Endlich klare Aussagen vom MSB NRW zu datenschutzrechtlichen Fragen

Lesezeit: 1 Minute

Es hat lange gedauert bis sich das Ministerium für Schule und Bildung NRW einmal umfänglich zu datenschutzrechtlichen Fragen im Zusammenhang mit der umstrittenen Genehmigung zur Verarbeitung von personenbezogenen Daten aus der Schule auf privaten Endgeräten von Lehrkräften äußert. Was geht und was geht nicht, wie sieht es mit Haftungsfragen aus? Antworten kommen auch zu vielen anderen Fragen: z.B. E-Mail Kommunikation mit Eltern über dienstliche und private E-Mail Adressen, Speicherung von Fotos von Schülern auf dem Smartphone, Nutzung von privaten Smartphones für Kommunikation mit Eltern, Fragen zu zulässigen Anwendungen, Zugriff auf Webanwendungen und die Genehmigung, und die Zulässigkeit von WhatsApp, Telegram und iMessage auf privaten Geräten, wenn sie dienstlich genutzt werden. Zu finden ist dieses unter

Da es an Schulen nicht nur viele Fragen zur Genehmigung gibt, sondern auch zu anderen Bereichen, wurden in einer zweiten Sammlung weitere Fragen zum Thema Datenschutz an der Schule aufgegriffen. Hier geht es um die Aufgaben von Datenschutzbeauftragten, Notelisten in Papierform am heimischen Arbeitsplatz, die Übermittlung von Elterndaten an die Schulpflegschaft, Office 365 im schulischen Einsatz, Videoüberwachung und elektronische Schließanlagen an der Schule.

Sicherlich werden verschiedene Akteure im Bereich Schule die Antworten unterschiedlich beurteilen. Es bleiben definitiv auch noch Fragen offen, doch es ist gut, dass das Ministerium zu den meisten Fragen sehr eindeutig Stellung bezogen hat. Mit diesen Antworten kann man planen und Entscheidungen fällen.

Auch zum Thema Schulhomepage gibt es einige (wenige) datenschutzrechtliche Aussagen vom Ministerium.

Daten zwischen kooperierenden Schulen per E-Mail übertragen – geht das?

Lesezeit: 4 Minuten

Folgende Frage erreichte mich: „Unsere Koop-Schule will von unseren Schülern, die rüber kommen, den Schild-Datensatz. Darf man das per Schild-Export und E-Mail übertragen und wenn ja, dann wie?“

Bevor es um die eigentliche Frage geht, kurz zur Rechtmäßigkeit der Datenübermittlung zwischen kooperierenden Schulen.

Dürfen Schulen einander personenbezogene Daten von Schülern übermitteln, wenn sie miteinander kooperieren?

In NRW setzen das Schulgesetz (SchulG NRW) und die VO-DV I enge Grenzen, bezüglich der Übermittlung von personenbezogenen Daten von Schülern. Das betrifft die möglichen Empfänger wie auch die Verfahren. §120 Abs. 5 Satz 1 SchulG NRW lässt eine Übermittlung unter folgenden Bedingungen zu:

Die in Absatz 1 Satz 1 genannten Daten dürfen einer Schule, […] nur übermittelt werden, soweit sie von diesen Stellen zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben benötigt werden.

Es muss also eine durch eine Rechtsvorschrift übertragene Aufgabe vorliegen, zu deren Erfüllung die personenbezogenen Daten von Schülern erforderlich sind, damit Daten übermittelt werden dürfen. Ein Kommentar zum SchulG NRW päzisiert dieses.

„Nur wenn die konkrete Form der Kooperation eine Übermittlung von personenbezogenen Daten erforderlich macht, beispielsweise weil gemeinsame Unterrichtsveranstaltungen im Sinne des § 4 Abs. 3 Satz 2 SchulG stattfinden, ist ein solcher Transfer nach Maßgabe des § 120 Abs. 5 Satz 1 SchulG zulässig. Insoweit findet dann die Regelung des § 6 Abs. 1 Satz 2 VO-DV I Anwendung.“1Katernberg in SchulG NRW – Kommentar, März 2008

In § 6 Abs. 1 Satz 2 VO-DV I2Satz 2 = Hervorhebung heißt es:

1) Bei einem Schulwechsel übermittelt die abgebende Schule der aufnehmenden Schule personenbezogene Daten aus dem Schülerstammblatt und dem sonstigen Datenbestand, soweit die Daten für die weitere Schulausbildung der Schülerin oder des Schülers erforderlich sind. Entsprechendes gilt bei der Kooperation von Schulen. Die Unterlagen selbst verbleiben bei der abgebenden Schule.

Die rechtliche Grundlage für die Übermittlung von personenbezogenen Daten der Schüler, welche an der Kooperationsschule unterrichtet werden, ist damit gegeben. Klar ist dabei jedoch auch, dass nur die Daten übermittelt werden dürfen, welche für die Erteilung des Unterrichts an der anderen Schule von dieser benötigt werden.3Alle anderen Daten dürfen nur auf der Grundlage einer Einwilligung der Betroffenen übermittelt werden. Beispiel: die andere Schule möchte wissen, ob unter den Schülern, die am Unterricht teilnehmen werden, Vegetarier sind, da man die eigene Mensa informieren möchte. (Es besteht hier keine Erforderlichkeit, die sich aus der Erfüllung einer Rechtsvorschrift ergibt.) In SchiLD NRW werden dazu nur die erforderlichen personenbezogenen Daten exportiert.

Übermittlungsverfahren

Eine Übermittlung von personenbezogenen Daten muss entsprechend dem Stand der Technik gesichert erfolgen. Die VO-DV I macht hier in §5 Absatz 2 entsprechende Vorgaben:

„Die Datenübermittlung kann schriftlich, mündlich, automatisiert oder auf Datenträgern erfolgen. Datenträger, die versandt werden, dürfen personenbezogene Daten nur enthalten, soweit diese für die Empfängerin oder den Empfänger bestimmt sind. Eine automatisierte Datenübermittlung kann auch über eine gemeinsam genutzte informationstechnische Basis-Infrastruktur erfolgen, sofern die technischen und organisatorischen Sicherheitsanforderungen des § 10 des Datenschutzgesetzes NordrheinWestfalen erfüllt werden. Eine Datenübermittlung auf Datenträgern bedarf einer Verschlüsselung nach dem aktuellen Stand der Technik. Automatisierte Verfahren, die die Übermittlung personenbezogener Daten durch Abruf ermöglichen, sind unzulässig.“

Der letzte Satz hat es in sich, denn einige Verfahren werden hier grundsätzlich ausgeschlossen. Gemeint sind dabei solche Verfahren,

„die die Übermittlung personenbezogener Daten durch Abruf einer anderen Stelle ermöglichen, bei denen also eine Übermittlung stattfindet, ohne dass die speichernde bzw. übermittelnde Stelle davon Kenntnis hat und verantwortlich entscheidet, ob eine Übermittlung erfolgen darf.“4Katernberg in SchulG NRW – Kommenfar, März 2015

Dieses wäre beispielsweise der Fall, wenn ein Freigabeordner in einer Cloud eingerichtet würde und dem Empfänger würden der Link und das Passwort dazu mitgeteilt. Die übermittelnde Stelle hätte keinerlei Kontrolle darüber, ob die Daten abgerufen werden und wer sie abruft.5Die Informationen zum Zugang könnten in falsche Hände geraten, zufällig gefunden werden, durch einen Fehler offenbar werden und ähnlich.

Darf der SchiLD NRW Export per E-Mail an die Kooperationsschule übertragen werden?

Unter den bei den meisten Schulen in NRW akutell gegeben Bedingungen ist von einer Übertragung per E-Mail dringend abzuraten. Es gibt jedoch Ausnahmen. Nutzen beide Schulen in einer Kommune oder Stadt den gleichen kommunalen/städtischen E-Mail Dienst und sind in der Lage, ihre E-Mails zu verschlüsseln, spricht nichts gegen eine Übermittlung per E-Mail. Sobald Logineo NRW zur Verfügung steht und von beiden Schulen genutzt wird, kann auch dessen E-Mail Funktionalität genutzt werden. Aber auch hier empfiehlt es sich, die E-Mails mit den sensiblen Schülerdaten zu verschlüsseln.

Es gibt Schulen, die Anbieter wie T-Online, Web.de oder GMX nutzen. Eine Übermittlung per E-Mail über diese oder vergleichbare E-Mail Anbieter, so wie man sie im Privatbereich nutzt, ist nicht zu empfehlen, auch nicht wenn die E-Mails verschlüsselt sind. In der Regel liegen E-Mails zumindest einige Tage auf dem E-Mail Server des Absenders, oft auch des Empfängers. Wird einer dieser Server gehackt und die Daten entwendet, ist nie sicher, was mit den Daten passiert. Selbst eine Verschlüsselung, die heute als sicher gilt, könnte in einigen Jahren zu knacken sein6siehe Quantum Computing, Künstliche Intelligenz und zu Problemen für die Betroffenen führen.

Siehe auch „E-Mail Kommunikation sicher nutzen

Lösungen

Auch wenn eine Übermittlung per E-Mail in den meisten Fällen aus Gründen der Sicherheit nicht möglich ist, lassen sich die Daten aus dem SchiLD Export in digitaler Form übermitteln.

Der einfachste Weg wird die Speicherung auf einem verschlüsselten USB Stick sein, der dann persönlich durch eine Lehrkraft an der kooperierenden Schule abgegeben wird. Wenn zwei Schulen kooperieren, werden sie in räumlicher Nähe zueinander liegen und dieser Weg sollte ohne Probleme möglich sein.7Denkbar wäre auch noch der postalische Versand eines verschlüsselten Datenträgers. Vermutlich ist das jedoch aufwändiger als eine persönliche Übergabe, da bei der postalischen Übermittlung das Passwort zum Entschlüsseln getrennt auf einem anderen Wege übermittelt werden müsste.

Nutzen beide Schulen eine sichere Cloud Lösung, über welche sie Daten austauschen können, ist auch dieses eine Möglichkeit.8Google Drive und Microsoft OneDrive wie auch Dropbox und ähnliche Anbieter gehören nicht zu diesen Lösungen, auch wenn sich die Daten dort verschlüsselt ablegen lassen. Die Gründe dafür liegen daran, dass es sich um nicht europäische Anbieter handelt, bei denen ein tatsächliche Einhaltung der DS-GVO nicht zu einhundert Prozent überprüfbar gewährleistet ist. Eine Nutzung für personenbezogene Daten im Rahmen der schulischen Verwaltung ist damit aktuell (November 2018) nicht zulässig.. Logineo NRW könnte in NRW eine solche Cloud Lösung sein. Nutzen beide Schulen eine Plattform wie kommunal/städtisch betriebenes Moodle, wäre auch dieses eine Möglichkeit. Hierbei muss das Verfahren so gestaltet werden, dass kein Konflikt mit der Vorgabe des letzten Satzes von VO-DV I §5 entsteht.9siehe oben

Ein gemeinsames Verzeichnis, auf welches nur die Sekretariate beider Schulen zugriff haben, wäre eine Möglichkeit.

Wie kann Schule das Problem mit E-Mails und Datenschutz pragmatisch lösen?

Lesezeit: 1 Minute

E-Mail ist ein wichtiges Kommunikationsmittel für Schulen, stellt sie aber gleichzeitig wegen der datenschutzrechtlichen Anforderungen für eine sichere Übermittlung von personenbezogenen Daten vor enorme, teilweise nicht lösbare Probleme. Im Themen Beitrag E-Mail Kommunikation sicher nutzen stelle ich pragmatische Lösungen vor, die für Schulen und Lehrkräfte umsetzbar sein sollten, ohne großes Expertenwissen, damit so etwas wie in der Grafik dargestellt, garantiert nicht vorkommt.

E-Mails werden mit Inhalten, die personenbezogene Daten aus der Schule enthalten, ohne jeglichen Schutz von einer privaten E-Mail Adresse an die Schule verschickt – ein absolutes NO GO.

E-Mail Kommunikation sicher nutzen

Lesezeit: 7 Minuten

Für Schulen ist und bleibt E-Mail eine wichtige Möglichkeit, Informationen zu übermitteln, innerhalb der Schule wie auch nach außen. Das große Problem dabei ist das Thema Sicherheit, wenn personenbezogene Daten übermittelt werden sollen.

E-Mails sind im Prinzip vergleichbar zu Postkarten, wenn sie nicht durch entsprechende Maßnahmen geschützt werden. Das bedeutet, derart transportierte Informationen sind auf dem Weg zum Empfänger offen einsehbar für jederman, der in der Lage ist, sie unterwegs abzufangen, sei es auf dem Weg vom Absender zum Server seines E-Mail Anbieters, auf dem Server selbst, wie auf dem weiteren Weg.

Beispiel: eine Lehrkraft schickt eine Notenliste als Anhang per E-Mail von einem privaten Konto an die Schule und es gibt keinerlei Sicherheitsmaßnahme. Das geht aus Sicht des Datenschutz gar nicht, denn das E-Mail, seine Inhalte und Anhänge liegen auf jeder Station des Weges offen, und es wurde ein Konto genutzt, welches für Übermittlung von personenbezogenen Daten aus der Schule nicht genutzt werden darf.

Allgemeine Informationen, die keine personenbezogenen Daten enthalten oder  „Betriebsgeheimnisse“ wie Entwürfe für Prüfungen oder ähnlich, können problemlos vollkommen ungesichert versandt werden, auch von privaten E-Mail Konten. Sobald es jedoch um personenbezogene Daten geht, ist das absolut nicht mehr möglich.

Dieser Beitrag soll für Schulen und Lehrkräfte alltagstaugliche Möglichkeiten aufzeigen, wie man die Übermittlung von personenbezogenen Daten per E-Mail absichern kann.

Der Königsweg – Verschlüsselung

Auch wenn dieser Weg sich in Schulen nur selten umsetzen lässt, soll er hier zumindest kurz vorgestellt werden. Verschlüsselt man ein E-Mail, z.B. mit PGP, ist das E-Mail samt Anhängen auf seinem kompletten Weg sicher, selbst wenn die Übertragungswege nicht 100% sicher sind. Würde ein verschlüsseltes E-Mail unterwegs abgefangen, müsste man sehr viel Energie aufbringen, um die Verschlüsselung zu knacken.

So würde die Kommunikation idealerweise ablaufen, mit maximaler Sicherheit durch Verschlüsselung.

So könnte die Lehrkraft problemlos eine Notenliste an die Schule senden oder die Schule eine Liste mit sensiblen Daten an das Schulamt zur Beantwortung einer Abfrage. Verschlüsselung setzt allerdings voraus, dass beide Seiten dazu in der Lage sind. Da das bisher nur äußerst selten der Fall ist, scheidet dieses Verfahren für Schulen und Lehrkräfte in der Regel aus. Aber es gibt andere Möglichkeiten.

Kommunikation innerhalb einer (sicheren) Mail Domain

Nutzen alle Beteiligten eine E-Mail Adresse aus der selben Domain, verläuft die Kommunikation in einem in sich geschlossenen Netz. Eine E-Mail Adresse aus der selben Domain erkennt man an der gleichlautenden E-Mail Endung nach dem @ Zeichen. Tauschen Personen, deren E-Mail beispielsweise auf @musterstadt.de endet, Informationen über diese E-Mail Adressen aus, bleiben alle Informationen auf einem E-Mail Server. E-Mail Server städtischer und kommunaler Verwaltungen sind in der Regel sichere E-Mail Server.

Selbst wenn ein E-Mail nicht verschlüsselt wird, ist die Übermittlung von Informationen auf diesem Weg sehr gut abgesichert, da in der Regel auch die Verbindungen zum Server und der Server selbst gut gesichert sind.

Von Seiten des Absenders und Empfängers gibt es in einem solchen System zwei Wege, um die Verbindung zum E-Mail Server abzusichern.

Gesicherte Verbindung vom E-Mail Client zum E-Mail Server

Wird zum Verschicken und Empfangen von E-Mails ein Client wie Outlook, Live Mail, Thunderbird, Mail oder ähnlich genutzt, muss in den Kontoeinstellungen darauf geachtet werden, dass die Verbindung zum Empfang (POP) und zum Versenden (SMTP) über SSL/ TLS / StartTLS gesichert ist.

Bei Thunderbird sieht die Kontoeinstellung für den Empfang von E-Mails mittels POP folgende Optionen für die Absicherung der Übertragung vor.
Auch für das Passwor gibt es mehrere Optionen. Diese hängen von den Möglichkeiten des E-Mail Servers ab.

Entscheidend ist grundsätzlich in allen hier beschriebenen Szenarien immer auch die Wahl eines sicheren Passwortes.

Nutzung des Web Mailer Zugriffs auf den E-Mail Server

Wer keinen E-Mail Client nutzen will oder kann oder sich nicht in der Lage fühlt, die Sicherheitseinstellungen anzupassen, der hat nahezu immer die Möglichkeit, über einen Webmailer auf das E-Mail Konto zuzugreifen. So arbeitet man direkt auf dem E-Mail Server. Wichtig ist hierbei, dass die Verbindung zwischen Browser und E-Mail Server sicher ist. Das ist nur der Fall, wenn https:// genutzt wird.

Ein Beispiel für einen Webmailer Zugriff über die Outlook Web App.

Auch hier ist ein sicheres Passwort unverzichtbar.

Empfehlung für Schulen zur Kommunikation mit kommunaler Verwaltung

Da dieser Weg sehr sicher ist, auch ohne eine Verschlüsselung von E-Mail Inhalten empfiehlt es sich, wenn in einer Schule zumindest das Sekretariat über eine E-Mail Adresse aus der Domain der städtischen oder kommunalen Verwaltung verfügt. In den meisten Fällen nutzt auch das Schulamt diese E-Mail Domain. Besser noch ist es, wenn auch schulische Funktionsträger eine solche E-Mail Adresse haben.10 Ideal ist es für Schulen, wenn der Schulträger allen Lehrkräften eine solche E-Mail Adresse zur Verfügung stellt, falls keine andere Lösung für die Schule verfügbar ist. Zu beachten ist hierbei, dass zwischen Schule und Schulträger bzw. Stadt oder Kommune ein Vertrag zur Auftragsdatenverarbeitung bezüglich der Nutzung der E-Mail Konten abzuschließen ist. Alle E-Mail Kommunikation zwischen Schule und Schulträger kann dann sehr sicher durchgeführt werden.

Empfehlung für Schulen zur internen Kommunikation

Auch für dienstliche E-Mail Kommunikation innerhalb der Schule, ob zwischen Lehrkräften oder Verwaltung und Lehrkräften sollte ein solches System genutzt werden. In NRW wird Logineo NRW eine solche Plattform bieten. Office 365 (mit Cloud) scheidet aktuell aus Gründen des Datenschutz leider für die Kommunikation personenbezogener Daten aus der Schule komplett aus.11Achtung, damit ist nicht gemeint, dass man nicht Outlook in sicherer Anbindung an einen anderen E-Mail Server für eine sichere Übermittlung von personenbezogenen Daten aus der Schule nutzen kann. Gemeint sind hier die mit der Cloud Version verbundenen E-Mail Server von Microsoft.. Wichtig ist, dass Schulen mit dem Anbieter ihres E-Mail Dienstes einen Vertrag zur Auftragsverarbeitung abschließen und einen sicheren Anbieter nutzen.

E-Mail Kommunikation mit Empfängern in fremden E-Mail Domains absichern

Selbst wenn der E-Mail Server des eigenen Anbieters sowie die Kommunikation zu diesem sehr sicher ist, man weiß nie, wie sicher der E-Mail Server des Empfängers ist, der Weg dorthin oder dessen Kommunikation mit seinem E-Mail Server.

Grundsätzlich sollte man sich bei Empfängern außerhalb der eigenen E-Mail Domain NIE auf eine sichere Kommunikation verlassen.

Die Fälle, bei denen personenbezogene Daten an Stellen außerhalb der eigenen E-Mail Domain kommuniziert werden müssen, sind nicht selten. Man kann sie absichern. Auch wenn die vorgestellten Schutzmöglichkeiten einen geringeren Schutz bieten als eine Verschlüsselung des E-Mails und seines Inhaltes selbst, bieten sie doch eine gute Möglichkeit, E-Mails mit weniger sensiblen personenbezogenen Daten angemessen sicher zu übermitteln.

Anhänge als ZIP Archiv versenden

Auf allen Betriebssystemen ist es möglich, Dateien in ein passwort geschütztes ZIP Archiv zu packen. Dafür kann man entweder Funktionen des Betriebssystems selbst nutzen oder kostenlose Zusatzprogramme.

So kann die Lehrkraft eine Schülerliste recht sicher an die Schule übermitteln, auch wenn die Sicherheit auf dem Weg nicht 100% gewährleistet ist.

Wichtig sind hierbei zwei Dinge. Das Passwort

  1. muss sicher sein.
  2. darf nicht im gleichen E-Mail übermittelt werden. Idealerweise sollte es auf anderem Wege mitgeteilt werden.

Außerdem ist zu beachten, dass das E-Mail selbst, sowie der Betreff, keine sensiblen personenbezogenen Daten Informationen enthalten, da nur der Anhang geschützt ist.

Achtung! Beim Versand an Empfänger in Verwaltungen werden ZIP Dateien oft ausgefiltert, da die Schutzsysteme der Verwaltungen die ZIP Dateien aufgrund des Passwortschutzes nicht auf Schadsoftware durchleuchten können. 

Word und Excel Dateien mit Passwort vor Einsicht schützen

Die Textverarbeitung und Tabellenkalkulation von Mircrosoft werden in Schule, städtischen und kommunalen Verwaltungen sowie privat sehr oft genutzt. Sie bieten in der Installationsversion die Möglichkeit, Dateien mit Passwort vor unberechtigter Kenntnisnahme der Inhalte zu schützen.

Entscheidend ist auch hier bei, die Wahl eines sicheren Kennwortes und eine separate Übermittlung desselben.

So ließe sich eine Abfrage des Schulamts, welches eine auszufüllende Excel Tabelle geschickt hat, relativ sicher beantworten.

Achten Sie auch bei diesem Verfahren darauf, dass das E-Mail selbst, sowie der Betreff, keine sensiblen personenbezogenen Daten Informationen enthält, da nur der Anhang geschützt ist.

Handlungsempfehlung für Schulen und Lehrkräfte

Wie oben gezeigt, ist es durchaus möglich, personenbezogene Daten aus der Schule bei der Übermittlung per E-Mail zu schützen. Wenn Sie sich an folgende Regeln halten, sollten Sie auf der sicheren Seite sein.

  • Nutzen Sie kein privates E-Mail Konto, um personenbezogene Daten aus der Schule zu übermitteln.12Aus Sicht des Datenschutz ist dieses nicht zulässig. Eine Lehrkraft darf für die Übermittlung von personenbezogenen Daten nur Dienste nutzen, für welche es einen Vertrag zur Auftragsdatenverarbeitung zwischen Schule und Anbieter gibt. Das kann bei einem privaten E-Mail Konto nie der Fall sein.
  • Sichern Sie Ihren Computer, von welchem aus Sie E-Mails versenden (ob über Webmailer oder Client) immer vor fremden Zugriffen durch Personen oder Schadsoftware (Viren, Trojaner) ab.
  • Schützen Sie den Zugang zu Ihrem E-Mail Konto immer durch ein sicheres Passwort.
  • Versenden Sie personenbezogene Daten niemals per E-Mail ohne Schutzmaßnahmen außer Sie kommunizieren innerhalb einer E-Mail Domain und nutzen dabei den Zugang über den Webmailer und achten auf eine sichere Verbindung. Nutzen Sie alternativ einen E-Mail Client als Zugang, müssen Sie sicherstellen, dass die Verbindung im Client sicher eingestellt ist.
  • Leiten Sie E-Mails mit personenbezogenen Daten aus einem dienstlichen E-Mail Konto niemals auf eine private E-Mail Adresse weiter.13Was man tun kann, wenn man nicht ständig über einen Webmailer in das dienstliche Konto schauen möchte, um zu sehen, ob neue Nachrichten eingegangen sind, ist die Einrichtung einer Benachrichtigung. Dann sendet das dienstliche E-Mail Konto eine Nachricht an ein von Ihnen gewähltes privates Konto und weist auf den Eingang einer neuen Nachricht hin.
  • Wenn Sie nicht in der Lage sind, E-Mails zu verschlüsseln, packen Sie die zu übermittelnden Inhalte in eine Datei, welche Sie in ein ZIP Archiv umwandeln und schützen Sie die Inhalte vor unberechtigter Kenntnisnahme mit einem sicheren Passwort, welches Sie dem Empänger auf anderem Wege mitteilen.
  • Arbeiten Sie mit Microsoft Office, können Sie Word und Excel Dateien mit einem Passwort vor unberechtigter Kenntnisnahme schützen und die Datei so per E-Mail versenden. Das Passwort übermitteln Sie getrennt, möglichst auf einem anderen Weg.

Welchen Weg Sie wählen, hängt von der Sensibilität der personenbezogenen Daten ab

Bitte berücksichtigen Sie bei einer Entscheidung, welche der oben beschriebenen Möglichkeiten Sie zur Übermittlung von personenbezogenen Daten nutzen wollen, grundsätzlich immer wie sensibel diese Daten sind. Je sensibler die Daten sind, umso größer muss der Schutz sein.

  • Fördergutachten und ähnlich dürfen ohnehin nicht auf privaten Computern verarbeitet werden. Sie dürfen deshalb auch nicht per E-Mail auf private Computer geschickt werden, außer Sie anonymisieren das Fördergutachten, indem Sie alle personenbezogenen Daten weglassen und durch Dummys ersetzen (z.B. NAME, ALTER, GESCHLECHT, …).14Auf diesem Wege können Sie Fördergutachten auch auf privaten Geräten  vorbereiten und dann gesichert an die Schule versenden.
  • Notenlisten, Einladungen zu Klassenkonferenzen, Förderempfehlungen und ähnlich können problemlos per E-Mail übermittelt werden, wenn alle Beteiligten auf einem gemeinsamen E-Mail Server arbeiten und idealerweise über den Webmailer mit sicherer Verbindung zugreifen.
  • Eine Liste der Teilnehmer an einer Klassenfahrt oder eine Liste mit Kuchenspenden und Elternamen, kann problemlos als ZIP Archiv per E-Mail übermittelt werden. Auch eine passwortgeschützte Word oder Excel Datei sind hier möglich. Im Idealfall sollte auch hier ein Webmailer Zugang genutzt werden. Das Verfahren ist durchaus auch vertretbar bei der Kommunikation mit Personen oder Stellen außerhalb der eigenen E-Mail Domain, wenn man sich sicher ist, dass dort ein hoher Sicherheitsstandard für E-Mails gewährleistet ist. Eine Übermittlung weniger sensibler Daten ist dann mit den Schutzmöglichkeiten (ZIP oder Word/Excel Passwort) vertretbar. Hier ist immer Augenmaß gefragt, wenn zu beurteilen ist, wie sensibel personenbezogene Daten sind.

Wenn es keine sichere Möglichkeit zur Übermittlung per E-Mail gibt, prüfen Sie Alternativen.

  • Das könnte ein gesichertes Verzeichnis auf einem Server sein, in welches man die Dateien mit personenbezogenen Daten hochlädt. Gesichert heißt auch, eine Verbindung mit https:// Entweder es ist ein eigenes Verzeichnis und der Empfänger erhält ein vorübergehendes Passwort und einen Link zum Abruf. Passwort und Link sollten selbstverständlich nicht gemeinsam übermittelt werden. Auch der umgekehrte Weg ist denkbar. Der Empfänger bietet ein sicheres Verzeichnis auf seinem Server an zum Upload.
  • Man kann verschlüsselte Dateien auch auf eine CD oder DVD brennen und diese dann postalisch versenden. So ist eine digitale Übermittlung möglich. Das Passwort wird auch hier auf einem anderen Weg mitgeteilt.

Version 1.0

DS-GVO – Datenschutz – welche Baustellen sind für Schulen aktuell wichtig?

Lesezeit: 6 Minuten

Mit Beginn der Umsetzung der Datenschutz Grundverordnung (DS-GVO) im Mai diesen Jahres begann für viele Schulen eine Zeit mit großen Unsicherheiten. Kann mir als Schule etwas passieren? Wo muss etwas getan werden? Sind Abmahnungen und Bußgelder in Millionenhöhe eine Gefahr und wie kann ich sie vermeiden? Vor allem die Homepages der Schulen wurden vielfach zum Sorgenkind, da sich hartnäckig Gerüchte über Abmahnungen für fehlende Datenschutzerklärungen und Datenerhebungen ohne Einwilligung hielten. Auch was Fotografien angeht, war und ist die Unsicherheit groß, wie Beispiele mit Fotoverboten bei Entlass- und Einschulungsfeiern und Massenlöschungen von Bildern auf Schulhomepages zeigen.

Mittlerweile hat sich die Aufregung gelegt. Manches wird klarer. Einige Reaktionen an Schulen waren vielleicht etwas übereilt und teilweise auch völlig überzogen, wenngleich verständlich und nachvollziehbar. Bei aller Aufregung um die Datenschutz Grundverordnung sollte jedoch nicht vergessen werden – im schulischen Alltag funktioniert der Datenschutz bisher mehrheitlich gut, und daran hat sich seit Mai diesen Jahres auch nichts geändert.

Nichts wird so heiß gegessen, wie es gekocht wird. Das gilt hier ebenso. Ganz sicher gibt es an fast jeder Schule Optimierungsbedarf beim Datenschutz, doch Schulen haben genug andere, drängendere Probleme zu bewältigen. Die folgende Übersicht soll vermitteln,  wo zeitnah Handlungsbedarf besteht und bei welchen Datenschutzthemen man es ruhiger angehen lassen kann.

Einwilligungen

Sie stellen das vermutlich dringlichste Thema dar, denn eine Schule muss nachweisen können, dass eine Einwilligung vorliegt, wenn personenbezogene Daten verarbeitet werden, die nicht auf gesetzlicher Grundlage (SchulG NRW, DS-GVO I & II) erhoben wurden. Nur so kann sie sich vor rechtlichen Folgen schützen. Alte Einwilligungen können, wenn sie gewisse Vorgaben erfüllen, weiter genutzt werden. Trifft das nicht zu oder es gibt gar keine Einwilligungen, sollte man mit gesundem Menschenverstand abwägen, ob es Sinn macht, die Einwilligung zu erneuern bzw. nachträglich einzuholen. Sind die Betroffenen noch Schüler bzw. Beschäftigte der Schule, sollte man auf jeden Fall aktuelle Einwilligungen dieser Personen haben, wenn es um neue Fotografien und Videos geht. Auch bei Zweckänderungen in der Verarbeitung von bereits erhobenen personenbezogenen Daten sollte man sich entsprechend durch eine Einwilligung absichern. Geht es um Bilder oder Berichte auf der Schulhomepage, die Personen sind nicht mehr an der Schule, haben sich aber nie beschwert, so belässt man die Dinge wie sie sind. Sollte irgendwann doch einmal ein Betroffener eine Löschung wünschen, kommt man dieser nach und das Thema ist damit in der Regel erledigt. Dass sich hieraus ein Rechtsstreit ergibt ist mit der DS-GVO nicht wahrscheinlicher geworden als zuvor.

Einwilligungen stehen hier an erster Stelle, da Betroffene vor Gericht auf Schadensersatz klagen können, wenn die Schule personenbezogene Daten ohne ihre Einwilligung verarbeitet und diese z.B. auf der Schulhomepage veröffentlicht oder an Dritte übermittelt.

Risiken minimieren

Auch wenn es insgesamt gut bestellt ist um den Datenschutz in der Schule, so beobachtet man doch immer wieder Praktiken, die riskant sind und zu viel Ärger und empfindlichen Strafen führen können, wenn es dann doch einmal schief geht. Gemeint sind folgende Bereiche:

  1. Keine personenbezogenen Daten per E-Mail versenden, wenn das E-Mail nicht verschlüsselt ist. Der Schulträger, die Verkehrsbetriebe oder eine andere Stelle benötigt eine Liste mit Teilnehmern oder das Schulamt fragt an wegen eines Schülers. Tabellen und Word Dokumente werden dann schnell verschickt. Es ist einfach und bequem – aber extrem unsicher! Auch wenn es mehr Arbeit macht, nutzen Sie einen sicheren Weg und wenn es per Brief ist oder Fax – falls Sie nicht in der Lage sind, E-Mails zu verschlüsseln.
  2. Transport von personenbezogenen Daten nur auf gesicherten Datenträgern! Einen USB Stick hat man schnell verloren, eine externe Festplatte bleibt auch einmal wo liegen. Ungesichert kann jeder den Inhalt auslesen. Falls man selbst keinen USB Stick verschlüsseln kann – es gibt solche mit integrierter Verschlüsselung. Sie kosten zwischen 20 und 30 € und sind einfach zu nutzen und sicher.
  3. Keine Aufnahmen von Schülerinnen und Schülern mal eben so! Es gibt viele schöne Projekte im Unterricht, wo es passend scheint, Aufnahmen zu anzufertigen, Bewegungsanalysen im Sportunterricht, ein Sketch im Fremdsprachunterricht und ähnlich. Auch wenn die Schüler nichts dagegen haben, sichert man sich besser durch eine Einwilligung ab. Man kann dieses bei der Anmeldung an der Schule machen oder später anlassbezogen nachholen. Besondere Anlässe benötigen immer eine anlassbezogene Einwilligung!
  4. Vor Veröffentlichung von personenbezogenen Daten – insbesondere Fotos und Videos – vergewissern, dass eine Einwilligung vorliegt! Wenn es an ihrer Schule Schüler oder Lehrkräfte gibt, die eine Einwilligung für die Veröffentlichung von personenbezogenen Daten generell oder bestimmten Formen (z.B. Fotos) nicht gegeben oder diese widerrufen haben, gehen sie vor jeder Veröffenlichung sicher, dass hier kein Fehler gemacht wird, denn dieses kann teuer werden. Wer nicht einwilligt oder eine Einwilligung widerruft, wird mit Sicherheit auf seinem Recht bestehen, auch vor Gericht.
  5. Melden sie ihre Schüler nicht mal einfach so auf irgendeiner Plattform an! Solange eine Plattform ohne Anmeldung mit personenbezogenen Daten genutzt werden kann, gibt es keine Probleme. Wenn sie für ihre Schüler ohne Einwilligung auf einer Plattform unter Verwendung personenbezogener Daten User anlegen, kann das Ärger geben. Bitte beachten sie, nach der DS-GVO sind in Deutschland Schüler selbst erst ab 16 Jahren einwilligungsfähig! Denken sie außerdem daran, dass die Nutzung einer externen Plattform mit personenbezogenen Daten eine Genehmigung durch die Schulleitung braucht und eventuell einen Vertrag zur Auftragsverarbeitung.
  6. Geben Sie keine personenbezogenen Daten ohne die entsprechende Einwilligung weiter! Eine Telefonliste für alle Eltern, die am ersten Elternabend anwesend sind, einschließlich der Telefonnummern der Eltern, die nicht anwesend sind, was ist schon dabei? Das örtliche Geldinstitut möchte gerne eine Teilnehmerliste der Zehner haben, die am Seminar in der Filiale teilnehmen. Kein Problem, oder? Leider doch. Schulen dürfen ohne Einwilligung nur personenbezogene Daten weitergeben, wenn dieses durch entsprechende Rechtsvorschriften abgedeckt ist, sonst nicht. Bevor also die Telefonliste herausgegeben wird an alle Eltern mit allen Nummern, muss erst die Einwilligung der fehlenden Eltern eingeholt werden. Bei den Zehnern braucht es die der Schülerinnen und Schüler, schriftlich, damit sie die Einwilligung nachweisen können.
  7. Vernichten bzw. löschen sie personenbezogene Daten sicher! Wenn personenbezogene Daten aus der Schule im Müll auftauchen oder auf dem Flohmarkt, gespeichert auf einer entsorgten Festplatte, dann kann das schwer ins Auge gehen. Deswegen sollten alle diese Unterlagen, ob in Form von Papier oder digitalen Medien sachgerecht und sicher entsorgt werden. In jedes Schulsekretariat gehört ein guter Schredder zumindest DIN 66399‎. Ausgediente digitale Medien sollte man entweder selbst physikalisch zerstören oder durch einen Profi Entsorger vernichten lassen. Gleiches gilt für gößere Aktenmengen. Schulträger haben die entsprechenden Kontakte. Sicheres Löschen bzw. Vernichten gilt auch für Lehrkräfte. Sollen digitale Medien weiter im Haus genutzt werden, müssen sie durch entsprechende Software sicher gelöscht werden. Gehen sie außer Haus ist eine Zerstörung bzw. professionelle Entsorgung der bessere Weg.
  8. Verzichten sie als Schule auf einen Facebook Auftritt – aktuell sieht es sehr danach aus, dass man als Betreiber einer eigenen Facebook Fanpage, und darunter fällt auch eine schulische Facebook Präsenz, Mitverantwortung für die Datenerhebung und -verarbeitung durch Facebook trägt. Wer der Schule übel will, könnte das ausnutzen, um rechtliche Schritte gegen die Schule einzuleiten.15Sollten sie nicht auf die Facebook Präsenz ihrer Schule verzichten wollen, so würde ich auf jeden Fall dringend von der Veröffentlichung irgendwelcher personenbezogener Daten von Schülern und Lehrkräften abraten, vor allem von Fotos und Videos.

Schulhomepage

Auch wenn es bei der Schulhomepage bezüglich des Datenschutz keine Angriffspunkte gibt, wegen derer eine Schule abgemahnt werden könnte, sollte man vorbeugen und die Verarbeitung von personenbezogenen Daten auf das notwendige Minimum reduzieren. Es empfiehlt sich sehr, auf Website Elemente zu verzichten, die Daten erheben und an Dritte weiterleiten und stattdessen auf datenschutzfreundliche Alternativen zu setzen. Wenn es doch nicht ohne geht, dann muss in der Datenschutzerklärung darüber informiert werden. Aktuell gehen rechtliche Risiken in Bezug auf die Schulhomepage weniger von Seiten des Datenschutz aus als von Verletzungen des Urheberrechts oder des Persönlichkeitsrechts. Viele Schulen waren hier schon aktiv und es sollte kaum noch Handlungsbedarf bestehen.

Vertrag zur Datenverarbeitung im Auftrag

Wenn Schulen personenbezogene Daten durch externe Dienstleister verarbeiten lassen, sei es der Hoster für die Website, der Schulträger für ein Lernmanagementsystem, die Office 365 Cloud, Apple für die Managed Apple IDs, Westermanns Leseplattform Antolin oder ähnlich, so muss dieser dazu beauftragt werden. Hier gibt es eine Vorgabe für Schulen in NRW in der VO-DV I §2 Abs. 316(3) Die Schulen und Schulaufsichtsbehörden sind berechtigt, unter Beachtung der Voraussetzung des § 11 DSG NRW die Datensicherheit gewährleistende und zuverlässige Institutionen mit der Verarbeitung ihrer Daten zu beauftragen. Die Datenverarbeitung im Auftrag ist nur zulässig nach Weisung der Schule oder der Schulaufsichtsbehörden und ausschließlich für deren Zwecke.. Das Mittel, um die Beauftragung zu dokumentieren, ist ein Vertrag zur Auftragsverarbeitung, der auch elektronisch abgeschlossen werden kann. Es ist gut, wenn man die entsprechenden Verträge hat. Wer wird es kontrollieren? Vermutlich niemand. Sollte es beim Anbieter zu einem Datenschutzvorfall kommen, ist man mit einem Vertrag aber eindeutig auf der sicheren Seite.

Verzeichnis von Verarbeitungstätigkeiten

Die DS-GVO macht die Vorgabe, diese Verzeichnisse zu erstellen. Was genau eine Verarbeitungstätigkeit von einer anderen abgrenzt, bleibt bislang unklar. Wird der Datenschutz besser durch dieses Verzeichnis? Wohl nicht. Anders als noch die alten Verfahrensverzeichnisse, müssen die neuen Verzeichnisse Betroffenen nicht offengelegt werden. Auch die Vorabkontrolle durch die Datenschutzbeauftragten gibt es nicht mehr. Wenn überhaupt, dann könnte die Aufsichtsbehörde sie anfordern. Aber auch damit ist nicht zu rechnen, denn die geringe Zahl der Mitarbeiter lässt der Aufsichtbehörde dafür kaum Zeit. Man muss sich um Betriebe kümmern. Und anders als bei öffentlichen Stellen, zu denen Schulen zählen, können Betriebe mit Bußgeldern belegt werden, wenn die Dokumentation fehlt oder nicht stimmig ist. Das heißt: Schulen können dieses Thema weit hintenanstellen. Wenn Zeit und Ressourcen da sind, lädt man die passenden Vorlagen herunter, füllt das Vorblatt und ergänzt oder streicht, wo erforderlich und gut ist.