Auskunft nur an Betroffene – Identitätsprüfung

Lesezeit: 4 Minuten

Auskunftsersuchen nach Artikel 15 DS-GVO sind auch ein Thema für Schulen. Einige Schulen haben bereits erste Erfahrungen gemacht und mussten Auskunftsersuchen bearbeiten. Ein dabei nicht zu unterschätzender Punkt ist die Prüfung der Identität der anfragenden Person, denn Auskunft darf nur der betroffenen Person gegeben werden, bzw. im Fall von minderjährigen Schülern auch den Erziehungsberechtigten.

Wie ein amerikanischer Doktorand eindrücklich zeigen konnte1siehe Datenschutzauskunft als Sicherheitsrisiko, Golem 08/2019 und Wenn private Daten an den Falschen gehen, FAZ, 08/2019, birgt das Auskunftsrecht auch ein großes Missbrauchspotential in sich und kann so unter Umständen sogar zum Identitätsdiebstahl genutzt werden, wenn die auskunftgebenden Stellen nicht die erforderliche Sorgfalt bei Prüfung der Identität der anfragenden Person walten lassen. In Schulen hängt viel der jeweiligen Situation ab, ob und wie die Prüfung der Identität durchgeführt werden muss. Wichtig ist grundsätzlich:

Liegen an der Schule Daten zur angefragten Person vor, sollte darüber keine Auskunft gegeben werden, solange die Identität der anfragenden Person nicht zweifelsfrei geklärt ist.

Warum? Bereits die Information, dass zu einer Person personenbezogene Daten an der Schule vorliegen bzw. dort verarbeitet werden, ist ein personenbezogenes Datum, dessen Bekanntwerden für die betroffene Person Risiken bergen kann. Ein Beispiel: An Schulen gibt es immer wieder Kinder, deren Datensatz mit einer Auskunftssperre versehen ist, in der Regel weil die Eltern in Trennung leben und dem anderen Elternteil der Aufenthaltsort zum Schutz des Kindes und der Mutter nicht bekannt werden darf. Legt sich der Vater nun eine entsprechende E-Mail Adresse mit dem Namen der Mutter an und schreibt alle in Frage kommenden Schulen in einer Region an mit einem Auskunftsersuchen, so könnte er darüber bereits in Erfahrung bringen, welche Schule sein Kind besucht. Auf die möglichen Folgen davon braucht nicht weiter eingegangen werden. Würde die Schule dann noch der vermeintlich anfragenden Mutter sämtliche gespeicherten personenbezogenen Daten übermitteln, würden dem Vater dadurch auch noch Wohnort, Arbeitgeber und mehr bekannt.

Als datenverarbeitende Stelle ist die Schule nicht nur in der Pflicht, Auskunft zu erteilen, sondern auch sicherzustellen, dass nur berechtigte Personen Auskunft erhalten. Entsprechend heißt es auch im offiziellen Kurzpapier der Datenschutzkonferenz:

“Es muss sichergestellt werden, dass die zu beauskunftenden Daten nicht unbefugten Dritten zur Verfügung gestellt werden. Hierauf ist auch insbesondere bei mündlicher oder elektronischer Auskunftserteilung zu achten. Hat der Verantwortliche begründete Zweifel an der Identität eines Antragstellers auf Datenauskunft, so kann er nach Art. 12 Abs. 6 DS-GVO zusätzliche Informationen zur Bestätigung der Identität nachfordern (z. B. eine Postadresse bei elektronischem Auskunftsantrag).”

Wie kann die Identität der Anfragenden sichergestellt werden?

Fall 1: Anfrage per E-Mail bezüglich eines Schülers, der aktuell die Schule besucht

Da die Schule von allen aktuellen Schülern über umfangreiche Kontaktinformationen verfügt, kann man diese zur Identitätsprüfung nutzen. E-Mail Absender sind allerdings sehr leicht zu fälschen (Spoofing). Man könnte hier einfach die Eltern telefonisch kontaktieren und nachfragen.

Nutzt die Schule eine Plattform zur Kommunikation, könnte man darum bitten, die Anfrage über das Nutzerkonto des Betroffenen zu stellen.

Fall 2: Anfrage per E-Mail bezüglich eines ehemaligen Schülers

Da innerhalb der ersten 20 Jahre nach Ende der Schulzeit noch das Schülerstammblatt in der Schule vorhanden ist, könnte man per E-Mail auf die Anfrage antworten und dort beispielsweise die letzte in der Schulzeit bekannte Adresse des Wohnortes und Arbeitsstelle eines Elternteiles abfragen oder Geburtsdatum und Geburtsort.

Hat der ehemalige Schüler die Schule bereits vor mehr als 20 Jahre verlassen, liegen der Schule nur noch Zweitschriften von Abgangs- und Abschlusszeugnissen vor und eventuell Einträge in einer Schulchronik. Liegen nur noch Zweitschriften von Zeugnissen vor, hat die Schule nur wenige Daten, gegen die sie eine Identitätsprüfung durchführen kann. Hier müsste man dann kreativ sein. Man könnte um eine Kopie eines alten Zeugnisses bitten, welches von der Schule ausgestellt wurde. Es würde hier die Kopie des Kopfes mit dem Namen der Schule und des Schülers, Schuljahr und Klasse ausreichen.

Hat die Person eine eigene Firma oder ist in einer Firma beschäftigt, wo sie auf der Website namentlich aufgeführt ist? Ist die Person in einem Vereinsvorstand? Gibt es gar nichts, könnte man eventuell eine Ausweiskopie (dazu mehr unten) anfragen.

Fall 3: Anfrage per Telefon bezüglich eines ehemaligen Schülers

Auf telefonische Anfragen sollten grundsätzlich keine Auskünfte gegeben werden. Hier sollten Anfragende immer auf den Schriftweg per E-Mail, Brief oder Fax verwiesen werden, kombiniert mit der Bitte, die Identität nachzuweisen.

Fall 4: Die anfragende Person erscheint persönlich

In diesem Fall kann man die Person, sofern sie nicht persönlich bekannt ist, darum gebeten werden, sich auszuweisen. Danach kann die Frage beantwortet werden, ob Daten verarbeitet werden.

Identitätsprüfung mittels Ausweiskopie

Die Prüfung der Identität des um Auskunft Ersuchenden über eine Ausweiskopie sollte das letzte Mittel sein, denn sie wird unter Datenschützern nicht unkritisch gesehen, da der Ausweis selbst viele personenbezogene Daten enthält. Was man als Schule anfragen würde, wäre eine Ausweiskopie, bei der die nicht benötigten Informationen ausgeschwärzt sind. Beim Bundesbeauftragten für Datenschutz und Informationsfreiheit heißt es dazu unter Auskunftsrecht:

“Hierzu werden auf der Ausweiskopie regelmäßig nur Name, Anschrift, Geburtsdatum und Gültigkeitsdauer benötigt. Alle anderen auf dem Personaldokument befindlichen Daten (zum Beispiel Ausweisnummer, Lichtbild, persönliche Merkmale, Staatsangehörigkeit) können auf der Kopie grundsätzlich geschwärzt werden.”

Das könnte dann in etwa wie folgt aussehen:

Zu beachten wäre hierbei, dass die Ausweiskopie aus Sicherheitsgründen per Post oder Fax an die Schule übermittelt wird.

Weitere Möglichkeiten zur Identitätsprüfung, welche sich aber nicht sämtlich auf Schule übertragen lassen, finden sich bei der Aufsichtsbehörde von Baden Württemberg unter Identitätsprüfung bei elektronischen Auskunftsersuchen nach Art. 15 DS-GVO

Empfehlung

Unabhängig davon, ob einer Schule Daten von einer Person, zu welcher ein Auskunftsersuchen gestellt wurde, vorliegen oder nicht, eine Antwort ist immer erforderlich.

Im ersten Schritt sollte geprüft werden, ob Daten zur angefragten Person vorliegen oder nicht. Liegen keine Daten vor, erhält die anfragende Person eine Bestätigung über den Eingang der Anfrage verbunden mit einem negativen Bescheid, liegen Daten vor, wird der anfragenden Person der Eingang der Anfrage bestätigt. Außerdem wird eine Prüfung der Identität eingeleitet, sofern die anfragende Person der Anfrage nicht bereits ausreichende Unterlagen beigefügt hat.

 

Verpflichtung zur Vertraulichkeit und zum Datenschutz

Lesezeit: < 1 Minute

In vielen Schulen übernehmen Lehrkräfte Administrationsaufgaben, sei es im pädagogischen Netz oder in einer durch die Schule genutzten Plattform, egal ob es sich dabei um Office 365 handelt, im Apple School Manager und ein MDM, um Moodle, G Suite for Education, iServ oder eine Nextcloud wie EduDocs.1Die Beispiele sollen deutlich machen, dass es vor allem um Administrationstätigkeiten geht, bei denen personenbezogene Daten in größerem Umfang oder auch sensiblere Informationen verarbeitet werden oder bei denen die dort verarbeiteten Daten Aufschluss über Nutzerverhalten geben. Die Schulleitung muss hier selbst entscheiden, ob sie eine Verpflichtung für notwendig erachtet. Im Zweifelsfall kann eine Verpflichtung nicht schaden. Durch ihre Administrationsrechte erhalten diese Personen die Möglichkeit, auf viele personenbezogene Daten aus der Schule zuzugreifen bzw. diese einzusehen. Selbst wenn die Administrationsrechte nur auf einen Teilbereich beschränkt sind, wie etwa die Nutzerverwaltung, so besteht auch dann immer noch die Möglichkeit, auf möglicherweise sensible personenbezogene Daten Zugriff zu erhalten. Zu den technischen und organisatorischen Maßnahmen nach Art. 5 Abs. 1 lit. f sollte auch eine Verpflichtung zur Vertraulichkeit und zum Datenschutz gehören. Zwar sind Lehrkräfte als Bedienstete des Landes zur Verschwiegenheit verpflichtet, doch trotzdem empfiehlt sich diese Verpflichtung mit einer Belehrung im Vorfeld. Eine Schulleitung stellt so sicher, dass die mit Administrationsaufgaben betraute Person sich im Klaren ist über die mit dieser Rolle einhergehenden Pflichten. Sie kommt so auch ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO 2Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).nach. Zusätzlich stellt diese Verpflichtung eine Gewähr für andere Lehrkräfte an der Schule dar, dass das Kollegiumsmitglied, welches durch seine Administrationstätigkeit nun eine Zugriffsmöglichkeit auf ihre personenbezogenen Daten hat, diese Möglichkeit nicht missbrauchen darf. Der schulische Administrator sollte nach Unterzeichnung der Verpflichtung eine Kopie davon erhalten.

Hinweis: Administratoren des Schulträgers oder von durch diesen beauftragten IT-Dienstleistern werden durch ihre jeweiligen Arbeitgeber entsprechend verpflichtet.

Datenschutzrechtliche Untersuchung der Nutzung von Office 365 an Schulen in der Schweiz

Lesezeit: 2 Minuten

Anders als in Deutschland ist in der Schweiz bisher die Nutzung von Office 365 an Schulen aus datenschutzrechtlicher Sicht recht problemlos möglich gewesen. Entsprechend weit verbreitet ist der Einsatz dort. Noch im September 2018 hatte der Datenschutzbeauftragte des Kanton Zürich einen Leitfaden zur Nutzung von Office 365 an Bildungseinrichtungen herausgegeben.1Schulen, die Office 365 nutzen, sollten diesen Leitfaden kennen, da er wertvolle Hinweise für eine datenschutzrechtlich verantwortungsvolle Nutzung von Office 365 gibt. Beachten sollte man dabei allerdings, dass einige Aussagen sich nicht auf NRW bzw. Deutschland übertragen lassen, etwa die Nutzung von Office 365 in der Schulverwaltung. Einige Wochen später enteckte man in den Niederlanden, dass Office 365 wohl weitaus mehr Telemetriedaten für Support und Softwareentwicklung an US Server übermittelt, als in der von Microsoft zur Verfügung gestellten Dokumentation ausgewiesen. Diese Daten, auch wenn überwiegend technischer Natur, sind mit Benutzerkonten verknüpft bzw. verknüpfbar und stellen nach der DS-GVO personenbezogene Daten dar. Die niederländischen Datenschützer kamen zu dem Schluss, dass Mircosoft hier gegen die DS-GVO verstößt.2siehe Dutch government report says Microsoft Office telemetry collection breaks GDPR Die holländischen Datenschützer haben 8 Probleme definiert und mögliche Lösungen aufgezeigt.

Die acht datenschutzrechtlichen Problembereiche von Office 365 im Zusammenhang mit Telemetriedaten
Es geht um:
* Mangelnde Transparenz
* Fehlende Möglichkeit, die Sammlung und Übermittlung von Telemetriedaten temporär und dauerhaft zu beeinflussen
* Unrechtmäßige Sammlung und Speicherung von sensiblen personenbezogenen Daten
* Unzutreffende Beschreibung von Microsoft als Verarbeiter
* Unzureichende Kontrolle über Sub Auftragsverarbeiter
* Mangelnde Beschränkung der Verarbeitungszwecke – Übertrag von Daten aus dem EU Raum hinaus
* Unbegrenzte Speicherung der diagnostischen Daten

Das hat nun auch den Datenschutzbeauftragten des Kanton Zürich aufgegriffen. Die Befunde der Niederländer bedeuten für ihn jedoch nicht automatisch, dass die Übermittlung der Telemetriedaten durch Microsoft rechtswidrig ist, denn seine Fachstelle hatte mit Microsoft speziell für den Bildungsbereich Rahmenbedingungen für die Nutzung von Office 365 ausgehandelt. Da für ihn nicht klar ist, inwieweit die in den Niederlanden ermittelten Probleme auch für den Schulbereich in der Schweiz relevant sind, hat er Microsoft zu einer Stellungnahme aufgefordert. Es geht dabei nun darum, ob die Verarbeitung dieser Telemetriedaten durch Microsoft datenschutzrechtskonform ist oder nicht.

Microsoft selbst verweist auf die für Kunden verfügbare Dokumentation Diagnostic Data in Office Applications, zeigt sich jedoch kooperativ und will mit den Datenschützern an Lösungen arbeiten. Erste Anworten und Maßnahmen sind für das erste Quartal 2019 angekündigt.

Auswirkungen auf die Nutzung von Office 365 an Schulen in NRW

Auch in NRW dürften einige Schulen schon im November hellhörig geworden sein, als die Meldungen aus den Niederlanden kamen. Wer als Schule bei der Nutzung von Office 365 einige Grundregeln beachtet, sollte vorerst damit weiterarbeiten können.3Siehe dazu auch die Informationen des MSB NRW von Dezember 2018 zu Office 365, wo es u.a. heißt: “Grundsätzlich kann für die jetzige praktische Handhabung festgestellt werden:
Schulleitungen, die sich mangels einer offiziellen Einschätzung in NRW auf die Bewertung des DSB Hessen verlassen und die dortigen einschränkenden Bedingungen zur Nutzung von Office 365 einhalten, u.a. keine Nutzung der Cloud für Verwaltungszwecke, kann kein fahrlässiges oder vorwerfbares Handeln vorgehalten werden.”

  • Office 365 kann nicht im Bereich der Schulverwaltung eingesetzt werden, wenn es um die Verarbeitung von personenbezogenen Daten von Schülern, Lehrkräften und Eltern geht. Die Verarbeitung von allgemeinen, nicht personenbezogenen Daten bzw. Informationen (z.B. die Erstellung und Bereitstellung von Formularen) ist jedoch durchaus möglich.
  • Im Unterricht sollte Office 365 so datensparsam wie möglich genutzt werden. Bewertungen und Leistungsdaten gehören nicht in Office 365. 4Bei einer ausschließlichen Nutzung über schulische Geräte fallen die wenigsten personenbezogenen Daten an, wenn die Benutzerkonten datenschutzfreundlich erstellt werden.

Dass Microsoft hier jetzt patzen wird, ist eher unwahrscheinlich. Es steht zu viel auf dem Spiel. Man kann wohl damit rechnen, dass Microsoft nachbessern wird und zumindest im Bildungsbereich die bemängelten Funktionalitäten einschränkt und besser dokumentiert, den Verantwortlichen und Nutzern mehr Kontrolle über die Erhebung und Verarbeitung der Telemetriedaten gibt sowie die Speicherdauer und Verwertung eingrenzt.

Quelle für die Informationen aus der Schweiz ist der Beitrag mit dem etwas reißerischen Titel Verstossen Lehrer und Schüler mit Microsoft Office gegen das Gesetz? (12/2018)

Endlich klare Aussagen vom MSB NRW zu datenschutzrechtlichen Fragen

Lesezeit: < 1 Minute

Es hat lange gedauert bis sich das Ministerium für Schule und Bildung NRW einmal umfänglich zu datenschutzrechtlichen Fragen im Zusammenhang mit der umstrittenen Genehmigung zur Verarbeitung von personenbezogenen Daten aus der Schule auf privaten Endgeräten von Lehrkräften äußert. Was geht und was geht nicht, wie sieht es mit Haftungsfragen aus? Antworten kommen auch zu vielen anderen Fragen: z.B. E-Mail Kommunikation mit Eltern über dienstliche und private E-Mail Adressen, Speicherung von Fotos von Schülern auf dem Smartphone, Nutzung von privaten Smartphones für Kommunikation mit Eltern, Fragen zu zulässigen Anwendungen, Zugriff auf Webanwendungen und die Genehmigung, und die Zulässigkeit von WhatsApp, Telegram und iMessage auf privaten Geräten, wenn sie dienstlich genutzt werden. Zu finden ist dieses unter

Da es an Schulen nicht nur viele Fragen zur Genehmigung gibt, sondern auch zu anderen Bereichen, wurden in einer zweiten Sammlung weitere Fragen zum Thema Datenschutz an der Schule aufgegriffen. Hier geht es um die Aufgaben von Datenschutzbeauftragten, Notelisten in Papierform am heimischen Arbeitsplatz, die Übermittlung von Elterndaten an die Schulpflegschaft, Office 365 im schulischen Einsatz, Videoüberwachung und elektronische Schließanlagen an der Schule.

Sicherlich werden verschiedene Akteure im Bereich Schule die Antworten unterschiedlich beurteilen. Es bleiben definitiv auch noch Fragen offen, doch es ist gut, dass das Ministerium zu den meisten Fragen sehr eindeutig Stellung bezogen hat. Mit diesen Antworten kann man planen und Entscheidungen fällen.

Auch zum Thema Schulhomepage gibt es einige (wenige) datenschutzrechtliche Aussagen vom Ministerium.

Smart Speaker im Klassenraum aufstellen – geht das?

Lesezeit: < 1 Minute

Eine Schule möchte gerne Smart Speaker im Klassenraum aufstellen, um eine einfache Kommunikation zwischen den Räumen für die Lehrkräfte zu ermöglich und smarte Erinnerungen und Timer zu setzen. Die Namen von Schülern sollen nicht genannt werden bei solchen Nachrichten und Erinnerungen. Man denkt an Amazon Echo, den kleinsten Smart Speaker. Das Gerät ist einfach zu bedienen, billig, spart eine aufwändige Verkabelung im Gebäude und kann mehr als eine Gegensprechanlage. Aber geht das auch? Was ist mit dem Datenschutz? Das Thema ist komplex und ich habe mich ausführlich damit auseinander gesetzt. Die Ergebnisse finden sich im Beitrag ALEXA, GOOGLE ASSISTANT, SIRI UND CO. – SMART SPEAKER IM KLASSENRAUM

Online Terminabstimmung – DS-GVO freundlich

Lesezeit: 4 Minuten

Termine für den Elternsprechtag lassen sich heute leicht über das Internet abstimmen. Dafür gibt es mehrere Möglichkeiten. Nicht alle sind aus Sicht des Datenschutzes gleich gut.

Doodle und Co.

Doodle

Das im Tweet angesprochene Doodle ist ein Unternehmen aus der Schweiz und müht sich schon um ein Angebot, welches sich datenschutzkonform einsetzen lässt. Wie die Datenschutzerklärung zeigt, braucht das Unternehmen jedoch eine ganze Reihe von Diensten, welche auf die Daten der Nutzer zugreifen, teilweise in anonymisierter Form. Zudem ist es möglich Doodle mit Kalendern zu koppeln und darüber Nutzer per E-Mail einzuladen. Auch wenn die genutzten Server in Irland und Deutschland stehen und die verschiedenen Datennutzungen in der Datenschutzerklärung sauber ausgewiesen sind, sollte man für Schule eine datensparsamere Alternative nutzen. Ähnliches lässt sich bezüglich Datenschutz übrigens auch für die Terminabfrage und Umfrage Plattform des deutschen Anbieters Xoyondo sagen.

Dudle

Eine solche Alternative ist Dudle von der TU Dresden. Das Angebot lässt sich sehr datensparsam einsetzen, auf Wunsch personalisieren1Mit der Personalisierung werden mehr personenbezogenen Daten erforderlich für die Nutzung. oder auch komplett anonym nutzen.

DFNTerminplaner

Ebenfalls ohne kommerzielle Interessen wird das Online Tool zur Abstimmung von Terminen,  DFNTerminplaner, vom Verein zur Förderung eines Deutschen Forschungsnetzes e. V. betrieben. Es kommt in verschiedenen Versionen. Die einfachste Version lässt sich sehr datensparsam nutzen und ist vergleichbar zur anonymen Version von Dudle.2DFN Terminplaner basiert auf Foodle, einer Entwicklung aus Norwegen. Wer das Tool selbst auf einem Server betreiben möchte, findet es auf Github unter Uninett/ Foodle.

Terminplaner

Auf der gleichen Plattform wie der DFNTerminplaner basiert auch der Terminplaner, der von IT.NRW zur kostenlosen Nutzung zur Verfügung gestellt wird. Entsprechend sind Bedienung und Funktionalitäten nahezu identisch. Die von IT.NRW bereitgestellte Version entspricht dem einfachen DFNTerminplaner. Die weiteren dort angebotenen Versionen mit zusätzlicher Funktionalität gibt es hier nicht.

Nuudel – Umfragen bei digitalcourage

Seit Mitte 2019 gibt es noch einen Anbieter, welcher den Terminplaner in eigener Regie anbietet. Das ist der Verein digitalcourage. Unter Nuudel findet sich der bekannte Terminplaner und ein Umfragetool. Die Erstellung und Nutzung ist komplett anonym möglich.

TerminO

TERMINO ist eine Plattform zur Abstimmung von Terminen, speziell – aber nicht nur – für Mitarbeiter*innen im öffentlichen Dienst Österreichs. Die Plattform setzt auf der bekannten, auch vom DFNTerminplaner genutzten Software auf.

Letsfind

Hinter Letsfind verbirgt sich eine Plattform zur Terminabstimmung aus der Schweiz. Es handelt sich um eine Eigenentwicklung. Letsfind kann auch Text-Umfragen durchführen. Die Nutzung ist kostenlos. Umfragen werden über einen Link weitergegeben. Über einen speziellen Link kann die Umfrage zur erneuten Bearbeitung aufgerufen werden. Auch die Ergebnisse haben einen eigenen Link. Wer möchte, kann eine E-Mail Adresse hinterlegen für Benachrichtigungen zur Umfrage.

Dudl, DFNTerminplaner, Terminplaner und Letsfind aus datenschutzrechtlicher Sicht

Auch wenn man davon ausgehen kann, dass sowohl die Betreiber von Dudl als auch von DFNTerminplaner und Terminplaner ihre Online Terminabfrage Seiten ohne kommerzielle Interessen betreiben und die personenbezogenen Daten der Nutzer nur entsprechend ihrer Datenschutzerklärungen verarbeiten, bewegt man sich aus datenschutzrechtlicher Sicht vermutlich in einem Graubereich, wenn man diese Möglichkeit zur Planung von Elternsprechtagen nutzt. Aus datenschutzrechtlicher Sicht könnte man argumentieren, dass für diese Terminabfragen ein Vertrag zur Auftragsverarbeitung mit den Anbietern abgeschlossen werden müsste, da ähnlich wie bei der Schulhomepage personenbezogene Daten der Besucher verarbeitet werden.3 Bei Dudel können dieses sein:
– In Umfragen eingegebene Daten (z.B. Titel der Umfrage, Namen der Teilnehmer, Verfügbarkeiten, Kommentare)
– IP Adresse
– Name der abgerufenen Datei
– Datum und Uhrzeit des Abrufs
– Meldung, ob der Abruf erfolgreich war
– verwendeter Browser
– verwendetes Betriebssystem

Empfehlung

Wenn man als Lehrkraft den Eltern eine Online Terminabstimmung für einen Elternsprechtag anbieten möchte, so sollte man dafür auf eine Lösung wie Doodle definitiv verzichten. Zwar sieht die Terminabstimmung für Eltern dort nicht wesentlich anders aus als bei Dudel, DFNTerminplaner oder Terminplaner – Name eintragen und Termin wählen, doch was die Eltern nicht sehen, Doodle greift deutlich mehr Daten ab, wenn der Termin ausgewählt wird. Besser sind hier dann Dudel oder der DFNTerminplaner. Sie können, wenn man die Daten der Person, welche die Terminabfrage erstellt, minimieren möchte, in der anonymen Form genutzt werden. Den Link kann man den Eltern per Schulmail mitteilen oder auf einem Zettel mit einem QR Code. Bei einem Einsatz von Dudl oder DFNTerminplaner durch eine Schule sollten den Eltern auf jeden Fall Informationen zur Datenverarbeitung auf der jeweiligen Plattform gegeben werden.4Das könnte etwa in dieser Art erfolgen. “Liebe Eltern zur Terminabstimmung für den Elternsprechtag am … nutzen wir das Online Tool …. von der Universität … Bei der Nutzung werden außer einer Eingabe des Nachnamens und der Wunschtermine folgende Informationen über den Browser erhoben: … Der … Anbieter sichert über seine Datenschutzerklärung (verlinken!) zu, dass diese Daten nicht für andere Zwecke als die Terminplanung und den technischen Betrieb der Plattform genutzt werden. Falls Sie das Online Tool nicht nutzen möchten, können Sie Ihre Terminwünsche auf folgendem Weg rückmelden …” So können sie selbst entscheiden, ob sie das Tool nutzen wollen oder statt dessen eine Terminrückmeldung über Papier oder E-Mail wünschen.

Hinweis
Die Nutzung einer Online Terminabfrage kann in jedem Fall nur auf freiwilliger Basis erfolgen.5Aus schulrechtlicher Sicht lässt sich keine Verpflichtung zur Nutzung eines solchen Tools ableiten. Eltern, welche diese Möglichkeit nicht nutzen wollen oder können, muss ein alternativer Weg angeboten werden.

Besser noch als kleine Lösungen, bei denen jede Lehrkraft ihre eigene Online Terminabfrage erstellt, sind sicherlich schulische Gesamtlösungen, die datenschutzrechtlich sauber aufgestellt sind. Dazu gehören kostenpflichtige Plattformen wie der Schulmanger Online, der ein eigenes Elternsprechtag Modul bietet, dessen Funktionen über eine einfache Terminabstimmung hinaus gehen. Für eine Schule ist eine derartige Lösung aus Sicht des Datenschutz die sauberste Lösung, da mit dem Anbieter ein Vertrag zur Auftragsverarbeitung abgeschlossen werden kann und die Verwendung der personenbezogenen Daten der erstellenden Personen wie auch der Eltern eindeutig geregelt ist.

Weiter lesen

Stand 09/2020

Office 365, iCloud, G Suite for Education – wo sind die Probleme für Schulen?

Lesezeit: 7 Minuten

Cloud Anwendungen sind heute nicht nur in der Wirtschaft zu finden, sondern auch in Schule. Vor allem beim Thema Kollaboration, einer der vier zentralen Kompetenzen des 21. Jahrhunderts, geht ohne Cloud Anbindung kaum etwas. Außerdem erlauben Angebote wie Office 365, iCloud und G Suite for Education einen Zugriff rund um die Uhr von überall aus, ideal für mobiles Lernen. Und so schauen sich immer mehr Schulen nach entsprechenden Lösungen um. Schulträger favorisieren häufig Microsofts Office 365, da sie es selbst in der Verwaltung einsetzen. iPad Schulen kommen automatisch auf die iCloud, um iPads optimal einsetzen zu können. Die Kollaborations Features von Apple Apps benötigen die iCloud1oder alternativ Box.netAuch die Einrichtung von shared iPads, eine Funktion, die es erlaubt, mehrere Schüler ein einzelnes iPad mit separaten Accounts nutzen zu lassen, geht nicht ohne die iCloud. Die G Suite for Education besticht vor allem durch die kostenfreie, plattformübergreifende und einfache Nutzungbarkeit.

Rein formal betrachtet erfüllen alle drei Anbieter, Microsoft, Apple und Google die Vorgaben der Datenschutzgrundverordnung. Sie stellen Verträge zur Auftragsverarbeitung bzw. andere, gleichwertige Rechtsinstrumente zur Verfügung, die bei Microsoft2siehe hier auch den Beitrag Office 365 und der Vertrag zur Auftragsverarbeitung und Google durch Annahme der Nutzungsbedingungen zustandekommen und bei Apple aus einem PDF bestehen, welches heruntergeladen und unterschrieben wird. Alle drei Anbieter bieten die EU Standardvertragsklauseln an, haben das EU-US Privacy Shield unterschrieben, sind nach diversen ISO zertifiziert und bieten darüber hinaus noch weitere Zusicherungen an bezüglich Einhaltung der Vorgaben der DS-GVO. Microsoft und Google sind beide Player im Business Bereich, zählen große Firmen zu ihren Kunden und können sich hier schon aus Geschäftsgründen keine Blöße geben. Apple nutzt den Schutz personenbezogener Daten als Geschäftmodell und Wettbewerbsvorteil gegenüber der Konkurrenz, bietet aber die iCloud nicht zur Nutzung mit sensiblen Daten für Firmen an. Fragt man persönlich bei Microsoft, Apple und Google nach, wie es mit der Einhaltung der DS-GVO aussieht, versichern einem die Mitarbeiter immer wieder, dass man vollkommen kompliant sei und dieses doch entsprechend dokumentiert ist. Die Sorgen der anfragenden Schulen und Datenschutzbeauftragten kann man nicht nachvollziehen.

Das klingt eigentlich alles gut. Wo liegt also das Problem? Es gibt doch bereits viele Schulen, die eine der drei Plattformen nutzen, oft schon seit Jahren. Mit Microsoft gibt es sogar Rahmenverträge für den Bildungsbereich. Und auch in europäischen Nachbarländern bestehen längst nicht so viele Bedenken wie hierzulande.

Das Problem ist mehrschichtig. Zwei Bereiche stehen aktuell im Vordergrund, einer davon schon länger und der andere wiederholt.

Vertrauen ist gut – Kontrolle ist besser

Microsoft, Apple und Google sind gigantische Unternehmen und in verschiedensten Geschäftsfeldern aktiv. Server und Datenleitungen befinden sich nicht nur in Europa, sondern sind Bestandteil einer weltweiten IT Infrastruktur.  Entsprechend sind die Datenströme innerhalb dieser Unternehmen kaum nachzuvollziehen. Alle drei Unternehmen sind nicht nur Dienstleister, sondern verwerten die personenbezogenen Daten ihrer Nutzer auch für vielfältige eigene Zwecke, und diese reichen je nach Unternehmen und Geschäftsbereich von der Optimierung und Entwicklung von Produkten bis zur Erstellung von Profilen für Werbe- oder andere Zwecke.3Die Bildungsprodukte sind aufgrund gesetzlicher Vorgaben und auch durch Selbstverpflichtungserklärungen der Anbieter von der kommerziellen Auswertung der Nutzerdaten ausgenommen. Dazu kommt, dass es bei allen drei Anbietern in der Vergangenheit auch wiederholt zu Datenpannen gekommen ist. Personenbezogene Daten wurden anders als offiziell angegeben genutzt, ohne Kenntnis der Betroffenen erhoben oder es gab Sicherheitsvorfälle.

Entsprechend der Größe dieser Konzerne, ihrer vielschichtigen Geschäftsfelder und negativer Erfahrungen aus der Vergangenheit ist es schwierig, diesen Anbietern uneingeschränktes Vertrauen zu schenken. Dieses ist jedoch wichtig, da der Verantwortliche auch für das verantwortlich ist, was bei einem Auftragsverarbeiter mit den personenbezogenen Daten der Betroffenen geschieht. Das Bundesdatenschutzgesetz gibt dazu in §62 vor

“Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen.”

In Art. 28 DSGVO wird diese Verantwortung des Verantwortlichen noch weiter spezifiziert. Der Abschluss von Verträgen zur Auftragsverarbeitung oder von anderen Rechtsinstrumenten und darin durch die Auftragsverarbeiter abgegebene Garantien und Erklärungen sorgt dafür, dass der formale Rahmen stimmt. Der Verantwortliche ist damit jedoch nicht seiner Verantwortung enthoben, sicherzustellen, dass alles dieses auch eingehalten wird. Die zentrale Frage hierbei ist immer:

Werden die personenbezogenen Daten der Betroffenen tatsächlich nur den Weisungen des Verantwortlichen entsprechend verarbeitet?

Das heißt, werden diese Daten nicht doch in irgendeiner Form verwertet durch den Auftragnehmer? Erstellt beispielsweise Microsoft eventuell (anonymisierte4Anonymisierung kann ein Schutz sein. Niemand weiß jedoch, ob es nicht durch Zusammenführen mit anderen Daten möglich ist, die anonymisierten Daten wieder Personen zuzuweisen und damit zu personenbezogenen Daten zu machen. Das ist vor allem dann kritisch, wenn nicht bekannt ist, wer wann auf diese anonymisierten Nutzerprofile Zugriff erhält und zu welchem Zweck diese Daten dann genutzt werden.) Nutzerprofile aus den Nutzungsdaten der schulischen Nutzer von Office 365? Trackt Google Nutzer von G Suite for Education außerhalb von Google Classroom? Fließen irgendwo Daten ab? Haben möglicherweise andere Mitarbeiter oder Abteilungen des Anbieters Zugriff auf die personenbezogenen Daten, obwohl dafür im Rahmen der Vertragserfüllung keine Notwendigkeit besteht? Werden die personenbezogenen Daten vielleicht an weltweiten Standorten gespeichert, für welche es keine entsprechenden Garantien gibt?

Es besteht für Verantwortliche also durchaus ein Anlass, die vertraglichen Regelungen und Garantien zu hinterfragen. Gegenbenenfalls muss der Verantwortliche die Einhaltung seiner Weisungen und die technischen und organisatorischen Maßnahmen zur Wahrung des Schutzes und der Sicherheit der Daten, wie sie vertraglich festgelegt wurden, selbst überprüfen, um der eigenen Verantwortung nachzukommen. Das ist bei weltweit agierenden Konzernen letztlich unmöglich. Und Schulen bzw. deren Leitungen können so etwas ohnehin nicht leisten, da ihnen das Hintergrundwissen dazu fehlt. Also hofft man auf grünes Licht von Seiten der Schulministerien oder Aufsichtsbehörden. Doch leider gibt es von keiner Seite eine Empfehlung, denn auch dort steht man vor dem gleichen Dilemma. Man hat nur eingeschränkte Möglichkeiten, die Einhaltung der Vorgaben zu überprüfen.5Einige Kontrollmöglichkeiten bestehen beispielsweise erst dann, wenn man selbst ein Office 365 nutzt und dann Experten die Datenströme kontrollieren können. Doch selbst dann ist nur selten mit 100% Sicherheit zu sagen, dass alles sauber ist. Also gibt es auch von dort keine Empfehlungen, in einigen Bundesländern allerdings von Seiten der Schulministerien Verbote. Dort, wo es weder Empfehlungen noch Verbote gibt, bleiben Schulen auf sich selbst gestellt.6Die einzige Ausnahme bildet aktuell die sogenannte Microsoft Cloud Deutschland, eine technisch rechtliche Konstruktion, bei welcher die personenbezogenen Daten der Betroffenen in Treuhand der Telekom verarbeitet werden. Microsoft selbst hat dabei keinen Zugriff auf die Daten – zumindest offiziell nicht. Hier gibt es tatsächlich eine Empfehlung der hessischen Aufsichtsbehörde, an welche man sich auch in NRW angehängt hat. Für Endnutzer sind die Kosten höher und seit Umsetzung der DS-GVO besteht, zumindest formell, kein Anlass mehr für eine spezielle in Deutschland lokalisierte Cloud. Dieses Angebot wird auch aus diesem Grund Anfang 2019 eingestellt.

Cloud Act

Als wären die Unsicherheiten bezüglich einer Nutzung von Office 365, iCloud und G Suite for Education in Schule durch mangelndes Vertrauen und die Unmöglichkeit einer echten Kontrolle nicht schon groß genug, kommt nun mit dem Cloud Act das nächste Problem. Microsoft, Apple und Google sind US-amerikanische Anbieter und damit der Jurisdiktion ihres Heimatlandes unterworfen. Es war schon immer möglich und sogar DS-GVO konform, dass US Behörden im Rahmen von Rechtshilfeabkommen in Strafsachen (engl. Mutual Legal Assistance Treaty – MLAT) die Herausgabe von personenbezogenen Daten von den drei Anbietern verlangen konnten, auch wenn die betroffenen Server in Europa standen. Eine US Ermittlungsbehörde stellte dann eine Anfrage an die passende europäische Stelle und von dieser wurde die Übergabe der angefragten personenbezogenen Daten an die US Stelle veranlasst. Das trug der Tatsache Rechnung, dass Server, die in Europa stehen, auch europäischem Recht unterliegen, war aber umständlich und zeitaufwändig. Bislang konnten Microsoft, Apple und Google sich auf diesen Sachverhalt berufen, wenn amerikanische Ermittlungsbehörden sich mit ihren Anfragen direkt an die Unternehmen wendeten. Es kam aus diesem Grund zu Auseinandersetzungen, die bis vor US Gerichte gingen.

Mit dem Cloud Act hat dieses sich geändert. Der amerikanische Kongress hat mit diesem Gesetz eine rechtliche Grundlage geschaffen, die Microsoft, Apple und Google dazu verpflichtet, personenbezogene Daten von Servern außerhalb der USA, also auch in Europa, direkt an die US Ermittlungsbehörden zu übermitteln. Zwar gibt der Cloud Act den Cloud Anbietern durchaus die Möglichkeit, einer Anfrage durch eine US Ermittlungsbehörde zu widersprechen, wenn es um nicht US Bürger geht oder ein Konflikt mit der lokalen Gesetzgebung entsteht, doch inwieweit der Cloud Act mit den Vorgaben der DS-GVO vereinbar ist, bleibt vorerst unklar. Zusätzliche Brisanz erhält die mit dem Cloud Act geschaffene Rechtslage, da diese auch das Bestehen des EU-US Privacy Shields gefährdet.7Die EU hatte den USA hier ein Ultimatum gestellt, sich an die Vorgaben des Privacy Shield zu halten oder diese auszusetzen. Das Ultimatum ist verstrichen, eine Konsequenz ist bisher jedoch nicht erfolgt. Und als ob das nicht ausreicht, drohen dem Privacy Shield und den oben erwähnten Standardvertragsklauseln noch von einer weiteren Seite Gefahr. Es gibt hier eine Klage, in welcher die Sicherheit von personenbezogenen Daten vor dem Zugriff durch US Regierungsstellen bei einer Übertragung in die USA in Frage gestellt wird8siehe Schrems Litigation in  Privacy Shield on Shaky Ground: What’s Up With EU-U.S. Data Privacy Regulations.

Da bei einer Nutzung von Cloud Angeboten von Microsoft, Apple und Google, selbst wenn die Daten europäischer Nutzer überwiegend auf europäischen Servern verarbeitet werden, Datentransfers in die USA nicht auszuschließen sind, hängt alles von dem weiteren Bestehen des EU-US Privacy Shields und der Standardvertragsklauseln ab, denn sie gewährleisten – zumindest formell, dass eine Datenverarbeitung im Auftrag im Rahmen der Vorgaben der DS-GVO möglich ist.

Fazit

Noch bestehen der EU-US Privacy Shield und die Standardvertragsklauseln. Solange in einem Bundesland kein ausdrückliches Verbot ausgesprochen wurde, spricht für Schulen von daher gegenwärtig rein formell nichts gegen eine Nutzung von Office 365, iCloud und G Suite for Education, wenn man dabei an einige Grundsätze beachtet. Diese tragen der oben geschilderten Tatsache Rechnung, dass auch wenn formell alles im grünen Bereich ist, man faktisch nicht mit absoluter Sicherheit einen umfassenden Schutz von personenbezogenen Daten garantieren kann. Eine Nutzung von Office 365, iCloud und G Suite for Education ist in Schule möglich, wenn

  • eine Verarbeitung von personenbezogenen Daten aus der Schulverwaltung komplett ausgeschlossen ist,9Dieses schließt auch dienstliche E-Mails ein, wenn sie über einen Cloud Account laufen.
  • die Schulverwaltung die Cloud nur nutzt, um allgemeine Informationen weiterzugeben und Formulare bereitzustellen,
  • Lehrkräfte sie untereinander zur Teamarbeit, zur Erstellung von Unterrichtsmaterialien, Konzeptarbeit, Entwicklung von Fachlehrplänen und ähnlich nutzen,
  • Nutzerkonten pseudonymisiert erstellt werden10Eine Erstellung von Nutzerkennungen nach dem Schema tholler@xyzschule.de oder thom2018@xyzschule.de für Thomas Müller sollte vertretbar sein,
  • per Nutzervereinbarung geregelt wird, dass bei der pädagogischen Nutzung der Plattform personenbezogene Daten auf das absolute Minimum beschränkt werden (z.B. keine Lebensläufe mit Echtdaten),
  • und keine Leistungsdaten dort zu finden sind.

Schulen, die eine der drei genannten Cloud Lösungen einführen wollen, sollten das Mittel der Datenschutz-Folgenabschätzung (DFA) für sich nutzen, um sich Klarheit zu verschaffen, ob das, was man vorhat, Sinn macht und vertretbar ist.11Art. 35 Abs. 7 listet auf, welche Fragen bei einer DFA zu klären sind. So kann eine Schule außerdem nachweisen, dass sie sich systematisch mit dem Thema auseinandergesetzt hat, und kann ihre Entscheidung begründen.

Zusätzlich zu den oben genannten Vorgaben, die man beachten sollte, wenn man eine der drei Cloud Lösungen in einer Schule einsetzen möchte, gibt es die Möglichkeit, den Schutz personenbezogener Daten durch die Nutzung von  sogeannten Hybridlösungen weiter zu optimieren. Hybridlösungen sind Kombinationen aus Cloud und lokaler Speicherung. Mit Office 365 und der iCloud lässt sich so etwas gut realisieren. Im Fall der iCloud wird diese nur für das Anlegen von Managed Apple IDs zur Einrichtung von shared iPads genutzt. Die Synchronisation der iPads mit der iCloud wird auf ein Minimum von App Einstellungen und ähnlich eingeschränkt. Erarbeitete Dateien wie Dokumente oder z.B. BookCreator Bücher werden lokal auf einen Server im Haus, ein NAS12Network attached Storage, eine Netzwerkfestplatte. oder ein anderes Speichermedium abgelegt. Bei Office 365 würde man beispielsweise Dokumente mit personenbezogenen Daten, etwa einen Lebenslauf, lokal auf einem Server in der Schule abspeichern, der nicht in die Cloud synchronisiert wird.

Eine weitere Möglichkeit, den Schutz personenbezogener Daten von Schülern und Lehrern bei der Nutzung der genannten Cloud Dienste zu verbessern, sind sogenannte Single Sign-on (SSO) Lösungen. Dabei erfolgt die Anmeldung an der Cloud Plattform nicht mit individueller Nutzerkennung und Passwort, sondern über eine andere Plattform, die diesen Anmeldedienst bereitstellt. Office 365 und G Suite for Education ermöglichen Single Sign-on, Anbieter wie itslearning oder die HPI Schul Cloud unterstützen dieses Verfahren. Auch eine Landesplattform wie Logineo NRW könnte dafür eingerichtet werden.

Wie man mit Clouds datensparsam arbeiten kann, ist hier nur kurz skizziert. Weitere Informationen folgen später in einem weiteren Beitrag.

Weiter lesen:

Auf die Information nach Art. 13 bei der Anmeldung an der Schule kommt es an

Lesezeit: < 1 Minute

Bei der Anmeldung von Schülern an einer Schule werden umfänglich personenbezogene Daten erhoben. Entsprechend der Vorgaben von Art. 13 DSGVO Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person sind die Betroffenen zu informieren.

Ist man dieser Informationspflicht nachgekommen und es werden später im Laufe der Schulzeit anlassbezogene Einwilligungen eingeholt, kann auf einen Teil der nach Art. 13 vorgeschriebenen Informationen verzichtet werden, da sie bereits bei der Anmeldung umfänglich gegeben wurden.1“Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt.” Art. 13 Abs. 4 DS-GVO

Bei einer anlassbezogenen Einwilligung könnte man dann auf folgende Punkte verzichten2Achtung – sämtliche andere Informationen müssen gegeben werden, um eine rechtswirksame Einwilligung einholen zu können. und damit die Einwilligung deutlich verkürzen:

  • Kontaktdaten des Verantwortlichen (und eventuell des Vertreters)
  • Kontaktdaten des Datenschutzbeauftragten
  • Information über die Rechte der Betroffenen gegenüber der Schule (Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht gegen die Verarbeitung, Recht auf Datenübertragbarkeit)
  • Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird
  • Beschwerderecht bei einer Aufsichtsbehörde

In den Vorlagen für Einwilligungen könnten dann diese Punkte gelöscht werden. Es empfielt sich jedoch, auf die Möglichkeit hinzuweisen, die Informationen entsprechend Art. 13 in der Schule jederzeit zu erhalten oder auf der Schulhomepage einsehen zu können.3Auch ein Hinweis auf den Ablageort auf der Schulhomepage wäre sinnvoll.

Ausführliche Informationen zur Erstellung einer Einwilligung finden sich unter Wie erstellt man eine datenschutzrechtlich korrekte Einwilligung für Schule?

Verarbeitung auf Grundlage einer Interessenabwägung – geht das bei Schulen?

Lesezeit: 2 Minuten

Nach §§120 – 122 Schulgesetz NRW gibt es nur zwei datenschutzrechtliche Grundlagen, sogenannte Erlaubnistatbestände, für die Verarbeitung von personenbezogenen Daten von Schülern, Eltern und Lehrkräften: eine Rechtsvorschrift erlaubt sie oder die Betroffenen willigen ein. In Bezug auf Schüler heißt es deshalb in Abs. 1 §120 SchulG NRW,

“Schulen […] dürfen personenbezogene Daten der Schülerinnen und Schüler, der in § 36 genannten Kinder sowie der Eltern verarbeiten, soweit dies zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben erforderlich ist. […] Andere Daten dürfen nur mit Einwilligung der Betroffenen erhoben werden.”

Die im Schulgesetz aufgeführten Erlaubnistatbestände entsprechen den Buchstaben e und a in Art. 6 der Datenschutz Grundverordnung (DS-GVO). e entspricht dabei der Verarbeitung auf der Grundlage einer Rechtsvorschrift1lit. e “die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;”2Eine entsprechende Vrogabe findet sich auch in §3 Bundesdatenschutzgesetz, “Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist.” . a entspricht der Verarbeitung auf Grundlage einer Einwilligung der betroffenen Person3lit. a “Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;”.

Auch wenn eigentlich aufgrund der Vorgaben aus dem Schulgesetz klar sein sollte, dass es keine anderen Erlaubnistatbestände gibt, welche in Schule eine Verarbeitung von personenbezogenen Daten rechtfertigen können, kommt trotzdem immer wieder die Frage auf, ob es für Schulen auch zulässig ist, eine Verarbeitung von personenbezogenen Daten von Schülern, Eltern und Lehrkräften auch auf der Grundlage von Art. 6 Buchstabe f4“die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.” durchzuführen? Das meint die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen, hier also der berechtigten Interessen der Schule. Kann eine Schule eine Interessenabwägung vornehmen zwischen ihren eigenen Interessen und denen der Betroffenen, und eine Verarbeitung auch ohne Einwilligung oder gesetzliche Grundlage vornehmen, wenn sie zu dem Schluss kommt, dass die Interessen der Schule überwiegen?

Dazu gibt es sogar in der DS-GVO eine Antwort. Direkt unter Buchstabe f findet sich in Art. 6 DS-GVO ein Passus, welcher Behörden von dieser Regelung ausnimmt.

“Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.”

Eine Schule ist eine öffentliche Stelle und verwaltungstechnisch eine Behörde.5„Im Schulbereich ist Behörde im Sinne des Hessischen Verwaltungsverfahrensgesetzes (HVwVfG) jede Schule in öffentlicher Trägerschaft, …“ ), in Raabe, Schulleitung Online, Verwaltungsakt-Rechtsbegriff. Entsprechend ist die Ausnahme auf Schulen in öffentlicher Trägerschaft anzuwenden.

In einem Dokument des Europäischen Rates65419/1/16 REV 1 S. 277Eine gleichlautende Aussage findet sich auch in Erwägungsgrund 47 wird erläutert, warum Art. 6 lit. f nicht auf Behörden angewendet werden soll:

“Da es dem Gesetzgeber obliegt, per Rechtsvorschrift die Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch die Behörden zu schaffen, sollte diese Rechtsgrundlage nicht für Verarbeitungen durch Behörden gelten, die diese in Erfüllung ihrer Aufgaben vornehmen.”

Diese “Ausnahme ist dem Grundsatz des Gesetzesvorbehalts geschuldet”8Buchner / Petri in Kühling / Buchner Art. 6 Rn. 157

Das heißt, für Verarbeitungen von personenbezogenen Daten, welche eine Schule in Erfüllung ihrer Aufgaben, vornimmt, ist Art. 6 lit. f nicht anwendbar, denn hier ist Rechtsgrundlage für die Verarbeitung personenbezogener Daten das SchulG NRW und daraus abgeleitete Verordnungen. Schulen können demnach in dem Bereich, wo es um die Erfüllung ihrer Aufgaben als Schule geht, keine Verarbeitung auf der Grundlage einer Interessenabwägung vornehmen.

Die DS-GVO kann durchaus in bestehende datenschutzrechtliche Vorgaben eingreifen, wie das etwa bei der Einschränkung der Einwilligungsfähigkeit von Kindern und Jugendlichen entsprechend Art. 8 Abs. 1 der Fall ist. Sie kann aber keine neuen Erlaubnistatbestände in bestehende Regelungen einführen. Und selbst wenn dieses möglich wäre, so ist von der DS-GVO für den in Frage stehenden Bereich, die Interessenabwägung, nicht einmal vorgesehen.

Dürfen Gäste bei Schulveranstaltungen Fotos machen?

Lesezeit: 7 Minuten

Vor ein paar Monaten machte sich noch niemand Gedanken, ob es wohl rechtmäßig ist, wenn Besucher bei einer Schulveranstaltung Fotos machen. Es war normal, dass bei Schulfesten, Einschulungsfeiern, Schulentlassungen und ähnlich Eltern die Veranstaltung in in Form von Fotos und teilweise auch Videos festhielten. War das in der Vergangenheit auf einige wenige foto- oder videobegeisterte Eltern beschränkt, so ist heute fast jeder mit dabei. Und anders als früher landen einige der entstandenen Medien auch schnell in sozialen Netzwerken. Man möchte die Freude teilen und die Fotos und Videos auch anderen, die dabei waren, zur Verfügung stellen.

Eltern fotografieren ihre Kinder bei einer Entlassfeier in der Aula der Schule mit ihren Smartphones.

Seit Beginn der Umsetzung der DS-GVO am 25.05.2018 herrscht an mancher Schule herrscht große Unsicherheit, ob die bisherige Praxis so weiter Bestand haben kann, braucht die Schule selbst doch Einwilligungen der Erziehungsberechtigten für das Anfertigen von Fotos von Schülerinnen und Schülern. In Folge untersagten dann Schulen Eltern das Fotografieren bei Schulveranstaltungen. Über die Medien bekannt geworden sind mehrere solche Fälle, z.B. im Raum München, wo eine Schule Eltern das Fotografieren auf dem Schulgelände grundsätzlich verbietet, und in der Lausitz, wo die Schulleitung Teilnehmern der Einschulungsfeier Fotos und Video im Kulturhaus und auf dem Schulgelände untersagt. Auch ein bayrisches Schulamt empfiehlt Schulen, dass Eltern das Fotografieren nicht mehr erlaubt werden soll. Verwiesen wird in allen Fällen auf die DS-GVO.

Im Schulamt Cottbus hält man ein generelles Fotografierverbot für nicht angemessen, sieht jedoch die Erfordernis einer vorherigen Einwilligung durch alle Eltern1“Ein generelles Fotografierverbot wäre nicht angemessen und würde bei den Eltern auf Unverständnis stoßen. Um allerdings Fotos machen zu können, bräuchte man das Einverständnis aller Eltern“, sagt Gerald Boese.” Schulanfang 2018 und die DSGVO – Grundschule verbietet Eltern Fotos bei Einschulungs-Feier und verweist sonst auf die Möglichkeit, Fotos außerhalb der Veranstaltung zu machen.

Die rechtliche Seite

Grundsätzlich kann die Schulleitung durch ihr Hausrecht tatsächlich Besuchern das Anfertigen von Fotos und Videos auf dem Schulgelände untersagen. Doch ist das zur Einhaltung der Vorgaben der DS-GVO tatsächlich erforderlich?

Bei der Anfertigung von Fotografien und Videos auf schulischen Veranstaltungen geht es rechtlich um zwei verschiedene Dinge, das Anfertigen selbst und die Veröffentlichung.

Der bayrische Datenschutzbeauftragte Thomas Petri sieht kein Problem darin, wenn Eltern Fotos ihrer Kinder anfertigen und andere Kinder auf diesen Fotos als “Beiwerk” erscheinen. Allerdings macht es, wenn es um das Veröffentlichen in sozialen Netzwerken geht, seiner Meinung nach schon einen Unterschied, ob die Fotos irgendwo entstehen oder in einer Schule.

“Das Veröffentlichen von Fotos, die bei Schulveranstaltungen gemacht wurden, ist etwas heikler: Denn die Schule ist ein besonders geschützter Rahmen. Für das private Familienalbum ist das Fotografieren ok. Anders bei einer Veröffentlichung auf Facebook. Dann müssen Eltern mit Haftungsrisiken leben, wenn sich Eltern anderer mit abgebildeter Kinder gegen die Veröffentlichung zur Wehr setzen.” 2Datenschutz bei Kindern; Wenn Schulen und Kitas das Fotografieren verbieten, 05.07.2018

Genau in die gleiche Richtung argumentiert auch Thomas Stadler, ein Fachanwalt für IT- Recht, in seinem Beitrag “Fordert der Datenschutz ein Fotografierverbot auf Schulfesten?” Er sieht keine Erfordernis für ein Verbot, da sich aus der DS-GVO kein solches ableiten lasse. Vielmehr sieht er eine Anwendbarkeit der Datenschutz Grundverordnung in derartigen Fällen für nicht gegeben, wenn die Anfertigung der Fotos ausschließlich persönlichen und familiären Zwecken dient.

Art. 2 Abs. 2 c) DSGVO besagt, dass der Anwendungsbereich der Verordnung nicht eröffnet ist, wenn natürliche Personen personenbezogene Daten zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten erheben. Das trifft auf das Fotografieren auf Schulveranstaltungen zu rein privaten Zwecken unzweifelhaft zu.”

Nicht unerwähnt bleiben soll an dieser Stelle, dass es zu dieser Frage auch andere Sichtweisen gibt. Kevin Leibold, Dipl. Jurist für Datenschutzrecht, IT-Recht und Urheberrecht ist der Meinung, dass die Anfertigung von Fotografien bei Schulfeiern durch die DS-GVO geregelt wird, da sie nicht unter die in Art. 2 Abs. 2c) beschriebene Ausnahme fällt:

“Auch für das Anfertigen der Fotos für bspw Schulfeiern ist mE nicht die Ausnahme nach Art. 2 Abs. 2 lit. c #DSGVO einschlägig. So sieht es auch der EuGH-C-212/13 wonach diese Ausnahme eng auszulegen ist und die Miterfassung des öffentlichen Raumes dies ausschließt #heiseshow”3via Twitter https://twitter.com/kleibold23/status/1024966626792353792

Wie Aussagen des Thüringer Datenschutzbeauftragte Hasse 4Der Beitrag ist mittlerweile nicht mehr verfügbar.[ 29.08.2020/mfn] zeigen, vertritt er diese Ansicht nicht alleine und fasst die Vorgaben sogar noch enger5“Da hat der Europäische Gerichtshof einen Riegel vorgeschoben indem er sagt, privat und familiärer Umkreis bedeutet, dass es im familiären und privaten Umkreis desjenigen der die Fotos macht, passiert. Dieser Kreis ist aber verlassen, wenn der Fotografierende oder Videografierende außerhalb dieses Kreises Aufnahmen macht. Also im öffentlichen Verkehrsraum oder dem Nachbargrundstück. Dann braucht man eine Einwilligung. Auch dann, wenn ich diese Bilder nicht veröffentlichen will.”; Kinderfotos schwärzen – muss das sein?; MDR Jump 02.08.2018 (Zitierte Seite ist mittlerweile nicht mehr online.). Die aktuelle Diskussion tendiert momentan allerdings etwas mehr in Richtung der Auffassung von Herrn Stadler.6Siehe auch die Diskussion auf Twitter, die auf Seite 2 dieses Beitrags wiedergegeben ist. Die Auslegung von Art. 2 Abs. 2c) hat schon viele Experten beschäftigt und füllt seitenlange Kommentare. Im Streitfall wird es dann letztlich eine Entscheidung der Richter sein. Unabhängig davon hat die Veröffentlichung der von Eltern auf Schulveranstaltungen angefertigten Fotos und Videos einen anderen rechtlichen Charakter. Hier ist nach Einschätzung von Thomas Stadler eine Einwilligung der Betroffen auf jeden Fall erforderlich.

“Wer also auf Instagram oder Facebook Fotos veröffentlicht, auf denen Personen zu erkennen sind, muss diese Menschen fragen, bevor er die Fotos postet.”

Im Alltag wird wohl kaum jemand eine solche Einwilligung einholen. In der Regel wird das auch nicht zu Problemen führen, da bei solchen Veranstaltungen fast jeder fotografiert. Dass es eventuell doch einmal zu rechtlichen Folgen kommen kann, ist allerdings nie auszuschließen. Darüber hinaus ist auch das letzte Wort noch nicht gesprochen, was das Kunsturheberrechtsgesetz (KUG) und seine Stellung und Geltung gegenüber der DS-GVO angeht.

Fazit

Für Schulen lässt sich aus den Vorgaben der DS-GVO keine Notwendigkeit ableiten, Eltern, anderen Familienangehörigen und Freunden der Schülerinnen und Schüler das Anfertigen von Fotografien und Videos auf schulischen Veranstaltungen zu untersagen. Schulen stehen hier in keiner diesbezüglichen Pflicht. Was schon immer möglich war, ist auch weiterhin möglich. Wer als Besucher einer schulischen Veranstaltung mit familiärer oder freundschaftlicher Beziehung zu den Schülerinnen und Schülern dort Fotos oder Videos anfertigt, sollte jedoch bei der Veröffentlichung in sozialen Medien eine ausreichende Sorgfalt walten lassen. So lassen sich Konflikte mit anderen Personen oder deren Angehörigen vermeiden, wenn diese auf Fotos oder Videos mit auftauchen.

Nachtrag August 2019

Wie nicht anders zu erwarten, kocht das Thema zum Ende der Schulferien im August 2019 erneut hoch. Die Rede ist von Schulen, die das Fotografieren verbieten. Viele Medien greifen das Thema auf.

Einer der wohl besten Beiträge stammt Rechtsanwalt David Seiler, der sich auf Fotorecht spezialisiert hat. In “Fotografierverbot an Schulen und Kitas wegen Datenschutz?“greift er die aktuellen Entwicklungen auf und erläutert umfassend die rechtliche Lage. Einen datenschutzrechtlichen Grund sieht auch er nicht, das Fotografieren zu verbieten.

Stand 08/2019