Kategorie: Schule NRW

Veröffentlicht am

DS-GVO – Datenschutz – welche Baustellen sind für Schulen aktuell wichtig?

Lesezeit: 6 Minuten

Mit Beginn der Umsetzung der Datenschutz Grundverordnung (DS-GVO) im Mai diesen Jahres begann für viele Schulen eine Zeit mit großen Unsicherheiten. Kann mir als Schule etwas passieren? Wo muss etwas getan werden? Sind Abmahnungen und Bußgelder in Millionenhöhe eine Gefahr und wie kann ich sie vermeiden? Vor allem die Homepages der Schulen wurden vielfach zum Sorgenkind, da sich hartnäckig Gerüchte über Abmahnungen für fehlende Datenschutzerklärungen und Datenerhebungen ohne Einwilligung hielten. Auch was Fotografien angeht, war und ist die Unsicherheit groß, wie Beispiele mit Fotoverboten bei Entlass- und Einschulungsfeiern und Massenlöschungen von Bildern auf Schulhomepages zeigen.

Mittlerweile hat sich die Aufregung gelegt. Manches wird klarer. Einige Reaktionen an Schulen waren vielleicht etwas übereilt und teilweise auch völlig überzogen, wenngleich verständlich und nachvollziehbar. Bei aller Aufregung um die Datenschutz Grundverordnung sollte jedoch nicht vergessen werden – im schulischen Alltag funktioniert der Datenschutz bisher mehrheitlich gut, und daran hat sich seit Mai diesen Jahres auch nichts geändert.

Nichts wird so heiß gegessen, wie es gekocht wird. Das gilt hier ebenso. Ganz sicher gibt es an fast jeder Schule Optimierungsbedarf beim Datenschutz, doch Schulen haben genug andere, drängendere Probleme zu bewältigen. Die folgende Übersicht soll vermitteln,  wo zeitnah Handlungsbedarf besteht und bei welchen Datenschutzthemen man es ruhiger angehen lassen kann.

Einwilligungen

Sie stellen das vermutlich dringlichste Thema dar, denn eine Schule muss nachweisen können, dass eine Einwilligung vorliegt, wenn personenbezogene Daten verarbeitet werden, die nicht auf gesetzlicher Grundlage (SchulG NRW, DS-GVO I & II) erhoben wurden. Nur so kann sie sich vor rechtlichen Folgen schützen. Alte Einwilligungen können, wenn sie gewisse Vorgaben erfüllen, weiter genutzt werden. Trifft das nicht zu oder es gibt gar keine Einwilligungen, sollte man mit gesundem Menschenverstand abwägen, ob es Sinn macht, die Einwilligung zu erneuern bzw. nachträglich einzuholen. Sind die Betroffenen noch Schüler bzw. Beschäftigte der Schule, sollte man auf jeden Fall aktuelle Einwilligungen dieser Personen haben, wenn es um neue Fotografien und Videos geht. Auch bei Zweckänderungen in der Verarbeitung von bereits erhobenen personenbezogenen Daten sollte man sich entsprechend durch eine Einwilligung absichern. Geht es um Bilder oder Berichte auf der Schulhomepage, die Personen sind nicht mehr an der Schule, haben sich aber nie beschwert, so belässt man die Dinge wie sie sind. Sollte irgendwann doch einmal ein Betroffener eine Löschung wünschen, kommt man dieser nach und das Thema ist damit in der Regel erledigt. Dass sich hieraus ein Rechtsstreit ergibt ist mit der DS-GVO nicht wahrscheinlicher geworden als zuvor.

Einwilligungen stehen hier an erster Stelle, da Betroffene vor Gericht auf Schadensersatz klagen können, wenn die Schule personenbezogene Daten ohne ihre Einwilligung verarbeitet und diese z.B. auf der Schulhomepage veröffentlicht oder an Dritte übermittelt.

Risiken minimieren

Auch wenn es insgesamt gut bestellt ist um den Datenschutz in der Schule, so beobachtet man doch immer wieder Praktiken, die riskant sind und zu viel Ärger und empfindlichen Strafen führen können, wenn es dann doch einmal schief geht. Gemeint sind folgende Bereiche:

  1. Keine personenbezogenen Daten per E-Mail versenden, wenn das E-Mail nicht verschlüsselt ist. Der Schulträger, die Verkehrsbetriebe oder eine andere Stelle benötigt eine Liste mit Teilnehmern oder das Schulamt fragt an wegen eines Schülers. Tabellen und Word Dokumente werden dann schnell verschickt. Es ist einfach und bequem – aber extrem unsicher! Auch wenn es mehr Arbeit macht, nutzen Sie einen sicheren Weg und wenn es per Brief ist oder Fax – falls Sie nicht in der Lage sind, E-Mails zu verschlüsseln.
  2. Transport von personenbezogenen Daten nur auf gesicherten Datenträgern! Einen USB Stick hat man schnell verloren, eine externe Festplatte bleibt auch einmal wo liegen. Ungesichert kann jeder den Inhalt auslesen. Falls man selbst keinen USB Stick verschlüsseln kann – es gibt solche mit integrierter Verschlüsselung. Sie kosten zwischen 20 und 30 € und sind einfach zu nutzen und sicher.
  3. Keine Aufnahmen von Schülerinnen und Schülern mal eben so! Es gibt viele schöne Projekte im Unterricht, wo es passend scheint, Aufnahmen zu anzufertigen, Bewegungsanalysen im Sportunterricht, ein Sketch im Fremdsprachunterricht und ähnlich. Auch wenn die Schüler nichts dagegen haben, sichert man sich besser durch eine Einwilligung ab. Man kann dieses bei der Anmeldung an der Schule machen oder später anlassbezogen nachholen. Besondere Anlässe benötigen immer eine anlassbezogene Einwilligung!
  4. Vor Veröffentlichung von personenbezogenen Daten – insbesondere Fotos und Videos – vergewissern, dass eine Einwilligung vorliegt! Wenn es an ihrer Schule Schüler oder Lehrkräfte gibt, die eine Einwilligung für die Veröffentlichung von personenbezogenen Daten generell oder bestimmten Formen (z.B. Fotos) nicht gegeben oder diese widerrufen haben, gehen sie vor jeder Veröffenlichung sicher, dass hier kein Fehler gemacht wird, denn dieses kann teuer werden. Wer nicht einwilligt oder eine Einwilligung widerruft, wird mit Sicherheit auf seinem Recht bestehen, auch vor Gericht.
  5. Melden sie ihre Schüler nicht mal einfach so auf irgendeiner Plattform an! Solange eine Plattform ohne Anmeldung mit personenbezogenen Daten genutzt werden kann, gibt es keine Probleme. Wenn sie für ihre Schüler ohne Einwilligung auf einer Plattform unter Verwendung personenbezogener Daten User anlegen, kann das Ärger geben. Bitte beachten sie, nach der DS-GVO sind in Deutschland Schüler selbst erst ab 16 Jahren einwilligungsfähig! Denken sie außerdem daran, dass die Nutzung einer externen Plattform mit personenbezogenen Daten eine Genehmigung durch die Schulleitung braucht und eventuell einen Vertrag zur Auftragsverarbeitung.
  6. Geben Sie keine personenbezogenen Daten ohne die entsprechende Einwilligung weiter! Eine Telefonliste für alle Eltern, die am ersten Elternabend anwesend sind, einschließlich der Telefonnummern der Eltern, die nicht anwesend sind, was ist schon dabei? Das örtliche Geldinstitut möchte gerne eine Teilnehmerliste der Zehner haben, die am Seminar in der Filiale teilnehmen. Kein Problem, oder? Leider doch. Schulen dürfen ohne Einwilligung nur personenbezogene Daten weitergeben, wenn dieses durch entsprechende Rechtsvorschriften abgedeckt ist, sonst nicht. Bevor also die Telefonliste herausgegeben wird an alle Eltern mit allen Nummern, muss erst die Einwilligung der fehlenden Eltern eingeholt werden. Bei den Zehnern braucht es die der Schülerinnen und Schüler, schriftlich, damit sie die Einwilligung nachweisen können.
  7. Vernichten bzw. löschen sie personenbezogene Daten sicher! Wenn personenbezogene Daten aus der Schule im Müll auftauchen oder auf dem Flohmarkt, gespeichert auf einer entsorgten Festplatte, dann kann das schwer ins Auge gehen. Deswegen sollten alle diese Unterlagen, ob in Form von Papier oder digitalen Medien sachgerecht und sicher entsorgt werden. In jedes Schulsekretariat gehört ein guter Schredder zumindest DIN 66399‎. Ausgediente digitale Medien sollte man entweder selbst physikalisch zerstören oder durch einen Profi Entsorger vernichten lassen. Gleiches gilt für gößere Aktenmengen. Schulträger haben die entsprechenden Kontakte. Sicheres Löschen bzw. Vernichten gilt auch für Lehrkräfte. Sollen digitale Medien weiter im Haus genutzt werden, müssen sie durch entsprechende Software sicher gelöscht werden. Gehen sie außer Haus ist eine Zerstörung bzw. professionelle Entsorgung der bessere Weg.
  8. Verzichten sie als Schule auf einen Facebook Auftritt – aktuell sieht es sehr danach aus, dass man als Betreiber einer eigenen Facebook Fanpage, und darunter fällt auch eine schulische Facebook Präsenz, Mitverantwortung für die Datenerhebung und -verarbeitung durch Facebook trägt. Wer der Schule übel will, könnte das ausnutzen, um rechtliche Schritte gegen die Schule einzuleiten.1Sollten sie nicht auf die Facebook Präsenz ihrer Schule verzichten wollen, so würde ich auf jeden Fall dringend von der Veröffentlichung irgendwelcher personenbezogener Daten von Schülern und Lehrkräften abraten, vor allem von Fotos und Videos.

Schulhomepage

Auch wenn es bei der Schulhomepage bezüglich des Datenschutz keine Angriffspunkte gibt, wegen derer eine Schule abgemahnt werden könnte, sollte man vorbeugen und die Verarbeitung von personenbezogenen Daten auf das notwendige Minimum reduzieren. Es empfiehlt sich sehr, auf Website Elemente zu verzichten, die Daten erheben und an Dritte weiterleiten und stattdessen auf datenschutzfreundliche Alternativen zu setzen. Wenn es doch nicht ohne geht, dann muss in der Datenschutzerklärung darüber informiert werden. Aktuell gehen rechtliche Risiken in Bezug auf die Schulhomepage weniger von Seiten des Datenschutz aus als von Verletzungen des Urheberrechts oder des Persönlichkeitsrechts. Viele Schulen waren hier schon aktiv und es sollte kaum noch Handlungsbedarf bestehen.

Vertrag zur Datenverarbeitung im Auftrag

Wenn Schulen personenbezogene Daten durch externe Dienstleister verarbeiten lassen, sei es der Hoster für die Website, der Schulträger für ein Lernmanagementsystem, die Office 365 Cloud, Apple für die Managed Apple IDs, Westermanns Leseplattform Antolin oder ähnlich, so muss dieser dazu beauftragt werden. Hier gibt es eine Vorgabe für Schulen in NRW in der VO-DV I §2 Abs. 32(3) Die Schulen und Schulaufsichtsbehörden sind berechtigt, unter Beachtung der Voraussetzung des § 11 DSG NRW die Datensicherheit gewährleistende und zuverlässige Institutionen mit der Verarbeitung ihrer Daten zu beauftragen. Die Datenverarbeitung im Auftrag ist nur zulässig nach Weisung der Schule oder der Schulaufsichtsbehörden und ausschließlich für deren Zwecke.. Das Mittel, um die Beauftragung zu dokumentieren, ist ein Vertrag zur Auftragsverarbeitung, der auch elektronisch abgeschlossen werden kann. Es ist gut, wenn man die entsprechenden Verträge hat. Wer wird es kontrollieren? Vermutlich niemand. Sollte es beim Anbieter zu einem Datenschutzvorfall kommen, ist man mit einem Vertrag aber eindeutig auf der sicheren Seite.

Verzeichnis von Verarbeitungstätigkeiten

Die DS-GVO macht die Vorgabe, diese Verzeichnisse zu erstellen. Was genau eine Verarbeitungstätigkeit von einer anderen abgrenzt, bleibt bislang unklar. Wird der Datenschutz besser durch dieses Verzeichnis? Wohl nicht. Anders als noch die alten Verfahrensverzeichnisse, müssen die neuen Verzeichnisse Betroffenen nicht offengelegt werden. Auch die Vorabkontrolle durch die Datenschutzbeauftragten gibt es nicht mehr. Wenn überhaupt, dann könnte die Aufsichtsbehörde sie anfordern. Aber auch damit ist nicht zu rechnen, denn die geringe Zahl der Mitarbeiter lässt der Aufsichtbehörde dafür kaum Zeit. Man muss sich um Betriebe kümmern. Und anders als bei öffentlichen Stellen, zu denen Schulen zählen, können Betriebe mit Bußgeldern belegt werden, wenn die Dokumentation fehlt oder nicht stimmig ist. Das heißt: Schulen können dieses Thema weit hintenanstellen. Wenn Zeit und Ressourcen da sind, lädt man die passenden Vorlagen herunter, füllt das Vorblatt und ergänzt oder streicht, wo erforderlich und gut ist.

Veröffentlicht am

Personenbezogene Daten mal eben löschen – was ist zu beachten?

Lesezeit: < 1 Minute

In Schule ist ganz klar geregelt, was mit personenbezogenen Daten zu geschehen hat, wenn die Person, welche sie betreffen, die Schule verlassen hat und die Aufbewahrungsfristen abgelaufen sind. Für einige Daten ist dieser Zeitpunkt recht früh erreicht, bei Schülern sind beispielsweise die ersten Daten nach fünf Jahren fällig, bei Lehrkräften sogar schon nach nur einem Jahr1Siehe dazu VO-DV I & VO-DV II jeweils §9. Viele Personen haben dann nur noch zwei Begriffe im Kopf, Löschen und Vernichten.

So einfach ist es jedoch nicht, denn es gibt auch eine Pflicht, die Daten der Schule einem Archiv anzubieten. Der Themenbeitrag AUFBEWAHRUNGSFRIST ABGELAUFEN – UND JETZT? setzt sich intensiver mit dem Thema auseinander und erklärt, worauf man achten sollte.

Veröffentlicht am

Dürfen digitale Klassenarbeiten auf privaten Lehrerendgeräten gespeichert werden?

Lesezeit: 4 Minuten

Folgende Frage wurde gestellt:

“Angenommen eine Kollegin lässt im EDV-Unterricht eine Excel-Tabelle als Leistungsüberprüfung (z.B. Klassenarbeit) erstellen. Diese werden von den SuS im pädagogischen Netz gespeichtert. Da die Kollegin keinen schulischen Arbeitsplatz zur Verfügung hat, möchte sie die Excel-Tabellen gerne am privaten PC bewerten. Darf sie das?”

Wie in der Anfrage bereits festgestellt, werden Klassenarbeiten nicht in der Genehmigung für die Verarbeitung personenbezogener Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken … aufgeführt.

Anlage 3 der VO-DV I führt tatsächlich nur “Leistungsbewertung in den Fächern, in denen die Lehrkraft die Schülerinnen und Schüler unterrichtet” als zum Datensatz gehörig auf, den Lehrerinnen und Lehrer mit Genehmigung verarbeiten dürfen. Klassenarbeiten selbst gehören in NRW nicht einmal zum Datenbestand der Schule selbst, sondern nur die Noten daraus und die Bewertungen.1 Anders als bei Unterlagen zum sonderpädagogischen Förderbedarf, wo ausdrücklich nur das Ergebnis der Entscheidung verarbeitet werden darf, nicht aber beispielsweise die zugrundeliegenden Gutachten, werden Klassenarbeiten auch an keiner Stelle von der Verarbeitung ausgeschlossen. 2    In Schleswig Holstein zählen Klassenarbeiten zu den von der Schule geführten Akten, die gesondert von der Schülerakte geführt werden. (Siehe dazu §8 “Landesverordnung über die Verarbeitung personenbezogener Daten an öffentlichen Schulen (Schul-Datenschutzverordnung – SchulDSVO)“) 

Für den Fragesteller ergibt sich deshalb die Frage, ob

“Leistungsüberprüfungen überhaupt als personenbezogene Daten im Sinne der Datenschutzgesetzgebung anzusehen sind?”

Gehören die Inhalte von Leistungsüberprüfungen zu den personenbezogenen Daten?

Leistungsüberprüfungen enthalten mit der Namensangabe automatisch personenbezogene Daten, außer sie werden anonym verfasst, etwa um einen allgemeinen Eindruck vom Stand der Lerngruppe zu erhalten. Dem Datum Name lassen sich dann weitere Daten aus dem Inhalt der Leistungsüberprüfung zuordnen: richtig, falsch, Anzahl richtig und falsch, vollständig, unvollständig, ausführlich, knapp, Aufgabe missverstanden, Fehlertypen, usw.. Je nach Aufgabenstellung können etwa auch Meinungen enthalten sein.

Personenbezogene Daten umfassen, laut Artikel 4 DS-GVO und Kommentaren dazu, ohne Einschränkung “alle Informationen”, die sich auf eine Person beziehen und der Begriff ist von daher grundsätzlich weit zu verstehen.3Siehe dazu Klar/Kühling in Kühling/Buchner, Art. 4 Nr. 1 DS-GVO Rn. 8 So fallen darunter auch innere Zustände. Eine Klassenarbeit kann als Ausdruck eines inneren Zustandes gesehen werden. Schüler X verfügt über folgende Kompetenzen/ verweigert die Leistung/hat die Aufgabenstellung nicht verstanden/ lehnt es ab, Tiere zu töten, ….

Das gilt für analoge Klassenarbeiten, wo es noch das zusätzliche Merkmal Handschrift gibt oder vielleicht den typischen Geruch des Heftes (Raucher, Parfüm, ….) wie auch für digitale Klassenarbeiten. Bei digitalen Daten und digitale Klassenarbeiten fallen darunter, ist die DS-GVO noch einmal kritischer. Wenn es um automatisierte Datenverarbeitung geht, worunter schon das bloße Speichern fällt, gibt es kein belangloses Datum.4Siehe dazu Klar/Kühling in Kühling/Buchner, Art. 4 Nr. 1 DS-GVO Rn. 9

Digitale Klassenarbeiten lassen sich darüber hinaus auch digital aus- und mittels entsprechender Algorithmen bewerten, ähnlich wie Daten in einer Lernplattform. Rein technisch gesehen liefert eine Klassenarbeit wie alle von Schülern angefertigten Arbeiten, wie ihr Verhalten, ihre Mitarbeit, … (personenbezogene) Rohdaten, welche Lehrkräfte auswerten und den Schülern zugeordnet in Noten fassen, wodurch sie neue personenbezogene Daten generieren.

In Abgrenzung zu den Sachdaten liegt bei einer Klassenarbeit ein Zweckelement vor, da es möglich ist, die Informationen darin zur Beurteilung einer Person zu nutzen.

Was bedeutet das nun für die Kollegin?

Die Bewertung der gesamten Situation wird, wie oben dargestellt, deutlich erschwert durch das Fehlen jeglicher Regelungen bezüglich der Verarbeitung von derartigen personenbezogenen Daten. Auf der sicheren Seite ist man deshalb eigentlich nur, wenn man die bestehenden Vorgaben restriktiv auslegt. Damit darf die Kollegin, wenn sie sich an die Vorgaben der VO-DV I hält, die von den Schülern bearbeiteten Excel Tabellen nicht auf ihrem privaten Endgerät speichern.

Wie kann man das Problem lösen?

Zwei Möglichkeiten sind denkbar.

  1. Arbeitet die Schule offiziell mit einer Plattform wie Moodle, Office 365 oder ähnlich5        Dazu würde in NRW auch Logineo NRW zählen. und es ist dadurch möglich, die Dateien über Zugriff auf die Plattform von zu Hause aus innerhalb der Plattform anzuzeigen, in einem in die Plattform integrierten Datei Viewer oder im Fall von Office 365 über die Browser Version von Excel, dann ist dieses mit den Vorgaben der VO-DV I vereinbar. Die vorübergehende Speicherung im Cache des Browsers zur Anzeige stellt keine Speicherung bzw. Verarbeitung auf dem Gerät selbst im Sinne der DS-GVO6        Siehe dazu Eßer in Eßer/Kramer/ v. Lewinski Art. 4 Nr. 2 DS-GVO Rn. 43 und Herbst in Kühling/Buchner, Art. 4 Nr. 2 DS-GVO Rn. 24 dar. Die Lehrkraft ist damit nicht der Beschränkung auf die in VO-DV I Anlage 3 aufgeführten personenbezogenen Daten unterworfen.7       Der Lehrkraft sollte eine Genehmigung der Schulleitung zur Verarbeitung personenbezogener Daten aus der Schule vorliegen.
  2. Stellt die Schule USB Sticks8         Diese USB Sticks sollten geschützt sein. Siehe dazu auch den Themen Beitrag: USB Sticks und Datensicherheit zur Verfügung, man speichert die Dateien der Schüler auf diesem USB Stick und öffnet sie von dort aus (also ohne sie auf den Rechner zu kopieren) mit einem kompatiblen Tabellenkalkulationsprogramm, dann ist auch das mit den Vorgaben der VO-DV I vereinbar. Die temporäre Arbeitskopie, wie beispielsweise Excel sie anlegt, wenn man die Datei vom USB Stick öffnet, fällt nicht unter den Begriff der Speicherung9         Siehe dazu ebenfalls Eßer in Eßer/Kramer/ v. Lewinski Art. 4 Nr. 2 DS-GVO Rn. 43 Herbst in Kühling/Buchner, Art. 4 Nr. 2 DS-GVO Rn. 24, die ihrerseits eine Form der Verarbeitung ist. Somit kann man auch auf diesem Wege die Beschränkung auf die in VO-DV I Anlage 3 gelisteten personenbezogenen Daten umgehen, da die Verarbeitung nicht auf dem Gerät selbst stattfindet.10        Der Lehrkraft sollte trotzdem eine Genehmigung der Schulleitung zur Verarbeitung personenbezogener Daten aus der Schule vorliegen.

Die beiden vorgeschlagenen Lösungen lassen sich aktuell so aus datenschutzrechtlicher Sicht nicht umsetzen. Um den Zeitpunkt als der Beitrag entstand, ging man im Schulministerium NRW noch davon aus, dass es mit Genehmigung für private Endgeräte durch die Schulleitung Lehrkräften möglich ist, nicht in Anlage 3 aufgeführte personenbezogene Daten aus der Schule mit Vorliegen der Genehmigung für private Endgeräte in einer virtuellen Umgebung wie Logineo NRW zu verarbeiten. Das war auch der Gedanke bei der Nutzung des sogenannten Daten-Safe. Mittlerweile musste das MSB hier seine Position korrigieren. Wie im Beitrag Verarbeiten – Speichern – Unterricht – Lehrergeräte ausführlich dargestellt, fällt bereits die Anzeige von personenbezogenen Daten am Bildschirm unter den Begriff der Verarbeitung. Das bedeutet für die Praxis:

Auch mit Genehmigung dürfen Lehrkräfte von einem privaten Endgerät aus nur die in Anlage 3 aufgeführten personenbezogenen Daten aus der Schule verarbeiten! Alle anderen Daten dürfen nur von Dienstgeräten oder für Verwaltungsarbeiten eingerichteten Arbeitsplätzen aus verarbeitet werden. Arbeiten, die Schüler im pädagogischen Netz angefertigt haben, können entsprechend auch dort durch die Lehrkraft verarbeitet werden.

Die Kollegin kann nach aktueller Rechtslage die Excel-Tabellen nur an einem Schulrechner bewerten oder sie muss sie ausdrucken. In Papierform kann sie sie mitnehmen wie jedes Arbeitsmaterial. Diese Antwort ist natürlich unbefriedigend und jeder muss für sich entscheiden, was man daraus macht.

Übertragen bedeutet das

Es ist zur Beweissicherung auch nicht zulässig, Klassenarbeiten abzufotografieren oder zu Hause einzuscannen, etwa wenn Schüler immer wieder die zurückgegebene, bewertete Arbeiten manipulierten, um der Lehrkraft Fehler zu unterstellen mit dem Ziel, eine bessere Note zu bekommen. Hier bleibt dann nur die Kopie am Kopierer oder das Einscannen über einen schulischen Dokumentenscanner.

überarbeitet mit Stand 05/2019

Veröffentlicht am

Welche Löschfristen gelten für personenbezogene Daten auf einem dienstlichen USB Stick?

Lesezeit: 2 Minuten

Nach Lektüre meines Themen Beitrags USB Sticks und Datensicherheit, in welchem erklärt wird, welche Möglichkeiten es gibt, USB Sticks so zu sichern, dass die Vertraulichkeit der darauf gespeicherten personenbezogenen Daten gewährleistet ist, stellte sich ein Leser die Frage, wie es mit den Löschfristen der auf einem dienstlichen USB Stick gespeicherten personenbezogenen Daten aus der Schule aussieht.

“Bei einem privaten Endgerät beträgt die Löschfrist ein Jahr zum Ende des Kalenderjahres. Ändert sich etwas, wenn die Schule den Kolleginnen und Kollegen einen schulischen USB-Stick zur Verfügung stellt? Gilt dann die 5 Jahresfrist?”

Die VO-DV I legt unter §9 Abs. 2 für die Aufbewahrung und Löschung von auf privaten Endgeräten von Lehrkräften gespeicherte personenbezogene Daten aus der Schule gesonderte Fristen fest, die deutlich kürzer sind als die für Computer in der Schule.

“(2) Sind die Daten nach Absatz 1 in öffentlichen ADV-Anlagen oder auf Datenträgern gespeichert, gelten die Aufbewahrungsfristen entsprechend. Für in privaten ADV-Anlagen gespeicherte Daten (§ 2 Abs. 2) beträgt die Aufbewahrungsfrist ein Jahr. Sie beginnt abweichend von Absatz 1 mit Ablauf des Kalenderjahres, in dem die Schülerin oder der Schüler von der Lehrerin oder dem Lehrer nicht mehr unterrichtet wird.”

Die Frage ist nun also, fallen von der Schule bereitgestellte, dienstliche USB Sticks unter Datenträger im Sinne von §9 Abs. 2 oder muss man sie doch eher wie private ADV-Anlagen betrachten?

  • Richtet man sich nach dem Wortlaut der VO-DV I (grammatikalische Auslegung), gilt die Regel mit der Löschfrist nach einem Jahr ab Ablauf des Kalenderjahres eindeutig nur für private Endgeräte. Ein von der Schule zur Verfügung gestellter USB Stick fiele demnach nicht unter diese Regelung und wäre gleichzubehandeln mit einem Datenträger, wie im ersten Satz von §9 Abs. 2 genannt. Entsprechend würden hier dann auch die dafür geltenden Löschfristen zutreffen.
  • Man könnte die Sache allerdings auch dem Sinn und Zweck nach betrachten (teleologische Auslegung). Wenn man also zu dem Schluss kommt, der dienstlich bereitgestellte USB Stick wird vom Charakter her wie ein privater USB Stick genutzt, dann müsste der USB Stick wie ein Privatgerät behandelt werden und entsprechend die einjährige Löschfrist gelten.

Eine gleiche Fragestellung würde sich auch für Dienstgeräte ergeben und die Löschfristen dort. Persönlich würde ich eher zur grammatikalischen Auslegung tendieren.

Käme es zu einem Streitfall, würde man entsprechend argumentieren. Das sollte vor Gericht ausreichen.

Man sollte die Frage bezüglich der Löschfristen sicher auch noch unter dem Gesichtspunkt der Datenminimierung betrachten. Ist es erforderlich, dass auf einem USB Stick personenbezogene Daten von Schülern gespeichert sind, die eine Lehrkraft das letzte Mal zwei Jahren zuvor unterrichtet hat? Diese Frage kann man in der Mehrheit der Fälle wohl verneinen. Und es bliebe der Lehrkraft immer noch die Möglichkeit, die Daten in der Schule in einem ihr zugewiesenen Verzeichnis im Verwaltungsnetz abzulegen.

Veröffentlicht am

Fotos & Videos ohne Einwilligung können auch zu Disziplinarmaßnahmen führen

Lesezeit: < 1 Minute

Wie ein Fall von vor einigen Jahren aus NRW zeigt, verstößt eine Lehrkraft, die ohne Einwilligung Fotos oder Videos von ihren Schülerinnen und Schülern macht, nicht nur gegen die Datenschutzgesetzgebung, sondern verletzt auch die ihr obliegenden Dienstpflichten, wofür sie dann entsprechend mit Disziplinarmaßnahmen belegt werden kann.

Durch die Lehrkraft waren im Sportunterricht Videoaufnahmen von Schülerinnen angefertigt worden, ohne eine Einwilligung der Erziehungsberechtigten oder Erlaubnis durch die Schulleitung und obwohl die Schülerinnen den Aufnahmen widersprochen hatten. Die Schulleitung, bei welcher sich die Schülerinnen beschwert hatten, hatte die Lehrkraft daraufhin auf die Rechtswidrigkeit dieses Verhaltens hingewiesen. Nach diesem Vorfall hatte die Lehrkraft Fotografien von Schülern einer 7. Klasse im Chemieunterricht angefertigt und diese auf einem privaten Datenspeicher gespeichert, obwohl auch dazu keine Einwilligungen vorgelegen und ein Schüler darauf hingewiesen hatte.

Entsprechend hatte dann die Disziplinarkammer im ursprünglichen Verfahren einen Dienstvergehenstatbestand als erfüllt angesehen und eine Geldbuße verhängt. Ein Antrag auf Berufung wurde vom Oberverwaltungsgericht nicht zugelassen.

Der Fall ist interessant, weil er zeigt, dass ein Verstoß gegen Vorgaben der Datenschutzgesetzgebung durchaus auch dienstrechtliche Konsequenzen haben kann. Mit Beginn der Umsetzung der DS-GVO haben sich einige Dinge geändert.

Was kann man daraus mitnehmen für die Zukunft?

Verstöße gegen die Persönlichkeitsrechte von Schülerinnen und Schülern bzw. gesetzlichen Vorgaben aus dem Datenschutz und der entsprechenden Schulgesetzgebung können selbst wenn sie zu keinen Bußgeldern durch die Aufsichtsbehörden und auch keiner Schadesersatzforderung durch die Betroffenen führen, durchaus als Verstoß gegen das Dienstrecht geahndet werden, da sie immer auch mit einer Verletzung der einer Lehrkraft obliegenden Dienstpflichten einhergehen.

Quelle: Oberverwaltungsgericht NRW, 3d A 1203/16.O

Veröffentlicht am

Gut Ding will Weile haben – Logineo NRW (wohl) kommt doch noch

Lesezeit: < 1 Minute

Logineo NRW sollte die Plattform des Landes werden, mit welcher Schulen eine Cloud Lösung erhalten, welche datenschutzkonformes Arbeiten und Austauschen von Daten erlaubt und durch Single-Sign-On eine datensparsame Nutzung verbundener Plattformen ermöglicht. Schon in diesem Schuljahr sollte der Rollout beginnen. Daraus wurde dann leider nichts, technische Probleme, auch im Zusammenhang mit der Gewährleistung des Datenschutzes, wie man hörte. Wie das Ministerium heute in einer Pressemitteilung verkündete, hat man sich entschlossen, die technischen Probleme zu beheben und danach in eine Pilotierung zu gehen. Verläuft diese erfolgreich, kommt dann der Rollout in die Breite.

Das klingt schon mal ganz gut. Nach den Erfahrungen der vergangenen Jahre mit diversen angekündigten und abgesagten Starttermin, wird man an den Schulen erst mal abwarten. Die Landesregierung NRW hat hier eine Menge Vertrauen verspielt. Sicherlich wird es viele Schulen geben, die mittlerweile das Warten leid sind und andere Lösungen gefunden haben.

Wenn Logineo NRW tatsächlich kommt, wie geplant, kann Schulen dieses tatsächlich einige Vorteile bringen, wenn es um die Einhaltung datenschutzrechtlicher Vorgaben bei der alltäglichen Arbeit geht. An einem Problem ändert die Plattform jedoch nichts. Mit privaten Endgeräten dürfen Lehrkräfte auf Logineo NRW nur zugreifen, wenn sie für die Verarbeitung von personenbezogenen Daten ihrer Schüler eine Genehmigung ihrer Schulleitung haben. Viele Schulen in NRW kämpfen aktuell mit diesem Problem. Lehrkräfte beantragen die Genehmigung nicht, da sie kein Risiko eingehen wollen. Auch Schulleitungen erteilen häufig die Genehmigung grundsätzlich nicht in ihren Kollegien, da sie sich nicht imstande sehen, zu beurteilen, ob sie den Anträgen auf Genehmigung nach den dort gemachten Angaben stattgeben sollen oder nicht.

Veröffentlicht am

Schule, Datenschutz und Kirchenrecht

Lesezeit: < 1 Minute

Schule ist nicht gleich Schule, wenn es um rechtliche Vorgaben geht. Das Schulgesetz unterscheidet zwischen Schulen in öffentlicher Trägerschaft und Ersatzschulen (§100 – §115). Zwar gelten für letztere überwiegend die gleichen rechtlichen Regelungen, doch das Schulgesetz lässt in Teilbereichen die Möglichkeit für eigene rechtliche Vorgaben zu, wie etwa beim Datenschutz. § 122 SchulG, Ergänzende Regelungen, führt dazu aus

(2) §§ 120 und 121 gelten für Ersatzschulen, soweit für diese gleichwertige datenschutzrechtliche Regelungen nicht bestehen.

Für Privatschulen in Trägerschaft der evangelischen Kirche gilt so beispielsweise das evangelische Kirchenrecht und in Bezug auf den Datenschutz das EKD-Datenschutzgesetz (DSG-EKD – 2018).

Auch in der Datenschutz Grundverordnung findet sich entsprechende Vorschriften. Art. 91 DSGVO, Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften, räumt die Möglichkeit zu selbständigen Regelungen für den Datenschutz für Kirchen ein.

Nach einer Meldung des Portals Datenschutzbeauftragter-info mit dem Titel Ev. Kirche: Datenschutzerklärung nach § 13 TMG weiterhin rechtskonform sieht der Beauftragte für Datenschutz der Evangelischen Kirche in Deutschland keinen Änderungsbedarf bei gegenwärtig rechtskonformen Datenschutzerklärungen gemäß §13 Telemediengesetz (TMG). Für Privatschulen, die unter evangelisches Kirchenrecht fallen, kann das bedeuten, dass eventuell kein Handlungsbedarf besteht zur Anpassung der Datenschutzerklärung. Das bedeutet jedoch laut Datenschutzbeauftragter-info nicht, dass die “Informationspflichten nach Art. 12ff. DS-GVO nicht vollumfänglich umzusetzen” sind.

Einen Unterschied gibt es auch bei den Bestimmungen zu den Informationspflichten der verarbeitenden Stelle. Nach der Art. 13 und Art. 14 DS-GVO müssen die verarbeitenden Stellen ihrer Informationspflicht bei unmittelbarer Datenerhebung unaufgefordert nachkommen. Diese Verpflichtung kennt §17 DSG-EKD nicht. Dort heißt es:

( 1 ) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt die verantwortliche Stelle der betroffenen Person auf Verlangen in geeigneter und angemessener Weise Folgendes mit:

Informiert werden braucht hier bloß auf Verlangen hin. Es kann also nützlich sein, wenn ein entsprechendes Informationblatt wie Information über die Datenverarbeitung.docx in der Anmeldezeit im Sekretariat bereit liegt.

Veröffentlicht am

Schülerfahrverkehr – wann braucht es eine Einwilligung in die Datenübermittlung?

Lesezeit: 3 Minuten

Das Thema Schülerfahrverkehr wird in verschiedenen Städten und Gemeinden unterschiedlich geregelt. In den meisten Fällen erhalten nur die Schüler eine Fahrkarte für Bus/Bahn, die einen gesetzlichen Anspruch auf Erstattung der Schülerfahrkosten nach §97 SchulG NRW haben. Einige Schulträger stellen allen Schülerinnen und Schülern ihrer Kommune ohne Ausnahme ein Schülerticket zur Verfügung. Je nach Schulträger werden die für die Erstellung der Tickets erforderlichen personenbezogenen Daten der Schüler durch die Schule an den Schulträger selbst übermittelt, der die Berechtigung überprüft, oder seltener auch direkt an den Betreiber des öffentlichen Nahverkehrs. Ob es einer Einwilligung durch die Betroffenen bedarf, hängt maßgeblich davon ab, an wen die Schule die Daten übermittelt. Bei Städten und Kommunen, in welchen der Prozess der Bewilligung von Schülerfahrkosten und die Vergabe von Fahrkarten, von der kommunalen Verwaltung selbst geregelt wird, ist die Schule aus Sicht des Datenschutz außen vor und das Folgende ohne Bedeutung.

Die rechtliche Seite

Grundsätzlich gilt für die Übermittlung von personenbezogenen Daten durch die Schule nach §120 SchulG

(5) Die in Absatz 1 Satz 1 genannten Daten dürfen […] dem Schulträger, [… ] nur übermittelt werden, soweit sie von diesen Stellen zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben benötigt werden.

Da nach §97 SchulG der Schulträger für die Schülerfahrkosten zuständig ist1“§ 97 SchulG – Schülerfahrkosten (1) Den Schülerinnen und Schülern der allgemein bildenden Schulen gemäß §§ 11, 14 bis 18, der Förderschulen gemäß § 20, der Schule für Kranke gemäß § 21 und Berufskollegs in Vollzeitform gemäß § 22, die ihren Wohnsitz in Nordrhein-Westfalen haben, werden die Kosten erstattet, die für ihre wirtschaftlichste Beförderung zur Schule und zurück notwendig entstehen.” und er im Rahmen seiner Möglichkeiten auch eine Fahrkarte stellen kann anstelle einer Kostenerstattung2§97 SchulG (3) “Werden Schülerzeitkarten nach Satz 1 zur Verfügung gestellt, sind sie die wirtschaftlichste Art der Beförderung; es entfällt jegliche Erstattung von Fahrkosten.”, liegt eine vom Land NRW an den Schulträger übertragene Rechtsvorschrift vor. Damit ist die Voraussetzung erfüllt für eine Übermittlung personenbezogener Daten von Schülern nach §120 (5) SchulG.

Was bedeutet dieses für die Praxis?

Fall 1 – nur nach §97 SchulG berechtigte Schüler erhalten die Fahrkarte und die Daten werden an den Schulträger übermittelt

Nach Art. 6 Abs. 1 c DS-GVO ist eine Verarbeitung3Nach Art. 4 Abs. 2 schließt Verarbeitung auch die “die Offenlegung durch Übermittlung” ein. rechtmäßig, wenn

“die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;”

Eine Einwilligung durch die Betroffenen ist somit nicht erforderlich. Die Schule kann die Daten übermitteln, muss aber über die Übermittlung informieren, was bei der Anmeldung an der Schule erfolgen kann. Wechselt ein Schüler im Laufe der Schulzeit an einer Schule den Wohnort und erfüllt dadurch die Vorgaben zum Anrecht auf eine Fahrkarte, müssen die Betroffenen eventuell bezüglich der Datenübermittlung informiert werden.

Ob eine Schule vorsortiert, von welchen Schülern sie die Daten an den Schulträger übermittelt, hängt auch von den örtlichen Absprachen ab. Rechtlich ist es vertretbar, die entsprechenden Daten sämtlicher Schüler zu übermitteln, da der Schulträger nur so die Berechtigungen bzw. den Anspruch auf Zuteilung einer Fahrkarte für alle Schüler prüfen kann.

Man kann jedoch auch argumentieren, dass es nicht erforderlich ist, die Daten von Schülern zu übermitteln, die am Schulort selbst wohnen und ohnehin keinen Anspruch auf eine Fahrkarte haben.4Eine Ausnahme sind immer Schüler, die aus anderen Gründen Anspruch auf eine Beförderung haben.

Fall 2 – alle Schüler der Stadt/ Kommune erhalten ein Ticket und die Daten werden an den Schulträger übermittelt

Der Fall ist etwas anders gelagert, da es hier nicht mehr um eine Überprüfung des Anspruchs durch den Schulträger geht. Da alle Schüler eine Fahrkarte erhalten, auch die, welche nach gesetzlichen Vorgaben keinen Anspruch haben, werden hier Daten übermittelt und es besteht keine eindeutige rechtliche Grundlage. Wer sicher gehen möchte, holt eine Einwilligung dafür ein. Damit das Verfahren vereinfacht ist, holen viele Schulen die Einwilligung grundsätzlich bei allen Schülern ein. Wenn das Verfahren etabliert ist, kann man die Einwilligung direkt bei der Anmeldung an der Schule mit einholen.5In diesem Fall sollte die Einwilligung in die Datenübermittlung als Auswahloption vorgesehen sein, so dass die Betroffenen aktiv auswählen müssen.

Ob man sich als Schule in diesem Fall mit einer Einwilligung absichert, hängt letztlich auch von der Interpretation der gesetzlichen Vorgaben ab. Legt man die Vorgaben eher eng aus, empfiehlt sich die Einwilligung.

Fall 3 – die Schule übermittelt die personenbezogenen Daten der Schüler direkt an das Beförderungsunternehmen

In diesem Fall ist es egal, ob es sich nur um nach §97 SchulG berechtigte Schüler handelt oder alle. Die Übermittlung soll an eine Stelle erfolgen, welche nicht unter die nach dem Schulgesetz zulässigen Stellen fällt. Da die gesetzliche Grundlage fehlt, ist hier eine Einwilligung vor Übermittlung der Daten unbedingt erforderlich. Die Einwilligung ist für Grundschulen wie weiterführende Schulen nutzbar.6Die Formulierung “Aus der Nichterteilung oder dem Widerruf der Einwilligung entstehen keine Nachteile.” ist eine allgemeine Formulierung. Jedem Betroffenen sollte jedoch klar sein, dass ohne Einwilligung keine Fahrkarte erstellt werden kann. Nachteil meint hier eher Nachteil in der Schule insgesamt.

Veröffentlicht am

Datenübermittlung zur Erstellung eines Schülerausweises im Scheckkarten Format

Lesezeit: 2 Minuten

Will eine Schule Schülerausweise im Scheckkarten Format durch eine Firma erstellen lassen, so ist dafür eine Übermittlung von personenbezogenen Daten der Schüler an diese Firma erforderlich. Dabei ist es egal, ob die Daten als Tabelle geliefert werden oder die Ausweise mit einer Software in der Schule erstellt und die Druckdateien dann an die Firma übermittelt werden. Mitunter wird auch noch ein Fotograf mit der Aufnahme der Fotos für den Ausweis beauftragt.

Alle Daten für den Schülerausweis liegen in jeder Schule vor1VO-DV I, Anlage 2, II. Weitere Informationssammlungen. Falls die Anfertigung des Fotos nicht bereits durch eine andere Einwilligung abgedeckt ist, muss dafür eine solche eingeholt werden, da Fotos nicht zu den personenbezogenen Daten gehören, welche eine Schule auf Grundlage des SchulG NRW verarbeiten darf.

Für den Fall, dass Ausweis und Fotos von einer Firma erstellt werden, könnte man z. B. diese Einwilligung in die Übermittlung und Erstellung der Fotos nutzen. In der ersten Variante wird eine Schüler ID mit übermittelt, um den Schülerausweis auch als Bibliotheksausweis nutzen zu können.

Die zweite Variante sieht diese Schüler ID nicht vor.

Erstellt die Schule die Fotos selbst oder wird ein unabhängiger Fotograf beauftragt, ist die Einwilligung entsprechend abzuändern2z.B. so, dass die Einwilligung klar trennt, wer die Aufnahmen macht und die Einwilligung dafür kenntlich macht.

Die dritte Variante geht davon aus, dass die Fotos bereits vorliegen und die Anfertigung auf einer bestehenden Einwilligung beruht.

Hinweis: Bitte achten Sie bei der Übermittlung der personenbezogenen Daten Ihrer Schüler an die Firma, welche die Schülerausweise erstellt, dass diese sicher erfolgt. Eine Möglichkeit dazu ist die Verschlüsselung des E-Mails oder zumindest der Datei3Ein Passwort geschütztes ZIP Archiv oder zumindest eine durch Passwort lesegeschützte Datei sind das absolute Minimum.. Das Passwort zum Entschlüsseln sollte dann jedoch separat mitgeteilt werden. Achten Sie bei Vergabe des Auftrags auch darauf, dass die Zweckbindung der Daten sowie Löschung nach Abschluss des Auftrags gewährleistet sind.

Alternative: Bei großen Schulen bietet es sich eventuell an, einen Scheckkarten Ausweisdrucker anzuschaffen und die Schülerausweise selbst zu erstellen. Liegt keine entsprechene Einwilligung zur Erstellung und Nutzung von Fotos zur Erstellung eines Schülerausweises4Zweck der Verarbeitung vor, ist diese vorher einzuholen.

Wie alle anderen Vorlagen für Einwilligungen finden sich diese unter Einwilligungen Schule (NRW).

Veröffentlicht am

Schulen müssen bei der Erhebung von Daten entsprechend der DS-GVO informieren

Lesezeit: 2 Minuten

Erhebt eine Schule direkt bei den betroffenen Personen personenbezogene Daten, muss sie diese bei der Erhebung nach Art 13. EU-DSGVO informieren. Meist ist dieses der Fall bei der Anmeldung an einer Schule. Hier werden sehr umfangreich Daten bei den Eltern oder erwachsenen Schülern erhoben. Anders als bisher gibt es dabei nun eine Informationspflicht durch die Schule. Mitgeteilt werden müssen, wer die datenverarbeitende Stelle ist, wer der Verantwortliche, wer Datenschutzbeauftragter, zu welchen Zwecken personenbezogene Daten erhoben und verarbeitet werden, auf welcher rechtlichen Grundlage dieses geschieht, wer Empfänger der Daten ist, wie lange die Daten gespeichert werden und welche Rechte aber auch Pflichten die Betroffenen gegenüber der Schule als datenverarbeitende Stelle haben.

In NRW ist man von Seiten des MSB zum Schluss gekommen, dass zur Reduzierung des Aufwands grundlegende Informationen auf der Schulhomepage veröffentlich werden sollen1Ein Muster dazu soll noch folgen., mit Verweisen auf die VO-DV I und II. Da jedoch direkt bei der Erhebung informiert werden muss, wird den Schulen folgendes Vorgehen vorgeschlagen.

“Da die DSGVO verlangt, dass im Zeitpunkt der Datenerhebung über die Datenverarbeitung informiert wird, ist es anlässlich der Anmeldung einer Schülerin oder eines Schülers an einer Schule erforderlich, den Eltern bzw. dem volljährigen Schüler oder der Schülerin einen Papierausdruck der VO DV I auszuhändigen.”

Die VO-DV I ist recht umfangreich2Je nach Formatierung können das zwischen 4 und 10 Seiten sein. und schwierig zu verstehen. Außerdem fehlen dort Informationen, die zum Zeitpunkt der Erhebung gegeben werden müssen.3z.B. verarbeitende Stelle, Verantwortlicher und Datenschutzbeauftragter, sowie die Hinweise auf die Rechte der Betroffenen und das Beschwerderecht bei der Aufsichtsbehörde. Dafür finden sich dort jedoch Informationen, die ohne Bedeutung sind bezüglich der Erhebung.

Als Alternative empfehle ich deshalb die Nutzung eines deutlich kürzeren, auf die tatsächlich erforderlichen Informationen beschränkten Informationsschreibens.

Download: Information über die Datenverarbeitung.docx

Das Informationsschreiben ist in der zum Download angebotenen Form mehr auf Grundschulen und Sekundarstufe I ausgelegt, kann aber leicht für die gymnasiale Oberstufe und das Berufskolleg angepasst werden. Anpassungen sind auch in einigen Teilbereichen (Zwecke, Empfänger) erforderlich. Auf der letzten Seite gibt es dazu Informationen.

Tipp: Wenn Sie bei der Aufnahme neuer Schüler mit einem Erhebungsbogen arbeiten, können Sie das Informationsschreiben mit diesem kombinieren.

 

Stolz präsentiert von WordPress