Google Analytics und Schulhomepage

Lesezeit: 2 Minuten

Lange Zeit war Google Analytics ein beliebtes Tool für die Betreiber von Websites, Informationen über die Anzahl der täglichen Besucher, besuchte Seiten, verwendete Suchbegriffe und ähnlich zu erhalten. Dass man damit auch Google die Türe öffnete, umfangreich Informationen über die Website Besucher zu sammeln, war dabei nur wenigen bewusst. Auch auf Schulhomepages wurde das kostenlose Tool häufig verwendet, bis zum Beginn der Umsetzung der DS-GVO. Mit der dann einsetzenden Unsicherheit bezüglich der rechtlichen Zulässigkeit einer Nutzung verabschiedeten sich viele Schulen von Google Analytics und wechselten zu datenschutzfreundlicheren Alternativen oder verzichteten komplett auf eine Erhebung und Auswertung der Besucherzahlen.

Mittlerweile haben sich einige Veränderungen ergeben. Google hat nachgebessert bei den Administrationsmöglichkeiten in Google Analytics. Das hat auch Auswirkungen auf die datenschutzrechtliche Zulässigkeit der Nutzung dieses Tools.*

Nach Aussagen des Bayerischen Landesamtes für Datenschutzaufsicht im 9. Tätigkeitsbericht (2019) ist eine Nutzung von Google Analytics durchaus möglich, auch ohne Einwilligung, setzt dann jedoch die richtige Konfiguration des Tools voraus. Entsprechend heißt es im Bericht auf S. 30f:

Google Analytics kann datenschutzkonform eingesetzt werden. Voraussetzung dafür ist aber, dass der Website-Betreiber neben der erforderlichen Information auch die notwendigen Konfigurationen vornimmt.

Schulen, die auf ihrer Homepage noch immer Google Analytics nutzen, sollten also unbedingt prüfen, ob sie das Tool so eingestellt haben, dass keine Daten mit Google geteilt werden. Standardmäßig ist die sogenannte „Datenfreigabe“ an Google durch den Dienst aktiviert. Sie muss durch die Schule deaktiviert werden, um eine datenschutzfreundliche Nutzung zu ermöglichen. Die Einstellungen findet man unter Tab Verwaltung > Kontoeinstellungen > „Einstellungen für die Datenfreigabe“. Wie im Screenshot gezeigt, sollten keine der Optionen ausgewählt sein.

Auch wenn mit diesen Einstellungen keine Einwilligung der Seitenbesucher zur Nutzung von Google Analytics mehr einzuholt werden muss, ist eine Information über den Einsatz des Tools zur Reichweitenmessung in der Datenschutzerklärung der Homepage notwendig.

Nicht zu vergessen ist, dass auch ohne eine Weitergabe der Analytics Daten an Google ein Vertrag zur Auftragsverarbeitung mit Google weiterhin erforderlich ist und auch die IP Nummern der Nutzer nicht vollständig erfasst werden sollten.1Weitere Informationen dazu finden sich bei Google unter https://support.google.com/analytics/answer/3379636 Dort finden sich im Menü auf der rechten Seite auch Informationen zu Einstellungen und zum Thema IP-Anonymisierung; abgerufen am 29.01.2020

Mit diesem Beitrag sollen Schulen ausdrücklich nicht motiviert werden, Google Analytics zu nutzen. Es gibt andere Werkzeuge, die aus Sicht des Datenschutz eindeutig sicherer sind. Der Beitrag richtet sich an Schulen, die das Google Tool weiterhin nutzen.

* Der Beitrag stellt die datenschutzrechtliche Lage mit Stand von Januar 2020 dar. Bitte beachten Sie, dass sich durch Änderungen Seitens Google eine neue datenschutzrechtliche Bewertung bezüglich der Zulässigkeit einer Nutzung von Google Analytics ergeben kann.

Brauchen Schulen Datenschutzerklärungen zu den Verarbeitungsprozessen in der Schule?

Lesezeit: 6 Minuten

Frage

Vor einiger Zeit kam die Frage auf, ob Schulen neben der Datenschutzerklärung der Homepage zusätzlich auch eine Datenschutzerklärung bezüglich der Verarbeitung von personenbezogenen Daten in der Schule benötigen, die dann ebenfalls auf der Schulhomepage veröffentlich wird.

Rechtliche Grundlagen

Art. 12 DS-GVO Abs. 1 fordert ein, dass Betroffene informiert werden und diese Informationen leicht zugänglich sind.

“Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; […] Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch.”

Entsprechend gibt der zugehörige Erwägungsgrund 58 folgende Erläuterung:

“Der Grundsatz der Transparenz setzt voraus, dass eine für die Öffentlichkeit oder die betroffene Person bestimmte Information präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst ist und gegebenenfalls zusätzlich visuelle Elemente verwendet werden. Diese Information könnte in elektronischer Form bereitgestellt werden, beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist.”

Das Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen (IFG NRW) führt aus:

§ 12
Veröffentlichungspflichten
Geschäftsverteilungspläne, Organigramme und Aktenpläne sind nach Maßgabe dieses Gesetzes allgemein zugänglich zu machen. Die öffentlichen Stellen sollen Verzeichnisse führen, aus denen sich die vorhandenen Informationssammlungen und -zwecke erkennen lassen. Soweit möglich hat die Veröffentlichung in elektronischer Form zu erfolgen. § 4 Abs. 2 Satz 1 dieses Gesetzes bleibt unberührt.

Wie sind diese Vorgaben zu verstehen?

Von rechtlicher Seite gibt es Vorgaben, sowohl von der DS-GVO wie auch vom IFG. Beide lassen jedoch Spielraum für die Umsetzung. Zu beachten ist dabei ein Unterschied zwischen DS-GVO und IFG. Während es bei der DS-GVO ausschließlich um die Rechte der Betroffenen geht, betrifft das IFG die Öffentlichkeit und deren Recht auf Informationen.

Schulen unterliegen entsprechend der DS-GVO dem Gebot der Transparenz wie jede andere datenverarbeitende öffentliche Stellen. Nach Art. 13 sind Betroffene zum Zeitpunkt der Erhebung von personenbezogenen Daten bezüglich der beabsichtigten Verarbeitung und ihrer Rechte zu informieren. Werden die personenbezogenen Daten nicht beim Betroffenen selbst erhoben, sind diese nach Art. 14 entsprechend nachträglich zu informieren.

Das IFG fordert von öffentlichen Stellen, Informationen zu verarbeiteten Daten und den Verarbeitungszwecken möglichst in elektronischer Form zu veröffentlichen. Es geht hier um eine Veröffentlichungspflicht. Die Veröffentlichung auf einer Internetseite wäre eine elektronische Form. Zum Vergleich: auf Bundesebene gibt es für Behörden gemäß dem IFG des Bundes eine Veröffentlichungspflicht im Internet.1 Der Bund gibt unter Anwendungshinweise zum Informationsfreiheitsgesetz zur Veröffentlichung folgende Informationen:
Welche Veröffentlichungspflichten bestehen im Internet?
Die Behörden des Bundes sollen geeignete Informationen möglichst umfassend im Rahmen aktiver Informationspolitik nach und nach in das Internet einstellen (§ 11 Abs. 3). Das IFG geht jedoch nicht über die bestehenden Verpflichtungen aus dem Kabinettbeschluss zur langfristigen Sicherung der im Rahmen der eGovernment-Initiative BundOnline 2005 getätigten Investitionen vom 9. März 2005 hinaus.
Insbesondere Organisations- und Aktenpläne ohne Angabe personenbezogener Daten sollen beim Internetauftritt jeder Behörde berücksichtigt werden. Solche Organisations- und Aktenpläne sollen es dem Bürger erleichtern, sich einen Überblick der vorhandenen Informationen zu verschaffen. Wie detailliert solche Pläne eingestellt werden, entscheidet jede Behörde selbst.

Zwischen den Vorgaben der DS-GVO und des IFG gibt es Unterschiede im Umfang der Informationen. Während sich das IFG auf eine Information über vorhandene Informationssammlungen und -zwecke beschränkt, geht es bei der DS-GVO um sehr viel genauere Informationen (z.B. Betroffene, Rechtsgrundlage, Zwecke der Verarbeitung, Kategorien von Daten und Empfängern, Dauer der Speicherung, Rechte der Betroffenen).

In Art. 12 ist vorgegeben, dass der Verantwortliche, hier die Schulleitung, “geeignete Maßnahmen” trifft, die Betroffenen zu informieren, und dass die Informationen in “leicht zugänglicher Form” bzw. “leicht zugänglich” zu übermitteln sind. Für die Form gibt es keine exakt definierten Vorgaben. Die Bereitstellung in elektronischer Form auf einer Website wird im Erwägungsgrund als eine Möglichkeit angegeben. Das IFG  wird etwas deutlicher und fordert die elektronische Form, sofern möglich.

Entsprechend dem IFG würde es praktisch ausreichen, auf die VO-DV I und II zu verlinken, da das IFG selbst keinerlei Vorgaben macht, wie einfach oder verständlich diese Angaben sein müssen. Auch der Begriff Verzeichnis ist nicht exakt definiert. Eine Formulierung auf der Schulhomepage könnte so lauten, wie die obere Tabellenzelle. Wenn man etwas ausführlicher sein möchte, fügt man die Inhalte der restlichen Zellen an.

Information über Informationssammlungen und -zwecke gemäß §12 Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen  (IFG NRW)

Die Schule verarbeitet die personenbezogenen Daten von Schülern, Erziehungsberechtigten und Lehrkräften in dem Umfang und für die Zwecke, wie sie durch das SchulG NRW, VO-DV I (Schüler, Erziehungsberechtigte) und VO-DV II (Lehrkräfte) vorgegeben sind.

Informationssammlung Schüler/ Erziehungsberechtigte
Schülerstammblatt

  1. die Personaldaten der in § 1 Abs. 1 Nr. 1 – 3 genannten Personen (Individualdaten) gemäß Abschnitt A Nr. I der Anlage 1,
  2. die Information zur schulischen Laufbahn der Schülerin oder des Schülers (Organisations- bzw. Schullaufbahndaten) gemäß Abschnitt A Nr. II der Anlage 1,
  3. die Angaben über den individuellen Leistungsstand der Schülerin oder des Schülers (Leistungsdaten) gemäß Abschnitt B der Anlage 1,
  4. die für die einzelnen Schulformen oder Schulstufen benötigten zusätzlichen Informationen (schulform- oder schulstufenspezifische Zusatzdaten) gemäß Abschnitt C der Anlage 1.

sonstiger Datenbestand

Zwecke
  • Schülerverwaltung
  • Leistungsdatenverwaltung
  • Zeugniserstellung
  • Unterrichtsplanung
  • Schulstatistik
  • Diagnostik/ Erstellung von Förderempfehlungen/ individuellen Förderplänen
  • Schulpflichtüberwachung
  • Kontaktaufnahme mit den Erziehungsberechtigten
  • Evaluation und Qualitätsentwicklung
  • Öffentlichkeitsarbeit
  • Erstellung von Fördergutachten (AO-SF Verfahren)
  • Schülerspezialverkehr (an Förderschulen)
  • Praktikumsverwaltung
  • Erziehungs- und Ordnungsmaßnahmen
  • Dokumentation im Klassenbuch
  • Dokumentation von Konferenzen
Informationssammlung Lehrkräfte
 Datenbestand in der Schule

  • Person
  • Werdegang
  • Vorbereitungsdienst,   Staatsprüfung
  • Qualifikationen
  • Laufbahn
  • Beschäftigung
  • Unterricht
  • Geschäftsablauf

Akten der Schulleitung

  • Persönliche Angaben
  • Ausbildung, sonstige Tätigkeiten, besondere Fähigkeiten
  • Tätigkeiten an der Schule
  • Weitere Angaben
Zwecke
  1. Planung und Ermittlung des Unterrichtsbedarfs, Durchführung des Unterrichts
  1. Planung und Einrichtung von Bildungsgängen, Klassen und Gruppen; Ermittlung und Deckung besonderer Bedarfe und Förderungsbedarfe; Unterrichtsorganisation; Unterrichtsverteilung
  2. Aufstellen von Aufsichts-, Prüfungs-, Stunden- und Vertretungsplänen, Sprechstundenlisten sowie Übersichten der an der Schule Beschäftigten
  1. Erledigung der laufenden schulischen Angelegenheiten
  1. Berichte in arbeits-, dienst- und personalrechtlichen Angelegenheiten und Angelegenheiten der Lehrerversorgung
  2. Berichte zur Vorbereitung von Dienstleistungszeugnissen, Beratung zur dienstlichen Beurteilung, Berichte in disziplinarrechtlichen Angelegenheiten
  3. Beantwortung von Anfragen und Erhebungen der Schulaufsichtsbehörden sowie anderer Behörden aus dem Geschäftsbereich des für die Schule zuständigen Ministeriums
  4. Durchführung von Maßnahmen der Qualitätsentwicklung und Qualitätssicherung gemäß § 3 Abs. 4 SchulG
  1. Statistische Daten
  2. Lehrerausbildung (Ausbildungslehrerinnen und -lehrer, Lehramtsanwärterinnen und Lehramtsanwärter und Lehrkräfte in Ausbildung)
  3. Lehrerfortbildung
  4. Erfüllung der Schulleitungsaufgaben

Entsprechend der DS-GVO müssen Betroffene (Schüler und Erziehungsberechtigte sowie Lehrkräfte) bei der Erhebung von Daten oder, sofern die Daten nicht bei ihnen direkt erhoben wurden, nachträglich informiert werden. Die unmittelbare Information kann mittels eines entsprechenden Informationsschreibens2“Informationen Schule (NRW) – datenschutz-schule.info.” https://datenschutz-schule.info/service-downloads/informationen-schule-nrw/. gegeben werden, welches den Betroffenen ausgehändigt wird, so dass sie jederzeit über die von der Schule verarbeiteten Daten und ihre Rechte im Bilde sind. Erforderlich ist diese Art von Information bei Schülern und ihren Erziehungsberechtigten erstmals bei der Anmeldung an der Schule, bei Lehrkräften, wenn sie den Dienst an einer neuen Schule aufnehmen, welche dazu personenbezogene Daten von ihnen selbst oder einer anderen Stelle (Stammschule/ abgebende Schule/ Schulamt/ Bezirksregierung) erhält.

Die DS-GVO unterscheidet beim Transparenzgebot im Erwägungsgrund 58 zwischen betroffener Person und Öffentlichkeit. Nur wenn es um Informationen zur Herstellung von Transparenz geht, welche für die Öffentlichkeit bestimmt sind, wird die Veröffentlichung auf einer Website als Möglichkeit vorgeschlagen. Für die Information der Betroffenen selbst wird dieses nicht vorgeschlagen. Da die Formulierung von Art. 12 Abs. 1 Satz 1 sehr offen ist, bleibt dem Verantwortlichen Gestaltungsspielraum.

“Insgesamt belässt Abs. 1 S. 1 dem Verantwortlichen bei der Wahl der Darstellungsweise einen beträchtlichen Gestaltungsspielraum.”3Bäcker in Kühling/Buchner Art. 12 Abs. 1 Rn. 12

Es lässt sich aus keiner Stelle in der DS-GVO eine eindeutige Vorgabe ableiten, dass zur Herstellung von Transparenz eine Veröffentlichung von Informationen entsprechend Art. 13 und 14 auf der Schulhomepage erforderlich ist. Genausowenig ist ersichtlich, dass eine Schule die Öffentlichkeit informieren muss.

Abgesehen davon spricht jedoch auch nichts dagegen, die Informationen zur Verarbeitung von personenbezogenen Daten von Betroffenen zusätzlich leicht auffindbar auf der Schulhomepage zu hinterlegen als Informationen über die Datenverarbeitung an der Schule nach DS-GVO Art. 12. Dort könnte man dann die Informationen aus den Informationsschreiben direkt in die Webseite einstellen und eventuell auch noch die Schreiben als PDFs zum Download anzubieten.

Wie das MSB das Thema sieht

Das Ministerium für Schule und Bildung (MSB) hat sich auf den Seiten der Medienberatung zum Thema Informationspflicht nach Art. 13 DS-GVO geäußert4“Homepage der Schulen – Bildungsportal NRW.” https://www.schulministerium.nrw.de/docs/Recht/Datenschutz/Umsetzung-EU-Datenschutzgrundverordnung/Regelungsbereiche/Homepage-der-Schulen/index.html.. Das MSB schlägt vor, der Informationspflicht über die Schulhomepage nachzukommen, um den Verwaltungsaufwand für die Schule in Grenzen zu halten. Es sollte dann ausreichend sein, “mittels Link auf die ausführlichen Vorgaben der VO DV I und II” zu verweisen. Da die DS-GVO Information aber auch eine Information zum Zeitpunkt der Datenerhebung verlangt, sollen Schulen den Erziehungsberechtigten bzw. volljährigen Schülern bei Anmeldung an der Schule einen “einen Papierausdruck der VO DV I” aushändigen.

Auch wenn dieser Vorschlag gut gemeint ist, so widerspricht er einem der wichtigen Grundsätze der DS-GVO, wie dem Zitat zu Beginn des Textes zu entnehmen. Der Erwägungsgrund wird noch deutlicher. Die Information soll in “präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst” sein. Dem entspricht die VO-DV I wohl kaum.

Aus den Ausführungen des MSB lässt sich, was für die Fragestellung hier noch bedeutsamer ist, keinerlei Verpflichtung zur Veröffentlichung dieser Informationen auf der Schulhomepage ableiten.

Fazit

  • Schulen müssen entsprechend der Vorgaben der DS-GVO Besucher ihrer Schulhomepage (Betroffene) über die Verarbeitung von personenbezogenen Daten auf der Website selbst in Form einer Datenschutzerklärung informieren.
  • Schulen sollen als öffentliche Stellen gemäß der Vorgaben des IFG NRW in elektronischer Form Verzeichnisse führen, welche die Öffentlichkeit über Informationssammlungen und -zwecke informiert. Das erfolgt am zweckmäßigsten vermutlich über die Schulhomepage.5Mir ist bisher keine Schule bekannt, welche derartige Informationen nach dem IFG auf ihrer Schulhomepage eingestellt hat. Auch, dass es wegen des Fehlens solcher Informationen Probleme gegeben hat, ist mir nicht bekannt.
  • Schulen können ergänzend zu einer direkten Information der Betroffenen vor oder nach der Datenerhebung zusätzlich über die Verarbeitung personenbezogener Daten entsprechend Art. 13 und 14 auf ihrer Homepage informieren, wenn die Schulleitung darin eine geeignete Maßnahme sieht, der Informationspflicht nachzukommen.

Zu den Informationen, die nach dem IFG NRW auf einer Schulhomepage veröffentlicht werden sollen, gehören neben Informationen über die Schulleitung auch solche über die Lehrkräfte, deren Funktion in der Schule und Angaben zur dienstlichen Erreichbarkeit. Siehe dazu den Beitrag: Welche personenbezogenen Daten von Lehrkräften dürfen OHNE Einwilligung auf die Schulhomepage?

Auftragsverarbeitung und die Form des Vertragsschlusses

Lesezeit: 4 Minuten

Viele Schulen sind erst durch die Datenschutz Grundverordnung darauf aufmerksam geworden, dass sie in Bezug auf die Dokumentation zum Datenschutz etwas tun müssen. Es reicht dabei allerdings nicht aus, lediglich ein Verzeichnis von Verarbeitungstätigkeiten anzulegen, sondern es müssen auch Verträge zur Auftragsverarbeitung (AV Verträge) abgeschlossen werden, wenn die Verarbeitung personenbezogener Daten außerhalb der schuleigenen IT Systeme erfolgt. Damit ergeben sich jedoch gleich neue noch komplexere Probleme – wo und wie schließt man die Verträge zur Auftragsverarbeitung ab?

Schulträger/ kommunales Rechenzentrum/ regionale Dienstleister

Relativ unproblematisch ist der Abschluss von Verträgen zur Auftragsbearbeitung, wenn die Dienste eines kommunalen Rechenzentrums genutzt werden, da diese in der Regel von sich aus entsprechende Verträge anbieten. Ähnliches gilt für Dienstleister im deutschsprachigen Raum, die Softwareprodukte für Online Klassenbücher, digitale Schwarze Bretter, Classroom Management Systeme, Lernplattformen und ähnlich anbieten. Schwieriger wird es schon, wenn ein solcher Vertrag mit dem Schulträger abgeschlossen werden muss, wobei das kommunale Rechenzentrum oder ein anderer Dienstleister nur Unterauftragnehmer ist. Das liegt daran, dass Schulträger sich häufig nicht als Auftragnehmer begreifen, wenn es um schulische Datenverarbeitung geht.

Hoster für Schulhomepage

Auftragsbearbeitung liegt auch vor, wenn für den Betrieb der Schulhomepage ein Hoster genutzt wird. Bei den meisten Schulhomepages dürfte dieses der Fall sein. Teilweise machen die Anbieter ihre Kunden von sich aus auf die Möglichkeit, einen entsprechenden Vertrag abzuschließen, aufmerksam. In der Regel liegt dieser als vom Hoster vorunterzeichneter Vertrag in Form einer PDF Datei vor. Die Schule druckt diese Datei aus, füllt den Kopfteil aus, unterzeichnet, scannt das Dokument ein und sendet es per E-Mail an den Hoster zurück. Der bestätigt den Eingang.

Genau genommen war der Vertrag zur Auftragsverarbeitung schon in dem Moment gültig, wo die Schule ihn für sich ausgefüllt und unterzeichnet hat. Von Seiten des Hosters lag bereits mit dem zum Download bereitgestellten, unterzeichneten Vertrag eine Willenserklärung vor.1Was damit gemeint ist, wird unten erklärt.. Man sollte den Vertrag totzde zurücksenden, denn erst dadurch erlangt der Hoster Kenntnis von der Zeichnung des Vertrags.

Große internationale Dienstleister

Schwieriger kann es werden, wenn es um Verträge mit internationalen Dienstleistern in der Branche geht. Nicht alle bieten einen downloadbaren vorunterzeichneten Vertrag an wie die Firma Apple für den Apple School Manager (ASM) oder Microsoft für Office 365. Apple bietet für die Nutzung des ASM einen vorunterzeichneten Vertrag im PDF Format an2Der Vertrag, das “Apple School Manager Agreement” ist im ersten Teil in englischer Sprache gefasst. Im zweiten Teil sind deutschsprachige Teile, die unterzeichnet werden müssen, um Gültigkeit zu erlangen.. Bei Microsoft ist der vorunterzeichnete Vertrag im Docx Format gehalten3Es geht hier um dem OST Vertrag. Man wählt die Sprache, lädt ihn herunter, druckt ihn aus und unterzeichnet auf der vorletzten Seite. Soll der Vertrag digitalisiert verwahrt werden, empfiehlt es sich, das PDF Format zu wählen.4Für die Office 365 mit der MS Cloud Deutschland wird der AV Vertrag mit der Telekom abgeschlossen, die Datentreuhänder ist für Microsoft..

Was ist, wenn der Dienstleister keinen Vertrag in der oben beschrieben Form anbietet, sondern lediglich eine Möglichkeit, eine Webseite durchzulesen und den Vertrag mit dem Bestätigen einer Checkbox abzuschließen?

Bei Google heißt es an der Stelle, wo es bisher einen Vertrag zum Download gab,

Stattdessen steht ab diesem Zeitpunkt ein Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO zur Verfügung, den Sie elektronisch abschließen können (vgl. Sie bitte Art. 28 Abs. 9 DSGVO zur Möglichkeit, Auftragsverarbeitungsverträge auch in ‘elektronischer Form’ abzufassen).5https://static.googleusercontent.com/media/www.google.de/de/de/analytics/terms/de.pdf

Einen AV Vertrag elektronisch abschließen – geht das?

Das Thema ist nicht ganz einfach. Zwar sagt Art. 28 Abs. 9 DS-GVO, dass die Abfassung des Vertrags auch “in einem elektronischen Format erfolgen kann“, doch wie dieses elektronische Format genau auszusehen hat, darüber herrscht keine absolute Einigkeit unter den Experten.

Dass es der Papierform für einen Vertrag nicht mehr bedarf und man stattdessen mit digitalen Dokumenten in Word- oder  PDF-Format arbeiten kann, daran besteht wenig Zweifel. Das entscheidende Kriterium ist hier, dass das gewählte Format sicherstellt, dass nachträgliche Änderungen technisch unmöglich ist. In der Fachliteratur findet man dazu folgende Ausführung.

Vielmehr ist es nach Art. 28 Abs. 9 DS-GVO ausreichend, dass der Auftragsverarbeitungsvertrag durch zwei gegenseitige Willenserklärungen i. S. v. §§ 145 ff. BGB geschlossen und zumindest elektronisch „abgefasst“ wird. Entscheidend ist, dass der Vertragsschluss in irgendeiner Form dokumentiert wird. Einer Verkörperung, z. B. als Ausdruck, bedarf es zwar nicht, jedoch muss das gewählte Format sicherstellen, dass nachträgliche Änderungen technisch unmöglich sind und ersichtlich bleibt, dass zwei kongruente Willenserklärungen vorlagen. 6Koreng/Lachenmann DatenschutzR-FormHdB, 1. Vergleich Auftragsverarbeitung nach dem BDSG und der DS-GVO Rn. 1. – 7., beck-online

Der Punkt ist nun, wie man die beiderseitige Willenerklärung dokumentiert. Einige Experten sind der Ansicht, es bedürfe dazu einer elektronischen Signatur. Allerdings geben andere europäische Rechtsnormen keinen Hinweis darauf, dass dieses erforderlich ist7Kühling/Buchner/Hartung, DS-GVO, Art. 28 Rn. 94 ff.. Nach Koreng/Lachmann sollte es möglich sein, dass

bei einem Onlinevertragsschluss der Vertrag über die Auftragsverarbeitung digital bereitgestellt werden kann.

Dann wiederum sollte es ausreichen, wenn der Kunde mit dem Bestätigen einer Checkbox ein

ein rechtswirksames Angebot auf einen bereitgestellten Vertrag abgeben kann, das der Vertragspartner sodann mit dem Hauptvertrag annimmt, wenn der Vertrag speicher- und druckbar ist.

Letzteres ist von Bedeutung, um den Vertragsabschluss auch auf Seiten der Schule zu dokumentieren. Es empfiehlt sich, die eigene Willensbekundung zum Abschluss des AV Vertrags, wenn sie nur durch Bestätigen einer Checkbox möglich ist, ebenfalls zu dokumentieren. In der Regel sollte die Annahme des Vertrags zur Auftragsverarbeitung in der Online Vertragsverwaltung an irgendeiner Stelle angezeigt werden. Diese Seite sollte man dann ausdrucken. Der Anbieter hat seine Willensbekundung bereits mit der Bereitstellung des Vertrags auf seinem Portal getätigt. Im folgende Beispiel sieht man, wie so etwas aussehen könnte.

Wenn es kein PDF gibt

Bietet der Dienstleister, so wie Google bei Google Analytics oder der G-Suite for Education keinen AV Vertrag als PDF zum Download an, empfehle ich folgendes Vorgehen, um den Abschluss eines AV Vertrages zu dokumentieren.

  • Wenn bei Anbieter im Kontobereich/Vertragsverwaltungsbereich des Nutzungsvertrages die erfolgte Zeichnung des AV Vertrags angezeigt wird, wie im folgenden Beispiel bei G-Suite for Education, dann sollte man diese Seite als PDF sichern oder ausdrucken.8Die Namen sind hier aus Gründen des Datenschutz herausgelöscht.
  • Den eigentlichen Vertrag und zugehörige Bestandteile (bei Google beispielsweise die Standardvertragsklauseln) sollte man ebenfalls als PDF abspeichern.

Auf diese Art und Weise kann man erstens die Willensbekundung der Schule dokumentieren, den Vertrag einzugehen, und zweitens der Erfordernis nachkommen, den Vertrag in einem Format zu sichern, welches eine nachträgliche Änderung technisch unmöglich macht9Natürlich kann man auch ein PDF verändern, doch es geht hier weniger darum, dass die Schule den AV Vertrag ändern könnte, sondern der Auftragnehmer, etwa Google..

Fazit

Noch herrscht einige Unsicherheit, selbst unter Experten, wie genau der Abschluss eines Vertrags zur Auftragsverarbeitung in elektronischer Form aussehen sollte. Weder Experten noch Anbieter sind hier einer Meinung, wie bei letzteren die unterschiedlichen Formen, AV Verträge bereitzustellen zeigen. Grundsätzlich empfiehlt es sich, mit einem Vertrag in Form eines vorunterzeichneten PDF zu arbeiten, wenn dieses möglich ist. Bei Anbietern, die diesen Weg nicht anbieten, sollte man den Vertragsabschluss möglichst gut dokumentieren und den Vertrag selbst in einem sicheren Format speichern oder auch ausdrucken.

Es ist zu erwarten, dass die Zukunft Rechtssicherheit bringen wird, was genau unter einem elektronischen Format nach Art. 28 Abs. 9 DS-GVO zu verstehen ist. Entsprechende Nachsteuerungen durch den Gesetzgeber oder Urteile von Gerichten werden dafür sorgen. Bis dahin sollte man einen der oben beschriebenen Wege nutzen.

Weitere Informationen

Krankmeldung über die Schulhomepage

Lesezeit: 4 Minuten

An Schulen kommt von Seiten der Eltern immer wieder der Wunsch auf, Krankmeldungen zu vereinfachen. Was liegt da näher als ein entsprechendes Formular in die Schulhomepage einzubauen. So hat man, besser als bei einer E-Mail, eine standardisierte Krankmeldung mit allen erforderlichen Informationen. Lästige Telefonanrufe im Sekretariat entfallen. Aus rechtlichen Gründen wird die Entschuldigung anschließend auf Papier nachgereicht. Alles gut, oder doch nicht?

Das Beispiel von der Homepage einer Schule zeigt, wie viele personenbezogene Daten in diesem Fall verarbeitet werden. Je nachdem, was Eltern eintragen, können diese Informationen hochsensibel sein. Hinzu kommt noch die IP Adresse, die ebenfalls ein personenbezogenes Datum darstellt. Alle diese Informationen werden, sofern für die Forumular Funktion nicht externe Dienstleister genutzt werden, in der Datenbank der Webseite gespeichert. Je nach Einstellung wird die Schule über den Eintrag per E-Mail informiert.

Die Krankmeldung in dieser Form ist von der Technik her vergleichbar einem Kontaktformular. Welche Vorgaben sich aus der DS-GVO dafür ergeben, wird an vielen Stellen im Netz ausführlich erläutert. Sie heißt es zum Beispiel bei datenschmutz.net.

“Werden mittels Formularen Daten erhoben und gespeichert (zum Beispiel durch ein Formular-Plugin, das alle Einträge auch in der Datenbank speichert), so muss der Nutzer dazu explizit seine Einwilligung erteilen. Eine entsprechende Checkbox zur Einholung der Zustimmung des Nutzers (darf standardmäßig nicht angehakt sein) ist die sicherste Art der Umsetzung.”

erecht24 fragt Achtung Abmahnung: Ist eine Einwilligung bei Kontaktformularen notwendig? und kommt mit Verweis auf ein Urteil des OLG Köln zu dem Schluss, dass es ohne Einwilligung nicht geht und die Datenschutzerklärung einen “Passus zum Umgang mit Daten aus dem Kontaktformular” enthalten sollte. Unter das Formular sollte eine Checkbox zur Einwilligung eingebunden werden und daneben soltel es einen “Einwilligungstext zum Umgang mit den Daten der Nutzer und Ihr Recht auf Widerspruch” geben.

Was müssen Schulen bei Online Krankmeldungen in Formularform beachten?

  • Vertrag zur Auftragsverarbeitung (AV Vertrag)
    Schulen können nach VO-DV I §2 Abs 3 externe Anbieter mit der Verarbeitung ihrer Daten beauftragen.1“Die Schulen und Schulaufsichtsbehörden sind berechtigt, unter Beachtung der Voraussetzung des § 11 DSG NRW die Datensicherheit gewährleistende und zuverlässige Institutionen mit der Verarbeitung ihrer Daten zu beauftragen. Die Datenverarbeitung im Auftrag ist nur zulässig nach Weisung der Schule oder der Schulaufsichtsbehörden und ausschließlich für deren Zwecke.” Wenn die schulische Homepage, wie wohl in den meisten Fällen über einen Hoster (z.B. 1&1, Strato, Kommunales Rechenzentrum, …) betrieben wird, ist dafür ohnehin ein AV Vertrag erforderlich, denn es werden immer personenbezogene Daten von Besuchern der Homepage verarbeitet. Wichtig! Die personenbezogenen Daten, welche über das Formular verarbeitet werden, müssen im AV Vertrag berücksichtigt werden.
  • Als Verarbeiter muss die Schule den Datenschutz sicherstellen. Bei sensiblen Daten wie Gesundheitsdaten ist dieses umso wichtiger. Das bedeutet, die Schule muss sicher sein, dass der gewählte Auftragsverarbeiter das erforderliche Schutzniveau durch technisch organisatorische Maßnahmen (Art 25, 32 DS-GVO) gewährleistet. Ein Severstandort in Deuschland ist zu empfehlen, jedoch kein Muss, da ab dem 25.05.2018 überall in EU Land die gleichen Regeln gelten. Deutsche Anbieter haben allerdings einen Vorteil, die Kommunikation ist einfacher und der AV Vertrag ist in deutscher Sprache. Wer für die Krankmeldung ein Google Formular nutzen möchte (auch schon gesehen), sollte davon besser Abstand nehmen. 
  • Die Schule muss durch die technische Gestaltung des Online Formulars und Informierung der Betroffenen dafür sorgen, dass
    • eine eindeutige Einwilligung der Betroffenen möglich ist und dokumentiert wird, (Häkchen)
    • die Betroffenen über ihre Rechte bezüglich der Verarbeitung der Daten informiert werden (Datenschutzerklärung)
    • die Betroffenen ihre Rechte auf Auskunft, Widerruf, Berichtigung und Löschung wahrnehmen können.
    • die Übermittlung der personenbezogenen Daten sicher abläuft (SSL)
  • Darüber hinaus muss die Schule im Sinne der Datenminimierung dafür sorgen, dass
    • die IP Nummern sobald möglich entweder gelöscht oder pseudonymisiert werden,
    • die Formulardaten in kürzest möglicher Zeit gelöscht werden, bzw. sobald sie nicht mehr erforderlich sind. Das ist in der Regel der Fall, wenn das E-Mail mit dem Inhalt des Formulars an die Schule verschickt worden ist.
    • auch die E-Mails gelöscht werden, sobald sie ihren Zweck erfüllt haben.
  • Zu regeln ist von Seiten der Schule, dass nur Berechtigte Zugriff auf die Daten aus dem Formular haben2VO-DV I §2 Abs 1 “Insbesondere ist sicherzustellen, dass Berechtigte nur Zugang zu personenbezogenen Daten erhalten, die für die jeweilige Aufgabenerfüllung erforderlich sind.”, auf dem Webserver selbst (über die Adminoberfläche der Webseite) und in der Schule, der/die Empfänger der E-Mails.
  • In der Datenschutzerklärung sollte die Schule bezüglich der Online Krankmeldung informieren über:
    • die erhobenen Daten,
    • den Zweck der Verarbeitung,
    • die Art und Weise der Verarbeitung der Formulardaten (und der dabei erhobenen IP Adresse), wozu auch die Übermittlung per E-Mail gehört,
    • die Speicherdauer
    • die Verarbeitung im Auftrag,
    • die Sicherheitsmaßnahmen (SSL, Updates der Software auf der die Website läuft, z.B. WordPress, und der Plugins) und
    • die Kategorien von Zugriffsberechtigten bezüglich der erhobenen Daten (Empfänger)

Empfehlung für einen Text beim Kästchen für die Einwilligung beim Senden Button:

Mit der Nutzung dieser Online Krankmeldung erklärst du dich mit der Speicherung und Verarbeitung deiner Daten durch diese Website einverstanden. Weitere Informationen zu den verarbeiteten personenbezogenen Daten, deinem Recht auf Widerruf, Widerspruch, Auskunft, Berichtigung und Löschung findest du in der Datenschutzerklärung.

Die “Datenschutzerklärung” ist dabei verlinkt.

Thema Löschen

Je nach der für Plattform, die für den Betrieb der Schulhomepage genutzt wird, könnte es schwierig sein, eine automatische Löschroutine für die gespeicherten Formulareinträge einzurichten. Hier sollte eine Lösung gefunden werden, etwa in der Form, dass die Einträge jede Woche oder jede zweite Woche von Hand gelöscht werden. Entsprechend sollte dieses in der Datenschutzerklärung bei Speicherdauer berücksichtigt werden.

Missbrauch vorbeugen

Formulare für eine Krankmeldung lassen sich leicht missbrauchen. Niemand hindert Personen daran, einen Schüler über das Formular krankzumelden, und diesen dann irgendwo einzusperren. Bis Mittag merkt hier niemand etwas. Solches lässt sich unterbinden, wenn man ein Formular nutzt, welches eine Bestätigung per E-Mail einfordert, indem an die angegebene E-Mail Adresse eine Nachricht mit einem Bestätigungslink gesendet wird. Erst dann wird der Eintrag im Formular gespeichert. Der hierbei entstehende zusätzliche Verarbeitungsschritt ist entsprechend zu dokumentieren. Es muss darauf auch beim Formular selbst hingewiesen werden.

Muss der Datenschutzbeauftragte auf die Schulhomepage?

Lesezeit: 2 Minuten

Die Europäische Datenschutz Grundverordnung (DS-GVO) ist zwar schon in Kraft, wird aber noch nicht umgesetzt. Am 25.05.2018 ist es soweit. Viele Schulen sind aus diesem Grund aktuell dabei, ihren Internetauftritt an die Vorgaben anzupassen. Dabei taucht auch immer wieder die Frage auf, muss auf der Homepage ein Datenschutzbeauftragter genannt werden?

Was sagen das Gesetz und die Literatur?

In dem Beitrag Oft gefragt: Muss der Datenschutzbeauftragte zwingend auf der Internetseite genannt werden? ging die itrecht Kanzlei München der Frage schon 2015 nach. Seinerzeit ließ sich aus dem BDSG keinerlei solche Notwendigkeit ableiten.

Aber mit der DS-GVO ändert sich dieses nun. Zwar gibt es auch hier keine Stelle im Gesetzestext, wo eine spezielle Erfordernis zur Veröffentlich auf der Webseite der Institution ausdrücklich benannt ist, doch Datenschutzexperten leiten aus anderen Aussagen eine Notwendigkeit ab. Art. 37 DSGVO Benennung eines Datenschutzbeauftragten führt in Abs. 7 aus:

“Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten …”

Eine entsprechende Passage findet sich im neuen Bundesdatenschutzgesetz §5 Benennung Abs. 5:

“Die öffentliche Stelle veröffentlicht die Kontaktdaten der oder des Datenschutzbeauftragten …”

Entsprechend kommen Datenschutzexperten zu dem Schluss:

“Ist ein DSB benannt, sind dessen Kontaktdaten (mindestens Anschrift, E-Mail-Adresse, nicht jedoch der Name, vgl. Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, Kap. 6, Rn. 19) zu veröffentlichen, z. B. auf der Website des Verantwortlichen.”

Koreng/Lachmann

“Eine spezielle Form der Veröffentlichung sieht das Gesetz nicht vor. Aus dem Zweck des Gesetzes folgt jedoch, dass beispielsweise ein Aushang am Unternehmenssitz nicht genügt. Vielmehr wird zu verlangen sein, dass die Angaben an gut auffindbarer Stelle in der WWW Seite gemacht werden (vergl. Helfrich in HK-EuDSchVO Art 37 Rn 129), etwa im Impressum und einer eventuellen Datenschutzerklärung.” … “Zu den Kontaktdaten gehört nicht der Name des Datenschutzbeauftragten: Das Gesetz unterscheidet zwischen dem Namen und den Kontaktdaten des Datenschutzbeauftragten”

Kühling/Buchner

Als vertrauensbildende Maßnahme wird in dieser Literatur empfohlen, auch den Namen des DSB zu veröffentlichen.

Was bedeutet das für die Schulhomepage?

Es empfiehlt sich, auf der Schulhomepage entweder in der Datenschutzerklärung selbst oder im Impressum eine Angabe zum Datenschutzbeauftragten zu machen. Genannt werden kann dabei entweder der behördlich bestellte schulische Datenschutzbeauftragte oder eine Person aus der Schule, welche als Datenschutzbeauftragter benannt wurde.

Es ist dabei jedoch nicht erforderlich, den Namen der Person zu nennen. Anschrift und E-Mail Adresse genügen. Für Nutzer der Webseite wird es sicher schöner sein, wenn sie in Bezug auf den Datenschutz auch einen Namen finden, der für eine Person steht, an die man sich wenden kann. Wenn von Seiten des/der Datenschutzbeauftragten keine Einwände bestehen, sollte man dann auch den Namen nennen.

Welche personenbezogenen Daten von Lehrkräften dürfen OHNE Einwilligung auf die Schulhomepage?

Lesezeit: 2 Minuten

Viele Schulen möchten auf ihrer Schulhomepage über das Schulpersonal und dessen Funktionen informieren, so dass jeder weiß, an wen er sich wenden kann. Dabei herrscht aber oft Unsicherheit, ob es dafür einer Einwilligung der Betroffenen bedarf. Die eine oder andere Lehrkraft möchte nicht namentlich auf der Schulhomepage genannt werden. Wie sieht die rechtliche Seite aus? Die folgenden Aussagen beziehen sich auf NRW. In anderen Bundesländern, vor allem denen ohne ein Informationsfreiheitsgesetz können andere Regelungen gelten.

In einer FAQ für den Lehrerrat des Philologen-Verband NW heißt es dazu:

In Nordrhein-Westfalen gestatten die §§ 12 und 9 Absatz 3 Informationsfreiheitsgesetz Nordrhein-Westfalen (IFG NRW) die Veröffentlichung von Namen, Titeln, akademischen Graden, Berufs- und Funktionsbezeichnungen, Büroanschriften und dienstlichen Rufnummern sowie dienstlichen E-Mail-Adressen der Lehrkräfte und des sonstigen Schulpersonals ohne deren Einwilligung, sofern keine schutzwürdigen Belange entgegenstehen. Gleichwohl sind die Betroffenen vor einer Veröffentlichung zu informieren. Das IFG NRW gilt im Übrigen nur für öffentliche Schulen in Nordrhein-Westfalen.

Das Informationsfreiheitsgesetz Nordrhein-Westfalen (IFG) gilt auch mit dem Inkrafttreten der DS-GVO weiterhin nahezu unverändert.

Von Seiten der LDI NRW gibt es ein Schreiben von 2017 (Az.LDI:212.4.1.1-4248/16)1, in welchem auch die Veröffentlichung der Daten von Lehrkräften auf der Schulhomepage thematisiert wird. Das Schreiben ist hinterlegt bei http://docplayer.org/, die sich u.A. über Google Werbung finanziert. Entsprechende Cookies und Tracker werden dort genutzt!.

Nach Einschätzung der LDI NRW ist es im Rahmen des Informationsfreiheitsgesetz NRW möglich “Übersichten über Aufgaben- und Funktionszuweisungen innerhalb des Lehrerkollegiums grundsätzlich zu veröffentlichen, wenn der Veröffentlichung nicht im Einzelfall ausnahmsweise – eng auszulegende – schutzwürdige Belange einer betroffenen Lehrerin oder eines Lehrers entgegenstehen.” Außerdem heißt es “Gemäß § 12 Satz 3 IFG NRW hat die Veröffentlichung der Übersichten – soweit möglich – elektronisch (also ggf. via Internet) zu erfolgen. Nach Maßgabe des § 9 Abs. 3 IFG NRW dürfen dabei Namen, Titel, akademischer Grad, Berufs- und Funktionsbezeichnung und ggf. dienstliche Erreichbarkeit (dienstliche Telefonnummer sowie ggf. dienstliche E-Mail-Anschrift) genannt werden, ohne dass es hierzu einer Einwilligung der Betroffenen bedarf. Neben den bereits angesprochenen Übersichten über Aufgaben- und Funktionszuweisungen können auch Stundenpläne mit den jeweils unterrichtenden Lehrkräften veröffentlicht werden.” Auch die LDI NRW empfiehlt, die Betroffenen vorab zu informieren, um “etwaige schutzwürdige Interessen, die nach § 9 Abs. 3 IFG NRW einer Veröffentlichung ausnahmsweise entgegenstehen können, geltend zu machen.

Das heißt also, wenn eine Schule auf ihrer Homepage über das Kollegium und anderes Schulpersonal informieren möchte, dann kann sie dieses ohne deren Einwilligung tun, wenn sie dabei drei Dinge beachtet:

  1. Sie hält sich an die Vorgaben und veröffentlicht nur die nach dem IFG zugelassenen personenbezogenen Daten.
  2. Sie beachtet dabei schutzwürdige Belange der betroffenen Personen.
  3. Sie informiert die Betroffenen vor der Veröffentlichung.

Fotos gehören nicht zu den durch das IFG für eine Veröffentlichung zugelassenen personenbezogenen Daten. Hierfür ist eine gesonderte Einwilligung erforderlich, die natürlich auch verweigert oder ohne Angabe von Gründen widerrufen werden kann.

Steht also auf einer Schulhomepage eine Beschreibung wie:

Johanna Schneider
Oberstudienrätin
Unterstufenkoodinatorin
Klassenlehrerin 8e
dienstliche E-Mail: johanna.schneider@mustergymnasium.de
dienstliche Telefonnummer: 02781-85 5033

dann ist dieses durch das IFG NRW abgedeckt und es bedarf keiner Einwilligung hierfür.

Mit folgendem Informationsschreiben können Lehrkräfte vorab informiert werden:

Bitte passen Sie das Schreiben entsprechend der Gegebenheiten Ihrer Schule an.

Zum Thema Digitale Stunden- und Vertretungspläne gibt es einen separaten Beitrag.

Stand 09/2022

Youtube Videos auf Schulhomepage / Unterrichtsseite datenschutzkonform einbinden

Lesezeit: 3 Minuten

Videos spielen auf Internetseiten eine wichtige Rolle, da sie Inhalte anders darstellen können als Text, Audio oder Fotos. Deshalb findet man sie auch auf den Webseiten von Schulen und auf denen von Lehrkräften, die damit Materialien bereitstellen, z.B. Erklärvideos, um sie für Flipped Classroom Learnsettings zu nutzen. Meist werden die Video extern bei Youtube oder anderen Anbietern abgelegt und dann über einen Code in die eigene Webseite eingebettet. Das Problem dabei ist, bei der Einbettung eines Youtube Videos erhält auch ein Dritter, hier Youtube, Informationen über die Besucher der Webseite, auf welcher das Video eingebettet ist.

Grundsätzlich sollte entsprechend der DS-GVO bei einer Website der Schutz der personenbezogenen Daten durch die technische Gestaltung einer Webseite gefordert (Privacy by Design) und die Standardeinstellungen (Privacy by Default) gewährleistet sein.

Werden auf einer Webseite Daten erhoben und verarbeitet, was bei nahezu allen Webseiten der Fall ist, besteht nach der DS-GVO (Art. 13) für den Betreiber eine Informationspflicht gegenüber den Besuchern der Webseite. Dieses erfolgt in der Datenschutzerklärung, die von jeder Seite aus einfach zugänglich sein sollte.

Zusätzlich muss der Nutzer in die Erhebung der Daten nach DS-GVO (Art. 6, Abs. 1 a) einwilligen. Bei einem Kommentar kann dieses leicht über eine Checkbox und einen Text erfolgen.

Videos besser einbetten

1Ursprünglich hatte ich hier eine Erklärung stehen, wie man mit den Möglichkeiten von Youtube selbst die Daten des Webseitenbesuchers, welche durch die Einbettung eines Videos an Youtube abfließen, minimieren kann. Cookies werden bei dem Verfahren erst gesetzt, wenn das Video gestartet wird.  Nach einigen Hinweisen und weiterer Recherche zeigte sich, dass auch die vorgestellte Lösung nicht 100% perfekt war. Der Heise Beitrag Rote Karte für Webspione – YouTube-Videos datenschutzkonform einbetten zeigt (wie übrigens auch eine Webbkoll Analyse), dass doch Informationen fließen. Auch wenn durch das Youtube Video keine Cookies gesetzt werden, sind noch Tracker aktiv, die z.B. schon vorhandene Browser Cookies von Youtube oder Google auslesen und entsprechende Informationen daraus an ihr Netzwerk zurücksenden könnten. Auf nun vorgestellte Plugin hatte ich nur hingewiesen, da es mit unter Probleme mit dem Layout verursacht. Bei WordPress gibt es eine recht einfache Möglichkeit, Youtube Videos datenschutzkonform einzubetten, wenn das WordPress entweder eine Bezahlversion ist oder man es selbst hostet und so in der Lage ist, Plugins zu installieren. Was man braucht, ist das Pugin Embed videos and respect privacy.

Praktisch an diesem Plugin ist, dass man nichts weiter tun muss. Man integriert Youtube Videos wie gehabt über den Teilen Link, den die Plattform bereitstellt. Alle Videos, auch alte werden automatisch datenschutzkonform eingebunden. Eine Verbindung zwischen Besucher und Youtube kommt nicht zustande, keine Cookies, kein Tracking. Erst durch das Anklicken des Videos wird ein Cookie gesetzt und werden Daten an Youtube übertragen. Vorher passiert nichts.

Unter das Video setzt man einen Text, der darüber informiert und außerdem auf die Datenschutzerklärung verweist. In dieser wird entsprechend erklärt, dass für Videos von Youtube die Datenschutzbestimmungen des Anbieters Youtube gelten. Mit dem Anklicken, welches eine eindeutige bestätigende Handlung darstellt, erklärt sich der Nutzer mit den Datenschutzbestimmungen von Youtube einverstanden.2Art. 4 DSGVO Nr 11. „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist; 3Ob der Nutzer die Datenschutzerklärung tatsächlich gelesen hat und von dort zu der von Youtube gegangen ist, um auch diese zu lesen, bleibt ihm überlassen. Er hatte die Möglichkeit, wie auch bei Hinweisen auf die AGBs bei Online Shops.

Beispiel

Aktivieren Sie JavaScript um das Video zu sehen.
https://youtu.be/Qkf8vy1P0g8

Durch das Starten des Videos, willigst du ein, dass ein Cookie gesetzt und Daten an Youtube übermittelt werden. Weitere Informationen dazu findest du in der Datenschutzerklärung.

Video von Sebastian SchmidtYoutube Creative Commons Namensnennung Lizenz

Das bedeutet nun für die Betreiber der Webseiten von Schulen oder Unterrichtsseiten

Alle Youtube Videos sollten datenschutzkonform eingebettet sein in eine Webseite. Nutzt man WordPress in einer Form, bei welcher man Plugins installieren kann, so hat man keine Probleme.

Bei der kostenlosen WordPress Version muss man sich mit einem Vorschaubild des Videos und einem Link behelfen und hoffen, dass WordPress in seinen Bemühungen, die Plattform DS-GVO freundlich zu machen, auch eine entsprechende Lösung für das Einbinden von Youtube Videos schafft.

Was andere Plattformen für Webseiten angeht, wie auch die Videos anderer Anbieter, da braucht man andere Lösungen. Vimeo bietet aktuell kein vergleichbares Verfahren an. Alternativ könnte man auch hier einen Screenshot des Videos als Bild einbauen und entweder das Bild zum Video verlinken oder einen Textlink dazu unter das Bild setzen. Auch über eine Google Suche findet man vielleicht eine Lösung.

Man sollte auf jeden Fall dafür Sorge tragen, dass Besucher der Webseite, egal auf welcher Seite sie zuerst landen, dort immer die erforderlichen Informationen finden bezüglich Daten, die über eingebettete Dienste von ihnen erhoben werden könnten, wenn möglich, bevor die Daten fließen, so dass sie selbst entscheiden können.

 

 

Viele Schulhomepages laufen über Auftragsdatenverarbeitung

Lesezeit: 2 Minuten

Die meisten Schulhomepages dürften wohl nicht auf Servern laufen, die von der Schule selbst betrieben werden. Stattdessen laufen sie auf Servern, die entweder durch den Schulträger oder einen von ihm beauftragten IT-Dienstleister bereitgestellt werden oder, und das wird bei der überwiegenden Zahl aller Schulhomepages der Fall sein, sie laufen auf dem Server eines Web-Hosters wie 1&1, Strato, Domainfactory, Host Europe o.ä.

In Bezug auf den Datenschutz kann dieses von Bedeutung sein. Vermutlich gibt es kaum eine Schulhomepage, auf der nicht personenbezogene Daten verarbeitet werden. Lehrerinnen und Lehrer werden mit Name, Klasse und Informationen zur dienstlichen Erreichbarkeit aufgeführt und Schülerinnen und Schüler eventuell namentlich genannt bei Berichten über Projekte oder teilnahmen an Wettbewerben.

Trifft dieses zu, gilt Art. 28 Datenschutz Grundverordnung bzw. § 62 BDSG Auftragsverarbeitung. Ein Fall von Auftragsdatenverarbeitung liegt vor.

“Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags1Art. 28 DSGVO Auftragsverarbeiter, Abs. 3

Die Verarbeitung durch einen Auftragsverarbeiter hat auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments zu erfolgen, der oder das den Auftragsverarbeiter an den Verantwortlichen bindet und der oder das den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Rechte und Pflichten des Verantwortlichen festlegt.2§ 62 BDSG Auftragsverarbeitung, Abs. 5

Gegenwärtig dürften wohl nur die wenigsten Schulen einen solchen Vertrag mit dem Betreiber des Servers abgeschlossen haben, auf welchen ihrer Homepage betrieben wird. Ein solcher Vertrag ist nicht erst seit der DS-GVO erforderlich, sondern war auch schon die ganze Zeit durch die Datenschutzgesetzgebung vorgeschrieben. Mit der DS-GVO werden die Rechte der einzelnen Personen jedoch deutlich gestärkt und Schulen sollten aus Eigeninteresse sobald wie möglich einen solchen Vertrag abschließen. Auf den Webseiten der verschiedenen Web-Hoster sind die entsprechenden Unterlagen nicht immer leicht zu finden. Zur Not muss man Kontakt aufnehmen.

Üblicherweise findet man diese Verträge in Form eines PDF und dieses ist von Seiten des Anbieters bereits unterzeichnet. Man trägt in den Vertrag die eigenen Kontaktdaten und die Verantwortlichen ein und macht Angaben zur Art und zum Zweck der Verarbeitung. Häufig gibt es dafür vorgefertigte Listen, wo man entsprechende Angaben durch Ankreuzen machen kann. Der ausgefüllte unterschriebene Vertrag wird anschließend an den Web-Hoster zurückgeschickt. Er ist damit rechtlich gültig.

Liegt die Homepage auf einem Server des Schulträgers (z.B. bei der kommunalen IT im Rathaus) oder eines beauftragten Dienstleisters (zum Beispiel Kommunales Rechenzentrum), muss der entsprechende Vertrag beim Schulträger angefordert werden.

Ist die Schulhomepage auf einem Server untergebracht, der im Schulgebäude steht, ist zumindest das Führen eines Verzeichnisses der Verarbeitungstätigkeiten erforderlich.

WordPress zur Datensparsamkeit zwingen

Lesezeit: < 1 Minute

Momentan liest man an vielen Stellen von der Sorge, mit dem eigenen Blog oder der Schulhomepage nicht konform zur DS-GVO zu sein1Blogs und Schulhomepages für die DSGVO fit machen und damit womöglich Abmahnungen zu risikieren. Abgesehen davon, dass es ohnehin nicht so schlimm kommen wird, wie von vielen befürchtet, ist es trotzdem keine schlechte Idee, die eigene Webseite in Bezug auf die Erhebung von Nutzerdaten sparsamer zu machen.

Eine schöne Anleitung dazu findet sich unter anderem, bezogen auf das weitverbreitete WordPress, in dem Beitrag “Geschützte Daten – geschützter Webmaster” von Arne Paulsen.