Eltern klagen wegen Veröffentlichung eines Klassenfotos und unvollständiger Auskunft

Lesezeit: 2 Minuten

Wie der Bayrische Rundfunk berichtet, entschied das Verwaltungsgericht Augsburg am 12.07.2018 über einen Fall, in welchem Eltern eines 13 jährigen Schülers wegen der Veröffentlichung eines Klassenfotos in einem Jahresbericht klagen, auf welchem der Sohn abgebildet ist.

Das Verwaltungsgericht Augsburg entscheidet heute über eine ungewöhnliche Klage: Die Eltern eines 13 Jahre alten Schülers hatten verlangt, dass ein Klassenfoto, auf dem ihr Sohn zu sehen ist, nicht veröffentlicht werden darf. Im Jahresbericht der Schule wurde das Bild dann aber doch abgedruckt. Die Leitung der Geschwister-Scholl-Mittelschule in Aichach hat nach Angaben des Gerichts einen Fehler eingeräumt. Sie habe sich auch bei den Eltern entschuldigt.

Dem Bericht nach haben die Eltern in einer “Datenschutzerklärung”, gemeint sein wird wohl eine datenschutzrechtliche Einwilligung, der Anfertigung eines Klassenfotos mit dem Sohn zugestimmt, dabei jedoch keine Einwilligung zu einem “Abdruck in einer Lokalzeitung oder für die Verwendung im Internet” oder im Jahresbericht gegeben. In letzterem wurde das Bild dann abgedruckt, rechtswidrig wie die Eltern meinen. Diesen Tatbestand soll das Gericht bestätigen. Eine Entschuldigung der Schule, die ihren Fehler einräumt, reicht den Eltern nicht aus.

Dem Bericht nach haben die Eltern wohl auch von ihrem Auskunftsrecht gegenüber der Schule nach Art. 15 DS-GVO Gebrauch gemacht. Da sie der Meinung sind, die Schülerakte nicht vollständig erhalten zu haben, klagen sie auch diesbezüglich.

Für mich stellt sich die Frage, was die Eltern mit ihrer Klage bewecken. Geht es nur ums Recht oder will man auf Schadensersatz klagen? Normalerweise ist so etwas zunächst ein Fall für die Aufsichtsbehörde.

Das Urteil ist noch nicht publiziert. Es sollte jedoch in Kürze unter VG Augsburg – Rechtsprechungsübersicht (dejure.org) nachzulesen sein.

Was der Fall auf jeden Fall zeigt: es ist wichtig, nicht nur Einwilligungen von Erziehungsberechtigten bezüglich der Anfertigung und Veröffentlichung von Fotografien einzuholen, sondern bei einer Nichteinwilligung auch entsprechend zu handeln.

Es wäre in diesem Fall sinnvoll gewesen, auch Klassenfotos ohne den betreffenden Schüler anzufertigen, um Material für das Jahrbuch zu haben. Dass Eltern ihre Einwilligung zur Veröffentlichung von Fotografien, vor allem wenn es um Klassenfotos oder Gruppenaufnahmen geht, verweigern, ist eher die Ausnahme als die Regel. Wenn es aber einen solchen Fall gibt, sollte eine Schule besondere Sorgfalt walten lassen, um hier keine Fehler zu begehen. Wie das Beispiel zeigt, können derartige Fehler Konsequenzen nach sich ziehen, und wenn es nur Gerichtstermine sind. Im schlimmsten Fall kann es zu Schadensersatzforderungen kommen, auch wenn es nur um immaterielle Schäden1Nach Art. 82 DS-GVO Abs. 1 hat ein Betroffener auch bei immateriellen Schäden “Anspruch auf Schadenersatz gegen den Verantwortlichen”, in diesem Fall die Schule. geht.

Quelle: Streit um Datenschutz in der Schule – Eltern klagen wegen Klassenfoto ihres Sohnes

Datenschutz – die Beweislast liegt bei der Schule

Lesezeit: 2 Minuten

Ein aktueller Beitrag in der FAZ beleuchtet recht gut, was sich durch die Datenschutz Grundverordnung (DS-GVO) für Schulen verändert hat. Schulen mussten wie jede öffentliche Stelle, welche personenbezogene Daten verarbeitet, schon immer entsprechend der Datenschutzgesetzgebung dokumentieren, welche Daten verarbeitet werden, zu welchem Zweck, auf welcher rechtlichen Grundlage, wie lange sie aufbewahrt werden, was zur Sicherheit der Daten getan wird und so weiter. Auch wenn  Verfahrensverzeichnisse heute Verzeichnisse von Verarbeitungstätigkeiten heißen und auch Datenverarbeitung im Auftrag mit Auftragsverarbeitung einen neuen Namen erhalten hat, so sind diese Formen der Dokumentation Schulen nicht gänzlich fremd. Trotzdem war die Dokumentation bei vielen Schulen bisher eher lückenhaft. Das war weitestgehend unproblematisch, denn passieren konnte Schulen deswegen nichts. Und wenn sich tatsächlich ein Betroffener meldete und wegen einer Datenschutzverletzung beschwerte, lag die Beweislast bei dieser Person. Sie musste erst einmal nachweisen, dass es zu einem Verstoß gegen datenschutzrechtliche Vorgaben gekommen war. Mit der Umsetzung der DS-GVO hat sich das deutlich geändert.

Schul-IT-Experte Jürgens weist aber auf einen wichtigen Unterschied hin: Durch die DSGVO hat sich die Beweislast umgekehrt. Bislang musste einer Schule erst einmal nachgewiesen werden, dass sie unsauber mit Daten arbeitet. Durch die neuen Regeln müssen sie nun lückenlos aufzeigen können, wie sie geltendes Recht in der Praxis einhalten.

Bedeutet konkret: Alles muss niet- und nagelfest dokumentiert und gesichert sein. Wer hat Zugriff auf personenbezogene Daten? Wo sind sie gespeichert? Sind sie ausreichend geschützt? Koordiniert werden muss all das ab sofort von einem designierten Datenschutzbeauftragten, etwa einem computeraffinen Lehrer. Schließlich verlangt die DSGVO ein Verzeichnis der Verarbeitungstätigkeiten, in das sämtliche Vorgänge und Prozesse, bei denen in der Schule personenbezogene Daten verarbeitet werden, einzutragen sind.

Kommt es nun zu einer Beschwerde durch Betroffene, müssen Schulen, durch ihre Dokumentation nachweisen können, dass sie die datenschutzrechtlichen Vorgaben eingehalten haben. Ohne Dokumentation stehen sie, sollte es zu einem gerichtlichen Verfahren um Schadensersatz kommen, äußerst schlecht da. Die Chancen, dass sie im Verfahren unterliegen, sind ohne ausreichende datenschutzrechtliche Dokumentation groß, selbst wenn sie sonst alles richtig gemacht haben. Es reicht nicht aus, sich an alle datenschutzrechtlichen Vorgaben gehalten zu haben, wenn man es nicht belegen kann.

Diese Webseite möchte aus genau diesem Grund, Schulen und Datenschutzbeauftragte dabei unterstützen, eine korrekte und vollständige Dokumentation zu erstellen und zu pflegen, mit Einwilligungen, Datenschutzerklärungen, Informationsschreiben, Datenschutzordnungen, Verfahrensverzeichnissen, Anleitungen und mehr.

Quelle: Neue Datenschutzregeln: Hat die DSGVO Schulen ins Chaos gestürzt? FAZ; 26.06.2018

Schulen und Facebook Pages

Lesezeit: 2 Minuten

Viele Schulen haben eine Präsenz auf Facebook. Bei einigen ist es nicht mehr als eine Visitenkarte, doch andere Schulen laden regelmäßig Fotos auf ihre Facebook Seite und berichten über schulische Ereignisse. An einigen Schulen gibt es Einwilligungsformulare, in welchen eine Einwilligung für die Veröffentlichung von Fotos für die Schulhomepage und Facebook in einem eingeholt wird.

Facebook ist in vielen Bereichen definitiv ein wichtiger Kanal, um Öffentlichkeitsarbeit zu betreiben und Kontakt zu anderen herzustellen. Benötigen Schulen eine Facebook Präsenz? Darüber lässt sich sicherlich streiten.

Aus Sicht des Datenschutz spricht Einiges gegen eine schulische Facebook Präsenz und noch mehr gegen die Veröffentlichung von personenbezogenen Daten von Schülern und Lehrkräften auf diesem Medium.

Schulen können die Vorgaben des EuGH und der Datenschutzkonferenz nicht erfüllen

Egal wie man es dreht und wendet, für Schulen gilt dasselbe wie für alle anderen Betreiber von Facebook Seiten. Sie sind gemeinsam mit Facebook verantwortlich für die Verarbeitung von personenbezogenen Daten von Besuchern und müssen entsprechenden Pflichten nachkommen. Das ist jedoch nicht möglich, wenn Facebook von seiner Seite aus nicht an einer Lösung mitarbeitet. Als öffentliche Stelle kann eine Schule es sich wohl eher nicht leisten, unter diesen Bedingungen eine Facebook Präsenz zu unterhalten. Auch wenn öffentliche Schulen von Seiten der Aufsichtsbehörden nicht mit Bußgeldern bei Datenschutzverstößen zu rechnen haben, empfiehlt es sich Schulen eher, auf eine Facebook Präsenz zu verzichten.

Facebook bietet keine Verlässlichkeit in Bezug auf Datenschutz

Schulen sollten keine personenbezogenen Daten von Schülern, Lehrkräften und anderen am Schulleben beteiligten Personen bei Facebook einstellen, vor allem kein Bildmaterial. Selbst wenn Fotos von Personen aus der Schule ohne Namensnennung eingestellt werden, wird Facebook seine Gesichtserkennungsalgorithmen nutzen und Personen identifizieren, auch wenn es lediglich Fotos mit größeren Gruppen sind. Die Auflösungen von Kameras und auch Smartphones sind heute so gut, dass auf Fotos viele Details zu erkennen sind. Facebook hat in der Vergangenheit immer wieder gezeigt, dass es kein verlässlicher Partner in Sachen Datenschutz ist. Immer wieder ändern sich Geschäftsbedingungen und kommt es zu Fehlern. Persönlich halte ich es mittlerweile für fahrlässig, wenn eine Schule Fotos von Schülern bei Facebook einstellt, selbst wenn dieses mit Einwilligung der Eltern erfolgt. Die Folgen auf Dauer sind einfach nicht abschätzbar.

Weiter lesen: 

EU-US Privacy Shield auf der Kippe und für Schulen wird nichts besser

Lesezeit: 2 Minuten

Der EU-US Privacy Shield, der Nachfolger des Safe Harbour Agreements, bietet US amerikanischen Anbietern wie Microsoft, Google, Apple und Amazon die Möglichkeit, europäischen Nutzern Garantien für die Sicherheit von personenbezogenen Daten anzubieten, welche auf US Servern verarbeitet werden. Bei großen weltweit agierenden Anbietern ist es normal, dass man ein über die Welt verstreutes Netzwerk (CDN) an Servern hat. Wichtige Server stehen dort, wo die Firmen ihre Zentralen haben, in den USA.

Die Übermittlung von Daten in Länder außerhalb der EU ist aus datenschutzrechtlicher Sicht ein komplexes Thema, denn es geht um Schutzniveaus und Garantien, dass die personenbezogenen Daten europäischer Bürger in diesen Drittstaaten sicher sind und auf einem der EU vergleichbaren Datenschutzniveau verarbeitet werden. Es geht um Sicherheit vor Missbrauch der Daten und unberechtigten Zugriffen. Dank des EU-US Privacy Shields ist es aktuell recht einfach, die Dienste der genannten Anbieter in Anspruch zu nehmen, wenn man den Anbietern selbst vertraut. In der Regel sind große Anbieter zusätzlich von unabhängigen Instanzen zertifiziert und man unterzeichnet darüber hinaus noch Standardvertragsklauseln.

Für Schulen ist der unterrichtliche Einsatz von Angeboten, welche die Nutzung US amerikanischer Server mit einschließen, Angeboten wie Office 365 mit der Cloud von Microsoft, G-Suite for Education von Google und iCloud von Apple auch trotz EU-US Privacy Shield nicht ohne Probleme. Bis auf Ausnahmen1z.B. LDI Hessen für Office 365 mit  der (Deutschland) Cloud und LDI RLP für G-Suite for Education (ohne personenbezogenen Daten). sprechen die Aufsichtsbehörden der Bundesländer keine Empfehlungen für Schulen aus, dass sie eines der genannten Produkte ohne Bedenken mit Nutzerkonten mit Klarnamen und weiteren personenbezogenen Daten der Schüler im Unterricht nutzen können. Für sie gibt es, trotz EU-US Privacy Shield und zusätzlichen Selbstverpflichtungen zu viele ungeklärte Fragen.

Am 11. Juni 2018 hat man in Brüssel festgestellt, dass das EU-US Privacy Shield keinen ausreichenden Schutz für die personenbezogenen Daten von EU Bürgern garantiert. Nun soll die europäische Kommission das Abkommen auf Eis legen, sollten die USA nicht bis zum 1. September Garantien bieten, welche den Vorgaben der DS-GVO entsprechen. Darüber hinaus steht wohl auch noch eine Entscheidung des europäischen Gerichtshofs (EuGH) zu den Standardvertragsklauseln an. Experten sind sich aktuell unsicher, wie das alles enden wird.

Fakt ist jedoch: sollten das EU-US Privacy Shield und/oder die Standardvertragsklauseln kippen und es gibt keine neuen vertraglichen Regelungen zwischen den USA und der EU, dann wird es für Schulen noch schwieriger, eventuell sogar unmöglich, manche Produkte der großen Anbieter zu nutzen. Und nicht nur das. Selbst nicht US Anbieter unterhalten oft in den USA Datenzentren und Niederlassungen, da dort einer ihrer größten Märkte ist. Andere Anbieter nutzen die Serverdienste von Amazon (AWS) und Google, da sie selbst keine eigenen Server haben.2Die Problematik geht eigentlich sogar noch weiter, denn auch die großen Betriebssystem, von Linux einmal abgesehen, kommen ohne Datenfluss zu und von US Servern nicht aus, wenn es um Updates geht, um anonymisierte Nutzungsdaten, die Zugriffe von Apps usw.

Fazit: Was ohnehin schon problematisch ist, wir womöglich noch problematischer werden.

Alles könnte einfacher:  Es gäbe einfache Auswege. Schulen könnten problemlos Angebote wie Collabora Office, Nextcloud und ähnlich nutzen, um vergleichbare Funktionalitäten für den Einsatz im Unterricht zu erhalten. In vielen Kommunen sieht man jedoch eine Dominanz von Microsoft Produkten, denn diese sind in den kommunalen Verwaltungen im Einsatz, werden von den kommunalen Dienstleistern unterstützt und von Wirtschaftsbetrieben vor Ort an den Schulen favorisiert. Vielleicht ist es an der Zeit, den Schalter umzulegen und auf andere Lösungen zu setzen. Die Vergangenheit zeigt, dass es für Schulen aus datenschutzrechtlicher Sicht problematisch ist, auf die großen Anbieter zu setzen.

Die Zukunft des EU-US Privacy Shields und der Standardvertragsklauseln sind zur Zeit ungewiss. Es bleibt abzuwarten, was passiert.

Abmahnung & Schulhomepage

Lesezeit: 3 Minuten

Als dieser Beitrag ursprünglich entstand, stand der Beginn der Umsetzung der DS-GVO kurz bevor. Es herrschte große Unsicherheit, wie eine Website im Einklang mit der Datenschutz-Grundverordnung gestaltet werden sollte. Datenschutzerklärungen wurden aktualisiert oder neu erstellt, Cookie Banner eingerichtet und das Laden von kritischen externen Inhalten wie YouTube Videos so umgestellt, dass Nutzer dieses selbst aktivieren müssen. Auf einige Inhalte verzichten viele Websites seither, etwa Google Maps und Google Analytics. Auch Schulen überarbeiteten ihre Internetauftritte entsprechend.

Trotz aller Anpassungen war und ist da immer die Sorge vor dem Schreckgespenst – Abmahnung!!!! 

Auch wenn die Zeit der Abmahnwellen mittlerweile durch ist, bleiben Abmahnungen durch aus ein Thema. Doch muss eine Schule sich hier überhaupt Gedanken machen? Kann eine Schule wegen ihrer Schulhomepage und dort möglicherweise begangenen Rechtsverstößen abgemahnt werden?

Beschäftigt man sich näher mit dem Thema Abmahnung, dann sieht man schnell, dass eine Schule prinzipiell zwar durchaus abgemahnt werden kann wegen Inhalten der Schulhomepage, dass dieses wegen des Thema Datenschutzes jedoch eher unwahrscheinlich ist. Warum?

JuraWiki beschreibt den Begriff Abmahnung wie folgt:

“Allen Abmahnungen gemeinsam ist, dass sie ein bestimmtes Verhalten rügen. Es wird darauf hingewiesen, dass man dies nicht toleriert und bei forgesetztem Fehlverhalten Konsequenzen drohen.”

Abmahnungen sind in verschiedenen Rechtsbereichen vertreten. Arbeitsrecht, Mietrecht und Verwaltungsrecht treffen auf eine Schulhomepage nicht zu. Schulen in öffentlicher Trägerschaft können eindeutig auch nicht vom Wettbewerbsrecht betroffen sein. Es bleiben noch das Urheberrecht, das Markenrecht und das Persönlichkeitsrecht.

Hier können sich tatsächlich Konstellationen in Bezug auf die Homepage ergeben, aus denen Abmahnungen folgen könnten.

Urheberrecht

Finden sich auf einer Schulhomepage urheberrechtlich geschützte Materialien, die ohne Erlaubnis des Rechteinhabers dort genutzt werden, so hat der Rechteinhaber die Möglichkeit, sich über eine Abmahnung dagegen zu wehren. Alternativ werden auch Lizenzkosten erhoben. Fälle, dass dieses sogar mit Creative Commons lizenzierten Bildern geschieht, sind bekannt. Dabei waren dann die Lizenzangaben nicht richtig oder unvollständig gemacht worden. Weitere Informationen finden sich in der von der BR Münster veröffentlichten Schrift Urheberrecht trifft Schule (PDF, 2024), die sich in Kapitel 5 mit dem Thema Abmahnungen befasst und Schulen empfiehlt, sich in solchen Angelegenheiten nicht selbst mit dem Abmahner auseinanderzusetzen, sondern die Angelegenheit unmittelbar an ihre Bezirksregierung abzugeben.

Markenrecht

Die Nutzung urheberrechtlich geschützter Markenzeichen kann auf einer Schulhomepage, sofern keine Einwilligung des Rechteinhabers vorliegt, eine Abmahnung zur Folge haben. Dazu gehören auch die Logos von Sportmannschaften.

Persönlichkeitsrecht

Auch bei Verletzungen des Persönlichkeitsrechts sind Abmahnungen möglich, auch gegen Schulen. Das könnte der Fall sein, wenn auf einer Schulhomepage über eine Person berichtet wird, so dass das Persönlichkeitsrecht verletzt wird, etwa durch eine grob sachlich falsche oder beleidigende Darstellung einer Person.

An dieser Stelle sind durchaus Überschneidungen mit dem Datenschutzgesetz möglich, etwa wenn Informationen ohne Einwilligung des Betroffenen auf der Schulhomepage veröffentlich werden und diese Informationen rufschädigende Wirkung haben.

Da es bei einer Abmahnung darum geht, jemanden dazuzubringen, ein Verhalten zu unterlassen, und es bei den Inhalten von Schulhomepages in der Regel um Personen geht, die der Schule bekannt sind, muss es schon weit kommen, dass eine Person zur Abmahnung als letztes Mittel greift, wenn es zu einer Verletzung des Persönlichkeitsrechts kommt.

Was ist mit dem Impressum?

Eine Abmahnung wegen fehlenden oder fehlerhafen Impressums ist eine Abmahnung aus dem Bereich des Wettbewerbsrechts. Auf Schulen in öffentlicher Trägerschaft trifft das normalerweise nicht zu.1Ob man einer Schule, die Werbebanner auf ihrer Homepage betreibt und Amazon Affiliate Links nutzt, einen Strick daraus drehen könnte, halte ich für wenig wahrscheinlich. Eine Abmahnung wegen fehlenden Impressums ist von daher auch nicht wirklich möglich. Haben sollten Schulhomepages ein Impressum aber auf jeden Fall.

Gibt es nicht doch Möglichkeiten, wo eine Schule wegen der Schulhomepage in Bezug auf Verletzungen des Datenschutz abgemahnt werden kann?

Schaut man sich die Rechtsbereiche an, bei denen Abmahnungen üblich sind, so ist schnell klar, dass bei Verstößen gegen die Datenschutzgesetzgebung, wenn es um Schulen geht, nicht mit Abmahnungen gerechnet werden muss. Möglich sind in sochen Fällen Beschwerden bei den Aufsichtsbehörden.

Ist eine fehlende oder fehlerhafte Datenschutzerklärung nicht doch ein Abmahnungsgrund?

Nein, auch nicht. Weder nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) noch nach dem Unterlassungsklagengesetz (UKlaG) ist hier eine Abmahnung möglich, denn in beiden Fällen geht es immer um kommerzielle Interessen des Betreibers der Homepage. Das ist bei einer Schule in öffentlicher Trägerschaft eindeutig nicht der Fall. Eine Datenschutzerklärung ist nach der DS-GVO natürlich trotz allem ein verpflichtender Bestandteil der Schulhomepage.

Fazit

Schulen brauchen sich, wenn es um das Thema Datenschutz und DS-GVO geht, bezüglich ihrer Schulhomepage keine Gedanken machen. Die Wahrscheinlichkeit, dass hier ein Abmahnanwalt ein Geschäft wittert, ist eher gering. Um eine Abmahnung erteilen zu können, braucht es eine Rechtsgrundlage und solange auf einer Schulhomepage keine Urheberrechtsverletzung begangen wird oder die Persönlichkeitsrechte einer Person missachtet werden, ist mit einer Abmahnung nicht zu rechnen. Trotzdem gelten auf jeden Fall die Vorgaben der Datenschutzgesetzgebung, die dazu anhalten die Erhebung von personenbezogenen Daten auf ein Minimum zu beschränken und Nutzer über die Erhebung in Kenntnis zu setzen, ihre Einwilligung einzuholen, wo erforderlich und die Datenverarbeitung über die Homepage allgemein mittels einer Datenschutzerklärung zu informieren.

Bitte beachten, für Privatschulen, die kommerziell betrieben werden, gelten obige Aussagen nicht uneingeschränkt.

Siehe auch:

In einer Reihe von Tweets hat die Rechtsanwältin Nina Diercks am 20.05.2018 sehr gut erklärt, wie es mit dem Abmahnrisiko für Websiten in Bezug auf die DS-GVO aussieht.

Link zum ersten Tweet: https://twitter.com/RAinDiercks/status/998079439727661056

Link zum restlichen Thread (11 Tweets): https://twitter.com/RAinDiercks/status/998080633464344576

Müssen Einwilligungen neu eingeholt werden?

Lesezeit: 3 Minuten

Die meisten Schulen, mit denen ich zu tun habe, sichern die Nutzung aller personenbezogenen Daten, die nicht auf der Grundlage des Schulgesetzes NRW und der VO-DV I & II erhoben werden dürfen, durch Einholen einer Einwilligung bei den Betroffenen ab, also den Erziehungsberechtigten oder den Schülern, wenn diese 16 Jahre oder älter sind.

In der Datenschutz Grundverordnung (DS-GVO) sind die Vorgaben für eine rechtsgültige Einwilligung noch einmal etwas umfangreicher geworden. Damit ergibt sich mit dem Beginn der Umsetzung der DS-GVO am 25. Mai 2018 bei vielen Schulen die Frage, ob die bestehenden Einwilligungen weiterhin gültig sind oder durch neue DS-GVO konforme Einwilligungen ersetzt werden müssen.

In einer FAQs zur Datenschutz-Grundverordnung des BMI heißt es dazu:

Gelten Einwilligungen der Betroffenen nach altem Recht fort?
Gemäß Erwägungsgrund 171 Satz 3 Datenschutz-Grundverordnung gelten Einwilligungen dann fort und es bedarf keiner erneuten Einwilligung, wenn “die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht”. Die Bedingungen für die Fortgeltung bisher erteilter Einwilligungen unter der Datenschutz-Grundverordnung haben die Aufsichtsbehörden des Bundes und der Länder konkretisiert.”

Was bedeutet das?

Viele bestehende, an Schulen bisher genutzte Einwilligungen werden den Bedingungen der DS-GVO vermutlich nicht entsprechen. Die Antwort nennt einen Erwägungsgrund und eine Konkretisierung der Aufsichtsbehörden. Daraus lassen sich fünf Kriterien ableiten, welche für die Rechtswirksamkeit einer Einwilligung auf jeden Fall erfüllt sein müssen. Beschränkt man sich auf diese, sollten doch ein paar der alten Einwilligungen weiter Gültigkeit haben.

Erwägungsgrund 171 Satz 3

Im Erwägungsgrund 171 Satz 3 wird verwiesen auf die alte Richtlinie 95/46/EG, in welcher eine datenschutzrechtliche Einwilligung wie folgt definiert ist:

Einwilligung der betroffenen Person” jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, daß personenbezogene Daten, die sie betreffen, verarbeitet werden.

Es werden in der Richtlinie vier Kriterien vorgegeben für die rechtliche Wirksamkeit einer Einwilligung:

  • jede Willensbekundung – es muss klar erkennbar sein, dass die betroffene Person einwilligt1Dafür sind entsprechende Formulierungen in der Einwilligung erforderlich, z.B. ich willige ein, dass …; ich gebe meine Einwilligung …; ich stimme zu …; ich bin damit einverstanden, dass … und ähnlich.
  • ohne Zwang – es muss die Freiwilligkeit gegeben sein2Die Freiwilligkeit muss durch eine entsprechende Formulierung in der Einwilligung erwähnt werden. In bestimmten Situationen ist das Thema Freiwilligkeit eine schwierige Situation. In Schule sollte Freiwilligkeit jedoch immer Grundlage jeder Einwilligung sein.
  • für den konkreten Fall – es muss ein konkreter Zweck genannt sein, Pauschaleinwilligungen sind von vornherein rechtlich unwirksam
  • in Kenntnis der Sachlage – die betroffene Person muss die Folgen der Einwilligung abschätzen können. Es geht um eine informierte Einwilligung.3Dieses Kriterium ist etwas schwammig und sollte bei den meisten alten Einwilligungen kein Problem sein, außer es geht um Verarbeitungsformen, bei denen nicht erwartet werden kann, dass die betroffene Person von sich aus abschätzen kann, welche Folgen die Verarbeitung für sie haben können.

Konkretisierung der Aufsichtsbehörden

Die Aufsichtsbehörden heben in ihrem Beschluss zwei Kriterien besonders hervor, die zwingend erfüllt sein müssen4Die Informationspflichten nach Artikel 13 DS-GVO waren nach den alten Vorgaben noch keine Pflicht und müssen dafür nicht erfüllt sein, da sie keine Bedingungen im Sinne des genannten Erwägungsgrundes (Erwägungsgrund 171, Satz 3) sind. Sie sind also keine Bedingung für die Gültigkeit einer alten Einwilligung., damit eine alte Einwilligung weiterhin Gültigkeit behalten kann: Freiwilligkeit5wie sie sich aus der Definition einer Einwilligung in Richtlinie 95/46/EG ergibt und Altersgrenze von 16 Jahren6Diese Altersgrenze gab es so bisher nicht. Sie ist mit der DS-GVO neu hinzugekommen.

Fünf Kriterien für rechtliche Wirksamkeit einer alten Einwilligung

Zusammengefasst ergeben sich so aus dem Erwägungsgrund und den Ausführungen der Aufsichtsbehörden die folgenden fünf Kriterien:

  1. Wenn also die Einwilligung keinen Passus hat bezüglich der Freiwilligkeit der Einwilligung oder die Freiwilligkeit bei der Einwilligung nicht gegeben war, so ist sie ab dem 25.05.2018 ungültig.
  2. Hat ein Schüler, der jünger als 16 Jahre ist, eingewilligt, oder war zum Zeitpunkt der Einwilligung weniger als 16 Jahre alt, so ist die Einwilligung ebenfalls nicht weiter gültig.
    • Ist der Schüler unter 16 Jahre alt, muss die Einwilligung bei den Erziehungsberechtigten eingeholt werden.
    • Ist der Schüler 16 Jahre oder älter, kann er/sie die Einwilligung selbst erteilen.
  3. Informierte Einwilligung
  4. klar definierter Zweck bzw. Zwecke
  5. klar erkennbare Willensbekundung

Das bedeutet für Schulen

Es müssen alle bestehenen Einwilligungen für die Verarbeitung von personenbezogenen Daten daraufhin überprüft werden, ob sie diesen fünf Kriterien entsprechen. Ist nur ein Kriterium nicht erfüllt, ist die Einwilligung nicht länger gültig und sollte neu eingeholt werden. Dazu gehören:

  • Nutzung von personenbezogenen Daten und Fotos auf der Schulhomepage und in der lokalen Presse.
  • Erstellung von Videos und Audioaufnahmen im Unterricht.
  • Nutzung des WLAN der Schule7Da dieses nahezu immer mit einer Verarbeitung personenbezogener Daten und einer entsprechenden Einwilligung verbunden ist..
  • Nutzung der Computer/ Tablets/ des Computer Raums.8Da dieses nahezu immer mit einer Verarbeitung personenbezogener Daten und einer entsprechenden Einwilligung verbunden ist.
  • Nutzung von Kontaktmöglichkeiten von Erziehungsberechtigten nach VO-DV I Anl. 1, die auf einer Einwilligung beruhen (z.B. E-Mail, berufliches Telefon & E-Mail, …)9Achtung! Hier können natürlich nur die Erziehungsberechtigten selbst einwilligen, nicht der Schüler ab 16 Jahren.
  • Nutzung einer Lernplattform/ eines LMS/ …10Da dieses bisher nahezu immer mit einer Verarbeitung personenbezogener Daten und einer entsprechenden Einwilligung verbunden ist.

Vorlagen für den Vorgaben der DS-GVO entsprechende Einwilligungen finden sich unter Service-Downloads > Einwilligungen Schule (NRW).

Genehmigung Lehrkräfte Privatgeräte kann auch entspannter gehen – siehe BaWü

Lesezeit: 2 Minuten

In NRW hat man von Seiten der Landesregierung in einem Gespräch am 24.04.2018 versucht, die Wogen zu glätten, was die umstrittene Genehmigung 1Genehmigung für die Verarbeitung von personenbezogenen Daten aus der Schule durch Lehrkräfte zu dienstlichen Zwecken auf privaten ADV-Anlagen von Lehrkräften gemäß § 2 Absatz 2 VO-DV I/§ 2 Absatz 4 VO-DV II angeht, welche Lehrkräfte benötigen, um personenbezogene Daten aus der Schule auf privaten Geräten verarbeiten zu dürfen. Ein für “in einigen Tagen” versprochenes Dienst E-Mail mit weiteren Informationen lässt derweil auf sich warten.

Dass es auch ganz anders gehen kann, zeigt das Beispiel Baden Württemberg. Unter “Private Datenverarbeitungsgeräte (PC, Mac, Smartphones, Tablets, etc.)” wird dort ganz aktuell, mit Bezug auf die DS-GVO erklärt, welche Vorgaben zu erfüllen sind. In 9 kurzen, leicht verständlichen Absätzen werden dort verschiedene Maßnahmen erklärt. Nummer 2 ist dabei besonders interessant:

Am besten ist es, wenn sämtliche dienstlichen personenbezogenen Daten nur auf einem USB-Stick gespeichert werden. Dieser USB-Stick muss in jedem Fall verschlüsselt sein.

Man rät den Lehrkräften in BaWü, die personenbezogenen Daten aus der Schule nie auf dem privaten Gerät selbst zu speichern, sondern immer auf einem USB-Stick, der verschlüsselt sein muss.

Ergänzt werden diese Vorgaben noch einmal durch eine Anlage “Datenschutzrechtliche Hinweise für den Gebrauch privater Datenverarbeitungsgeräte durch Lehrkräfte zur Verarbeitung personenbezogener Daten“, die ausführlichere Erläuterungen gibt.

In einer FAQ erklärt man dann auch, warum es von Vorteil ist, die Daten auf einem USB-Stick zu speichern:

Indem Sie sämtliche personenbezogenen Daten ausschließlich auf einem USB- Stick abspeichern und diesen USB-Stick verschlüsseln, z.B. mittels der Software VeraCrypt, verringern Sie Ihren Aufwand erheblich. Dadurch wird z.B. wirksam ein unbefugter Zugriff auf die Daten verhindert, sie müssen also keine aufwändigen Berechtigungsstrukturen hinterlegen. Ferner können Sie auf diese Weise leicht dem Auskunftsanspruch Ihrer Schulleitung oder des Landesbeauftragten für den Datenschutz nachkommen, da Sie dann nur den USB-Stick – und nicht den ganzen Computer, auf dem sich u.U. auch private Daten befinden – vorweisen müssen. Bitte denken Sie auch an die Sicherungskopie auf einem weiteren USB-Stick.

Auch in Baden Württemberg nimmt man es mit dem Datenschutz in Bezug auf die Verarbeitung personenbezogener Daten auf Privatgeräten von Lehrkräften ernst. Und selbstverständlich geht auch hier ohne Vorgaben und eine Genehmigung nichts. Allerdings sind die Hürden deutlich niedriger. Arbeitet man als Lehrkraft mit einem verschlüsselten USB-Stick, erleichtert man sich die Trennung von Privat und Beruflich. Darüber hinaus lässt sich so der technische Aufwand zur Sicherstellung des Datenschutz auf dem privaten Gerät deutlich leichter einhalten, auch für technisch weniger versierte Lehrkräfte.

In Haftung werden die Lehrkräfte übrigens durch ihre Unterschrift auch nicht genommen.

Auch im Bundesland Hessen geht man einen vergleichbaren Weg und rät zur Nutzung von sicheren USB Sticks, am besten Hardware verschlüsselte USB Sticks. Siehe dazu “Verarbeitung von Schüler- oder Elterndaten auf privaten Datenverarbeitungseinrichtungen der Lehrkräfte“.

Krankmeldung über die Schulhomepage

Lesezeit: 4 Minuten

An Schulen kommt von Seiten der Eltern immer wieder der Wunsch auf, Krankmeldungen zu vereinfachen. Was liegt da näher als ein entsprechendes Formular in die Schulhomepage einzubauen. So hat man, besser als bei einer E-Mail, eine standardisierte Krankmeldung mit allen erforderlichen Informationen. Lästige Telefonanrufe im Sekretariat entfallen. Aus rechtlichen Gründen wird die Entschuldigung anschließend auf Papier nachgereicht. Alles gut, oder doch nicht?

Das Beispiel von der Homepage einer Schule zeigt, wie viele personenbezogene Daten in diesem Fall verarbeitet werden. Je nachdem, was Eltern eintragen, können diese Informationen hochsensibel sein. Hinzu kommt noch die IP Adresse, die ebenfalls ein personenbezogenes Datum darstellt. Alle diese Informationen werden, sofern für die Forumular Funktion nicht externe Dienstleister genutzt werden, in der Datenbank der Webseite gespeichert. Je nach Einstellung wird die Schule über den Eintrag per E-Mail informiert.

Die Krankmeldung in dieser Form ist von der Technik her vergleichbar einem Kontaktformular. Welche Vorgaben sich aus der DS-GVO dafür ergeben, wird an vielen Stellen im Netz ausführlich erläutert. Sie heißt es zum Beispiel bei datenschmutz.net.

“Werden mittels Formularen Daten erhoben und gespeichert (zum Beispiel durch ein Formular-Plugin, das alle Einträge auch in der Datenbank speichert), so muss der Nutzer dazu explizit seine Einwilligung erteilen. Eine entsprechende Checkbox zur Einholung der Zustimmung des Nutzers (darf standardmäßig nicht angehakt sein) ist die sicherste Art der Umsetzung.”

erecht24 fragt Achtung Abmahnung: Ist eine Einwilligung bei Kontaktformularen notwendig? und kommt mit Verweis auf ein Urteil des OLG Köln zu dem Schluss, dass es ohne Einwilligung nicht geht und die Datenschutzerklärung einen “Passus zum Umgang mit Daten aus dem Kontaktformular” enthalten sollte. Unter das Formular sollte eine Checkbox zur Einwilligung eingebunden werden und daneben soltel es einen “Einwilligungstext zum Umgang mit den Daten der Nutzer und Ihr Recht auf Widerspruch” geben.

Was müssen Schulen bei Online Krankmeldungen in Formularform beachten?

  • Vertrag zur Auftragsverarbeitung (AV Vertrag)
    Schulen können nach VO-DV I §2 Abs 3 externe Anbieter mit der Verarbeitung ihrer Daten beauftragen.1“Die Schulen und Schulaufsichtsbehörden sind berechtigt, unter Beachtung der Voraussetzung des § 11 DSG NRW die Datensicherheit gewährleistende und zuverlässige Institutionen mit der Verarbeitung ihrer Daten zu beauftragen. Die Datenverarbeitung im Auftrag ist nur zulässig nach Weisung der Schule oder der Schulaufsichtsbehörden und ausschließlich für deren Zwecke.” Wenn die schulische Homepage, wie wohl in den meisten Fällen über einen Hoster (z.B. 1&1, Strato, Kommunales Rechenzentrum, …) betrieben wird, ist dafür ohnehin ein AV Vertrag erforderlich, denn es werden immer personenbezogene Daten von Besuchern der Homepage verarbeitet. Wichtig! Die personenbezogenen Daten, welche über das Formular verarbeitet werden, müssen im AV Vertrag berücksichtigt werden.
  • Als Verarbeiter muss die Schule den Datenschutz sicherstellen. Bei sensiblen Daten wie Gesundheitsdaten ist dieses umso wichtiger. Das bedeutet, die Schule muss sicher sein, dass der gewählte Auftragsverarbeiter das erforderliche Schutzniveau durch technisch organisatorische Maßnahmen (Art 25, 32 DS-GVO) gewährleistet. Ein Severstandort in Deuschland ist zu empfehlen, jedoch kein Muss, da ab dem 25.05.2018 überall in EU Land die gleichen Regeln gelten. Deutsche Anbieter haben allerdings einen Vorteil, die Kommunikation ist einfacher und der AV Vertrag ist in deutscher Sprache. Wer für die Krankmeldung ein Google Formular nutzen möchte (auch schon gesehen), sollte davon besser Abstand nehmen. 
  • Die Schule muss durch die technische Gestaltung des Online Formulars und Informierung der Betroffenen dafür sorgen, dass
    • eine eindeutige Einwilligung der Betroffenen möglich ist und dokumentiert wird, (Häkchen)
    • die Betroffenen über ihre Rechte bezüglich der Verarbeitung der Daten informiert werden (Datenschutzerklärung)
    • die Betroffenen ihre Rechte auf Auskunft, Widerruf, Berichtigung und Löschung wahrnehmen können.
    • die Übermittlung der personenbezogenen Daten sicher abläuft (SSL)
  • Darüber hinaus muss die Schule im Sinne der Datenminimierung dafür sorgen, dass
    • die IP Nummern sobald möglich entweder gelöscht oder pseudonymisiert werden,
    • die Formulardaten in kürzest möglicher Zeit gelöscht werden, bzw. sobald sie nicht mehr erforderlich sind. Das ist in der Regel der Fall, wenn das E-Mail mit dem Inhalt des Formulars an die Schule verschickt worden ist.
    • auch die E-Mails gelöscht werden, sobald sie ihren Zweck erfüllt haben.
  • Zu regeln ist von Seiten der Schule, dass nur Berechtigte Zugriff auf die Daten aus dem Formular haben2VO-DV I §2 Abs 1 “Insbesondere ist sicherzustellen, dass Berechtigte nur Zugang zu personenbezogenen Daten erhalten, die für die jeweilige Aufgabenerfüllung erforderlich sind.”, auf dem Webserver selbst (über die Adminoberfläche der Webseite) und in der Schule, der/die Empfänger der E-Mails.
  • In der Datenschutzerklärung sollte die Schule bezüglich der Online Krankmeldung informieren über:
    • die erhobenen Daten,
    • den Zweck der Verarbeitung,
    • die Art und Weise der Verarbeitung der Formulardaten (und der dabei erhobenen IP Adresse), wozu auch die Übermittlung per E-Mail gehört,
    • die Speicherdauer
    • die Verarbeitung im Auftrag,
    • die Sicherheitsmaßnahmen (SSL, Updates der Software auf der die Website läuft, z.B. WordPress, und der Plugins) und
    • die Kategorien von Zugriffsberechtigten bezüglich der erhobenen Daten (Empfänger)

Empfehlung für einen Text beim Kästchen für die Einwilligung beim Senden Button:

Mit der Nutzung dieser Online Krankmeldung erklärst du dich mit der Speicherung und Verarbeitung deiner Daten durch diese Website einverstanden. Weitere Informationen zu den verarbeiteten personenbezogenen Daten, deinem Recht auf Widerruf, Widerspruch, Auskunft, Berichtigung und Löschung findest du in der Datenschutzerklärung.

Die “Datenschutzerklärung” ist dabei verlinkt.

Thema Löschen

Je nach der für Plattform, die für den Betrieb der Schulhomepage genutzt wird, könnte es schwierig sein, eine automatische Löschroutine für die gespeicherten Formulareinträge einzurichten. Hier sollte eine Lösung gefunden werden, etwa in der Form, dass die Einträge jede Woche oder jede zweite Woche von Hand gelöscht werden. Entsprechend sollte dieses in der Datenschutzerklärung bei Speicherdauer berücksichtigt werden.

Missbrauch vorbeugen

Formulare für eine Krankmeldung lassen sich leicht missbrauchen. Niemand hindert Personen daran, einen Schüler über das Formular krankzumelden, und diesen dann irgendwo einzusperren. Bis Mittag merkt hier niemand etwas. Solches lässt sich unterbinden, wenn man ein Formular nutzt, welches eine Bestätigung per E-Mail einfordert, indem an die angegebene E-Mail Adresse eine Nachricht mit einem Bestätigungslink gesendet wird. Erst dann wird der Eintrag im Formular gespeichert. Der hierbei entstehende zusätzliche Verarbeitungsschritt ist entsprechend zu dokumentieren. Es muss darauf auch beim Formular selbst hingewiesen werden.

Muss der Datenschutzbeauftragte auf die Schulhomepage?

Lesezeit: 2 Minuten

Die Europäische Datenschutz Grundverordnung (DS-GVO) ist zwar schon in Kraft, wird aber noch nicht umgesetzt. Am 25.05.2018 ist es soweit. Viele Schulen sind aus diesem Grund aktuell dabei, ihren Internetauftritt an die Vorgaben anzupassen. Dabei taucht auch immer wieder die Frage auf, muss auf der Homepage ein Datenschutzbeauftragter genannt werden?

Was sagen das Gesetz und die Literatur?

In dem Beitrag Oft gefragt: Muss der Datenschutzbeauftragte zwingend auf der Internetseite genannt werden? ging die itrecht Kanzlei München der Frage schon 2015 nach. Seinerzeit ließ sich aus dem BDSG keinerlei solche Notwendigkeit ableiten.

Aber mit der DS-GVO ändert sich dieses nun. Zwar gibt es auch hier keine Stelle im Gesetzestext, wo eine spezielle Erfordernis zur Veröffentlich auf der Webseite der Institution ausdrücklich benannt ist, doch Datenschutzexperten leiten aus anderen Aussagen eine Notwendigkeit ab. Art. 37 DSGVO Benennung eines Datenschutzbeauftragten führt in Abs. 7 aus:

“Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten …”

Eine entsprechende Passage findet sich im neuen Bundesdatenschutzgesetz §5 Benennung Abs. 5:

“Die öffentliche Stelle veröffentlicht die Kontaktdaten der oder des Datenschutzbeauftragten …”

Entsprechend kommen Datenschutzexperten zu dem Schluss:

“Ist ein DSB benannt, sind dessen Kontaktdaten (mindestens Anschrift, E-Mail-Adresse, nicht jedoch der Name, vgl. Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, Kap. 6, Rn. 19) zu veröffentlichen, z. B. auf der Website des Verantwortlichen.”

Koreng/Lachmann

“Eine spezielle Form der Veröffentlichung sieht das Gesetz nicht vor. Aus dem Zweck des Gesetzes folgt jedoch, dass beispielsweise ein Aushang am Unternehmenssitz nicht genügt. Vielmehr wird zu verlangen sein, dass die Angaben an gut auffindbarer Stelle in der WWW Seite gemacht werden (vergl. Helfrich in HK-EuDSchVO Art 37 Rn 129), etwa im Impressum und einer eventuellen Datenschutzerklärung.” … “Zu den Kontaktdaten gehört nicht der Name des Datenschutzbeauftragten: Das Gesetz unterscheidet zwischen dem Namen und den Kontaktdaten des Datenschutzbeauftragten”

Kühling/Buchner

Als vertrauensbildende Maßnahme wird in dieser Literatur empfohlen, auch den Namen des DSB zu veröffentlichen.

Was bedeutet das für die Schulhomepage?

Es empfiehlt sich, auf der Schulhomepage entweder in der Datenschutzerklärung selbst oder im Impressum eine Angabe zum Datenschutzbeauftragten zu machen. Genannt werden kann dabei entweder der behördlich bestellte schulische Datenschutzbeauftragte oder eine Person aus der Schule, welche als Datenschutzbeauftragter benannt wurde.

Es ist dabei jedoch nicht erforderlich, den Namen der Person zu nennen. Anschrift und E-Mail Adresse genügen. Für Nutzer der Webseite wird es sicher schöner sein, wenn sie in Bezug auf den Datenschutz auch einen Namen finden, der für eine Person steht, an die man sich wenden kann. Wenn von Seiten des/der Datenschutzbeauftragten keine Einwände bestehen, sollte man dann auch den Namen nennen.