davon keinen Gebrauch gemacht haben. Außerdem sollte klar sein, dass es keine Nachteile für Schüler hat, wenn sie nicht aufgezeichnet werden möchten.

Das folgende Formular kann leicht für die eigene Situation angepasst werden. Es findet sich auch im Download Bereich.

Veröffentlicht am

Dürfen Gäste bei Schulveranstaltungen Fotos machen?

Lesezeit: 7 Minuten Vor ein paar Monaten machte sich noch niemand Gedanken, ob es wohl rechtmäßig ist, wenn Besucher bei einer Schulveranstaltung Fotos machen. Es war normal, dass bei Schulfesten, Einschulungsfeiern, Schulentlassungen und ähnlich Eltern die Veranstaltung in in Form von Fotos und teilweise auch Videos festhielten. War das in der Vergangenheit auf einige wenige foto- oder videobegeisterte Eltern beschränkt, so ist heute fast jeder mit dabei. Und anders als früher landen einige der entstandenen Medien auch schnell in sozialen Netzwerken. Man möchte die Freude teilen und die Fotos und Videos auch anderen, die dabei waren, zur Verfügung stellen.
Eltern fotografieren ihre Kinder bei einer Entlassfeier in der Aula der Schule mit ihren Smartphones.
Seit Beginn der Umsetzung der DS-GVO am 25.05.2018 herrscht an mancher Schule herrscht große Unsicherheit, ob die bisherige Praxis so weiter Bestand haben kann, braucht die Schule selbst doch Einwilligungen der Erziehungsberechtigten für das Anfertigen von Fotos von Schülerinnen und Schülern. In Folge untersagten dann Schulen Eltern das Fotografieren bei Schulveranstaltungen. Über die Medien bekannt geworden sind mehrere solche Fälle, z.B. im Raum München, wo eine Schule Eltern das Fotografieren auf dem Schulgelände grundsätzlich verbietet, und in der Lausitz, wo die Schulleitung Teilnehmern der Einschulungsfeier Fotos und Video im Kulturhaus und auf dem Schulgelände untersagt. Auch ein bayrisches Schulamt empfiehlt Schulen, dass Eltern das Fotografieren nicht mehr erlaubt werden soll. Verwiesen wird in allen Fällen auf die DS-GVO. Im Schulamt Cottbus hält man ein generelles Fotografierverbot für nicht angemessen, sieht jedoch die Erfordernis einer vorherigen Einwilligung durch alle Eltern8„Ein generelles Fotografierverbot wäre nicht angemessen und würde bei den Eltern auf Unverständnis stoßen. Um allerdings Fotos machen zu können, bräuchte man das Einverständnis aller Eltern“, sagt Gerald Boese.“ Schulanfang 2018 und die DSGVO – Grundschule verbietet Eltern Fotos bei Einschulungs-Feier und verweist sonst auf die Möglichkeit, Fotos außerhalb der Veranstaltung zu machen.

Die rechtliche Seite

Grundsätzlich kann die Schulleitung durch ihr Hausrecht tatsächlich Besuchern das Anfertigen von Fotos und Videos auf dem Schulgelände untersagen. Doch ist das zur Einhaltung der Vorgaben der DS-GVO tatsächlich erforderlich? Bei der Anfertigung von Fotografien und Videos auf schulischen Veranstaltungen geht es rechtlich um zwei verschiedene Dinge, das Anfertigen selbst und die Veröffentlichung. Der bayrische Datenschutzbeauftragte Thomas Petri sieht kein Problem darin, wenn Eltern Fotos ihrer Kinder anfertigen und andere Kinder auf diesen Fotos als „Beiwerk“ erscheinen. Allerdings macht es, wenn es um das Veröffentlichen in sozialen Netzwerken geht, seiner Meinung nach schon einen Unterschied, ob die Fotos irgendwo entstehen oder in einer Schule.

„Das Veröffentlichen von Fotos, die bei Schulveranstaltungen gemacht wurden, ist etwas heikler: Denn die Schule ist ein besonders geschützter Rahmen. Für das private Familienalbum ist das Fotografieren ok. Anders bei einer Veröffentlichung auf Facebook. Dann müssen Eltern mit Haftungsrisiken leben, wenn sich Eltern anderer mit abgebildeter Kinder gegen die Veröffentlichung zur Wehr setzen.“ 9Datenschutz bei Kindern; Wenn Schulen und Kitas das Fotografieren verbieten, 05.07.2018

Genau in die gleiche Richtung argumentiert auch Thomas Stadler, ein Fachanwalt für IT- Recht, in seinem Beitrag „Fordert der Datenschutz ein Fotografierverbot auf Schulfesten?“ Er sieht keine Erfordernis für ein Verbot, da sich aus der DS-GVO kein solches ableiten lasse. Vielmehr sieht er eine Anwendbarkeit der Datenschutz Grundverordnung in derartigen Fällen für nicht gegeben, wenn die Anfertigung der Fotos ausschließlich persönlichen und familiären Zwecken dient.

Art. 2 Abs. 2 c) DSGVO besagt, dass der Anwendungsbereich der Verordnung nicht eröffnet ist, wenn natürliche Personen personenbezogene Daten zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten erheben. Das trifft auf das Fotografieren auf Schulveranstaltungen zu rein privaten Zwecken unzweifelhaft zu.“

Nicht unerwähnt bleiben soll an dieser Stelle, dass es zu dieser Frage auch andere Sichtweisen gibt. Kevin Leibold, Dipl. Jurist für Datenschutzrecht, IT-Recht und Urheberrecht ist der Meinung, dass die Anfertigung von Fotografien bei Schulfeiern durch die DS-GVO geregelt wird, da sie nicht unter die in Art. 2 Abs. 2c) beschriebene Ausnahme fällt:

„Auch für das Anfertigen der Fotos für bspw Schulfeiern ist mE nicht die Ausnahme nach Art. 2 Abs. 2 lit. c #DSGVO einschlägig. So sieht es auch der EuGH-C-212/13 wonach diese Ausnahme eng auszulegen ist und die Miterfassung des öffentlichen Raumes dies ausschließt #heiseshow“10via Twitter https://twitter.com/kleibold23/status/1024966626792353792

Wie Aussagen des Thüringer Datenschutzbeauftragte Hasse zeigen, vertritt er diese Ansicht nicht alleine und fasst die Vorgaben sogar noch enger11„Da hat der Europäische Gerichtshof einen Riegel vorgeschoben indem er sagt, privat und familiärer Umkreis bedeutet, dass es im familiären und privaten Umkreis desjenigen der die Fotos macht, passiert. Dieser Kreis ist aber verlassen, wenn der Fotografierende oder Videografierende außerhalb dieses Kreises Aufnahmen macht. Also im öffentlichen Verkehrsraum oder dem Nachbargrundstück. Dann braucht man eine Einwilligung. Auch dann, wenn ich diese Bilder nicht veröffentlichen will.“; Kinderfotos schwärzen – muss das sein?; MDR Jump 02.08.2018. Die aktuelle Diskussion tendiert momentan allerdings etwas mehr in Richtung der Auffassung von Herrn Stadler.12Siehe auch die Diskussion auf Twitter, die auf Seite 2 dieses Beitrags wiedergegeben ist. Die Auslegung von Art. 2 Abs. 2c) hat schon viele Experten beschäftigt und füllt seitenlange Kommentare. Im Streitfall wird es dann letztlich eine Entscheidung der Richter sein. Unabhängig davon hat die Veröffentlichung der von Eltern auf Schulveranstaltungen angefertigten Fotos und Videos einen anderen rechtlichen Charakter. Hier ist nach Einschätzung von Thomas Stadler eine Einwilligung der Betroffen auf jeden Fall erforderlich.

„Wer also auf Instagram oder Facebook Fotos veröffentlicht, auf denen Personen zu erkennen sind, muss diese Menschen fragen, bevor er die Fotos postet.“

Im Alltag wird wohl kaum jemand eine solche Einwilligung einholen. In der Regel wird das auch nicht zu Problemen führen, da bei solchen Veranstaltungen fast jeder fotografiert. Dass es eventuell doch einmal zu rechtlichen Folgen kommen kann, ist allerdings nie auszuschließen. Darüber hinaus ist auch das letzte Wort noch nicht gesprochen, was das Kunsturheberrechtsgesetz (KUG) und seine Stellung und Geltung gegenüber der DS-GVO angeht.

Fazit

Für Schulen lässt sich aus den Vorgaben der DS-GVO keine Notwendigkeit ableiten, Eltern, anderen Familienangehörigen Freunden und der Schülerinnen und Schüler das Anfertigen von Fotografien und Videos auf schulischen Veranstaltungen zu untersagen. Schulen stehen hier in keiner diesbezüglichen Pficht. Was schon immer möglich war, ist auch weiterhin möglich. Wer als Besucher einer schulischen Veranstaltung mit familiärer oder freundschaftlicher Beziehung zu den Schülerinnen und Schülern dort Fotos oder Videos anfertigt, sollte jedoch bei der Veröffentlichung in sozialen Medien eine ausreichende Sorgfalt walten lassen. So lassen sich Konflikte mit anderen Personen oder deren Angehörigen vermeiden, wenn diese auf Fotos oder Videos mit auftauchen.
Seiten: 1 2
Veröffentlicht am

Welche Löschfristen gelten für personenbezogene Daten auf einem dienstlichen USB Stick?

Lesezeit: 2 MinutenNach Lektüre meines Themen Beitrags USB Sticks und Datensicherheit, in welchem erklärt wird, welche Möglichkeiten es gibt, USB Sticks so zu sichern, dass die Vertraulichkeit der darauf gespeicherten personenbezogenen Daten gewährleistet ist, stellte sich ein Leser die Frage, wie es mit den Löschfristen der auf einem dienstlichen USB Stick gespeicherten personenbezogenen Daten aus der Schule aussieht.

„Bei einem privaten Endgerät beträgt die Löschfrist ein Jahr zum Ende des Kalenderjahres. Ändert sich etwas, wenn die Schule den Kolleginnen und Kollegen einen schulischen USB-Stick zur Verfügung stellt? Gilt dann die 5 Jahresfrist?“

Die VO-DV I legt unter §9 Abs. 2 für die Aufbewahrung und Löschung von auf privaten Endgeräten von Lehrkräften gespeicherte personenbezogene Daten aus der Schule gesonderte Fristen fest, die deutlich kürzer sind als die für Computer in der Schule.

„(2) Sind die Daten nach Absatz 1 in öffentlichen ADV-Anlagen oder auf Datenträgern gespeichert, gelten die Aufbewahrungsfristen entsprechend. Für in privaten ADV-Anlagen gespeicherte Daten (§ 2 Abs. 2) beträgt die Aufbewahrungsfrist ein Jahr. Sie beginnt abweichend von Absatz 1 mit Ablauf des Kalenderjahres, in dem die Schülerin oder der Schüler von der Lehrerin oder dem Lehrer nicht mehr unterrichtet wird.“

Die Frage ist nun also, fallen von der Schule bereitgestellte, dienstliche USB Sticks unter öffentliche Datenträger oder muss man sie doch eher wie private ADV-Anlagen betrachten?

  • Richtet man sich nach dem Wortlaut der VO-DV I (grammatikalische Auslegung), gilt die Regel mit der Löschfrist nach einem Jahr ab Ablauf des Kalenderjahres eindeutig nur für private Endgeräte. Ein von der Schule zur Verfügung gestellter USB Stick fiele demnach nicht unter diese Regelung und wäre gleichzubehandeln mit einem öffentlichen Datenträger, wie im ersten Satz von §9 Abs. 2 genannt. Entsprechend würden hier dann auch die dafür geltenden Löschfristen zutreffen.
  • Man könnte die Sache allerdings auch dem Sinn und Zweck nach betrachten (teleologische Auslegung). Wenn man also zu dem Schluss kommt, der dienstlich bereitgestellte USB Stick wird vom Charakter her wie ein privater USB Stick genutzt, dann müsste der USB Stick wie ein Privatgerät behandelt werden und entsprechend die einjährige Löschfrist gelten.

Eine gleiche Fragestellung würde sich auch für Dienstgeräte ergeben und die Löschfristen dort. Persönlich würde ich eher zur grammatikalischen Auslegung tendieren.

Käme es zu einem Streitfall, würde man entsprechend argumentieren. Das sollte vor Gericht ausreichen.

Man sollte die Frage bezüglich der Löschfristen sicher auch noch unter dem Gesichtspunkt der Datenminimierung betrachten. Ist es erforderlich, dass auf einem USB Stick personenbezogene Daten von Schülern gespeichert sind, die eine Lehrkraft das letzte Mal zwei Jahren zuvor unterrichtet hat? Diese Frage kann man in der Mehrheit der Fälle wohl verneinen. Und es bliebe der Lehrkraft immer noch die Möglichkeit, die Daten in der Schule in einem ihr zugewiesenen Verzeichnis im Verwaltungsnetz abzulegen.

Veröffentlicht am

Auftragsverarbeitung und die Form des Vertragsschlusses

Lesezeit: 4 MinutenViele Schulen sind erst durch die Datenschutz Grundverordnung darauf aufmerksam geworden, dass sie in Bezug auf die Dokumentation zum Datenschutz etwas tun müssen. Es reicht dabei allerdings nicht aus, lediglich ein Verzeichnis von Verarbeitungstätigkeiten anzulegen, sondern es müssen auch Verträge zur Auftragsverarbeitung (AV Verträge) abgeschlossen werden, wenn die Verarbeitung personenbezogener Daten außerhalb der schuleigenen IT Systeme erfolgt. Damit ergeben sich jedoch gleich neue noch komplexere Probleme – wo und wie schließt man die Verträge zur Auftragsverarbeitung ab?

Schulträger/ kommunales Rechenzentrum/ regionale Dienstleister

Relativ unproblematisch ist der Abschluss von Verträgen zur Auftragsbearbeitung, wenn die Dienste eines kommunalen Rechenzentrums genutzt werden, da diese in der Regel von sich aus entsprechende Verträge anbieten. Ähnliches gilt für Dienstleister im deutschsprachigen Raum, die Softwareprodukte für Online Klassenbücher, digitale Schwarze Bretter, Classroom Management Systeme, Lernplattformen und ähnlich anbieten. Schwieriger wird es schon, wenn ein solcher Vertrag mit dem Schulträger abgeschlossen werden muss, wobei das kommunale Rechenzentrum oder ein anderer Dienstleister nur Unterauftragnehmer ist. Das liegt daran, dass Schulträger sich häufig nicht als Auftragnehmer begreifen, wenn es um schulische Datenverarbeitung geht.

Hoster für Schulhomepage

Auftragsbearbeitung liegt auch vor, wenn für den Betrieb der Schulhomepage ein Hoster genutzt wird. Bei den meisten Schulhomepages dürfte dieses der Fall sein. Teilweise machen die Anbieter ihre Kunden von sich aus auf die Möglichkeit, einen entsprechenden Vertrag abzuschließen, aufmerksam. In der Regel liegt dieser als vom Hoster vorunterzeichneter Vertrag in Form einer PDF Datei vor. Die Schule druckt diese Datei aus, füllt den Kopfteil aus, unterzeichnet, scannt das Dokument ein und sendet es per E-Mail an den Hoster zurück. Der bestätigt den Eingang.

Genau genommen war der Vertrag zur Auftragsverarbeitung schon in dem Moment gültig, wo die Schule ihn für sich ausgefüllt und unterzeichnet hat. Von Seiten des Hosters lag bereits mit dem zum Download bereitgestellten, unterzeichneten Vertrag eine Willenserklärung vor.13Was damit gemeint ist, wird unten erklärt.. Man sollte den Vertrag totzde zurücksenden, denn erst dadurch erlangt der Hoster Kenntnis von der Zeichnung des Vertrags.

Große internationale Dienstleister

Schwieriger kann es werden, wenn es um Verträge mit internationalen Dienstleistern in der Branche geht. Nicht alle bieten einen downloadbaren vorunterzeichneten Vertrag an wie die Firma Apple für den Apple School Manager (ASM) oder Microsoft für Office 365. Apple bietet für die Nutzung des ASM einen vorunterzeichneten Vertrag im PDF Format an14Der Vertrag, das „Apple School Manager Agreement“ ist im ersten Teil in englischer Sprache gefasst. Im zweiten Teil sind deutschsprachige Teile, die unterzeichnet werden müssen, um Gültigkeit zu erlangen.. Bei Microsoft ist der vorunterzeichnete Vertrag im Docx Format gehalten15Es geht hier um dem OST Vertrag. Man wählt die Sprache, lädt ihn herunter, druckt ihn aus und unterzeichnet auf der vorletzten Seite. Soll der Vertrag digitalisiert verwahrt werden, empfiehlt es sich, das PDF Format zu wählen.16Für die Office 365 mit der MS Cloud Deutschland wird der AV Vertrag mit der Telekom abgeschlossen, die Datentreuhänder ist für Microsoft..

Was ist, wenn der Dienstleister keinen Vertrag in der oben beschrieben Form anbietet, sondern lediglich eine Möglichkeit, eine Webseite durchzulesen und den Vertrag mit dem Bestätigen einer Checkbox abzuschließen?

Bei Google heißt es an der Stelle, wo es bisher einen Vertrag zum Download gab,

Stattdessen steht ab diesem Zeitpunkt ein Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO zur Verfügung, den Sie elektronisch abschließen können (vgl. Sie bitte Art. 28 Abs. 9 DSGVO zur Möglichkeit, Auftragsverarbeitungsverträge auch in ‘elektronischer Form’ abzufassen).17https://static.googleusercontent.com/media/www.google.de/de/de/analytics/terms/de.pdf

Einen AV Vertrag elektronisch abschließen – geht das?

Das Thema ist nicht ganz einfach. Zwar sagt Art. 28 Abs. 9 DS-GVO, dass die Abfassung des Vertrags auch „in einem elektronischen Format erfolgen kann„, doch wie dieses elektronische Format genau auszusehen hat, darüber herrscht keine absolute Einigkeit unter den Experten.

Dass es der Papierform für einen Vertrag nicht mehr bedarf und man stattdessen mit digitalen Dokumenten in Word- oder  PDF-Format arbeiten kann, daran besteht wenig Zweifel. Das entscheidende Kriterium ist hier, dass das gewählte Format sicherstellt, dass nachträgliche Änderungen technisch unmöglich ist. In der Fachliteratur findet man dazu folgende Ausführung.

Vielmehr ist es nach Art. 28 Abs. 9 DS-GVO ausreichend, dass der Auftragsverarbeitungsvertrag durch zwei gegenseitige Willenserklärungen i. S. v. §§ 145 ff. BGB geschlossen und zumindest elektronisch „abgefasst“ wird. Entscheidend ist, dass der Vertragsschluss in irgendeiner Form dokumentiert wird. Einer Verkörperung, z. B. als Ausdruck, bedarf es zwar nicht, jedoch muss das gewählte Format sicherstellen, dass nachträgliche Änderungen technisch unmöglich sind und ersichtlich bleibt, dass zwei kongruente Willenserklärungen vorlagen. 18Koreng/Lachenmann DatenschutzR-FormHdB, 1. Vergleich Auftragsverarbeitung nach dem BDSG und der DS-GVO Rn. 1. – 7., beck-online

Der Punkt ist nun, wie man die beiderseitige Willenerklärung dokumentiert. Einige Experten sind der Ansicht, es bedürfe dazu einer elektronischen Signatur. Allerdings geben andere europäische Rechtsnormen keinen Hinweis darauf, dass dieses erforderlich ist19Kühling/Buchner/Hartung, DS-GVO, Art. 28 Rn. 94 ff.. Nach Koreng/Lachmann sollte es möglich sein, dass

bei einem Onlinevertragsschluss der Vertrag über die Auftragsverarbeitung digital bereitgestellt werden kann.

Dann wiederum sollte es ausreichen, wenn der Kunde mit dem Bestätigen einer Checkbox ein

ein rechtswirksames Angebot auf einen bereitgestellten Vertrag abgeben kann, das der Vertragspartner sodann mit dem Hauptvertrag annimmt, wenn der Vertrag speicher- und druckbar ist.

Letzteres ist von Bedeutung, um den Vertragsabschluss auch auf Seiten der Schule zu dokumentieren. Es empfiehlt sich, die eigene Willensbekundung zum Abschluss des AV Vertrags, wenn sie nur durch Bestätigen einer Checkbox möglich ist, ebenfalls zu dokumentieren. In der Regel sollte die Annahme des Vertrags zur Auftragsverarbeitung in der Online Vertragsverwaltung an irgendeiner Stelle angezeigt werden. Diese Seite sollte man dann ausdrucken. Der Anbieter hat seine Willensbekundung bereits mit der Bereitstellung des Vertrags auf seinem Portal getätigt. Im folgende Beispiel sieht man, wie so etwas aussehen könnte.

Wenn es kein PDF gibt

Bietet der Dienstleister, so wie Google bei Google Analytics oder der G-Suite for Education keinen AV Vertrag als PDF zum Download an, empfehle ich folgendes Vorgehen, um den Abschluss eines AV Vertrages zu dokumentieren.

  • Wenn bei Anbieter im Kontobereich/Vertragsverwaltungsbereich des Nutzungsvertrages die erfolgte Zeichnung des AV Vertrags angezeigt wird, wie im folgenden Beispiel bei G-Suite for Education, dann sollte man diese Seite als PDF sichern oder ausdrucken.20Die Namen sind hier aus Gründen des Datenschutz herausgelöscht.
  • Den eigentlichen Vertrag und zugehörige Bestandteile (bei Google beispielsweise die Standardvertragsklauseln) sollte man ebenfalls als PDF abspeichern.

Auf diese Art und Weise kann man erstens die Willensbekundung der Schule dokumentieren, den Vertrag einzugehen, und zweitens der Erfordernis nachkommen, den Vertrag in einem Format zu sichern, welches eine nachträgliche Änderung technisch unmöglich macht21Natürlich kann man auch ein PDF verändern, doch es geht hier weniger darum, dass die Schule den AV Vertrag ändern könnte, sondern der Auftragnehmer, etwa Google..

Fazit

Noch herrscht einige Unsicherheit, selbst unter Experten, wie genau der Abschluss eines Vertrags zur Auftragsverarbeitung in elektronischer Form aussehen sollte. Weder Experten noch Anbieter sind hier einer Meinung, wie bei letzteren die unterschiedlichen Formen, AV Verträge bereitzustellen zeigen. Grundsätzlich empfiehlt es sich, mit einem Vertrag in Form eines vorunterzeichneten PDF zu arbeiten, wenn dieses möglich ist. Bei Anbietern, die diesen Weg nicht anbieten, sollte man den Vertragsabschluss möglichst gut dokumentieren und den Vertrag selbst in einem sicheren Format speichern oder auch ausdrucken.

Es ist zu erwarten, dass die Zukunft Rechtssicherheit bringen wird, was genau unter einem elektronischen Format nach Art. 28 Abs. 9 DS-GVO zu verstehen ist. Entsprechende Nachsteuerungen durch den Gesetzgeber oder Urteile von Gerichten werden dafür sorgen. Bis dahin sollte man einen der oben beschriebenen Wege nutzen.

Weitere Informationen

Veröffentlicht am

Einwilligung und Zweckänderung

Lesezeit: 2 Minuten

Frage: ich fotografiere einen Schüler (anlassbezogen gibt es eine Genehmigung22Aus Sicht des Datenschutz wird immer von EINWILLIGUNG gesprochen!). Darf ich das Foto online an CEWE Fotodienst schicken zum Ausdrucken?

In der Einwilligung ist, so lässt die Frage vermuten, nicht aufgeführt, dass das Foto der betroffenen Person über einen externen Dienstleister ausgedruckt und diesem dazu das Foto übermittelt werden soll. Daher rührt wohl die Unsicherheit, ob das Foto auf der Grundlage der bestehenden Einwilligung übermittelt werden darf.

Die Antwort ist recht einfach.

Eine wirksame Einwilligung setzt voraus, dass sie bestimmt ist. Wenn eine Einwilligung sich nicht auf bestimmte Datenverarbeitungszwecke beschränkt, ist sie unwirksam. Das bedeutet nicht, dass sie sich auf einen einzigen Zweck beschränken muss. Die betroffenen Personen, Eltern oder Schüler, können ihre Einwilligung für einen oder mehrere bestimmte Zwecke geben (Art. 6 Abs. 1).

Das heißt, die Einwilligung muss die Zweckbestimmung festlegen. Sie muss eindeutig sein und legitim. Von daher ist es wichtig, dass die Zweckbestimmung so präzise wie möglich angegeben ist.

Der Verantwortliche, die Schule, muss sicherstellen, dass die personenbezogenen Daten nicht für Zwecke verarbeitet werden, mit denen die betroffene Person bei der Erhebung nicht rechnen musste.

Mit den Anforderungen an eine wirksame Einwilligung ist somit schnell zu verstehen, was dieses für eine Zweckänderung bedeutet. Eine Zweckänderung ergibt sich auch durch einen neuen Zweck. Kommt nachträglich ein neuer Verarbeitungszweck hinzu, wie vermutlich in diesem Fall mit der Übermittlung an einen Fotodienstleister, bedarf es dazu einer entsprechenden Einwilligung der betroffenen Person. 23Zwar gibt es nach (Art. 6 Abs. 4) auch die Möglichkeit, abzuwägen, ob der neue Verarbeitungszweck eine zweckkompatible Verarbeitung bedeutet. Kommt man nach den Kriterien von Abs. 4  zu dem Schluss, dass mit der Weiterverarbeitung der Daten zu einem anderen als dem ursprünglich verfolgten Zweck eine zweckkompatible Weiterverarbeitung vorliegt, braucht es keine neue Einwilligung. (Kühling/Buchner Art. 6 RN 181). Es mag Fälle geben, wo diese Abwägung einfach ist. Wer keinen Fehler machen möchte, sichert sich durch eine zusätzliche Einwilligung ab.

Im angefragten Fall bedeutet dieses: Schließen die in der Einwilligung aufgeführten Verarbeitungszwecke nicht die Übermittlung und Verarbeitung der Fotos an einen externen Dienstleister mit ein, sollte hierfür aus datenschutzrechtlciher Sicht eine zusätzliche Einwilligung eingeholt werden.

Tipp: Von daher erspart man sich Arbeit, wenn man beim Einholen der Einwilligung alle beabsichtigten Verarbeitungszwecke von vorneherein mitbedenkt. Damit ist jedoch nicht gemeint, dass man versucht, direkt pauschal jeden möglichen Verarbeitungszweck abzudecken, denn dieses würde dem Grundsatz der Bestimmtheit widersprechen.

Veröffentlicht am

Müssen Schulen einen Datenschutzbeauftragten an die Aufsichtsbehörden melden?

Lesezeit: 2 Minuten

Pflicht zur Meldung des Datenschutzbeauftragten an die Aufsichtsbehörden

Nach Art 37 Abs 7 der DS-GVO veröffentlicht der Verantwortliche oder Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragten 24Siehe dazu auch den Beitrag Muss der Datenschutzbeauftragte auf die Schulhomepage? 25Siehe auch FAQ zum Datenschutzbeauftragten; Nr. 14 – der LDI NRW < und

„teilt diese Daten der Aufsichtsbehörde mit.“

Diese Vorgabe gilt auch für öffentliche Stellen wie Schulen. Für die Aufsichtsbehörde ist diese Meldung von Bedeutung, da der Datenschutzbeauftragte nur so in der Lage ist seiner Tätigkeit als Anlaufstelle für die Aufsichtsbehörde effektiv nachgehen zu können (vgl. Artikel 39 Absatz 1 Buchstabe e) DS-GVO).

Praktische Umsetzung bei Schulen – offene Fragen

Bisher ist leider nicht klar, ob jede einzelne Schule diese Meldung separat für sich machen muss. Schulen in NRW brauchen keine eigenen Datenschutzbeauftragten, denn es gibt die behördlich bestellten schulischen Datenschutzbeauftragten. In jedem Kreis bzw. jeder kreisfreien Stadt wurde dafür eine zuständige Person benannt. Teilweise sind es auch zwei Personen, die sich diese Zuständigkeit teilen. Alle diese Personen sind dem MSB bekannt (siehe Übersicht Behördliche Datenschutzbeauftragte) wie auch den fünf Bezirksregierungen.

In NRW gibt es 5.105 öffentliche Schulen26siehe Statistik-TELEGRAMM 2017/18. Würde jede einzelne eine Meldung machen, wären es entsprechend viele Meldungen. Da jeder behördliche Datenschutzbeauftragte für mehrere Schulen zuständig ist, würde jede dieser Personen x-fach gemeldet.

Von daher macht es eher Sinn, wenn das MSB jetzt am Start einmal die Aufsichtsbehörde, die LDI NRW, informiert. Das wäre eine Meldung. Spätere Änderungen werden dann entweder die Kreise bzw. kreisfreien Städte oder die Bezirksregierungen mitteilen. Dass jede Schule dieses für sich übernimmt, führt zu einer unnötigen Flut an Meldungen und Arbeit. Übernehmen die Kreise und kreisfreien Städte diese Aufgabe, geht es um 52 behördliche Datenschutzbeauftragte plus eventuell deren Vertreter.

Mitteilungen an die LDI NRW werden ab dem 25. Mai 2018 möglich sein. Nach einer Information der LDI NRW soll es dazu dann eine Möglichkeit zur Online-Meldung über die Homepage der Aufsichtsbehörde geben.

Wird der Datenschutzbeauftragte nicht gemeldet, so stellt dieses bereits einen Verstoß gegen die Vorgaben der Datenschutzgesetzgebung dar.

Abwarten empfohlen

Es soll für den Start eine Übergangsfrist geben. Dieses ist auf der Homepage der LDI NRW bekanntgegeben.

WICHTIGER HINWEIS: Wir beabsichtigen, unterlassene Meldungen der Kontaktdaten der/des Datenschutzbeauftragten während einer Übergangszeit bis zum 31.12.2018 nicht als Datenschutzverstöße zu verfolgen oder zu ahnden.

Das MSB hat sich bisher nicht zu der Frage geäußert, wie die Meldung praktisch umgesetzt werden soll, ob es eine erste Meldung durch das MSB gibt oder die Bezirksregierungen. Da bis zum 31.12.2018 eine Übergangsfrist besteht, empfehle ich Schulen in NRW (bis zur Klärung dieser Frage) zunächst einige Wochen abzuwarten. Es wird hier sicher noch eine Mitteilung von Seiten des Ministeriums oder der Bezirksregierungen geben. Natürlich steht es jeder Schule frei, ihren Datenschutzbeauftragten direkt nach dem 25.05.2018 zu melden. Es ist kein Schaden.

Veröffentlicht am

Abmahnung & Schulhomepage

Lesezeit: 3 MinutenDie Umsetzung der Datenschutz Grundverordnung (DS-GVO) steht unmittelbar bevor. Überall im Internet werkeln die Betreiber von Blogs und anderen Internetauftritten an den Einstellungen ihrer Webseiten, um die Erhebung von personenbezogenen Daten bei den Besuchern zu vermeiden oder zumindest zu reduzieren. Mechanismen zur Einholung von Einwilligungen bei Cookies, Kommentaren und dem Abonnement von Newslettern werden eingerichtet. Datenschutzerklärungen werden schnell noch angepasst oder gar erst erstellt, um den Pflichten der DS-GVO nachzukommen. Gleiches ist auch bei den Machern von Schulhomepages zu beobachten.

Alle haben Angst vor der drohenden Abmahnung!!!! 

Das ist es das Unwort, AbMahnung. Muss eine Schule sich hier überhaupt Gedanken machen? Kann eine Schule wegen ihrer Schulhomepage und dort begangenen Rechtsverstößen abgemahnt werden?

Beschäftigt man sich näher mit dem Thema Abmahnung, dann sieht man schnell, dass eine Schule prinzipiell zwar durchaus abgemahnt werden kann wegen Inhalten der Schulhomepage, dass dieses wegen des Thema Datenschutzes jedoch eher unwahrscheinlich ist. Warum?

JuraWiki beschreibt den Begriff Abmahnung wie folgt:

„Allen Abmahnungen gemeinsam ist, dass sie ein bestimmtes Verhalten rügen. Es wird darauf hingewiesen, dass man dies nicht toleriert und bei forgesetztem Fehlverhalten Konsequenzen drohen.“

Abmahnungen sind in verschiedenen Rechtsbereichen vertreten. Arbeitsrecht, Mietrecht und Verwaltungsrecht treffen auf eine Schulhomepage nicht zu. Schulen in öffentlicher Trägerschaft können eindeutig auch nicht vom Wettbewerbsrecht betroffen sein. Es bleiben noch das Urheberrecht, das Markenrecht und das Persönlichkeitsrecht.

Hier können sich tatsächlich Konstellationen in Bezug auf die Homepage ergeben, aus denen Abmahnungen folgen könnten.

Urheberrecht

Finden sich auf einer Schulhomepage urheberrechtlich geschützte Materialien, die ohne Erlaubnis des Rechteinhabers dort genutzt werden, so hat der Rechteinhaber die Möglichkeit, sich über eine Abmahnung dagegen zu wehren. Alternativ werden auch Lizenzkosten erhoben. Fälle, dass dieses sogar mit Creative Commons lizenzierten Bildern geschieht, sind bekannt. Dabei waren dann die Lizenzangaben nicht richtig oder unvollständig gemacht worden.

Markenrecht

Die Nutzung urheberrechtlich geschützter Markenzeichen kann auf einer Schulhomepage, sofern keine Einwilligung des Rechteinhabers vorliegt, eine Abmahnung zur Folge haben. Dazu gehören auch die Logos von Sportmannschaften.

Persönlichkeitsrecht

Auch bei Verletzungen des Persönlichkeitsrechts sind Abmahnungen möglich, auch gegen Schulen. Das könnte der Fall sein, wenn auf einer Schulhomepage über eine Person berichtet wird, so dass das Persönlichkeitsrecht verletzt wird, etwa durch eine grob sachlich falsche oder beleidigende Darstellung einer Person.

An dieser Stelle sind durchaus Überschneidungen mit dem Datenschutzgesetz möglich, etwa wenn Informationen ohne Einwilligung des Betroffenen auf der Schulhomepage veröffentlich werden und diese Informationen rufschädigende Wirkung haben.

Da es bei einer Abmahnung darum geht, jemanden dazuzubringen, ein Verhalten zu unterlassen, und es bei den Inhalten von Schulhomepages in der Regel um Personen geht, die der Schule bekannt sind, muss es schon weit kommen, dass eine Person zur Abmahnung als letztes Mittel greift, wenn es zu einer Verletzung des Persönlichkeitsrechts kommt.

Was ist mit dem Impressum?

Eine Abmahnung wegen fehlenden oder fehlerhafen Impressums ist eine Abmahnung aus dem Bereich des Wettbewerbsrechts. Auf Schulen in öffentlicher Trägerschaft trifft das normalerweise nicht zu.27Ob man einer Schule, die Werbebanner auf ihrer Homepage betreibt und Amazon Affiliate Links nutzt, einen Strick daraus drehen könnte, halte ich für wenig wahrscheinlich. Eine Abmahnung wegen fehlenden Impressums ist von daher auch nicht wirklich möglich. Haben sollten Schulhomepages ein Impressum aber auf jeden Fall.

Gibt es nicht doch Möglichkeiten, wo eine Schule wegen der Schulhomepage in Bezug auf Verletzungen des Datenschutz abgemahnt werden kann?

Schaut man sich die Rechtsbereiche an, bei denen Abmahnungen üblich sind, so ist schnell klar, dass bei Verstößen gegen die Datenschutzgesetzgebung, wenn es um Schulen geht, nicht mit Abmahnungen gerechnet werden muss. Möglich sind in sochen Fällen Beschwerden bei den Aufsichtsbehörden.

Ist eine fehlende oder fehlerhafte Datenschutzerklärung nicht doch ein Abmahnungsgrund?

Nein, auch nicht. Weder nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) noch nach dem Unterlassungsklagengesetz (UKlaG) ist hier eine Abmahnung möglich, denn in beiden Fällen geht es immer um kommerzielle Interessen des Betreibers der Homepage. Das ist bei einer Schule in öffentlicher Trägerschaft eindeutig nicht der Fall. Eine Datenschutzerklärung ist nach der DS-GVO natürlich trotz allem ein verpflichtender Bestandteil der Schulhomepage.

Fazit

Schulen brauchen sich, wenn es um das Thema Datenschutz und DS-GVO geht, bezüglich ihrer Schulhomepage keine Gedanken machen. Die Wahrscheinlichkeit, dass hier ein Abmahnanwalt ein Geschäft wittert, ist eher gering. Um eine Abmahnung erteilen zu können, braucht es eine Rechtsgrundlage und solange auf einer Schulhomepage keine Urheberrechtsverletzung begangen wird oder die Persönlichkeitsrechte einer Person missachtet werden, ist mit einer Abmahnung nicht zu rechnen. Trotzdem gelten auf jeden Fall die Vorgaben der Datenschutzgesetzgebung, die dazu anhalten die Erhebung von personenbezogenen Daten auf ein Minimum zu beschränken und Nutzer über die Erhebung in Kenntnis zu setzen, ihre Einwilligung einzuholen, wo erforderlich und die Datenverarbeitung über die Homepage allgemein mittels einer Datenschutzerklärung zu informieren.

Bitte beachten, für Privatschulen, die kommerziell betrieben werden, gelten obige Aussagen nicht uneingeschränkt.

Siehe auch:

In einer Reihe von Tweets hat die Rechtsanwältin Nina Diercks am 20.05.2018 sehr gut erklärt, wie es mit dem Abmahnrisiko für Websiten in Bezug auf die DS-GVO aussieht.

Link zum ersten Tweet: https://twitter.com/RAinDiercks/status/998079439727661056

Link zum restlichen Thread (11 Tweets): https://twitter.com/RAinDiercks/status/998080633464344576