Wenn Eltern personenbezogene Daten per E-Mail an die Schule senden …

Lesezeit: 3 Minuten

Es kommt immer wieder einmal vor, dass Eltern personenbezogene Daten via E-Mail an Lehrkräfte oder die Schule übermitteln. Mal ist es das eingescannte oder abfotografierte ärztliche Attest, mit welchem das Kind entschuldigt werden soll oder es ist eine Krankmeldung mit ausführlicher Darstellung des Befundes. Mitunter übermitteln Eltern auch Unterlagen, welche bei der Anmeldung an einer Schule vorzulegen sind, vom letzten Grundschulzeugnis bis zur Geburtsurkunde.

Auch aus diesem Grund wird von Lehrkräften immer mal wieder die Frage gestellt, ob sie dann den Eltern auf gleichem Wege antworten dürfen und dabei auch personenbezogene Daten übermitteln können?

Die E-Mail-Adresse, welche von Erziehungsberechtigten bei der Anmeldung an der Schule angegeben wird, kann selbst verständlich genutzt werden, um allgemeine Informationen an die Eltern zu übermitteln. Das können der schulische Newsletter sein, das Elternrundschreiben, die Informationen zur nächsten Klassenfahrt und ähnlich.

Schreiben Eltern, die gerade dabei sind, ihre Kinder an der Schule anzumelden, der Schule per E-Mail, so kann die Schule auf gleichem Wege antworten. Eltern müssen damit rechnen, dass ein E-Mail Empfänger, hier die Schule, die Absenderadresse nutzt, um seine Antwort an diese zu richten. Allerdings sollte sich die Schule davor hüten, auf diesem Wege personenbezogene Daten an die Eltern zu übermitteln. Wenn die Schule per E-Mail Unterlagen erhält, kann sie den Empfang dieser auf gleichem Wege bestätigen und sollte die Eltern dabei darauf hinweisen, dass dieser Weg der Übermittlung unsicher ist und man davon abrät, personenbezogene Daten des Kindes, vor allem sensible personenbezogene Daten, auf diesem Wege an die Schule zu übermitteln. Abhalten kann man die Eltern letztlich nicht von ihrem Handeln. Sie tun es in eigener Verantwortung und auf eigenes Risiko.

Die Schule auf ihrer Seite kann dieses nicht tun. Wenn sie als verantwortliche Stelle personenbezogene Daten verarbeitet, muss die Sicherheit der Verarbeitung gewährleistet sein. Das schließt auch die Übermittlung von personenbezogenen Daten ein. Selbst mit Einwilligung der Eltern sollte von einer ungeschützten Übermittlung von sensiblen personenbezogenen Daten per E-Mail abgesehen werden.1In Österreich wurde 2018 eine Strafe gegen eine Tagesklinik verhängt, weil diese Patientendaten unverschlüsselt an Patienten übermittelt hatte, mit Einwilligung der Patienten. „Die Datenschutzbehörde stellte in ihrer Entscheidung (DSB-D213.692/0001-DSB/2018) klar, dass Einwilligungserklärungen den (hohen) Anforderungen der DSGVO genügen müssen und dass eine Einwilligung der betroffenen Person nicht dazu dienen kann, um (ungenügende) Datensicherheitsmassnahmen zu rechtfertigen.“ Quelle: Datenschutzbehörde Österreich: Einwilligung in den unverschlüsselten Versand von Patientendaten ist unwirksam; 31.05.2019; abgerufen am 07.03.2020

Welche Möglichkeiten haben Schulen, Eltern personenbezogene Daten zu übermitteln?

Es bleiben immer die klassischen Möglichkeiten, Eltern wichtige personenbezogene Daten per Post oder telefonisch zu übermitteln. Je nach Situation sind diese beiden Möglichkeiten aber nicht passend, etwa da Briefe zu lange brauchen, bis sie beim Empfänger ankommen, oder da einige Eltern telefonisch schwer erreichbar sind. Alternativ können Schulen auch sichere Messenger nutzen oder spezialisierte Apps für Schulen mit Funktionen zur Übermittlung von Nachrichten. WhatsApp, das auch bei Eltern weit verbreitet ist, bietet zwar eine sichere Ende-zu-Ende Verschlüsselung, kann aber von Schulen nicht für die Übermittlung von Nachrichten mit personenbezogenen Daten an Eltern genutzt werden, da die datenschutzrechtlichen Voraussetzungen insgesamt nicht gegeben sind. NRW gesteht Lehrkräften momentan die Möglichkeit zu, Eltern Nachrichten, auch mit personenbezogenen Daten, über WhatsApp zu übermitteln, wenn dieses im gegenseitigen Einvernehmen erfolgt.  2Wenn Lehrkräfte mit Eltern sowie Schülerinnen und Schülern über WhatsApp kommunizieren und personenbezogenen Daten übermittelt werden, liegt dies daher im persönlichen Ermessen aller Beteiligten und ist keine von der Schulleitung zu verantwortende dienstliche Kommunikation. Sinnvollerweise ist eine schriftliche Einverständniserklärung der betroffenen Personen bzw. der Erziehungsberechtigten für diese Form der Kommunikation einzuholen.Fragen zur Kommunikation mit Eltern, Medienberatung NRW, abgerufen am 09.03.2020; Zu empfehlen ist dieses jedoch nicht, mag aber manchmal vielleicht die einzige Möglichkeit sein. Andere Bundesländer sind hier deutlich restriktiver und untersagen Schulen und Lehrkräften die Kommunikation mit WhatsApp grundsätzlich.  

Es gibt allerdings gute Alternativen zu WhatsApp und E-Mail. Am Markt haben sich mittlerweile gut ein Dutzend Anbieter etabliert, welche spezielle Kommunikationsplattformen für Schulen entwickelt haben. Viele dieser Plattformen bieten außer Kommunikation weitere für Schulen nützliche Funktionen. Darüber hinaus gibt es neben WhatsApp auch einige reine Messenger, die datenschutzkonform nutzbar sind für Schulen. Ein Überblick über Messenger und Plattformen für Schulen mit Kommunikationsfunktionen, die für eine offizielle Nutzung durch Schule in Frage kommen, finden sich unter Schulische Plattformen (Kommunikation).

Brauchen Schülerfotos mit unkenntlich gemachtem Gesicht eine Einwilligung?

Lesezeit: 3 Minuten

Die Frage, ob man bei Fotos auf denen Personen abgebildet sind, um die lästige Einwilligung umhin kommen kann, wenn man die Gesichter der abgebildeten Personen unkenntlich macht, stellen sich Lehrkräfte in Schule immer wieder. Manchmal sind es bloggende Lehrkräfte aus dem Twitterlehrerzimmer, die einen Einblick in ihre Unterrichtsprojekte mit digitalen Medien geben möchten, oder es geht Lehrkräfte, die mit ihren Schülern Projekte aus dem Unterricht im Klassen-Blog vorstellen möchten. Auch bei der Erstellung von Präsentationen für den Informationsabend für Eltern neuer Schüler stellt sich die Frage immer wieder, wenn man im Archiv nach brauchbaren Aufnahmen sucht, welche den Unterricht und dasSchulleben anschaulich illustrieren.

Gemein ist allen Beispielen, dass es um Personenaufnahmen geht und deren Veröffentlichung setzt in den meisten Fällen eine Einwilligung der Betroffenen voraus1Siehe hierzu auch den Beitrag Alte Klassenfotos für Festschrift und Ausstellung nutzen – geht das?, wo Ausnahmen beschrieben sind, bei denen keine Einwilligung erforderlich ist, auch wenn die betroffene Person erkennbar abgebildet ist.. Während es im ersten und zweiten Beispiel um aktuelle Aufnahmen geht, sind im dritten Beispiel oft auch ältere Aufnahmen betroffen, Fotos, auf denen Schüler abgebildet sind, die nicht einmal mehr auf der Schule sind. Eine Einwilligung für die geplanten Veröffentlichungszwecke liegt dort meist nicht vor und kann auch nicht mehr eingeholt werden. Die bloggenden Lehrkräfte bzw. Lehrkräfte, die mit ihren Schülern im Unterricht einen Internetauftritt gestalten, hätten zwar die Möglichkeit, Einwilligungen einzuholen, versuchen aber, um die lästige Formalie herumzukommen.

Bild von Toller Unterricht verlinkt. Im unteren Bild sind die abgebildeten Schüler vermutlich eher nicht zu identifizieren. Eine Einwilligung dürfte dort nicht erforderlich sein. Beim oberen Bild könnte von den beiden Schülern vorne, zumindest der rechts sitzende Schüler anhand der Kleidung erkennbar sein, auch über die Klassen- oder Kursgruppe hinaus.

Immer wieder wird deshalb die Frage an Datenschutzbeauftragte gerichtet, ob es reicht, die Gesichter mit einem Smiley 😀 zu überdecken oder sonst unkenntlich zu machen, um die Fotos dann ohne vorliegende Einwilligung für Zwecke wie die oben beschriebenen nutzen zu können?

Auch mit unkenntlich gemachten Gesichtern fallen Personenabbildungen weiterhin unter die DS-GVO und KUG, solange die abgebildeten Personen erkennbar bleiben, wie der Tweet von Jörn Erbguth beschreibt.

Bei Bildern, auf denen Gesichter durch Smileys überdeckt oder anders unkenntlich gemacht sind,  fällt zwar das Gesicht als identifizierendes Merkmal weg, doch es verbleiben oftmals viele weitere Merkmale, wie die Kleidung, Statur und Körpergröße. An diesen können zumindest Personen, welche die Schüler kennen, diese meist problemlos identifizieren.2Darüber hinaus ist nicht auszuschließen, dass über entsprechende Programme und weiteres vorliegendes Bildmaterial aus anderen Quellen eine Identifizierung der abgebildeten Schüler möglich ist, wenn die Aufnahmen im Internet veröffentlicht werden.

Auch wenn alle Gesichter auf einer Aufnahme unkenntlich gemacht wurden, bedeutet dieses nicht automatisch, dass solche Fotos von Schülerinnen und Schülern ohne Einwilligung der Betroffenen veröffentlicht werden können. Dabei ist es unerheblich, ob es sich um eine Nutzung der Aufnahmen auf einer Website handelt oder um eine Nutzung für eine Präsentation, welche interessierten Eltern bei der Vorstellung der Schule am Informationsabend gezeigt wird.

Da die Identifizierung der Schüler durch das Unkenntlichmachen jedoch nur für einen kleinen Personenkreis aus dem unmittelbaren Umfeld der Schüler möglich ist, sollte für Eltern kaum etwas dagegen sprechen, Lehrkräften bzw. der Schule der Kinder eine Einwilligung zur Nutzung derart bearbeiteter Aufnahmen für die in den Beispielen beschriebenen Zwecke zu erteilen. Dass die Aufnahmen entsprechend bearbeitet werden, um die Identität der Kinder zu schützen, sollte in der Einwilligung deshalb ausdrücklich erwähnt werden.3 Normalerweise werden Einwilligungen für die Anfertigung und Nutzung bzw. Veröffentlichung von Aufnahmen in der Schule immer gegenüber der Schulleitung erteilt. Im Fall, dass eine Lehrkraft Fotos für ihr privates Lehrerblog nutzen möchte, muss die Einwilligung gegenüber der Lehrkraft erteilt werden. Die Lehrkraft sollte dieses jedoch mit der Schulleitung absprechen und diese Information entsprechend in die Einwilligung mit aufnehmen, eventuell sogar mit einer Unterschrift der Schulleitung. Eine Ausnahme bilden nur solche Aufnahmen, bei denen über das unkenntlich gemachte Gesicht hinaus keine weiteren Merkmale erkennbar sind, die es zulassen würden, die abgebildete Person zu identifizieren.

Auch bei Aufnahmen, bei welchen Schülerinnen und Schüler so fotografiert werden, dass sie nicht direkt in die Kamera schauen, muss darauf geachtet werden, ob sie trotzdem noch einfach zu erkennen sind, zumindest für die Personen in ihrem Umfeld. Ist das der Fall, sollte über eine Einwilligung nachgedacht werden.

Wie gut Algorithmen zur Gesichtserkennung mittlerweile sind, zeigt der Beitrag Gesichtserkennung und Identifikation trotz Atemmaske möglich von Datenschutz-Notizen.de und die Entwicklung geht hier in großen Schritten weiter.

Brexit und die Folgen für Schule aus Datenschutzsicht

Lesezeit: 2 Minuten

Großbritannien hat zum 01.02.2020 die EU verlassen. Bis zum 31.12.2020 gilt eine Übergangsfrist, während der die Vereinbarungen und Abkommen der EU weiterhin Bestand haben. Damit hat auch die DS-GVO noch bis Ende diesen Jahres Bestand auf der britischen Insel. Schulen können in dieser Zeit problemlos Apps1Apps meint hier solche, deren Nutzung eine Onlineanbindung an die Server des Anbieters erfordert. und Online-Plattformen britischer Anbieter mit Schülerinnen und Schülern nutzen, wenn deren Einsatz auch bisher den Anforderungen aus Schul- und Datenschutzrecht entsprach.

Sofern britische Anbieter ihre Verarbeitung personenbezogener Daten in diesem Zeitraum jedoch nicht für die Zeit nach Ende der Übergangsfrist umstellen, wird eine Nutzung für Schulen in der EU nicht länger möglich sein. Warum ist das so?

Nach dem Ende der Übergangsfrist gilt in Großbritannien nicht mehr die DS-GVO. Großbritannien gilt dann als ein sogenanntes unsicheres Drittland. Eine Übermittlung bzw. Verarbeitung von personenbezogenen Daten in einem Drittland ist nur möglich, wenn es

  • entweder ein Abkommen zwischen der EU und Großbritannien gibt oder
  • für Großbritannien ein Angemessenheitsbeschluss besteht oder
  • die EU Standardvertragsklauseln angewendet werden können oder
  • man eine Art EU UK Privacy Shield aushandelt, nach welchem Anbieter sich selbst zertifizieren können.

Die Möglichkeit, mit Erlaubnis der Aufsichtsbehörde einen Vertrag mit dem Anbieter abzuschließen, welche die Sicherheit und den Schutz der personenbezogenen Daten garantiert, besteht für Unternehmen und kommt für Schulen wohl eher nicht in Betracht.

Die britische Regierung hat bereits angekündigt, dass man von den Regelungen der DS-GVO abweichen und stattdessen eigenes Datenschutzrecht schaffen will. Das wird es deutlich erschweren, eine zeitnahe Lösung für eine Rechtsgrundlage auszuhandeln, auf welcher personenbezogene Daten aus der EU in Großbritannien verarbeitet werden können.

Das bedeutet

für britische Anbieter von Apps und Online-Plattformen im Bildungsbereich, dass sie andere Lösungen finden müssen, um Schulen in der EU auch nach dem Ende der Übergangsfrist eine datenschutzkonforme Nutzen zu ermöglichen. In der Praxis lässt sich dieses am leichtesten umsetzen, wenn die Verarbeitung und Speicherung der personenbezogenen Daten von Schülerinnen und Schülern aus der EU in ein EU-Land verlegt wird.2Möglich wäre auch die Nutzung eines Serverstandortes in einem Drittland, für welches ein Angemessenheitsbeschluss besteht, die EU Standardvertragsklauseln gelten oder es ein sonstiges Abkommen mit der EU gibt. Ein Serverstandort innerhalb der EU oder des EWR wird jedoch die einfachste und sicherste Lösung sein.

für Schulen hängt die Bedeutung des Endes der Übergangsfrist davon ab, ob der Anbieter eine Lösung gefunden hat, die es ihnen erlaubt, sein Produkt weiterhin datenschutzkonform zu nutzen oder nicht.

  • Schafft es der Anbieter nicht, Schulen nach Ende der Übergangsfrist eine datenschutzkonforme Lösung anzubieten, sind Schulen gezwungen, die Nutzung des Apps bzw. der Plattform mit dem Ende der Übergangsfrist einzustellen. Sämtliche Nutzerkonten sind bis dahin zu löschen. Erstellte digitale Medien sollten, sofern sie personenbezogene oder -beziehbare Daten enthalten, heruntergeladen oder in eine andere Plattform übertragen werden, bevor sie ebenfalls zu löschen sind.
  • Kann der Anbieter eine neue, datenschutzkonforme Lösung anbieten, sind gegebenenfalls bestehende Verträge zur Auftragsverarbeitung zu überprüfen und an die neuen Bedingungen anzupassen.

Nachtrag 28.02.2020

In einem im Februar veröffentlichten Strategiepapier der britischen Regierung „The Future Relationship with the EU – The UK’s Approach to Negotiations“ strebt man einen Angemessenheitsbeschluss an3Data Adequacy

59. The UK will have an independent policy on data protection at the end of the transition period and will remain committed to high data protection standards.
60. To maintain the continued free flow of personal data from the EU to the UK, the UK will seek ‘adequacy decisions’ from the EU under both the General Data Protection Regulation and the Law Enforcement Directive before the end of the transition period. These are separate from the wider future relationship and do not form part of trade agreements. This will allow the continued free flow of personal data from the EEA States to the UK, including for law enforcement purposes. The European Commission has recognised a number of third countries globally as providing adequate levels of data protection.
61. On a transitional basis, the UK has allowed for the continued free flow of personal data from the UK to the EU. The UK will conduct assessments of the EEA States and other countries under an independent international transfer regime.
62. The UK will also seek appropriate arrangements to allow continued cooperation between the UK Information Commissioner’s Office and EU Member State data protection authorities, and a clear, transparent framework to facilitate dialogue on data protection issues in the future.

abgerufen am 28.02.2020 unter https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/868874/The_Future_Relationship_with_the_EU.pdf
. Ob und wann es dazu kommt, ist aktuell nicht abzusehen.

 

Google Analytics und Schulhomepage

Lesezeit: 2 Minuten

Lange Zeit war Google Analytics ein beliebtes Tool für die Betreiber von Websites, Informationen über die Anzahl der täglichen Besucher, besuchte Seiten, verwendete Suchbegriffe und ähnlich zu erhalten. Dass man damit auch Google die Türe öffnete, umfangreich Informationen über die Website Besucher zu sammeln, war dabei nur wenigen bewusst. Auch auf Schulhomepages wurde das kostenlose Tool häufig verwendet, bis zum Beginn der Umsetzung der DS-GVO. Mit der dann einsetzenden Unsicherheit bezüglich der rechtlichen Zulässigkeit einer Nutzung verabschiedeten sich viele Schulen von Google Analytics und wechselten zu datenschutzfreundlicheren Alternativen oder verzichteten komplett auf eine Erhebung und Auswertung der Besucherzahlen.

Mittlerweile haben sich einige Veränderungen ergeben. Google hat nachgebessert bei den Administrationsmöglichkeiten in Google Analytics. Das hat auch Auswirkungen auf die datenschutzrechtliche Zulässigkeit der Nutzung dieses Tools.*

Nach Aussagen des Bayerischen Landesamtes für Datenschutzaufsicht im 9. Tätigkeitsbericht (2019) ist eine Nutzung von Google Analytics durchaus möglich, auch ohne Einwilligung, setzt dann jedoch die richtige Konfiguration des Tools voraus. Entsprechend heißt es im Bericht auf S. 30f:

Google Analytics kann datenschutzkonform eingesetzt werden. Voraussetzung dafür ist aber, dass der Website-Betreiber neben der erforderlichen Information auch die notwendigen Konfigurationen vornimmt.

Schulen, die auf ihrer Homepage noch immer Google Analytics nutzen, sollten also unbedingt prüfen, ob sie das Tool so eingestellt haben, dass keine Daten mit Google geteilt werden. Standardmäßig ist die sogenannte „Datenfreigabe“ an Google durch den Dienst aktiviert. Sie muss durch die Schule deaktiviert werden, um eine datenschutzfreundliche Nutzung zu ermöglichen. Die Einstellungen findet man unter Tab Verwaltung > Kontoeinstellungen > „Einstellungen für die Datenfreigabe“. Wie im Screenshot gezeigt, sollten keine der Optionen ausgewählt sein.

Auch wenn mit diesen Einstellungen keine Einwilligung der Seitenbesucher zur Nutzung von Google Analytics mehr einzuholt werden muss, ist eine Information über den Einsatz des Tools zur Reichweitenmessung in der Datenschutzerklärung der Homepage notwendig.

Nicht zu vergessen ist, dass auch ohne eine Weitergabe der Analytics Daten an Google ein Vertrag zur Auftragsverarbeitung mit Google weiterhin erforderlich ist und auch die IP Nummern der Nutzer nicht vollständig erfasst werden sollten.1Weitere Informationen dazu finden sich bei Google unter https://support.google.com/analytics/answer/3379636 Dort finden sich im Menü auf der rechten Seite auch Informationen zu Einstellungen und zum Thema IP-Anonymisierung; abgerufen am 29.01.2020

Mit diesem Beitrag sollen Schulen ausdrücklich nicht motiviert werden, Google Analytics zu nutzen. Es gibt andere Werkzeuge, die aus Sicht des Datenschutz eindeutig sicherer sind. Der Beitrag richtet sich an Schulen, die das Google Tool weiterhin nutzen.

* Der Beitrag stellt die datenschutzrechtliche Lage mit Stand von Januar 2020 dar. Bitte beachten Sie, dass sich durch Änderungen Seitens Google eine neue datenschutzrechtliche Bewertung bezüglich der Zulässigkeit einer Nutzung von Google Analytics ergeben kann.

Datenschutz im schulischen Förderverein

Lesezeit: 3 Minuten

Fördervereine und Schulen sind oft sehr eng miteinander verwoben, durch Personen, die nicht nur Mitglieder im Förderverein sind, auch mit Funktionen, sondern auch Lehrkräfte, Eltern oder Schulleitung. Gerade diese enge Verzahnung muss auch beim Thema Datenschutz beachtet werden. Darüber hinaus unterliegt jeder Förderverein aber auch den datenschutzrechtlichen Vorgaben, wie sie für jeden Vereine gelten.

Förderverein und Schule sind datenschutzrechtlich zu trennen

Im Alltag kommt es immer wieder vor, dass zwischen Förderverein und Schule Namenlisten und Adressen austauscht werden. Die Schule hat alle aktuellen Daten von Schülern und Eltern. Der Förderverein braucht aktuelle Adressen und je nach Art der Zusammenarbeit möchte man von Seiten des Fördervereins auch immer mal wieder Informationen haben. Und dann gibt es noch das heikle Thema der Anträge an den Förderverein. Vor allem beim Austausch von Informationen zwischen Schule und Förderverein wird oftmals gegen geltendes Datenschutzrecht verstoßen, da er ohne eine Einwilligung der Betroffenen erfolgt.

Grundsätzlich sollten sowohl Förderverein wie auch Schule beachten, dass eine Übermittlung von personenbezogenen Daten für beide Seiten eine Einwilligung der betroffenen voraussetzt. Das heißt:

  • Anträge, bei welchen es um die Bezuschussung von Schülerinnen und Schülern geht, sollten aus Gründen des Datenschutz nie die Namen der betroffenen Personen enthalten. Zur Bewilligung von Anträgen ist die Kenntnis der Namen der Betroffenen auch nicht erforderlich.
  • Wenn der Förderverein wegen der Aktualisierung von einer oder mehreren Adressen bei der Schule anfragt, kann die Schule hier nur weiterhelfen, wenn sie zuvor die Einverständnis der Betroffenen eingeholt hat.
  • Wenn es um Mitgliederwerbung geht, ist es für die Schule immer einfacher, wenn der Förderverein Anmeldezettel an Eltern verteilt. Will eine Schule eine Liste mit den Adressen der Eltern an den Förderverein übermitteln, so braucht sie dafür die ausdrückliche Einwilligung aller dieser Eltern.

Das gilt auch, wenn Personen aus dem Kollegium oder der Schulleitung im Fördererein tätig sind. Aus Datenschutzgründen müssen die Rollen klar getrennt sein.

Anmeldung im Förderverein

Bei der Anmeldung am Förderverein werden personenbezogene Daten erhoben, um mit den Mitgliedern in Kontakt zu treten (Information über die Arbeit, Einladung zu Versammlungen, …) und die Mitglieder zu verwalten. Zu letzterem gehört auch der Zahlungsverkehr im Zusammenhang mit den Mitgliedsbeiträgen. Vielfach wird in Vereinen bei Anmeldungen von den Betroffenen eine Einwilligung in die Verarbeitung von personenbezogenen Daten eingeholt. Das ist nach Ansicht von Fachjuristen und Aufsichtsbehörden nicht erforderlich.1Quelle des Zitats unten: 9. Tätigkeitsbericht (2019) des Bayerischen Landesamtes für Datenschutzaufsicht 

Eine Einwilligung wird für diesen Verarbeitungszweck jedoch grundsätzlich nicht benötigt. Denn gemäß Art. 6 Abs. 1 Buchst. b DS-GVO ist geregelt, dass die Verarbeitung personenbezogener Daten zulässig ist, wenn sie zur Erfüllung eines Vertrages erfolgt. Da das Mitgliedschaftsverhältnis ein vertragsähnliches Rechtsverhältnis ist (vgl. BGHZ 110, 323, 327), ist die Verarbeitung für Zwecke, die zur Durchführung des Mitgliedschaftsverhältnisses erforderlich sind, auf Grundlage von Art. 6 Abs. 1 Buchst. b DS-GVO zulässig. Gleiches gilt aber auch für Verarbeitungstätigkeiten, die zur Erreichung weiterer Zwecke erforderlich sind, die als solche hinreichend deutlich als Vereinszwecke in der Satzung des Vereins angelegt sind.

Immer erforderlich ist bei der Anmeldung allerdings eine Information über die Verarbeitung von personenbezogenen Daten nach Art. 13 DS-GVO. Dazu gehört auch eine Information über die Rechte der Betroffenen.

Beitrittsformular

Da nach Einschätzung verschiedener Experten ein Mitgliedsverhältnis in einem Verein einer vertraglichen Erlaubnis sehr ähnlich ist, kann die Verarbeitung der personenbezogenen Daten von Vereinsmitgliedern, wie oben beschrieben, auf Grundlage von Art. 6 DSGVO Abs. 1 Satz 1 lit. b –  Vertrag/Vorvertrag – erfolgen. 1 Eine Einwilligung ist damit nicht erforderlich.

Weitere Informationen zu Datenschutz und Förderverein

Die Broschüre „Datenschutz im Verein nach der Datenschutz-Grundverordnung“ der LDI NRW deckt alle Bereiche ab, welche einen Verein in Bezug auf Datenschutz betreffen können. In der sehr umfangreichen Schrift werden auch Themen behandelt, welche für kleinere Vereine, die nur wenige personenbezogene Daten verarbeiten und meist auch keine umfangreichen Verarbeitungsprozesse durchführen, weniger relevant sind.

Auch aus Bayern gibt es Hilfen für Vereine unter DSGVO für Vereine: Fragen und Antworten

Bewerbungsverfahren und Datenschutz

Lesezeit: < 1 Minute

Schulen stellen nicht nur Lehrkräfte ein, welche ihnen von Seiten des Landes zugewiesen werden, sondern führen auch Einstellungen durch im Rahmen von schulscharfen Auswahlverfahren. Bewerber schicken dabei ihre Bewerbungsunterlagen direkt an die Schule. Neben diesem offiziellen Weg landen auch schon einmal Initiativbewerbungen im Schulbüro. Dazu kommen noch Krankheitsvertretungen und Elternzeitvertretungen. Die Bewerbungen können dabei unterschiedliches Format haben. Neben den klassischen Bewerbungsmappen landen auch Bewerbungen in digitaler Form als E-Mail mit Anhang bei den Schulen. Bewerbungs- bzw. Einstellungsverfahren sind Verarbeitungsvorgänge, bei denen es sogar um recht sensible personenbezogene Daten gehen kann.

Wie bei jeder Datenverarbeitung sind Betroffene entsprechend Art. 12 DS-GVO über die Verarbeitung ihrer Daten zu informieren. Das erfolgt am besten, wenn den Bewerbern der Eingang ihrer Bewerbung schriftlich bestätigt wird. Zu berücksichtigen sind entsprechend je nach Bewerber Angaben nach Art. 13 (bezüglich der Bewerbungsunterlagen, die vom Bewerber selbst eingereicht werden) und Art. 14 (bezüglich Unterlagen, die von einer anderen Dienststelle angefordert werden, etwa die Personalakte). Angegeben werden sollten dabei:

  • Art der personenbezogenen Daten: Lebenslauf, Zeugnisse, Qualifikationen, …,
  • Herkunft der personenbezogenen Daten: vom Bewerber eingereicht, von der Schulaufsicht angefordert (z.B. Bezirksregierung),
  • Übermittlung der personenbezogenen Daten: an die am Auswahlverfahren beteiligten Personen, z.B. Mitglieder der Schulleitung, Abteilungsleiter, Fachleiter, Gleichstellungsbeauftragte(r), Mitglied des Personalrates, … und bei einer Einstellung z.B. Schulaufsicht
  • Speicherdauer der personenbezogenen Daten :
    • bei Ablehnung Rückgabe oder Löschung 2 Monate nach Beendigung des Bewerbungsverfahrens (in Orientierung an §15 Abs. 4 AGG)
    • bei einer Einstellung Aufnahme in die Personalakte,
  • Rechte der Bewerber Betroffenenrechte wie z.B. Löschung, Auskunft oder Recht auf Berichtigung).

Weiterlesen:

Das Einholen von Einwilligungen attraktiv gestalten

Lesezeit: 2 Minuten

Das Thema Einwilligungen bereitet nahezu jeder Schule Bauchschmerzen. Sämtliche Verarbeitung von personenbezogenen Daten, für die es keine rechtliche Grundlage aus dem Schulgesetz gibt, braucht es die Einwilligung der Betroffenen. Mit zunehmender Digitalisierung von Unterricht nimmt so die Zahl der erforderlichen Einwilligungen zu, zusätzlich zu den bereits seit Jahren erforderlichen für Öffentlichkeitsarbeit über die Homepage der Schule und die lokale Presse. Das Einholen von Einwilligungen bei den Betroffenen ist ein Rechtsakt und die Formulare, welche dafür genutzt werden, sind entsprechend wenig ansprechend.

Gerade wenn es um die schulische Arbeit mit Medien, Apps und Plattformen geht, bietet es sich an, das Einholen der erforderlichen Einwilligungen mit Informationen zu verbinden, welche den Eltern einen lebendigen Eindruck von der Medienarbeit gibt. Man verbindet das Notwendige mit dem Schönen und gibt so dem Thema Datenschutz einen sinnstiftenden Rahmen.

Eine Möglichkeit, dieses umzusetzen bietet sich mit der folgenden Vorlage. Diese ist als ein kleines mehrseitiges Heft gestaltet, welches neben der Medienarbeit im Unterricht auch noch das Thema Öffentlichkeitsarbeit beinhaltet. Im Anhang finden sich umfangreiche Hinweise zur Nutzung und Anpassung. Das Heft ist ausgelegt für Grundschulen und der Einsatz bietet sich vor allem bei der Anmeldung neuer Schüler an, entweder im Rahmen der Anmeldung selbst, bei einem Kennenlernnachmittag oder einem Elternpflegschaftsabend.

DinA4 Version

Beinhaltet: Erstellung und Nutzung von Foto, Video und Audio im Unterricht, Nutzung von Antolin und Anton, Vorführung und Weitergabe von Medienprodukten aus dem Unterricht, Veröffentlichungen auf der Schulhomepage und in der Presse.

DinA5 Version

Für diese Version wurde das Layout von Steffie Maurer auf A5 so angepasst, dass die Seiten auf A4 gedruckt und dann geheftet werden können. Die Seiten für die gesammelten Entscheidungen und die eigentliche Einwilligung kann man den obigen DinA4 Versionen entnehmen. (Auch im PDF könnte man mit einem geeigneten Programm die eigene Schule, den Namen der Schulleitung, den Datenschützer und die Anschrift der Schule ergänzen.)

Swift Publisher Version (DinA5)

Notfallinformationen für eine Klassenfahrt abfragen

Lesezeit: < 1 Minute

Vor allem wenn es auf eine längere Klassenfahrt geht, ist es sinnvoll, Notfallinformationen bei den Erziehungsberechtigten abzufragen.1Diese Abfrage geht davon aus, dass entsprechende Informationen nicht bei der Anmeldung an der Schule eingeholt worden sind oder man einfach nur auf Nummer sicher gehen möchte, dass die Informationen aktuell sind. Das erlaubt es den begleitenden Lehrkräften im Falle eines Falles, den Anweisungen der Erziehungsberechtigten entsprechend zu handeln. Abgefragt werden so sinnvollerweise eventuell bestehende Erkrankungen und regelmäßige Medikamenteneinnahmen sowie Kontaktinformationen, welche es erlauben, die Erziehungsberechtigten für die Zeitdauer der Klassenfahrt rund um die Uhr zu erreichen. Die Vorlage ist dafür ausgelegt, die ausgefüllten Vordrucke in einen Umschlag gepackt mit auf die Klassenfahrt zu nehmen. Für den Fall, dass beabsichtigt ist, diese Information auf den Smartphones der begleitenden Lehrkräfte zu speichern, finden sich im Anhang zur Vorlage weitere Informationen und Textbausteine zur Anpassung.

Verpflichtung zur Vertraulichkeit und zum Datenschutz

Lesezeit: < 1 Minute

In vielen Schulen übernehmen Lehrkräfte Administrationsaufgaben, sei es im pädagogischen Netz oder in einer durch die Schule genutzten Plattform, egal ob es sich dabei um Office 365 handelt, im Apple School Manager und ein MDM, um Moodle, G Suite for Education, iServ oder eine Nextcloud wie EduDocs.1Die Beispiele sollen deutlich machen, dass es vor allem um Administrationstätigkeiten geht, bei denen personenbezogene Daten in größerem Umfang oder auch sensiblere Informationen verarbeitet werden oder bei denen die dort verarbeiteten Daten Aufschluss über Nutzerverhalten geben. Die Schulleitung muss hier selbst entscheiden, ob sie eine Verpflichtung für notwendig erachtet. Im Zweifelsfall kann eine Verpflichtung nicht schaden. Durch ihre Administrationsrechte erhalten diese Personen die Möglichkeit, auf viele personenbezogene Daten aus der Schule zuzugreifen bzw. diese einzusehen. Selbst wenn die Administrationsrechte nur auf einen Teilbereich beschränkt sind, wie etwa die Nutzerverwaltung, so besteht auch dann immer noch die Möglichkeit, auf möglicherweise sensible personenbezogene Daten Zugriff zu erhalten. Zu den technischen und organisatorischen Maßnahmen nach Art. 5 Abs. 1 lit. f sollte auch eine Verpflichtung zur Vertraulichkeit und zum Datenschutz gehören. Zwar sind Lehrkräfte als Bedienstete des Landes zur Verschwiegenheit verpflichtet, doch trotzdem empfiehlt sich diese Verpflichtung mit einer Belehrung im Vorfeld. Eine Schulleitung stellt so sicher, dass die mit Administrationsaufgaben betraute Person sich im Klaren ist über die mit dieser Rolle einhergehenden Pflichten. Sie kommt so auch ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO 2Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).nach. Zusätzlich stellt diese Verpflichtung eine Gewähr für andere Lehrkräfte an der Schule dar, dass das Kollegiumsmitglied, welches durch seine Administrationstätigkeit nun eine Zugriffsmöglichkeit auf ihre personenbezogenen Daten hat, diese Möglichkeit nicht missbrauchen darf. Der schulische Administrator sollte nach Unterzeichnung der Verpflichtung eine Kopie davon erhalten.

Hinweis: Administratoren des Schulträgers oder von durch diesen beauftragten IT-Dienstleistern werden durch ihre jeweiligen Arbeitgeber entsprechend verpflichtet.

Datenschutzrechtliche Untersuchung der Nutzung von Office 365 an Schulen in der Schweiz

Lesezeit: 2 Minuten

Anders als in Deutschland ist in der Schweiz bisher die Nutzung von Office 365 an Schulen aus datenschutzrechtlicher Sicht recht problemlos möglich gewesen. Entsprechend weit verbreitet ist der Einsatz dort. Noch im September 2018 hatte der Datenschutzbeauftragte des Kanton Zürich einen Leitfaden zur Nutzung von Office 365 an Bildungseinrichtungen herausgegeben.1Schulen, die Office 365 nutzen, sollten diesen Leitfaden kennen, da er wertvolle Hinweise für eine datenschutzrechtlich verantwortungsvolle Nutzung von Office 365 gibt. Beachten sollte man dabei allerdings, dass einige Aussagen sich nicht auf NRW bzw. Deutschland übertragen lassen, etwa die Nutzung von Office 365 in der Schulverwaltung. Einige Wochen später enteckte man in den Niederlanden, dass Office 365 wohl weitaus mehr Telemetriedaten für Support und Softwareentwicklung an US Server übermittelt, als in der von Microsoft zur Verfügung gestellten Dokumentation ausgewiesen. Diese Daten, auch wenn überwiegend technischer Natur, sind mit Benutzerkonten verknüpft bzw. verknüpfbar und stellen nach der DS-GVO personenbezogene Daten dar. Die niederländischen Datenschützer kamen zu dem Schluss, dass Mircosoft hier gegen die DS-GVO verstößt.2siehe Dutch government report says Microsoft Office telemetry collection breaks GDPR Die holländischen Datenschützer haben 8 Probleme definiert und mögliche Lösungen aufgezeigt.

Die acht datenschutzrechtlichen Problembereiche von Office 365 im Zusammenhang mit Telemetriedaten
Es geht um:
* Mangelnde Transparenz
* Fehlende Möglichkeit, die Sammlung und Übermittlung von Telemetriedaten temporär und dauerhaft zu beeinflussen
* Unrechtmäßige Sammlung und Speicherung von sensiblen personenbezogenen Daten
* Unzutreffende Beschreibung von Microsoft als Verarbeiter
* Unzureichende Kontrolle über Sub Auftragsverarbeiter
* Mangelnde Beschränkung der Verarbeitungszwecke – Übertrag von Daten aus dem EU Raum hinaus
* Unbegrenzte Speicherung der diagnostischen Daten

Das hat nun auch den Datenschutzbeauftragten des Kanton Zürich aufgegriffen. Die Befunde der Niederländer bedeuten für ihn jedoch nicht automatisch, dass die Übermittlung der Telemetriedaten durch Microsoft rechtswidrig ist, denn seine Fachstelle hatte mit Microsoft speziell für den Bildungsbereich Rahmenbedingungen für die Nutzung von Office 365 ausgehandelt. Da für ihn nicht klar ist, inwieweit die in den Niederlanden ermittelten Probleme auch für den Schulbereich in der Schweiz relevant sind, hat er Microsoft zu einer Stellungnahme aufgefordert. Es geht dabei nun darum, ob die Verarbeitung dieser Telemetriedaten durch Microsoft datenschutzrechtskonform ist oder nicht.

Microsoft selbst verweist auf die für Kunden verfügbare Dokumentation Diagnostic Data in Office Applications, zeigt sich jedoch kooperativ und will mit den Datenschützern an Lösungen arbeiten. Erste Anworten und Maßnahmen sind für das erste Quartal 2019 angekündigt.

Auswirkungen auf die Nutzung von Office 365 an Schulen in NRW

Auch in NRW dürften einige Schulen schon im November hellhörig geworden sein, als die Meldungen aus den Niederlanden kamen. Wer als Schule bei der Nutzung von Office 365 einige Grundregeln beachtet, sollte vorerst damit weiterarbeiten können.3Siehe dazu auch die Informationen des MSB NRW von Dezember 2018 zu Office 365, wo es u.a. heißt: „Grundsätzlich kann für die jetzige praktische Handhabung festgestellt werden:
Schulleitungen, die sich mangels einer offiziellen Einschätzung in NRW auf die Bewertung des DSB Hessen verlassen und die dortigen einschränkenden Bedingungen zur Nutzung von Office 365 einhalten, u.a. keine Nutzung der Cloud für Verwaltungszwecke, kann kein fahrlässiges oder vorwerfbares Handeln vorgehalten werden.“

  • Office 365 kann nicht im Bereich der Schulverwaltung eingesetzt werden, wenn es um die Verarbeitung von personenbezogenen Daten von Schülern, Lehrkräften und Eltern geht. Die Verarbeitung von allgemeinen, nicht personenbezogenen Daten bzw. Informationen (z.B. die Erstellung und Bereitstellung von Formularen) ist jedoch durchaus möglich.
  • Im Unterricht sollte Office 365 so datensparsam wie möglich genutzt werden. Bewertungen und Leistungsdaten gehören nicht in Office 365. 4Bei einer ausschließlichen Nutzung über schulische Geräte fallen die wenigsten personenbezogenen Daten an, wenn die Benutzerkonten datenschutzfreundlich erstellt werden.

Dass Microsoft hier jetzt patzen wird, ist eher unwahrscheinlich. Es steht zu viel auf dem Spiel. Man kann wohl damit rechnen, dass Microsoft nachbessern wird und zumindest im Bildungsbereich die bemängelten Funktionalitäten einschränkt und besser dokumentiert, den Verantwortlichen und Nutzern mehr Kontrolle über die Erhebung und Verarbeitung der Telemetriedaten gibt sowie die Speicherdauer und Verwertung eingrenzt.

Quelle für die Informationen aus der Schweiz ist der Beitrag mit dem etwas reißerischen Titel Verstossen Lehrer und Schüler mit Microsoft Office gegen das Gesetz? (12/2018)