Kategorie: DSGVO

Veröffentlicht am

Auf die Information nach Art. 13 bei der Anmeldung an der Schule kommt es an

Lesezeit: < 1 Minute

Bei der Anmeldung von Schülern an einer Schule werden umfänglich personenbezogene Daten erhoben. Entsprechend der Vorgaben von Art. 13 DSGVO Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person sind die Betroffenen zu informieren.

Ist man dieser Informationspflicht nachgekommen und es werden später im Laufe der Schulzeit anlassbezogene Einwilligungen eingeholt, kann auf einen Teil der nach Art. 13 vorgeschriebenen Informationen verzichtet werden, da sie bereits bei der Anmeldung umfänglich gegeben wurden.1“Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt.” Art. 13 Abs. 4 DS-GVO

Bei einer anlassbezogenen Einwilligung könnte man dann auf folgende Punkte verzichten2Achtung – sämtliche andere Informationen müssen gegeben werden, um eine rechtswirksame Einwilligung einholen zu können. und damit die Einwilligung deutlich verkürzen:

  • Kontaktdaten des Verantwortlichen (und eventuell des Vertreters)
  • Kontaktdaten des Datenschutzbeauftragten
  • Information über die Rechte der Betroffenen gegenüber der Schule (Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht gegen die Verarbeitung, Recht auf Datenübertragbarkeit)
  • Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird
  • Beschwerderecht bei einer Aufsichtsbehörde

In den Vorlagen für Einwilligungen könnten dann diese Punkte gelöscht werden. Es empfielt sich jedoch, auf die Möglichkeit hinzuweisen, die Informationen entsprechend Art. 13 in der Schule jederzeit zu erhalten oder auf der Schulhomepage einsehen zu können.3Auch ein Hinweis auf den Ablageort auf der Schulhomepage wäre sinnvoll.

Ausführliche Informationen zur Erstellung einer Einwilligung finden sich unter Wie erstellt man eine datenschutzrechtlich korrekte Einwilligung für Schule?

Veröffentlicht am

Verarbeitung auf Grundlage einer Interessenabwägung – geht das bei Schulen?

Lesezeit: 2 Minuten

Nach §§120 – 122 Schulgesetz NRW gibt es nur zwei datenschutzrechtliche Grundlagen, sogenannte Erlaubnistatbestände, für die Verarbeitung von personenbezogenen Daten von Schülern, Eltern und Lehrkräften: eine Rechtsvorschrift erlaubt sie oder die Betroffenen willigen ein. In Bezug auf Schüler heißt es deshalb in Abs. 1 §120 SchulG NRW,

“Schulen […] dürfen personenbezogene Daten der Schülerinnen und Schüler, der in § 36 genannten Kinder sowie der Eltern verarbeiten, soweit dies zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben erforderlich ist. […] Andere Daten dürfen nur mit Einwilligung der Betroffenen erhoben werden.”

Die im Schulgesetz aufgeführten Erlaubnistatbestände entsprechen den Buchstaben e und a in Art. 6 der Datenschutz Grundverordnung (DS-GVO). e entspricht dabei der Verarbeitung auf der Grundlage einer Rechtsvorschrift1lit. e “die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;”2Eine entsprechende Vrogabe findet sich auch in §3 Bundesdatenschutzgesetz, “Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist.” . a entspricht der Verarbeitung auf Grundlage einer Einwilligung der betroffenen Person3lit. a “Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;”.

Auch wenn eigentlich aufgrund der Vorgaben aus dem Schulgesetz klar sein sollte, dass es keine anderen Erlaubnistatbestände gibt, welche in Schule eine Verarbeitung von personenbezogenen Daten rechtfertigen können, kommt trotzdem immer wieder die Frage auf, ob es für Schulen auch zulässig ist, eine Verarbeitung von personenbezogenen Daten von Schülern, Eltern und Lehrkräften auch auf der Grundlage von Art. 6 Buchstabe f4“die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.” durchzuführen? Das meint die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen, hier also der berechtigten Interessen der Schule. Kann eine Schule eine Interessenabwägung vornehmen zwischen ihren eigenen Interessen und denen der Betroffenen, und eine Verarbeitung auch ohne Einwilligung oder gesetzliche Grundlage vornehmen, wenn sie zu dem Schluss kommt, dass die Interessen der Schule überwiegen?

Dazu gibt es sogar in der DS-GVO eine Antwort. Direkt unter Buchstabe f findet sich in Art. 6 DS-GVO ein Passus, welcher Behörden von dieser Regelung ausnimmt.

“Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.”

Eine Schule ist eine öffentliche Stelle und verwaltungstechnisch eine Behörde.5„Im Schulbereich ist Behörde im Sinne des Hessischen Verwaltungsverfahrensgesetzes (HVwVfG) jede Schule in öffentlicher Trägerschaft, …“ ), in Raabe, Schulleitung Online, Verwaltungsakt-Rechtsbegriff. Entsprechend ist die Ausnahme auf Schulen in öffentlicher Trägerschaft anzuwenden.

In einem Dokument des Europäischen Rates65419/1/16 REV 1 S. 277Eine gleichlautende Aussage findet sich auch in Erwägungsgrund 47 wird erläutert, warum Art. 6 lit. f nicht auf Behörden angewendet werden soll:

“Da es dem Gesetzgeber obliegt, per Rechtsvorschrift die Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch die Behörden zu schaffen, sollte diese Rechtsgrundlage nicht für Verarbeitungen durch Behörden gelten, die diese in Erfüllung ihrer Aufgaben vornehmen.”

Diese “Ausnahme ist dem Grundsatz des Gesetzesvorbehalts geschuldet”8Buchner / Petri in Kühling / Buchner Art. 6 Rn. 157

Das heißt, für Verarbeitungen von personenbezogenen Daten, welche eine Schule in Erfüllung ihrer Aufgaben, vornimmt, ist Art. 6 lit. f nicht anwendbar, denn hier ist Rechtsgrundlage für die Verarbeitung personenbezogener Daten das SchulG NRW und daraus abgeleitete Verordnungen. Schulen können demnach in dem Bereich, wo es um die Erfüllung ihrer Aufgaben als Schule geht, keine Verarbeitung auf der Grundlage einer Interessenabwägung vornehmen.

Die DS-GVO kann durchaus in bestehende datenschutzrechtliche Vorgaben eingreifen, wie das etwa bei der Einschränkung der Einwilligungsfähigkeit von Kindern und Jugendlichen entsprechend Art. 8 Abs. 1 der Fall ist. Sie kann aber keine neuen Erlaubnistatbestände in bestehende Regelungen einführen. Und selbst wenn dieses möglich wäre, so ist von der DS-GVO für den in Frage stehenden Bereich, die Interessenabwägung, nicht einmal vorgesehen.

Veröffentlicht am

Sind Einwilligungen jetzt nur noch ab 16 Jahren möglich?

Lesezeit: < 1 Minute

Die europäische Datenschutz Grundordnung berücksichtigt den Schutz der personenbezogenen Daten von Kindern und Jugendlichen besonders und hat deshalb, zum Selbstschutz der Kinder, mit einer Altersvorgabe geregelt, ab wann sie eine rechtswirksame Einwilligung abgeben können. In Art. 8 Abs. 1 wird ein Mindestalter angegeben und unter welchen Bedingungen diese Vorgabe gilt. An vielen Stellen liest man, dass dadurch nun rechtswirksame Einwilligungen von Kindern generell erst ab Vollendung des 16. Lebensjahres abgegeben werden können. Bisher gängige Praxis in Schulen war, dass man die Entscheidung, ob ein Kind eigenständig eine Einwilligung abgeben kann, von der Einwilligungsfähigkeit abhängig machte, unter Berücksichtigung der Komplexität der Datenverarbeitungsprozesse und der Tragweite der mit einer Einwilligung verbundenen Entscheidung. Die Einwilligungsfähigkeit setzte man so bei etwa 14 bis 15 Jahren an. Bei nicht gegebener Einwilligungsfähigkeit war dann die Zustimmung bzw. Einwilligung der Eltern einzuholen.

Ist es nun seit Mai 2018 tatsächlich so, dass unsere Schülerinnen und Schüler jetzt grundsätzlich erst ab Vollendung des 16. Lebensjahres eine rechtswirksame Einwilligung abgeben können, egal ob es sich um Fotos für die Schulhomepage handelt oder um die Anmeldung an einer Plattform im Internet? Dieser Frage geht der Themenbeitrag Auswirkungen der DS-GVO auf die Einwilligungsfähigkeit von Schülern nach.

Veröffentlicht am

Vorabkontrolle der Genehmigungen für Lehrer in NRW durch schulische DSB entfällt

Lesezeit: 2 Minuten

Als das Ministerium für Schule und Bildung Anfang des Jahres den neuen Genehmigungsvordruck zu Nutzung privater Endgeräte zur Verarbeitung personenbezogener Daten aus der Schule per Erlass einführte, war dort noch eine Vorabkontrolle durch die behördlich bestellten schulischen Datenschutzbeauftragten (DSB) verbindlich vorgesehen. Diese sollten jeden Genehmigungsantrag von Lehrkräften prüfen, bevor die Schulleitung dann die Genehmigung erteilte. Mit Beginn der Umsetzung der Datenschutz Grundverordnung (DS-GVO), nur wenige Monate nach Einführung der Genehmigung ist die Vorgabe zur Kontrolle durch die schulischen nicht länger erforderlich. Dieses hängt mit einer Veränderung der Aufgabenbeschreibung von Datenschutzbeauftragten zusammen, die sich mit der DS-GVO gegenüber dem alten Bundesdatenschutz Gesetz ergeben hat.

In einem Schreiben des MSB, Ref. 212 von Mai 2018 heißt es entsprechend,

“Die bisherige Pflicht gem. §§ 8, 10 DSG, ein Verfahrensverzeichnis zur Führung und Einsichtnahme bei den behördlichen Datenschutz- beauftragten zu erstellen und ihnen das Verzeichnis zur Vorabkontrolle vorzulegen, entfällt.
[…] Zwar sind die Datenschutzbeauftragten zur Vorabkontrolle des Verzeichnisses nicht mehr konkret gesetzlich verpflichtet. Gleichwohl wird den Schulleitungen dringend empfohlen, sie weiterhin um Prüfung neuer Dokumentationen zu bitten. Dies unterfällt dem Beratungsrecht der Schulleitungen bzw. der korrespondierenden Pflicht der Datenschutzbeauftragten.

Entsprechendes gilt für die Genehmigung zur Nutzung von privaten ADV-Geräten der Lehrkräfte:

Der Genehmigungsvordruck, der mit der Dienstanweisung (BASS 10-41 Nr. 4) zur Verfügung gestellt worden ist, sieht die Dokumentation der Vorabkontrolle nach bislang geltender Rechtslage vor. Hierzu wird ebenfalls empfohlen, die Datenschutzbeauftragten weiterhin im Wege der Beratung einzubeziehen und dies vom Verantwortlichen (Schulleitung oder ZfsL-Leitung) entsprechend dort im Vordruck zu vermerken.

Die bzw. der Datenschutzbeauftragte ist nicht mehr zur schriftlichen Prüfungsbestätigung verpflichtet.”

Auch eine Vorabkontrolle der Verfahrensverzeichnisse  jetzt Verzeichnisse von Verarbeitungstätigkeiten ist nicht länger verbindlich vorgeschrieben, wird jedoch empfohlen, wie den Ausführungen des MSB zu entnehmen ist.

Schulleitungen entscheiden also selbst, ob sie ihren zuständigen DSB beratend hinzuziehen möchten, bevor sie ihren Lehrkräften eine Genehmigung erteilen. Eine Verpflichtung dazu besteht nicht.

Veröffentlicht am

TeacherTool zeigt, Datenschutz kann einfach sein

Lesezeit: 2 Minuten

Es tut gut, wenn man sieht, dass es Softwareentwickler gibt, die mitdenken. Privacy by Design und Privacy by Default1Siehe dazu Privacy by Design gehören nach Art. 25 DS-GVO zu Grundprinzipien des Datenschutzes. Wer ein Softwareprodukt oder einen Online Dienst entwickelt, sollte entsprechend direkt bei der Entwicklung Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen berücksichtigen. TeacherTool, ein iOS App für die Schülerverwaltung, macht genau dieses schon seit Jahren auf vorbildliche Art und Weise. Der Entwickler der Software kennt die Nöte seiner Kunden, die vor allem in NRW seit der neuen Genehmigung eher zugenommen haben, wenn es um die dienstlichen Vorgaben zur Nutzung von Privatgeräten von Lehrkräften zur Verarbeitung von personenbezogenen Daten aus der Schule geht. Das App, welches Lehrkräften die Verwaltung von Schülerdaten (Noten, Fehlzeiten, Bemerkungen, …) erleichtert und auch die Führung eines Kursbuchs zur Planung des Unterrichts beinhaltet, dürfte von Lehrkräften überwiegend auf Privatgeräte genutzt werden. Und das geht ohne Genehmigung nicht. Strenge technische und organisatorische Vorgaben sind einzuhalten, um das Gerät sicher zu machen. iOS Geräte sind an sich schon sehr sicher, wenn man die vom System angebotenen Sicherheitseinstellungen nutzt. Teachertool packt seine eigenen Sicherheitsfeatures noch oben drauf, um Lehrern die Einhaltung datenschutzrechtlicher Vorgaben zu erleichtern. Das App lässt sich mit einer Zugangssperre versehen, die Datenbanken mit Passwort sichern und der Versand von Kursbüchern per E-Mail, um sie am Rechner zu sichern, erfolgt immer verschlüsselt und passwortgesichert.

Als zusätzlichen Service bietet der Entwickler des Programms auf seiner Website umfängliche Informationen zur sicheren Arbeit mit personenbezogenen Daten von Schülern in TeacherTool. Neben zahlreichen Hilfen auf der Website selbst, stehen aktuell zwei Downloads zur Verfügung. “Informationen zu Datenschutzfragen” geht auf die verschiedenen datenschutzrechtlichen Aspekte bei der Nutzung des Apps und der Desktopsoftware ein, erläutert, welche Daten überhaupt verarbeitet werden sowie relevante technische Aspekte bei der Nutzung und gibt Hinweise, wie man mit maximaler Sicherheit arbeitet. “TeacherTool und die DSGVO” beschäftigt sich speziell mit den Vorgaben der Datenschutz Grundverordnung, gibt aber auch noch weitere hinausgehende Informationen zum Thema.

Gerade für Lehrkräfte in NRW, die mit iOS Geräten arbeiten, ist TeacherTool ideal. Wer sich bei der Verarbeitung von personenbezogene Daten von Schülern auf einem iOS Gerät auf den Einsatz von TeacherTool beschränkt, und dabei sowohl die Sicherheitseinstellungen des Systems wie auch von TeacherTool vollumfänglich einsetzt, der kann den Antrag zur Genehmigung ohne Bedenken unterschreiben. Genauso sollte eine Schulleitung hier ohne Bedenken eine Genehmigung erteilen, denn sicherer geht es nicht.2Ich würde hierzu gegenenfalls das Genehmigungsformular um einen Passus ergänzen, welcher die Genehmigung zur Verarbeitung von personenbezogenen Daten von Schülerinnen und Schülern auf dem iOS Gerät, für welches eine Genehmigung eingeholt werden soll, auf TeacherTool beschränkt. Je nach Situation kann das eine Lösung sein, auch wenn sie nicht ideal ist, da so andere Verarbeitungsmöglichkeiten ausgeschlossen werden. Die Sicherungsdateien sollten dann auf einen schulischen Verwaltungsrechner geschickt und dort gespeichert werden.3So braucht es keine zusätzliche Genehmigung für ein weiteres privates Endgerät. Ausdrucken kann man entweder vom iOS Gerät per WLAN zu Hause oder in der Schule aus der übermittelten Datei.

Als schulischer Datenschutzbeauftragter kann ich für TeacherTool eine uneingeschränkte Empfehlung abgeben.

Schulen, die ihren Lehrer iPads stellen und diese über ein MDM verwalten, können darüber auch Voreinstellungen zur Datenverarbeitung für die Nutzung des TeacherTool App konfigurieren. So kann Schule sicherstellen, dass auch auf dienstlichen iPad im App nur zulässige personenbezogene Daten von Schülern verarbeitet werden.

Veröffentlicht am

Elektronische Schließanlagen in Schulen – ein Problem – zwei Sichten

Lesezeit: 4 Minuten

In NRW beschäftigt Schulen schon seit einiger Zeit das Problem elektronischer oder elektromechanischer Schließsysteme. Diese sollen die Sicherheit der Gebäudezugänge erhöhen und eine Vereinfachung der Verwaltung der Schlüssel- und Schließanlagen bewirken. So kann bei Verlust eines Schlüssels, die Schließberechtigung für diesen einen Schlüssel aufgehoben werden und ein Komplettaustausch der kompletten Schließanlage ist nicht mehr erforderlich.

Bei mechatronischen Schließanlagen hat man einen mechanischen Schlüssel, der im Kopfteil eine elektronische Komponente hat. Über das Zusammenwirken von Schlüssel und Schließzylinder kann durch Berechtigungen bestimmt werden, welcher Schlüssel welche Tür öffnen kann. Der Schließzylinder in der Tür  zeichnet sämtliche Schließvorgänge auf mit Datum und Uhrzeit und ob ein Schließversuch berechtigt oder unberechtigt war. Da die Schließzylinder nur eine begrenzte Anzahl von Schließvorgängen aufzeichnen können, werden die ältesten Schließvorgänge gelöscht, sobald der Speicher voll ist. Die Zuteilung der Schlüssel auf Benutzer erfolgt über eine Software, die meist bei der Haustechnik installiert ist. Mittels eines Handlesegerätes lassen sich die Schließzylinder auslesen. Die dabei aufgenommenen Daten lassen sich in die Software einspielen. Dort können dann Schließvorgänge mit Nutzern zusammengeführt werden. Elektronische Schließsysteme mit Funk-Transponder oder Chipkarten arbeiten vom Prinzip her ähnlich. Das Problem ist das gleiche. Es werden personenbezogene Daten der Personen aufgezeichnet, welche einen Schlüssel innehaben, mittels derer es möglich wäre, nachzuhalten, wann wer das Gebäude betreten hat, eine Tür verschlossen hat, etwa beim Verlassen des Klassenraumes, oder eine Toilette aufgesucht hat.

Interessant ist nun, dass dieser Sachverhalt, der definitiv eine datenschutzrechtliche Komponente hat, je nach Bundesland völlig anders bewertet wird, sowohl was die Verantwortlichkeiten angeht als auch die Rechte der Betroffenen.

Wer ist verantwortlich?

NRW – die Schulleitung ist verantwortlich

Hier in NRW ist man von Seiten des Schulministeriums der Ansicht, dass für die datenschutzrechtlichen Belange, welche sich durch den Betrieb einer elektronischen Schließanlage ergeben, die Schulleitung zuständig ist. Dieses leitet man aus der Dienstanweisung für die automatisierte Verarbeitung personenbezogener Daten in der Schule (BASS 10 – 41 Nr. 4) Nr 3. ab.1Zu einem entsprechenden Schluss kam in einem Urteil am 09.03. 2018 auch das Oberlandesgericht Hamm, 11 U 25/17
“Verantwortliche Stelle i.S.d. § 3 Abs. 3 DSG NW ist nach den obigen Ausführungen hier aber allein die Schule und nicht auch der Beklagte.”Gemeint ist mit der Beklagte der Schulträger, gegen welchen eine Lehrkraft vor Gericht gegangen war.

“Die Schule ist – auch soweit sie sich in kommunaler Trägerschaft befindet – speichernde Stelle im Sinne des Datenschutzgesetzes Nordrhein-Westfalen (DSG NW). Für das Einhalten der Datenschutzvorschriften ist die Schulleiterin oder der Schulleiter verantwortlich.”

Das hat rechtliche Folgen, denn betrieben wird die elektronische Schließanlage nicht durch die Schule, sondern durch den Schulträger oder einen mit dem Gebäudemanagement beauftragten Dienstleister. Die Schulleitung als Verantwortlicher muss demnach mit dem Schulträger einen Vertrag zur Datenverarbeitung im Auftrag abschließen, in welchem ein eventueller Dienstleister für das Gebäudemanagement als Unterauftragnehmer benannt ist. Der Schulträger ist damit gegenüber der Schulleitung weisungsgebunden. Das bedeutet, jegliches Auslesen der Schließzylinder und Zusammenführen der Daten kann nur auf Weisung der Schulleitung erfolgen.

Baden Württemberg – der Schulträger ist verantwortlich

Eine gänzlich andere Sicht auf diese Thematik hat man in Baden Württemberg. Dort geht man davon aus, dass nach § 48 Schulgesetz (SchG) der Schulträger im Rahmen seiner Zuständigkeit für die äußeren Schulangelegenheiten nicht nur das Schulgebäude errichtet und erhält, wozu auch der Einbau einer elektronischen Schließanlage zählt, sondern auch für den Betrieb dieser Anlage verantwortlich ist.2siehe Datenschutzrechtlich verantwortliche Stelle Entsprechend führt man auf einer Seite des Ministeriums aus:

“In der Konsequenz dieser schulrechtlichen Zuweisung der Verantwortung treffen auch die materiell-rechtlichen und formalen datenschutzrechtlichen Anforderungen an den Betrieb der Schließanlage nicht die Schulleitung, sondern den Schulträger.”

Damit liegt hier keine Erfordernis vor, einen Vertrag zur Datenverarbeitung im Auftrag abzuschließen. Dieses selbst dann nicht der Fall, wenn der Schulträger die Verwaltung der Schließanlage ganz oder teilweise auf den Schulleiter delegiert und dieser dann im Rahmen des § 41 SchG BaWü Aufgaben des Schulträgers übernimmt, dabei aber an dessen Weisungen gebunden ist.

Die Rechte der Betroffenen

Einwilligung in NRW

Die schulische Datenschutzgesetzgebung lässt nur die Verarbeitung von personenbezogenen Daten der Lehrkräfte zu, die in der VO-DV II aufgeführt sind. Entsprechend heißt es in einem Schreiben der Bezirksregierung Arnsberg von Januar 2016 zum Beschäftigtendatenschutz bei Einführung elektronischer Schließanlagen in Schulen3Eine gleichlautende Ausführung findet sich auch in einem Schreiben des Schulministeriums von Dezember 2015.:

Mangels Ermächtigung aus dem schulspezifischen Datenschutzrecht käme allenfalls eine Datenverarbeitung mit Einwilligung nach §§ 4, 29a Datenschutzgesetz (DSG) in Betracht.”

Demnach geht in Schulen in NRW nichts ohne eine Einwilligung der betroffenen Lehrkräfte. Diese ist nur rechtswirksam, wenn sie freiwillig erfolgt. Das wiederum ist jedoch nur möglich, wenn es Handlungsalternativen gibt. Das kann, wenn es nur um Außentüren geht, eine Türe sein, die ohne elektronische Schließanlage gesichert oder den ganzen Schultag über unverschlossen ist. Eine weitere Möglichkeit besteht in der Zulosung der Schlüssel, so dass die Schließvorgänge keinem Nutzer zugeordnet werden können.4Dieses bringt jedoch einen Nachteil mit sich. Bei Verlust eines Schlüssels müssen sämtliche Programmierungen verändert werden, so dass nur noch die nicht vorhandenen Schlüssel Schließberechtigung haben. Damit wird ein Pluspunkt dieser System komplett ad absurdum geführt. Schwierig wird es, wenn es um Fachräume geht, bei denen nur zwei oder drei Personen schließberechtigt sind. Ähnliches gilt für Serverräume. Eine Anonymität der Schließvorgänge ist in diesen Fällen nicht mehr herstellbar. Alternative Zugänge haben diese Räume in den meisten Fällen ebenfalls nicht, wodurch auch keine Freiwilligkeit mehr gegeben ist. Ein Dilemma für Schule und Schulträger. In Konformität mit den datenschutzrechtlichen Vorgaben ist eine elektronische Schließanlage hier gar nicht zu betreiben. Solange alle mitspielen und einwilligen, ist das im Alltag kein Problem. Was jedoch, wenn eine Lehrkraft nicht einwilligt oder ihre Einwilligung nachträglich, etwa im Streitfall, in Frage stellt?

Keine Einwilligung in Baden Württemberg

Die datenschutzrechtlichen Probleme, vor welche Schulen und Schulträger in NRW sich durch den Betrieb einer elektronischen Schließanlage gestellt sehen, kennt man in Baden Württemberg nicht. Man orientiert sich dabei an Aussagen des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein (ULD). Dort sieht man “die Erhebung und Speicherung von Zutrittsdaten in elektronischen Schließanlagen für Zwecke der Gefahrenabwehr  (Einbruchschutz und Brandbekämpfung) als zulässig an (Tätigkeitsbericht 2005, Kapitel 4.1.3).” Zu einer vergleichbaren Einschätzung kam auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit, (Jahresbericht 2010, Kapitel 9.1.2 [pdf].5Siehe Datenschutzrechtliche Anforderungen

Das bedeutet, hier ist keine Einwilligung durch die Betroffenen erforderlich, da die Erhebung und Speicherung von Zutrittsdaten in elektronischen Schließanlagen für Zwecke der Gefahrenabwehr rechtlich vorgeht.

Wie in NRW gelten natürlich auch in BaWü die allgemeinen datenschutzrechtlichen Vorgaben zur Transparenz wie zur Zweckbindung und zur Datenvermeidung und –minimierung. Selbstredend steht den Betroffenen ein Auskunftsrecht gegenüber dem Schulträger entsprechend des Landesdatenschutzgesetzes bzw. der DS-GVO zu.

Fazit

Wie das Beispiel Baden Württemberg6Es ist zu erwarten, dass auch andere Bundesländer in diesem Bereich ähnliche Regelungen haben, zumindest in Schleswig Holstein und in Berlin. zeigt, kann das Thema elektronische Schließanlagen auch anders gehandhabt werden. Dabei ist nicht entscheidend, wer letztlich verantwortliche Stelle für die Verarbeitung personenbezogener Daten in der Schließanlage ist, sondern wie diese Datenverarbeitung rechtlich eingeordnet wird.

Werden Betroffene in ihren Rechten zur informationellen Selbstbestimmung in Baden Württemberg eingeschränkt? Das trifft sicherlich zu. Die Frage ist jedoch, ob dieses von Bedeutung ist. Die Datenverarbeitung in den elektronischen Schließanlagen ist zweckgebunden. Entsprechend ist nach Bewertung des  Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein “die Nutzung der Protokoll- oder Ereignisdaten für Zwecke der Überwachung der Mitarbeiter, in der Schule also der Lehrerinnen und Lehrer sowie des Personals des Schulträgers für unzulässig.” Eine Zweckbindung reicht völlig aus, um Betroffene zu schützen. Die Schulleitung, die es wagen sollte, Daten aus der Schließanlage zweckfremd zur Überwachung der Lehrkräfte zu nutzen, wird dafür persönlich gerade stehen müssen und sich zivilrechtlich wie dienstrechtlich verantworten müssen.

Vielleicht sollte man hier in NRW von Seiten des MSB über entsprechende gesetzliche Änderungen nachdenken. Für Schulen und Schulträger könnten die quasi unlösbaren Probleme mit dem datenschutzrechtlich sauberen Betrieb einer elektronischen Schließanlage dann der Vergangenheit angehören.

Veröffentlicht am

DS-GVO – Datenschutz – welche Baustellen sind für Schulen aktuell wichtig?

Lesezeit: 6 Minuten

Mit Beginn der Umsetzung der Datenschutz Grundverordnung (DS-GVO) im Mai diesen Jahres begann für viele Schulen eine Zeit mit großen Unsicherheiten. Kann mir als Schule etwas passieren? Wo muss etwas getan werden? Sind Abmahnungen und Bußgelder in Millionenhöhe eine Gefahr und wie kann ich sie vermeiden? Vor allem die Homepages der Schulen wurden vielfach zum Sorgenkind, da sich hartnäckig Gerüchte über Abmahnungen für fehlende Datenschutzerklärungen und Datenerhebungen ohne Einwilligung hielten. Auch was Fotografien angeht, war und ist die Unsicherheit groß, wie Beispiele mit Fotoverboten bei Entlass- und Einschulungsfeiern und Massenlöschungen von Bildern auf Schulhomepages zeigen.

Mittlerweile hat sich die Aufregung gelegt. Manches wird klarer. Einige Reaktionen an Schulen waren vielleicht etwas übereilt und teilweise auch völlig überzogen, wenngleich verständlich und nachvollziehbar. Bei aller Aufregung um die Datenschutz Grundverordnung sollte jedoch nicht vergessen werden – im schulischen Alltag funktioniert der Datenschutz bisher mehrheitlich gut, und daran hat sich seit Mai diesen Jahres auch nichts geändert.

Nichts wird so heiß gegessen, wie es gekocht wird. Das gilt hier ebenso. Ganz sicher gibt es an fast jeder Schule Optimierungsbedarf beim Datenschutz, doch Schulen haben genug andere, drängendere Probleme zu bewältigen. Die folgende Übersicht soll vermitteln,  wo zeitnah Handlungsbedarf besteht und bei welchen Datenschutzthemen man es ruhiger angehen lassen kann.

Einwilligungen

Sie stellen das vermutlich dringlichste Thema dar, denn eine Schule muss nachweisen können, dass eine Einwilligung vorliegt, wenn personenbezogene Daten verarbeitet werden, die nicht auf gesetzlicher Grundlage (SchulG NRW, DS-GVO I & II) erhoben wurden. Nur so kann sie sich vor rechtlichen Folgen schützen. Alte Einwilligungen können, wenn sie gewisse Vorgaben erfüllen, weiter genutzt werden. Trifft das nicht zu oder es gibt gar keine Einwilligungen, sollte man mit gesundem Menschenverstand abwägen, ob es Sinn macht, die Einwilligung zu erneuern bzw. nachträglich einzuholen. Sind die Betroffenen noch Schüler bzw. Beschäftigte der Schule, sollte man auf jeden Fall aktuelle Einwilligungen dieser Personen haben, wenn es um neue Fotografien und Videos geht. Auch bei Zweckänderungen in der Verarbeitung von bereits erhobenen personenbezogenen Daten sollte man sich entsprechend durch eine Einwilligung absichern. Geht es um Bilder oder Berichte auf der Schulhomepage, die Personen sind nicht mehr an der Schule, haben sich aber nie beschwert, so belässt man die Dinge wie sie sind. Sollte irgendwann doch einmal ein Betroffener eine Löschung wünschen, kommt man dieser nach und das Thema ist damit in der Regel erledigt. Dass sich hieraus ein Rechtsstreit ergibt ist mit der DS-GVO nicht wahrscheinlicher geworden als zuvor.

Einwilligungen stehen hier an erster Stelle, da Betroffene vor Gericht auf Schadensersatz klagen können, wenn die Schule personenbezogene Daten ohne ihre Einwilligung verarbeitet und diese z.B. auf der Schulhomepage veröffentlicht oder an Dritte übermittelt.

Risiken minimieren

Auch wenn es insgesamt gut bestellt ist um den Datenschutz in der Schule, so beobachtet man doch immer wieder Praktiken, die riskant sind und zu viel Ärger und empfindlichen Strafen führen können, wenn es dann doch einmal schief geht. Gemeint sind folgende Bereiche:

  1. Keine personenbezogenen Daten per E-Mail versenden, wenn das E-Mail nicht verschlüsselt ist. Der Schulträger, die Verkehrsbetriebe oder eine andere Stelle benötigt eine Liste mit Teilnehmern oder das Schulamt fragt an wegen eines Schülers. Tabellen und Word Dokumente werden dann schnell verschickt. Es ist einfach und bequem – aber extrem unsicher! Auch wenn es mehr Arbeit macht, nutzen Sie einen sicheren Weg und wenn es per Brief ist oder Fax – falls Sie nicht in der Lage sind, E-Mails zu verschlüsseln.
  2. Transport von personenbezogenen Daten nur auf gesicherten Datenträgern! Einen USB Stick hat man schnell verloren, eine externe Festplatte bleibt auch einmal wo liegen. Ungesichert kann jeder den Inhalt auslesen. Falls man selbst keinen USB Stick verschlüsseln kann – es gibt solche mit integrierter Verschlüsselung. Sie kosten zwischen 20 und 30 € und sind einfach zu nutzen und sicher.
  3. Keine Aufnahmen von Schülerinnen und Schülern mal eben so! Es gibt viele schöne Projekte im Unterricht, wo es passend scheint, Aufnahmen zu anzufertigen, Bewegungsanalysen im Sportunterricht, ein Sketch im Fremdsprachunterricht und ähnlich. Auch wenn die Schüler nichts dagegen haben, sichert man sich besser durch eine Einwilligung ab. Man kann dieses bei der Anmeldung an der Schule machen oder später anlassbezogen nachholen. Besondere Anlässe benötigen immer eine anlassbezogene Einwilligung!
  4. Vor Veröffentlichung von personenbezogenen Daten – insbesondere Fotos und Videos – vergewissern, dass eine Einwilligung vorliegt! Wenn es an ihrer Schule Schüler oder Lehrkräfte gibt, die eine Einwilligung für die Veröffentlichung von personenbezogenen Daten generell oder bestimmten Formen (z.B. Fotos) nicht gegeben oder diese widerrufen haben, gehen sie vor jeder Veröffenlichung sicher, dass hier kein Fehler gemacht wird, denn dieses kann teuer werden. Wer nicht einwilligt oder eine Einwilligung widerruft, wird mit Sicherheit auf seinem Recht bestehen, auch vor Gericht.
  5. Melden sie ihre Schüler nicht mal einfach so auf irgendeiner Plattform an! Solange eine Plattform ohne Anmeldung mit personenbezogenen Daten genutzt werden kann, gibt es keine Probleme. Wenn sie für ihre Schüler ohne Einwilligung auf einer Plattform unter Verwendung personenbezogener Daten User anlegen, kann das Ärger geben. Bitte beachten sie, nach der DS-GVO sind in Deutschland Schüler selbst erst ab 16 Jahren einwilligungsfähig! Denken sie außerdem daran, dass die Nutzung einer externen Plattform mit personenbezogenen Daten eine Genehmigung durch die Schulleitung braucht und eventuell einen Vertrag zur Auftragsverarbeitung.
  6. Geben Sie keine personenbezogenen Daten ohne die entsprechende Einwilligung weiter! Eine Telefonliste für alle Eltern, die am ersten Elternabend anwesend sind, einschließlich der Telefonnummern der Eltern, die nicht anwesend sind, was ist schon dabei? Das örtliche Geldinstitut möchte gerne eine Teilnehmerliste der Zehner haben, die am Seminar in der Filiale teilnehmen. Kein Problem, oder? Leider doch. Schulen dürfen ohne Einwilligung nur personenbezogene Daten weitergeben, wenn dieses durch entsprechende Rechtsvorschriften abgedeckt ist, sonst nicht. Bevor also die Telefonliste herausgegeben wird an alle Eltern mit allen Nummern, muss erst die Einwilligung der fehlenden Eltern eingeholt werden. Bei den Zehnern braucht es die der Schülerinnen und Schüler, schriftlich, damit sie die Einwilligung nachweisen können.
  7. Vernichten bzw. löschen sie personenbezogene Daten sicher! Wenn personenbezogene Daten aus der Schule im Müll auftauchen oder auf dem Flohmarkt, gespeichert auf einer entsorgten Festplatte, dann kann das schwer ins Auge gehen. Deswegen sollten alle diese Unterlagen, ob in Form von Papier oder digitalen Medien sachgerecht und sicher entsorgt werden. In jedes Schulsekretariat gehört ein guter Schredder zumindest DIN 66399‎. Ausgediente digitale Medien sollte man entweder selbst physikalisch zerstören oder durch einen Profi Entsorger vernichten lassen. Gleiches gilt für gößere Aktenmengen. Schulträger haben die entsprechenden Kontakte. Sicheres Löschen bzw. Vernichten gilt auch für Lehrkräfte. Sollen digitale Medien weiter im Haus genutzt werden, müssen sie durch entsprechende Software sicher gelöscht werden. Gehen sie außer Haus ist eine Zerstörung bzw. professionelle Entsorgung der bessere Weg.
  8. Verzichten sie als Schule auf einen Facebook Auftritt – aktuell sieht es sehr danach aus, dass man als Betreiber einer eigenen Facebook Fanpage, und darunter fällt auch eine schulische Facebook Präsenz, Mitverantwortung für die Datenerhebung und -verarbeitung durch Facebook trägt. Wer der Schule übel will, könnte das ausnutzen, um rechtliche Schritte gegen die Schule einzuleiten.1Sollten sie nicht auf die Facebook Präsenz ihrer Schule verzichten wollen, so würde ich auf jeden Fall dringend von der Veröffentlichung irgendwelcher personenbezogener Daten von Schülern und Lehrkräften abraten, vor allem von Fotos und Videos.

Schulhomepage

Auch wenn es bei der Schulhomepage bezüglich des Datenschutz keine Angriffspunkte gibt, wegen derer eine Schule abgemahnt werden könnte, sollte man vorbeugen und die Verarbeitung von personenbezogenen Daten auf das notwendige Minimum reduzieren. Es empfiehlt sich sehr, auf Website Elemente zu verzichten, die Daten erheben und an Dritte weiterleiten und stattdessen auf datenschutzfreundliche Alternativen zu setzen. Wenn es doch nicht ohne geht, dann muss in der Datenschutzerklärung darüber informiert werden. Aktuell gehen rechtliche Risiken in Bezug auf die Schulhomepage weniger von Seiten des Datenschutz aus als von Verletzungen des Urheberrechts oder des Persönlichkeitsrechts. Viele Schulen waren hier schon aktiv und es sollte kaum noch Handlungsbedarf bestehen.

Vertrag zur Datenverarbeitung im Auftrag

Wenn Schulen personenbezogene Daten durch externe Dienstleister verarbeiten lassen, sei es der Hoster für die Website, der Schulträger für ein Lernmanagementsystem, die Office 365 Cloud, Apple für die Managed Apple IDs, Westermanns Leseplattform Antolin oder ähnlich, so muss dieser dazu beauftragt werden. Hier gibt es eine Vorgabe für Schulen in NRW in der VO-DV I §2 Abs. 32(3) Die Schulen und Schulaufsichtsbehörden sind berechtigt, unter Beachtung der Voraussetzung des § 11 DSG NRW die Datensicherheit gewährleistende und zuverlässige Institutionen mit der Verarbeitung ihrer Daten zu beauftragen. Die Datenverarbeitung im Auftrag ist nur zulässig nach Weisung der Schule oder der Schulaufsichtsbehörden und ausschließlich für deren Zwecke.. Das Mittel, um die Beauftragung zu dokumentieren, ist ein Vertrag zur Auftragsverarbeitung, der auch elektronisch abgeschlossen werden kann. Es ist gut, wenn man die entsprechenden Verträge hat. Wer wird es kontrollieren? Vermutlich niemand. Sollte es beim Anbieter zu einem Datenschutzvorfall kommen, ist man mit einem Vertrag aber eindeutig auf der sicheren Seite.

Verzeichnis von Verarbeitungstätigkeiten

Die DS-GVO macht die Vorgabe, diese Verzeichnisse zu erstellen. Was genau eine Verarbeitungstätigkeit von einer anderen abgrenzt, bleibt bislang unklar. Wird der Datenschutz besser durch dieses Verzeichnis? Wohl nicht. Anders als noch die alten Verfahrensverzeichnisse, müssen die neuen Verzeichnisse Betroffenen nicht offengelegt werden. Auch die Vorabkontrolle durch die Datenschutzbeauftragten gibt es nicht mehr. Wenn überhaupt, dann könnte die Aufsichtsbehörde sie anfordern. Aber auch damit ist nicht zu rechnen, denn die geringe Zahl der Mitarbeiter lässt der Aufsichtbehörde dafür kaum Zeit. Man muss sich um Betriebe kümmern. Und anders als bei öffentlichen Stellen, zu denen Schulen zählen, können Betriebe mit Bußgeldern belegt werden, wenn die Dokumentation fehlt oder nicht stimmig ist. Das heißt: Schulen können dieses Thema weit hintenanstellen. Wenn Zeit und Ressourcen da sind, lädt man die passenden Vorlagen herunter, füllt das Vorblatt und ergänzt oder streicht, wo erforderlich und gut ist.

Veröffentlicht am

Personenbezogene Daten mal eben löschen – was ist zu beachten?

Lesezeit: < 1 Minute

In Schule ist ganz klar geregelt, was mit personenbezogenen Daten zu geschehen hat, wenn die Person, welche sie betreffen, die Schule verlassen hat und die Aufbewahrungsfristen abgelaufen sind. Für einige Daten ist dieser Zeitpunkt recht früh erreicht, bei Schülern sind beispielsweise die ersten Daten nach fünf Jahren fällig, bei Lehrkräften sogar schon nach nur einem Jahr1Siehe dazu VO-DV I & VO-DV II jeweils §9. Viele Personen haben dann nur noch zwei Begriffe im Kopf, Löschen und Vernichten.

So einfach ist es jedoch nicht, denn es gibt auch eine Pflicht, die Daten der Schule einem Archiv anzubieten. Der Themenbeitrag AUFBEWAHRUNGSFRIST ABGELAUFEN – UND JETZT? setzt sich intensiver mit dem Thema auseinander und erklärt, worauf man achten sollte.

Veröffentlicht am

Dürfen Gäste bei Schulveranstaltungen Fotos machen?

Lesezeit: 7 Minuten

Vor ein paar Monaten machte sich noch niemand Gedanken, ob es wohl rechtmäßig ist, wenn Besucher bei einer Schulveranstaltung Fotos machen. Es war normal, dass bei Schulfesten, Einschulungsfeiern, Schulentlassungen und ähnlich Eltern die Veranstaltung in in Form von Fotos und teilweise auch Videos festhielten. War das in der Vergangenheit auf einige wenige foto- oder videobegeisterte Eltern beschränkt, so ist heute fast jeder mit dabei. Und anders als früher landen einige der entstandenen Medien auch schnell in sozialen Netzwerken. Man möchte die Freude teilen und die Fotos und Videos auch anderen, die dabei waren, zur Verfügung stellen.

Eltern fotografieren ihre Kinder bei einer Entlassfeier in der Aula der Schule mit ihren Smartphones.

Seit Beginn der Umsetzung der DS-GVO am 25.05.2018 herrscht an mancher Schule herrscht große Unsicherheit, ob die bisherige Praxis so weiter Bestand haben kann, braucht die Schule selbst doch Einwilligungen der Erziehungsberechtigten für das Anfertigen von Fotos von Schülerinnen und Schülern. In Folge untersagten dann Schulen Eltern das Fotografieren bei Schulveranstaltungen. Über die Medien bekannt geworden sind mehrere solche Fälle, z.B. im Raum München, wo eine Schule Eltern das Fotografieren auf dem Schulgelände grundsätzlich verbietet, und in der Lausitz, wo die Schulleitung Teilnehmern der Einschulungsfeier Fotos und Video im Kulturhaus und auf dem Schulgelände untersagt. Auch ein bayrisches Schulamt empfiehlt Schulen, dass Eltern das Fotografieren nicht mehr erlaubt werden soll. Verwiesen wird in allen Fällen auf die DS-GVO.

Im Schulamt Cottbus hält man ein generelles Fotografierverbot für nicht angemessen, sieht jedoch die Erfordernis einer vorherigen Einwilligung durch alle Eltern1“Ein generelles Fotografierverbot wäre nicht angemessen und würde bei den Eltern auf Unverständnis stoßen. Um allerdings Fotos machen zu können, bräuchte man das Einverständnis aller Eltern“, sagt Gerald Boese.” Schulanfang 2018 und die DSGVO – Grundschule verbietet Eltern Fotos bei Einschulungs-Feier und verweist sonst auf die Möglichkeit, Fotos außerhalb der Veranstaltung zu machen.

Die rechtliche Seite

Grundsätzlich kann die Schulleitung durch ihr Hausrecht tatsächlich Besuchern das Anfertigen von Fotos und Videos auf dem Schulgelände untersagen. Doch ist das zur Einhaltung der Vorgaben der DS-GVO tatsächlich erforderlich?

Bei der Anfertigung von Fotografien und Videos auf schulischen Veranstaltungen geht es rechtlich um zwei verschiedene Dinge, das Anfertigen selbst und die Veröffentlichung.

Der bayrische Datenschutzbeauftragte Thomas Petri sieht kein Problem darin, wenn Eltern Fotos ihrer Kinder anfertigen und andere Kinder auf diesen Fotos als “Beiwerk” erscheinen. Allerdings macht es, wenn es um das Veröffentlichen in sozialen Netzwerken geht, seiner Meinung nach schon einen Unterschied, ob die Fotos irgendwo entstehen oder in einer Schule.

“Das Veröffentlichen von Fotos, die bei Schulveranstaltungen gemacht wurden, ist etwas heikler: Denn die Schule ist ein besonders geschützter Rahmen. Für das private Familienalbum ist das Fotografieren ok. Anders bei einer Veröffentlichung auf Facebook. Dann müssen Eltern mit Haftungsrisiken leben, wenn sich Eltern anderer mit abgebildeter Kinder gegen die Veröffentlichung zur Wehr setzen.” 2Datenschutz bei Kindern; Wenn Schulen und Kitas das Fotografieren verbieten, 05.07.2018

Genau in die gleiche Richtung argumentiert auch Thomas Stadler, ein Fachanwalt für IT- Recht, in seinem Beitrag “Fordert der Datenschutz ein Fotografierverbot auf Schulfesten?” Er sieht keine Erfordernis für ein Verbot, da sich aus der DS-GVO kein solches ableiten lasse. Vielmehr sieht er eine Anwendbarkeit der Datenschutz Grundverordnung in derartigen Fällen für nicht gegeben, wenn die Anfertigung der Fotos ausschließlich persönlichen und familiären Zwecken dient.

Art. 2 Abs. 2 c) DSGVO besagt, dass der Anwendungsbereich der Verordnung nicht eröffnet ist, wenn natürliche Personen personenbezogene Daten zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten erheben. Das trifft auf das Fotografieren auf Schulveranstaltungen zu rein privaten Zwecken unzweifelhaft zu.”

Nicht unerwähnt bleiben soll an dieser Stelle, dass es zu dieser Frage auch andere Sichtweisen gibt. Kevin Leibold, Dipl. Jurist für Datenschutzrecht, IT-Recht und Urheberrecht ist der Meinung, dass die Anfertigung von Fotografien bei Schulfeiern durch die DS-GVO geregelt wird, da sie nicht unter die in Art. 2 Abs. 2c) beschriebene Ausnahme fällt:

“Auch für das Anfertigen der Fotos für bspw Schulfeiern ist mE nicht die Ausnahme nach Art. 2 Abs. 2 lit. c #DSGVO einschlägig. So sieht es auch der EuGH-C-212/13 wonach diese Ausnahme eng auszulegen ist und die Miterfassung des öffentlichen Raumes dies ausschließt #heiseshow”3via Twitter https://twitter.com/kleibold23/status/1024966626792353792

Wie Aussagen des Thüringer Datenschutzbeauftragte Hasse 4Der Beitrag ist mittlerweile nicht mehr verfügbar.[ 29.08.2020/mfn] zeigen, vertritt er diese Ansicht nicht alleine und fasst die Vorgaben sogar noch enger5“Da hat der Europäische Gerichtshof einen Riegel vorgeschoben indem er sagt, privat und familiärer Umkreis bedeutet, dass es im familiären und privaten Umkreis desjenigen der die Fotos macht, passiert. Dieser Kreis ist aber verlassen, wenn der Fotografierende oder Videografierende außerhalb dieses Kreises Aufnahmen macht. Also im öffentlichen Verkehrsraum oder dem Nachbargrundstück. Dann braucht man eine Einwilligung. Auch dann, wenn ich diese Bilder nicht veröffentlichen will.”; Kinderfotos schwärzen – muss das sein?; MDR Jump 02.08.2018 (Zitierte Seite ist mittlerweile nicht mehr online.). Die aktuelle Diskussion tendiert momentan allerdings etwas mehr in Richtung der Auffassung von Herrn Stadler.6Siehe auch die Diskussion auf Twitter, die auf Seite 2 dieses Beitrags wiedergegeben ist. Die Auslegung von Art. 2 Abs. 2c) hat schon viele Experten beschäftigt und füllt seitenlange Kommentare. Im Streitfall wird es dann letztlich eine Entscheidung der Richter sein. Unabhängig davon hat die Veröffentlichung der von Eltern auf Schulveranstaltungen angefertigten Fotos und Videos einen anderen rechtlichen Charakter. Hier ist nach Einschätzung von Thomas Stadler eine Einwilligung der Betroffen auf jeden Fall erforderlich.

“Wer also auf Instagram oder Facebook Fotos veröffentlicht, auf denen Personen zu erkennen sind, muss diese Menschen fragen, bevor er die Fotos postet.”

Im Alltag wird wohl kaum jemand eine solche Einwilligung einholen. In der Regel wird das auch nicht zu Problemen führen, da bei solchen Veranstaltungen fast jeder fotografiert. Dass es eventuell doch einmal zu rechtlichen Folgen kommen kann, ist allerdings nie auszuschließen. Darüber hinaus ist auch das letzte Wort noch nicht gesprochen, was das Kunsturheberrechtsgesetz (KUG) und seine Stellung und Geltung gegenüber der DS-GVO angeht.

Fazit

Für Schulen lässt sich aus den Vorgaben der DS-GVO keine Notwendigkeit ableiten, Eltern, anderen Familienangehörigen und Freunden der Schülerinnen und Schüler das Anfertigen von Fotografien und Videos auf schulischen Veranstaltungen zu untersagen. Schulen stehen hier in keiner diesbezüglichen Pflicht. Was schon immer möglich war, ist auch weiterhin möglich. Wer als Besucher einer schulischen Veranstaltung mit familiärer oder freundschaftlicher Beziehung zu den Schülerinnen und Schülern dort Fotos oder Videos anfertigt, sollte jedoch bei der Veröffentlichung in sozialen Medien eine ausreichende Sorgfalt walten lassen. So lassen sich Konflikte mit anderen Personen oder deren Angehörigen vermeiden, wenn diese auf Fotos oder Videos mit auftauchen.

Nachtrag August 2019

Wie nicht anders zu erwarten, kocht das Thema zum Ende der Schulferien im August 2019 erneut hoch. Die Rede ist von Schulen, die das Fotografieren verbieten. Viele Medien greifen das Thema auf.

Einer der wohl besten Beiträge stammt Rechtsanwalt David Seiler, der sich auf Fotorecht spezialisiert hat. In “Fotografierverbot an Schulen und Kitas wegen Datenschutz?“greift er die aktuellen Entwicklungen auf und erläutert umfassend die rechtliche Lage. Einen datenschutzrechtlichen Grund sieht auch er nicht, das Fotografieren zu verbieten.

Stand 08/2019

Seiten: 1 2
Veröffentlicht am

Eltern klagen wegen Veröffentlichung eines Klassenfotos und unvollständiger Auskunft

Lesezeit: 2 Minuten

Wie der Bayrische Rundfunk berichtet, entschied das Verwaltungsgericht Augsburg am 12.07.2018 über einen Fall, in welchem Eltern eines 13 jährigen Schülers wegen der Veröffentlichung eines Klassenfotos in einem Jahresbericht klagen, auf welchem der Sohn abgebildet ist.

Das Verwaltungsgericht Augsburg entscheidet heute über eine ungewöhnliche Klage: Die Eltern eines 13 Jahre alten Schülers hatten verlangt, dass ein Klassenfoto, auf dem ihr Sohn zu sehen ist, nicht veröffentlicht werden darf. Im Jahresbericht der Schule wurde das Bild dann aber doch abgedruckt. Die Leitung der Geschwister-Scholl-Mittelschule in Aichach hat nach Angaben des Gerichts einen Fehler eingeräumt. Sie habe sich auch bei den Eltern entschuldigt.

Dem Bericht nach haben die Eltern in einer “Datenschutzerklärung”, gemeint sein wird wohl eine datenschutzrechtliche Einwilligung, der Anfertigung eines Klassenfotos mit dem Sohn zugestimmt, dabei jedoch keine Einwilligung zu einem “Abdruck in einer Lokalzeitung oder für die Verwendung im Internet” oder im Jahresbericht gegeben. In letzterem wurde das Bild dann abgedruckt, rechtswidrig wie die Eltern meinen. Diesen Tatbestand soll das Gericht bestätigen. Eine Entschuldigung der Schule, die ihren Fehler einräumt, reicht den Eltern nicht aus.

Dem Bericht nach haben die Eltern wohl auch von ihrem Auskunftsrecht gegenüber der Schule nach Art. 15 DS-GVO Gebrauch gemacht. Da sie der Meinung sind, die Schülerakte nicht vollständig erhalten zu haben, klagen sie auch diesbezüglich.

Für mich stellt sich die Frage, was die Eltern mit ihrer Klage bewecken. Geht es nur ums Recht oder will man auf Schadensersatz klagen? Normalerweise ist so etwas zunächst ein Fall für die Aufsichtsbehörde.

Das Urteil ist noch nicht publiziert. Es sollte jedoch in Kürze unter VG Augsburg – Rechtsprechungsübersicht (dejure.org) nachzulesen sein.

Was der Fall auf jeden Fall zeigt: es ist wichtig, nicht nur Einwilligungen von Erziehungsberechtigten bezüglich der Anfertigung und Veröffentlichung von Fotografien einzuholen, sondern bei einer Nichteinwilligung auch entsprechend zu handeln.

Es wäre in diesem Fall sinnvoll gewesen, auch Klassenfotos ohne den betreffenden Schüler anzufertigen, um Material für das Jahrbuch zu haben. Dass Eltern ihre Einwilligung zur Veröffentlichung von Fotografien, vor allem wenn es um Klassenfotos oder Gruppenaufnahmen geht, verweigern, ist eher die Ausnahme als die Regel. Wenn es aber einen solchen Fall gibt, sollte eine Schule besondere Sorgfalt walten lassen, um hier keine Fehler zu begehen. Wie das Beispiel zeigt, können derartige Fehler Konsequenzen nach sich ziehen, und wenn es nur Gerichtstermine sind. Im schlimmsten Fall kann es zu Schadensersatzforderungen kommen, auch wenn es nur um immaterielle Schäden1Nach Art. 82 DS-GVO Abs. 1 hat ein Betroffener auch bei immateriellen Schäden “Anspruch auf Schadenersatz gegen den Verantwortlichen”, in diesem Fall die Schule. geht.

Quelle: Streit um Datenschutz in der Schule – Eltern klagen wegen Klassenfoto ihres Sohnes

Stolz präsentiert von WordPress