Kategorie: Datenschutz Tipps

Veröffentlicht am

Abmahnung & Schulhomepage

Lesezeit: 3 Minuten

Als dieser Beitrag ursprünglich entstand, stand der Beginn der Umsetzung der DS-GVO kurz bevor. Es herrschte große Unsicherheit, wie eine Website im Einklang mit der Datenschutz-Grundverordnung gestaltet werden sollte. Datenschutzerklärungen wurden aktualisiert oder neu erstellt, Cookie Banner eingerichtet und das Laden von kritischen externen Inhalten wie YouTube Videos so umgestellt, dass Nutzer dieses selbst aktivieren müssen. Auf einige Inhalte verzichten viele Websites seither, etwa Google Maps und Google Analytics. Auch Schulen überarbeiteten ihre Internetauftritte entsprechend.

Trotz aller Anpassungen war und ist da immer die Sorge vor dem Schreckgespenst – Abmahnung!!!! 

Auch wenn die Zeit der Abmahnwellen mittlerweile durch ist, bleiben Abmahnungen durch aus ein Thema. Doch muss eine Schule sich hier überhaupt Gedanken machen? Kann eine Schule wegen ihrer Schulhomepage und dort möglicherweise begangenen Rechtsverstößen abgemahnt werden?

Beschäftigt man sich näher mit dem Thema Abmahnung, dann sieht man schnell, dass eine Schule prinzipiell zwar durchaus abgemahnt werden kann wegen Inhalten der Schulhomepage, dass dieses wegen des Thema Datenschutzes jedoch eher unwahrscheinlich ist. Warum?

JuraWiki beschreibt den Begriff Abmahnung wie folgt:

“Allen Abmahnungen gemeinsam ist, dass sie ein bestimmtes Verhalten rügen. Es wird darauf hingewiesen, dass man dies nicht toleriert und bei forgesetztem Fehlverhalten Konsequenzen drohen.”

Abmahnungen sind in verschiedenen Rechtsbereichen vertreten. Arbeitsrecht, Mietrecht und Verwaltungsrecht treffen auf eine Schulhomepage nicht zu. Schulen in öffentlicher Trägerschaft können eindeutig auch nicht vom Wettbewerbsrecht betroffen sein. Es bleiben noch das Urheberrecht, das Markenrecht und das Persönlichkeitsrecht.

Hier können sich tatsächlich Konstellationen in Bezug auf die Homepage ergeben, aus denen Abmahnungen folgen könnten.

Urheberrecht

Finden sich auf einer Schulhomepage urheberrechtlich geschützte Materialien, die ohne Erlaubnis des Rechteinhabers dort genutzt werden, so hat der Rechteinhaber die Möglichkeit, sich über eine Abmahnung dagegen zu wehren. Alternativ werden auch Lizenzkosten erhoben. Fälle, dass dieses sogar mit Creative Commons lizenzierten Bildern geschieht, sind bekannt. Dabei waren dann die Lizenzangaben nicht richtig oder unvollständig gemacht worden. Weitere Informationen finden sich in der von der BR Münster veröffentlichten Schrift Urheberrecht trifft Schule (PDF, 2024), die sich in Kapitel 5 mit dem Thema Abmahnungen befasst und Schulen empfiehlt, sich in solchen Angelegenheiten nicht selbst mit dem Abmahner auseinanderzusetzen, sondern die Angelegenheit unmittelbar an ihre Bezirksregierung abzugeben.

Markenrecht

Die Nutzung urheberrechtlich geschützter Markenzeichen kann auf einer Schulhomepage, sofern keine Einwilligung des Rechteinhabers vorliegt, eine Abmahnung zur Folge haben. Dazu gehören auch die Logos von Sportmannschaften.

Persönlichkeitsrecht

Auch bei Verletzungen des Persönlichkeitsrechts sind Abmahnungen möglich, auch gegen Schulen. Das könnte der Fall sein, wenn auf einer Schulhomepage über eine Person berichtet wird, so dass das Persönlichkeitsrecht verletzt wird, etwa durch eine grob sachlich falsche oder beleidigende Darstellung einer Person.

An dieser Stelle sind durchaus Überschneidungen mit dem Datenschutzgesetz möglich, etwa wenn Informationen ohne Einwilligung des Betroffenen auf der Schulhomepage veröffentlich werden und diese Informationen rufschädigende Wirkung haben.

Da es bei einer Abmahnung darum geht, jemanden dazuzubringen, ein Verhalten zu unterlassen, und es bei den Inhalten von Schulhomepages in der Regel um Personen geht, die der Schule bekannt sind, muss es schon weit kommen, dass eine Person zur Abmahnung als letztes Mittel greift, wenn es zu einer Verletzung des Persönlichkeitsrechts kommt.

Was ist mit dem Impressum?

Eine Abmahnung wegen fehlenden oder fehlerhafen Impressums ist eine Abmahnung aus dem Bereich des Wettbewerbsrechts. Auf Schulen in öffentlicher Trägerschaft trifft das normalerweise nicht zu.1Ob man einer Schule, die Werbebanner auf ihrer Homepage betreibt und Amazon Affiliate Links nutzt, einen Strick daraus drehen könnte, halte ich für wenig wahrscheinlich. Eine Abmahnung wegen fehlenden Impressums ist von daher auch nicht wirklich möglich. Haben sollten Schulhomepages ein Impressum aber auf jeden Fall.

Gibt es nicht doch Möglichkeiten, wo eine Schule wegen der Schulhomepage in Bezug auf Verletzungen des Datenschutz abgemahnt werden kann?

Schaut man sich die Rechtsbereiche an, bei denen Abmahnungen üblich sind, so ist schnell klar, dass bei Verstößen gegen die Datenschutzgesetzgebung, wenn es um Schulen geht, nicht mit Abmahnungen gerechnet werden muss. Möglich sind in sochen Fällen Beschwerden bei den Aufsichtsbehörden.

Ist eine fehlende oder fehlerhafte Datenschutzerklärung nicht doch ein Abmahnungsgrund?

Nein, auch nicht. Weder nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) noch nach dem Unterlassungsklagengesetz (UKlaG) ist hier eine Abmahnung möglich, denn in beiden Fällen geht es immer um kommerzielle Interessen des Betreibers der Homepage. Das ist bei einer Schule in öffentlicher Trägerschaft eindeutig nicht der Fall. Eine Datenschutzerklärung ist nach der DS-GVO natürlich trotz allem ein verpflichtender Bestandteil der Schulhomepage.

Fazit

Schulen brauchen sich, wenn es um das Thema Datenschutz und DS-GVO geht, bezüglich ihrer Schulhomepage keine Gedanken machen. Die Wahrscheinlichkeit, dass hier ein Abmahnanwalt ein Geschäft wittert, ist eher gering. Um eine Abmahnung erteilen zu können, braucht es eine Rechtsgrundlage und solange auf einer Schulhomepage keine Urheberrechtsverletzung begangen wird oder die Persönlichkeitsrechte einer Person missachtet werden, ist mit einer Abmahnung nicht zu rechnen. Trotzdem gelten auf jeden Fall die Vorgaben der Datenschutzgesetzgebung, die dazu anhalten die Erhebung von personenbezogenen Daten auf ein Minimum zu beschränken und Nutzer über die Erhebung in Kenntnis zu setzen, ihre Einwilligung einzuholen, wo erforderlich und die Datenverarbeitung über die Homepage allgemein mittels einer Datenschutzerklärung zu informieren.

Bitte beachten, für Privatschulen, die kommerziell betrieben werden, gelten obige Aussagen nicht uneingeschränkt.

Siehe auch:

In einer Reihe von Tweets hat die Rechtsanwältin Nina Diercks am 20.05.2018 sehr gut erklärt, wie es mit dem Abmahnrisiko für Websiten in Bezug auf die DS-GVO aussieht.

Link zum ersten Tweet: https://twitter.com/RAinDiercks/status/998079439727661056

Link zum restlichen Thread (11 Tweets): https://twitter.com/RAinDiercks/status/998080633464344576

Veröffentlicht am

Datenschutz Tipps & Antworten für Lehrkräfte, die schulische personenbezogenen Daten auf Privatgeräte verarbeiten wollen

Lesezeit: 2 Minuten

Lange Zeit hat sich niemand wirklich Gedanken gemacht, ob es in Ordnung ist, dass eine Lehrkraft die personenbezogenen Daten von Schülern auf ihren privaten Rechnern verarbeitet haben. Wie so viele andere Dinge im Lehreralltag hat man das einfach gemacht. Niemand fragte danach. Genehmigungen wären hier eigentlich schon seit Jahren erforderlich gewesen. An vielen Schulen wusste man davon nichts oder setzte diese Vorgabe nicht um. In NRW hat das Thema mit der Dienstanweisung einen verbindlichen Charakter erhalten. Die   Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken
auf privaten ADV-Anlagen von Lehrkräften gem. § 2 Abs.2 VO-DV I / § 2 Abs.4 VO-DV II  ist für alle Schulen verbindlich. Aber auch in anderen Bundesländern geht ohne Genehmigung nichts.

Die Vorgaben aus der Genehmigung sind orientiert an den technisch organisatorischen Maßnahmen zum Schutz der Daten, die für jede Verarbeitung von personenbezogenen Daten und von denen von Schülerinnen und Schüler insbesondere gelten.

Das Problem ist die Umsetzung dieser Vorgaben. Vielen Lehrkräften fällt das schwer. Deshalb habe ich in Orientierung am Teil B – Datensicherheit – des Genehmigungsformulars aus NRW eine Übersicht erstellt, die angibt, was zu tun ist, wenn man sein Gerät, ob Windows, Mac OS, Linux, iOS oder Android möglichst sicher machen möchte im Sinne der Vorgaben. Die Übersicht ist ein Google Doc mit dem Namen Tipps & Antworten für die Praxis . Das Dokument kann weitergenutzt werden und steht dafür unter einer Creative Commons Attribution 4.0 International Lizenz. Als Urheber ist zu nennen datenschutz-schule.info.

Die FAQ im zweiten Teil bezieht sich auf die Genehmigung aus NRW. Alles andere ist auch in anderen Bundesländern sinnvoll, wenn man als Lehrkraft sicher arbeiten möchte. Das Dokument werde ich versuchen, aktuell zu halten.

Veröffentlicht am

Gelten Löschfristen für Schüler- & Lehrerdaten auch für Schild-NRW?

Lesezeit: 2 Minuten

Schild-NRW ist ein Schulverwaltungsprogramm und es basiert auf einer Datenbanklösung. Jahr für Jahr werden neue Schüler mit den personenbezogenen Daten in das Programm eingepflegt, die früher nur auf dem Schülerstammblatt eingetragen waren. Leistungsdaten kommen zu den Halbjahreswechseln zur Erstellung der Zeugnisse hinzu. Jahr für Jahr wird ein Schuljahreswechsel durchgeführt. Schüler, welche die Schule verlassen, werden entsprechend markiert und verschwinden in den Tiefen der Datenbank.

In der Schulgesetzgebung sind Löschfristen für Schülerdaten (§ 9 Abs. 1 und 2 VO-DV I) und Lehrerdaten (§ 9 VO-DV II) vorgegeben.

Bei Text Dateien sind diese Löschfristen einfach einzuhalten. Baut man auf dem Verwaltungsserver ein Dateisystem mit Jahresbezeichnungen auf, kann man leicht sehen, wann welche Dateien zur Löschung fällig sind, ob es sich um PDF Kopien von Zeugnissen handelt oder Beurteilungen von Lehrkräften. Wie aber sieht das in der Datenbank von Schild-NRW aus?

Aktuell haben die ältesten Schülerdaten in den Schild-NRW Datenbanken von Schulen die Löschfrist von 20 Jahren für Schülerstammblätter noch nicht erreicht, das das Programm noch nicht einmal so alt ist. Bei Lehrerdaten ist die  maximale Löschfrist von 5 Jahren jedoch schon erreicht.

Im Forum zu Schild-NRW gab es einen Eintrag, der eine Perspektive aufzeigt. Unter dem Thread “Schild-NRW / Allgemeines / Re: EU-Datenschutzverordnung – Löschen alter Daten?1Die Beiträge sind mittlerweile nicht mehr verfügbar. hieß es in einer Antwort auf eine entsprechende Frage:

Wir werden auf jeden Fall Funktionen zur Einhaltung der Löschfristen bereitstellen. Wenn man sich die VO-DVI jedoch genau ansieht, dann sind die Löschfristen für bestimmte Daten sehr lang. Schülerstammblätter z.B. 20 Jahre. Unsere Software ist noch gar keine 20 Jahre alt und die beim Schüler hinterlegten Daten werden u.U. alle zum Nachdruck eines Stammblattes benötigt. Aus unserer Sicht ist eine Löschung also noch gar nicht notwendig. Im Sinne der Datensparsamkeit, werden wir aber solche Löschfunktionen früher einführen….

Das klingt gut. Was die Daten der Lehrkräfte angeht, bedeutet es jedoch vorerst noch Handarbeit, wenn man die Daten abgegangener Lehrkräfte nach 5 Jahren fristgerecht löschen will.

Hinweis

Die Löschfristen gelten auch für die angefertigten Sicherungen von Schild-NRW. Da bisher alle jemals erfassten Daten in der Datenbank gespeichert bleiben, müssen Sicherungsdateien, die älter sind als 5 Jahre gelöscht werden, um die darin gespeicherten Lehrerdaten von abgegangenen Lehrkräften fristgerecht zu löschen.

Stand 06/2023

Veröffentlicht am

Welche personenbezogenen Daten von Lehrkräften dürfen OHNE Einwilligung auf die Schulhomepage?

Lesezeit: 2 Minuten

Viele Schulen möchten auf ihrer Schulhomepage über das Schulpersonal und dessen Funktionen informieren, so dass jeder weiß, an wen er sich wenden kann. Dabei herrscht aber oft Unsicherheit, ob es dafür einer Einwilligung der Betroffenen bedarf. Die eine oder andere Lehrkraft möchte nicht namentlich auf der Schulhomepage genannt werden. Wie sieht die rechtliche Seite aus? Die folgenden Aussagen beziehen sich auf NRW. In anderen Bundesländern, vor allem denen ohne ein Informationsfreiheitsgesetz können andere Regelungen gelten.

In einer FAQ für den Lehrerrat des Philologen-Verband NW heißt es dazu:

In Nordrhein-Westfalen gestatten die §§ 12 und 9 Absatz 3 Informationsfreiheitsgesetz Nordrhein-Westfalen (IFG NRW) die Veröffentlichung von Namen, Titeln, akademischen Graden, Berufs- und Funktionsbezeichnungen, Büroanschriften und dienstlichen Rufnummern sowie dienstlichen E-Mail-Adressen der Lehrkräfte und des sonstigen Schulpersonals ohne deren Einwilligung, sofern keine schutzwürdigen Belange entgegenstehen. Gleichwohl sind die Betroffenen vor einer Veröffentlichung zu informieren. Das IFG NRW gilt im Übrigen nur für öffentliche Schulen in Nordrhein-Westfalen.

Das Informationsfreiheitsgesetz Nordrhein-Westfalen (IFG) gilt auch mit dem Inkrafttreten der DS-GVO weiterhin nahezu unverändert.

Von Seiten der LDI NRW gibt es ein Schreiben von 2017 (Az.LDI:212.4.1.1-4248/16)1, in welchem auch die Veröffentlichung der Daten von Lehrkräften auf der Schulhomepage thematisiert wird. Das Schreiben ist hinterlegt bei http://docplayer.org/, die sich u.A. über Google Werbung finanziert. Entsprechende Cookies und Tracker werden dort genutzt!.

Nach Einschätzung der LDI NRW ist es im Rahmen des Informationsfreiheitsgesetz NRW möglich “Übersichten über Aufgaben- und Funktionszuweisungen innerhalb des Lehrerkollegiums grundsätzlich zu veröffentlichen, wenn der Veröffentlichung nicht im Einzelfall ausnahmsweise – eng auszulegende – schutzwürdige Belange einer betroffenen Lehrerin oder eines Lehrers entgegenstehen.” Außerdem heißt es “Gemäß § 12 Satz 3 IFG NRW hat die Veröffentlichung der Übersichten – soweit möglich – elektronisch (also ggf. via Internet) zu erfolgen. Nach Maßgabe des § 9 Abs. 3 IFG NRW dürfen dabei Namen, Titel, akademischer Grad, Berufs- und Funktionsbezeichnung und ggf. dienstliche Erreichbarkeit (dienstliche Telefonnummer sowie ggf. dienstliche E-Mail-Anschrift) genannt werden, ohne dass es hierzu einer Einwilligung der Betroffenen bedarf. Neben den bereits angesprochenen Übersichten über Aufgaben- und Funktionszuweisungen können auch Stundenpläne mit den jeweils unterrichtenden Lehrkräften veröffentlicht werden.” Auch die LDI NRW empfiehlt, die Betroffenen vorab zu informieren, um “etwaige schutzwürdige Interessen, die nach § 9 Abs. 3 IFG NRW einer Veröffentlichung ausnahmsweise entgegenstehen können, geltend zu machen.

Das heißt also, wenn eine Schule auf ihrer Homepage über das Kollegium und anderes Schulpersonal informieren möchte, dann kann sie dieses ohne deren Einwilligung tun, wenn sie dabei drei Dinge beachtet:

  1. Sie hält sich an die Vorgaben und veröffentlicht nur die nach dem IFG zugelassenen personenbezogenen Daten.
  2. Sie beachtet dabei schutzwürdige Belange der betroffenen Personen.
  3. Sie informiert die Betroffenen vor der Veröffentlichung.

Fotos gehören nicht zu den durch das IFG für eine Veröffentlichung zugelassenen personenbezogenen Daten. Hierfür ist eine gesonderte Einwilligung erforderlich, die natürlich auch verweigert oder ohne Angabe von Gründen widerrufen werden kann.

Steht also auf einer Schulhomepage eine Beschreibung wie:

Johanna Schneider
Oberstudienrätin
Unterstufenkoodinatorin
Klassenlehrerin 8e
dienstliche E-Mail: johanna.schneider@mustergymnasium.de
dienstliche Telefonnummer: 02781-85 5033

dann ist dieses durch das IFG NRW abgedeckt und es bedarf keiner Einwilligung hierfür.

Mit folgendem Informationsschreiben können Lehrkräfte vorab informiert werden:

Bitte passen Sie das Schreiben entsprechend der Gegebenheiten Ihrer Schule an.

Zum Thema Digitale Stunden- und Vertretungspläne gibt es einen separaten Beitrag.

Stand 09/2022

Veröffentlicht am

Youtube Videos auf Schulhomepage / Unterrichtsseite datenschutzkonform einbinden

Lesezeit: 3 Minuten

Videos spielen auf Internetseiten eine wichtige Rolle, da sie Inhalte anders darstellen können als Text, Audio oder Fotos. Deshalb findet man sie auch auf den Webseiten von Schulen und auf denen von Lehrkräften, die damit Materialien bereitstellen, z.B. Erklärvideos, um sie für Flipped Classroom Learnsettings zu nutzen. Meist werden die Video extern bei Youtube oder anderen Anbietern abgelegt und dann über einen Code in die eigene Webseite eingebettet. Das Problem dabei ist, bei der Einbettung eines Youtube Videos erhält auch ein Dritter, hier Youtube, Informationen über die Besucher der Webseite, auf welcher das Video eingebettet ist.

Grundsätzlich sollte entsprechend der DS-GVO bei einer Website der Schutz der personenbezogenen Daten durch die technische Gestaltung einer Webseite gefordert (Privacy by Design) und die Standardeinstellungen (Privacy by Default) gewährleistet sein.

Werden auf einer Webseite Daten erhoben und verarbeitet, was bei nahezu allen Webseiten der Fall ist, besteht nach der DS-GVO (Art. 13) für den Betreiber eine Informationspflicht gegenüber den Besuchern der Webseite. Dieses erfolgt in der Datenschutzerklärung, die von jeder Seite aus einfach zugänglich sein sollte.

Zusätzlich muss der Nutzer in die Erhebung der Daten nach DS-GVO (Art. 6, Abs. 1 a) einwilligen. Bei einem Kommentar kann dieses leicht über eine Checkbox und einen Text erfolgen.

Videos besser einbetten

1Ursprünglich hatte ich hier eine Erklärung stehen, wie man mit den Möglichkeiten von Youtube selbst die Daten des Webseitenbesuchers, welche durch die Einbettung eines Videos an Youtube abfließen, minimieren kann. Cookies werden bei dem Verfahren erst gesetzt, wenn das Video gestartet wird.  Nach einigen Hinweisen und weiterer Recherche zeigte sich, dass auch die vorgestellte Lösung nicht 100% perfekt war. Der Heise Beitrag Rote Karte für Webspione – YouTube-Videos datenschutzkonform einbetten zeigt (wie übrigens auch eine Webbkoll Analyse), dass doch Informationen fließen. Auch wenn durch das Youtube Video keine Cookies gesetzt werden, sind noch Tracker aktiv, die z.B. schon vorhandene Browser Cookies von Youtube oder Google auslesen und entsprechende Informationen daraus an ihr Netzwerk zurücksenden könnten. Auf nun vorgestellte Plugin hatte ich nur hingewiesen, da es mit unter Probleme mit dem Layout verursacht. Bei WordPress gibt es eine recht einfache Möglichkeit, Youtube Videos datenschutzkonform einzubetten, wenn das WordPress entweder eine Bezahlversion ist oder man es selbst hostet und so in der Lage ist, Plugins zu installieren. Was man braucht, ist das Pugin Embed videos and respect privacy.

Praktisch an diesem Plugin ist, dass man nichts weiter tun muss. Man integriert Youtube Videos wie gehabt über den Teilen Link, den die Plattform bereitstellt. Alle Videos, auch alte werden automatisch datenschutzkonform eingebunden. Eine Verbindung zwischen Besucher und Youtube kommt nicht zustande, keine Cookies, kein Tracking. Erst durch das Anklicken des Videos wird ein Cookie gesetzt und werden Daten an Youtube übertragen. Vorher passiert nichts.

Unter das Video setzt man einen Text, der darüber informiert und außerdem auf die Datenschutzerklärung verweist. In dieser wird entsprechend erklärt, dass für Videos von Youtube die Datenschutzbestimmungen des Anbieters Youtube gelten. Mit dem Anklicken, welches eine eindeutige bestätigende Handlung darstellt, erklärt sich der Nutzer mit den Datenschutzbestimmungen von Youtube einverstanden.2Art. 4 DSGVO Nr 11. „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist; 3Ob der Nutzer die Datenschutzerklärung tatsächlich gelesen hat und von dort zu der von Youtube gegangen ist, um auch diese zu lesen, bleibt ihm überlassen. Er hatte die Möglichkeit, wie auch bei Hinweisen auf die AGBs bei Online Shops.

Beispiel

Aktivieren Sie JavaScript um das Video zu sehen.
https://youtu.be/Qkf8vy1P0g8

Durch das Starten des Videos, willigst du ein, dass ein Cookie gesetzt und Daten an Youtube übermittelt werden. Weitere Informationen dazu findest du in der Datenschutzerklärung.

Video von Sebastian SchmidtYoutube Creative Commons Namensnennung Lizenz

Das bedeutet nun für die Betreiber der Webseiten von Schulen oder Unterrichtsseiten

Alle Youtube Videos sollten datenschutzkonform eingebettet sein in eine Webseite. Nutzt man WordPress in einer Form, bei welcher man Plugins installieren kann, so hat man keine Probleme.

Bei der kostenlosen WordPress Version muss man sich mit einem Vorschaubild des Videos und einem Link behelfen und hoffen, dass WordPress in seinen Bemühungen, die Plattform DS-GVO freundlich zu machen, auch eine entsprechende Lösung für das Einbinden von Youtube Videos schafft.

Was andere Plattformen für Webseiten angeht, wie auch die Videos anderer Anbieter, da braucht man andere Lösungen. Vimeo bietet aktuell kein vergleichbares Verfahren an. Alternativ könnte man auch hier einen Screenshot des Videos als Bild einbauen und entweder das Bild zum Video verlinken oder einen Textlink dazu unter das Bild setzen. Auch über eine Google Suche findet man vielleicht eine Lösung.

Man sollte auf jeden Fall dafür Sorge tragen, dass Besucher der Webseite, egal auf welcher Seite sie zuerst landen, dort immer die erforderlichen Informationen finden bezüglich Daten, die über eingebettete Dienste von ihnen erhoben werden könnten, wenn möglich, bevor die Daten fließen, so dass sie selbst entscheiden können.

 

 

Veröffentlicht am

Viele Schulhomepages laufen über Auftragsdatenverarbeitung

Lesezeit: 2 Minuten

Die meisten Schulhomepages dürften wohl nicht auf Servern laufen, die von der Schule selbst betrieben werden. Stattdessen laufen sie auf Servern, die entweder durch den Schulträger oder einen von ihm beauftragten IT-Dienstleister bereitgestellt werden oder, und das wird bei der überwiegenden Zahl aller Schulhomepages der Fall sein, sie laufen auf dem Server eines Web-Hosters wie 1&1, Strato, Domainfactory, Host Europe o.ä.

In Bezug auf den Datenschutz kann dieses von Bedeutung sein. Vermutlich gibt es kaum eine Schulhomepage, auf der nicht personenbezogene Daten verarbeitet werden. Lehrerinnen und Lehrer werden mit Name, Klasse und Informationen zur dienstlichen Erreichbarkeit aufgeführt und Schülerinnen und Schüler eventuell namentlich genannt bei Berichten über Projekte oder teilnahmen an Wettbewerben.

Trifft dieses zu, gilt Art. 28 Datenschutz Grundverordnung bzw. § 62 BDSG Auftragsverarbeitung. Ein Fall von Auftragsdatenverarbeitung liegt vor.

“Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags1Art. 28 DSGVO Auftragsverarbeiter, Abs. 3

Die Verarbeitung durch einen Auftragsverarbeiter hat auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments zu erfolgen, der oder das den Auftragsverarbeiter an den Verantwortlichen bindet und der oder das den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Rechte und Pflichten des Verantwortlichen festlegt.2§ 62 BDSG Auftragsverarbeitung, Abs. 5

Gegenwärtig dürften wohl nur die wenigsten Schulen einen solchen Vertrag mit dem Betreiber des Servers abgeschlossen haben, auf welchen ihrer Homepage betrieben wird. Ein solcher Vertrag ist nicht erst seit der DS-GVO erforderlich, sondern war auch schon die ganze Zeit durch die Datenschutzgesetzgebung vorgeschrieben. Mit der DS-GVO werden die Rechte der einzelnen Personen jedoch deutlich gestärkt und Schulen sollten aus Eigeninteresse sobald wie möglich einen solchen Vertrag abschließen. Auf den Webseiten der verschiedenen Web-Hoster sind die entsprechenden Unterlagen nicht immer leicht zu finden. Zur Not muss man Kontakt aufnehmen.

Üblicherweise findet man diese Verträge in Form eines PDF und dieses ist von Seiten des Anbieters bereits unterzeichnet. Man trägt in den Vertrag die eigenen Kontaktdaten und die Verantwortlichen ein und macht Angaben zur Art und zum Zweck der Verarbeitung. Häufig gibt es dafür vorgefertigte Listen, wo man entsprechende Angaben durch Ankreuzen machen kann. Der ausgefüllte unterschriebene Vertrag wird anschließend an den Web-Hoster zurückgeschickt. Er ist damit rechtlich gültig.

Liegt die Homepage auf einem Server des Schulträgers (z.B. bei der kommunalen IT im Rathaus) oder eines beauftragten Dienstleisters (zum Beispiel Kommunales Rechenzentrum), muss der entsprechende Vertrag beim Schulträger angefordert werden.

Ist die Schulhomepage auf einem Server untergebracht, der im Schulgebäude steht, ist zumindest das Führen eines Verzeichnisses der Verarbeitungstätigkeiten erforderlich.

Veröffentlicht am

Wie sieht es bei einer Website mit dem Datenschutz aus?

Lesezeit: 2 Minuten

Mit der anstehenden Einführung der DSGVO kommt auch bei manchen bloggenden Lehrkräften große Unsicherheit auf. Kann man bestimmte Inhalte überhaupt noch einbinden, ohne gegen die datenschutzrechtlichen Vorgaben zu verstoßen? Liegt das Angebot in Europa oder auf einem US amerikanischen Server? Werden über den Embed/ iFrame Daten erhoben von den Besuchern meiner Webseite, auf die ich keinen Einfluss habe?

Manches lässt sich über die Datenschutzangaben auf der Webseite selbst ermitteln. Wenn das nicht weiterhilft, dann kann man sich selbst schlau machen.

Wie kann man Informationen über Webseiten bekommen?

Dafür gibt es diverse Tools, online und kostenlos. Sehr nützlich ist dafür eine Seite wie PingEU. Dort kann man diverse Abfragen machen.

  • Über eine Country-by-IP kann man ermitteln, in welchem Land der Server steht, auf dem die Website gehostet ist.
  • Über Traceroute lassen sich Informationen über den Weg zwischen eigenen Rechner und dem Webserver der Website ermitteln und dabei oft auch Informationen zum Server selbst.
  • Eine WHOIS Abfrage gibt Informationen über die Eigentümer der Webseite und den Hoster.
  • Einen sehr umfassenden Check über die Maßnahmen, welche eine Webseite zum Schutz der personenbezogenen Daten von Besuchern getroffen hat oder auch nicht liefert die schwedische Seite Webkkoll. Hier erfährt man, wo der Server vermutlich steht, ob die Verbindung sicher ist (SSL) und besonders wichtig, ob durch die Einbindung von Ressourcen aus Fremdquellen ein Risiko, für Sicherheit und Privatsphäre gegeben sein könnte. Das Angebot ist englischsprachig.

Wo ist das Problem mit der Integration von Inhalten über Embeds und Verlinkungen?

Wenn eine Website  über die Integration von Analysetools, Werbung, verlinkten Bildern und Grafiken, Youtube Videos, Embedds von Seiten wie Pinterest oder ähnlichen Diensten zulässt, dass jede Menge Daten von den Besuchern erhoben werden, dann könnte das mit der Einführung der DSGVO für den Betreiber der Webseite zu Problemen führen. Der Grund ist einfach. Besucher der Seite haben ein Recht darauf, über die Erhebung ihrer Daten informiert zu werden, möglichst bevor diese Daten erhoben werden. Bindet man Elemente einer fremden Website ein, hat man keinerlei Kontrolle über die Erhebung von Daten durch Dritte.

Welche Lösungen sind denkbar?

  1. Man verzichtet auf alle Embeds, die man nicht einschätzen kann und die dadurch ein Risiko für Sicherheit und Datenschutz darstellen könnten.
  2. Man erstellt eine Startseite, die nicht mehr enthält als Informationen über die auf der eigentlichen Website eingebetten externen Inhalte und die möglichen Risiken. Mit dem Anklicken eines Links zur eigentlichen Website erklärt sich der Besucher mit der Datenerhebung durch Dritte einverstanden. Die Datenschutzerklärung wird entsprechend angepasst. Außerdem muss die Website so eingestellt werden, dass Besucher, die über einen Link von außen kommen oder über eine Suchmaschine, zunächst einen Screen sehen mit den Informationen wie auf der Startseite, den die anklicken müssen, bevor sie die Website sehen.

Das ist alles recht umständlich und für den Betreiber des Blogs nicht schön. Man wird abwarten müssen, wie sich die Sache nach dem 25. Mai 2018 entwickelt.

Veröffentlicht am

Datenschutz wird auch für Schulwebseiten durch die DSGVO wieder ein Thema

Lesezeit: 2 Minuten

Der 25. Mai 2018 rückt näher und damit auch der Termin, mit welchem sich in Bezug auf das Thema Datenschutz und Schulhomepage noch einmal ein paar Dinge etwas verändern.

Schon jetzt waren die Betreiber von Schulhomepages gehalten, ein Impressum zu führen. Auch zu einer Datenschutzerklärung war von verschiedenen Stellen geraten worden. Mit der Europäischen Datenschutz Grundverordnung (DSGVO) werden diese Dinge nun Pflicht. Fehlen Impressum und Datenschutzerklärung können Schulen nicht nur potentielle Opfer von Abmahnern werden, sondern geraten auch in Gefahr, von Besuchern der Webseite wegen Verletzung des Datenschutzes angezeigt zu werden.

Nach der DSGVO hat jederman das Recht, über die Erhebung und Verarbeitung von Daten aufgeklärt zu werden (siehe Art. 13 DSGVO Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person). Der Betrieb von Webseiten ist fast immer mit der Erhebung und Verarbeitung von Daten der Besucher verbunden.

Bei der Abgabe eines Kommentars werden eventuell Nutzername, E-Mail Adresse und IP Nummer gespeichert. IP Nummern werden auch abgespeichert, wenn eine Webseite Tools benutzt, um Zugriffsstatistiken zu erstellen, z.B. Google Analytics. Dabei landen Nutzerdaten nicht nur in der Datenbank der Webseite, sondern eben auch bei Dritten, etwa Google.

Die Integration von Facebook Like Buttons, Teilen auf Twitter und ähnliche Social Media Share Funktionalitäten funktionieren, indem sie Daten der Webseitenbesucher erheben.

Das Abonnement von E-Mail Benachrichtigungen über neue Blogeinträge und ähnlich sind mit der Erhebung von Nutzerdaten verbunden.

Mit der DSGVO ist dieses nicht plötzlich verboten. Man kann es weiterhin nutzen, muss die Nutzer jedoch darüber aufklären und ihre Einwilligung einholen. Dieses kann z.B. durch das Setzen eines zusätzlichen Hakens erfolgen.

Aktuell findet man zahlreiche Hinweise, worauf man als Webseitenbetreiber achten muss und wie man die neuen Vorgaben der DSGVO erfüllen kann. Zwei davon möchte ich hier empfehlen.

Stolz präsentiert von WordPress