Endlich klare Aussagen vom MSB NRW zu datenschutzrechtlichen Fragen

Lesezeit: 1 Minute

Es hat lange gedauert bis sich das Ministerium für Schule und Bildung NRW einmal umfänglich zu datenschutzrechtlichen Fragen im Zusammenhang mit der umstrittenen Genehmigung zur Verarbeitung von personenbezogenen Daten aus der Schule auf privaten Endgeräten von Lehrkräften äußert. Was geht und was geht nicht, wie sieht es mit Haftungsfragen aus? Antworten kommen auch zu vielen anderen Fragen: z.B. E-Mail Kommunikation mit Eltern über dienstliche und private E-Mail Adressen, Speicherung von Fotos von Schülern auf dem Smartphone, Nutzung von privaten Smartphones für Kommunikation mit Eltern, Fragen zu zulässigen Anwendungen, Zugriff auf Webanwendungen und die Genehmigung, und die Zulässigkeit von WhatsApp, Telegram und iMessage auf privaten Geräten, wenn sie dienstlich genutzt werden. Zu finden ist dieses unter

Da es an Schulen nicht nur viele Fragen zur Genehmigung gibt, sondern auch zu anderen Bereichen, wurden in einer zweiten Sammlung weitere Fragen zum Thema Datenschutz an der Schule aufgegriffen. Hier geht es um die Aufgaben von Datenschutzbeauftragten, Notelisten in Papierform am heimischen Arbeitsplatz, die Übermittlung von Elterndaten an die Schulpflegschaft, Office 365 im schulischen Einsatz, Videoüberwachung und elektronische Schließanlagen an der Schule.

Sicherlich werden verschiedene Akteure im Bereich Schule die Antworten unterschiedlich beurteilen. Es bleiben definitiv auch noch Fragen offen, doch es ist gut, dass das Ministerium zu den meisten Fragen sehr eindeutig Stellung bezogen hat. Mit diesen Antworten kann man planen und Entscheidungen fällen.

Auch zum Thema Schulhomepage gibt es einige (wenige) datenschutzrechtliche Aussagen vom Ministerium.

Digitales Klassenbuch – geht das und was ist zu beachten?

Lesezeit: 1 Minute

Frage: Unter welchen Bedingungen wäre der Einsatz eines digitalen Klassenbuchs unter Bedingungen des Datenschutzes in NRW möglich?b

In NRW können digitale Klassenbücher problemlos an Schulen genutzt werden. Handelt es sich dabei um Cloud basierte digitale Klassenbücher, also um Plattformen, bei denen die Verwaltung der Daten auf einem Server beim Anbieter läuft,

  • muss ein Vertrag zur Auftragsverarbeitung mit dem Anbieter abgeschlossen werden
  • sollten Lehrkräfte eine Genehmigung der Schulleitung zur Nutzung eines privaten Endgerätes zur Verarbeitung von personenbezogenen Daten aus der Schule haben, um das digitale Klassenbuch mittels App oder Browserzugriff zu nutzen
  • sollte grundsätzlich darauf geachtet werden, dass mit dem digitalen Klassenbuch und den weiteren Funktionalitäten der Plattform (Buchung Elternsprechtag, Fotos, …) nur personenbezogenen Daten verarbeitet werden, für welche es eine rechtliche Grundlage nach dem SchulG NRW gibt oder wofür eine Einwilligung der Betroffenen vorliegt.

Einen ausführlichen Beitrag zum Thema gibt es unter Digitale Klassenbücher.

Smart Speaker im Klassenraum aufstellen – geht das?

Lesezeit: 1 Minute

Eine Schule möchte gerne Smart Speaker im Klassenraum aufstellen, um eine einfache Kommunikation zwischen den Räumen für die Lehrkräfte zu ermöglich und smarte Erinnerungen und Timer zu setzen. Die Namen von Schülern sollen nicht genannt werden bei solchen Nachrichten und Erinnerungen. Man denkt an Amazon Echo, den kleinsten Smart Speaker. Das Gerät ist einfach zu bedienen, billig, spart eine aufwändige Verkabelung im Gebäude und kann mehr als eine Gegensprechanlage. Aber geht das auch? Was ist mit dem Datenschutz? Das Thema ist komplex und ich habe mich ausführlich damit auseinander gesetzt. Die Ergebnisse finden sich im Beitrag ALEXA, GOOGLE ASSISTANT, SIRI UND CO. – SMART SPEAKER IM KLASSENRAUM

Daten zwischen kooperierenden Schulen per E-Mail übertragen – geht das?

Lesezeit: 4 Minuten

Folgende Frage erreichte mich: „Unsere Koop-Schule will von unseren Schülern, die rüber kommen, den Schild-Datensatz. Darf man das per Schild-Export und E-Mail übertragen und wenn ja, dann wie?“

Bevor es um die eigentliche Frage geht, kurz zur Rechtmäßigkeit der Datenübermittlung zwischen kooperierenden Schulen.

Dürfen Schulen einander personenbezogene Daten von Schülern übermitteln, wenn sie miteinander kooperieren?

In NRW setzen das Schulgesetz (SchulG NRW) und die VO-DV I enge Grenzen, bezüglich der Übermittlung von personenbezogenen Daten von Schülern. Das betrifft die möglichen Empfänger wie auch die Verfahren. §120 Abs. 5 Satz 1 SchulG NRW lässt eine Übermittlung unter folgenden Bedingungen zu:

Die in Absatz 1 Satz 1 genannten Daten dürfen einer Schule, […] nur übermittelt werden, soweit sie von diesen Stellen zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben benötigt werden.

Es muss also eine durch eine Rechtsvorschrift übertragene Aufgabe vorliegen, zu deren Erfüllung die personenbezogenen Daten von Schülern erforderlich sind, damit Daten übermittelt werden dürfen. Ein Kommentar zum SchulG NRW päzisiert dieses.

„Nur wenn die konkrete Form der Kooperation eine Übermittlung von personenbezogenen Daten erforderlich macht, beispielsweise weil gemeinsame Unterrichtsveranstaltungen im Sinne des § 4 Abs. 3 Satz 2 SchulG stattfinden, ist ein solcher Transfer nach Maßgabe des § 120 Abs. 5 Satz 1 SchulG zulässig. Insoweit findet dann die Regelung des § 6 Abs. 1 Satz 2 VO-DV I Anwendung.“1Katernberg in SchulG NRW – Kommentar, März 2008

In § 6 Abs. 1 Satz 2 VO-DV I2Satz 2 = Hervorhebung heißt es:

1) Bei einem Schulwechsel übermittelt die abgebende Schule der aufnehmenden Schule personenbezogene Daten aus dem Schülerstammblatt und dem sonstigen Datenbestand, soweit die Daten für die weitere Schulausbildung der Schülerin oder des Schülers erforderlich sind. Entsprechendes gilt bei der Kooperation von Schulen. Die Unterlagen selbst verbleiben bei der abgebenden Schule.

Die rechtliche Grundlage für die Übermittlung von personenbezogenen Daten der Schüler, welche an der Kooperationsschule unterrichtet werden, ist damit gegeben. Klar ist dabei jedoch auch, dass nur die Daten übermittelt werden dürfen, welche für die Erteilung des Unterrichts an der anderen Schule von dieser benötigt werden.3Alle anderen Daten dürfen nur auf der Grundlage einer Einwilligung der Betroffenen übermittelt werden. Beispiel: die andere Schule möchte wissen, ob unter den Schülern, die am Unterricht teilnehmen werden, Vegetarier sind, da man die eigene Mensa informieren möchte. (Es besteht hier keine Erforderlichkeit, die sich aus der Erfüllung einer Rechtsvorschrift ergibt.) In SchiLD NRW werden dazu nur die erforderlichen personenbezogenen Daten exportiert.

Übermittlungsverfahren

Eine Übermittlung von personenbezogenen Daten muss entsprechend dem Stand der Technik gesichert erfolgen. Die VO-DV I macht hier in §5 Absatz 2 entsprechende Vorgaben:

„Die Datenübermittlung kann schriftlich, mündlich, automatisiert oder auf Datenträgern erfolgen. Datenträger, die versandt werden, dürfen personenbezogene Daten nur enthalten, soweit diese für die Empfängerin oder den Empfänger bestimmt sind. Eine automatisierte Datenübermittlung kann auch über eine gemeinsam genutzte informationstechnische Basis-Infrastruktur erfolgen, sofern die technischen und organisatorischen Sicherheitsanforderungen des § 10 des Datenschutzgesetzes NordrheinWestfalen erfüllt werden. Eine Datenübermittlung auf Datenträgern bedarf einer Verschlüsselung nach dem aktuellen Stand der Technik. Automatisierte Verfahren, die die Übermittlung personenbezogener Daten durch Abruf ermöglichen, sind unzulässig.“

Der letzte Satz hat es in sich, denn einige Verfahren werden hier grundsätzlich ausgeschlossen. Gemeint sind dabei solche Verfahren,

„die die Übermittlung personenbezogener Daten durch Abruf einer anderen Stelle ermöglichen, bei denen also eine Übermittlung stattfindet, ohne dass die speichernde bzw. übermittelnde Stelle davon Kenntnis hat und verantwortlich entscheidet, ob eine Übermittlung erfolgen darf.“4Katernberg in SchulG NRW – Kommenfar, März 2015

Dieses wäre beispielsweise der Fall, wenn ein Freigabeordner in einer Cloud eingerichtet würde und dem Empfänger würden der Link und das Passwort dazu mitgeteilt. Die übermittelnde Stelle hätte keinerlei Kontrolle darüber, ob die Daten abgerufen werden und wer sie abruft.5Die Informationen zum Zugang könnten in falsche Hände geraten, zufällig gefunden werden, durch einen Fehler offenbar werden und ähnlich.

Darf der SchiLD NRW Export per E-Mail an die Kooperationsschule übertragen werden?

Unter den bei den meisten Schulen in NRW akutell gegeben Bedingungen ist von einer Übertragung per E-Mail dringend abzuraten. Es gibt jedoch Ausnahmen. Nutzen beide Schulen in einer Kommune oder Stadt den gleichen kommunalen/städtischen E-Mail Dienst und sind in der Lage, ihre E-Mails zu verschlüsseln, spricht nichts gegen eine Übermittlung per E-Mail. Sobald Logineo NRW zur Verfügung steht und von beiden Schulen genutzt wird, kann auch dessen E-Mail Funktionalität genutzt werden. Aber auch hier empfiehlt es sich, die E-Mails mit den sensiblen Schülerdaten zu verschlüsseln.

Es gibt Schulen, die Anbieter wie T-Online, Web.de oder GMX nutzen. Eine Übermittlung per E-Mail über diese oder vergleichbare E-Mail Anbieter, so wie man sie im Privatbereich nutzt, ist nicht zu empfehlen, auch nicht wenn die E-Mails verschlüsselt sind. In der Regel liegen E-Mails zumindest einige Tage auf dem E-Mail Server des Absenders, oft auch des Empfängers. Wird einer dieser Server gehackt und die Daten entwendet, ist nie sicher, was mit den Daten passiert. Selbst eine Verschlüsselung, die heute als sicher gilt, könnte in einigen Jahren zu knacken sein6siehe Quantum Computing, Künstliche Intelligenz und zu Problemen für die Betroffenen führen.

Siehe auch „E-Mail Kommunikation sicher nutzen

Lösungen

Auch wenn eine Übermittlung per E-Mail in den meisten Fällen aus Gründen der Sicherheit nicht möglich ist, lassen sich die Daten aus dem SchiLD Export in digitaler Form übermitteln.

Der einfachste Weg wird die Speicherung auf einem verschlüsselten USB Stick sein, der dann persönlich durch eine Lehrkraft an der kooperierenden Schule abgegeben wird. Wenn zwei Schulen kooperieren, werden sie in räumlicher Nähe zueinander liegen und dieser Weg sollte ohne Probleme möglich sein.7Denkbar wäre auch noch der postalische Versand eines verschlüsselten Datenträgers. Vermutlich ist das jedoch aufwändiger als eine persönliche Übergabe, da bei der postalischen Übermittlung das Passwort zum Entschlüsseln getrennt auf einem anderen Wege übermittelt werden müsste.

Nutzen beide Schulen eine sichere Cloud Lösung, über welche sie Daten austauschen können, ist auch dieses eine Möglichkeit.8Google Drive und Microsoft OneDrive wie auch Dropbox und ähnliche Anbieter gehören nicht zu diesen Lösungen, auch wenn sich die Daten dort verschlüsselt ablegen lassen. Die Gründe dafür liegen daran, dass es sich um nicht europäische Anbieter handelt, bei denen ein tatsächliche Einhaltung der DS-GVO nicht zu einhundert Prozent überprüfbar gewährleistet ist. Eine Nutzung für personenbezogene Daten im Rahmen der schulischen Verwaltung ist damit aktuell (November 2018) nicht zulässig.. Logineo NRW könnte in NRW eine solche Cloud Lösung sein. Nutzen beide Schulen eine Plattform wie kommunal/städtisch betriebenes Moodle, wäre auch dieses eine Möglichkeit. Hierbei muss das Verfahren so gestaltet werden, dass kein Konflikt mit der Vorgabe des letzten Satzes von VO-DV I §5 entsteht.9siehe oben

Ein gemeinsames Verzeichnis, auf welches nur die Sekretariate beider Schulen zugriff haben, wäre eine Möglichkeit.

Datenübermittung an die Gesundheitsbehörden – Einwilligung erforderlich?

Lesezeit: 1 Minute

Seit Beginn der Umsetzung der DS-GVO ist im Mai diesen Jahres werden in Schulen viele alltägliche Formen der Datenverarbeitung auf den Prüfstein gestellt, da man sich nicht mehr sicher ist, ob man bisher wirklich alles richtig macht. Bei Datenübermittlungen stellt sich so häufig die Frage nach der rechtlichen Grundlage. Eine Grundschule fragte an:

Braucht es für die Übermittlung von personenbezogenen Daten von Schülerinnen und Schülern an die untere Gesundheitsbehörde eine Einwilligung der Eltern?

Kurze Antwort, nein. In NRW gibt es mit §120 Abs. 5 SchulG NRW und §8 VO-DV I eine rechtliche Grundlage für die Übermittlung von personenbezogenen Daten von Schülern und Eltern an die untere Gesundheitsbehörde. Welche Daten dieses genau sind, definiert §8 VO-DV I. Damit ist eine Verarbeitung nach DS-GVO Art. 6 Abs. 1 lit. e möglich und eine Einwilligung nicht notwendig.

Erforderlich ist jedoch eine Information der Betroffenen nach Art. 13, die man am besten bereits bei der Anmeldung an der Schule gibt.10Siehe dazu auch Information über Datenverarbeitung gemäß Art. 13 und Art. 14 DS-GVO unter INFORMATIONEN SCHULE (NRW)

Schulgesetz NRW §120 Abs. 5
Die in Absatz 1 Satz 1 genannten Daten dürfen einer Schule, der Schulaufsichtsbehörde, dem Schulträger, der unteren Gesundheitsbehörde, dem Jugendamt, dem Landesjugendamt, den Ämtern für Ausbildungsförderung, dem Landesamt für Ausbildungsförderung sowie den Ausbildungsbetrieben der Schülerinnen und Schüler an Berufskollegs nur übermittelt werden, soweit sie von diesen Stellen zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben benötigt werden.
Quelle: SchulG NRW § 120
VO-DV I § 8
Datenübermittlung zum Zwecke der Schulgesundheitspflege
(1) Zur Durchführung von Maßnahmen der Schulgesundheitspflege übermittelt die Schule der unteren Gesundheitsbehörde personenbezogene Daten von Schülerinnen und Schülern sowie den Eltern.
(2) Folgende Daten der Betroffenen werden übermittelt:
1. Name, Vorname,
2. Geburtsdatum, -ort und -land,
3. Geschlecht,
4. Erreichbarkeit,
5. Name, Vorname und Erreichbarkeit der Eltern
Quelle: VO-DV I § 8
Art. 6 Abs. 1 lit. e
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

(e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
Quelle: DS-GVO Art. 6 Abs. 1 lit. e

Brauchen Schulen Datenschutzerklärungen zu den Verarbeitungsprozessen in der Schule?

Lesezeit: 6 Minuten

Frage

Vor einiger Zeit kam die Frage auf, ob Schulen neben der Datenschutzerklärung der Homepage zusätzlich auch eine Datenschutzerklärung bezüglich der Verarbeitung von personenbezogenen Daten in der Schule benötigen, die dann ebenfalls auf der Schulhomepage veröffentlich wird.

Rechtliche Grundlagen

Art. 12 DS-GVO Abs. 1 fordert ein, dass Betroffene informiert werden und diese Informationen leicht zugänglich sind.

“Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; […] Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch.”

Entsprechend gibt der zugehörige Erwägungsgrund 58 folgende Erläuterung:

“Der Grundsatz der Transparenz setzt voraus, dass eine für die Öffentlichkeit oder die betroffene Person bestimmte Information präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst ist und gegebenenfalls zusätzlich visuelle Elemente verwendet werden. Diese Information könnte in elektronischer Form bereitgestellt werden, beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist.”

Das Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen (IFG NRW) führt aus:

§ 12
Veröffentlichungspflichten
Geschäftsverteilungspläne, Organigramme und Aktenpläne sind nach Maßgabe dieses Gesetzes allgemein zugänglich zu machen. Die öffentlichen Stellen sollen Verzeichnisse führen, aus denen sich die vorhandenen Informationssammlungen und -zwecke erkennen lassen. Soweit möglich hat die Veröffentlichung in elektronischer Form zu erfolgen. § 4 Abs. 2 Satz 1 dieses Gesetzes bleibt unberührt.

Wie sind diese Vorgaben zu verstehen?

Von rechtlicher Seite gibt es Vorgaben, sowohl von der DS-GVO wie auch vom IFG. Beide lassen jedoch Spielraum für die Umsetzung. Zu beachten ist dabei ein Unterschied zwischen DS-GVO und IFG. Während es bei der DS-GVO ausschließlich um die Rechte der Betroffenen geht, betrifft das IFG die Öffentlichkeit und deren Recht auf Informationen.

Schulen unterliegen entsprechend der DS-GVO dem Gebot der Transparenz wie jede andere datenverarbeitende öffentliche Stellen. Nach Art. 13 sind Betroffene zum Zeitpunkt der Erhebung von personenbezogenen Daten bezüglich der beabsichtigten Verarbeitung und ihrer Rechte zu informieren. Werden die personenbezogenen Daten nicht beim Betroffenen selbst erhoben, sind diese nach Art. 14 entsprechend nachträglich zu informieren.

Das IFG fordert von öffentlichen Stellen, Informationen zu verarbeiteten Daten und den Verarbeitungszwecken möglichst in elektronischer Form zu veröffentlichen. Es geht hier um eine Veröffentlichungspflicht. Die Veröffentlichung auf einer Internetseite wäre eine elektronische Form. Zum Vergleich: auf Bundesebene gibt es für Behörden gemäß dem IFG des Bundes eine Veröffentlichungspflicht im Internet.11 Der Bund gibt unter Anwendungshinweise zum Informationsfreiheitsgesetz zur Veröffentlichung folgende Informationen:
Welche Veröffentlichungspflichten bestehen im Internet?
Die Behörden des Bundes sollen geeignete Informationen möglichst umfassend im Rahmen aktiver Informationspolitik nach und nach in das Internet einstellen (§ 11 Abs. 3). Das IFG geht jedoch nicht über die bestehenden Verpflichtungen aus dem Kabinettbeschluss zur langfristigen Sicherung der im Rahmen der eGovernment-Initiative BundOnline 2005 getätigten Investitionen vom 9. März 2005 hinaus.
Insbesondere Organisations- und Aktenpläne ohne Angabe personenbezogener Daten sollen beim Internetauftritt jeder Behörde berücksichtigt werden. Solche Organisations- und Aktenpläne sollen es dem Bürger erleichtern, sich einen Überblick der vorhandenen Informationen zu verschaffen. Wie detailliert solche Pläne eingestellt werden, entscheidet jede Behörde selbst.

Zwischen den Vorgaben der DS-GVO und des IFG gibt es Unterschiede im Umfang der Informationen. Während sich das IFG auf eine Information über vorhandene Informationssammlungen und -zwecke beschränkt, geht es bei der DS-GVO um sehr viel genauere Informationen (z.B. Betroffene, Rechtsgrundlage, Zwecke der Verarbeitung, Kategorien von Daten und Empfängern, Dauer der Speicherung, Rechte der Betroffenen).

In Art. 12 ist vorgegeben, dass der Verantwortliche, hier die Schulleitung, “geeignete Maßnahmen” trifft, die Betroffenen zu informieren, und dass die Informationen in “leicht zugänglicher Form” bzw. “leicht zugänglich” zu übermitteln sind. Für die Form gibt es keine exakt definierten Vorgaben. Die Bereitstellung in elektronischer Form auf einer Website wird im Erwägungsgrund als eine Möglichkeit angegeben. Das IFG  wird etwas deutlicher und fordert die elektronische Form, sofern möglich.

Entsprechend dem IFG würde es praktisch ausreichen, auf die VO-DV I und II zu verlinken, da das IFG selbst keinerlei Vorgaben macht, wie einfach oder verständlich diese Angaben sein müssen. Auch der Begriff Verzeichnis ist nicht exakt definiert. Eine Formulierung auf der Schulhomepage könnte so lauten, wie die obere Tabellenzelle. Wenn man etwas ausführlicher sein möchte, fügt man die Inhalte der restlichen Zellen an.

Information über Informationssammlungen und -zwecke gemäß §12 Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen  (IFG NRW)

Die Schule verarbeitet die personenbezogenen Daten von Schülern, Erziehungsberechtigten und Lehrkräften in dem Umfang und für die Zwecke, wie sie durch das SchulG NRW, VO-DV I (Schüler, Erziehungsberechtigte) und VO-DV II (Lehrkräfte) vorgegeben sind.

Informationssammlung Schüler/ Erziehungsberechtigte
Schülerstammblatt

  1. die Personaldaten der in § 1 Abs. 1 Nr. 1 – 3 genannten Personen (Individualdaten) gemäß Abschnitt A Nr. I der Anlage 1,
  2. die Information zur schulischen Laufbahn der Schülerin oder des Schülers (Organisations- bzw. Schullaufbahndaten) gemäß Abschnitt A Nr. II der Anlage 1,
  3. die Angaben über den individuellen Leistungsstand der Schülerin oder des Schülers (Leistungsdaten) gemäß Abschnitt B der Anlage 1,
  4. die für die einzelnen Schulformen oder Schulstufen benötigten zusätzlichen Informationen (schulform- oder schulstufenspezifische Zusatzdaten) gemäß Abschnitt C der Anlage 1.

sonstiger Datenbestand

Zwecke
  • Schülerverwaltung
  • Leistungsdatenverwaltung
  • Zeugniserstellung
  • Unterrichtsplanung
  • Schulstatistik
  • Diagnostik/ Erstellung von Förderempfehlungen/ individuellen Förderplänen
  • Schulpflichtüberwachung
  • Kontaktaufnahme mit den Erziehungsberechtigten
  • Evaluation und Qualitätsentwicklung
  • Öffentlichkeitsarbeit
  • Erstellung von Fördergutachten (AO-SF Verfahren)
  • Schülerspezialverkehr (an Förderschulen)
  • Praktikumsverwaltung
  • Erziehungs- und Ordnungsmaßnahmen
  • Dokumentation im Klassenbuch
  • Dokumentation von Konferenzen
Informationssammlung Lehrkräfte
 Datenbestand in der Schule

  • Person
  • Werdegang
  • Vorbereitungsdienst,   Staatsprüfung
  • Qualifikationen
  • Laufbahn
  • Beschäftigung
  • Unterricht
  • Geschäftsablauf

Akten der Schulleitung

  • Persönliche Angaben
  • Ausbildung, sonstige Tätigkeiten, besondere Fähigkeiten
  • Tätigkeiten an der Schule
  • Weitere Angaben
Zwecke
  1. Planung und Ermittlung des Unterrichtsbedarfs, Durchführung des Unterrichts
  1. Planung und Einrichtung von Bildungsgängen, Klassen und Gruppen; Ermittlung und Deckung besonderer Bedarfe und Förderungsbedarfe; Unterrichtsorganisation; Unterrichtsverteilung
  2. Aufstellen von Aufsichts-, Prüfungs-, Stunden- und Vertretungsplänen, Sprechstundenlisten sowie Übersichten der an der Schule Beschäftigten
  1. Erledigung der laufenden schulischen Angelegenheiten
  1. Berichte in arbeits-, dienst- und personalrechtlichen Angelegenheiten und Angelegenheiten der Lehrerversorgung
  2. Berichte zur Vorbereitung von Dienstleistungszeugnissen, Beratung zur dienstlichen Beurteilung, Berichte in disziplinarrechtlichen Angelegenheiten
  3. Beantwortung von Anfragen und Erhebungen der Schulaufsichtsbehörden sowie anderer Behörden aus dem Geschäftsbereich des für die Schule zuständigen Ministeriums
  4. Durchführung von Maßnahmen der Qualitätsentwicklung und Qualitätssicherung gemäß § 3 Abs. 4 SchulG
  1. Statistische Daten
  2. Lehrerausbildung (Ausbildungslehrerinnen und -lehrer, Lehramtsanwärterinnen und Lehramtsanwärter und Lehrkräfte in Ausbildung)
  3. Lehrerfortbildung
  4. Erfüllung der Schulleitungsaufgaben

Entsprechend der DS-GVO müssen Betroffene (Schüler und Erziehungsberechtigte sowie Lehrkräfte) bei der Erhebung von Daten oder, sofern die Daten nicht bei ihnen direkt erhoben wurden, nachträglich informiert werden. Die unmittelbare Information kann mittels eines entsprechenden Informationsschreibens12„Informationen Schule (NRW) – datenschutz-schule.info.“ https://datenschutz-schule.info/service-downloads/informationen-schule-nrw/. gegeben werden, welches den Betroffenen ausgehändigt wird, so dass sie jederzeit über die von der Schule verarbeiteten Daten und ihre Rechte im Bilde sind. Erforderlich ist diese Art von Information bei Schülern und ihren Erziehungsberechtigten erstmals bei der Anmeldung an der Schule, bei Lehrkräften, wenn sie den Dienst an einer neuen Schule aufnehmen, welche dazu personenbezogene Daten von ihnen selbst oder einer anderen Stelle (Stammschule/ abgebende Schule/ Schulamt/ Bezirksregierung) erhält.

Die DS-GVO unterscheidet beim Transparenzgebot im Erwägungsgrund 58 zwischen betroffener Person und Öffentlichkeit. Nur wenn es um Informationen zur Herstellung von Transparenz geht, welche für die Öffentlichkeit bestimmt sind, wird die Veröffentlichung auf einer Website als Möglichkeit vorgeschlagen. Für die Information der Betroffenen selbst wird dieses nicht vorgeschlagen. Da die Formulierung von Art. 12 Abs. 1 Satz 1 sehr offen ist, bleibt dem Verantwortlichen Gestaltungsspielraum.

“Insgesamt belässt Abs. 1 S. 1 dem Verantwortlichen bei der Wahl der Darstellungsweise einen beträchtlichen Gestaltungsspielraum.”13Bäcker in Kühling/Buchner Art. 12 Abs. 1 Rn. 12

Es lässt sich aus keiner Stelle in der DS-GVO eine eindeutige Vorgabe ableiten, dass zur Herstellung von Transparenz eine Veröffentlichung von Informationen entsprechend Art. 13 und 14 auf der Schulhomepage erforderlich ist. Genausowenig ist ersichtlich, dass eine Schule die Öffentlichkeit informieren muss.

Abgesehen davon spricht jedoch auch nichts dagegen, die Informationen zur Verarbeitung von personenbezogenen Daten von Betroffenen zusätzlich leicht auffindbar auf der Schulhomepage zu hinterlegen als Informationen über die Datenverarbeitung an der Schule nach DS-GVO Art. 12. Dort könnte man dann die Informationen aus den Informationsschreiben direkt in die Webseite einstellen und eventuell auch noch die Schreiben als PDFs zum Download anzubieten.

Wie das MSB das Thema sieht

Das Ministerium für Schule und Bildung (MSB) hat sich auf den Seiten der Medienberatung zum Thema Informationspflicht nach Art. 13 DS-GVO geäußert14„Homepage der Schulen – Bildungsportal NRW.“ https://www.schulministerium.nrw.de/docs/Recht/Datenschutz/Umsetzung-EU-Datenschutzgrundverordnung/Regelungsbereiche/Homepage-der-Schulen/index.html.. Das MSB schlägt vor, der Informationspflicht über die Schulhomepage nachzukommen, um den Verwaltungsaufwand für die Schule in Grenzen zu halten. Es sollte dann ausreichend sein, “mittels Link auf die ausführlichen Vorgaben der VO DV I und II” zu verweisen. Da die DS-GVO Information aber auch eine Information zum Zeitpunkt der Datenerhebung verlangt, sollen Schulen den Erziehungsberechtigten bzw. volljährigen Schülern bei Anmeldung an der Schule einen “einen Papierausdruck der VO DV I” aushändigen.

Auch wenn dieser Vorschlag gut gemeint ist, so widerspricht er einem der wichtigen Grundsätze der DS-GVO, wie dem Zitat zu Beginn des Textes zu entnehmen. Der Erwägungsgrund wird noch deutlicher. Die Information soll in “präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst” sein. Dem entspricht die VO-DV I wohl kaum.

Aus den Ausführungen des MSB lässt sich, was für die Fragestellung hier noch bedeutsamer ist, keinerlei Verpflichtung zur Veröffentlichung dieser Informationen auf der Schulhomepage ableiten.

Fazit

  • Schulen müssen entsprechend der Vorgaben der DS-GVO Besucher ihrer Schulhomepage (Betroffene) über die Verarbeitung von personenbezogenen Daten auf der Website selbst in Form einer Datenschutzerklärung informieren.
  • Schulen sollen als öffentliche Stellen gemäß der Vorgaben des IFG NRW in elektronischer Form Verzeichnisse führen, welche die Öffentlichkeit über Informationssammlungen und -zwecke informiert. Das erfolgt am zweckmäßigsten vermutlich über die Schulhomepage.15Mir ist bisher keine Schule bekannt, welche derartige Informationen nach dem IFG auf ihrer Schulhomepage eingestellt hat. Auch, dass es wegen des Fehlens solcher Informationen Probleme gegeben hat, ist mir nicht bekannt.
  • Schulen können ergänzend zu einer direkten Information der Betroffenen vor oder nach der Datenerhebung zusätzlich über die Verarbeitung personenbezogener Daten entsprechend Art. 13 und 14 auf ihrer Homepage informieren, wenn die Schulleitung darin eine geeignete Maßnahme sieht, der Informationspflicht nachzukommen.

Zu den Informationen, die nach dem IFG NRW auf einer Schulhomepage veröffentlicht werden sollen, gehören neben Informationen über die Schulleitung auch solche über die Lehrkräfte, deren Funktion in der Schule und Angaben zur dienstlichen Erreichbarkeit. Siehe dazu den Beitrag: Welche personenbezogenen Daten von Lehrkräften dürfen OHNE Einwilligung auf die Schulhomepage?

Verarbeitung auf Grundlage einer Interessenabwägung – geht das bei Schulen?

Lesezeit: 2 Minuten

Nach §§120 – 122 Schulgesetz NRW gibt es nur zwei datenschutzrechtliche Grundlagen, sogenannte Erlaubnistatbestände, für die Verarbeitung von personenbezogenen Daten von Schülern, Eltern und Lehrkräften: eine Rechtsvorschrift erlaubt sie oder die Betroffenen willigen ein. In Bezug auf Schüler heißt es deshalb in Abs. 1 §120 SchulG NRW,

„Schulen […] dürfen personenbezogene Daten der Schülerinnen und Schüler, der in § 36 genannten Kinder sowie der Eltern verarbeiten, soweit dies zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben erforderlich ist. […] Andere Daten dürfen nur mit Einwilligung der Betroffenen erhoben werden.“

Die im Schulgesetz aufgeführten Erlaubnistatbestände entsprechen den Buchstaben e und a in Art. 6 der Datenschutz Grundverordnung (DS-GVO). e entspricht dabei der Verarbeitung auf der Grundlage einer Rechtsvorschrift16lit. e „die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;“17Eine entsprechende Vrogabe findet sich auch in §3 Bundesdatenschutzgesetz, „Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist.“ . a entspricht der Verarbeitung auf Grundlage einer Einwilligung der betroffenen Person18lit. a „Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;“.

Auch wenn eigentlich aufgrund der Vorgaben aus dem Schulgesetz klar sein sollte, dass es keine anderen Erlaubnistatbestände gibt, welche in Schule eine Verarbeitung von personenbezogenen Daten rechtfertigen können, kommt trotzdem immer wieder die Frage auf, ob es für Schulen auch zulässig ist, eine Verarbeitung von personenbezogenen Daten von Schülern, Eltern und Lehrkräften auch auf der Grundlage von Art. 6 Buchstabe f19„die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“ durchzuführen? Das meint die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen, hier also der berechtigten Interessen der Schule. Kann eine Schule eine Interessenabwägung vornehmen zwischen ihren eigenen Interessen und denen der Betroffenen, und eine Verarbeitung auch ohne Einwilligung oder gesetzliche Grundlage vornehmen, wenn sie zu dem Schluss kommt, dass die Interessen der Schule überwiegen?

Dazu gibt es sogar in der DS-GVO eine Antwort. Direkt unter Buchstabe f findet sich in Art. 6 DS-GVO ein Passus, welcher Behörden von dieser Regelung ausnimmt.

„Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.“

Eine Schule ist eine öffentliche Stelle und verwaltungstechnisch eine Behörde.20„Im Schulbereich ist Behörde im Sinne des Hessischen Verwaltungsverfahrensgesetzes (HVwVfG) jede Schule in öffentlicher Trägerschaft, …“ ), in Raabe, Schulleitung Online, Verwaltungsakt-Rechtsbegriff. Entsprechend ist die Ausnahme auf Schulen in öffentlicher Trägerschaft anzuwenden.

In einem Dokument des Europäischen Rates215419/1/16 REV 1 S. 2722Eine gleichlautende Aussage findet sich auch in Erwägungsgrund 47 wird erläutert, warum Art. 6 lit. f nicht auf Behörden angewendet werden soll:

„Da es dem Gesetzgeber obliegt, per Rechtsvorschrift die Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch die Behörden zu schaffen, sollte diese Rechtsgrundlage nicht für Verarbeitungen durch Behörden gelten, die diese in Erfüllung ihrer Aufgaben vornehmen.“

Diese „Ausnahme ist dem Grundsatz des Gesetzesvorbehalts geschuldet“23Buchner / Petri in Kühling / Buchner Art. 6 Rn. 157

Das heißt, für Verarbeitungen von personenbezogenen Daten, welche eine Schule in Erfüllung ihrer Aufgaben, vornimmt, ist Art. 6 lit. f nicht anwendbar, denn hier ist Rechtsgrundlage für die Verarbeitung personenbezogener Daten das SchulG NRW und daraus abgeleitete Verordnungen. Schulen können demnach in dem Bereich, wo es um die Erfüllung ihrer Aufgaben als Schule geht, keine Verarbeitung auf der Grundlage einer Interessenabwägung vornehmen.

Die DS-GVO kann durchaus in bestehende datenschutzrechtliche Vorgaben eingreifen, wie das etwa bei der Einschränkung der Einwilligungsfähigkeit von Kindern und Jugendlichen entsprechend Art. 8 Abs. 1 der Fall ist. Sie kann aber keine neuen Erlaubnistatbestände in bestehende Regelungen einführen. Und selbst wenn dieses möglich wäre, so ist von der DS-GVO für den in Frage stehenden Bereich, die Interessenabwägung, nicht einmal vorgesehen.

Personenbezogene Daten mal eben löschen – was ist zu beachten?

Lesezeit: 1 Minute

In Schule ist ganz klar geregelt, was mit personenbezogenen Daten zu geschehen hat, wenn die Person, welche sie betreffen, die Schule verlassen hat und die Aufbewahrungsfristen abgelaufen sind. Für einige Daten ist dieser Zeitpunkt recht früh erreicht, bei Schülern sind beispielsweise die ersten Daten nach fünf Jahren fällig, bei Lehrkräften sogar schon nach nur einem Jahr24Siehe dazu VO-DV I & VO-DV II jeweils §9. Viele Personen haben dann nur noch zwei Begriffe im Kopf, Löschen und Vernichten.

So einfach ist es jedoch nicht, denn es gibt auch eine Pflicht, die Daten der Schule einem Archiv anzubieten. Der Themenbeitrag AUFBEWAHRUNGSFRIST ABGELAUFEN – UND JETZT? setzt sich intensiver mit dem Thema auseinander und erklärt, worauf man achten sollte.

Dürfen Gäste bei Schulveranstaltungen Fotos machen?

Lesezeit: 7 Minuten Vor ein paar Monaten machte sich noch niemand Gedanken, ob es wohl rechtmäßig ist, wenn Besucher bei einer Schulveranstaltung Fotos machen. Es war normal, dass bei Schulfesten, Einschulungsfeiern, Schulentlassungen und ähnlich Eltern die Veranstaltung in in Form von Fotos und teilweise auch Videos festhielten. War das in der Vergangenheit auf einige wenige foto- oder videobegeisterte Eltern beschränkt, so ist heute fast jeder mit dabei. Und anders als früher landen einige der entstandenen Medien auch schnell in sozialen Netzwerken. Man möchte die Freude teilen und die Fotos und Videos auch anderen, die dabei waren, zur Verfügung stellen.
Eltern fotografieren ihre Kinder bei einer Entlassfeier in der Aula der Schule mit ihren Smartphones.
Seit Beginn der Umsetzung der DS-GVO am 25.05.2018 herrscht an mancher Schule herrscht große Unsicherheit, ob die bisherige Praxis so weiter Bestand haben kann, braucht die Schule selbst doch Einwilligungen der Erziehungsberechtigten für das Anfertigen von Fotos von Schülerinnen und Schülern. In Folge untersagten dann Schulen Eltern das Fotografieren bei Schulveranstaltungen. Über die Medien bekannt geworden sind mehrere solche Fälle, z.B. im Raum München, wo eine Schule Eltern das Fotografieren auf dem Schulgelände grundsätzlich verbietet, und in der Lausitz, wo die Schulleitung Teilnehmern der Einschulungsfeier Fotos und Video im Kulturhaus und auf dem Schulgelände untersagt. Auch ein bayrisches Schulamt empfiehlt Schulen, dass Eltern das Fotografieren nicht mehr erlaubt werden soll. Verwiesen wird in allen Fällen auf die DS-GVO. Im Schulamt Cottbus hält man ein generelles Fotografierverbot für nicht angemessen, sieht jedoch die Erfordernis einer vorherigen Einwilligung durch alle Eltern25„Ein generelles Fotografierverbot wäre nicht angemessen und würde bei den Eltern auf Unverständnis stoßen. Um allerdings Fotos machen zu können, bräuchte man das Einverständnis aller Eltern“, sagt Gerald Boese.“ Schulanfang 2018 und die DSGVO – Grundschule verbietet Eltern Fotos bei Einschulungs-Feier und verweist sonst auf die Möglichkeit, Fotos außerhalb der Veranstaltung zu machen.

Die rechtliche Seite

Grundsätzlich kann die Schulleitung durch ihr Hausrecht tatsächlich Besuchern das Anfertigen von Fotos und Videos auf dem Schulgelände untersagen. Doch ist das zur Einhaltung der Vorgaben der DS-GVO tatsächlich erforderlich? Bei der Anfertigung von Fotografien und Videos auf schulischen Veranstaltungen geht es rechtlich um zwei verschiedene Dinge, das Anfertigen selbst und die Veröffentlichung. Der bayrische Datenschutzbeauftragte Thomas Petri sieht kein Problem darin, wenn Eltern Fotos ihrer Kinder anfertigen und andere Kinder auf diesen Fotos als „Beiwerk“ erscheinen. Allerdings macht es, wenn es um das Veröffentlichen in sozialen Netzwerken geht, seiner Meinung nach schon einen Unterschied, ob die Fotos irgendwo entstehen oder in einer Schule.

„Das Veröffentlichen von Fotos, die bei Schulveranstaltungen gemacht wurden, ist etwas heikler: Denn die Schule ist ein besonders geschützter Rahmen. Für das private Familienalbum ist das Fotografieren ok. Anders bei einer Veröffentlichung auf Facebook. Dann müssen Eltern mit Haftungsrisiken leben, wenn sich Eltern anderer mit abgebildeter Kinder gegen die Veröffentlichung zur Wehr setzen.“ 26Datenschutz bei Kindern; Wenn Schulen und Kitas das Fotografieren verbieten, 05.07.2018

Genau in die gleiche Richtung argumentiert auch Thomas Stadler, ein Fachanwalt für IT- Recht, in seinem Beitrag „Fordert der Datenschutz ein Fotografierverbot auf Schulfesten?“ Er sieht keine Erfordernis für ein Verbot, da sich aus der DS-GVO kein solches ableiten lasse. Vielmehr sieht er eine Anwendbarkeit der Datenschutz Grundverordnung in derartigen Fällen für nicht gegeben, wenn die Anfertigung der Fotos ausschließlich persönlichen und familiären Zwecken dient.

Art. 2 Abs. 2 c) DSGVO besagt, dass der Anwendungsbereich der Verordnung nicht eröffnet ist, wenn natürliche Personen personenbezogene Daten zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten erheben. Das trifft auf das Fotografieren auf Schulveranstaltungen zu rein privaten Zwecken unzweifelhaft zu.“

Nicht unerwähnt bleiben soll an dieser Stelle, dass es zu dieser Frage auch andere Sichtweisen gibt. Kevin Leibold, Dipl. Jurist für Datenschutzrecht, IT-Recht und Urheberrecht ist der Meinung, dass die Anfertigung von Fotografien bei Schulfeiern durch die DS-GVO geregelt wird, da sie nicht unter die in Art. 2 Abs. 2c) beschriebene Ausnahme fällt:

„Auch für das Anfertigen der Fotos für bspw Schulfeiern ist mE nicht die Ausnahme nach Art. 2 Abs. 2 lit. c #DSGVO einschlägig. So sieht es auch der EuGH-C-212/13 wonach diese Ausnahme eng auszulegen ist und die Miterfassung des öffentlichen Raumes dies ausschließt #heiseshow“27via Twitter https://twitter.com/kleibold23/status/1024966626792353792

Wie Aussagen des Thüringer Datenschutzbeauftragte Hasse zeigen, vertritt er diese Ansicht nicht alleine und fasst die Vorgaben sogar noch enger28„Da hat der Europäische Gerichtshof einen Riegel vorgeschoben indem er sagt, privat und familiärer Umkreis bedeutet, dass es im familiären und privaten Umkreis desjenigen der die Fotos macht, passiert. Dieser Kreis ist aber verlassen, wenn der Fotografierende oder Videografierende außerhalb dieses Kreises Aufnahmen macht. Also im öffentlichen Verkehrsraum oder dem Nachbargrundstück. Dann braucht man eine Einwilligung. Auch dann, wenn ich diese Bilder nicht veröffentlichen will.“; Kinderfotos schwärzen – muss das sein?; MDR Jump 02.08.2018. Die aktuelle Diskussion tendiert momentan allerdings etwas mehr in Richtung der Auffassung von Herrn Stadler.29Siehe auch die Diskussion auf Twitter, die auf Seite 2 dieses Beitrags wiedergegeben ist. Die Auslegung von Art. 2 Abs. 2c) hat schon viele Experten beschäftigt und füllt seitenlange Kommentare. Im Streitfall wird es dann letztlich eine Entscheidung der Richter sein. Unabhängig davon hat die Veröffentlichung der von Eltern auf Schulveranstaltungen angefertigten Fotos und Videos einen anderen rechtlichen Charakter. Hier ist nach Einschätzung von Thomas Stadler eine Einwilligung der Betroffen auf jeden Fall erforderlich.

„Wer also auf Instagram oder Facebook Fotos veröffentlicht, auf denen Personen zu erkennen sind, muss diese Menschen fragen, bevor er die Fotos postet.“

Im Alltag wird wohl kaum jemand eine solche Einwilligung einholen. In der Regel wird das auch nicht zu Problemen führen, da bei solchen Veranstaltungen fast jeder fotografiert. Dass es eventuell doch einmal zu rechtlichen Folgen kommen kann, ist allerdings nie auszuschließen. Darüber hinaus ist auch das letzte Wort noch nicht gesprochen, was das Kunsturheberrechtsgesetz (KUG) und seine Stellung und Geltung gegenüber der DS-GVO angeht.

Fazit

Für Schulen lässt sich aus den Vorgaben der DS-GVO keine Notwendigkeit ableiten, Eltern, anderen Familienangehörigen Freunden und der Schülerinnen und Schüler das Anfertigen von Fotografien und Videos auf schulischen Veranstaltungen zu untersagen. Schulen stehen hier in keiner diesbezüglichen Pficht. Was schon immer möglich war, ist auch weiterhin möglich. Wer als Besucher einer schulischen Veranstaltung mit familiärer oder freundschaftlicher Beziehung zu den Schülerinnen und Schülern dort Fotos oder Videos anfertigt, sollte jedoch bei der Veröffentlichung in sozialen Medien eine ausreichende Sorgfalt walten lassen. So lassen sich Konflikte mit anderen Personen oder deren Angehörigen vermeiden, wenn diese auf Fotos oder Videos mit auftauchen.

Dürfen digitale Klassenarbeiten auf privaten Lehrerendgeräten gespeichert werden?

Lesezeit: 3 MinutenFolgende Frage wurde gestellt:

„Angenommen eine Kollegin lässt im EDV-Unterricht eine Excel-Tabelle als Leistungsüberprüfung (z.B. Klassenarbeit) erstellen. Diese werden von den SuS im pädagogischen Netz gespeichtert. Da die Kollegin keinen schulischen Arbeitsplatz zur Verfügung hat, möchte sie die Excel-Tabellen gerne am privaten PC bewerten. Darf sie das?“

Wie in der Anfrage bereits festgestellt, werden Klassenarbeiten nicht in der Genehmigung für die Verarbeitung personenbezogener Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken … aufgeführt.

Anlage 3 der VO-DV I führt tatsächlich nur „Leistungsbewertung in den Fächern, in denen die Lehrkraft die Schülerinnen und Schüler unterrichtet“ als zum Datensatz gehörig auf, den Lehrerinnen und Lehrer mit Genehmigung verarbeiten dürfen. Klassenarbeiten selbst gehören in NRW nicht einmal zum Datenbestand der Schule selbst, sondern nur die Noten daraus und die Bewertungen.30 Anders als bei Unterlagen zum sonderpädagogischen Förderbedarf, wo ausdrücklich nur das Ergebnis der Entscheidung verarbeitet werden darf, nicht aber beispielsweise die zugrundeliegenden Gutachten, werden Klassenarbeiten auch an keiner Stelle von der Verarbeitung ausgeschlossen. 31    In Schleswig Holstein zählen Klassenarbeiten zu den von der Schule geführten Akten, die gesondert von der Schülerakte geführt werden. (Siehe dazu §8 „Landesverordnung über die Verarbeitung personenbezogener Daten an öffentlichen Schulen (Schul-Datenschutzverordnung – SchulDSVO)„) 

Für den Fragesteller ergibt sich deshalb die Frage, ob

„Leistungsüberprüfungen überhaupt als personenbezogene Daten im Sinne der Datenschutzgesetzgebung anzusehen sind?“

Gehören die Inhalte von Leistungsüberprüfungen zu den personenbezogenen Daten?

Leistungsüberprüfungen enthalten mit der Namensangabe automatisch personenbezogene Daten, außer sie werden anonym verfasst, etwa um einen allgemeinen Eindruck vom Stand der Lerngruppe zu erhalten. Dem Datum Name lassen sich dann weitere Daten aus dem Inhalt der Leistungsüberprüfung zuordnen: richtig, falsch, Anzahl richtig und falsch, vollständig, unvollständig, ausführlich, knapp, Aufgabe missverstanden, Fehlertypen, usw.. Je nach Aufgabenstellung können etwa auch Meinungen enthalten sein.

Personenbezogene Daten umfassen, laut Artikel 4 DS-GVO und Kommentaren dazu, ohne Einschränkung „alle Informationen“, die sich auf eine Person beziehen und der Begriff ist von daher grundsätzlich weit zu verstehen.32Siehe dazu Klar/Kühling in Kühling/Buchner, Art. 4 Nr. 1 DS-GVO Rn. 8 So fallen darunter auch innere Zustände. Eine Klassenarbeit kann als Ausdruck eines inneren Zustandes gesehen werden. Schüler X verfügt über folgende Kompetenzen/ verweigert die Leistung/hat die Aufgabenstellung nicht verstanden/ lehnt es ab, Tiere zu töten, ….

Das gilt für analoge Klassenarbeiten, wo es noch das zusätzliche Merkmal Handschrift gibt oder vielleicht den typischen Geruch des Heftes (Raucher, Parfüm, ….) wie auch für digitale Klassenarbeiten. Bei digitalen Daten und digitale Klassenarbeiten fallen darunter, ist die DS-GVO noch einmal kritischer. Wenn es um automatisierte Datenverarbeitung geht, worunter schon das bloße Speichern fällt, gibt es kein belangloses Datum.33Siehe dazu Klar/Kühling in Kühling/Buchner, Art. 4 Nr. 1 DS-GVO Rn. 9

Digitale Klassenarbeiten lassen sich darüber hinaus auch digital aus- und mittels entsprechender Algorithmen bewerten, ähnlich wie Daten in einer Lernplattform. Rein technisch gesehen liefert eine Klassenarbeit wie alle von Schülern angefertigten Arbeiten, wie ihr Verhalten, ihre Mitarbeit, … (personenbezogene) Rohdaten, welche Lehrkräfte auswerten und den Schülern zugeordnet in Noten fassen, wodurch sie neue personenbezogene Daten generieren.

In Abgrenzung zu den Sachdaten liegt bei einer Klassenarbeit ein Zweckelement vor, da es möglich ist, die Informationen darin zur Beurteilung einer Person zu nutzen.

Was bedeutet das nun für die Kollegin?

Sie darf, wenn sie sich an die Vorgaben der VO-DV I hält, die von den Schülern bearbeiteten Excel Tabellen nicht auf ihrem privaten Endgerät speichern.

Wie kann man das Problem lösen?

Zwei Möglichkeiten sind denkbar.

  1. Arbeitet die Schule offiziell mit einer Plattform wie Moodle, Office 365 oder ähnlich34        Dazu würde in NRW auch Logineo NRW zählen. und es ist dadurch möglich, die Dateien über Zugriff auf die Plattform von zu Hause aus innerhalb der Plattform anzuzeigen, in einem in die Plattform integrierten Datei Viewer oder im Fall von Office 365 über die Browser Version von Excel, dann ist dieses mit den Vorgaben der VO-DV I vereinbar. Die vorübergehende Speicherung im Cache des Browsers zur Anzeige stellt keine Speicherung bzw. Verarbeitung auf dem Gerät selbst im Sinne der DS-GVO35        Siehe dazu Eßer in Eßer/Kramer/ v. Lewinski Art. 4 Nr. 2 DS-GVO Rn. 43 und Herbst in Kühling/Buchner, Art. 4 Nr. 2 DS-GVO Rn. 24 dar. Die Lehrkraft ist damit nicht der Beschränkung auf die in VO-DV I Anlage 3 aufgeführten personenbezogenen Daten unterworfen.36       Der Lehrkraft sollte eine Genehmigung der Schulleitung zur Verarbeitung personenbezogener Daten aus der Schule vorliegen.
  2. Stellt die Schule USB Sticks37         Diese USB Sticks sollten geschützt sein. Siehe dazu auch den Themen Beitrag: USB Sticks und Datensicherheit zur Verfügung, man speichert die Dateien der Schüler auf diesem USB Stick und öffnet sie von dort aus (also ohne sie auf den Rechner zu kopieren) mit einem kompatiblen Tabellenkalkulationsprogramm, dann ist auch das mit den Vorgaben der VO-DV I vereinbar. Die temporäre Arbeitskopie, wie beispielsweise Excel sie anlegt, wenn man die Datei vom USB Stick öffnet, fällt nicht unter den Begriff der Speicherung38         Siehe dazu ebenfalls Eßer in Eßer/Kramer/ v. Lewinski Art. 4 Nr. 2 DS-GVO Rn. 43 Herbst in Kühling/Buchner, Art. 4 Nr. 2 DS-GVO Rn. 24, die ihrerseits eine Form der Verarbeitung ist. Somit kann man auch auf diesem Wege die Beschränkung auf die in VO-DV I Anlage 3 gelisteten personenbezogenen Daten umgehen, da die Verarbeitung nicht auf dem Gerät selbst stattfindet.39        Der Lehrkraft sollte trotzdem eine Genehmigung der Schulleitung zur Verarbeitung personenbezogener Daten aus der Schule vorliegen.

Übertragen bedeutet das

Es ist zur Beweissicherung auch nicht zulässig, Klassenarbeiten abzufotografieren oder zu Hause einzuscannen, etwa wenn Schüler immer wieder die zurückgegebene, bewertete Arbeiten manipulierten, um der Lehrkraft Fehler zu unterstellen mit dem Ziel, eine bessere Note zu bekommen. Hier bleibt dann nur die Kopie am Kopierer oder das Einscannen über einen schulischen Dokumentenscanner.