Eltern zu einer Besprechung per Videokonferenz einladen

Lesezeit: 2 Minuten

In Zeiten von Corona möchten viele Schulen gerne Elterngespräche in Form von Videokonferenzen anbieten. Es geht dabei sowohl um Elterngespräche in Format 1 zu 1 wie auch Informationsabende, bei denen Eltern über die Arbeit der Schule informiert werden sollen. Auch hierbei ist das Thema Datenschutz zu beachten. Eltern müssen über die zur Teilnahme an einer Videokonferenz erforderliche Datenverarbeitung gemäß Art. 13 DS-GVO informiert werden und dann eine Einwilligung erteilen. Das ist auch der Fall, wenn sie zur Teilnahme an einer Videokonferenz ein bestehendes schulisches Konto ihres Kindes nutzen, da die Einwilligung in die Verarbeitung von personenbezogenen Daten bei der Nutzung dieses Kontos das Kind betraf, nicht aber die Eltern selbst.

Da es sich bei den Teilnehmern um Erwachsene handelt und die Videokonferenzen nur einzelne oder gelegentliche Veranstaltungen sind, kann die Einwilligung durch die Eltern hier auch durch sogenanntes konkludentes Handeln1„Im Zivilrecht spricht man von einer konkludenten Willenserklärung, wenn sie ohne ausdrückliche Erklärung durch schlüssiges Verhalten abgegeben wird. D.h. die Willenserklärung wird aus den Handlungen des Erklärenden abgeleitet.“ Quelle Wiktionary gegeben werden. Die Eltern willigen in die Datenverarbeitung ein, indem sie an der Videokonferenz teilnehmen. Schalten sie dazu beispielsweise die Kamera ein, willigen sie in die Verarbeitung des Bildsignals ein.

Praktische Umsetzung

Die Schule übermittelt den Eltern eine Einladung, in welcher die Informationen zur Datenverarbeitung gegeben werden wie auch die Einwilligungserklärung, letztere jedoch ohne Unterschriftenfeld. Wichtig wie immer bei der Einwilligung ist das Angebot einer Alternative für Eltern, die nicht an einer Videokonferenz teilnehmen möchten.

Beispiel Elterngespräch
Beispiel Informationen über die Schule
Beispiel Elterngespräch

Die Vorlage geht davon aus, dass die Eltern den Zugang des Kindes zu Logineo NRW Messenger für die Videokonferenz mit den Lehrkräften der Schule nutzen.

Hinweis

Bitte achten Sie darauf, dass für Videokonferenzen, in welchen es um vertrauliche oder sensible Inhalte gehen soll, sichere und vertrauenswürdige Anbieter genutzt werden. Ein Vertrag zur Auftragsverarbeitung zwischen Schule und Anbieter sollte vorliegen.

03/2021

Notenkonferenzen per Videokonferenz?

Lesezeit: 7 Minuten

In einem Schreiben an die Bezirksregierungen vom 15.01.2021 zur Weiterleitung an die Schulen macht das MSB auch Aussagen zur Erteilung der Halbjahreszeugnisse im Schuljahr 2020/21 und Anmeldung an den weiterführenden Schulen für das Schuljahr 2021/22.1 Vergleichbare Informationen gibt es auch aus einer Veröffentlichung auf der Website des Schulministeriums vom 18.01.2021.

Dazu gehört auch das Thema Zeugniskonferenzen. Bei den Aussagen hierzu sticht ein Satz hervor.

1. Zeugniskonferenzen und vorbereitende Dienstgeschäfte in den Schulen werden nicht von den Einschränkungen des § 1 Absatz 11 Corona- BetrVO erfasst und sind daher – unter Beachtung der erforderlichen Hygienemaßnahmen – zulässig. Es wird empfohlen, alternative Formen der Durchführung von Konferenzen zu prüfen.

Das MSB empfiehlt, auch wenn es möglich ist, die Schule für Zeugniskonferenzen und vorbereitende Dienstgeschäfte zu betreten, alternative Formen der Durchführung von Konferenzen. Es liegt nahe, dass damit Audio- und Videokonferenzen gemeint sind. Bei den Empfängern entstanden genau an dieser Stelle viele Fragen bezüglich des Datenschutzes. Das Ministerium sah sich dadurch veranlasst, sich noch einmal konkreter zu den datenschutzrechtlichen Aspekten von Notenkonferenzen zu äußern.

1. Teilnahme von Lehrkräften:
Grundsätzlich ist für Video-/Tonaufnahmen eine Einwilligung erforderlich, da Videoaufnahmen in der VO DV II nicht ausdrücklich erlaubt/geregelt sind.
Hier ist aber eine ergänzende Hinzuziehung von § 3 DSG zulässig (§ 122 Absatz 1 Satz 3 SchulG), da es sich um einen „ungeregelten Fall“ handelt, in dem ein Rückgriff auf das allgemeine Datenschutzrecht möglich ist.

Damit ist auf Grund von § 3 DSG bei bestehendem dringendem dienstlichem Bedürfnis in Pandemiezeiten die Teilnahme an einer Videokonferenz mit dem Datenschutz vereinbar.

2. Notendiskussion im Videostream: Zeugnisnoten sind personenbezogene Schülerdaten, die zulässigerweise von Schulen nach § 120 Abs. 1 SchulG und der VO DV I verarbeitet werden dürfen. Danach sind diverse Verarbeitungsformen (mündlich/schriftlich, analog/digital) zulässig. Maßgeblich ist, dass durch informationstechnische und organisatorische Maßnahmen, z.B. Wahl eines insofern geeigneten Videotools, der Schutz der Daten sichergestellt ist.

Wie einer meiner Kollege auf Nachfrage beim MSB erfuhr, ging man beim Verfassen der Ergänzung zum Erlass vom Vorhandensein von Dienstgeräten bei den Lehrkräften aus. Das ist in sofern von Bedeutung, da die Schulleitung nicht über die privaten Endgeräte der Lehrkräfte verfügen kann.

Wie sind diese Aussagen nun zu verstehen?

Für Audio- und Videokonferenzen gibt es in der VO-DV II bisher keine spezifischen Regelungen, die solche auf der Grundlage des Schulgesetzes NRW zulassen oder ausdrücklich eine Einwilligung voraussetzen. Dieses hatte auch die LDI NRW im Mai 2020 in der Schrift Pandemie und Schule ähnlich beschrieben. In der Praxis orientiert man sich stattdessen an den Vorgaben zu Video-/Tonaufnahmen, für die eine Einwilligung erforderlich ist. Siehe hierzu auch den Beitrag Distanzunterricht – rechtliche Vorgaben und Möglichkeiten. Wie die LDI NRW, die in der besonderen Ausnahme von Schulschließungen durch Covid19 eine Möglichkeit sieht, die fehlenden Regelungen, die weder eine ausdrückliche Erlaubnis noch ein Verbot bedeuten, sieht man im MSB deshalb aktuell die Möglichkeit, Zeugniskonferenzen auf §122 Abs. 1 Satz 3 des Schulgesetzes zu stützen. Dieser lautet.

Ergänzend gelten die allgemeinen datenschutzrechtlichen Vorschriften.

Im Schulgesetz NRW, so wird mit diesem Satz noch einmal ausdrücklich bestimmt, finden die allgemeinen datenschutzrechtlichen Vorschriften aus dem DSG NRW und der DS-GVO Anwendung, soweit sich in §120 und §121 keine bereichsspezifischen Datenschutzregelungen finden. In Verbindung mit §3 DSG NRW ist es dann nach Aussagen des MSB, „bei bestehendem dringendem dienstlichem Bedürfnis in Pandemiezeiten die Teilnahme an einer Videokonferenz mit dem Datenschutz vereinbar.“

§ 3
Zulässigkeit der Verarbeitung personenbezogener Daten

(1) Soweit spezialgesetzliche Regelungen nicht vorgehen, ist die Verarbeitung personenbezogener Daten durch öffentliche Stellen zulässig, wenn sie für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe der verarbeitenden Stellen erforderlich ist oder wenn sie in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

Die Verarbeitung von personenbezogenen Daten zur Teilnahme an Videokonferenzen durch die Schule erfolgt dann auf der Rechtsgrundlage von §3 DSG NRW in Kombination mit §122 Abs. 1 Satz 3 SchulG NRW.

Für die Schule entfällt damit die Erfordernis, von Lehrkräften eine Einwilligung zur Teilnahme an einer Videokonferenz einzuholen.

Die Teilnahme wird damit für Lehrkräfte verpflichtend. Wichtig ist dabei jedoch, dass sämtliche der folgende Bedingungen erfüllt sind:

  1. es gibt keine bereichsspezifische Regelung im SchulG NRW zu Videokonferenzen2, die Schulen die Verarbeitung von personenbezogenen Daten zur Durchführung von Videokonferenzen ausdrücklich erlaubt oder verbietet.und
  2. es besteht ein dringendes dienstliches Bedürfnis – und
  3. es herrschen Pandemiezeiten – und
  4. es werden die allgemeinen datenschutzrechtlichen Vorschriften eingehalten – und
  5. die Lehrkräfte verfügen über ein Dienstgerät.

Ist eine der genannten Bedingungen nicht erfüllt, besteht – zumindest aktuell – keine Möglichkeit, Lehrkräfte zur Teilnahme an einer Videokonferenz zu verpflichten. Von besonderer Bedeutung ist dabei Nr. 4, da sich hinter dieser Bedingung eine ganze Reihe von zu erfüllenden Kriterien verbergen.

Videokonferenz – Teilnahme per …

Besteht die Möglichkeit, Lehrkräfte zu einer Teilnahme an Videokonferenzen, wie oben beschrieben zu verpflichten, so ist dieses nicht automatisch mit einer Verpflichtung zur Teilnahme mit Videobild gleichzusetzen, es sei denn es lässt sich eine Erfordernis dazu begründen. In der Regel sollte es ausreichen, wenn Lehrkräfte an einer Videokonferenz ohne Bild teilnehmen, da es weder angemessen ist, darüber die Anwesenheit oder Aktivitäten der Teilnehmer zu kontrollieren, noch dass ihr Bild für Redebeiträge erforderlich wäre. Auch Abstimmungen benötigen kein Bild, da dieses auch über Chat, digitales Handzeigen oder Abstimmungstools möglich und, vor allem bei größerer Teilnehmerzahl, praktikabler ist.3Eine Erfordernis für eine Teilnahme per Videobild könnte sich jedoch daraus ergeben, wenn eine Plattform keine Möglichkeit bietet, die Teilnahme auf authentifizierte Teilnehmer zu beschränken. Dann wäre das Videobild die einzige Möglichkeit, einigermaßen sicher zu kontrollieren, dass nur berechtigte Personen an der Videokonferenz teilnehmen.

Informationen über Datenverarbeitung

Auch wenn die Nutzung einer Videokonferenz unter den beschriebenen Bedingungen keiner Einwilligung bedarf, so gehört zur Erfüllung der  „allgemeinen datenschutzrechtlichen Vorschriften“ die Information der Betroffenen über die Verarbeitung von personenbezogenen Daten gemäß Art. 13 DS-GVO.4Welche Daten werden auf welcher Rechtsgrundlage zu welchen Zwecken verarbeitet? Für welche Dauer werden sie verarbeitet, erfolgt eine Übermittlung an Dritte bzw. wer sind gegebenenfalls die Empfänger, und welche Rechte haben die Betroffenen?

Keine Aufzeichnungen

Es sollte jedem klar sein, dass die vom MSB beschriebene Möglichkeit zur Verarbeitung von personenbezogenen Daten von Lehrkräften zur Durchführung  Videokonferenzen mit verpflichtender Teilnahme nicht die Aufzeichnung von Videokonferenzen einschließt. Diese fallen unter die Vorgaben von §121 Abs. 1 Satz 25“ Bild- und Tonaufzeichnungen des Unterrichts oder sonstiger verbindlicher Schulveranstaltungen bedürfen der Einwilligung der betroffenen Personen.“ und sind einwilligungspflichtig. Darunter fallen auch Funktionen einiger Videokonferenzplattformen, die im Hintergrund Aufzeichnungen erstellen, um den Start einer Aufzeichnung durch den Gastgeber unmittelbar umsetzen zu können. Solche Funktionen müssen deaktiviert werden, wenn eine Teilnahme verpflichtend sein soll.

Sicherheit

Ein Aspekt, der auch mit Bezug auf Datenschutz Relevanz hat, ist das Thema Sicherheit, welches unter anderem in Nr. 2 der Erläuterung des MSB angesprochen wird. Das meint nicht nur eine eventuelle Verschlüsselung der Videokonferenz, die aktuell nur bei wenigen Plattformen möglich ist, sondern auch die Kontrolle des Zugangs. Man sollte bei Lehrkräften eigentlich sicher sein können, dass sie ihre Zugangsdaten zu einer Videokonferenz, in welcher es um Noten und Zeugnisse geht, nicht an Dritte weitergeben. Außerdem gibt es bei verschiedenen Plattformen Zugangskontrollen in Form von Warteräumen. Diese schützen jedoch nur begrenzt. Kann man die Teilnehmer nicht sehen, hat man keine hunderprozentige Gewähr, dass auch tatsächlich die berechtigte Person an der Videokonferenz teilnimmt. Dieses könnte man nur sicherstellen, wenn Teilnehmer sich vorher authentifizieren müssen. Das könnte über die Anbindung an eine andere von der Schule genutzte Plattform erfolgen. Einige Anbieter von Videokonferenzlösungen im Zusammenhang mit anderen Plattformen bieten diese Möglichkeit. Auch Moodle kann die Authentifizierung von Nutzern für die Teilnahme an Videokonferenzen übernehmen.

Welche Daten in welcher Plattform?

Vor allem bei der Nutzung der Plattformen von US Anbietern ist bisher immer klar gewesen, dass dabei bestimmte Arten von personenbezogenen Daten außen vor zu bleiben haben. Das ist in allen Bundesländern und sogar der Schweiz und Österreich so, wo der Einsatz von Office 365, G Suite for Education, Apple Classroom und ähnlich nicht grundsätzlich untersagt ist. Überall gilt, eine pädagogische Nutzung ist möglich, wenn dabei darauf geachtet wird, die Verwendung von personenbezogenen Daten auf ein Minimum zu reduzieren. Auch eine Nutzung zur Teamarbeit im Kollegium oder zur Bereitstellung von Dokumentvorlagen und Informationen aus der schulinternen Verwaltung ist möglich, solange dabei keine personenbezogenen Daten im Spiel sind. Nichts zu suchen haben in den Plattformen hingegen personenbezogene Daten im Zusammenhang mit pädagogischer Dokumentation und schulinterner Verwaltung. Bei Noten- und Zeugniskonferenzen geht es aber genau um diese personenbezogenen Daten.

Eine Verarbeitung von Zeugnisnoten über eine Videokonferenzplattform ist auf der Rechtsgrundlage des §120 Abs. 1 SchulG NRW und der VO-DV I möglich, wie im unter Nr. 2 in den Erläuterungen des MSB zum Erlass dargestellt. Es gilt dabei jedoch, wie ebenfalls dort dargestellt, „Maßgeblich ist, dass durch informationstechnische und organisatorische Maßnahmen, z.B. Wahl eines insofern geeigneten Videotools, der Schutz der Daten sichergestellt ist.

Eine Möglichkeit, Daten vor unberechtigtem Zugriff zu schützen, ist die Verschlüsselung. Derzeit unterstützen nur sehr wenige Plattformen eine echte Ende-zu-Ende Verschlüsselung von Videokonferenzen, da diese technisch sehr schwierig zu implementieren ist und mit dem Verlust von Funktionalität einhergeht.6Siehe dazu https://www.datenschutz-notizen.de/ende-zu-ende-verschluesselung-von-videokonferenzen-1825597/  von April 2020 Zoom gehört dazu und auch Jitsi.7Im Januar 2021 ist die Funktionalität der Ende-zu-Ende Verschlüsselung bei beiden Plattformen bereits nutzbar, jedoch noch in der Erprobung. MS Teams, Cisco Webex und Google Meet bieten zwar eine gewisse Verschlüsselung. Das Problem ist dabei jedoch, dass die Schlüssel dafür beim Anbieter liegen und dieser die Videokonferenzen damit problemlos entschlüsseln und dadurch Dritten zugänglich machen könnte oder dass die Videokonferenzen auf dem Server des Anbieters entschlüsselt werden, bevor sie verschlüsselt an die Teilnehmer gehen.

Damit wird auch dieser Sicherheitsaspekt zum Ausschlusskriterium für einige der gängigen Videokonferenz Plattformen.

Wie kann man sich hier behelfen?

Eine Möglichkeit, wie man Noten- und Zeugniskonferenzen auch ohne eine Ende-zu-Ende Verschlüsselung durchführen kann, besteht darin, dass man ohne die Namen der Schüler arbeitet. Alle Lehrkräfte haben Namenlisten mit einer eindeutigen Nummerierung/Kennung vorliegen. Es wird in der Videokonferenz dann nur über Nummern gesprochen, nicht über Namen. Für Dritte sind dann ohne einen unverhältnismäßig hohen Aufwand die Noten und Bemerkungen zu Noten und Zeugnisse, die im Laufe der Konferenz genannt werden, keiner identifizierbaren Person zuzuordnen.

Eine Frage der Plattform

Da durch die Möglichkeit, eine Verarbeitung von personenbezogenen Daten zur Durchführung von Videokonferenz auf der Grundlage von §3 DSG NRW nicht gleichzeitig alle anderen datenschutzrechtlichen Vorschriften außer Kraft gesetzt werden, kommt der Auswahl der Plattform durchaus eine Bedeutung zu.

(Vermutlich) nicht DS-GVO konform

Eine Plattform, bei der zweifelhaft ist, ob sie DS-GVO konform nutzbar ist, hält demnach die „allgemeinen datenschutzrechtlichen Vorschriften“ vermutlich nicht vollständig ein. Damit wäre eine der 4 Bedingungen nicht erfüllt und die Plattform könnte nicht genutzt werden, um Lehrkräfte zu einer Teilnahme an Videokonferenzen zu verpflichten. Die Zahl der Videokonferenz Plattformen, bei denen die DS-GVO Konformität angezweifelt wird, ist nicht klein.8Dazu gehören dürften dann auch Plattformen gehören, deren Nutzung vom MSB als „bedenklich“ eingestuft wird oder Plattformen, die auf der Liste der Berliner Aufsichtsbehörde schlecht davon gekommen sind. Es gibt Schulen und Schulträger, die Gutachten haben anfertigen lassen von Fachkanzleien, die den von ihnen genutzten Plattformen eine DS-GVO Konformität attestieren. Im Streitfall entscheiden hier letztlich die Gerichte, falls es an einer Schule soweit kommt.

Vertrag zur Auftragsverarbeitung

Um die allgemeinen datenschutzrechtlichen Vorschriften zu erfüllen, ist auch der Abschluss eines Vertrags zur Auftragsverarbeitung9Im nicht deutschsprachigen Raum meist als Data Processing Addendum oder Data Processing Agreement bezeichnet. gemäß Art. 28 DS-GVO mit dem Anbieter der Videokonferenz Plattform zwingend erforderlich. Eine Plattform, deren Anbieter diesen Vertrag nicht anbietet, scheidet für eine Durchführung von Noten- und Zeugniskonferenzen per Videokonferenz aus.

Einwilligung erforderlich

Einige Plattformen erfordern zur Aktivierung eines Nutzerkontos eine Einwilligung in die Verarbeitung von personenbezogenen Daten. Dazu gehören die drei Logineo NRW Plattformen und damit auch der Messenger, bei dem es seit kurzem das Modul Videokonferenz mit Jitsi gibt. Da eine Einwilligung immer nur freiwillig sein kann, um rechtswirksam zu sein, ist es damit nicht möglich, die Nutzung einer solchen Plattform verpflichtend vorzuschreiben. Solange bei Logineo NRW Messenger diese Erfordernis zur Einwilligung nicht technisch deaktiviert wird, ist eine verpflichtende Nutzung ausgeschlossen. Gleiches gilt für Plattformen mit vergleichbarem Vorgehen.10Hinweis: Die Kernaussage dieses Abschnitts bezieht sich nur auf die Einwilligung in die Verarbeitung von personenbezogenen Daten, nicht auf die Einwilligung oder Annahme einer Nutzungsvereinbarung.

Wo es möglich wäre

Auf den ersten Blick scheint es, dass eine verpflichtende Teilnahme an Videokonferenzen, wie oben beschrieben, mangels geeigneter Plattformen, welche die „allgemeinen datenschutzrechtlichen Vorschriften“ einhalten, gar nicht möglich ist. Aber es gibt Plattformen, mit denen sich die Vorgaben recht gut einhalten lassen. Dazu gehören BigBlueButton und Jitsi, wie sie von verschiedenen Unternehmen angeboten werden. Mehr zu den Plattformen im Datenschutz Check.11Dort sind beispielhaft auch einige Anbieter genannt. Je nach Anbieter können diese Videokonferenz Lösungen auch an andere Plattformen angedockt werden, die sich dann zur Authentifizierung nutzen lassen. Es gibt außerdem auch Plattformen und Apps, die Videokonferenzen als ein integriertes Modul anbieten. Solange zur Nutzung der Videokonferenz Lösungen, ob als Stand-alone Lösung oder als Bestandteil einer größeren Lösung keine Einwilligung in die Verarbeitung von personenbezogenen Daten erforderlich ist, und sie auch sonst den allgemeinen datenschutzrechtlichen Vorschriften entsprechen, ließen sich für eine Schule damit die zu Beginn beschriebenen Möglichkeiten umsetzen.

Bei einem vertrauenswürdigen Anbieter, der seine Videokonferenz Plattform mit Vertrag zur Auftragsverarbeitung in einem sicheren Serverzentrum betreibt und die Plattform sicher und datenschutzkonform konfiguriert hat, ist es vertretbar, wenn Videokonferenzen auch ohne eine echte Ende-zu-Ende Verschlüsselung durchgeführt werden. Bei Anbietern, die ihre Plattform auf der Basis von Jitsi betreiben und Ende-zu-Ende Verschlüsselung bereits implementiert haben, wäre es möglich, diese zu aktivieren.12Hinweis: Die Ende-zu-Ende Verschlüsselung wird aktuell nicht von allen Browsern unterstützt.

Fazit

Das MSB eröffnet Schulen für den Ausnahmefall der Pandemie die Möglichkeit, Videokonferenzen als Alternative zu Präsenztreffen zu nutzen, um bei bestehendem dringendem dienstlichem Bedürfnis zumindest mit Noten- und Zeugniskonferenzen durchzuführen. Dieses setzt jedoch voraus, dass dazu einige Bedingungen erfüllt werden. Neben der in Erlass und Erläuterungen unerwähnten aber vorausgesetzen Ausstattung der Lehrkräfte mit Dienstgeräten müssen auch die allgemeinen datenschutzrechtlichen Vorschriften eingehalten werden. Mit Blick auf die aktuell an Schulen genutzten Plattformen wird dann jedoch schnell deutlich, dass viele dieser Plattformen die erforderlichen Voraussetzungen nicht vollständig erfüllen werden. Schulen, die versuchen, eine verpflichtende Teilnahme mit diesen Plattformen mit Bezug auf den Erlass und die ergänzenden Erläuterungen des MSB bei ihren Lehrkräften durchzusetzen, laufen dabei Gefahr, gegen geltendes Recht zu verstoßen. Letzte Klärung wird in solchen Fällen dann, falls es soweit kommt, ein Verwaltungsgericht herbeiführen.

Für eine Übertragung auf andere Zusammenhänge, etwa gewöhnliche Lehrerkonferenzen, oder den Unterricht scheint diese vom MSB ausdrücklich unterstützte Ausnahmeregelung nicht geeignet. Siehe dazu auch Distanzunterricht – rechtliche Vorgaben und MöglichkeitenDistanzunterricht – rechtliche Vorgaben und Möglichkeiten und Teilnahme am Unterricht über Video – geht das?

 

Stand 01/2021

Bußgeld gegen Grundschule in Belgien

Lesezeit: 2 Minuten

Schon im Juni 2020 wurde von einem belgischen Gericht ein Bußgeld von 2.000 € gegen eine Grundschule verhängt, da diese Schülerinnen und Schüler über eine von der Schule genutzt digitale Plattform zu ihrem Wohlbefinden befragt hatte, ohne zuvor die Eltern zu informieren und eine Einwilligung einzuholen. Auf der Seite DSGVO-Portal wird der Fall wie folgt beschrieben:

„Die Grundschule hatte über ein Tool eines Smartschooling-Systems eine Umfrage zum Wohlbefinden der Schüler durchgeführt. Mehrere Eltern von Minderjährigen hatten daraufhin eine Beschwerde bei der Datenschutzbehörde über dieses Vorgehen eingereicht.

Zum Einen versäumte es die Schule die Einwilligung der Eltern in Stellvertretung der Schüler unter 13 Jahren für die Datenerhebung einzuholen und diese über die Umfrage und deren Datenverarbeitung aufzuklären. Auch wurde gegen das Datenminimierungsprinzip verstoßen, da die Daten, welche auch Auskünfte über die Gesundheit und die häusliche Situation der Kinder enthielten, nicht anonymisiert erhoben wurden.“

Der Fall war bei der belgischen Aufsichtsbehörde als Beschwerde eingegangen und wurde dann vor der Kammer für Streitsachen der Datenschutzbehörde verhandelt. Im Rechtsstreit ging es dann unter anderem um folgende datenschutzrechtliche Aspekte.

Einwilligung nach Art. 8 DS-GVO

Art. 8 DSGVO ist nach Ansicht des Gerichts anzuwenden, da da es sich bei dem von der Grundschule verwendeten SmartSchool Tool um einen sogenannten Dienst der Informationsgesellschaft handelt. Bei solchen sind Kinder vor Vollendung des 13. Lebensjahres nicht einwilligungsfähig. 1Diese Altersgrenze gilt auch in Österreich, während in Deutschland eine Altersgrenze von Vollendung des 16. Lebensjahres gilt. Siehe dazu auch Auswirkungen der DS-GVO auf die Einwilligungsfähigkeit von Schülern Im Fall der Grundschule waren die Kinder jünger. Eine Einwilligung der Eltern nach Art. 6 Abs. 1 lit. a DS-GVO ist somit erforderlich, war jedoch nicht von der Grundschule nicht eingeholt worden.

Rechtsgrundlage der Befragung

Die Schule war nach eigenen Angaben davon ausgegangen, dass sie die Befragung durchführen konnte, um rechtliche Verpflichtungen gemäß Art. 6 Abs. 1 lit. c. DS-GVO zu erfüllen, denen sie unterliegt. Dieser Ansicht schloss sich das Gericht nicht an und sah stattdessen nur die Einwilligung nach Art. 6 Abs. 1 lit. a. DS-GVO als mögliche Rechtsgrundlage.

Verletzung des Grundsatzes der Transparenz

Nach Ansicht  des Gerichts wurde bei der Befragung der Schüler zu ihrem Wohlbefinden auch der Grundsatz der erforderlichen Transparenz von Seiten des Verantwortlichen gemäß Art. 5 Abs. 1 lit. a DSGVOArt. 12 DSGVO und Art. 13 DSGVO verletzt.

Datenschutz Folgenabschätzung

Der Beschwerdeführer hatte außerdem gefordert, dass die verantwortliche Stelle eine Datenschutz Folgenabschätzung hätte durchführen müssen. Dieser Ansicht schloss sich das Gericht nicht an.

Urteil des Gerichts

Ergebnis des Verfahrens war, dass Schule die Verarbeitung in Übereinstimmung mit Art. 5 Abs. 1 lit. a,  Art. 12 Abs. 1. und Art. 13 Abs. 1 lit. c und d und Art. 13 Abs. 2 lit. b  DS-GVO bringen muss und darüber hinaus eine Verwaltungsstrafe von EUR 2.000,- zu bezahlen hat.

Ob die Verwaltungsstrafe in Belgien von der Schule, der Schulleitung oder der Person, welche die Befragung durchführte oder veranlasste, zu zahlen war, ist den Unterlagen nicht zu entnehmen. Als Beklagter war keine Person genannt worden.

Die Beschwerde, die zu dem Bußgeld führte, wurde bereits im Juli 2019 bei der Aufsichtsbehörde eingereicht. Bis zum Urteilsspruch brauchte es so knapp ein Jahr.

Was kann man als Schule mitnehmen aus dem Fall?

Bezüglich der Verarbeitung von personenbezogenen Daten in der Schule sollte immer klar sein, auf welcher Rechtsgrundlage diese erfolgt. Das Schulgesetz legitimiert nur bestimmte Verarbeitungszwecke und dafür erforderliche personenbezogene Daten. Bei der Nutzung von Online Diensten sollte geprüft werden, ob es sich dabie um Dienste der Informationsgesellschaft handelt, bei denen hier in Deutschland eine rechtswirksame Einwilligung erst ab Vollendung des 16. Lebensjahres möglich ist[siehe dazu auch Auswirkungen der DS-GVO auf die Einwilligungsfähigkeit von Schülern.

Quellen:

Video von der Abschlussfeier streamen

Lesezeit: < 1 Minute

Verschiedene Schulen planen, die feierliche Überreichung der Abschlusszeugnisse live zu streamen, so dass die Familienmitglieder der Abschlussschülerinnen und -schüler unmittelbar dabei sein können, wenn auch nur aus der Ferne. Ohne eine Einwilligung geht das nicht und die Einwilligung muss freiwillig sein. Die Hürden dafür sind bei einer Entlassfeier hoch, da jeder teilnehmen möchte bzw. muss. Während es bei den Schülern je nach Veranstaltungsort durchaus möglich sein dürfte, die Aufnahme so einzustellen, dass es einen Bereich dicht am Geschehen gibt, etwa am Rand der Bühne, der nicht erfasst wird, gibt es eine solche Möglichkeit bei den Lehrkräften nicht. Hier bleiben nur zwei Optionen. Entweder es ist möglich, dass eine Lehrkraft, welche nicht aufgenommen werden will, vertreten wird, durch eine Lehrkraft, die dazu bereit ist, oder der Teil, in welchem die betroffene Lehrkraft ihre Zeugnisse übergibt, kann nicht aufgenommen und gestreamt werden.

Alternativ zum Streaming sind die Personen, welche damit nicht einverstanden sind, vielleicht bereit an Aufnahmen teilzunehmen, die anschließend auf einem Medium gespeichert an die Abschlussschüler übergeben werden.

Schulen sollten bei diesem heiklen Thema mit Bedacht vorgehen und niemanden unter Druck setzen, auch nicht indirekt. Mit Bedacht sollte auch die Plattform zum Streaming ausgewählt werden. Auch eine Videokonferenz Plattform wie BigBlueButton kommt dafür eventuell in Frage, wenn bei den Gästen Ton und Bild deaktiviert bleiben.

Microsoft Teams – Einwilligung

Lesezeit: < 1 Minute

Auf Nachfrage gibt es jetzt auch eine Vorlage für Informationen zur Datenverarbeitung gem. Art. 13 DS-GVO und eine Einwilligung in die Datenverarbeitung zur Nutzung von Microsoft Teams. Die Vorlage ist ausgerichtet auf Schulen, die kein Office 365/ Microsoft 365 nutzen, und berücksichtigt deshalb auch die Erstellung eines Nutzerkontos. Für Schulen, die bereits Office 365/ Microsoft 365 nutzen, kann die Vorlage auch auf die Nutzung der Kommunikationstools, Sprachnachricht, Audi- Videokonferenz und Chat reduziert werden.

Schulen, die Teams mit ihren Schülern ohne ein eigenes Nutzerkonto nutzen möchten, brauchen eine andere Einwilligung, da hierbei deutlich weniger personenbezogene und -beziehbare Daten verarbeitet werden.

 

Bitte denken Sie daran, auch eine Nutzungsvereinbarung zu Teams zu erstellen, denn nur wenn Regeln vereinbart werden, kann man erwarten, dass Nutzer sich daran halten. Eine Vorlage speziell für Teams findet sich bei der Stadt Nürnberg. Die Nutzungsvereinbarung ist ein essentieller Bestandteil der organisatorischen Maßnahmen zum Schutz und zur Sicherheit der personenbezogenen Daten der Nutzer und ergänzt die technischen Maßnahmen. Zu diesen gehören neben einem Rechte- und Rollenkonzept auch sichere Voreinstellungen in MS Teams.

Bitte beachten Sie, dass durch das EU-GH Urteil vom 16.07.2020, der EU-US Privacy Shield für ungültig erklärt wurde. Transfers von personenbezogenen Daten in die USA, wie sie auch bei einer Nutzung von MS Teams möglich sind, können damit nicht mehr auf der Grundlage des EU-US Privacy Shield erfolgen.1Microsoft stützt diese Transfers jetzt auf die Standard Vertragsklauseln. Ob die Aufsichtsbehörden das als datenschutzkonform einschätzen, wird man sehen. Die Informationen zur Datenverarbeitung, die zur Einwilligung gehören, berücksichtigen dieses in der aktualisierten Version. Bitte lesen Sie sich die Informationen in den Vorlagen genau durch.
Ob die Aufsichtsbehörden dieses Vorgehen so als einen gangbaren Weg akzeptieren, bleibt vorerst abzuwarten.

Stand 09/2020

Einwilligung – Vorlagen für BigBlueButton

Lesezeit: < 1 Minute

Wenn eine Schule eine Videokonferenz Plattform betreibt oder mit einem Vertrag zur Auftragsverarbeitung durch einen Dienstleister betreiben lässt, fallen bei der Nutzung personenbezogenen Daten der Videokonferenzteilnehmer an. Dieses ist nur mit einer Information über die Datenverarbeitung nach Art. 12 DS-GVO möglich und einer Einwilligung, die gegenüber der Schulleitung abgegeben wird.

Diese Vorlage ist für Schüler gedacht, die ohne ein eigenes Nutzerkonto an Videokonferenzen der Schule teilnehmen.

Diese Vorlage ist für Lehrkräfte gedacht, die gegebenenfalls auch ein Nutzerkonto erhalten, um Videokonferenzen leiten zu können.

Beide Vorlagen lassen sich leicht auch auf andere Plattformen anpassen. Dabei muss nur darauf geachtet werden, dass bei den Informationen zur Datenverarbeitung alle funktionsbedingten Datenverarbeitungen mit berücksichtigt werden. Beispiel: die Plattform erlaubt Umfragen und diese werden genutzt.

Sollen Videokonferenzen mit Eltern durchgeführt werden, empfiehlt es sich, aus der Vorlage für Schüler eine entsprechende Version zu erstellen.

Bitte achten Sie auch darauf, die Nutzung Ihrer Videokonferenz Plattform durch mit den Teilnehmern und Gastgebern vereinbarte Nutzungsregeln abzusichern.

Wichtig! Die Vorlagen gehen davon aus,

  • dass die von der Schule genutzte BigBlueButton Instanz so konfiguriert betrieben wird, dass nur die personenbezogenen Daten verarbeitet werden, die zum Betrieb tatsächlich erforderlich sind, und
  • die Nutzung per Voreinstellungen auf größtmögliche Sicherheit ausgelegt ist.1Einige Hinweise dazu gibt es unter BigBlueButton – Datenschutz Check

Weitere Informationen zu BigBlueButton und Videokonferenzen in Schule

Einwilligung ohne Papier in Zeiten von Corona

Lesezeit: < 1 Minute

In Zeiten des Corona Virus sind die Schulen geschlossen und trotzdem muss der Unterrichtsbetrieb irgendwie weiterlaufen. Auch die Kommunikation mit Schülern und Erziehungsberechtigten muss möglichst reibungslos und unaufwändig weiterhin möglich sein. Schulen setzen von daher vermehrt auf Online-Plattformen und Apps. Da diese in der Vergangenheit jedoch entweder noch nicht genutzt wurden oder nur von einem Teil der Schülerinnen, Schüler, Lehrkräfte und eventuell auch Eltern, ist es oftmals erforderlich, eine Einwilligung der Betroffenen einzuholen. Wollte man dieses in Papierform erledigen, wäre solches mit sehr viel Aufwand verbunden. Außerdem müsste damit gerechnet werden, dass die Rücklaufquote nicht 100 % ist und je nach Situation sogar extrem gering ausfallen könnte, etwa weil Person das Haus nicht verlassen können.

Was viele nicht bekannt ist, Einwilligungen können durch aus auch elektronisch von den Betroffenen eingeholt werden. Auf welcher  Rechtsgrundlage dieses für Schulen in Nordrhein-Westfalen möglich ist wie man elektronische Einwilligungen umsetzen kann, wird in dem Beitrag Einwilligung einholen ohne Papier ausführlich erklärt.

Brexit und die Folgen für Schule aus Datenschutzsicht

Lesezeit: 2 Minuten

Großbritannien hat zum 01.02.2020 die EU verlassen. Bis zum 31.12.2020 gilt eine Übergangsfrist, während der die Vereinbarungen und Abkommen der EU weiterhin Bestand haben. Damit hat auch die DS-GVO noch bis Ende diesen Jahres Bestand auf der britischen Insel. Schulen können in dieser Zeit problemlos Apps1Apps meint hier solche, deren Nutzung eine Onlineanbindung an die Server des Anbieters erfordert. und Online-Plattformen britischer Anbieter mit Schülerinnen und Schülern nutzen, wenn deren Einsatz auch bisher den Anforderungen aus Schul- und Datenschutzrecht entsprach.

Sofern britische Anbieter ihre Verarbeitung personenbezogener Daten in diesem Zeitraum jedoch nicht für die Zeit nach Ende der Übergangsfrist umstellen, wird eine Nutzung für Schulen in der EU nicht länger möglich sein. Warum ist das so?

Nach dem Ende der Übergangsfrist gilt in Großbritannien nicht mehr die DS-GVO. Großbritannien gilt dann als ein sogenanntes unsicheres Drittland. Eine Übermittlung bzw. Verarbeitung von personenbezogenen Daten in einem Drittland ist nur möglich, wenn es

  • entweder ein Abkommen zwischen der EU und Großbritannien gibt oder
  • für Großbritannien ein Angemessenheitsbeschluss besteht oder
  • die EU Standardvertragsklauseln angewendet werden können oder
  • man eine Art EU UK Privacy Shield aushandelt, nach welchem Anbieter sich selbst zertifizieren können.

Die Möglichkeit, mit Erlaubnis der Aufsichtsbehörde einen Vertrag mit dem Anbieter abzuschließen, welche die Sicherheit und den Schutz der personenbezogenen Daten garantiert, besteht für Unternehmen und kommt für Schulen wohl eher nicht in Betracht.

Die britische Regierung hat bereits angekündigt, dass man von den Regelungen der DS-GVO abweichen und stattdessen eigenes Datenschutzrecht schaffen will. Das wird es deutlich erschweren, eine zeitnahe Lösung für eine Rechtsgrundlage auszuhandeln, auf welcher personenbezogene Daten aus der EU in Großbritannien verarbeitet werden können.

Das bedeutet

für britische Anbieter von Apps und Online-Plattformen im Bildungsbereich, dass sie andere Lösungen finden müssen, um Schulen in der EU auch nach dem Ende der Übergangsfrist eine datenschutzkonforme Nutzen zu ermöglichen. In der Praxis lässt sich dieses am leichtesten umsetzen, wenn die Verarbeitung und Speicherung der personenbezogenen Daten von Schülerinnen und Schülern aus der EU in ein EU-Land verlegt wird.2Möglich wäre auch die Nutzung eines Serverstandortes in einem Drittland, für welches ein Angemessenheitsbeschluss besteht, die EU Standardvertragsklauseln gelten oder es ein sonstiges Abkommen mit der EU gibt. Ein Serverstandort innerhalb der EU oder des EWR wird jedoch die einfachste und sicherste Lösung sein.

für Schulen hängt die Bedeutung des Endes der Übergangsfrist davon ab, ob der Anbieter eine Lösung gefunden hat, die es ihnen erlaubt, sein Produkt weiterhin datenschutzkonform zu nutzen oder nicht.

  • Schafft es der Anbieter nicht, Schulen nach Ende der Übergangsfrist eine datenschutzkonforme Lösung anzubieten, sind Schulen gezwungen, die Nutzung des Apps bzw. der Plattform mit dem Ende der Übergangsfrist einzustellen. Sämtliche Nutzerkonten sind bis dahin zu löschen. Erstellte digitale Medien sollten, sofern sie personenbezogene oder -beziehbare Daten enthalten, heruntergeladen oder in eine andere Plattform übertragen werden, bevor sie ebenfalls zu löschen sind.
  • Kann der Anbieter eine neue, datenschutzkonforme Lösung anbieten, sind gegebenenfalls bestehende Verträge zur Auftragsverarbeitung zu überprüfen und an die neuen Bedingungen anzupassen.

Nachtrag 28.02.2020

In einem im Februar veröffentlichten Strategiepapier der britischen Regierung „The Future Relationship with the EU – The UK’s Approach to Negotiations“ strebt man einen Angemessenheitsbeschluss an3Data Adequacy

59. The UK will have an independent policy on data protection at the end of the transition period and will remain committed to high data protection standards.
60. To maintain the continued free flow of personal data from the EU to the UK, the UK will seek ‘adequacy decisions’ from the EU under both the General Data Protection Regulation and the Law Enforcement Directive before the end of the transition period. These are separate from the wider future relationship and do not form part of trade agreements. This will allow the continued free flow of personal data from the EEA States to the UK, including for law enforcement purposes. The European Commission has recognised a number of third countries globally as providing adequate levels of data protection.
61. On a transitional basis, the UK has allowed for the continued free flow of personal data from the UK to the EU. The UK will conduct assessments of the EEA States and other countries under an independent international transfer regime.
62. The UK will also seek appropriate arrangements to allow continued cooperation between the UK Information Commissioner’s Office and EU Member State data protection authorities, and a clear, transparent framework to facilitate dialogue on data protection issues in the future.

abgerufen am 28.02.2020 unter https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/868874/The_Future_Relationship_with_the_EU.pdf
. Ob und wann es dazu kommt, ist aktuell nicht abzusehen.

 

Alte Klassenfotos für Festschrift und Ausstellung nutzen – geht das?

Lesezeit: 4 Minuten

Jubiläen gehören zu den großen Feierlichkeiten von Schulen. Die Schule wird 50 Jahre, 75 Jahre oder 100 Jahre und man möchte zum Anlass des Jubiläums eine Festschrift erstellen und vielleicht sogar eine Ausstellung gestalten. In den Archiven der Schulen schlummern in der Regel zigtausende alte Aufnahmen, Klassenfotos, Fotos aus dem Schulleben und von Festen und Feiern. Zur Gestaltung einer Festschrift, einer Bilderschau oder für eine Ausstellung holt man diese alten Aufnahmen gerne wieder hervor, um mit ihnen die Geschichte der Schule zu illustrieren. In Zeiten einer erhöhten datenschutzrechtlicher Sensibilität stellen sich die Verantwortlichen irgendwann auch die Frage, ob es aus Sicht des Datenschutzes überhaupt zulässig ist, diese alten Aufnahmen für das geplante Vorhaben zu verwenden? Einwilligungen wurden bei der Erstellung der alten Aufnahmen nie eingeholt und die abgebildeten Personen sind, vor allem wenn die Aufnahmen älter sind, niemandem in der Schule bekannt. Das Einholen von Einwilligungen würde, selbst wenn alle Personen und auch ihre Kontaktinformationen bekannt sind, einen nicht zu vertretenen Aufwand darstellen. Was soll man also tun? Muss man auf die alten Aufnahmen verzichten?

Ein Beispiel

Klassenfoto 4. Klasse 1963
Klassenfoto 3. oder 4. Klasse 1963 oder 1964 ??? Volksschule Trostberg, Flickr, Labormicro, CC BY SA 2.0

Die Kinder auf der digitalisierten Aufnahme dürften jetzt um die 65 Jahre alt sein. Ihre Lehrerin ist vermutlich bereits verstorben. Nur eine sehr begrenzte Zahl von Personen wird in Lage sein, eine der abgebildeten Personen zu identifizieren, da dieses voraussetzt, dass man die Personen schon lange kennt.1Moderne Gesichtserkennungstechnologie wie Clearview AI ist in der Lage, auch Kinder zu identifizieren, sofern ihr von dieser Person Aufnahmen als Erwachsene Person vorliegen. Es ist zu erwarten, dass die Möglichkeiten mit einer Weiterentwicklung bestehender Technologien zur Gesichtserkennung zunehmen werden. Ob die technische Möglichkeit, einzelne Personen zu identifizieren, bei der obigen Aufnahme jemals bestehen wird, ist schwierig zu beurteilen. Beim Original auf Flickr könnte es aber möglich sein.

Die Rechtslage

Zumindest drei Rechtsgebiete könnten relevant sein:

  • Datenschutzrecht (DS-GVO)
  • Kunsturheberrecht (KUG), Recht am eigenen Bild
  • Urheberrecht, Urheberrecht des Fotografen

Das Urheberrecht wird man bei Fotos, welche die Schule in ihrem Archiv liegen hat, vermutlich vernachlässigen können, da diese Fotos entweder durch die Schule angefertigt wurden oder im Auftrag für die Schule.2Es gilt generell für Lichtbildwerke folgende Regelung: Lichtbildwerke: Definition und Schutzdauer Lichtbildwerke sind persönliche, geistige Schöpfungen. Sie sind kreativ, individuell und mit erkennbarer gestalterischer Höhe. Für Lichtbildwerke garantiert das Urheberrecht einen lebenslangen Schutz sowie weitere 70 Jahre für die Rechtsnachfolger. Quelle: firma.de, abgerufen 15.02.2020 Im folgenden geht es von daher nur darum, inwieweit sich das Datenschutzrecht sowie das Kunsturheberrecht auf die Fragestellung auswirken.

Unter dem Titel „DSGVO und Fotografie: Was ändert sich für Fotografen?“ beschäftigt sich e-recht24 auch mit der Frage der Altbestände. Solange kein Ausnahme von der Einwilligungserfordernis vorliegt, so erklärt man dort, ist eine Einwilligung der Betroffenen erforderlich, denn die DS-GVO ist auch auf „Altbestände“ anwendbar. Einmal erteilte Einwilligungen wirken allerdings fort.

Entsprechend macht es Sinn, wenn die Mittelbayrische im Beitrag mit dem Titel „Auch Opas Klassenfoto wird zensiert„, die Bayrische Aufsichtsbehörde mit der Aussage zitiert: „Das Zeigen ist tatsächlich nur zulässig, wenn von jedem einzelnen Abgebildeten eine Erlaubnis vorliegt.“ Ohne Einwilligung der Betroffenen ist demnach nicht einmal das Aufhängen alter Klassenfotos im Schulgebäude zulässig. Und weiter heißt es im Beitrag:

Der Datenschutz ist ein Grundrecht. Und jede Erhebung personenbezogener Daten greift in dieses Grundrecht ein – auch Fotos. Schon seit 1949 gilt: Ohne Einverständnis der abgebildeten Person kein Foto. In der Vergangenheit sei das Rechtsbewusstsein in diesem Punkt noch nicht so ausgereift gewesen, sagt der Referatsleiter des BayLfD. Jahrelang seien Fotos angefertigt worden, ohne dass man sich Gedanken dazu gemacht habe. Tatsächlich sei aber jedes Foto ohne unterschriebene Einverständniserklärung rechtswidrig.

Ausnahmen von der Regel

Das Vorliegen einer Einwilligung der Betroffenen gilt allerdings nicht uneingeschränkt. Es gibt eine Reihe von Ausnahmen, bei welchen die Vorgaben der DS-GVO und des KUG nicht greifen.

Ausnahme: Beiwerk

Wenn die abgebildeten Personen nur Beiwerk sind, dann ist eine Nutzung ohne Einwilligung möglich. Ein Beispiel dafür wäre der Blick auf das gesamte Schulgebäude und den Schulhof davor und es ist eindeutig zu erkennen, dass es nicht um die zufällig mit abgebildeten Kinder, sondern das Schulgebäude oder Schulgelände geht.

Ausnahmen: Versammlung, Aufzug

Wenn es sich um Fotografien handelt, die auf öffentlichen Veranstaltungen entstanden, etwa Schulfesten, oder bei Beteiligung an öffentlichen Umzügen, dann sollte man diese auch ohne Einwilligung der abgebildeten Personen für die geplanten Zwecke nutzen können. Bei Fotografien von öffentlichen schulischen Veranstaltungen sollte allerdings bedacht werden, dass die Teilnahme für Kinder und Lehrkräfte verpflichtend war. Die Ausnahme gilt also nur für Besucher, denn diese haben die Veranstaltung freiwillig besucht und mussten damit rechnen, dass dort Fotografien angefertigt werden, auch für eine öffentliche Berichterstattung.

Ausnahme: Verstorbene

Eine weitere Ausnahme besteht, wenn die abgebildeten Personen bereits verstorben sind, denn die DS-GVO gilt nicht für die personenbezogenen Daten Verstorbener.3Mit Bezug auf die DS-GVO heißt es in Erwägungsgrund 27: “Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener.” Das könnte beispielsweise der Fall bei einem sehr alten Kollegiumsfoto sein. Zu beachten ist allerdings das KUG. Denn dieses gilt für Aufnahmen, die zu Lebzeiten der abgebildeten Person entstanden, 10 Jahre über den Tod hinaus. Sind die abgebildeten Personen bereits länger als zehn Jahre verstorben, kann das Foto dann aber tatsächlich ohne Einwilligung genutzt werden. Gleiches gilt für Fotografien von einzelnen Personen, etwa einer Schulleitung. Bei Fotografien, auf welchen Schüler abgebildet sind, wird man bei der heutigen Lebenserwartung vermutlich davon ausgehen müssen, dass diese etwa 100 – 110 Jahre alt sein müssen (Alter Ende 4. Klasse von 10 Jahren, plus 90 Lebensjahre, plus 10 Jahre gem. § 22 Satz 3 Kunsturhebergesetz (KUG)410 Jahre nach dem Tod des Abgebildeten endet das Recht am eigenen Bild. „Aber auch nach Ablauf von 10 Jahren nach dem Tod kann die Nutzung eines Fotos, auf dem ein Verstorbener abgebildet ist, unzulässig sein. Dies ist z.B. der Fall, wenn die konkrete Art der Fotonutzung das postmortale Persönlichkeitsrecht des Verstorbenen grob beeinträchtigt“ Quelle, abgerufen am 15.02.2020 ), um keine Rechte lebender Personen mehr zu verletzen. 

Ausnahme: Personen nicht eindeutig erkennbar

Wenn die abgebildeten Personen nicht eindeutig identifiziert werden können, sind weder DS-GVO noch KUG anwendbar.

Was heißt das jetzt?

Möchte eine Schule alte Fotografien aus ihrem Archiv veröffentlichen, sind die oben genannten Voraussetzungen zu erfüllen. Wenn die abgebildeten Personen erkennbar und kein Beiwerk sind, es sich nicht um eine Versammlung oder einen Aufzug handelt oder der Todeszeitpunkt der Personen weniger als 10 Jahre zurückliegt, braucht es eine Einwilligung der Betroffenen. Einwilligungen von vor dem 25.05.2018 müssen den bis dahin geltenden datenschutzrechtlichen Vorgaben genügen, um weiterhin rechtswirksam zu sein. Es ist dabei unerheblich, ob die Fotografien für eine Festschrift genutzt, in einer Bilderschau vorgeführt, auf einer Website veröffentlicht oder in einer öffentlichen Ausstellung gezeigt werden sollen.

Solange für die Aufnahmen keine Veröffentlichung im Internet beabsichtigt ist, sollte man Aufnahmen wie die obige allerdings nutzen können, wenn sie in einer Form veröffentlicht werden, welche das Identifizieren einzelner Personen extrem erschwert oder gar unmöglich macht. Druckt man das Foto oben mit 10 cm Seitenlänge der längsten Seite ab, ist es so undeutlich, dass wenn überhaupt eigentlich nur die abgebildeten Personen selbst, Familienangehörige oder Personen, die im Besitz einer Originalaufnahme sind, in der Lage sein werden, Gesichter Personen zuordnen. Würde man bei diesem Foto die Auflösung oder die Schärfe reduzieren, wäre auch das nur noch möglich, wenn man ein Original daneben legte.

Man braucht also nicht unbedingt auf alte Aufnahmen verzichten, wenn man eine  Verwendung für eine Festschrift, Bilderschau oder Ausstellung im Rahmen eines Jubiläums der Schule plant – auch wenn das Einholen einer Einwilligung für einen Teil der Aufnahmen nicht möglich ist.

 

Referenz-Verarbeitungsübersicht der Medienberatung NRW

Lesezeit: 2 Minuten

Bei der Medienberatung NRW ist man schon seit Monaten sehr bemüht, das Unterstützungsangebot für Schulen zum Thema Datenschutz auszubauen. Im Rahmen dieser Arbeiten wurde zum Ende des vergangenen Jahres (2019) eine sogenannte Referenz-Verarbeitungsübersicht veröffentlicht. Das Format ist nicht unbekannt, aber aktuell noch weniger verbreitet. Das gängige Format entspricht eher den Vorlagen, wie sie auf dieser Seite bereitgestellt werden.

Das soll jedoch nicht heißen, dass die Lösung aus der Medienberatung NRW schlechter wäre. Nein, sie ist sogar sehr gut, denn sie ist sehr übersichtlich. Sie besteht aus Tabellen, die mit Tabellenblättern unterteilt sind. Das vorausgefüllte Muster deckt die verschiedenen Verarbeitungstätigkeiten, welche sich an Schulen finden, weitestgehend ab. Schulen brauchen die Vorlage nur noch ergänzen um schulspezifische Informationen und speichern die Verarbeitungsübersicht dann ab. Es ist nicht nötig, einen Ausdruck zu erstellen. Lediglich das Vorblatt mit den Informationen zum Verantwortlichen und dem Feld für eine Unterschrift sollte ausgedruckt und abgelegt werden.

Screenshot Referenz-Verarbeitungsübersicht Schulen NRW
Screenshot Referenz-Verarbeitungsübersicht Schulen der Medienberatung NRW (Link hinter dem Bild führt zur Seite der Medienberatung)

Der Download auf der Seite Referenz-Verzeichnis der Verarbeitungstätigkeiten für Schulen besteht aus zwei Dateien im XLSX Format und lässt sich mit gängigen Tabellenkalkulationsprogrammen bearbeiten.

Es ist möglich, in den Tabellen Angaben zu den technischen und organisatorischen Maßnahmen zum Schutz und zur Sicherheit der Verarbeitung zu machen. Als Ergänzung zum Referenz-Verzeichnis der Verarbeitungstätigkeiten empfehle ich meine Vorlage für ein schulisches Sicherheitskonzept sowie für ein schulisches Löschkonzept zu nutzen. Beide Vorlagen finden sich unter Verzeichnis von Verarbeitungstätigkeiten ganz unten auf der Seite.

Verarbeitungstätigkeiten einer Schule, die sich nicht in die Referenz-Verarbeitungsübersicht einordnen lassen, können problemlos auch mit Vorlagen wie auf meiner Seite bereitgestellt, ergänzt werden. Gleiches gilt auch Beschreibungen von Verarbeitungstätigkeiten, welche beispielsweise von Auftragsverarbeitern teilausgefüllt bereitgestellt werden. Es besteht kein Zwang, alle Verarbeitungstätigkeiten unbedingt in das Muster der Medienberatung zu schreiben. Wenn man sich dazu in der Lage sieht bzw. es möglich ist, dann sollte man das Muster ergänzen und wenn nicht, nutzt man eine der anderen Vorlagen. Solange man alle Verarbeitungstätigkeiten der Schule in irgendeiner Form erfasst hat, ist der Form Genüge getan, um selbst einen Überblick zu haben und im Falle der Fälle der Aufsichtsbehörde etwas vorlegen zu können.

Die Referenz-Verarbeitungsübersicht ist übrigens durchaus auch für Schulen in anderen Bundesländern von Interesse und kann auch von Schulen in kirchlicher Trägerschaft genutzt werden, sofern von dort nicht verpflichtend andere Vorlagen zur Verfügung gestellt werden. Anpassungen sind vor allem bei den genannten Rechtsgrundlagen vorzunehmen und den eingesetzten Anwendungen.