Übermittlung personenbezogene Daten von Schülern an Träger im offenen Ganztag

Lesezeit: < 1 Minute

Vor einem Monat war ich hier im Blog der Frage nachgegangen, ob eine Einwilligung der Erziehungsberechtigten bezüglich Fotos, welche der Schule gegeben wurde, auch auf den Träger im offenen Ganztag übertragbar ist (Offener Ganztag und Datenschutz) und war zu dem Schluss gekommen, dass dieses eher nicht der Fall ist.

Nachtrag Februar 2020

Nachdem sich die Landesregierung im Rahmen einer kleinen Anfrage zu genau diesem Thema geäußert hat, ist nun klar, es braucht keine Einwilligung, damit die Schule sich mit Mitarbeitern des offenen Ganztags bezüglich der individuellen Förderung der Kinder austauschen kann. Warum das so ist, erkläre ich ausführlich unter Schule – Offener Ganztag – Schulsozialarbeit & Datenschutz 

Aufgrund einer Nachfrage habe ich heute eine neue Einwilligung erstellt, die ebenfalls mit Schule und dem Träger zu tun hat. Der offene Ganztag kann nur funktionieren, wenn die Personen, welche die Kinder nach dem Unterricht betreuen, über ausreichende Informationen verfügen, um für die Kinder passgenaue Unterstützungsangebote erstellen zu können. Wenn der offene Ganztag keine reine Hausaufgabenhilfe sein soll, müssen die Mitarbeiter wissen, wo das Kind Förderbedarfe hat, ob es Lernbeeinträchtigungen hat und ähnlich. Die Informationen sollten aktuell sein und die Mitarbeiter des Trägers können sie nur von der Schule erhalten, von den Lehrkräften, welche das Kind unterrichten. Als externer Partner gehören die Träger von offenen Ganztagsangeboten nicht zur Schule.

Da es keine rechtliche Grundlage im Schulgesetz NRW gibt, aufgrund derer die Schule derartige Informationen bzw. personenbezogene Daten an Dritte wie einen Träger (ein Unternehmen) weitergeben darf, kann ein solcher Informationsaustausch nur auf der Basis einer informierten und freiwilligen Einwilligung erfolgen.1Anders als im Bereich der Schulsozialarbeit und dem Informationsaustausch mit Ämtern, Ärzten u. Ä. empfehle ich hier eine datenschutzrechtliche Absicherung durch eine entsprechende Einwilligung und keine Entbindung von der Schweigepflicht.

Die Einwilligung findet sich dauerhaft im Download Bereich unter Einwilligungen Schule (NRW).

Bitte achten Sie als Schule darauf, die Daten Ihrer Schüler an den Träger Ihres offenen Ganztagsangebot nur auf sicheren Wegen zu übermitteln. 

Müssen Schulen einen Datenschutzbeauftragten an die Aufsichtsbehörden melden?

Lesezeit: 2 Minuten

Pflicht zur Meldung des Datenschutzbeauftragten an die Aufsichtsbehörden

Nach Art 37 Abs 7 der DS-GVO veröffentlicht der Verantwortliche oder Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragten 1Siehe dazu auch den Beitrag Muss der Datenschutzbeauftragte auf die Schulhomepage? 2Siehe auch Datenschutzbeauftragte FAQ Grundlagen und Benennung – der LDI NRW < und

“teilt diese Daten der Aufsichtsbehörde mit.”

Diese Vorgabe gilt auch für öffentliche Stellen wie Schulen. Für die Aufsichtsbehörde ist diese Meldung von Bedeutung, da der Datenschutzbeauftragte nur so in der Lage ist seiner Tätigkeit als Anlaufstelle für die Aufsichtsbehörde effektiv nachgehen zu können (vgl. Artikel 39 Absatz 1 Buchstabe e) DS-GVO).

Praktische Umsetzung bei Schulen – offene Fragen

Bisher ist leider nicht klar, ob jede einzelne Schule diese Meldung separat für sich machen muss. Schulen in NRW brauchen keine eigenen Datenschutzbeauftragten, denn es gibt die behördlich bestellten schulischen Datenschutzbeauftragten. In jedem Kreis bzw. jeder kreisfreien Stadt wurde dafür eine zuständige Person benannt. Teilweise sind es auch zwei Personen, die sich diese Zuständigkeit teilen. Alle diese Personen sind dem MSB bekannt (siehe Übersicht Behördliche Datenschutzbeauftragte) wie auch den fünf Bezirksregierungen.

In NRW gibt es 5.436 öffentliche Schulen3siehe Schulen, Klassen, Schülerinnen, Schüler und Lehrkräfte an
allgemeinbildenden und beruflichen Schulen 2019 nach Schulformen – IT.NRW
. Würde jede einzelne eine Meldung machen, wären es entsprechend viele Meldungen. Da jeder behördliche Datenschutzbeauftragte für mehrere Schulen zuständig ist, würde jede dieser Personen x-fach gemeldet.

Von daher macht es eher Sinn, wenn das MSB jetzt am Start einmal die Aufsichtsbehörde, die LDI NRW, informiert. Das wäre eine Meldung. Spätere Änderungen werden dann entweder die Kreise bzw. kreisfreien Städte oder die Bezirksregierungen mitteilen. Dass jede Schule dieses für sich übernimmt, führt zu einer unnötigen Flut an Meldungen und Arbeit. Übernehmen die Kreise und kreisfreien Städte diese Aufgabe, geht es um 52 behördliche Datenschutzbeauftragte plus eventuell deren Vertreter.

Mitteilungen an die LDI NRW werden ab dem 25. Mai 2018 möglich sein. Nach einer Information der LDI NRW soll es dazu dann eine Möglichkeit zur Online-Meldung über die Homepage der Aufsichtsbehörde geben.

Wird der Datenschutzbeauftragte nicht gemeldet, so stellt dieses bereits einen Verstoß gegen die Vorgaben der Datenschutzgesetzgebung dar.

Abwarten empfohlen

Es soll für den Start eine Übergangsfrist geben. Dieses ist auf der Homepage der LDI NRW bekanntgegeben.

WICHTIGER HINWEIS: Wir beabsichtigen, unterlassene Meldungen der Kontaktdaten der/des Datenschutzbeauftragten während einer Übergangszeit bis zum 31.12.2018 nicht als Datenschutzverstöße zu verfolgen oder zu ahnden.

Das MSB hat sich bisher nicht zu der Frage geäußert, wie die Meldung praktisch umgesetzt werden soll, ob es eine erste Meldung durch das MSB gibt oder die Bezirksregierungen. Da bis zum 31.12.2018 eine Übergangsfrist besteht, empfehle ich Schulen in NRW (bis zur Klärung dieser Frage) zunächst einige Wochen abzuwarten. Es wird hier sicher noch eine Mitteilung von Seiten des Ministeriums oder der Bezirksregierungen geben. Natürlich steht es jeder Schule frei, ihren Datenschutzbeauftragten direkt nach dem 25.05.2018 zu melden. Es ist kein Schaden.

Abmahnung & Schulhomepage

Lesezeit: 3 Minuten

Als dieser Beitrag ursprünglich entstand, stand der Beginn der Umsetzung der DS-GVO kurz bevor. Es herrschte große Unsicherheit, wie eine Website im Einklang mit der Datenschutz-Grundverordnung gestaltet werden sollte. Datenschutzerklärungen wurden aktualisiert oder neu erstellt, Cookie Banner eingerichtet und das Laden von kritischen externen Inhalten wie YouTube Videos so umgestellt, dass Nutzer dieses selbst aktivieren müssen. Auf einige Inhalte verzichten viele Websites seither, etwa Google Maps und Google Analytics. Auch Schulen überarbeiteten ihre Internetauftritte entsprechend.

Trotz aller Anpassungen war und ist da immer die Sorge vor dem Schreckgespenst – Abmahnung!!!! 

Auch wenn die Zeit der Abmahnwellen mittlerweile durch ist, bleiben Abmahnungen durch aus ein Thema. Doch muss eine Schule sich hier überhaupt Gedanken machen? Kann eine Schule wegen ihrer Schulhomepage und dort möglicherweise begangenen Rechtsverstößen abgemahnt werden?

Beschäftigt man sich näher mit dem Thema Abmahnung, dann sieht man schnell, dass eine Schule prinzipiell zwar durchaus abgemahnt werden kann wegen Inhalten der Schulhomepage, dass dieses wegen des Thema Datenschutzes jedoch eher unwahrscheinlich ist. Warum?

JuraWiki beschreibt den Begriff Abmahnung wie folgt:

“Allen Abmahnungen gemeinsam ist, dass sie ein bestimmtes Verhalten rügen. Es wird darauf hingewiesen, dass man dies nicht toleriert und bei forgesetztem Fehlverhalten Konsequenzen drohen.”

Abmahnungen sind in verschiedenen Rechtsbereichen vertreten. Arbeitsrecht, Mietrecht und Verwaltungsrecht treffen auf eine Schulhomepage nicht zu. Schulen in öffentlicher Trägerschaft können eindeutig auch nicht vom Wettbewerbsrecht betroffen sein. Es bleiben noch das Urheberrecht, das Markenrecht und das Persönlichkeitsrecht.

Hier können sich tatsächlich Konstellationen in Bezug auf die Homepage ergeben, aus denen Abmahnungen folgen könnten.

Urheberrecht

Finden sich auf einer Schulhomepage urheberrechtlich geschützte Materialien, die ohne Erlaubnis des Rechteinhabers dort genutzt werden, so hat der Rechteinhaber die Möglichkeit, sich über eine Abmahnung dagegen zu wehren. Alternativ werden auch Lizenzkosten erhoben. Fälle, dass dieses sogar mit Creative Commons lizenzierten Bildern geschieht, sind bekannt. Dabei waren dann die Lizenzangaben nicht richtig oder unvollständig gemacht worden. Weitere Informationen finden sich in der von der BR Münster veröffentlichten Schrift Urheberrecht trifft Schule (PDF, 2024), die sich in Kapitel 5 mit dem Thema Abmahnungen befasst und Schulen empfiehlt, sich in solchen Angelegenheiten nicht selbst mit dem Abmahner auseinanderzusetzen, sondern die Angelegenheit unmittelbar an ihre Bezirksregierung abzugeben.

Markenrecht

Die Nutzung urheberrechtlich geschützter Markenzeichen kann auf einer Schulhomepage, sofern keine Einwilligung des Rechteinhabers vorliegt, eine Abmahnung zur Folge haben. Dazu gehören auch die Logos von Sportmannschaften.

Persönlichkeitsrecht

Auch bei Verletzungen des Persönlichkeitsrechts sind Abmahnungen möglich, auch gegen Schulen. Das könnte der Fall sein, wenn auf einer Schulhomepage über eine Person berichtet wird, so dass das Persönlichkeitsrecht verletzt wird, etwa durch eine grob sachlich falsche oder beleidigende Darstellung einer Person.

An dieser Stelle sind durchaus Überschneidungen mit dem Datenschutzgesetz möglich, etwa wenn Informationen ohne Einwilligung des Betroffenen auf der Schulhomepage veröffentlich werden und diese Informationen rufschädigende Wirkung haben.

Da es bei einer Abmahnung darum geht, jemanden dazuzubringen, ein Verhalten zu unterlassen, und es bei den Inhalten von Schulhomepages in der Regel um Personen geht, die der Schule bekannt sind, muss es schon weit kommen, dass eine Person zur Abmahnung als letztes Mittel greift, wenn es zu einer Verletzung des Persönlichkeitsrechts kommt.

Was ist mit dem Impressum?

Eine Abmahnung wegen fehlenden oder fehlerhafen Impressums ist eine Abmahnung aus dem Bereich des Wettbewerbsrechts. Auf Schulen in öffentlicher Trägerschaft trifft das normalerweise nicht zu.1Ob man einer Schule, die Werbebanner auf ihrer Homepage betreibt und Amazon Affiliate Links nutzt, einen Strick daraus drehen könnte, halte ich für wenig wahrscheinlich. Eine Abmahnung wegen fehlenden Impressums ist von daher auch nicht wirklich möglich. Haben sollten Schulhomepages ein Impressum aber auf jeden Fall.

Gibt es nicht doch Möglichkeiten, wo eine Schule wegen der Schulhomepage in Bezug auf Verletzungen des Datenschutz abgemahnt werden kann?

Schaut man sich die Rechtsbereiche an, bei denen Abmahnungen üblich sind, so ist schnell klar, dass bei Verstößen gegen die Datenschutzgesetzgebung, wenn es um Schulen geht, nicht mit Abmahnungen gerechnet werden muss. Möglich sind in sochen Fällen Beschwerden bei den Aufsichtsbehörden.

Ist eine fehlende oder fehlerhafte Datenschutzerklärung nicht doch ein Abmahnungsgrund?

Nein, auch nicht. Weder nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) noch nach dem Unterlassungsklagengesetz (UKlaG) ist hier eine Abmahnung möglich, denn in beiden Fällen geht es immer um kommerzielle Interessen des Betreibers der Homepage. Das ist bei einer Schule in öffentlicher Trägerschaft eindeutig nicht der Fall. Eine Datenschutzerklärung ist nach der DS-GVO natürlich trotz allem ein verpflichtender Bestandteil der Schulhomepage.

Fazit

Schulen brauchen sich, wenn es um das Thema Datenschutz und DS-GVO geht, bezüglich ihrer Schulhomepage keine Gedanken machen. Die Wahrscheinlichkeit, dass hier ein Abmahnanwalt ein Geschäft wittert, ist eher gering. Um eine Abmahnung erteilen zu können, braucht es eine Rechtsgrundlage und solange auf einer Schulhomepage keine Urheberrechtsverletzung begangen wird oder die Persönlichkeitsrechte einer Person missachtet werden, ist mit einer Abmahnung nicht zu rechnen. Trotzdem gelten auf jeden Fall die Vorgaben der Datenschutzgesetzgebung, die dazu anhalten die Erhebung von personenbezogenen Daten auf ein Minimum zu beschränken und Nutzer über die Erhebung in Kenntnis zu setzen, ihre Einwilligung einzuholen, wo erforderlich und die Datenverarbeitung über die Homepage allgemein mittels einer Datenschutzerklärung zu informieren.

Bitte beachten, für Privatschulen, die kommerziell betrieben werden, gelten obige Aussagen nicht uneingeschränkt.

Siehe auch:

In einer Reihe von Tweets hat die Rechtsanwältin Nina Diercks am 20.05.2018 sehr gut erklärt, wie es mit dem Abmahnrisiko für Websiten in Bezug auf die DS-GVO aussieht.

Link zum ersten Tweet: https://twitter.com/RAinDiercks/status/998079439727661056

Link zum restlichen Thread (11 Tweets): https://twitter.com/RAinDiercks/status/998080633464344576

Tipps zur Genehmigung für Lehrkräfte zur Nutzung von Privatgeräten auf neuesten Stand gebracht

Lesezeit: < 1 Minute

Sehr viel Neues gibt es nicht zur Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gem. § 2 Abs.2 VO-DV I / § 2 Abs.4 VO-DV II).

Die Tipps, wie man die Vorgaben einhalten kann, sind auf den neuesten Stand gebracht. Ergänzt ist als Thema Verschlüsselung für Geräte selbst und externe Medien wie USB Sticks, Festplatten etc.. Außerdem gibt es einen Hinweis auf eine Alternative zum Anlegen eines 2. dienstlichen Nutzers auf dem Rechner.

Tipps und Antworten für die Praxis – Genehmigung private Endgeräte (Google Doc – view only)

Nicht wirklich Neues in Bezug auf die Genehmigung für Privatgeräte in NRW

Lesezeit: 3 Minuten

Heute fanden die Schulen in NRW das angekündigte E-Mail von Staatssekretär Richter in ihren Postfächern. Wirklich Neues bringt dieses Mail nicht. Im Wesentlichen gibt es das wieder, was am 24.04.2018 gesagt wurde. Das E-Mail, welches unter [02.05.2018] Dienstanweisung für die automatisierte Verarbeitung von personen-bezogenen Daten in der Schule – BASS 10-41 Nr.4 nachzulesen ist, greift noch einmal die verschiedenen Punkte auf und spielt dabei die mit der Genehmigung verbundenen Probleme für Lehrkräfte etwas herunter. Entsprechend heißt es:

“Ich möchte Ihnen gegenüber versichern, dass die DA ADV keine neuen Standards setzt. Sie begründet keine neuen rechtlichen Verpflichtungen oder gar Verschärfungen im Datenschutz, sie gibt lediglich die aktuelle Rechtslage wieder. Die neugefasste DA ADV soll erklären und unterstützen.”

An anderer Stelle heißt es dann “der Genehmigungsvordruck ist eine Hilfestellung“. Von vielen Lehrkräften wird das nicht so empfunden. Sicher ist es richtig, dass Vorgaben vom Datenschutz einzuhalten sind, doch als Hilfe lässt sich die Genehmigung schwer verstehen, vor allem nicht, wenn von der Erfüllung der Vorgaben und dem Nachweis dessen abhängt, ob Land oder Lehrer haftet.

Interessant ist folgender Passus bezüglich der Kontrollfunktion der Schulleitung:

“Die geregelten Nachweispflichten beinhalten selbstverständlich nicht die Verpflichtung der Schulleitung, die privaten Endgeräte jeder einzelnen Lehrkraft persönlich zu überprüfen. Das wäre gar nicht leistbar.”

Das klang zeitweise anders. Stattdessen wird wieder auf die schulischen Datenschutzbeauftragten (DSB) verwiesen:

“Die dokumentierten Angaben sind zudem von der bzw. von dem zuständigen behördlichen Datenschutzbeauftragten an Schulen zu prüfen, insbesondere daraufhin, ob zu den erforderlichen Maßnahmen zur Datensicherheit abweichende Angaben erfolgt sind, die einer Genehmigung entgegen stehen könnten.”

Abweichende Angaben zu den erforderlichen Maßnahmen zur Datensicherheit, die sollen die DSB prüfen und feststellen, ob sie einer Genehmigung entgegenstehen. Auch für DSB ist eine solche Beurteilung schwierig, vor allem wenn sich die Angaben im Formular zum Gerät, für welches eine Genehmigung eingeholt werden soll, auf Seriennummer und Gerätename beschränken. Für eine solche Prüfung ist mehr erforderlich, z.B. der genaue Gerätetyp, am besten mit Modelljahr (vor allem bei Android Geräten wichtig) und die OS Version. Nach der Handreichung zur Genehmigung sind bei bestimmten Gerätetypen Abweichungen von den Vorgaben der Genehmigung in Teil B möglich, etwa weil sich bei iOS kein zweiter Nutzer einrichten lässt oder dort kein Virenschutz erforderlich ist.

Alte Genehmigungen gelten weiterhin,

“Ausdrücklich darauf hinweisen möchte ich, dass in der Vergangenheit erteilte Genehmigungen weiterhin Bestand haben. Die Neufassung der DA ADV löst keinen neuen Handlungsdruck aus.”

An den verschiedenen Schulen sind über die Jahre höchst unterschiedliche Genehmigungsformulare unterwegs gewesen. Viele dürften in ihrer Anlage weit von den Vorgaben entfernt sein, welche die neue Genehmigung verbindlich vorgibt.

In der VO-DV I, §2 Abs. (2) heißt es zu den Voraussetzungen für eine Genehmigung,

“bedarf der schriftlichen, ein Verfahrensverzeichnis gemäß § 8 DSG NRW enthaltenden Genehmigung […] Die Genehmigung darf nur erteilt werden, wenn […] ein angemessener technischer Zugangsschutz nachgewiesen wird.”

Was das MSB sich unter einem angemessenen technischen Zugangsschutz vorstellt, ist nicht weiter präzisiert und lässt so Spielraum für Interpretation. Für ein Verfahrensverzeichnis sind im DSG NRW Vorgaben gemacht, was enthalten sein sollte. Aber auch da ist ein gewisser Spielraum, wie genau dieses ausgestaltet ist. Das sieht man am alten vom LDI NRW erstellten Genehmigungsformular wie an der neuen Genehmigung.

Die alten Genehmigungen dürfen somit unbegrenzt weiter genutzt werden. Was die Schulleitung unter einem angemessenen technischen Zugangsschutz versteht, bleibt dem eigenen Gutdünken der jeweiligen Schulleitung überlassen. Wer eine Genehmigung hat, darf sich also freuen. Lehrkräfte, die neu an eine Schule kommen, müssen leider das neue Formular nutzen.

An der Haftungsfrage, welche sich für Lehrkräfte mit dieser Genehmigung verbindet, hat sich leider auch mit diesem E-Mail nichts geändert. Schade.

Für die Lehrkräfte und Schulleitungen, welche nun mit der neuen Genehmigung arbeiten müssen, verspricht der Staatssekretär weitere Information auf der Plattform des Landes.

Auch mit dem Thema Dienstgeräte will man sich von Seiten des Landes auseinandersetzen. Das Feld ist schwierig und man wird sehen, was sich daraus ergibt.

Mehr Erfolg werden vermutlich Bemühungen der Landesregierung NRW haben, wenn es um die Ausstattung mit weiteren Verwaltungsrechnern für die Schulen geht, an welchen Lehrkräfte arbeiten können.

Einwilligung bei Schulanmeldung für nicht von VO-DV I erfasste Daten einholen

Lesezeit: < 1 Minute

Bei der Aufnahme neuer Schüler an der Schule fragt man gerne nach zusätzlichen Kontaktmöglichkeiten für den Fall, dass die Erziehungsberechtigten einmal außer der Reihe kontaktiert werden müssen. “Wo können wir sie denn auf der Arbeit erreichen, falls mal etwas ist?” Kann die Schule Daten dieser Art einfach erheben? Was ist dabei aus Sicht des Datenschutz zu beachten?

Das Schulgesetz und die  VO-DV I § 1 sind in NRW die rechtliche Grundlage, auf welcher Schulen Daten der Betroffenen, sprich der Schüler bzw. der Erziehungsberechtigten, erheben und verarbeiten dürfen.

§ 1 (Fn 2)
Zulässigkeit der Datenverarbeitung, Datensicherheit

(1) Schulen und Schulaufsichtsbehörden sind gemäß § 120 Abs. 1 Satz 1, Abs. 3 in Verbindung mit § 3 SchulG, im Übrigen nach den allgemeinen datenschutzrechtlichen Vorschriften, berechtigt und verpflichtet, personenbezogene Daten

1. der Schülerinnen und Schüler,
2. der Eltern gemäß § 123 SchulG,
3. der Verpflichteten gemäß § 41 SchulG

in Dateien und/oder Akten zu verarbeiten, soweit diese Verordnung oder andere Rechtsvorschriften dies zulassen.

In der Anlage 1 zu VO-DV I sind diese Daten exakt aufgelistet. Unter diesen Daten befinden sich auch einige, deren Verarbeitung nicht auf gesetzlicher Grundlage möglich ist. Hierfür muss eine Einwilligung eingeholt werden. Dieses sollte direkt bei der Anmeldung an der Schule erfolgen.

Bei den Grunddaten gehören hierzu:

  • Foto (z.B. für die Schulverwaltungssoftware, zum Erstellen eines Schülerausweises, …)
  • Notfallinformationen
    • Art des Notfalls: Stichwort, Kurzinfo
    • Wichtige Person oder Institution: Name, Vorname, Bezeichnung, Erreichbarkeit: Anschrift Wohnsitz, Anschrift Arbeitsplatz, Telefon, Fax, E-Mail
  • zur Erreichbarkeit Mutter, Vater:
    • am Wohnsitz: E-Mail und Fax
    • am Arbeitsplatz: Telefon, E-Mail
  • zur Erreichbarkeit von Verpflichteten:
    • am Wohnsitz: Fax, E-Mail
    • am Arbeitsplatz: Telefon, E-Mail

Die Einwilligung zur Nutzung dieser Daten durch die Schule ist freiwillig und kann jederzeit ohne Angabe von Gründen ganz oder in Teilen widerufen werden.

Ein passendes Formular findet sich unter Einwilligungen-Schule

Müssen Einwilligungen neu eingeholt werden?

Lesezeit: 3 Minuten

Die meisten Schulen, mit denen ich zu tun habe, sichern die Nutzung aller personenbezogenen Daten, die nicht auf der Grundlage des Schulgesetzes NRW und der VO-DV I & II erhoben werden dürfen, durch Einholen einer Einwilligung bei den Betroffenen ab, also den Erziehungsberechtigten oder den Schülern, wenn diese 16 Jahre oder älter sind.

In der Datenschutz Grundverordnung (DS-GVO) sind die Vorgaben für eine rechtsgültige Einwilligung noch einmal etwas umfangreicher geworden. Damit ergibt sich mit dem Beginn der Umsetzung der DS-GVO am 25. Mai 2018 bei vielen Schulen die Frage, ob die bestehenden Einwilligungen weiterhin gültig sind oder durch neue DS-GVO konforme Einwilligungen ersetzt werden müssen.

In einer FAQs zur Datenschutz-Grundverordnung des BMI heißt es dazu:

Gelten Einwilligungen der Betroffenen nach altem Recht fort?
Gemäß Erwägungsgrund 171 Satz 3 Datenschutz-Grundverordnung gelten Einwilligungen dann fort und es bedarf keiner erneuten Einwilligung, wenn “die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht”. Die Bedingungen für die Fortgeltung bisher erteilter Einwilligungen unter der Datenschutz-Grundverordnung haben die Aufsichtsbehörden des Bundes und der Länder konkretisiert.”

Was bedeutet das?

Viele bestehende, an Schulen bisher genutzte Einwilligungen werden den Bedingungen der DS-GVO vermutlich nicht entsprechen. Die Antwort nennt einen Erwägungsgrund und eine Konkretisierung der Aufsichtsbehörden. Daraus lassen sich fünf Kriterien ableiten, welche für die Rechtswirksamkeit einer Einwilligung auf jeden Fall erfüllt sein müssen. Beschränkt man sich auf diese, sollten doch ein paar der alten Einwilligungen weiter Gültigkeit haben.

Erwägungsgrund 171 Satz 3

Im Erwägungsgrund 171 Satz 3 wird verwiesen auf die alte Richtlinie 95/46/EG, in welcher eine datenschutzrechtliche Einwilligung wie folgt definiert ist:

Einwilligung der betroffenen Person” jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, daß personenbezogene Daten, die sie betreffen, verarbeitet werden.

Es werden in der Richtlinie vier Kriterien vorgegeben für die rechtliche Wirksamkeit einer Einwilligung:

  • jede Willensbekundung – es muss klar erkennbar sein, dass die betroffene Person einwilligt1Dafür sind entsprechende Formulierungen in der Einwilligung erforderlich, z.B. ich willige ein, dass …; ich gebe meine Einwilligung …; ich stimme zu …; ich bin damit einverstanden, dass … und ähnlich.
  • ohne Zwang – es muss die Freiwilligkeit gegeben sein2Die Freiwilligkeit muss durch eine entsprechende Formulierung in der Einwilligung erwähnt werden. In bestimmten Situationen ist das Thema Freiwilligkeit eine schwierige Situation. In Schule sollte Freiwilligkeit jedoch immer Grundlage jeder Einwilligung sein.
  • für den konkreten Fall – es muss ein konkreter Zweck genannt sein, Pauschaleinwilligungen sind von vornherein rechtlich unwirksam
  • in Kenntnis der Sachlage – die betroffene Person muss die Folgen der Einwilligung abschätzen können. Es geht um eine informierte Einwilligung.3Dieses Kriterium ist etwas schwammig und sollte bei den meisten alten Einwilligungen kein Problem sein, außer es geht um Verarbeitungsformen, bei denen nicht erwartet werden kann, dass die betroffene Person von sich aus abschätzen kann, welche Folgen die Verarbeitung für sie haben können.

Konkretisierung der Aufsichtsbehörden

Die Aufsichtsbehörden heben in ihrem Beschluss zwei Kriterien besonders hervor, die zwingend erfüllt sein müssen4Die Informationspflichten nach Artikel 13 DS-GVO waren nach den alten Vorgaben noch keine Pflicht und müssen dafür nicht erfüllt sein, da sie keine Bedingungen im Sinne des genannten Erwägungsgrundes (Erwägungsgrund 171, Satz 3) sind. Sie sind also keine Bedingung für die Gültigkeit einer alten Einwilligung., damit eine alte Einwilligung weiterhin Gültigkeit behalten kann: Freiwilligkeit5wie sie sich aus der Definition einer Einwilligung in Richtlinie 95/46/EG ergibt und Altersgrenze von 16 Jahren6Diese Altersgrenze gab es so bisher nicht. Sie ist mit der DS-GVO neu hinzugekommen.

Fünf Kriterien für rechtliche Wirksamkeit einer alten Einwilligung

Zusammengefasst ergeben sich so aus dem Erwägungsgrund und den Ausführungen der Aufsichtsbehörden die folgenden fünf Kriterien:

  1. Wenn also die Einwilligung keinen Passus hat bezüglich der Freiwilligkeit der Einwilligung oder die Freiwilligkeit bei der Einwilligung nicht gegeben war, so ist sie ab dem 25.05.2018 ungültig.
  2. Hat ein Schüler, der jünger als 16 Jahre ist, eingewilligt, oder war zum Zeitpunkt der Einwilligung weniger als 16 Jahre alt, so ist die Einwilligung ebenfalls nicht weiter gültig.
    • Ist der Schüler unter 16 Jahre alt, muss die Einwilligung bei den Erziehungsberechtigten eingeholt werden.
    • Ist der Schüler 16 Jahre oder älter, kann er/sie die Einwilligung selbst erteilen.
  3. Informierte Einwilligung
  4. klar definierter Zweck bzw. Zwecke
  5. klar erkennbare Willensbekundung

Das bedeutet für Schulen

Es müssen alle bestehenen Einwilligungen für die Verarbeitung von personenbezogenen Daten daraufhin überprüft werden, ob sie diesen fünf Kriterien entsprechen. Ist nur ein Kriterium nicht erfüllt, ist die Einwilligung nicht länger gültig und sollte neu eingeholt werden. Dazu gehören:

  • Nutzung von personenbezogenen Daten und Fotos auf der Schulhomepage und in der lokalen Presse.
  • Erstellung von Videos und Audioaufnahmen im Unterricht.
  • Nutzung des WLAN der Schule7Da dieses nahezu immer mit einer Verarbeitung personenbezogener Daten und einer entsprechenden Einwilligung verbunden ist..
  • Nutzung der Computer/ Tablets/ des Computer Raums.8Da dieses nahezu immer mit einer Verarbeitung personenbezogener Daten und einer entsprechenden Einwilligung verbunden ist.
  • Nutzung von Kontaktmöglichkeiten von Erziehungsberechtigten nach VO-DV I Anl. 1, die auf einer Einwilligung beruhen (z.B. E-Mail, berufliches Telefon & E-Mail, …)9Achtung! Hier können natürlich nur die Erziehungsberechtigten selbst einwilligen, nicht der Schüler ab 16 Jahren.
  • Nutzung einer Lernplattform/ eines LMS/ …10Da dieses bisher nahezu immer mit einer Verarbeitung personenbezogener Daten und einer entsprechenden Einwilligung verbunden ist.

Vorlagen für den Vorgaben der DS-GVO entsprechende Einwilligungen finden sich unter Service-Downloads > Einwilligungen Schule (NRW).

Muss der Datenschutzbeauftragte auf die Schulhomepage?

Lesezeit: 2 Minuten

Die Europäische Datenschutz Grundverordnung (DS-GVO) ist zwar schon in Kraft, wird aber noch nicht umgesetzt. Am 25.05.2018 ist es soweit. Viele Schulen sind aus diesem Grund aktuell dabei, ihren Internetauftritt an die Vorgaben anzupassen. Dabei taucht auch immer wieder die Frage auf, muss auf der Homepage ein Datenschutzbeauftragter genannt werden?

Was sagen das Gesetz und die Literatur?

In dem Beitrag Oft gefragt: Muss der Datenschutzbeauftragte zwingend auf der Internetseite genannt werden? ging die itrecht Kanzlei München der Frage schon 2015 nach. Seinerzeit ließ sich aus dem BDSG keinerlei solche Notwendigkeit ableiten.

Aber mit der DS-GVO ändert sich dieses nun. Zwar gibt es auch hier keine Stelle im Gesetzestext, wo eine spezielle Erfordernis zur Veröffentlich auf der Webseite der Institution ausdrücklich benannt ist, doch Datenschutzexperten leiten aus anderen Aussagen eine Notwendigkeit ab. Art. 37 DSGVO Benennung eines Datenschutzbeauftragten führt in Abs. 7 aus:

“Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten …”

Eine entsprechende Passage findet sich im neuen Bundesdatenschutzgesetz §5 Benennung Abs. 5:

“Die öffentliche Stelle veröffentlicht die Kontaktdaten der oder des Datenschutzbeauftragten …”

Entsprechend kommen Datenschutzexperten zu dem Schluss:

“Ist ein DSB benannt, sind dessen Kontaktdaten (mindestens Anschrift, E-Mail-Adresse, nicht jedoch der Name, vgl. Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, Kap. 6, Rn. 19) zu veröffentlichen, z. B. auf der Website des Verantwortlichen.”

Koreng/Lachmann

“Eine spezielle Form der Veröffentlichung sieht das Gesetz nicht vor. Aus dem Zweck des Gesetzes folgt jedoch, dass beispielsweise ein Aushang am Unternehmenssitz nicht genügt. Vielmehr wird zu verlangen sein, dass die Angaben an gut auffindbarer Stelle in der WWW Seite gemacht werden (vergl. Helfrich in HK-EuDSchVO Art 37 Rn 129), etwa im Impressum und einer eventuellen Datenschutzerklärung.” … “Zu den Kontaktdaten gehört nicht der Name des Datenschutzbeauftragten: Das Gesetz unterscheidet zwischen dem Namen und den Kontaktdaten des Datenschutzbeauftragten”

Kühling/Buchner

Als vertrauensbildende Maßnahme wird in dieser Literatur empfohlen, auch den Namen des DSB zu veröffentlichen.

Was bedeutet das für die Schulhomepage?

Es empfiehlt sich, auf der Schulhomepage entweder in der Datenschutzerklärung selbst oder im Impressum eine Angabe zum Datenschutzbeauftragten zu machen. Genannt werden kann dabei entweder der behördlich bestellte schulische Datenschutzbeauftragte oder eine Person aus der Schule, welche als Datenschutzbeauftragter benannt wurde.

Es ist dabei jedoch nicht erforderlich, den Namen der Person zu nennen. Anschrift und E-Mail Adresse genügen. Für Nutzer der Webseite wird es sicher schöner sein, wenn sie in Bezug auf den Datenschutz auch einen Namen finden, der für eine Person steht, an die man sich wenden kann. Wenn von Seiten des/der Datenschutzbeauftragten keine Einwände bestehen, sollte man dann auch den Namen nennen.