Brauchen Schulen Datenschutzerklärungen zu den Verarbeitungsprozessen in der Schule?

Lesezeit: 6 Minuten

Frage

Vor einiger Zeit kam die Frage auf, ob Schulen neben der Datenschutzerklärung der Homepage zusätzlich auch eine Datenschutzerklärung bezüglich der Verarbeitung von personenbezogenen Daten in der Schule benötigen, die dann ebenfalls auf der Schulhomepage veröffentlich wird.

Rechtliche Grundlagen

Art. 12 DS-GVO Abs. 1 fordert ein, dass Betroffene informiert werden und diese Informationen leicht zugänglich sind.

“Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; […] Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch.”

Entsprechend gibt der zugehörige Erwägungsgrund 58 folgende Erläuterung:

“Der Grundsatz der Transparenz setzt voraus, dass eine für die Öffentlichkeit oder die betroffene Person bestimmte Information präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst ist und gegebenenfalls zusätzlich visuelle Elemente verwendet werden. Diese Information könnte in elektronischer Form bereitgestellt werden, beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist.”

Das Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen (IFG NRW) führt aus:

§ 12
Veröffentlichungspflichten
Geschäftsverteilungspläne, Organigramme und Aktenpläne sind nach Maßgabe dieses Gesetzes allgemein zugänglich zu machen. Die öffentlichen Stellen sollen Verzeichnisse führen, aus denen sich die vorhandenen Informationssammlungen und -zwecke erkennen lassen. Soweit möglich hat die Veröffentlichung in elektronischer Form zu erfolgen. § 4 Abs. 2 Satz 1 dieses Gesetzes bleibt unberührt.

Wie sind diese Vorgaben zu verstehen?

Von rechtlicher Seite gibt es Vorgaben, sowohl von der DS-GVO wie auch vom IFG. Beide lassen jedoch Spielraum für die Umsetzung. Zu beachten ist dabei ein Unterschied zwischen DS-GVO und IFG. Während es bei der DS-GVO ausschließlich um die Rechte der Betroffenen geht, betrifft das IFG die Öffentlichkeit und deren Recht auf Informationen.

Schulen unterliegen entsprechend der DS-GVO dem Gebot der Transparenz wie jede andere datenverarbeitende öffentliche Stellen. Nach Art. 13 sind Betroffene zum Zeitpunkt der Erhebung von personenbezogenen Daten bezüglich der beabsichtigten Verarbeitung und ihrer Rechte zu informieren. Werden die personenbezogenen Daten nicht beim Betroffenen selbst erhoben, sind diese nach Art. 14 entsprechend nachträglich zu informieren.

Das IFG fordert von öffentlichen Stellen, Informationen zu verarbeiteten Daten und den Verarbeitungszwecken möglichst in elektronischer Form zu veröffentlichen. Es geht hier um eine Veröffentlichungspflicht. Die Veröffentlichung auf einer Internetseite wäre eine elektronische Form. Zum Vergleich: auf Bundesebene gibt es für Behörden gemäß dem IFG des Bundes eine Veröffentlichungspflicht im Internet.1 Der Bund gibt unter Anwendungshinweise zum Informationsfreiheitsgesetz zur Veröffentlichung folgende Informationen:
Welche Veröffentlichungspflichten bestehen im Internet?
Die Behörden des Bundes sollen geeignete Informationen möglichst umfassend im Rahmen aktiver Informationspolitik nach und nach in das Internet einstellen (§ 11 Abs. 3). Das IFG geht jedoch nicht über die bestehenden Verpflichtungen aus dem Kabinettbeschluss zur langfristigen Sicherung der im Rahmen der eGovernment-Initiative BundOnline 2005 getätigten Investitionen vom 9. März 2005 hinaus.
Insbesondere Organisations- und Aktenpläne ohne Angabe personenbezogener Daten sollen beim Internetauftritt jeder Behörde berücksichtigt werden. Solche Organisations- und Aktenpläne sollen es dem Bürger erleichtern, sich einen Überblick der vorhandenen Informationen zu verschaffen. Wie detailliert solche Pläne eingestellt werden, entscheidet jede Behörde selbst.

Zwischen den Vorgaben der DS-GVO und des IFG gibt es Unterschiede im Umfang der Informationen. Während sich das IFG auf eine Information über vorhandene Informationssammlungen und -zwecke beschränkt, geht es bei der DS-GVO um sehr viel genauere Informationen (z.B. Betroffene, Rechtsgrundlage, Zwecke der Verarbeitung, Kategorien von Daten und Empfängern, Dauer der Speicherung, Rechte der Betroffenen).

In Art. 12 ist vorgegeben, dass der Verantwortliche, hier die Schulleitung, “geeignete Maßnahmen” trifft, die Betroffenen zu informieren, und dass die Informationen in “leicht zugänglicher Form” bzw. “leicht zugänglich” zu übermitteln sind. Für die Form gibt es keine exakt definierten Vorgaben. Die Bereitstellung in elektronischer Form auf einer Website wird im Erwägungsgrund als eine Möglichkeit angegeben. Das IFG  wird etwas deutlicher und fordert die elektronische Form, sofern möglich.

Entsprechend dem IFG würde es praktisch ausreichen, auf die VO-DV I und II zu verlinken, da das IFG selbst keinerlei Vorgaben macht, wie einfach oder verständlich diese Angaben sein müssen. Auch der Begriff Verzeichnis ist nicht exakt definiert. Eine Formulierung auf der Schulhomepage könnte so lauten, wie die obere Tabellenzelle. Wenn man etwas ausführlicher sein möchte, fügt man die Inhalte der restlichen Zellen an.

Information über Informationssammlungen und -zwecke gemäß §12 Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen  (IFG NRW)

Die Schule verarbeitet die personenbezogenen Daten von Schülern, Erziehungsberechtigten und Lehrkräften in dem Umfang und für die Zwecke, wie sie durch das SchulG NRW, VO-DV I (Schüler, Erziehungsberechtigte) und VO-DV II (Lehrkräfte) vorgegeben sind.

Informationssammlung Schüler/ Erziehungsberechtigte
Schülerstammblatt

  1. die Personaldaten der in § 1 Abs. 1 Nr. 1 – 3 genannten Personen (Individualdaten) gemäß Abschnitt A Nr. I der Anlage 1,
  2. die Information zur schulischen Laufbahn der Schülerin oder des Schülers (Organisations- bzw. Schullaufbahndaten) gemäß Abschnitt A Nr. II der Anlage 1,
  3. die Angaben über den individuellen Leistungsstand der Schülerin oder des Schülers (Leistungsdaten) gemäß Abschnitt B der Anlage 1,
  4. die für die einzelnen Schulformen oder Schulstufen benötigten zusätzlichen Informationen (schulform- oder schulstufenspezifische Zusatzdaten) gemäß Abschnitt C der Anlage 1.

sonstiger Datenbestand

Zwecke
  • Schülerverwaltung
  • Leistungsdatenverwaltung
  • Zeugniserstellung
  • Unterrichtsplanung
  • Schulstatistik
  • Diagnostik/ Erstellung von Förderempfehlungen/ individuellen Förderplänen
  • Schulpflichtüberwachung
  • Kontaktaufnahme mit den Erziehungsberechtigten
  • Evaluation und Qualitätsentwicklung
  • Öffentlichkeitsarbeit
  • Erstellung von Fördergutachten (AO-SF Verfahren)
  • Schülerspezialverkehr (an Förderschulen)
  • Praktikumsverwaltung
  • Erziehungs- und Ordnungsmaßnahmen
  • Dokumentation im Klassenbuch
  • Dokumentation von Konferenzen
Informationssammlung Lehrkräfte
 Datenbestand in der Schule

  • Person
  • Werdegang
  • Vorbereitungsdienst,   Staatsprüfung
  • Qualifikationen
  • Laufbahn
  • Beschäftigung
  • Unterricht
  • Geschäftsablauf

Akten der Schulleitung

  • Persönliche Angaben
  • Ausbildung, sonstige Tätigkeiten, besondere Fähigkeiten
  • Tätigkeiten an der Schule
  • Weitere Angaben
Zwecke
  1. Planung und Ermittlung des Unterrichtsbedarfs, Durchführung des Unterrichts
  1. Planung und Einrichtung von Bildungsgängen, Klassen und Gruppen; Ermittlung und Deckung besonderer Bedarfe und Förderungsbedarfe; Unterrichtsorganisation; Unterrichtsverteilung
  2. Aufstellen von Aufsichts-, Prüfungs-, Stunden- und Vertretungsplänen, Sprechstundenlisten sowie Übersichten der an der Schule Beschäftigten
  1. Erledigung der laufenden schulischen Angelegenheiten
  1. Berichte in arbeits-, dienst- und personalrechtlichen Angelegenheiten und Angelegenheiten der Lehrerversorgung
  2. Berichte zur Vorbereitung von Dienstleistungszeugnissen, Beratung zur dienstlichen Beurteilung, Berichte in disziplinarrechtlichen Angelegenheiten
  3. Beantwortung von Anfragen und Erhebungen der Schulaufsichtsbehörden sowie anderer Behörden aus dem Geschäftsbereich des für die Schule zuständigen Ministeriums
  4. Durchführung von Maßnahmen der Qualitätsentwicklung und Qualitätssicherung gemäß § 3 Abs. 4 SchulG
  1. Statistische Daten
  2. Lehrerausbildung (Ausbildungslehrerinnen und -lehrer, Lehramtsanwärterinnen und Lehramtsanwärter und Lehrkräfte in Ausbildung)
  3. Lehrerfortbildung
  4. Erfüllung der Schulleitungsaufgaben

Entsprechend der DS-GVO müssen Betroffene (Schüler und Erziehungsberechtigte sowie Lehrkräfte) bei der Erhebung von Daten oder, sofern die Daten nicht bei ihnen direkt erhoben wurden, nachträglich informiert werden. Die unmittelbare Information kann mittels eines entsprechenden Informationsschreibens2„Informationen Schule (NRW) – datenschutz-schule.info.“ https://datenschutz-schule.info/service-downloads/informationen-schule-nrw/. gegeben werden, welches den Betroffenen ausgehändigt wird, so dass sie jederzeit über die von der Schule verarbeiteten Daten und ihre Rechte im Bilde sind. Erforderlich ist diese Art von Information bei Schülern und ihren Erziehungsberechtigten erstmals bei der Anmeldung an der Schule, bei Lehrkräften, wenn sie den Dienst an einer neuen Schule aufnehmen, welche dazu personenbezogene Daten von ihnen selbst oder einer anderen Stelle (Stammschule/ abgebende Schule/ Schulamt/ Bezirksregierung) erhält.

Die DS-GVO unterscheidet beim Transparenzgebot im Erwägungsgrund 58 zwischen betroffener Person und Öffentlichkeit. Nur wenn es um Informationen zur Herstellung von Transparenz geht, welche für die Öffentlichkeit bestimmt sind, wird die Veröffentlichung auf einer Website als Möglichkeit vorgeschlagen. Für die Information der Betroffenen selbst wird dieses nicht vorgeschlagen. Da die Formulierung von Art. 12 Abs. 1 Satz 1 sehr offen ist, bleibt dem Verantwortlichen Gestaltungsspielraum.

“Insgesamt belässt Abs. 1 S. 1 dem Verantwortlichen bei der Wahl der Darstellungsweise einen beträchtlichen Gestaltungsspielraum.”3Bäcker in Kühling/Buchner Art. 12 Abs. 1 Rn. 12

Es lässt sich aus keiner Stelle in der DS-GVO eine eindeutige Vorgabe ableiten, dass zur Herstellung von Transparenz eine Veröffentlichung von Informationen entsprechend Art. 13 und 14 auf der Schulhomepage erforderlich ist. Genausowenig ist ersichtlich, dass eine Schule die Öffentlichkeit informieren muss.

Abgesehen davon spricht jedoch auch nichts dagegen, die Informationen zur Verarbeitung von personenbezogenen Daten von Betroffenen zusätzlich leicht auffindbar auf der Schulhomepage zu hinterlegen als Informationen über die Datenverarbeitung an der Schule nach DS-GVO Art. 12. Dort könnte man dann die Informationen aus den Informationsschreiben direkt in die Webseite einstellen und eventuell auch noch die Schreiben als PDFs zum Download anzubieten.

Wie das MSB das Thema sieht

Das Ministerium für Schule und Bildung (MSB) hat sich auf den Seiten der Medienberatung zum Thema Informationspflicht nach Art. 13 DS-GVO geäußert4„Homepage der Schulen – Bildungsportal NRW.“ https://www.schulministerium.nrw.de/docs/Recht/Datenschutz/Umsetzung-EU-Datenschutzgrundverordnung/Regelungsbereiche/Homepage-der-Schulen/index.html.. Das MSB schlägt vor, der Informationspflicht über die Schulhomepage nachzukommen, um den Verwaltungsaufwand für die Schule in Grenzen zu halten. Es sollte dann ausreichend sein, “mittels Link auf die ausführlichen Vorgaben der VO DV I und II” zu verweisen. Da die DS-GVO Information aber auch eine Information zum Zeitpunkt der Datenerhebung verlangt, sollen Schulen den Erziehungsberechtigten bzw. volljährigen Schülern bei Anmeldung an der Schule einen “einen Papierausdruck der VO DV I” aushändigen.

Auch wenn dieser Vorschlag gut gemeint ist, so widerspricht er einem der wichtigen Grundsätze der DS-GVO, wie dem Zitat zu Beginn des Textes zu entnehmen. Der Erwägungsgrund wird noch deutlicher. Die Information soll in “präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst” sein. Dem entspricht die VO-DV I wohl kaum.

Aus den Ausführungen des MSB lässt sich, was für die Fragestellung hier noch bedeutsamer ist, keinerlei Verpflichtung zur Veröffentlichung dieser Informationen auf der Schulhomepage ableiten.

Fazit

  • Schulen müssen entsprechend der Vorgaben der DS-GVO Besucher ihrer Schulhomepage (Betroffene) über die Verarbeitung von personenbezogenen Daten auf der Website selbst in Form einer Datenschutzerklärung informieren.
  • Schulen sollen als öffentliche Stellen gemäß der Vorgaben des IFG NRW in elektronischer Form Verzeichnisse führen, welche die Öffentlichkeit über Informationssammlungen und -zwecke informiert. Das erfolgt am zweckmäßigsten vermutlich über die Schulhomepage.5Mir ist bisher keine Schule bekannt, welche derartige Informationen nach dem IFG auf ihrer Schulhomepage eingestellt hat. Auch, dass es wegen des Fehlens solcher Informationen Probleme gegeben hat, ist mir nicht bekannt.
  • Schulen können ergänzend zu einer direkten Information der Betroffenen vor oder nach der Datenerhebung zusätzlich über die Verarbeitung personenbezogener Daten entsprechend Art. 13 und 14 auf ihrer Homepage informieren, wenn die Schulleitung darin eine geeignete Maßnahme sieht, der Informationspflicht nachzukommen.

Zu den Informationen, die nach dem IFG NRW auf einer Schulhomepage veröffentlicht werden sollen, gehören neben Informationen über die Schulleitung auch solche über die Lehrkräfte, deren Funktion in der Schule und Angaben zur dienstlichen Erreichbarkeit. Siehe dazu den Beitrag: Welche personenbezogenen Daten von Lehrkräften dürfen OHNE Einwilligung auf die Schulhomepage?

Die Datenschutzerklärung

Lesezeit: 7 Minuten

Wichtig! Bevor man sich an die Erstellung der Datenschutzerklärung setzt, sollte man zunächst die Schulhomepage auf Datensparsamkeit einstellen (Siehe dazu – Schulhomepage, Privacy by Design).

Danach sollte man wissen, welche personenbezogenen Daten auf der Schulhomepage durch welche Funktionalitäten erhoben werden, von Besuchern wie eventuell auch von Nutzern eines internen Bereichs. Diese gilt es, in der Datenschutzerklärung auszuweisen.

Im folgenden Teil werden die einzelnen Bestandteile einer Datenschutzerklärung nacheinander aufgeführt. Zu den verschiedenen Punkten gibt es Fußnoten, die nähere Erklärungen geben. Die Vorlagen können mit Copy & Paste übernommen und angepasst werden. Der obere Teil dieser Vorlage orientiert sich an einem Angebot des Kultusministeriums Baden Württemberg.


Verantwortlicher und Datenschutzbeauftragter

Verantwortlicher

Verantwortlicher gem. Art. 4 Abs. 7 EU-Datenschutz-Grundverordnung (EU-DSGVO) ist [Name, ladungsfähige Anschrift, E-Mail-Adresse] (siehe unser Impressum)6Namen und Kontaktdaten des Verantwortlichen (Schulleitung) sowie gegebenenfalls seines Vertreters.

Datenschutzbeauftragter

Sie erreichen unseren Datenschutzbeauftragten unter [ E-Mail-Adresse, (Anschrift, dienstl. Telefonnummer)].7Kontaktdaten des Datenschutzbeauftragten. Das kann der/die behördlichbestellte schulische Datenschutzbeauftragte sein oder eine in der Schule benannte Person. Der Name des/der Datenschutzbeauftragten muss hier nicht genannt werden. Es reicht eine E-Mail Adresse. Auch eine Postanschrift und Telefonummer, die zu normalen Bürozeiten erreichbar ist, kann genannt werden.

Information über die Erhebung personenbezogener Daten, Speicherdauer

  • Im Folgenden informieren wir über die Erhebung personenbezogener Daten bei Nutzung unserer Website. Personenbezogene Daten sind alle Daten, die auf Sie persönlich beziehbar sind, z. B. Name, Adresse, E-Mail-Adressen, Nutzerverhalten.
  • Bei Ihrer Kontaktaufnahme mit uns per E-Mail8z.B. über die im Impressum oder unter Kontakt genannte E-Mail Adresse der Schule. oder über ein Kontaktformular werden die von Ihnen mitgeteilten Daten (Ihre E-Mail-Adresse, ggf. Ihr Name und Ihre Telefonnummer) von uns gespeichert, um Ihre Fragen zu beantworten. Die in diesem Zusammenhang anfallenden Daten löschen wir, nachdem die Speicherung nicht mehr erforderlich ist, oder schränken die Verarbeitung ein, falls gesetzliche Aufbewahrungspflichten bestehen.
  • Falls wir für einzelne Funktionen unseres Angebots auf beauftragte Dienstleister zurückgreifen oder Ihre Daten für werbliche Zwecke nutzen möchten, werden wir Sie untenstehend im Detail über die jeweiligen Vorgänge informieren. Dabei nennen wir auch die festgelegten Kriterien der Speicherdauer.9Dieser Punkt braucht nur übernommen werden, wenn z.B. Website Statistiken wie Google Analytics genutzt werden, externe Newsletterversender oder ähnlich.

Ihre Rechte

  • Hinsichtlich der Sie betreffenden personenbezogenen Daten, die auf dieser Webseite verarbeitet werden, haben Sie uns gegenüber folgende Rechte:
    • Recht auf Auskunft,
    • Recht auf Berichtigung oder Löschung,
    • Recht auf Einschränkung der Verarbeitung,
    • Recht auf Widerspruch gegen die Verarbeitung,
    • Recht auf Datenübertragbarkeit.
  • Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren.
      • Landesbeauftragte für Datenschutz und Informationsfreiheit
        Nordrhein-Westfalen
        Postfach 20 04 44
        40102 Düsseldorf
        Tel.: 0211/38424-0
        Fax: 0211/38424-10
        E-Mail: poststelle@ldi.nrw.de
  • Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so haben Sie das Recht, über die geeigneten Garantien gemäß Art. 46 EU-DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.10Wird bei den meisten Schulhomepages nicht zutreffen, außer es werden innerhalb der Seite Dienste genutzt, welche nicht in Deutschland oder dem Geltungsbereich der DS-GVO liegen, z.B. USA oder Schweiz.

Sicherheit

SSL-Verschlüsselung

Aus Gründen der Sicherheit und zum Schutz der Übertragung vertraulicher Inhalte, wie zum Beispiel der Anfragen, die Sie an uns als Seitenbetreiber senden, nutzt diese Seite eine SSL-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und an dem Schloss-Symbol in der Adresszeile Ihres Browsers.

Wenn die SSL Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

Erhebung und Zweck personenbezogener Daten bei Besuch unserer Website

Server Log Dateien

Bei der bloß informatorischen Nutzung der Website, also wenn Sie sich nicht registrieren oder uns anderweitig Informationen übermitteln, erheben wir nur die personenbezogenen Daten, die Ihr Browser an unseren Server übermittelt. Wenn Sie unsere Website betrachten möchten, erheben wir die folgenden Daten, die für uns technisch erforderlich sind, um Ihnen unsere Website anzuzeigen und die Stabilität und Sicherheit zu gewährleisten (Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f EU-DSGVO):

  • IP-Adresse
  • Datum und Uhrzeit der Anfrage
  • Zeitzonendifferenz zur Greenwich Mean Time (GMT)
  • Inhalt der Anforderung (konkrete Seite)
  • Zugriffsstatus/HTTP-Statuscode
  • jeweils übertragene Datenmenge
  • Website, von der die Anforderung kommt
  • Browser
  • Betriebssystem und dessen Oberfläche
  • Sprache und Version der Browsersoftware.

Cookies

Zusätzlich zu den zuvor genannten Daten werden bei Ihrer Nutzung unserer Website Cookies auf Ihrem Rechner gespeichert. Bei Cookies handelt es sich um kleine Textdateien, die auf Ihrer Festplatte dem von Ihnen verwendeten Browser zugeordnet gespeichert werden und durch welche der Stelle, die den Cookie setzt (hier durch uns), bestimmte Informationen zufließen. Cookies können keine Programme ausführen oder Viren auf Ihren Computer übertragen. Sie dienen dazu, das Internetangebot insgesamt nutzerfreundlicher und effektiver zu machen.

Es werden dabei folgende Arten von Cookies verwendet:11Werden keinen Cookies genutzt, kann dieser komplette Absatz entfallen. Kommen nur bestimmte Typen von Cookies vor, werden die nicht genutzten entfernt.

  1. Diese Website nutzt folgende Arten von Cookies, deren Umfang und Funktionsweise im Folgenden erläutert werden:
    1. Transiente Cookies (dazu 2)
    2. Persistente Cookies (dazu 3).
  2. Transiente Cookies werden automatisiert gelöscht, wenn Sie den Browser schließen. Dazu zählen insbesondere die Session-Cookies. Diese speichern eine sogenannte Session-ID, mit welcher sich verschiedene Anfragen Ihres Browsers der gemeinsamen Sitzung zuordnen lassen. Dadurch kann Ihr Rechner wiedererkannt werden, wenn Sie auf unsere Website zurückkehren. Die Session-Cookies werden gelöscht, wenn Sie sich ausloggen oder den Browser schließen.
  3. Persistente Cookies werden automatisiert nach einer vorgegebenen Dauer gelöscht, die sich je nach Cookie unterscheiden kann. Sie können die Cookies in den Sicherheitseinstellungen Ihres Browsers jederzeit löschen.
  4. Sie können Ihre Browser-Einstellung entsprechend Ihren Wünschen konfigurieren und z. B. die Annahme von Third-Party-Cookies oder allen Cookies ablehnen. Wir weisen Sie darauf hin, dass Sie eventuell nicht alle Funktionen dieser Website nutzen können.
  5. [Wir setzen Cookies ein, um Sie für Folgebesuche identifizieren zu können, falls Sie über einen Account bei uns verfügen. Andernfalls müssten Sie sich für jeden Besuch erneut einloggen.] 12
    Ist nur von Belang, wenn es für Lehrkräfte und/oder Schüler eine Möglichkeit gibt, sich einzuloggen in einen internen Bereich. Falls nicht zutreffend, diese Passage löschen.
  6. [Die genutzten Flash-Cookies werden nicht durch Ihren Browser erfasst, sondern durch Ihr Flash-Plug-in. Weiterhin nutzen wir HTML5 storage objects, die auf Ihrem Endgerät abgelegt werden. Diese Objekte speichern die erforderlichen Daten unabhängig von Ihrem verwendeten Browser und haben kein automatisches Ablaufdatum. Wenn Sie keine Verarbeitung der Flash- Cookies wünschen, müssen Sie ein entsprechendes Add-On installieren, z. B. „ Privacy Badger“ für Mozilla Firefox (https://addons.mozilla.org/de/firefox/addon/privacy-badger17/) oder das Adobe- Flash-Killer-Cookie für Google Chrome. Die Nutzung von HTML5 storage objects können Sie verhindern, indem Sie in Ihrem Browser den privaten Modus einsetzen. Zudem empfehlen wir, regelmäßig Ihre Cookies und den Browser-Verlauf manuell zu löschen.]13
    Kommt nur in Frage, wenn Flash Cookies zum Einsatz kommen.

Die folgenden Angaben ergänzen den oberen Teil. Welche Angaben benötigt werden, hängt von den Funktionalitäten der Schulhompage ab. Das kann der Fall sein, wenn es eine Kommentarfunktion gibt, ein Kontaktformular, Videos eingebunden werden oder andere externe Dienste. Aufgrund der Vielzahl möglicher Dienste sind hier nur die wichtigsten aufgeführt, die bei Bedarf ebenfalls per Copy & Paste in die eigene Datenschutzerklärung übernommen und dort angepasst werden können.


Kommentarfunktion

Für die Kommentarfunktion auf dieser Seite werden neben Ihrem Kommentar auch Angaben zum Zeitpunkt der Erstellung des Kommentars, Ihre E- Mail-Adresse und, wenn Sie nicht anonym posten, der von Ihnen gewählte Nutzername gespeichert.

Abonnieren von Kommentaren

Als Nutzer der Seite können Sie nach einer Anmeldung Kommentare abonnieren. Sie erhalten eine Bestätigungsemail, um zu prüfen, ob Sie der Inhaber der angegebenen E-Mail-Adresse sind. Sie können diese Funktion jederzeit über einen Link in den Info-Mails abbestellen.

Kontaktformular

Wenn Sie uns per Kontaktformular Anfragen zukommen lassen, werden Ihre Angaben aus dem Anfrageformular inklusive der von Ihnen dort angegebenen Kontaktdaten zwecks Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter. Die gespeicherten Informationen werden gelöscht, sobald die Bearbeitung Ihre Anfrage abgeschlossen wurde.

Video – YouTube

Auf unserer Seite verwenden wir Youtube Videos, um über das Schulleben zu berichten und im Rahmen des Flipped Classroom zusätzliche Lernangebote für den Unterricht und das Lernen zu Hause bereitzustellen. Da es nicht möglich ist, die Videos lokal auf unserem Server zu hosten, nutzen wir das Angebot von YouTube, einem Drittanbieter. Technisch bedingt kommt es durch die Einbindung von YouTube Videos zu Aufrufen der Server von YouTube. An den YouTube-Server werden dabei Daten Ihres Browsers bzw. Ihres Endgerätes übermittelt. Es wird dabei auch übermittelt, welche unserer Internetseiten Sie besucht haben. Sind Sie dabei als Mitglied bei YouTube eingeloggt, ordnet YouTube diese Information Ihrem persönlichen Benutzerkonto zu. Sie können diese Zuordnung verhindern, indem Sie sich vor der Nutzung unserer Internetseite aus Ihrem YouTube-Benutzerkonto sowie anderen Benutzerkonten der Firmen YouTube LLC und Google Inc. abmelden und die entsprechenden Cookies der Firmen löschen.

Für die mit dem Abspielen eines Videos verbundene Verwendung von Daten Ihres Browsers bzw. Endgerätes verweisen wir auf die Datenschutzhinweise des Anbieters. Weitere Informationen zur Datenverarbeitung und Hinweise zum Datenschutz durch YouTube (Google) finden Sie unter www.google.de/intl/de/policies/privacy/.14Dieser Abschnitt wird nur benötigt, wenn YouTube Videos in die Schulhomepage eingebunden werden. Der Zweck sollte dann angepasst werden. Basiert die Homepage auf WordPress und es wird das Plugin „Embed videos and respect privacy“ genutzt, sollte darauf hingewiesen werden, dass Daten erst erhoben werden, wenn das Video abgespielt wird.

Video – Vimeo

Auf unserer Seite verwenden wir Videos von Vimeo, um über das Schulleben zu berichten und im Rahmen des Flipped Classroom zusätzliche Lernangebote für den Unterricht und das Lernen zu Hause bereitzustellen. Da es nicht möglich ist, die Videos lokal auf unserem Server zu hosten, nutzen wir das Angebot von Vimeo, einem Drittanbieter. Technisch bedingt kommt es durch die Einbindung von Vimeo Videos zu Aufrufen der Server von Vimeo. An den Vimeo-Server werden dabei Daten Ihres Browsers bzw. Ihres Endgerätes übermittelt. Es wird dabei auch übermittelt, welche unserer Internetseiten Sie besucht haben.

Für die mit dem Abspielen eines Videos verbundene Verwendung von Daten Ihres Browsers bzw. Endgerätes verweisen wir auf die Datenschutzhinweise des Anbieters. Weitere Informationen zur Datenverarbeitung und Hinweise zum Datenschutz durch Vimeo finden Sie unter https://vimeo.com/privacy.15Dieser Abschnitt ist nur erforderlich, wenn die Schulhomepage Videos von Vimeo nutzt. Der Zweck ist entsprechend anzupassen. Wird die Schulhomepage mit WordPress betrieben und das Plugin „Embed videos and respect privacy“ genutzt, so sollte darauf hingewiesen werden, dass Daten erst bei Abspielen des Videos erhoben werden.

Google Fonts

Unsere Homepage verwendet zur Darstellung der Schrift sogenannte Webfonts.16In Analysetools wie https://webbkoll.dataskydd.net/en erkennen Sie dieses an fonts.googleapis.com unter Hosts. Bereitgestellt werden diese von Google (http://www.google.com/webfonts/). 17Bei vielen Anbietern von Homepagebaukästen wie 1&1, Strato und ähnlich, werden die Google Webfonts standardmäßig eingesetzt, da sie optisch gefällige Seitenlayouts ermöglichen. Sie können auch nicht deaktiviert werden. Deshalb muss die Nutzung der Webfonts in der Datenschutzerklärung ausgewiesen werden.Beim Aufrufen unserer Website lädt Ihr Browser die benötigten Webfonts von einem Google Server in Ihren Browsercache, wobei Informationen aus Ihrem Browser an Google zurückfließen. Durch die Google Webfonts kann Ihr Browser eine optisch verbesserte Darstellung unserer Texte anzeigen. Falls Ihr Browser diese Funktion nicht unterstützt, wird eine Standardschrift von Ihrem Computer geladen und zur Anzeige des Textes genutzt. [Die Funktion ist uns durch den Websiteanbieter vorgegeben und kann nicht deaktiviert werden.]18Falls Sie nicht in der Lage sind, die Webfonts abzuschalten, dann ergänzen Sie diesen Satz.

Weitergehende Informationen zu Google Webfonts finden Sie unter https://developers.google.com/fonts/faq?hl=de-DE&csw=1

Allgemeine Informationen zum Thema Datenschutz bei Google finden sie unter http://www.google.com/intl/de-DE/policies/privacy/

Learning Apps

Auf unserer Website integrieren wir interaktive Online Übungsangebote der schweizer Lernplattform https://www.LearningApps.org, um diese im Unterricht zu nutzen oder als zusätzliche Übungsangebote für zu Hause anzubieten. Beim Aufrufen der Seiten mit den Übungen werden Daten Ihres Browsers bzw. Ihres Endgerätes an LearningApps als Drittanbieter übermittelt. Es werden dabei mehrere Cookies gesetzt und Anbieter weiterer Dienste kontaktiert. Zu diesen zusätzlichen Diensten, welche LearningApps nutzt, gehört Google Analytics. Die Nutzung von Google Analytics kann über die Webseite von LearningApps unterbunden werden. Weitere Informationen zur Datenverarbeitung und Hinweise zum Datenschutz durch Learning Apps finden Sie unter https://learningapps.org/rechtliches.php

LearningSnacks

Auf unserer Webseite integrieren wir interaktive Übungen von https://www.learningsnacks.de, um unseren Schülern ein zusätzliches Übungsangebot für den Unterricht zu machen. Beim Aufrufen der Seiten mit den Übungen werden Daten Ihres Browsers bzw. Ihres Endgerätes an LearningSnacks als Drittanbieter übermittelt.  Es werden dabei mehrere Cookies gesetzt und Anbieter weiterer Dienste kontaktiert. Zu diesen zusätzlichen Diensten, welche LearningSnacks nutzt, gehören die freien Schriftarten Google Fonts. Beim Aufruf von Webseiten oder Diensten, welche Google Fonts nutzen, werden Daten des Nutzers an Google weitergeleitet. Weitere Informationen zur Datenverarbeitung und Hinweise zum Datenschutz durch Learning Apps finden Sie unter https://www.learningsnacks.de/#/impressum?channel=Learning%20Snacks

E-Mail

Wenn Sie unsere Schule über eine der auf der Homepage angegebenen E-Mail Adressen kontaktieren, werden die Daten der E-Mail von uns gespeichert, bis die Bearbeitung Ihrer Anfrage abgeschlossen ist. Bitte beachten Sie, dass per E-Mail über das Internet verschickte Daten ohne Verschlüsselung nicht vor der unbefugten Kenntnisnahme durch Dritte geschützt sind. Für die Übermittlung vertraulicher Informationen bitten wir Sie in Ihrem Interesse, eine andere Kommunikationsform zu wählen.19Dieses Modul ist kein Muss, trägt aber zur Information bezüglich dieser Form der Datenverarbeitung bei und klärt über die möglichen Risiken in Bezug auf den Schutz von personenbezogenen Daten auf.

Widerspruch Werbe-Mails

Wir widersprechen hiermit ausdrücklich der Nutzung von im Rahmen der Impressumspflicht veröffentlichten Kontaktdaten zur Übersendung von nicht ausdrücklich angeforderter Werbung und Informationsmaterialien. Im Falle einer unverlangten Zusendung von Werbeinformationen, etwa durch Spam-E-Mails,  behalten sich die Betreiber dieser Seiten ausdrücklich rechtliche Schritte vor.20Dieser Passus kann sinnvoll sein, um sich vor unerwünschten Werbe E-Mails zu schützen. Ob man den Abschnitt unter die Datenschutzerklärung setzen möchte, muss jede Schule für sich entscheiden.

 

Muss der Datenschutzbeauftragte auf die Schulhomepage?

Lesezeit: 2 Minuten

Die Europäische Datenschutz Grundverordnung (DS-GVO) ist zwar schon in Kraft, wird aber noch nicht umgesetzt. Am 25.05.2018 ist es soweit. Viele Schulen sind aus diesem Grund aktuell dabei, ihren Internetauftritt an die Vorgaben anzupassen. Dabei taucht auch immer wieder die Frage auf, muss auf der Homepage ein Datenschutzbeauftragter genannt werden?

Was sagen das Gesetz und die Literatur?

In dem Beitrag Oft gefragt: Muss der Datenschutzbeauftragte zwingend auf der Internetseite genannt werden? ging die itrecht Kanzlei München der Frage schon 2015 nach. Seinerzeit ließ sich aus dem BDSG keinerlei solche Notwendigkeit ableiten.

Aber mit der DS-GVO ändert sich dieses nun. Zwar gibt es auch hier keine Stelle im Gesetzestext, wo eine spezielle Erfordernis zur Veröffentlich auf der Webseite der Institution ausdrücklich benannt ist, doch Datenschutzexperten leiten aus anderen Aussagen eine Notwendigkeit ab. Art. 37 DSGVO Benennung eines Datenschutzbeauftragten führt in Abs. 7 aus:

„Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten …“

Eine entsprechende Passage findet sich im neuen Bundesdatenschutzgesetz §5 Benennung Abs. 5:

„Die öffentliche Stelle veröffentlicht die Kontaktdaten der oder des Datenschutzbeauftragten …“

Entsprechend kommen Datenschutzexperten zu dem Schluss:

„Ist ein DSB benannt, sind dessen Kontaktdaten (mindestens Anschrift, E-Mail-Adresse, nicht jedoch der Name, vgl. Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, Kap. 6, Rn. 19) zu veröffentlichen, z. B. auf der Website des Verantwortlichen.“

Koreng/Lachmann

„Eine spezielle Form der Veröffentlichung sieht das Gesetz nicht vor. Aus dem Zweck des Gesetzes folgt jedoch, dass beispielsweise ein Aushang am Unternehmenssitz nicht genügt. Vielmehr wird zu verlangen sein, dass die Angaben an gut auffindbarer Stelle in der WWW Seite gemacht werden (vergl. Helfrich in HK-EuDSchVO Art 37 Rn 129), etwa im Impressum und einer eventuellen Datenschutzerklärung.“ … „Zu den Kontaktdaten gehört nicht der Name des Datenschutzbeauftragten: Das Gesetz unterscheidet zwischen dem Namen und den Kontaktdaten des Datenschutzbeauftragten“

Kühling/Buchner

Als vertrauensbildende Maßnahme wird in dieser Literatur empfohlen, auch den Namen des DSB zu veröffentlichen.

Was bedeutet das für die Schulhomepage?

Es empfiehlt sich, auf der Schulhomepage entweder in der Datenschutzerklärung selbst oder im Impressum eine Angabe zum Datenschutzbeauftragten zu machen. Genannt werden kann dabei entweder der behördlich bestellte schulische Datenschutzbeauftragte oder eine Person aus der Schule, welche als Datenschutzbeauftragter benannt wurde.

Es ist dabei jedoch nicht erforderlich, den Namen der Person zu nennen. Anschrift und E-Mail Adresse genügen. Für Nutzer der Webseite wird es sicher schöner sein, wenn sie in Bezug auf den Datenschutz auch einen Namen finden, der für eine Person steht, an die man sich wenden kann. Wenn von Seiten des/der Datenschutzbeauftragten keine Einwände bestehen, sollte man dann auch den Namen nennen.

Youtube Videos auf Schulhomepage / Unterrichtsseite datenschutzkonform einbinden

Lesezeit: 3 Minuten

Videos spielen auf Internetseiten eine wichtige Rolle, da sie Inhalte anders darstellen können als Text, Audio oder Fotos. Deshalb findet man sie auch auf den Webseiten von Schulen und auf denen von Lehrkräften, die damit Materialien bereitstellen, z.B. Erklärvideos, um sie für Flipped Classroom Learnsettings zu nutzen. Meist werden die Video extern bei Youtube oder anderen Anbietern abgelegt und dann über einen Code in die eigene Webseite eingebettet. Das Problem dabei ist, bei der Einbettung eines Youtube Videos erhält auch ein Dritter, hier Youtube, Informationen über die Besucher der Webseite, auf welcher das Video eingebettet ist.

Grundsätzlich sollte entsprechend der DS-GVO bei einer Website der Schutz der personenbezogenen Daten durch die technische Gestaltung einer Webseite gefordert (Privacy by Design) und die Standardeinstellungen (Privacy by Default) gewährleistet sein.

Werden auf einer Webseite Daten erhoben und verarbeitet, was bei nahezu allen Webseiten der Fall ist, besteht nach der DS-GVO (Art. 13) für den Betreiber eine Informationspflicht gegenüber den Besuchern der Webseite. Dieses erfolgt in der Datenschutzerklärung, die von jeder Seite aus einfach zugänglich sein sollte.

Zusätzlich muss der Nutzer in die Erhebung der Daten nach DS-GVO (Art. 6, Abs. 1 a) einwilligen. Bei einem Kommentar kann dieses leicht über eine Checkbox und einen Text erfolgen.

Videos besser einbetten

21Ursprünglich hatte ich hier eine Erklärung stehen, wie man mit den Möglichkeiten von Youtube selbst die Daten des Webseitenbesuchers, welche durch die Einbettung eines Videos an Youtube abfließen, minimieren kann. Cookies werden bei dem Verfahren erst gesetzt, wenn das Video gestartet wird.  Nach einigen Hinweisen und weiterer Recherche zeigte sich, dass auch die vorgestellte Lösung nicht 100% perfekt war. Der Heise Beitrag Rote Karte für Webspione – YouTube-Videos datenschutzkonform einbetten zeigt (wie übrigens auch eine Webbkoll Analyse), dass doch Informationen fließen. Auch wenn durch das Youtube Video keine Cookies gesetzt werden, sind noch Tracker aktiv, die z.B. schon vorhandene Browser Cookies von Youtube oder Google auslesen und entsprechende Informationen daraus an ihr Netzwerk zurücksenden könnten. Auf nun vorgestellte Plugin hatte ich nur hingewiesen, da es mit unter Probleme mit dem Layout verursacht. Bei WordPress gibt es eine recht einfache Möglichkeit, Youtube Videos datenschutzkonform einzubetten, wenn das WordPress entweder eine Bezahlversion ist oder man es selbst hostet und so in der Lage ist, Plugins zu installieren. Was man braucht, ist das Pugin Embed videos and respect privacy.

Praktisch an diesem Plugin ist, dass man nichts weiter tun muss. Man integriert Youtube Videos wie gehabt über den Teilen Link, den die Plattform bereitstellt. Alle Videos, auch alte werden automatisch datenschutzkonform eingebunden. Eine Verbindung zwischen Besucher und Youtube kommt nicht zustande, keine Cookies, kein Tracking. Erst durch das Anklicken des Videos wird ein Cookie gesetzt und werden Daten an Youtube übertragen. Vorher passiert nichts.

Unter das Video setzt man einen Text, der darüber informiert und außerdem auf die Datenschutzerklärung verweist. In dieser wird entsprechend erklärt, dass für Videos von Youtube die Datenschutzbestimmungen des Anbieters Youtube gelten. Mit dem Anklicken, welches eine eindeutige bestätigende Handlung darstellt, erklärt sich der Nutzer mit den Datenschutzbestimmungen von Youtube einverstanden.22Art. 4 DSGVO Nr 11. „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist; 23Ob der Nutzer die Datenschutzerklärung tatsächlich gelesen hat und von dort zu der von Youtube gegangen ist, um auch diese zu lesen, bleibt ihm überlassen. Er hatte die Möglichkeit, wie auch bei Hinweisen auf die AGBs bei Online Shops.

Beispiel

Aktivieren Sie JavaScript um das Video zu sehen.
https://youtu.be/Qkf8vy1P0g8

Durch das Starten des Videos, willigst du ein, dass ein Cookie gesetzt und Daten an Youtube übermittelt werden. Weitere Informationen dazu findest du in der Datenschutzerklärung.

Video von Sebastian SchmidtYoutube Creative Commons Namensnennung Lizenz

Das bedeutet nun für die Betreiber der Webseiten von Schulen oder Unterrichtsseiten

Alle Youtube Videos sollten datenschutzkonform eingebettet sein in eine Webseite. Nutzt man WordPress in einer Form, bei welcher man Plugins installieren kann, so hat man keine Probleme.

Bei der kostenlosen WordPress Version muss man sich mit einem Vorschaubild des Videos und einem Link behelfen und hoffen, dass WordPress in seinen Bemühungen, die Plattform DS-GVO freundlich zu machen, auch eine entsprechende Lösung für das Einbinden von Youtube Videos schafft.

Was andere Plattformen für Webseiten angeht, wie auch die Videos anderer Anbieter, da braucht man andere Lösungen. Vimeo bietet aktuell kein vergleichbares Verfahren an. Alternativ könnte man auch hier einen Screenshot des Videos als Bild einbauen und entweder das Bild zum Video verlinken oder einen Textlink dazu unter das Bild setzen. Auch über eine Google Suche findet man vielleicht eine Lösung.

Man sollte auf jeden Fall dafür Sorge tragen, dass Besucher der Webseite, egal auf welcher Seite sie zuerst landen, dort immer die erforderlichen Informationen finden bezüglich Daten, die über eingebettete Dienste von ihnen erhoben werden könnten, wenn möglich, bevor die Daten fließen, so dass sie selbst entscheiden können.