Alte Klassenfotos für Festschrift und Ausstellung nutzen – geht das?

Lesezeit: 4 Minuten

Jubiläen gehören zu den großen Feierlichkeiten von Schulen. Die Schule wird 50 Jahre, 75 Jahre oder 100 Jahre und man möchte zum Anlass des Jubiläums eine Festschrift erstellen und vielleicht sogar eine Ausstellung gestalten. In den Archiven der Schulen schlummern in der Regel zigtausende alte Aufnahmen, Klassenfotos, Fotos aus dem Schulleben und von Festen und Feiern. Zur Gestaltung einer Festschrift, einer Bilderschau oder für eine Ausstellung holt man diese alten Aufnahmen gerne wieder hervor, um mit ihnen die Geschichte der Schule zu illustrieren. In Zeiten einer erhöhten datenschutzrechtlicher Sensibilität stellen sich die Verantwortlichen irgendwann auch die Frage, ob es aus Sicht des Datenschutzes überhaupt zulässig ist, diese alten Aufnahmen für das geplante Vorhaben zu verwenden? Einwilligungen wurden bei der Erstellung der alten Aufnahmen nie eingeholt und die abgebildeten Personen sind, vor allem wenn die Aufnahmen älter sind, niemandem in der Schule bekannt. Das Einholen von Einwilligungen würde, selbst wenn alle Personen und auch ihre Kontaktinformationen bekannt sind, einen nicht zu vertretenen Aufwand darstellen. Was soll man also tun? Muss man auf die alten Aufnahmen verzichten?

Ein Beispiel

Klassenfoto 4. Klasse 1963
Klassenfoto 3. oder 4. Klasse 1963 oder 1964 ??? Volksschule Trostberg, Flickr, Labormicro, CC BY SA 2.0

Die Kinder auf der digitalisierten Aufnahme dürften jetzt um die 65 Jahre alt sein. Ihre Lehrerin ist vermutlich bereits verstorben. Nur eine sehr begrenzte Zahl von Personen wird in Lage sein, eine der abgebildeten Personen zu identifizieren, da dieses voraussetzt, dass man die Personen schon lange kennt.1Moderne Gesichtserkennungstechnologie wie Clearview AI ist in der Lage, auch Kinder zu identifizieren, sofern ihr von dieser Person Aufnahmen als Erwachsene Person vorliegen. Es ist zu erwarten, dass die Möglichkeiten mit einer Weiterentwicklung bestehender Technologien zur Gesichtserkennung zunehmen werden. Ob die technische Möglichkeit, einzelne Personen zu identifizieren, bei der obigen Aufnahme jemals bestehen wird, ist schwierig zu beurteilen. Beim Original auf Flickr könnte es aber möglich sein.

Die Rechtslage

Zumindest drei Rechtsgebiete könnten relevant sein:

  • Datenschutzrecht (DS-GVO)
  • Kunsturheberrecht (KUG), Recht am eigenen Bild
  • Urheberrecht, Urheberrecht des Fotografen

Das Urheberrecht wird man bei Fotos, welche die Schule in ihrem Archiv liegen hat, vermutlich vernachlässigen können, da diese Fotos entweder durch die Schule angefertigt wurden oder im Auftrag für die Schule.2Es gilt generell für Lichtbildwerke folgende Regelung: Lichtbildwerke: Definition und Schutzdauer Lichtbildwerke sind persönliche, geistige Schöpfungen. Sie sind kreativ, individuell und mit erkennbarer gestalterischer Höhe. Für Lichtbildwerke garantiert das Urheberrecht einen lebenslangen Schutz sowie weitere 70 Jahre für die Rechtsnachfolger. Quelle: firma.de, abgerufen 15.02.2020 Im folgenden geht es von daher nur darum, inwieweit sich das Datenschutzrecht sowie das Kunsturheberrecht auf die Fragestellung auswirken.

Unter dem Titel „DSGVO und Fotografie: Was ändert sich für Fotografen?“ beschäftigt sich e-recht24 auch mit der Frage der Altbestände. Solange kein Ausnahme von der Einwilligungserfordernis vorliegt, so erklärt man dort, ist eine Einwilligung der Betroffenen erforderlich, denn die DS-GVO ist auch auf „Altbestände“ anwendbar. Einmal erteilte Einwilligungen wirken allerdings fort.

Entsprechend macht es Sinn, wenn die Mittelbayrische im Beitrag mit dem Titel „Auch Opas Klassenfoto wird zensiert„, die Bayrische Aufsichtsbehörde mit der Aussage zitiert: „Das Zeigen ist tatsächlich nur zulässig, wenn von jedem einzelnen Abgebildeten eine Erlaubnis vorliegt.“ Ohne Einwilligung der Betroffenen ist demnach nicht einmal das Aufhängen alter Klassenfotos im Schulgebäude zulässig. Und weiter heißt es im Beitrag:

Der Datenschutz ist ein Grundrecht. Und jede Erhebung personenbezogener Daten greift in dieses Grundrecht ein – auch Fotos. Schon seit 1949 gilt: Ohne Einverständnis der abgebildeten Person kein Foto. In der Vergangenheit sei das Rechtsbewusstsein in diesem Punkt noch nicht so ausgereift gewesen, sagt der Referatsleiter des BayLfD. Jahrelang seien Fotos angefertigt worden, ohne dass man sich Gedanken dazu gemacht habe. Tatsächlich sei aber jedes Foto ohne unterschriebene Einverständniserklärung rechtswidrig.

Ausnahmen von der Regel

Das Vorliegen einer Einwilligung der Betroffenen gilt allerdings nicht uneingeschränkt. Es gibt eine Reihe von Ausnahmen, bei welchen die Vorgaben der DS-GVO und des KUG nicht greifen.

Ausnahme: Beiwerk

Wenn die abgebildeten Personen nur Beiwerk sind, dann ist eine Nutzung ohne Einwilligung möglich. Ein Beispiel dafür wäre der Blick auf das gesamte Schulgebäude und den Schulhof davor und es ist eindeutig zu erkennen, dass es nicht um die zufällig mit abgebildeten Kinder, sondern das Schulgebäude oder Schulgelände geht.

Ausnahmen: Versammlung, Aufzug

Wenn es sich um Fotografien handelt, die auf öffentlichen Veranstaltungen entstanden, etwa Schulfesten, oder bei Beteiligung an öffentlichen Umzügen, dann sollte man diese auch ohne Einwilligung der abgebildeten Personen für die geplanten Zwecke nutzen können. Bei Fotografien von öffentlichen schulischen Veranstaltungen sollte allerdings bedacht werden, dass die Teilnahme für Kinder und Lehrkräfte verpflichtend war. Die Ausnahme gilt also nur für Besucher, denn diese haben die Veranstaltung freiwillig besucht und mussten damit rechnen, dass dort Fotografien angefertigt werden, auch für eine öffentliche Berichterstattung.

Ausnahme: Verstorbene

Eine weitere Ausnahme besteht, wenn die abgebildeten Personen bereits verstorben sind, denn die DS-GVO gilt nicht für die personenbezogenen Daten Verstorbener.3Mit Bezug auf die DS-GVO heißt es in Erwägungsgrund 27: “Diese Verordnung gilt nicht für die personenbezogenen Daten Verstorbener.” Das könnte beispielsweise der Fall bei einem sehr alten Kollegiumsfoto sein. Zu beachten ist allerdings das KUG. Denn dieses gilt für Aufnahmen, die zu Lebzeiten der abgebildeten Person entstanden, 10 Jahre über den Tod hinaus. Sind die abgebildeten Personen bereits länger als zehn Jahre verstorben, kann das Foto dann aber tatsächlich ohne Einwilligung genutzt werden. Gleiches gilt für Fotografien von einzelnen Personen, etwa einer Schulleitung. Bei Fotografien, auf welchen Schüler abgebildet sind, wird man bei der heutigen Lebenserwartung vermutlich davon ausgehen müssen, dass diese etwa 100 – 110 Jahre alt sein müssen (Alter Ende 4. Klasse von 10 Jahren, plus 90 Lebensjahre, plus 10 Jahre gem. § 22 Satz 3 Kunsturhebergesetz (KUG)410 Jahre nach dem Tod des Abgebildeten endet das Recht am eigenen Bild. „Aber auch nach Ablauf von 10 Jahren nach dem Tod kann die Nutzung eines Fotos, auf dem ein Verstorbener abgebildet ist, unzulässig sein. Dies ist z.B. der Fall, wenn die konkrete Art der Fotonutzung das postmortale Persönlichkeitsrecht des Verstorbenen grob beeinträchtigt“ Quelle, abgerufen am 15.02.2020 ), um keine Rechte lebender Personen mehr zu verletzen. 

Ausnahme: Personen nicht eindeutig erkennbar

Wenn die abgebildeten Personen nicht eindeutig identifiziert werden können, sind weder DS-GVO noch KUG anwendbar.

Was heißt das jetzt?

Möchte eine Schule alte Fotografien aus ihrem Archiv veröffentlichen, sind die oben genannten Voraussetzungen zu erfüllen. Wenn die abgebildeten Personen erkennbar und kein Beiwerk sind, es sich nicht um eine Versammlung oder einen Aufzug handelt oder der Todeszeitpunkt der Personen weniger als 10 Jahre zurückliegt, braucht es eine Einwilligung der Betroffenen. Einwilligungen von vor dem 25.05.2018 müssen den bis dahin geltenden datenschutzrechtlichen Vorgaben genügen, um weiterhin rechtswirksam zu sein. Es ist dabei unerheblich, ob die Fotografien für eine Festschrift genutzt, in einer Bilderschau vorgeführt, auf einer Website veröffentlicht oder in einer öffentlichen Ausstellung gezeigt werden sollen.

Solange für die Aufnahmen keine Veröffentlichung im Internet beabsichtigt ist, sollte man Aufnahmen wie die obige allerdings nutzen können, wenn sie in einer Form veröffentlicht werden, welche das Identifizieren einzelner Personen extrem erschwert oder gar unmöglich macht. Druckt man das Foto oben mit 10 cm Seitenlänge der längsten Seite ab, ist es so undeutlich, dass wenn überhaupt eigentlich nur die abgebildeten Personen selbst, Familienangehörige oder Personen, die im Besitz einer Originalaufnahme sind, in der Lage sein werden, Gesichter Personen zuordnen. Würde man bei diesem Foto die Auflösung oder die Schärfe reduzieren, wäre auch das nur noch möglich, wenn man ein Original daneben legte.

Man braucht also nicht unbedingt auf alte Aufnahmen verzichten, wenn man eine  Verwendung für eine Festschrift, Bilderschau oder Ausstellung im Rahmen eines Jubiläums der Schule plant – auch wenn das Einholen einer Einwilligung für einen Teil der Aufnahmen nicht möglich ist.

 

Signal Messenger in der Schule – Möglichkeiten und Grenzen

Lesezeit: 4 Minuten

Geht es in Schule um das Thema, ist damit meist WhatsApp gemeint. Selbst wenn eine Nutzung in Schule für die informelle Kommunikation zwischen Eltern, Schülern und Lehrkräften oder von Lehrkräften untereinander geduldet ist, heißt das nicht, dass dieser Messenger eine gute Wahl darstellt. Der Austausch von Nachrichten ist zwar Ende-zu-Ende verschlüsselt, doch Facebook, zu dem WhatsApp gehört, erhält trotzdem noch immer eine Fülle an wertvollen Meta-Informationen über die Nutzer, die sich gewinnbringend verwerten lassen, demnächst auch für die gezielte Anzeige von Werbung im Messenger. Nicht umsonst gehen einige Bundesländer soweit, Lehrkräften die Nutzung von WhatsApp in Schule komplett zu untersagen.

Eine Alternative, die in der Diskussion um WhatsApp immer wieder genannt wird, ist Signal.1Die folgende Aussage stammt aus einer Telegram Gruppe.

„Edward Snowden empfiehlt Signal. Der Quellcode ist Open Source, die Verschlüsselung also nachvollziehbar (gut).
An meiner Schule sind alle bei Signal, weil der Datenschutzbeauftragte  da nicht locker gelassen hat.“

Signal nutzt ein Open Source Protokoll, ist sehr sicher und ganz gewiss eine gute Alternative zu WhatApp. Trotzdem sind den Nutzungsmöglichkeiten von Signal an einer Schule Grenzen gesetzt. Warum?

Voraussetzungen zur Nutzung eines Messengers für eine offizielle Kommunikation in der Schule

Möchte eine Schule eine Messaging Plattform zur offiziellen Kommunikation in der Schule nutzen, so müssen dazu aus Sicht des Datenschutzes einige Bedingungen erfüllt sein.

(1) Vertrag zur Auftragsverarbeitung (AVV) zwischen Schule und Anbieter

Erforderlich ist ein AVV immer dann, wenn in der Schule personenbezogene Daten über einen externen Anbieter verarbeitet werden sollen. Möchte das Kollegium über einen Messenger auch Notenlisten, Informationen über Erkrankungen von Schülern und ähnlich austauschen, setzt dieses einen AVV voraus. Gleiches gilt auch, wenn der Messenger zum Austausch personenbezogener Daten zwischen Lehrkräften und Schülern oder zwischen Lehrkräften und Eltern genutzt werden soll.2Könnte man auf einen AVV nicht verzichten, da sämtliche Nachrichten in Signal verschlüsselt sind und der Anbieter sie niemals zu Gesicht bekommt? Damit verarbeitet er doch gar keine personenbezogenen Daten. Aus Sicht des Anbieters handelt es sich tatsächlich nicht um personenbezogene Daten. Für den Sender wie auch den Empfänger sind und bleiben es personenbezogene Daten. Solange die Nachrichten nicht mit einer beschränkten Lebensdauer versehen sind, liegen sie weiterhin auf den Servern des Anbieters und können vom Sender und Empfänger eingesehen werden. Es werden also personenbezogene Daten verarbeitet und ein AVV ist erforderlich. Verwaltet die Schule die Nutzerkonten von Schülern, Lehrkräften und eventuell sogar Eltern, setzt dieses immer einen AVV voraus.

(2) Einwilligung in die Verarbeitung von personenbezogenen Daten

Die Verarbeitung von personenbezogenen Daten durch die Schule setzt eine Einwilligung der Betroffenen voraus, sobald sich keine Rechtsgrundlage für diese Verarbeitung aus dem Schulgesetz ergibt. Bezüglich der Nutzung eines Messengers gibt es aktuell wohl in keinem Bundesland entsprechende Rechtsgrundlagen.

(3) Freiwilligkeit der Nutzung

Die Nutzung eines Messengers kann unter den gegebenen rechtlichen Bedingungen nur auf der Basis von Freiwilligkeit erfolgen. Das bedeutet, weder Lehrkräfte, noch Schüler oder Eltern können zu einer Nutzung verpflichtet werden.

(4) Alternative Kanäle

Aus der Freiwilligkeit ergibt sich, dass Personen aus einer Nichtnutzung keine Nachteile entstehen dürfen. Die Schule muss also in der Lage sein, die über den Messenger kommunizierten Informationen immer auch auf alternativen Kanälen anzubieten. Welche dieses sind, hängt vom jeweiligen Setting ab. Es kann die Nachricht in Papierform im Fach der Lehrkraft sein oder als E-Mail, die Elternmitteilung als Brief oder ähnlich.

(5) Sicherheit

Nachrichten sollten mit Ende-zu-Ende Verschlüsselung ausgetauscht und verschlüsselt auf dem Endgerät wie dem Server des Anbieters gespeichert werden. Die Kontoerstellung sollte ohne eine Mobilfunknummer möglich sein. Metadaten sollten in möglichst geringem Umfang gespeichert werden.

(6) Europäische Anbieter und Server in der EU

Von der Möglichkeit einer datenschutzkonformen Nutzung kann am ehesten ausgegangen werden, wenn der Anbieter seinen Sitz in Europa hat, im Idealfall in der EU, im EWR3Europäischere Wirtschaftsraum oder in einem Land, für welches ein sogenannter Angemessenheitsbeschluss entsprechend Art. 45 DS-GVO vorliegt. Gleiches gilt für die Standorte der Server. Bei Anbietern aus den USA sollte man momentan der Sicherheit halber davon ausgehen, dass diese die Voraussetzungen für eine datenschutzkonforme Nutzung nicht erfüllen können. Dabei macht es keinen Unterschied, ob die Server des Anbieters in seinem Eigentum sind oder in dessen Auftrag betrieben werden, da für diese bei EU Standort der amerikanische CLOUD-Act gilt.4Bei Servern in den USA greift der CLOUD-Act nicht. Dafür bestehen hier für US Ermittlungsbehörden direktere Möglichkeiten, Zugriff auf die dort gespeicherten Daten zu erhalten.

Für eine offizielle Kommunikation ist Signal nicht datenschutzkonform nutzbar

Können bei einer Nutzung von Signal zur offiziellen Kommunikation alle oben genannten Voraussetzungen erfüllt werden? Die Antwort ist, nein. Zwar ist das Risiko bezüglich eines Zugriffs durch US Ermittlungsbehörden für Nutzer trotz Sitz des Anbieters und Server Standort in den USA dank der sehr sicheren Verschlüsselung extrem gering, so dass man Kriterium Nr. 6 hier eventuell vernachlässigen könnte, doch die Betreiber des Signal Messengers stellen keinen Vertrag zur Auftragsverarbeitung zur Verfügung. Und damit ist ein wesentliche Voraussetzung für eine rechtssichere Nutzung von Signal für den Austausch von personenbezogenen Daten für Schulen nicht gegeben. Dabei ist es unerheblich, dass die Schule die Konten der Nutzer nicht verwaltet. Der entscheidende Punkt ist, dass bei Signal personenbezogene Daten aus der Schule von einem externen Anbieter verarbeitet werden.

Wäre eine Nutzung von Signal zur informellen Kommunikation zwischen Lehrkräften und Eltern/ Lehrkräften und Schülern möglich?

In NRW sieht man aktuell keinen Grund, Schulen eine informelle Nutzung von Whatsapp und vergleichbaren Messengern zwischen Lehrkräften und Eltern sowie Schülern zu verbieten, solange dieses im gegenseitigen Einvernehmen geschieht. Selbst wenn dabei personenbezogene Daten ausgetauscht werden, gilt dieses nicht als dienstliche Kommunikation.5„Wenn Lehrkräfte mit Eltern sowie Schülerinnen und Schülern über WhatsApp kommunizieren und personenbezogenen Daten übermittelt werden, liegt dies daher im persönlichen Ermessen aller Beteiligten und ist keine von der Schulleitung zu verantwortende dienstliche Kommunikation. Sinnvollerweise ist eine schriftliche Einverständniserklärung der betroffenen Personen bzw. der Erziehungsberechtigten für diese Form der Kommunikation einzuholen.“  Qelle: https://www.medienberatung.schulministerium.nrw.de/Medienberatung/Datenschutz-und-Schule/Haeufig-gestellte-Fragen/Elternkommunikation/, abgerufen am 15.02.2020 Diese informelle Nutzung erfolgt quasi im privaten Bereich. Bei einer informellen Nutzung sollten die oben aufgeführten Kriterien 2 – 6 idealerweise auch erfüllt sein.

Um dienstliche Kommunikation würde es sich in dem Moment handeln, wenn die Messaging Plattform offiziell von der Schule für den Austausch von Informationen eingeführt würde.

Signal eindeutig WhatsApp vorzuziehen, wenn es um einen informellen Austausch zwischen Lehrkräften und Eltern sowie Schülern gehen soll, so wie er in NRW momentan zulässig ist.

Wäre es möglich, Signal zur informellen Kommunikation im Kollegium zu nutzen?

Unvorstellbar wäre ein solches Szenario sicherlich nicht, doch wenn Lehrkräfte untereinander kommunizieren, dürfte dieses eher einen überwiegend dienstlichen Charakter haben und damit wäre Signal außen vor. Selbst wenn alle sich fest vornehmen, keine personenbezogenen Daten über den Messenger zu kommunizieren, so dürfte klar sein, dass dieses in Wirklichkeit anders aussehen wird. An vielen Schulen nutzen Lehrkräfte WhatsApp, um schnell und einfach Nachrichten auszutauschen. Und obwohl jeder weiß, dass damit keine personenbezogenen Daten weitergegeben werden dürfen, so geschieht dieses doch immer wieder. Es ist eben der schnellste und einfachste Weg. Von daher kann auch von einer informellen Nutzung innerhalb eines Kollegiums nur abgeraten werden.6Wenn ein Kollegium allerdings unbedingt einen informellen Informationskanal nutzen möchte (auch ohne Billigung/ Wissen/ Beteiligung der Schulleitung), dann wäre Signal gegenüber WhatsApp eindeutig der Vorzug zu geben. Man könnte dann immerhin davon ausgehen, dass die Kommunikation datenschutzfreundlich möglich ist und aktuell kein bekanntes Risiko eines unrechtmäßigen Zugriffs auf kommunizierte Inhalte durch Dritte besteht.

Alternativen?

Signal ist zwar eine in Bezug auf Sicherheit sehr überzeugende Messaging Lösung, doch die Möglichkeiten einer Nutzung sind für Schulen begrenzt. Wenn es um eine Messaging Plattform geht, welche als offizieller Informationskanal genutzt werden soll, so gibt es für Schulen bessere Lösungen. Es haben sich mittlerweile eine ganze Reihe Anbieter am Markt platziert, welche Messenger Dienste anbieten, die von Schulen in Einklang mit den Vorgaben aus Schul- und Datenschutzgesetzen genutzt werden können. Die Mehrheit der angebotenen Messenger Dienste sind Bestandteil von Plattformen mit weiteren Schule interessanten Funktionen. Eine Übersicht über Anbieter solcher Plattformen findet sich in einem Padlet mit dem Namen Schulische Plattformen (Kommunikation).

Mitbestimmung

Bei der Einführung eines Messaging Dienstes als offizieller Informationskanal sollte auch das Thema Mitbestimmung berücksichtigt werden. Wie Personen im Privatbereich einen Messenger nutzen, ist ihre Sache. Doch wenn es um offizielle dienstliche Kommunikation geht, sollten Regelungen gefunden werden, welche für alle Beteiligten verträglich sind. Dazu gehören beispielsweise Vereinbarungen, an welchen Tagen und zu welchen Zeiten Nachrichten gelesen werden müssen und wann dieses nicht erwartet werden kann.

Kontaktliste Kollegium – was geht?

Lesezeit: < 1 Minute

In einem Tweet wundert sich am 09.11.2019 @grundschulmann

#Datenschutz #Schule #twitterlehrerzimmer

Zu Beginn des Schuljahres wird eine Lehrer-Kontaktliste an alle KuK verteilt, die neben Name und Geburtstag auch Privatadresse, Handynummer, Festnetz und (private) Email beinhaltet.

Sehe nur ich das kritisch?

Das Thema ist datenschutzrechtlich sehr ähnlich zu dem der Eltern-Telefonliste. Dort gilt, die Telefonnummer von Eltern darf anderen Eltern nur dann bekannt gegeben werden, wenn dazu eine Einwilligung der Eltern vorliegt.

Wenn die Schulleitung eine Liste des Kollegiums erstellt, die an jede Lehrkraft ausgegeben werden soll, dann kann sie dieses ohne Einwilligung der Lehrkräfte tun, solange sie sich dabei neben dem Namen auf personenbezogene Daten beschränkt, welche dienstliche Belange betreffen. Das wären etwa

  • Funktionen an der Schule wie z.B. Klassenleitung 8c, Medienbeauftragte, Oberstufenkoordinator, Vorsitzender des Lehrerrates oder
  • Daten zur dienstliche Erreichbarkeit wie dienstliches Telefon, dienstliches E-Mail usw.

Alle außer dem Namen im Tweet genannten Informationen zählen definitiv nicht zu diesen Daten.

Möchte die Schulleitung also eine Liste wie im Tweet beschrieben, erstellen und weitergeben ans Kollegium, braucht es eine Einwilligung und diese sollte eine Auswahl zulassen, welche Daten in die Liste aufgenommen werden dürfen und ggf. in welcher Form. Die folgende Vorlage für eine Einwilligung berücksichtigt diesen Aspekt und ist um eine alternative Form ergänzt, wie die Einwilligungen etwas unbürokratischer eingeholt werden könnten.

Der Privatbereich von Schülern im Unterricht

Lesezeit: 3 Minuten

Dieser Tweet einer Mutter erregte jetzt bei Twitter die Gemüter, wurde mehr als dreihundertmal kommentiert, retweeted, und von knapp 2.000 anderen Nutzern mit einem Like versehen.

Kann man als Lehrkraft im Unterricht bei Schülerinnen und Schülern eine derartige Abfrage durchführen? Wie verträgt sich das mit dem Datenschutz?

Das Thema ist schwierig und es ist nicht einfach, eine pauschale Aussage zu treffen. Die Biologie Lehrkraft meint es sicherlich gut, wenn man sich in der Klasse mit dem Thema „Gesunde Ernährung“ auseinandersetzt und die Kinder dafür sensibilisiert. Allerdings sind Ernährungsgewohnheiten schon eine sehr persönliche Angelegenheit, die Aufschluss über weitaus mehr zulassen. Ob eine Familie Bio Produkte kauft oder nicht, muss nichts mit einem vorhandenen oder mangelnden Bewusstsein für gesunde und nachhaltige Ernährung zu tun haben, sondern kann auch mit der finanziellen Situation zusammenhängen. Als Lehrer oder Lehrerin möchte man gerne Lernanlässe mit lebensweltlichen Bezügen gestalten. Macht doch mal ein Foto von eurem Zimmer. Erzählt doch mal von den Berufen eurer Eltern. Manche scheinbar belanglose Frage kann ein Kind dazu nötigen, Dinge aus dem Privatbereich der Familie zu offenbaren, die es selbst bloßstellen oder den Eltern nicht recht sind, aus welche Gründen auch immer.

Man braucht bezüglich der mit solchen Abfragen verbundenen Problematik nicht einmal auf die Europäische Datenschutz Grundverordnung (DS-GVO) schauen, wie dies in einigen kommentierenden Tweets geschah. Auch das Schulgesetz NRW äußert sich zu einer solchen Erhebung von Daten.1In den Schulgesetzen der anderen Bundesländer werden sich entsprechende Formulierungen finden.

In §2 Abs. 2 der VO-DV I heißt es:

„(2) Nicht in den Anlagen aufgeführte Daten dürfen nur erhoben werden, wenn die oder der Betroffene eingewilligt hat. […] Auch mit Einwilligung dürfen unzumutbare, nicht zweckdienliche oder sachfremde Angaben nicht erhoben werden.“

Wenn es um die Ernährung und den Einkauf von Bio Produkten geht, dann betrifft dieses auch die Eltern. Man sollte sich in Schule grundsätzlich davor hüten, Abfragen bei Schülern zu machen, welche die Eltern betreffen, egal ob es dabei um das Alter der Eltern geht, ob und warum sie arbeitslos sind, oder welche Eltern getrennt leben. Im Fall der geplanten Beratung zur Ernährung werden einige Eltern die eingeforderten Informationen als unzumutbar empfinden. Dieses Recht haben sie. Fraglich ist zudem, ob die Informationen wirklich zweckdienlich sind? Um beim Beispiel zu bleiben. Es wäre auch möglich, im Biologieunterricht ein Beratungsschema zu erarbeiten, mit welchem die Schüler zu Hause die Ernährung in ihrer Familie unter die Lupe nehmen können, um die Eltern hinterher zu beraten. Das Ziel, die Kinder für eine gesunde und nachhaltige Ernährung zu sensibilisieren, wäre auch hiermit erreicht.

Obige Abfrage aus dem Biologieunterricht ist nicht nur problematisch, weil sie die Verhältnisse im Elternhaus betrifft und für einige Eltern nicht zumutbar ist, sondern auch, weil es sich um eine verbindliche Abfrage handelt, eine Hausaufgabe, bei welcher der Schüler möglicherweise noch sanktioniert wird, wenn zur nächsten Stunde keine Liste vorgezeigt wird. In einem Kommentar zum SchulG NRW wird folgende Empfehlung gegeben:

„Insgesamt haben die Lehrkräfte dafür Sorge zu tragen, dass personenbezogene Daten im Unterricht nur im Rahmen des Erforderlichen verarbeitet und ansonsten vermieden werden. Hier ist neben dem notwendigen pädagogischen Fingerspitzengefühl auch eine besondere datenschutzrechtliche Sensibilität geboten. Im Zweifel sollten die Eltern in der Klassenpflegschaftssitzung und/ oder durch Elternbriefe über möglicherweise datenschutzrelevante Inhalte einer geplanten Unterrichtseinheit oder -reihe informiert werden, so dass sie die Möglichkeit haben, etwaige Einwände rechtzeitig vorzutragen.“2Quelle: Wingen, SchulG NRW-Kommentar, März 2015, Katernberg

Es wäre sicherlich übertrieben, wenn man den Privatbereich von Schülerinnen und Schülern komplett aus dem Unterricht ausklammern würde. Wenn Schüler von sich aus Informationen aus dem Privatbereich im Unterricht offenbaren, ist das etwas Anderes, als wenn sie durch eine Hausaufgabe oder Antwortkette, zu der jeder etwas beitragen muss, zur Preisgabe von solchen Informationen genötigt werden. Vor allem ältere Schüler können recht gut einschätzen, ob und was sie von sich preisgeben wollen. Solange klar ist, dass alles auf Freiwilligkeit und ohne Nachteile bei Nichtbeantwortung abläuft und das Kind über den Umfang der Informationen selbst entscheidet, die es preisgeben möchte, kann man informell im Klassengespräch über eher allgemeine Dinge reden wie Hobbys, Lieblingssportler, Vorlieben und Freizeiterlebnisse und ähnlich. Bei jüngeren Schülern, vor allem in der Grundschule, fehlt dieses Urteilsvermögen oft noch völlig. Lehrkräfte müssen deshalb hier wesentlich umsichtiger handeln. Schriftliche Befragungen sollten besonders vorsichtig angegangen werden, etwa durch eine vorherige Absprache mit den Eltern und eine Anonymisierung der Abfrage. Grundsätzlich sollte man immer überlegen, ob es nicht andere Wege gibt, um zum gleichen Ziel zu gelangen. Sensible Bereiche aus dem Privatleben sollten im Unterricht besser meiden.

Datenschutzbeauftragter des Schulträgers weisungsberechtigt gegenüber Schule?

Lesezeit: 2 Minuten

In einer nordrhein-westfälischen Kommune hat der Datenschutzbeauftragte des Schulträgers die Kommunikation zwischen Lehrern und Schülern mittels WhatsApp an allen städtischen Schulen untersagt. Dass schulische Kommunikation mittels WhatsApp ein Datenschutzthema ist, ist keine Frage.  Inwieweit jedoch der Datenschutzbeauftragte des Schulträgers den Schulen gegenüber weisungsberechtigt ist, steht auf einem anderen Blatt. Im Alltag hört man immer wieder, dass es solche Verbote oder Weisungen von dieser Seite gibt. Wie ist damit umzugehen? Ist das rechtens?

In Nordrhein-Westfalen gibt das Schulgesetz in §3 Absatz 1 Satz 2 vor, dass die Schule ihre inneren Angelegenheiten selbst verwaltet1„Sie verwaltet und organisiert ihre inneren Angelegenheiten selbstständig.“ es gibt zwar einen Passus im Schulgesetz, welcher Schulen dazu verpflichtet, den Anordnungen des Schulträgers zu folgen,2„Die Anordnungen des Schulträgers in seinem Aufgabenbereich sind für die Schulleiterin oder den Schulleiter verbindlich.“ §59 Abs. 11 Satz 2  doch gilt dieses nur, soweit es den Aufgabenbereich des Schulträgers betrifft. Und zu diesen gehören nicht die inneren Angelegenheiten der Schule. Soweit es den Bereich digitale Medien betrifft, ist der Schulträger nach §79 SchulG NRW verpflichtet, für eine angemessene Sachausstattung zu sorgen.3„Die Schulträger sind verpflichtet, die für einen ordnungsgemäßen Unterricht erforderlichen Schulanlagen, Gebäude, Einrichtungen und Lehrmittel bereitzustellen und zu unterhalten sowie das für die Schulverwaltung notwendige Personal und eine am allgemeinen Stand der Technik und Informationstechnologie orientierte Sachausstattung zur Verfügung zu stellen.“ Aus schulrechtlicher Sicht liegt in der Schule die datenschutzrechtliche Verantwortung bei der Schulleitung. Die ADO führt hierzu in §26 Abs. 5 Satz 2 aus:

„Sie oder er ist für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich (§ 1 Absatz 3 VO-DV I – BASS 10-44 Nr. 2.1, § 1 Absatz 5 VO-DV II – BASS 10-41 Nr. 6.1).“

Das ist sehr eindeutig. Wenn es um Vorgaben oder Verbote bezüglich des Datenschutzes geht, dann können diese nur von Seiten des Schulministeriums kommen oder einer untergeordneten Behörde mit entsprechenden rechtlichen Weisungsbefugnissen, nicht jedoch vom Datenschutzbeauftragten des Schulträgers.

Wie sieht es mit den behördlich bestellten schulischen Datenschutzbeauftragten aus?

Im Grunde genommen sieht es nicht anders aus. Auch die vom Schulträger bestellten Datenschutzbeauftragten für die Schulen der Kommune haben keine Weisungsbefugnis gegenüber den Schulen in ihrem Zuständigkeitsbereich. In der VO-DV I §1 Abs. 3 Satz 2 heißt es:

„Die Zuständigkeit der gemäß § 1 Abs. 6 VO-DV II bestellten behördlichen Datenschutzbeauftragten (§ 32 a DSG NRW) besteht auch für die Kontrolle der Einhaltung der datenschutzrechtlichen Vorschriften in Bezug auf die Daten der Schülerinnen, Schüler und Eltern.“

In der Art. 39 DS-GVO sind die Aufgaben eines Datenschutzbeauftragten klar definiert. Dazu gehören unter anderem Unterrichtung und Beratung, Überwachung der Einhaltung der DS-GVO,  Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen, Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung und Zusammenarbeit mit der Aufsichtsbehörde.  Auch Art. 38 DS-GVO, bei dem es um die Stellung des Datenschutzbeauftragten geht, ist keine Rede davon, dass dieser eine Weisungsbefugnis hat.

Fazit

Datenverarbeitung in der Schule, und dazu gehört auch welche digitalen Medien Schüler und Lehrer zur Kommunikation nutzen, liegt zuallererst in der Verantwortung der Schulleitung. Das jeweilige Schulministerium und die Schulaufsichten können im Rahmen der ihnen zur Verfügung stehenden Rechtsmittel (Erlasse, Verordnungen, Dienstanweisungen, …) Schulen datenschutzrechtliche Vorgaben machen, für deren Einhaltung dann die Schulleitung verantwortlich ist. Die behördlich bestellten schulischen Datenschutzbeauftragten können die Einhaltung datenschutzrechtlicher Vorgaben überprüfen, sind jedoch ohne jegliche Weisungsbefugnis gegenüber den Schulen. Datenschutzbeauftragte des Schulträgers, welche für die kommunale Verwaltung zuständig sind, haben in Bezug auf die Schulen keinerlei Zuständigkeit. Entsprechend sind auch Schulträger selbst oder deren kommunale IT-Dienstleister nicht berechtigt, Schulen irgendwelche datenschutzrechtlichen Vorschriften zu machen.

Schulleitungen und Schulträger sind gehalten, einvernehmlich zusammenzuarbeiten. Dazu gehört jedoch keine datenschutzrechtliche Bevormundung durch Personen oder Stellen auf Seiten des Schulträgers, die dazu keinerlei rechtliche Befugnis haben. Es kann auch nicht sein, dass hier eine Seite durch die Hoheit über die Zuweisung finanzieller Mittel versucht, eine Machtbefugnis zu erlangen, die ihr nicht zusteht.

Was tun wenn das Gerät mit Zugang zum digitalen Klassenbuch verschwunden ist?

Lesezeit: < 1 Minute

Zum Glück ist nichts passiert, doch wie ein Fall bei Hannover zeigt, kann es heikel werden, wenn das Smartphone mit Zugang zum digitalen Klassenbuch und Zeugnissen von Schülern einer Lehrkraft abhanden kommt.

Eine Lehrerin deponierte dort ihren „Rucksack mit allerlei Wertsachen und einem Handy darin, welches ihr den Zugriff auf sensible Daten wie das digitale Klassenbuch und die Zeugnisse ihrer Schüler sichert“1Quelle: http://www.haz.de/Umland/Burgdorf/Burgdorf-Angeblicher-Diebstahl-in-Fitnessstudio-in-Burgdorf-Schusseligkeit-loest-Polizeieinsatz-aus im Spind im Fitnesstudio. Sie glaubte zunächst der Rucksack samt Inhalt sei gestohlen worden. Wie sich später herausstellte, hatte sie ihn nur in einen anderen Spind gepackt.

Der Fall zeigt aber mehr als deutlich, wo für Lehrkräfte Gefahren lauern können, wenn sie personenbezogene Daten aus der Schule auf einem mobilen privaten Endgerät verarbeiten.

  1. Geräte, über welche personenbezogenen Daten aus der Schule verarbeitet werden, egal ob es Privatgeräte sind oder Dienstgeräte, müssen sicher aufbewahrt werden. Das gilt für die Aufbewahrung in der Schule, zu Hause und vor allem außer Hauses. 2Ein Spind in einem Fitnessstudio zählt sicher nicht zu den Orten, wo man ein solches Gerät aufbewahren sollte.
  2. Geräte, über welche personenbezogene Daten aus der Schule verarbeitet werden, müssen durch technische Maßnahmen gesichert werden. Dazu gehört ein sicherer Zugangsschutz. Bei einem Smartphone könnte das etwa ein Sicherheitscode, der aus mehr als vier Zahlen besteht, sein. Auch die für die Verarbeitung von personenbezogenen Daten aus der Schule genutzten Apps oder Programme müssen durch einen Zugangsschutz gesichert werden. Erfolgt der Zugriff auf ein digitales Klassenbuch oder die Zeugnisverwaltung über den Browser, so dürfen die Zugangsdaten nicht im Browser gespeichert werden.

Sollte es tatsächlich einmal zu einem Verlust kommen, muss die Schule bzw. ein Verantwortlicher umgehend informiert werden, um z.B. im Falle eines Online Zugangs zum digitalen Klassenbuch den Zugang der Lehrkraft sofort zu sperren oder die Zugangsdaten zu ändern. Das sollte auch erfolgen, wenn das Gerät und die Zugänge im Gerät gut gesichert sind.

 

 

 

 

Endlich klare Aussagen vom MSB NRW zu datenschutzrechtlichen Fragen

Lesezeit: < 1 Minute

Es hat lange gedauert bis sich das Ministerium für Schule und Bildung NRW einmal umfänglich zu datenschutzrechtlichen Fragen im Zusammenhang mit der umstrittenen Genehmigung zur Verarbeitung von personenbezogenen Daten aus der Schule auf privaten Endgeräten von Lehrkräften äußert. Was geht und was geht nicht, wie sieht es mit Haftungsfragen aus? Antworten kommen auch zu vielen anderen Fragen: z.B. E-Mail Kommunikation mit Eltern über dienstliche und private E-Mail Adressen, Speicherung von Fotos von Schülern auf dem Smartphone, Nutzung von privaten Smartphones für Kommunikation mit Eltern, Fragen zu zulässigen Anwendungen, Zugriff auf Webanwendungen und die Genehmigung, und die Zulässigkeit von WhatsApp, Telegram und iMessage auf privaten Geräten, wenn sie dienstlich genutzt werden. Zu finden ist dieses unter

Da es an Schulen nicht nur viele Fragen zur Genehmigung gibt, sondern auch zu anderen Bereichen, wurden in einer zweiten Sammlung weitere Fragen zum Thema Datenschutz an der Schule aufgegriffen. Hier geht es um die Aufgaben von Datenschutzbeauftragten, Notelisten in Papierform am heimischen Arbeitsplatz, die Übermittlung von Elterndaten an die Schulpflegschaft, Office 365 im schulischen Einsatz, Videoüberwachung und elektronische Schließanlagen an der Schule.

Sicherlich werden verschiedene Akteure im Bereich Schule die Antworten unterschiedlich beurteilen. Es bleiben definitiv auch noch Fragen offen, doch es ist gut, dass das Ministerium zu den meisten Fragen sehr eindeutig Stellung bezogen hat. Mit diesen Antworten kann man planen und Entscheidungen fällen.

Auch zum Thema Schulhomepage gibt es einige (wenige) datenschutzrechtliche Aussagen vom Ministerium.

Digitales Klassenbuch – geht das und was ist zu beachten?

Lesezeit: < 1 Minute

Frage: Unter welchen Bedingungen wäre der Einsatz eines digitalen Klassenbuchs unter Bedingungen des Datenschutzes in NRW möglich?b

In NRW können digitale Klassenbücher problemlos an Schulen genutzt werden. Handelt es sich dabei um Cloud basierte digitale Klassenbücher, also um Plattformen, bei denen die Verwaltung der Daten auf einem Server beim Anbieter läuft,

  • muss ein Vertrag zur Auftragsverarbeitung mit dem Anbieter abgeschlossen werden
  • sollten Lehrkräfte eine Genehmigung der Schulleitung zur Nutzung eines privaten Endgerätes zur Verarbeitung von personenbezogenen Daten aus der Schule haben, um das digitale Klassenbuch mittels App oder Browserzugriff zu nutzen
  • sollte grundsätzlich darauf geachtet werden, dass mit dem digitalen Klassenbuch und den weiteren Funktionalitäten der Plattform (Buchung Elternsprechtag, Fotos, …) nur personenbezogenen Daten verarbeitet werden, für welche es eine rechtliche Grundlage nach dem SchulG NRW gibt oder wofür eine Einwilligung der Betroffenen vorliegt.

Einen ausführlichen Beitrag zum Thema gibt es unter Digitale Klassenbücher.

Smart Speaker im Klassenraum aufstellen – geht das?

Lesezeit: < 1 Minute

Eine Schule möchte gerne Smart Speaker im Klassenraum aufstellen, um eine einfache Kommunikation zwischen den Räumen für die Lehrkräfte zu ermöglich und smarte Erinnerungen und Timer zu setzen. Die Namen von Schülern sollen nicht genannt werden bei solchen Nachrichten und Erinnerungen. Man denkt an Amazon Echo, den kleinsten Smart Speaker. Das Gerät ist einfach zu bedienen, billig, spart eine aufwändige Verkabelung im Gebäude und kann mehr als eine Gegensprechanlage. Aber geht das auch? Was ist mit dem Datenschutz? Das Thema ist komplex und ich habe mich ausführlich damit auseinander gesetzt. Die Ergebnisse finden sich im Beitrag ALEXA, GOOGLE ASSISTANT, SIRI UND CO. – SMART SPEAKER IM KLASSENRAUM

Daten zwischen kooperierenden Schulen per E-Mail übertragen – geht das?

Lesezeit: 4 Minuten

Folgende Frage erreichte mich: „Unsere Koop-Schule will von unseren Schülern, die rüber kommen, den Schild-Datensatz. Darf man das per Schild-Export und E-Mail übertragen und wenn ja, dann wie?“

Bevor es um die eigentliche Frage geht, kurz zur Rechtmäßigkeit der Datenübermittlung zwischen kooperierenden Schulen.

Dürfen Schulen einander personenbezogene Daten von Schülern übermitteln, wenn sie miteinander kooperieren?

In NRW setzen das Schulgesetz (SchulG NRW) und die VO-DV I enge Grenzen, bezüglich der Übermittlung von personenbezogenen Daten von Schülern. Das betrifft die möglichen Empfänger wie auch die Verfahren. §120 Abs. 5 Satz 1 SchulG NRW lässt eine Übermittlung unter folgenden Bedingungen zu:

Die in Absatz 1 Satz 1 genannten Daten dürfen einer Schule, […] nur übermittelt werden, soweit sie von diesen Stellen zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben benötigt werden.

Es muss also eine durch eine Rechtsvorschrift übertragene Aufgabe vorliegen, zu deren Erfüllung die personenbezogenen Daten von Schülern erforderlich sind, damit Daten übermittelt werden dürfen. Ein Kommentar zum SchulG NRW päzisiert dieses.

„Nur wenn die konkrete Form der Kooperation eine Übermittlung von personenbezogenen Daten erforderlich macht, beispielsweise weil gemeinsame Unterrichtsveranstaltungen im Sinne des § 4 Abs. 3 Satz 2 SchulG stattfinden, ist ein solcher Transfer nach Maßgabe des § 120 Abs. 5 Satz 1 SchulG zulässig. Insoweit findet dann die Regelung des § 6 Abs. 1 Satz 2 VO-DV I Anwendung.“1Katernberg in SchulG NRW – Kommentar, März 2008

In § 6 Abs. 1 Satz 2 VO-DV I2Satz 2 = Hervorhebung heißt es:

1) Bei einem Schulwechsel übermittelt die abgebende Schule der aufnehmenden Schule personenbezogene Daten aus dem Schülerstammblatt und dem sonstigen Datenbestand, soweit die Daten für die weitere Schulausbildung der Schülerin oder des Schülers erforderlich sind. Entsprechendes gilt bei der Kooperation von Schulen. Die Unterlagen selbst verbleiben bei der abgebenden Schule.

Die rechtliche Grundlage für die Übermittlung von personenbezogenen Daten der Schüler, welche an der Kooperationsschule unterrichtet werden, ist damit gegeben. Klar ist dabei jedoch auch, dass nur die Daten übermittelt werden dürfen, welche für die Erteilung des Unterrichts an der anderen Schule von dieser benötigt werden.3Alle anderen Daten dürfen nur auf der Grundlage einer Einwilligung der Betroffenen übermittelt werden. Beispiel: die andere Schule möchte wissen, ob unter den Schülern, die am Unterricht teilnehmen werden, Vegetarier sind, da man die eigene Mensa informieren möchte. (Es besteht hier keine Erforderlichkeit, die sich aus der Erfüllung einer Rechtsvorschrift ergibt.) In SchiLD NRW werden dazu nur die erforderlichen personenbezogenen Daten exportiert.

Übermittlungsverfahren

Eine Übermittlung von personenbezogenen Daten muss entsprechend dem Stand der Technik gesichert erfolgen. Die VO-DV I macht hier in §5 Absatz 2 entsprechende Vorgaben:

„Die Datenübermittlung kann schriftlich, mündlich, automatisiert oder auf Datenträgern erfolgen. Datenträger, die versandt werden, dürfen personenbezogene Daten nur enthalten, soweit diese für die Empfängerin oder den Empfänger bestimmt sind. Eine automatisierte Datenübermittlung kann auch über eine gemeinsam genutzte informationstechnische Basis-Infrastruktur erfolgen, sofern die technischen und organisatorischen Sicherheitsanforderungen des § 10 des Datenschutzgesetzes NordrheinWestfalen erfüllt werden. Eine Datenübermittlung auf Datenträgern bedarf einer Verschlüsselung nach dem aktuellen Stand der Technik. Automatisierte Verfahren, die die Übermittlung personenbezogener Daten durch Abruf ermöglichen, sind unzulässig.“

Der letzte Satz hat es in sich, denn einige Verfahren werden hier grundsätzlich ausgeschlossen. Gemeint sind dabei solche Verfahren,

„die die Übermittlung personenbezogener Daten durch Abruf einer anderen Stelle ermöglichen, bei denen also eine Übermittlung stattfindet, ohne dass die speichernde bzw. übermittelnde Stelle davon Kenntnis hat und verantwortlich entscheidet, ob eine Übermittlung erfolgen darf.“4Katernberg in SchulG NRW – Kommenfar, März 2015

Dieses wäre beispielsweise der Fall, wenn ein Freigabeordner in einer Cloud eingerichtet würde und dem Empfänger würden der Link und das Passwort dazu mitgeteilt. Die übermittelnde Stelle hätte keinerlei Kontrolle darüber, ob die Daten abgerufen werden und wer sie abruft.5Die Informationen zum Zugang könnten in falsche Hände geraten, zufällig gefunden werden, durch einen Fehler offenbar werden und ähnlich.

Darf der SchiLD NRW Export per E-Mail an die Kooperationsschule übertragen werden?

Unter den bei den meisten Schulen in NRW akutell gegeben Bedingungen ist von einer Übertragung per E-Mail dringend abzuraten. Es gibt jedoch Ausnahmen. Nutzen beide Schulen in einer Kommune oder Stadt den gleichen kommunalen/städtischen E-Mail Dienst und sind in der Lage, ihre E-Mails zu verschlüsseln, spricht nichts gegen eine Übermittlung per E-Mail. Sobald Logineo NRW zur Verfügung steht und von beiden Schulen genutzt wird, kann auch dessen E-Mail Funktionalität genutzt werden. Aber auch hier empfiehlt es sich, die E-Mails mit den sensiblen Schülerdaten zu verschlüsseln.

Es gibt Schulen, die Anbieter wie T-Online, Web.de oder GMX nutzen. Eine Übermittlung per E-Mail über diese oder vergleichbare E-Mail Anbieter, so wie man sie im Privatbereich nutzt, ist nicht zu empfehlen, auch nicht wenn die E-Mails verschlüsselt sind. In der Regel liegen E-Mails zumindest einige Tage auf dem E-Mail Server des Absenders, oft auch des Empfängers. Wird einer dieser Server gehackt und die Daten entwendet, ist nie sicher, was mit den Daten passiert. Selbst eine Verschlüsselung, die heute als sicher gilt, könnte in einigen Jahren zu knacken sein6siehe Quantum Computing, Künstliche Intelligenz und zu Problemen für die Betroffenen führen.

Siehe auch „E-Mail Kommunikation sicher nutzen

Lösungen

Auch wenn eine Übermittlung per E-Mail in den meisten Fällen aus Gründen der Sicherheit nicht möglich ist, lassen sich die Daten aus dem SchiLD Export in digitaler Form übermitteln.

Der einfachste Weg wird die Speicherung auf einem verschlüsselten USB Stick sein, der dann persönlich durch eine Lehrkraft an der kooperierenden Schule abgegeben wird. Wenn zwei Schulen kooperieren, werden sie in räumlicher Nähe zueinander liegen und dieser Weg sollte ohne Probleme möglich sein.7Denkbar wäre auch noch der postalische Versand eines verschlüsselten Datenträgers. Vermutlich ist das jedoch aufwändiger als eine persönliche Übergabe, da bei der postalischen Übermittlung das Passwort zum Entschlüsseln getrennt auf einem anderen Wege übermittelt werden müsste.

Nutzen beide Schulen eine sichere Cloud Lösung, über welche sie Daten austauschen können, ist auch dieses eine Möglichkeit.8Google Drive und Microsoft OneDrive wie auch Dropbox und ähnliche Anbieter gehören nicht zu diesen Lösungen, auch wenn sich die Daten dort verschlüsselt ablegen lassen. Die Gründe dafür liegen daran, dass es sich um nicht europäische Anbieter handelt, bei denen ein tatsächliche Einhaltung der DS-GVO nicht zu einhundert Prozent überprüfbar gewährleistet ist. Eine Nutzung für personenbezogene Daten im Rahmen der schulischen Verwaltung ist damit aktuell (November 2018) nicht zulässig.. Logineo NRW könnte in NRW eine solche Cloud Lösung sein. Nutzen beide Schulen eine Plattform wie kommunal/städtisch betriebenes Moodle, wäre auch dieses eine Möglichkeit. Hierbei muss das Verfahren so gestaltet werden, dass kein Konflikt mit der Vorgabe des letzten Satzes von VO-DV I §5 entsteht.9siehe oben

Ein gemeinsames Verzeichnis, auf welches nur die Sekretariate beider Schulen zugriff haben, wäre eine Möglichkeit.