Welche personenbezogenen Daten von Lehrkräften dürfen OHNE Einwilligung auf die Schulhomepage?

Lesezeit: 2 Minuten

Viele Schulen möchten auf ihrer Schulhomepage über das Schulpersonal und dessen Funktionen informieren, so dass jeder weiß, an wen er sich wenden kann. Dabei herrscht aber oft Unsicherheit, ob es dafür einer Einwilligung der Betroffenen bedarf. Die eine oder andere Lehrkraft möchte nicht namentlich auf der Schulhomepage genannt werden. Wie sieht die rechtliche Seite aus? Die folgenden Aussagen beziehen sich auf NRW. In anderen Bundesländern, vor allem denen ohne ein Informationsfreiheitsgesetz können andere Regelungen gelten.

In einer FAQ für den Lehrerrat des Philologen-Verband NW heißt es dazu:

„In Nordrhein-Westfalen gestatten die §§ 12 und 9 Absatz 3 Informationsfreiheitsgesetz Nordrhein-Westfalen (IFG NRW) die Veröffentlichung von Namen, Titeln, akademischen Graden, Berufs- und Funktionsbezeichnungen, Büroanschriften und dienstlichen Rufnummern sowie dienstlichen E-Mail-Adressen der Lehrkräfte und des sonstigen Schulpersonals ohne deren Einwilligung, sofern keine schutzwürdigen Belange entgegenstehen. Gleichwohl sind die Betroffenen vor einer Veröffentlichung zu informieren. Das IFG NRW gilt im Übrigen nur für öffentliche Schulen in Nordrhein-Westfalen.“

Diese Informationen finden sich in ähnlicher Form in einer Präsentation von J. Katernberg, LDI, 2008, Datenschutz – Was darf auf die Schulhomepage?1Die dienstliche E-Mail wird hier noch nicht genannt und taucht auch im IFG NRW noch nicht auf. Man kann die dienstliche E-Mail jedoch hinzunehmen, da diese heute den selben Stellenwert hat wie eine dienstliche Telefonnummer und an vielen Schulen Lehrkräfte eher eine dienstliche E-Mail Adresse haben als eine eigene Rufnummer.

Das Informationsfreiheitsgesetz Nordrhein-Westfalen (IFG) gilt auch mit dem Inkrafttreten der DS-GVO weiterhin nahezu unverändert.

Das heißt also, wenn eine Schule auf ihrer Homepage über das Kollegium und anderes Schulpersonal informieren möchte, dann kann sie dieses ohne deren Einwilligung tun, wenn sie dabei drei Dinge beachtet:

  1. Sie hält sich an die Vorgaben und veröffentlicht nur die nach dem IFG zugelassenen personenbezogenen Daten.
  2. Sie beachtet dabei schutzwürdige Belange der betroffenen Personen.
  3. Sie informiert die Betroffenen vor der Veröffentlichung.

Fotos gehören nicht zu den durch das IFG für eine Veröffentlichung zugelassenen personenbezogenen Daten. Hierfür ist eine gesonderte Einwilligung erforderlich, die natürlich auch verweigert oder ohne Angabe von Gründen widerrufen werden kann.

Steht also auf einer Schulhomepage eine Beschreibung wie:

Johanna Schneider
Oberstudienrätin
Unterstufenkoodinatorin
Klassenlehrerin 8e
dienstliche E-Mail: johanna.schneider@mustergymnasium.de
dienstliche Telefonnummer: 02781-85 5033

dann ist dieses durch das IFG NRW abgedeckt und es bedarf keiner Einwilligung hierfür.

Mit folgendem Informationsschreiben können Lehrkräfte vorab informiert werden:

Bitte passen Sie das Schreiben entsprechend der Gegebenheiten Ihrer Schule an.

Youtube Videos auf Schulhomepage / Unterrichtsseite datenschutzkonform einbinden

Lesezeit: 3 Minuten

Videos spielen auf Internetseiten eine wichtige Rolle, da sie Inhalte anders darstellen können als Text, Audio oder Fotos. Deshalb findet man sie auch auf den Webseiten von Schulen und auf denen von Lehrkräften, die damit Materialien bereitstellen, z.B. Erklärvideos, um sie für Flipped Classroom Learnsettings zu nutzen. Meist werden die Video extern bei Youtube oder anderen Anbietern abgelegt und dann über einen Code in die eigene Webseite eingebettet. Das Problem dabei ist, bei der Einbettung eines Youtube Videos erhält auch ein Dritter, hier Youtube, Informationen über die Besucher der Webseite, auf welcher das Video eingebettet ist.

Grundsätzlich sollte entsprechend der DS-GVO bei einer Website der Schutz der personenbezogenen Daten durch die technische Gestaltung einer Webseite gefordert (Privacy by Design) und die Standardeinstellungen (Privacy by Default) gewährleistet sein.

Werden auf einer Webseite Daten erhoben und verarbeitet, was bei nahezu allen Webseiten der Fall ist, besteht nach der DS-GVO (Art. 13) für den Betreiber eine Informationspflicht gegenüber den Besuchern der Webseite. Dieses erfolgt in der Datenschutzerklärung, die von jeder Seite aus einfach zugänglich sein sollte.

Zusätzlich muss der Nutzer in die Erhebung der Daten nach DS-GVO (Art. 6, Abs. 1 a) einwilligen. Bei einem Kommentar kann dieses leicht über eine Checkbox und einen Text erfolgen.

Videos besser einbetten

1Ursprünglich hatte ich hier eine Erklärung stehen, wie man mit den Möglichkeiten von Youtube selbst die Daten des Webseitenbesuchers, welche durch die Einbettung eines Videos an Youtube abfließen, minimieren kann. Cookies werden bei dem Verfahren erst gesetzt, wenn das Video gestartet wird.  Nach einigen Hinweisen und weiterer Recherche zeigte sich, dass auch die vorgestellte Lösung nicht 100% perfekt war. Der Heise Beitrag Rote Karte für Webspione – YouTube-Videos datenschutzkonform einbetten zeigt (wie übrigens auch eine Webbkoll Analyse), dass doch Informationen fließen. Auch wenn durch das Youtube Video keine Cookies gesetzt werden, sind noch Tracker aktiv, die z.B. schon vorhandene Browser Cookies von Youtube oder Google auslesen und entsprechende Informationen daraus an ihr Netzwerk zurücksenden könnten. Auf nun vorgestellte Plugin hatte ich nur hingewiesen, da es mit unter Probleme mit dem Layout verursacht. Bei WordPress gibt es eine recht einfache Möglichkeit, Youtube Videos datenschutzkonform einzubetten, wenn das WordPress entweder eine Bezahlversion ist oder man es selbst hostet und so in der Lage ist, Plugins zu installieren. Was man braucht, ist das Pugin Embed videos and respect privacy.

Praktisch an diesem Plugin ist, dass man nichts weiter tun muss. Man integriert Youtube Videos wie gehabt über den Teilen Link, den die Plattform bereitstellt. Alle Videos, auch alte werden automatisch datenschutzkonform eingebunden. Eine Verbindung zwischen Besucher und Youtube kommt nicht zustande, keine Cookies, kein Tracking. Erst durch das Anklicken des Videos wird ein Cookie gesetzt und werden Daten an Youtube übertragen. Vorher passiert nichts.

Unter das Video setzt man einen Text, der darüber informiert und außerdem auf die Datenschutzerklärung verweist. In dieser wird entsprechend erklärt, dass für Videos von Youtube die Datenschutzbestimmungen des Anbieters Youtube gelten. Mit dem Anklicken, welches eine eindeutige bestätigende Handlung darstellt, erklärt sich der Nutzer mit den Datenschutzbestimmungen von Youtube einverstanden.2Art. 4 DSGVO Nr 11. „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist; 3Ob der Nutzer die Datenschutzerklärung tatsächlich gelesen hat und von dort zu der von Youtube gegangen ist, um auch diese zu lesen, bleibt ihm überlassen. Er hatte die Möglichkeit, wie auch bei Hinweisen auf die AGBs bei Online Shops.

Beispiel

Aktivieren Sie JavaScript um das Video zu sehen.
https://youtu.be/Qkf8vy1P0g8

Durch das Starten des Videos, willigst du ein, dass ein Cookie gesetzt und Daten an Youtube übermittelt werden. Weitere Informationen dazu findest du in der Datenschutzerklärung.

Video von Sebastian SchmidtYoutube Creative Commons Namensnennung Lizenz

Das bedeutet nun für die Betreiber der Webseiten von Schulen oder Unterrichtsseiten

Alle Youtube Videos sollten datenschutzkonform eingebettet sein in eine Webseite. Nutzt man WordPress in einer Form, bei welcher man Plugins installieren kann, so hat man keine Probleme.

Bei der kostenlosen WordPress Version muss man sich mit einem Vorschaubild des Videos und einem Link behelfen und hoffen, dass WordPress in seinen Bemühungen, die Plattform DS-GVO freundlich zu machen, auch eine entsprechende Lösung für das Einbinden von Youtube Videos schafft.

Was andere Plattformen für Webseiten angeht, wie auch die Videos anderer Anbieter, da braucht man andere Lösungen. Vimeo bietet aktuell kein vergleichbares Verfahren an. Alternativ könnte man auch hier einen Screenshot des Videos als Bild einbauen und entweder das Bild zum Video verlinken oder einen Textlink dazu unter das Bild setzen. Auch über eine Google Suche findet man vielleicht eine Lösung.

Man sollte auf jeden Fall dafür Sorge tragen, dass Besucher der Webseite, egal auf welcher Seite sie zuerst landen, dort immer die erforderlichen Informationen finden bezüglich Daten, die über eingebettete Dienste von ihnen erhoben werden könnten, wenn möglich, bevor die Daten fließen, so dass sie selbst entscheiden können.

 

 

Viele Schulhomepages laufen über Auftragsdatenverarbeitung

Lesezeit: 2 Minuten

Die meisten Schulhomepages dürften wohl nicht auf Servern laufen, die von der Schule selbst betrieben werden. Stattdessen laufen sie auf Servern, die entweder durch den Schulträger oder einen von ihm beauftragten IT-Dienstleister bereitgestellt werden oder, und das wird bei der überwiegenden Zahl aller Schulhomepages der Fall sein, sie laufen auf dem Server eines Web-Hosters wie 1&1, Strato, Domainfactory, Host Europe o.ä.

In Bezug auf den Datenschutz kann dieses von Bedeutung sein. Vermutlich gibt es kaum eine Schulhomepage, auf der nicht personenbezogene Daten verarbeitet werden. Lehrerinnen und Lehrer werden mit Name, Klasse und Informationen zur dienstlichen Erreichbarkeit aufgeführt und Schülerinnen und Schüler eventuell namentlich genannt bei Berichten über Projekte oder teilnahmen an Wettbewerben.

Trifft dieses zu, gilt Art. 28 Datenschutz Grundverordnung bzw. § 62 BDSG Auftragsverarbeitung. Ein Fall von Auftragsdatenverarbeitung liegt vor.

„Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags1Art. 28 DSGVO Auftragsverarbeiter, Abs. 3

Die Verarbeitung durch einen Auftragsverarbeiter hat auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments zu erfolgen, der oder das den Auftragsverarbeiter an den Verantwortlichen bindet und der oder das den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Rechte und Pflichten des Verantwortlichen festlegt.2§ 62 BDSG Auftragsverarbeitung, Abs. 5

Gegenwärtig dürften wohl nur die wenigsten Schulen einen solchen Vertrag mit dem Betreiber des Servers abgeschlossen haben, auf welchen ihrer Homepage betrieben wird. Ein solcher Vertrag ist nicht erst seit der DS-GVO erforderlich, sondern war auch schon die ganze Zeit durch die Datenschutzgesetzgebung vorgeschrieben. Mit der DS-GVO werden die Rechte der einzelnen Personen jedoch deutlich gestärkt und Schulen sollten aus Eigeninteresse sobald wie möglich einen solchen Vertrag abschließen. Auf den Webseiten der verschiedenen Web-Hoster sind die entsprechenden Unterlagen nicht immer leicht zu finden. Zur Not muss man Kontakt aufnehmen.

Üblicherweise findet man diese Verträge in Form eines PDF und dieses ist von Seiten des Anbieters bereits unterzeichnet. Man trägt in den Vertrag die eigenen Kontaktdaten und die Verantwortlichen ein und macht Angaben zur Art und zum Zweck der Verarbeitung. Häufig gibt es dafür vorgefertigte Listen, wo man entsprechende Angaben durch Ankreuzen machen kann. Der ausgefüllte unterschriebene Vertrag wird anschließend an den Web-Hoster zurückgeschickt. Er ist damit rechtlich gültig.

Liegt die Homepage auf einem Server des Schulträgers (z.B. bei der kommunalen IT im Rathaus) oder eines beauftragten Dienstleisters (zum Beispiel Kommunales Rechenzentrum), muss der entsprechende Vertrag beim Schulträger angefordert werden.

Ist die Schulhomepage auf einem Server untergebracht, der im Schulgebäude steht, ist zumindest das Führen eines Verzeichnisses der Verarbeitungstätigkeiten erforderlich.

Wie sieht es bei einer Website mit dem Datenschutz aus?

Lesezeit: 2 Minuten

Mit der anstehenden Einführung der DSGVO kommt auch bei manchen bloggenden Lehrkräften große Unsicherheit auf. Kann man bestimmte Inhalte überhaupt noch einbinden, ohne gegen die datenschutzrechtlichen Vorgaben zu verstoßen? Liegt das Angebot in Europa oder auf einem US amerikanischen Server? Werden über den Embed/ iFrame Daten erhoben von den Besuchern meiner Webseite, auf die ich keinen Einfluss habe?

Manches lässt sich über die Datenschutzangaben auf der Webseite selbst ermitteln. Wenn das nicht weiterhilft, dann kann man sich selbst schlau machen.

Wie kann man Informationen über Webseiten bekommen?

Dafür gibt es diverse Tools, online und kostenlos. Sehr nützlich ist dafür eine Seite wie PingEU. Dort kann man diverse Abfragen machen.

  • Über eine Country-by-IP kann man ermitteln, in welchem Land der Server steht, auf dem die Website gehostet ist.
  • Über Traceroute lassen sich Informationen über den Weg zwischen eigenen Rechner und dem Webserver der Website ermitteln und dabei oft auch Informationen zum Server selbst.
  • Eine WHOIS Abfrage gibt Informationen über die Eigentümer der Webseite und den Hoster.
  • Um zu ermitteln, ob eine Webseite Google Analytics nutzt, kann man den GA Checker nutzen.
  • Einen sehr umfassenden Check über die Maßnahmen, welche eine Webseite zum Schutz der personenbezogenen Daten von Besuchern getroffen hat oder auch nicht liefert die schwedische Seite Webkkoll. Hier erfährt man, wo der Server vermutlich steht, ob die Verbindung sicher ist (SSL) und besonders wichtig, ob durch die Einbindung von Ressourcen aus Fremdquellen ein Risiko, für Sicherheit und Privatsphäre gegeben sein könnte. Das Angebot ist englischsprachig.

Wo ist das Problem mit der Integration von Inhalten über Embeds und Verlinkungen?

Wenn eine Website  über die Integration von Analysetools, Werbung, verlinkten Bildern und Grafiken, Youtube Videos, Embedds von Seiten wie Pinterest oder ähnlichen Diensten zulässt, dass jede Menge Daten von den Besuchern erhoben werden, dann könnte das mit der Einführung der DSGVO für den Betreiber der Webseite zu Problemen führen. Der Grund ist einfach. Besucher der Seite haben ein Recht darauf, über die Erhebung ihrer Daten informiert zu werden, möglichst bevor diese Daten erhoben werden. Bindet man Elemente einer fremden Website ein, hat man keinerlei Kontrolle über die Erhebung von Daten durch Dritte.

Welche Lösungen sind denkbar?

  1. Man verzichtet auf alle Embeds, die man nicht einschätzen kann und die dadurch ein Risiko für Sicherheit und Datenschutz darstellen könnten.
  2. Man erstellt eine Startseite, die nicht mehr enthält als Informationen über die auf der eigentlichen Website eingebetten externen Inhalte und die möglichen Risiken. Mit dem Anklicken eines Links zur eigentlichen Website erklärt sich der Besucher mit der Datenerhebung durch Dritte einverstanden. Die Datenschutzerklärung wird entsprechend angepasst. Außerdem muss die Website so eingestellt werden, dass Besucher, die über einen Link von außen kommen oder über eine Suchmaschine, zunächst einen Screen sehen mit den Informationen wie auf der Startseite, den die anklicken müssen, bevor sie die Website sehen.

Das ist alles recht umständlich und für den Betreiber des Blogs nicht schön. Man wird abwarten müssen, wie sich die Sache nach dem 25. Mai 2018 entwickelt.

Datenschutz wird auch für Schulwebseiten durch die DSGVO wieder ein Thema

Lesezeit: 2 Minuten

Der 25. Mai 2018 rückt näher und damit auch der Termin, mit welchem sich in Bezug auf das Thema Datenschutz und Schulhomepage noch einmal ein paar Dinge etwas verändern.

Schon jetzt waren die Betreiber von Schulhomepages gehalten, ein Impressum zu führen. Auch zu einer Datenschutzerklärung war von verschiedenen Stellen geraten worden. Mit der Europäischen Datenschutz Grundverordnung (DSGVO) werden diese Dinge nun Pflicht. Fehlen Impressum und Datenschutzerklärung können Schulen nicht nur potentielle Opfer von Abmahnern werden, sondern geraten auch in Gefahr, von Besuchern der Webseite wegen Verletzung des Datenschutzes angezeigt zu werden.

Nach der DSGVO hat jederman das Recht, über die Erhebung und Verarbeitung von Daten aufgeklärt zu werden (siehe Art. 13 DSGVO Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person). Der Betrieb von Webseiten ist fast immer mit der Erhebung und Verarbeitung von Daten der Besucher verbunden.

Bei der Abgabe eines Kommentars werden eventuell Nutzername, E-Mail Adresse und IP Nummer gespeichert. IP Nummern werden auch abgespeichert, wenn eine Webseite Tools benutzt, um Zugriffsstatistiken zu erstellen, z.B. Google Analytics. Dabei landen Nutzerdaten nicht nur in der Datenbank der Webseite, sondern eben auch bei Dritten, etwa Google.

Die Integration von Facebook Like Buttons, Teilen auf Twitter und ähnliche Social Media Share Funktionalitäten funktionieren, indem sie Daten der Webseitenbesucher erheben.

Das Abonnement von E-Mail Benachrichtigungen über neue Blogeinträge und ähnlich sind mit der Erhebung von Nutzerdaten verbunden.

Mit der DSGVO ist dieses nicht plötzlich verboten. Man kann es weiterhin nutzen, muss die Nutzer jedoch darüber aufklären und ihre Einwilligung einholen. Dieses kann z.B. durch das Setzen eines zusätzlichen Hakens erfolgen.

Aktuell findet man zahlreiche Hinweise, worauf man als Webseitenbetreiber achten muss und wie man die neuen Vorgaben der DSGVO erfüllen kann. Zwei davon möchte ich hier empfehlen.