Kategorie: NRW

Veröffentlicht am

Datenschutzgesetz NRW – dauert noch (ein paar Tage)

Lesezeit: 2 Minuten

Schon erstaunlich, dass die Übergangsfrist von zwei Jahren in NRW scheinbar kaum genutzt wurde, um das alte Datenschutzgesetz NRW auf die Vorgaben der Europäischen Datenschutz Grundverordnung anzupassen. Die 1. Lesung zum neuen Datenschutzgesetz fand Anfang März diesen Jahres statt. Am 16.05.2018 soll nun die 2. Lesung stattfinden. Wie aus dem Beratungsverlauf ersichtlich und den Stellungnahmen, sind zahlreiche öffentliche Stellen und Interessengruppen am Gesetzgebungsverfahren beteiligt. Die LDI NRW ist mit der Umsetzung ihrer Vorschläge wohl nicht völlig einverstanden. Es sieht aber trotz allem sehr danach aus, als werde es am ersten Entwurf keine großen Veränderungen mehr geben. Entsprechend empfielt der Hauptausschuss des Landtags den Parteien, mit ihren Stimmen den Gesetzes entwurf mit dem Namen Drucksache 17/1981 anzunehmen.

Für Schulen gibt es im Gesetzesentwurf eine interessante Stelle, die man kennen sollte.

§ 28 Befugnisse
(2) Kommt die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit zu dem Ergebnis, dass Verstöße gegen die Vorschriften dieses Gesetzes oder gegen andere Vorschriften über den Datenschutz oder sonstige Mängel bei der Verarbeitung personenbezogener Daten vorliegen, kann sie oder er diese

3. …. bei öffentlichen Schulen der Leitung der Schule  …

beanstanden und kann vor Ausübung der Befugnisse des Artikels 58 Absatz 2 Buchstabe b bis g, i und j der Verordnung (EU) 2016/679 Gelegenheit zur Stellungnahme innerhalb einer angemessenen Frist geben. In den Fällen von Satz 1 Nummer 2 bis 4 unterrichtet die oder der Landesbeauftragte für Datenschutz und Informationsfreiheit gleichzeitig auch die zuständige Aufsichtsbehörde.
Von der Einräumung der Gelegenheit zur Stellungnahme kann abgesehen werden, wenn eine sofortige Entscheidung wegen Gefahr im Verzug oder im öffentlichen Interesse notwendig erscheint oder ihr ein zwingendes öffentliches Interesse entgegensteht.

Die Aufsichtsbehörde des Landes NRW, also die Landesbauftragte für Datenschutz und Informationsfreiheit, hat demnach auch die Möglichkeit,

i) eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,

Es kann aber sicher davon ausgegangen werden, dass hier schon extreme Fälle von Verstößen gegen das Datenschutzgesetz vorliegen müssen und dass die Schulleitung keinerlei Einsicht zeigt und Willen, den Problemen abzuhelfen.

Das alles ist nicht komplett neu, fand sich im alten Datenschutzgesetzt nur auf verschiedene Stellen verteilt § 24 Beanstandungen durch den Landesbeauftragten und § 34 Ordnungswidrigkeiten.

Eingreifen kann die LDI NRW auch, wenn eine Schule ihren Pflichten nach dem Informationsfreiheitsgesetz NRW nicht nachkommt. Hier allerdings gehen die Maßnahmen nicht über die Möglichkeiten hinaus, eine Stellungnahme anzufordern.

Veröffentlicht am

Nicht wirklich Neues in Bezug auf die Genehmigung für Privatgeräte in NRW

Lesezeit: 3 Minuten

Heute fanden die Schulen in NRW das angekündigte E-Mail von Staatssekretär Richter in ihren Postfächern. Wirklich Neues bringt dieses Mail nicht. Im Wesentlichen gibt es das wieder, was am 24.04.2018 gesagt wurde. Das E-Mail, welches unter [02.05.2018] Dienstanweisung für die automatisierte Verarbeitung von personen-bezogenen Daten in der Schule – BASS 10-41 Nr.4 nachzulesen ist, greift noch einmal die verschiedenen Punkte auf und spielt dabei die mit der Genehmigung verbundenen Probleme für Lehrkräfte etwas herunter. Entsprechend heißt es:

“Ich möchte Ihnen gegenüber versichern, dass die DA ADV keine neuen Standards setzt. Sie begründet keine neuen rechtlichen Verpflichtungen oder gar Verschärfungen im Datenschutz, sie gibt lediglich die aktuelle Rechtslage wieder. Die neugefasste DA ADV soll erklären und unterstützen.”

An anderer Stelle heißt es dann “der Genehmigungsvordruck ist eine Hilfestellung“. Von vielen Lehrkräften wird das nicht so empfunden. Sicher ist es richtig, dass Vorgaben vom Datenschutz einzuhalten sind, doch als Hilfe lässt sich die Genehmigung schwer verstehen, vor allem nicht, wenn von der Erfüllung der Vorgaben und dem Nachweis dessen abhängt, ob Land oder Lehrer haftet.

Interessant ist folgender Passus bezüglich der Kontrollfunktion der Schulleitung:

“Die geregelten Nachweispflichten beinhalten selbstverständlich nicht die Verpflichtung der Schulleitung, die privaten Endgeräte jeder einzelnen Lehrkraft persönlich zu überprüfen. Das wäre gar nicht leistbar.”

Das klang zeitweise anders. Stattdessen wird wieder auf die schulischen Datenschutzbeauftragten (DSB) verwiesen:

“Die dokumentierten Angaben sind zudem von der bzw. von dem zuständigen behördlichen Datenschutzbeauftragten an Schulen zu prüfen, insbesondere daraufhin, ob zu den erforderlichen Maßnahmen zur Datensicherheit abweichende Angaben erfolgt sind, die einer Genehmigung entgegen stehen könnten.”

Abweichende Angaben zu den erforderlichen Maßnahmen zur Datensicherheit, die sollen die DSB prüfen und feststellen, ob sie einer Genehmigung entgegenstehen. Auch für DSB ist eine solche Beurteilung schwierig, vor allem wenn sich die Angaben im Formular zum Gerät, für welches eine Genehmigung eingeholt werden soll, auf Seriennummer und Gerätename beschränken. Für eine solche Prüfung ist mehr erforderlich, z.B. der genaue Gerätetyp, am besten mit Modelljahr (vor allem bei Android Geräten wichtig) und die OS Version. Nach der Handreichung zur Genehmigung sind bei bestimmten Gerätetypen Abweichungen von den Vorgaben der Genehmigung in Teil B möglich, etwa weil sich bei iOS kein zweiter Nutzer einrichten lässt oder dort kein Virenschutz erforderlich ist.

Alte Genehmigungen gelten weiterhin,

“Ausdrücklich darauf hinweisen möchte ich, dass in der Vergangenheit erteilte Genehmigungen weiterhin Bestand haben. Die Neufassung der DA ADV löst keinen neuen Handlungsdruck aus.”

An den verschiedenen Schulen sind über die Jahre höchst unterschiedliche Genehmigungsformulare unterwegs gewesen. Viele dürften in ihrer Anlage weit von den Vorgaben entfernt sein, welche die neue Genehmigung verbindlich vorgibt.

In der VO-DV I, §2 Abs. (2) heißt es zu den Voraussetzungen für eine Genehmigung,

“bedarf der schriftlichen, ein Verfahrensverzeichnis gemäß § 8 DSG NRW enthaltenden Genehmigung […] Die Genehmigung darf nur erteilt werden, wenn […] ein angemessener technischer Zugangsschutz nachgewiesen wird.”

Was das MSB sich unter einem angemessenen technischen Zugangsschutz vorstellt, ist nicht weiter präzisiert und lässt so Spielraum für Interpretation. Für ein Verfahrensverzeichnis sind im DSG NRW Vorgaben gemacht, was enthalten sein sollte. Aber auch da ist ein gewisser Spielraum, wie genau dieses ausgestaltet ist. Das sieht man am alten vom LDI NRW erstellten Genehmigungsformular wie an der neuen Genehmigung.

Die alten Genehmigungen dürfen somit unbegrenzt weiter genutzt werden. Was die Schulleitung unter einem angemessenen technischen Zugangsschutz versteht, bleibt dem eigenen Gutdünken der jeweiligen Schulleitung überlassen. Wer eine Genehmigung hat, darf sich also freuen. Lehrkräfte, die neu an eine Schule kommen, müssen leider das neue Formular nutzen.

An der Haftungsfrage, welche sich für Lehrkräfte mit dieser Genehmigung verbindet, hat sich leider auch mit diesem E-Mail nichts geändert. Schade.

Für die Lehrkräfte und Schulleitungen, welche nun mit der neuen Genehmigung arbeiten müssen, verspricht der Staatssekretär weitere Information auf der Plattform des Landes.

Auch mit dem Thema Dienstgeräte will man sich von Seiten des Landes auseinandersetzen. Das Feld ist schwierig und man wird sehen, was sich daraus ergibt.

Mehr Erfolg werden vermutlich Bemühungen der Landesregierung NRW haben, wenn es um die Ausstattung mit weiteren Verwaltungsrechnern für die Schulen geht, an welchen Lehrkräfte arbeiten können.

Veröffentlicht am

Das MSB NRW kommt Schulen bei Genehmigung für Privatgeräte entgegen

Lesezeit: 2 Minuten

Die Genehmigung mit dem langen Namen1Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gemäß § 2 Absatz 2 VO-DV I/§ 2 Absatz 4 VO-DV II hatte in der Zeit nach der Veröffentlichung im Februar 2018 für eine Menge Verunsicherung und Unmut in den Schulen gesorgt. Nachdem das Ministerium lange kein Problem in der Genehmigung sehen wollte, gab es nun am 24.04.2018 ein Gespräch des Schulministeriums mit Lehrerverbänden, Gewerkschaft und Schulleitervereinigungen. Thema war „Datenverarbeitung in Schulen“.

In der Dienstanweisung heißt es:

“Die Verarbeitung personenbezogener Daten für dienstliche Zwecke auf privaten ADV-Anlagen von Lehrkräften ist nur mit schriftlicher Genehmigung der Schulleiterin oder des Schulleiters zulässig. Es gilt § 2 Absatz 2 mit Anlage 3 der VO-DV I. Für die Genehmigung ist der als Anlage beigefügte Genehmigungsvordruck zu verwenden.”2Dienstanweisung für die automatisierte Verarbeitung
von personenbezogenen Daten in der Schule

Das wurde mehrheitlich so verstanden, dass die alten Genehmigungen nicht länger Gültigkeit besitzen. Anders als in den alten Genehmigungen, sind in der neuen sehr deutliche Vorgaben gemacht, was Lehrkräfte leisten müssen, um die Sicherheit der verarbeiteten Daten auf ihren privaten Geräten zu gewährleisten. Dazu kam noch die Frage der Haftung.

“Sofern Sie die hier aufgeführten Maßnahmen zum Schutz der Daten einhalten, ist eine Haftung für Sie ausgeschlossen.”

Für viele war das dann der Punkt, die Unterschrift zu verweigern. Selbst die LDI NRW riet den Schulleitungen davon ab, den Lehrkräften die Genehmigung zu erteilen, da sie eine Beurteilung, ob eine Genehmigung aufgrund der von der Lehrkraft gemachten Angaben, nicht leisten könne.

Das Gespräch sorgte dann am 24.04.2018 für Entspannung. Der Philologen-Verband NRW hat die Ergebnisse zusammengefasst. Drei Informationen sind bezüglich der Genehmigung dabei von Bedeutung:

  1. Es gibt keine Frist, bis wann Lehrkräfte die Genehmigungen unterzeichnen müssen.
  2. Die alten Genehmigungen behalten weiter ihre Gültigkeit (und müssen demnach nicht durch die neue ersetzt werden).
  3. In den letzten 30 Jahren wurde laut MSB in NRW keine Lehrkraft wegen unsachgemäßen Umgangs belangt wurde.

Das MSB sieht die Haftungsfrage der Genehmigung scheinbar sehr entspannt, weil man mit Blick auf die Vergangenheit mit keinen Problemen durch Datenschutzverletzungen rechnet. Man darf sich dann aber die Frage stellen, warum man die Haftung überhaupt in die Genehmigung aufgenommen hat.

In Österreich brauchen sich Schulen als öffentliche Stellen in Bezug auf das Thema Haftung übrigens vorerst keine Sorgen machen, denn dort wurde jetzt in einer Gesetzesnovelle beschlossen, dass gegen Behörden und öffentliche Stellen keine Geldbußen verhängt werden können.3Keine Strafen: Österreich zieht neuem Datenschutz die Zähne

Interessant im Zusammenhang mit der Genehmigung ist noch der letzte Punkt in der Zusammenfassung des Philologenverbandes:

“Gegebenenfalls wird zum Umgang mit der Dienstanweisung die für Ende Mai 2018 zu erwartende Europäische Datenschutzverordnung einbezogen.”

Hier muss man nun abwarten, ob sich durch die Umsetzung der DS-GVO noch etwas ändern wird beim Umgang mit der Dienstanweisung.

Ein Dienstmail soll, laut Staatsekretär Richter im WDR4WDR 5 Westblick 24.04.2018, den Schulen in NRW am 25.04. 5Das war dann wohl nichts. Aus dem 25.04. wurde nichts. In einem anderen Interview sprach Staatssekretär Richter dann auf einmal von “in einigen Tagen”detaillierte Informationen dazu geben, was die Anwendung der Genehmigung betrifft und wie sie zu verstehen ist. Fakt ist aber, die Dienstanweisung gilt, die Schulen erhalten im Umgang mit der Genehmigung jedoch mehr Handlungsspielraum.

Update

Mittlerweile hat sich auch der VBE zum Treffen vom 24.04.2018 geäußert. Im Wesentlichen gibt man im Rundmail an die Mitglieder das wieder, was auch der Philologen-Verband NRW aufgeführt hatte. Ganz in meinem Sinne ist am Ende die Forderung

Die unterstützende Nutzung privater Endgeräte muss über ein pragmatisches datenschutzkonformes Verfahren erlaubt werden. Eine allgemeine Verpflichtungserklärung zur Einhaltung des Datenschutzes sollte ausreichen.

Vor allem der zweite Satz ist dabei wichtig. Die Haftung kann weg.

Veröffentlicht am

Berichtigung in den Tipps zur Genehmigung für die Verarbeitung schulischer Daten auf Privatgeräten von Lehrkräften

Lesezeit: < 1 Minute

Im Austausch mit meinen Kollegen und Kolleginnen schulische  Datenschutzbeauftragte kam auch das Thema der Gültigkeit der Genehmigung mit dem endlos langen Namen ( Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gem. § 2 Abs.2 VO-DV I / § 2 Abs.4 VO-DV II) auf. So wie ich es verstanden und in meinen Tipps aufgeschrieben hatte, ist sie auf die Person der Schulleitung bezogen. Das stimmt, wie aus dem Referat 212 des MSB NRW zu erfahren war, so nicht.

Es gibt da ein Verwaltungsverfahrensgesetz für das Land Nordrhein-Westfalen, kurz VwVfG NRW. Und nach diesem behält die Genehmigung bei einem Wechsel der Schulleitung ihre volle Gültigkeit und Wirksamkeit.

In den Tipps ist es geändert. Wer sich die Tipps ausgedruckt hatte, sollte die Seite 20 neu ausdrucken und austauschen. Sollte jemand weitere Fehler finden, bitte über einen Kommentar anmerken.

Veröffentlicht am

Datenschutz Tipps & Antworten für Lehrkräfte, die schulische personenbezogenen Daten auf Privatgeräte verarbeiten wollen

Lesezeit: 2 Minuten

Lange Zeit hat sich niemand wirklich Gedanken gemacht, ob es in Ordnung ist, dass eine Lehrkraft die personenbezogenen Daten von Schülern auf ihren privaten Rechnern verarbeitet haben. Wie so viele andere Dinge im Lehreralltag hat man das einfach gemacht. Niemand fragte danach. Genehmigungen wären hier eigentlich schon seit Jahren erforderlich gewesen. An vielen Schulen wusste man davon nichts oder setzte diese Vorgabe nicht um. In NRW hat das Thema mit der Dienstanweisung einen verbindlichen Charakter erhalten. Die   Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken
auf privaten ADV-Anlagen von Lehrkräften gem. § 2 Abs.2 VO-DV I / § 2 Abs.4 VO-DV II  ist für alle Schulen verbindlich. Aber auch in anderen Bundesländern geht ohne Genehmigung nichts.

Die Vorgaben aus der Genehmigung sind orientiert an den technisch organisatorischen Maßnahmen zum Schutz der Daten, die für jede Verarbeitung von personenbezogenen Daten und von denen von Schülerinnen und Schüler insbesondere gelten.

Das Problem ist die Umsetzung dieser Vorgaben. Vielen Lehrkräften fällt das schwer. Deshalb habe ich in Orientierung am Teil B – Datensicherheit – des Genehmigungsformulars aus NRW eine Übersicht erstellt, die angibt, was zu tun ist, wenn man sein Gerät, ob Windows, Mac OS, Linux, iOS oder Android möglichst sicher machen möchte im Sinne der Vorgaben. Die Übersicht ist ein Google Doc mit dem Namen Tipps & Antworten für die Praxis . Das Dokument kann weitergenutzt werden und steht dafür unter einer Creative Commons Attribution 4.0 International Lizenz. Als Urheber ist zu nennen datenschutz-schule.info.

Die FAQ im zweiten Teil bezieht sich auf die Genehmigung aus NRW. Alles andere ist auch in anderen Bundesländern sinnvoll, wenn man als Lehrkraft sicher arbeiten möchte. Das Dokument werde ich versuchen, aktuell zu halten.

Veröffentlicht am

Gelten Löschfristen für Schüler- & Lehrerdaten auch für Schild-NRW?

Lesezeit: 2 Minuten

Schild-NRW ist ein Schulverwaltungsprogramm und es basiert auf einer Datenbanklösung. Jahr für Jahr werden neue Schüler mit den personenbezogenen Daten in das Programm eingepflegt, die früher nur auf dem Schülerstammblatt eingetragen waren. Leistungsdaten kommen zu den Halbjahreswechseln zur Erstellung der Zeugnisse hinzu. Jahr für Jahr wird ein Schuljahreswechsel durchgeführt. Schüler, welche die Schule verlassen, werden entsprechend markiert und verschwinden in den Tiefen der Datenbank.

In der Schulgesetzgebung sind Löschfristen für Schülerdaten (§ 9 Abs. 1 und 2 VO-DV I) und Lehrerdaten (§ 9 VO-DV II) vorgegeben.

Bei Text Dateien sind diese Löschfristen einfach einzuhalten. Baut man auf dem Verwaltungsserver ein Dateisystem mit Jahresbezeichnungen auf, kann man leicht sehen, wann welche Dateien zur Löschung fällig sind, ob es sich um PDF Kopien von Zeugnissen handelt oder Beurteilungen von Lehrkräften. Wie aber sieht das in der Datenbank von Schild-NRW aus?

Aktuell haben die ältesten Schülerdaten in den Schild-NRW Datenbanken von Schulen die Löschfrist von 20 Jahren für Schülerstammblätter noch nicht erreicht, das das Programm noch nicht einmal so alt ist. Bei Lehrerdaten ist die  maximale Löschfrist von 5 Jahren jedoch schon erreicht.

Im Forum zu Schild-NRW gab es einen Eintrag, der eine Perspektive aufzeigt. Unter dem Thread “Schild-NRW / Allgemeines / Re: EU-Datenschutzverordnung – Löschen alter Daten?1Die Beiträge sind mittlerweile nicht mehr verfügbar. hieß es in einer Antwort auf eine entsprechende Frage:

Wir werden auf jeden Fall Funktionen zur Einhaltung der Löschfristen bereitstellen. Wenn man sich die VO-DVI jedoch genau ansieht, dann sind die Löschfristen für bestimmte Daten sehr lang. Schülerstammblätter z.B. 20 Jahre. Unsere Software ist noch gar keine 20 Jahre alt und die beim Schüler hinterlegten Daten werden u.U. alle zum Nachdruck eines Stammblattes benötigt. Aus unserer Sicht ist eine Löschung also noch gar nicht notwendig. Im Sinne der Datensparsamkeit, werden wir aber solche Löschfunktionen früher einführen….

Das klingt gut. Was die Daten der Lehrkräfte angeht, bedeutet es jedoch vorerst noch Handarbeit, wenn man die Daten abgegangener Lehrkräfte nach 5 Jahren fristgerecht löschen will.

Hinweis

Die Löschfristen gelten auch für die angefertigten Sicherungen von Schild-NRW. Da bisher alle jemals erfassten Daten in der Datenbank gespeichert bleiben, müssen Sicherungsdateien, die älter sind als 5 Jahre gelöscht werden, um die darin gespeicherten Lehrerdaten von abgegangenen Lehrkräften fristgerecht zu löschen.

Stand 06/2023

Veröffentlicht am

Welche personenbezogenen Daten von Lehrkräften dürfen OHNE Einwilligung auf die Schulhomepage?

Lesezeit: 2 Minuten

Viele Schulen möchten auf ihrer Schulhomepage über das Schulpersonal und dessen Funktionen informieren, so dass jeder weiß, an wen er sich wenden kann. Dabei herrscht aber oft Unsicherheit, ob es dafür einer Einwilligung der Betroffenen bedarf. Die eine oder andere Lehrkraft möchte nicht namentlich auf der Schulhomepage genannt werden. Wie sieht die rechtliche Seite aus? Die folgenden Aussagen beziehen sich auf NRW. In anderen Bundesländern, vor allem denen ohne ein Informationsfreiheitsgesetz können andere Regelungen gelten.

In einer FAQ für den Lehrerrat des Philologen-Verband NW heißt es dazu:

In Nordrhein-Westfalen gestatten die §§ 12 und 9 Absatz 3 Informationsfreiheitsgesetz Nordrhein-Westfalen (IFG NRW) die Veröffentlichung von Namen, Titeln, akademischen Graden, Berufs- und Funktionsbezeichnungen, Büroanschriften und dienstlichen Rufnummern sowie dienstlichen E-Mail-Adressen der Lehrkräfte und des sonstigen Schulpersonals ohne deren Einwilligung, sofern keine schutzwürdigen Belange entgegenstehen. Gleichwohl sind die Betroffenen vor einer Veröffentlichung zu informieren. Das IFG NRW gilt im Übrigen nur für öffentliche Schulen in Nordrhein-Westfalen.

Das Informationsfreiheitsgesetz Nordrhein-Westfalen (IFG) gilt auch mit dem Inkrafttreten der DS-GVO weiterhin nahezu unverändert.

Von Seiten der LDI NRW gibt es ein Schreiben von 2017 (Az.LDI:212.4.1.1-4248/16)1, in welchem auch die Veröffentlichung der Daten von Lehrkräften auf der Schulhomepage thematisiert wird. Das Schreiben ist hinterlegt bei http://docplayer.org/, die sich u.A. über Google Werbung finanziert. Entsprechende Cookies und Tracker werden dort genutzt!.

Nach Einschätzung der LDI NRW ist es im Rahmen des Informationsfreiheitsgesetz NRW möglich “Übersichten über Aufgaben- und Funktionszuweisungen innerhalb des Lehrerkollegiums grundsätzlich zu veröffentlichen, wenn der Veröffentlichung nicht im Einzelfall ausnahmsweise – eng auszulegende – schutzwürdige Belange einer betroffenen Lehrerin oder eines Lehrers entgegenstehen.” Außerdem heißt es “Gemäß § 12 Satz 3 IFG NRW hat die Veröffentlichung der Übersichten – soweit möglich – elektronisch (also ggf. via Internet) zu erfolgen. Nach Maßgabe des § 9 Abs. 3 IFG NRW dürfen dabei Namen, Titel, akademischer Grad, Berufs- und Funktionsbezeichnung und ggf. dienstliche Erreichbarkeit (dienstliche Telefonnummer sowie ggf. dienstliche E-Mail-Anschrift) genannt werden, ohne dass es hierzu einer Einwilligung der Betroffenen bedarf. Neben den bereits angesprochenen Übersichten über Aufgaben- und Funktionszuweisungen können auch Stundenpläne mit den jeweils unterrichtenden Lehrkräften veröffentlicht werden.” Auch die LDI NRW empfiehlt, die Betroffenen vorab zu informieren, um “etwaige schutzwürdige Interessen, die nach § 9 Abs. 3 IFG NRW einer Veröffentlichung ausnahmsweise entgegenstehen können, geltend zu machen.

Das heißt also, wenn eine Schule auf ihrer Homepage über das Kollegium und anderes Schulpersonal informieren möchte, dann kann sie dieses ohne deren Einwilligung tun, wenn sie dabei drei Dinge beachtet:

  1. Sie hält sich an die Vorgaben und veröffentlicht nur die nach dem IFG zugelassenen personenbezogenen Daten.
  2. Sie beachtet dabei schutzwürdige Belange der betroffenen Personen.
  3. Sie informiert die Betroffenen vor der Veröffentlichung.

Fotos gehören nicht zu den durch das IFG für eine Veröffentlichung zugelassenen personenbezogenen Daten. Hierfür ist eine gesonderte Einwilligung erforderlich, die natürlich auch verweigert oder ohne Angabe von Gründen widerrufen werden kann.

Steht also auf einer Schulhomepage eine Beschreibung wie:

Johanna Schneider
Oberstudienrätin
Unterstufenkoodinatorin
Klassenlehrerin 8e
dienstliche E-Mail: johanna.schneider@mustergymnasium.de
dienstliche Telefonnummer: 02781-85 5033

dann ist dieses durch das IFG NRW abgedeckt und es bedarf keiner Einwilligung hierfür.

Mit folgendem Informationsschreiben können Lehrkräfte vorab informiert werden:

Bitte passen Sie das Schreiben entsprechend der Gegebenheiten Ihrer Schule an.

Zum Thema Digitale Stunden- und Vertretungspläne gibt es einen separaten Beitrag.

Stand 09/2022

Veröffentlicht am

Wenn Schülerdaten auf dem Sperrmüll landen

Lesezeit: 2 Minuten

Lehrkräfte verarbeiten seit vielen Jahren persönliche Daten von Schülerinnen und Schülern auf ihren privaten Endgeräten. Kaum einer hat sich da viele Gedanken gemacht. An vielen Schulen lief das ohne eine spezielle Genehmigung durch die Schulleitung ab. Entsprechend waren viele Lehrkräfte auch nicht sensibilisiert für das Thema Datenschutz.

Was passieren kann, wenn eine Lehrkraft den Datenschutz vernachlässigt, zeigte vor einigen Jahren exemplarisch ein Fall in Köln. Hier hatte ein Mann auf dem Trödelmarkt eine gebrauchte Festplatte für drei Euro gekauft. Zu Hause fand er auf der Festplatte Zeugnisse, Gutachten zur Feststellung des sonderpädagogischen Förderbedarfs und Klassenfotos von Schülern einer Grundschule aus einer Nachbarkommune. Im Falle eines solchen Gutachtens von 2009 fanden sich dabei auch Namen, Adresse und Telefonnummer der Eltern.

Wie war es dazu gekommen? Der Ehemann einer Grundschullehrerin hatte den alten PC entsorgen wollen und in den Sperrmüll gegeben. Daran, dass noch Daten auf dem Rechner sein könnten, hatte er nicht gedacht.

Aus Sicht des Datenschutzes ist dieser Fall in mehrfacher Hinsicht problematisch.

  1. Die Grundschullehrerin hätte Fördergutachten mit persönlichen Daten niemals auf ihrem privaten Endgerät verarbeiten dürfen. Das widerspricht den datenschutzrechtlichen Vorgaben in NRW (Siehe VO-DV I).
  2. Auch Adressdaten durften 2009 nicht auf privaten Endgeräten verarbeitet werden.
  3. Die Daten sind durch Unachtsamkeit in fremde Hände gelangt und hätten im Prinzip überall landen können, um später wieder aufzutauchen und möglicherweise zu Problemen führen können für Betroffene.
  4. Auch die Fotos waren vermutlich ohne Einwilligung und Genehmigung auf dem privaten Rechner gespeichert.

Wie hätte man richtig gehandelt?

  1. Das Fördergutachten hätte ohne persönliche Daten verfasst werden müssen, um es dann in der Schule an einem Verwaltungsrechner mit den persönlichen Daten zu ergänzen.
  2. Vor der Entsorgung hätte die Festplatte des PC datenschutzgerecht gelöscht werden müssen. Alternativ hätte man sie ausbauen können, um sie zu verwahren.

Sollten Betroffene sich in dem Zeitungsbericht von 2015 erkannt haben, wäre eine Klage wegen Verletzung des Rechts auf informationelle Selbstbestimmung möglich. Die Strafen könnten dabei recht hoch ausfallen für die Lehrerin. Unter Umständen könnte so ein Fall auch rechtliche Konsequenzen für die Schulleitung nach sich ziehen.

Quelle: Datenschutz Schülerdaten für drei Euro vom Trödel gekauft, KSA, 05.08.2015

Veröffentlicht am

LDI NRW spricht sich gegen die Genehmigung der Verarbeitung schulischer Daten auf privaten Endgeräten von Lehrkräften aus

Lesezeit: < 1 Minute

Aktuell ist die Verunsicherung unter Lehrkräften und Schulleitungen in NRW groß, was die mit der Dienstanweisung vom 19.01.2018 verbindlich eingeführte Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken
auf privaten ADV-Anlagen von Lehrkräften gem. § 2 Abs.2 VO-DV I / § 2 Abs.4 VO-DV II  angeht. Jetzt hat sich auch die Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI), Helga Bock, eindeutig zu dieser Genehmigung positioniert.

Helga Bock, die Datenschutzbeauftragte, stellte gegenüber dieser Redaktion klar, dass die Schulleitungen dafür verantwortlich seien, dass sensible Informationen über Schüler geschützt sind. Weil aber die Risiken bei privaten Lehrer-Computern sehr groß seien, könnten die Schulleitungen gar nicht alle Sicherheitsaspekte überschauen und dürften daher die Nutzung nicht genehmigen.

Entsprechend gibt es für sie nur eine Lösung. Sie wird mit den Worten zitiert:

“Dienstliche Geräte zur ausschließlich dienstlichen Nutzung bereitstellen.”

Quelle: Westfalenpost, 22.03.2018

Stolz präsentiert von WordPress