NextCloud – Plattform – Datenschutz für Schulen mit Open Source

Lesezeit: 2 Minuten

NextCloud ist eine Open Source Plattform, die für Schulen gut geeignet ist, für Teamarbeit im Kollegium, zur Abbildung von schulischen Organisationsstrukturen und -abläufen und zur Durchführung von Unterricht. Die Plattform zeichnet sich durch Flexibilität aus, einfache Bedienung und sehr gute Sicherheitsmerkmale1300.000 Bedienstete der Bundesverwaltung nutzen die NextCloud statt Dropbox oder Google Drive.. Eine Dateiablage, ein ausgefeiltes Rechte- und Rollenmanagement für Nutzer und Ressourcen, Kollaborationswerkzeuge wie ein OnlineOffice, ein Messenger, ein Kalender, Verschlüsselung, 2-Faktor-Authentifizierung und weitere Module ermöglichen eine sichere Nutzung für Schüler und Lehrkräfte. Man kann die kostenlose Plattform als Schule selbst aufsetzen, durch den Schulträger oder einen von diesem beauftragten Dienstleister betreiben lassen oder man nimmt die Dienste eines anderen Anbieters in Anspruch. Neben diversen großen Webspace Anbietern gibt es auch Anbieter, die sich auf den Bereich Schule spezialisiert haben. Einer von diesen ist beispielsweise EduDocs aus Lübeck. Dort hat man die Möglichkeit, die schulische NextCloud so einzurichten, dass sie den datenschutzrechtlichen Vorgaben aus Westfalen entspricht.2Wer hier mehr Informationen haben möchte, kann mich gerne kontaktieren.  Da ich immer auf der Suche nach guten, datenschutzkonformen Lösungen bin, habe ich den Anbieter bei der Konzeption einer Lösung für Schulen in NRW, die sich ein wenig an Logineo NRW orientiert, in meiner Freizeit beraten. Disclaimer: Meine Beratung erfolgte rein idealistisch. Ich habe keinerlei finanzielle Vorteile von einer Nennung des Anbieters. Anders als bei großen internationalen Anbietern von Plattformen braucht eine Schule sich mit einer in Deutschland betriebenen NextCloud keine Sorgen machen wegen einer Verarbeitung von personenbezogenen Daten auf Servern außerhalb der EU und den damit einhergehenden datenschutzrechtlichen Problemen.

Die Nutzung einer schulischen NextCloud bedeutet auch immer, es werden personenbezogene Daten von Schülern und Lehrkräften verarbeitet. Dafür braucht es eine Einwilligung. In die Vorlage integriert sind eine Nutzungsvereinbarung und Informationen zur Datenverarbeitung in der NextCloud. Da sich die Nutzung für Schüler und Lehrkräfte deutlich unterscheidet, gibt es zwei Vorlagen.3Als Zugabe gibt es noch eine Vorlage für ein Nutzungskonzept Nutzungskonzept für NextCloud – EduDocs.docx Die Vorlage für Schüler ist zusätzlich in vereinfachter Sprache abgefasst, so dass auch Schüler und Personen mit geringeren Deutschkenntnissen die Informationen verstehen können.

Auf die Information nach Art. 13 bei der Anmeldung an der Schule kommt es an

Lesezeit: < 1 Minute

Bei der Anmeldung von Schülern an einer Schule werden umfänglich personenbezogene Daten erhoben. Entsprechend der Vorgaben von Art. 13 DSGVO Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person sind die Betroffenen zu informieren.

Ist man dieser Informationspflicht nachgekommen und es werden später im Laufe der Schulzeit anlassbezogene Einwilligungen eingeholt, kann auf einen Teil der nach Art. 13 vorgeschriebenen Informationen verzichtet werden, da sie bereits bei der Anmeldung umfänglich gegeben wurden.1„Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt.“ Art. 13 Abs. 4 DS-GVO

Bei einer anlassbezogenen Einwilligung könnte man dann auf folgende Punkte verzichten2Achtung – sämtliche andere Informationen müssen gegeben werden, um eine rechtswirksame Einwilligung einholen zu können. und damit die Einwilligung deutlich verkürzen:

  • Kontaktdaten des Verantwortlichen (und eventuell des Vertreters)
  • Kontaktdaten des Datenschutzbeauftragten
  • Information über die Rechte der Betroffenen gegenüber der Schule (Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht gegen die Verarbeitung, Recht auf Datenübertragbarkeit)
  • Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird
  • Beschwerderecht bei einer Aufsichtsbehörde

In den Vorlagen für Einwilligungen könnten dann diese Punkte gelöscht werden. Es empfielt sich jedoch, auf die Möglichkeit hinzuweisen, die Informationen entsprechend Art. 13 in der Schule jederzeit zu erhalten oder auf der Schulhomepage einsehen zu können.3Auch ein Hinweis auf den Ablageort auf der Schulhomepage wäre sinnvoll.

Ausführliche Informationen zur Erstellung einer Einwilligung finden sich unter Wie erstellt man eine datenschutzrechtlich korrekte Einwilligung für Schule?

Sind Einwilligungen jetzt nur noch ab 16 Jahren möglich?

Lesezeit: < 1 Minute

Die europäische Datenschutz Grundordnung berücksichtigt den Schutz der personenbezogenen Daten von Kindern und Jugendlichen besonders und hat deshalb, zum Selbstschutz der Kinder, mit einer Altersvorgabe geregelt, ab wann sie eine rechtswirksame Einwilligung abgeben können. In Art. 8 Abs. 1 wird ein Mindestalter angegeben und unter welchen Bedingungen diese Vorgabe gilt. An vielen Stellen liest man, dass dadurch nun rechtswirksame Einwilligungen von Kindern generell erst ab Vollendung des 16. Lebensjahres abgegeben werden können. Bisher gängige Praxis in Schulen war, dass man die Entscheidung, ob ein Kind eigenständig eine Einwilligung abgeben kann, von der Einwilligungsfähigkeit abhängig machte, unter Berücksichtigung der Komplexität der Datenverarbeitungsprozesse und der Tragweite der mit einer Einwilligung verbundenen Entscheidung. Die Einwilligungsfähigkeit setzte man so bei etwa 14 bis 15 Jahren an. Bei nicht gegebener Einwilligungsfähigkeit war dann die Zustimmung bzw. Einwilligung der Eltern einzuholen.

Ist es nun seit Mai 2018 tatsächlich so, dass unsere Schülerinnen und Schüler jetzt grundsätzlich erst ab Vollendung des 16. Lebensjahres eine rechtswirksame Einwilligung abgeben können, egal ob es sich um Fotos für die Schulhomepage handelt oder um die Anmeldung an einer Plattform im Internet? Dieser Frage geht der Themenbeitrag Auswirkungen der DS-GVO auf die Einwilligungsfähigkeit von Schülern nach.

Auswirkungen der DS-GVO auf die Einwilligungsfähigkeit von Schülern

Lesezeit: 9 Minuten

Mit der zunehmenden Integration von digitalen Medien in den Unterricht kommt es immer häufiger vor, dass dabei personenbezogene Daten von Schülerinnen und Schülern verarbeitet werden sollen, zu deren Angabe sie nicht aufgrund einer Rechtsvorschrift verplichtet sind. Dann braucht es eine Einwilligung. Ob es die der Eltern sein muss oder ob die der Schüler ausreichend ist, hängt dabei grundsätzlich von der Einwilligungsfähigkeit der Schüler selbst ab. In diese Vorgaben des Schulgesetzes greift nun die Datenschutz Grundverordnung einschränkend ein. Bevor es um diese Änderung geht und wann genau sie greift, soll zunächst näher erklärt werden, was mit der Einwilligungsfähigkeit gemeint ist.

Was bedeutet Einwilligungsfähigkeit?

Das Schulgesetz NRW führt dazu aus:

„Minderjährige Schülerinnen und Schüler sind einwilligungsfähig, wenn sie die Bedeutung und Tragweite der Einwilligung und ihre rechtlichen Folgen erfassen können und ihren Willen hiernach zu bestimmen vermögen.“1§120 Abs. 2 Satz 3 SchulG NRW

Eine Altersvorgabe fehlt, denn bei der Einwilligungsfähigkeit kommt es sowohl auf den jeweiligen Entwicklungsstand des Minderjährigen an wie auch die Art, den Umfang, den Zweck und Verwendungszusammenhang der Daten, um welche es geht. Eine Orientierung, ab welchem Alter Kinder ihren Willen bestimmen können, findet sich jedoch in anderen Gesetzgebungen. Die Strafmündigkeit beginnt mit Vollendung des 14. Lebensjahres 2(§19 StGB, §1 Abs. 2 JGG und §3 JGG) und ab diesem Alter kann ein Kind auch eine eigene Entscheidung über ein religiöses Bekenntnis treffen3(§5 Satz 1 KErzG). Mit Vollendung des 15. Lebensjahres darf man Sozialleistungen beantragen und entgegennehmen4§36 Abs. 1 Satz 1 SGB I. Entsprechend heißt es in einem Kommentar zum Schulgesetz NRW:

„In der Regel dürfen jedenfalls vierzehn- oder fünfzehnjährige Schülerinnen und Schüler über die erforderliche Einwilligungsfähigkeit zum Beispiel hinsichtlich der Entscheidung verfügen, ob sie mit der Veröffentlichung von Fotos, auf denen sie abgebildet sind, auf der Schulhomepage einverstanden sind oder ob sie an einer wissenschaftlichen Befragung in der Schule teilnehmen wollen.“5Katernberg in SchulG NRW-Kommentar, März 2015

In vielen Schulen in NRW hat sich so ein Alter von 14 oder 15 Jahren für eine ausreichende Einwilligungsfähigkeit etabliert. Es empfiehlt sich jedoch, bei einer Entscheidung über sehr komplexe Datenverarbeitungsvorgänge, deren rechtliche Folgen Schüler mit 14 oder 15 eventuell doch nicht gänzlich in ihrer Tragweite abschätzen können, die Eltern vorher zumindest zu informieren. Je nach Fall kann es sinnvoll sein, zusätzlich die Einwilligung der Eltern einzuholen.6Sollen bei den Schülern Daten über die Eltern selbst erhoben werden, ist die Einwilligung der Eltern unumgänglich.7Wurde bei der Anmeldung an der weiterführenden Schule eine Einwilligung der Eltern bezüglich der Aufnahme und Veröffentlichung von Fotografien und personenbezogenen Daten auf der Schulhomepage und in der Presse eingeholt, so empfiehlt es sich darüber hinaus, die Einwilligung zu erneuern, sobald die Schüler 14 oder 15 Jahre alt sind, um ihnen die Wahrnehmung ihres Rechtes auf informationelle Selbstbestimmung zu ermöglichen. Schüler hierzu zu befähigen gehört auch zu den Aufgaben einer Schule.

Genau bei der oben erwähnten Einwilligungsfähigkeit bezüglich komplexer Datenverarbeitungsvorgänge greifen nun die Vorgaben der DS-GVO in die bestehenden Regelungen des Schulgesetzes ein.

Art. 8 Abs. 1 DS-GVO

Mit Umsetzung der Datenschutz Grundverordnung seit Mai 2018 sind die Vorgaben des SchuG zur Einwilligungsfähigkeit eingeschränkt worden, jedoch nicht generell, sondern nur auf einen bestimmten Bereich bezogen. In Art. 8 Abs. 1 heißt es,

„Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat.“

Die DS-GVO macht hier eine genaue Altersvorgabe, Vollendung des 16. Lebensjahres. In Artikel 6 Absatz 1 Buchstabe a geht es um die Einwilligung als Voraussetzung für eine Verarbeitung von personenbezogenen Daten. Zur Anwendung kommt diese Vorgabe, wenn einem Kind Dienste der Informationsgesellschaft direkt angeboten werden.

Während nach dem Schulgesetz die Einwilligungsfähigkeit des minderjährigen Schülers einzelfallbezogen beurteilt wird, in Abhängigkeit von der Fähigkeit des Schülers zu selbständigem und verantwortungsbewusstem Handeln und Art und Zweck der Daten, um die es geht, normiert Art. 8 Abs. 1 nun die Altersgrenze für die Einsichtsfähigkeit minderjähriger Personen auf die Vollendung des 16. Lebensjahres, dieses allerdings nur wenn es um ein direktes Angebot von Diensten der Informationsgesellschaft geht. Damit soll der Schutz der personenbezogenen Daten von Kindern sichergestellt werden8Siehe entsprechend Erwägungsgrund 38 „Ein solcher besonderer Schutz sollte insbesondere die Verwendung personenbezogener Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die Kindern direkt angeboten werden, betreffen.“.

Was sind Dienste der Informationsgesellschaft?

Leider definiert die DS-GVO den Begriff nicht selbst. Über einen Verweis in Art. 4 Nr. 25 DSGVO auf die EU-Richtlinie 2015/1535 lässt sich der Rechtsbegriff näher bestimmen. In der Richtlinie aus dem Jahr 20159RICHTLINIE (EU) 2015/1535 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 9. September 2015 und dort Art. 1 Nr. 1 lit. b heißt es:

„„Dienst“ eine Dienstleistung der Informationsgesellschaft, d. h. jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung.“

Aus der Definition und den weiteren Ausführungen dazu in der Richtlinie10Im Sinne dieser Definition bezeichnet der Ausdruck
i) „im Fernabsatz erbrachte Dienstleistung“ eine Dienstleistung, die ohne gleichzeitige physische Anwesenheit der Vertragsparteien erbracht wird;
ii) „elektronisch erbrachte Dienstleistung“ eine Dienstleistung, die mittels Geräten für die elektronische Verarbeitung (einschließlich digitaler Kompression) und Speicherung von Daten am Ausgangspunkt gesendet und am Endpunkt empfangen wird und die vollständig über Draht, über Funk, auf optischem oder anderem elektromagnetischem Wege gesendet, weitergeleitet und empfangen wird;
iii) „auf individuellen Abruf eines Empfängers erbrachte Dienstleistung“ eine Dienstleistung die durch die Übertragung von Daten auf individuelle Anforderung erbracht wird.
ergeben sich fünf Voraussetzungen, die kumulativ zu erfüllen sind11„kumulativ zu erfüllen“ bedeutet, alle fünf Vorraussetzungen sind zu erfüllen., damit die Altersvorgabe, Vollendung des 16. Lebensjahres, für eine rechtswirksame Einwilligung von Minderjährigen bindend ist.

„Das Angebot muss eine

  1. in der Regel gegen Entgelt,
  2. elektronisch,
  3. im Fernabsatz,
  4. auf individuellen Abruf eines Empfängers erbrachte
  5. Dienstleistung

darstellen.“12Buchner/ Kühling in: Kühling/Buchner Art. 4 Nr. 25 DS-GVO Rn. 4

Alle online angebotenen Plattformen stellen Dienstleistungen dar, die elektronisch bereitgestellt werden, auf den individuellen Abruf eines Nutzers. Bis auf Ausnahmen erbringt der Nutzer dafür eine Gegenleistung (ein Entgelt) und da er dazu nicht physisch am gleichen Ort weilt wie der Anbieter, handelt es sich um Fernabsatz. Selbst kostenlose Online Angebote und Apps sind in der Regel nicht wirklich kostenlos nutzbar, auch wenn es keine Geldzahlung zwischen Dienstnehmer und Dienstgeber gibt.

„Für die Bejahung des Merkmals „in der Regel gegen Entgelt erbracht“ genügt es daher, wenn sich der betreffende Dienst durch Werbung oder durch den Handel mit Nutzerdaten oder anderweitig (quer-)finanziert.“ 13Buchner/Kühling in: Kühling/Buchner Art. 4 Nr. 25 DS-GVO Rn. 6

Direkt angeboten, meint?

Auch wenn man die Formulierung so verstehen könnte, dass es nur um Angebote geht, die speziell auf Kinder ausgerichtet sind, so ist man sich in der Fachliteratur doch einig, dass auch Angebote gemeint sind, die sich sowohl an Kinder als auch an Erwachsene richten 14Vielmehr werden Dienste, die sowohl an Erwachsene als auch an Kinder adressiert (dual use) sind, unzweifelhaft erfasst.“ Buchner/Kühling in: Kühling/Buchner Art. 8 DS-GVO Rn. 16 oder an die Allgemeinheit wie etwa Youtube, Instagram, Facebook oder WhatsApp. Nicht betroffen von der Regelung nach Art. 8 Abs. 1 sind hingegen Angebote, die sich eindeutig an Erwachsene oder auch Jugendliche ab 16 Jahren richten und dieses über Altersbeschränkungen oder entsprechende Nutzungsbedingungen deutlich machen.15S. zu diesem Hinweis Greve in Eßer/Kramer/ v. Lewinsky Art. 8 Rn. 9

Was bedeutet dieses für die schulische Praxis?

Wie aus den Ausführungen deutlich geworden sein sollte, gilt die Vorgabe aus Art. 8 Abs. 1 nicht für sämtliche Einwilligungen bezüglich der Verarbeitung von personenbezogenen Daten von Kindern und Jugendlichen, mit welchen man es im schulischen Alltag zu tun hat. Sie gilt nur für einen bestimmten, eingegrenzten Bereich.

Wo Art. 8 Abs. 1 ganz sicher nicht wirksam ist

Die Mehrheit der bisher üblichen Einwilligungen bezüglich der Aufzeichnung, Verarbeitung und Veröffentlichung von personenbezogenen Daten ist von der Regelung nicht betroffen. Will eine Schule Fotos machen, Tonaufnahmen oder Videos und diese im Internet veröffentlichen, egal, ob es um die Schulhomepage geht, um YouTube oder Flickr, so reicht es weiterhin sich bezüglich einer Einwilligung an der Einwilligungsfähigkeit der Schüler zu orientieren. Gleiches gilt auch bei Einwilligungen in die Teilnahme an wissenschaftlichen Untersuchungen oder zur Verarbeitung von personenbezogenen Daten in einem schulischen Lernmanagementsystem. Ein schuleigenes Moodle ist von der Vorgabe aus Art. 8 Abs. 1 genauso wenig betroffen wie ein von der Schule im Unterricht offiziell genutztes Office 365 mit Cloud, iServ oder auch Logineo NRW. Von schulischen Geräten aus lassen sich viele Plattformen nutzen, ohne das Art. 8 Abs. 1 ins Spiel kommt. Dazu gehören auch Angebote wie Kahoot, die mit Fantasienamen genutzt werden können, oder Plattformen, bei denen die Anmeldung mittels Single Sign-on erfolgt.

Wo Art. 8 Abs. 1 wirksam ist

In dem Moment, wo es um Online Angebote oder Apps (mit Online Anbindung) geht, die einem Dienst der Informationsgesellschaft im oben beschriebenen Sinne entsprechen und es sind zur Nutzung personenbezogene Daten erforderlich, dann können Schüler entsprechend Art. 8 Abs. 1 erst ab Vollendung des 16. Lebensjahres selbst eine Einwilligung zu Nutzung bzw. Anmeldung abgeben. Die bisher vorausgesetzte Einwilligungsfähigkeit mit 14 oder 15 Jahren reicht in diesen Fällen nicht aus. Hier ist vor der Nutzung des Angebotes bzw. Dienstes die Einwilligung oder Zustimmung durch die Eltern einzuholen. Ein gutes Beispiel hier für ist ZUM.de, definitiv kein kommerzieller Anbieter, zur Finanzierung der Plattform wird jedoch Werbung geschaltet. Möchte man mit Schülern unter 16 Jahren an einem Wiki auf der Plattform arbeiten, brauchen die Schüler eine schriftliche Einwilligung der Erziehungsberechtigten, auch wenn als Benutzername nur ein Pseudonym verwendet wird.16Auch Pseudonyme sind personenbezogene Daten. ZUM handelt hier sehr vorbildlich und gibt in seiner Datenschutzerklärung vor, dass eine Einwilligung durch die Lehrkräfte einzuholen ist.

In Schulen mit BYOD Projekten kommen personenbezogene Daten immer dann ins Spiel, wenn Apps installiert oder Online Plattformen genutzt werden. Sobald bei diesen entweder Werbung geschaltet ist, die Nutzung kostenpflichtig für die Schüler ist oder vermutet werden muss, dass die Nutzerdaten durch den Anbieter zu Geld gemacht werden, gilt die Vorgabe aus Art. 8 Abs. 1. Warum ist das so? Bei persönlichen Geräten ist der Nutzer immer über das Gerät identifizierbar. Selbst wenn keine Anmeldung mit Nutzername und Passwort erforderlich ist, werden über eine Abfrage der Gerätedaten personenbezogene Daten des Geräteeigners erhoben. Das ist auch der Fall, wenn ein App erst heruntergeladen wird. Und damit sind alle fünf Bedingungen, wie oben vorgestellt, erfüllt. Werbung meint dabei übrigens nicht nur fremde Werbung, sondern auch solche für inApp Käufe oder andere Produkte des Betreibers des Apps oder der Online Plattform.

Auch wenn eine Schule mit schuleigenen Accounts arbeitet, und diese werden mit Klarnamen gebildet, etwa lisa.schneider@musterschule-blaustadt.de, kann die Vorgabe der DS-GVO wirksam werden. Möchte man im Unterricht eine kommerzielle Plattform/App mit einem eingeschränkten, kostenlosen Angebot nutzen und auf der Seite bzw. im App wird die Nutzung der Zahlversion beworben, dann gilt, Einwilligung erst ab Vollendung des 16. Lebensjahres. Dabei ist es egal, ob man aus dem PC Raum arbeitet oder in der Klasse von schuleigenen Mobilgeräten.

Es gibt immer wieder Fälle, wo Lehrkräfte im Unterricht Schüler bitten, sich mit ihren privaten E-Mail Accounts bei einer tollen Online Plattform anzumelden. „Dann kann ich euch in meine Klassengruppe einladen. Und ihr könnt euch auch zu Hause einloggen und seht, wie weit ihr gekommen seid.“ Beispiele dafür können Trainingsplattformen für Mathematik oder Sprachen sein, die kommerzielle Absichten verfolgen. Auch Sofatutor fällt darunter. 

Man ist immer auf der sicheren Seite, dass Art. 8 Abs. 1 nicht gilt, wenn

  • keine personenbezogenen oder personenbeziehbare Daten im Spiel sind, d.h.
    • es wird nicht von einem privaten Gerät gearbeitet oder
    • es wird von einem schulischen Gerät ohne Nutzung eines personenbeziehbaren Nutzeraccounts gearbeitet
  • die Plattform bzw. das online angebundene App
    • keine Werbung enthält, auch nicht für Angebote des Anbieters der Plattform bzw. des Apps
    • keine Nutzerdaten erhoben und kommerziell verwertet werden17Hier für muss man die Datenschutzerklärung des Online Angebots bzw. Apps finden und studieren. Auch die AGB/TOS bieten Hinweise.
    • keine Nutzungsgebühr erhebt18Diese könnte auch durch das Beantworten von Fragen oder auf andere Art und Weise durch den Nutzer abgegolten werden.

Man sollte sehr genau hinsehen, wenn

  • es sich um die kostenfreie Variante eines sonst kostenpflichtigen Angebotes handelt
  • das Angebot kostenlos und sehr umfangreich ist, und unklar bleibt, wie der Anbieter sich finanziert.

Wenn man sich nicht sicher ist

Ist man sich nicht sicher, ob ein Dienst, in den Bereich der Regelung von Art. 8 Abs. 1 fällt, empfielt es sich, die Einwilligung grundsätzlich erst ab Vollendung des 16. Lebensjahres bei den Schülern selbst und vorher zumindest die Einwilligung oder Zustimmung der Eltern einzuholen.19Thomas Feil, ein Fachanwalt für IT-Recht und Arbeitsrecht und externer Datenschutzbeauftragter bei Unternehmen und  Behörden empfiehlt Unternehmen in seiner Broschüre „Leitfaden zur Umsetzung der Datenschutzgrundverordnung„, unter Dienst „im Zweifel jeden Onlinedienst zu verstehen (§ 1 Abs. 1 Satz 1 Telemediengesetz)“.

Eine wichtige Ausnahme

Nach Erwägungsgrund 38 Satz 3 sollen Kindern Präventions- und Beratungsdienste auch weiterhin ohne das Wissen der Eltern zu Verfügung gestellt werden können. Diese sind also von der Vorgabe von Art. 8 Abs. 1 ausgenommen. Sucht man also im Unterricht entsprechende Angebote auf und Kinder machen von diesen unter Nutzung von ihren eigenen personenbezogenen Daten Gebrauch, so ist dieses in Ordnung.

Kinder und Jugendliche haben ein Recht auf informationelle Selbstbestimmung

Auch wenn man im Netz an verschiedenen Stellen Aussagen findet, welche die Art. 8 Abs. 1 dahingehend interpretieren, dass die Vorgabe grundsätzlich für alle Online Angebote gilt oder gar für jegliche Einwilligung in die Verarbeitung personenbezogener Daten, so sollte man hier doch differenzieren. Sicherlich könnte man in einer Schule sämtliche Einwilligungen bei den Eltern einholen, solange die Schüler unter 16 Jahre alt sind. Es soll sogar Schulen geben, die grundsätzlich jede Einwilligung bei den Eltern einholen, solange die Schüler noch nicht volljährig sind. Es fragt sich nur, ob dieses im Sinne der Erziehungs- und Bildungsauftrags von Schule ist. Zur Medienkompetenz gehört auch ein schrittweises Heranführen an informationelle Selbstbestimmung. Diese ist ein Grundrecht und auch von Kindern und Jugendlichen. Selbst wenn Eltern eines Grundschulkindes in seine Teilnahme an einer wissenschaftlichen Befragung eingewilligt haben, hat dieses Kind in Ausübung seines Rechtes auf informationelle Selbstbestimmung jederzeit die Möglichkeit, die Teilnahme zu verweigern oder abzubrechen. Und so sollte man auch Einwilligungen, ob es nur um das Foto für die Schulhomepage geht oder die Nutzung bzw. Anmeldung an einem schulischeigenen Moodle, Schülern überlassen, sobald sie über eine ausreichende Einwilligungsfähigkeit verfügen.

 

 

 

 

 

„Auswirkungen der DS-GVO auf die Einwilligungsfähigkeit von Schülern“ weiterlesen

Wie erstellt man eine datenschutzrechtlich korrekte Einwilligung für Schule?

Lesezeit: 5 Minuten

Achtung! Diese Seite ist noch „work in progress“ – inhaltlich ist alles OK. Die Seite hat jedoch noch nicht die endgültige Form.

Eine Einwilligung selbst zu erstellen, ist eigentlich nicht schwierig, wenn man sich an die Vorgaben hält. Damit das einfacher geht, wird hier vorgestellt, was zu einer datenschutzrechtlich korrekten Einwilligung gehört.

Grundsätzlich gilt, damit eine Einwilligung wirksam ist, werden Freiwilligkeit, Bestimmtheit, Informiertheit und Einwilligungsbewusstsein vorausgesetzt. Bestimmtheit und Informiertheit sind dabei gerade für die Gestaltung der Einwilligung die zentralen Begriffe. Eine Einwilligung muss deshalb so gestaltet sein, dass der Betroffene ausreichend informiert wird, um selbst abschätzen zu können, wie groß das datenschutzrechtliche Risiko der Datenverarbeitung ist, zu welcher die Einwilligung gegeben werden soll. Informiert werden muss in der Einwilligung somit darüber,

  • wer verantwortlich ist,
  • welche Art bzw. Arten von Daten
  • in welchem Umfang und
  • zu welchem Zweck bzw. welchen Zwecken
  • in welcher Weise

verarbeitet werden sollen. Anzugeben ist auch wie lange die Daten aufbewahrt bzw. wann sie gelöscht werden. Werden die Daten an Dritte übermittelt, ist anzugeben, an wen sie zu welchen Zwecken übermittelt werden sollen. Geht es um verschiedene Datenarten und Formen der Verarbeitung müssen jeweils alle die genannten Informationen gegeben werden.

Bei komplexen Datenverarbeitungsprozessen kann es sinnvoll sein, ein separates Informationsblatt zu erstellen, auf welches in der Einwilligung ausdrücklich verwiesen wird. Dieses Informationsblatt verbleibt dann bei den Betroffenen. Somit erhalten die Betroffenen eine Möglichkeit, sich auch nachträglich noch einmal über die Datenverarbeitung und ihre Rechte als Betroffene gegenüber der Schule zu informieren.

In Bezug auf das Einwilligungsbewusstsein ist auch das Alter der Betroffenen zu berücksichtigen. Freiwilligkeit hat mit dem Gegenstand der Einwilligung zu tun und Handlungsalternativen.

1) Formularname/ -überschrift

Aus dem Titel des Formulares sollte hervorgehen, dass es sich um eine datenschutzrechtliche Einwilligung handelt und welches ihr Gegenstand ist.

2) Kontaktdaten und Datenschutzbeauftragter

Diese Informationen sind an einer Schule vor allem bei Einholung der ersten Einwilligung von Bedeutung. Wurde den Erziehungsberechtigten bei der Anmeldung ihres Kindes an der Schule ein Informationsschreiben nach Art. 13 DS-GVO ausgehändigt, in welchem diese Informationen enthalten sind, kann bei weiteren Einwilligungen auf diese Angaben verzichtet werden. Schulname und Ort sollten jedoch immer genannt werden, damit klar ist, welches die verantwortliche Stelle ist.1Es kann durchaus Fälle geben, wo eine Schule ein Einwilligungsformular ausgibt, welches nicht von der Schule selbst stammt. Das könnte ein Einwilligungsformular des Schulträgers, eines Mensa Betreibers oder Anbieters anderer Dienste sein. Um hier keine Verwirrung zu stiften, sollte deshalb aus dem Kopfbereich des schulischen Einwilligungsformulars immer klar hervorgehen, dass eine Einwilligung gegenüber der Schule abgegeben werden soll.

3) Die Schulleitung ist verantwortlich

Entsprechend VO-DV I §3 Abs. 2 Satz 2

„Die Einwilligung ist schriftlich gegenüber der Schulleitung zu erklären.“

muss aus der Einwilligung hervorgehen, dass sie gegen über der Schulleitung als verantwortlicher Person abgegeben wird. Das geschieht am einfachsten, indem im Formular die Schulleitung um die Einwilligung ersucht. Für Lehrkräfte bedeutet dieses, eine Einwilligung kann und sollte nur mit Kenntnis der Schulleitung eingeholt werden.

4) Betroffener

Aus der Einwilligung muss hervorgehen, wer Betroffener ist. Wird die Einwilligung bezüglich personenbezogener Daten eines Schülers eingeholt, muss dieser dort eingetragen werden und zwar so, dass eine Verwechslung ausgeschlossen ist.

5) Welche personenbezogenen Daten für welchen Zweck

Betroffene sind zu informieren, um welche personenbezogenen Daten (Art und Umfang) es genau geht, etwa Fotos, und für welchen Zweck und in welcher Weise diese verarbeitet werden sollen. Das kann man am besten in einem kurzen leicht verständlichen Text erläutern. Werden personenbezogene Daten an Dritte übermittelt, ist hier eine gute Stelle, darauf hinzuweisen. Dabei sollte der Empfänger genannt werden wie auch der Zweck der Übermittlung z.B. Übermittlung der Portraitfotos an die Firma XYZ zum Druck der Schülerausweiskarten.

Wichtig ist bei der Angabe der Art der personenbezogenen Daten und des Zweckes, dass dieses nicht zu allgemein gehalten ist.2„Eine Einwilligungserklärung, deren Gegenstand nicht hinreichend bestimmt ist, ist unwirksam, …“ Katernberg in SchulG NRW-Kommentar, März 2015

Anfertigung von Fotos für die Nutzung durch die Schule.“ geht nicht, denn es ist nicht klar, welche Art von Fotos für welchen Zweck in welcher Weise genutzt werden sollen. Geht es um Einzelfotos oder um Gruppenfotos, sind sie für Öffentlichkeitsarbeit gedacht z.B. über die Homepage oder in Form von Zeitungsberichten, für die Schulverwaltung etwa in SchiLD, für allgemeine Information in der Schule in Form einer Fotowand oder was auch immer?

Anfertigung von Einzel- und Gruppenfotos für einen Zeitungsbericht in der Lokalpresse über den Vorlesewettbewerb unter Angabe von Vor- und Zunamen.“ ist hier präziser.

6) Auswahlmöglichkeit

Damit Betroffene eine Wahlmöglichkeit haben, sollte das Formular eine Auswahlmöglichkeit bieten bezüglich der personenbezogenen Daten, die verarbeitet werden sollen und der Zwecke und Formen. Vielleicht ist die betroffene Person damit einverstanden, dass Fotos zur Öffentlichkeitsarbeit für die Tageszeitung verwendet werden können, jedoch nicht im Internet und auch nicht unter Nennung des Namens. Durch eine Ankreuzmöglichkeit oder Ja/ Nein  bei den einzelnen Wahlmöglichkeiten, gibt man den Betroffenen eine Möglichkeit ihre Auswahl kenntlich zu machen.

6.1 Rechteeinräumung

Auch wenn das mit Datenschutz nicht direkt zu tun hat, ist es bei Fotos und Videos sinnvoll, unter diesem Bereich auch noch einen Hinweis bezüglich der Rechteeinräumung zu geben. In Schule erfolgt die Rechteeinräumung in der Regel ohne Vergütung. Angegeben werden kann hier zusätzlich, ob die Rechteeinräumung ein Recht zur Bearbeitung, soweit nicht entstellend, einschließt oder nicht.3Aus der Praxis empfielt es sich, dass Betroffene der Schule ein Bearbeitungsrecht einräumen, da nur so noch Fehler korrigiert und Bildausschnitte und vor allem Bildeinstellungen bezüglich Helligkeit, Farben, Schärfe etc. verändert werden können.

6.2 Weitere Informationen

Wenn nicht 5) nicht bereits darauf hingewiesen, macht es Sinn, spätestens hier Angaben zu machen bezüglich einer Namensnennung bei Fotos, etwa dass man Klassenfotos nur mit einer alphabetischen Liste der Nachnamen veröffentlicht.

6.3 Informationen bezüglich Veröffentlichung im Internet

Geht es um die Veröffentlichungen von personenbezogenen Daten im Internet, sollte im Sinne einer umfassenden Information auch immer ein datenschutzrechtlicher Hinweis zu möglichen Auswirkungen, die dieses haben kann, gegeben werden.4Ein Standardtext dafür lautet „Bei einer Veröffentlichung im Internet können die personenbezogenen Daten (einschließlich Fotos) jederzeit und zeitlich unbegrenzt weltweit abgerufen und gespeichert werden. Die Daten können damit etwa auch über so genannte  „Suchmaschinen“ aufgefunden werden. Dabei kann nicht ausgeschlossen werden, dass andere Personen oder Unternehmen die Daten mit weiteren im Internet verfügbaren personenbezogenen Daten verknüpfen und damit ein Persönlichkeitsprofil erstellen, die Daten verändern oder zu anderen Zwecken verwenden.“

7) Hinweis auf Widerrufssmöglichkeit und Löschfristen

Betroffene müssen auf die Möglichkeit hingewiesen werden, ihre Einwilligung jederzeit zu widerrufen. Dazu gehören auch Informationen über die Auswirkung des Widerrufs auf bereits verarbeitete Daten und bis wann gegebenfalls ein Widerruf möglich ist, um wirksam zu sein (z.B. bei Druckwerken). Außerdem muss über Löschfristen aufgeklärt werden. Wichtig ist auch die Angabe, wo und in welcher Form die Betroffenen Widerspruch einlegen können.

Wie die Löschfristen angegeben werden, hängt von den Daten und dem Zweck ab. Videoaufnahmen werden in der Regel maximal bis zum Ende des Schuljahres aufbewahrt. Bei Fotos hängt es davon ab, wie sie genutzt werden. Klassenfotos für die Homepage der Schule wird man vielleicht länger als der betroffene Schüler an der Schule ist, dort belassen wollen.

8) Freiwilligkeit der Einwilligung

Eine Einwilligung sollte in Schule immer freiwillig sein, also ohne Zwang. Dafür muss es eine Handlungsalternative geben.5In bestimmten Fällen kann es hier aber Ausnahmen geben. Wenn ein Schulträger ein Freizeit Ticket anbietet, führt eine Nichteinwilligung zum Verzicht auf das Ticket. Darauf kann man schon hinweisen. Letztlich ist der Verzicht bei einem freiwilligen Angebot, eine Handlungsalternative. Bei einer Lernplattform, die nicht als Lehrmittel durch ein Bundesland eingeführt worden ist, besteht die Alternative darin, alle Materialien in Papierform zu erhalten.

9) Rechte der betroffenen Person

Betroffene sind auf die von der DS-GVO vorgebenen Rechte gegenüber der datenverarbeitenden Stelle hinzuweisen. Das sind das Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung , ein Widerspruchsrecht gegen die Verarbeitung und ein Recht auf Datenübertragbarkeit. Und dazu kommt noch ein Beschwerderecht bei der Aufsichtsbehörde.

10) Ort, Datum und Unterschrift

Damit klar ist, wann die Einwilligung abgegeben wurde, sollte ein Datum angegeben werden, üblicherweise geschieht dieses mit einer Ortsangabe. Bei Schülern unter 14 Jahren unterschreiben die Eltern. Je nach Datenart und Verarbeitungszweck unterschreiben bei Schülern ab 14 Jahren diese alleine oder gemeinsam mit den Eltern. Hier spielen Einsichtsfähigkeit des Schülers und Komplexität der geplanten Datenverarbeitung eine Rolle. Muss man davon ausgehen, dass ein Schüler auch mit 14 oder 15 Jahren die Folgen und Tragweite einer Einwilligung nicht abschätzen können, sollten immer auch die Eltern mit unterschreiben.


Es sind einige Informationen, die so gegeben werden müssen, damit eine Einwilligung rechtswirksam ist. Das macht Einwilligungsformulare lang und kostet Platz und Papier. Es gibt jedoch durchaus Möglichkeiten, eine Einwilligung inhaltlich zu verkürzen, wenn den Betroffenen bereits entsprechende Informationen an anderer Stelle, etwa bei der Anmeldung an der Schule gegeben wurden. Wie dieses genutzt werden kann, erklärt der Beitrag Auf die Information nach Art. 13 bei der Anmeldung an der Schule kommt es an.

v.1.1

Die Einwilligung

Lesezeit: < 1 Minute

Im Schulalltag werden die meisten personenbezogenen Daten auf gesetzlicher Grundlage verarbeitet. Es gibt jedoch viele Fälle, wo personenbezogene Daten benötigt werden, deren Verarbeitung nicht zu den durch das Schulgesetz und die Verordnungen zur Datenverarbeitung legitimiert ist. Vielfach kommt so etwas im Zusammenhang mit Unterricht vor. Hier erfahren Sie alles, was man zum Thema Einwilligung im schulischen Alltag wissen sollte.

DS-GVO – Datenschutz – welche Baustellen sind für Schulen aktuell wichtig?

Lesezeit: 6 Minuten

Mit Beginn der Umsetzung der Datenschutz Grundverordnung (DS-GVO) im Mai diesen Jahres begann für viele Schulen eine Zeit mit großen Unsicherheiten. Kann mir als Schule etwas passieren? Wo muss etwas getan werden? Sind Abmahnungen und Bußgelder in Millionenhöhe eine Gefahr und wie kann ich sie vermeiden? Vor allem die Homepages der Schulen wurden vielfach zum Sorgenkind, da sich hartnäckig Gerüchte über Abmahnungen für fehlende Datenschutzerklärungen und Datenerhebungen ohne Einwilligung hielten. Auch was Fotografien angeht, war und ist die Unsicherheit groß, wie Beispiele mit Fotoverboten bei Entlass- und Einschulungsfeiern und Massenlöschungen von Bildern auf Schulhomepages zeigen.

Mittlerweile hat sich die Aufregung gelegt. Manches wird klarer. Einige Reaktionen an Schulen waren vielleicht etwas übereilt und teilweise auch völlig überzogen, wenngleich verständlich und nachvollziehbar. Bei aller Aufregung um die Datenschutz Grundverordnung sollte jedoch nicht vergessen werden – im schulischen Alltag funktioniert der Datenschutz bisher mehrheitlich gut, und daran hat sich seit Mai diesen Jahres auch nichts geändert.

Nichts wird so heiß gegessen, wie es gekocht wird. Das gilt hier ebenso. Ganz sicher gibt es an fast jeder Schule Optimierungsbedarf beim Datenschutz, doch Schulen haben genug andere, drängendere Probleme zu bewältigen. Die folgende Übersicht soll vermitteln,  wo zeitnah Handlungsbedarf besteht und bei welchen Datenschutzthemen man es ruhiger angehen lassen kann.

Einwilligungen

Sie stellen das vermutlich dringlichste Thema dar, denn eine Schule muss nachweisen können, dass eine Einwilligung vorliegt, wenn personenbezogene Daten verarbeitet werden, die nicht auf gesetzlicher Grundlage (SchulG NRW, DS-GVO I & II) erhoben wurden. Nur so kann sie sich vor rechtlichen Folgen schützen. Alte Einwilligungen können, wenn sie gewisse Vorgaben erfüllen, weiter genutzt werden. Trifft das nicht zu oder es gibt gar keine Einwilligungen, sollte man mit gesundem Menschenverstand abwägen, ob es Sinn macht, die Einwilligung zu erneuern bzw. nachträglich einzuholen. Sind die Betroffenen noch Schüler bzw. Beschäftigte der Schule, sollte man auf jeden Fall aktuelle Einwilligungen dieser Personen haben, wenn es um neue Fotografien und Videos geht. Auch bei Zweckänderungen in der Verarbeitung von bereits erhobenen personenbezogenen Daten sollte man sich entsprechend durch eine Einwilligung absichern. Geht es um Bilder oder Berichte auf der Schulhomepage, die Personen sind nicht mehr an der Schule, haben sich aber nie beschwert, so belässt man die Dinge wie sie sind. Sollte irgendwann doch einmal ein Betroffener eine Löschung wünschen, kommt man dieser nach und das Thema ist damit in der Regel erledigt. Dass sich hieraus ein Rechtsstreit ergibt ist mit der DS-GVO nicht wahrscheinlicher geworden als zuvor.

Einwilligungen stehen hier an erster Stelle, da Betroffene vor Gericht auf Schadensersatz klagen können, wenn die Schule personenbezogene Daten ohne ihre Einwilligung verarbeitet und diese z.B. auf der Schulhomepage veröffentlicht oder an Dritte übermittelt.

Risiken minimieren

Auch wenn es insgesamt gut bestellt ist um den Datenschutz in der Schule, so beobachtet man doch immer wieder Praktiken, die riskant sind und zu viel Ärger und empfindlichen Strafen führen können, wenn es dann doch einmal schief geht. Gemeint sind folgende Bereiche:

  1. Keine personenbezogenen Daten per E-Mail versenden, wenn das E-Mail nicht verschlüsselt ist. Der Schulträger, die Verkehrsbetriebe oder eine andere Stelle benötigt eine Liste mit Teilnehmern oder das Schulamt fragt an wegen eines Schülers. Tabellen und Word Dokumente werden dann schnell verschickt. Es ist einfach und bequem – aber extrem unsicher! Auch wenn es mehr Arbeit macht, nutzen Sie einen sicheren Weg und wenn es per Brief ist oder Fax – falls Sie nicht in der Lage sind, E-Mails zu verschlüsseln.
  2. Transport von personenbezogenen Daten nur auf gesicherten Datenträgern! Einen USB Stick hat man schnell verloren, eine externe Festplatte bleibt auch einmal wo liegen. Ungesichert kann jeder den Inhalt auslesen. Falls man selbst keinen USB Stick verschlüsseln kann – es gibt solche mit integrierter Verschlüsselung. Sie kosten zwischen 20 und 30 € und sind einfach zu nutzen und sicher.
  3. Keine Aufnahmen von Schülerinnen und Schülern mal eben so! Es gibt viele schöne Projekte im Unterricht, wo es passend scheint, Aufnahmen zu anzufertigen, Bewegungsanalysen im Sportunterricht, ein Sketch im Fremdsprachunterricht und ähnlich. Auch wenn die Schüler nichts dagegen haben, sichert man sich besser durch eine Einwilligung ab. Man kann dieses bei der Anmeldung an der Schule machen oder später anlassbezogen nachholen. Besondere Anlässe benötigen immer eine anlassbezogene Einwilligung!
  4. Vor Veröffentlichung von personenbezogenen Daten – insbesondere Fotos und Videos – vergewissern, dass eine Einwilligung vorliegt! Wenn es an ihrer Schule Schüler oder Lehrkräfte gibt, die eine Einwilligung für die Veröffentlichung von personenbezogenen Daten generell oder bestimmten Formen (z.B. Fotos) nicht gegeben oder diese widerrufen haben, gehen sie vor jeder Veröffenlichung sicher, dass hier kein Fehler gemacht wird, denn dieses kann teuer werden. Wer nicht einwilligt oder eine Einwilligung widerruft, wird mit Sicherheit auf seinem Recht bestehen, auch vor Gericht.
  5. Melden sie ihre Schüler nicht mal einfach so auf irgendeiner Plattform an! Solange eine Plattform ohne Anmeldung mit personenbezogenen Daten genutzt werden kann, gibt es keine Probleme. Wenn sie für ihre Schüler ohne Einwilligung auf einer Plattform unter Verwendung personenbezogener Daten User anlegen, kann das Ärger geben. Bitte beachten sie, nach der DS-GVO sind in Deutschland Schüler selbst erst ab 16 Jahren einwilligungsfähig! Denken sie außerdem daran, dass die Nutzung einer externen Plattform mit personenbezogenen Daten eine Genehmigung durch die Schulleitung braucht und eventuell einen Vertrag zur Auftragsverarbeitung.
  6. Geben Sie keine personenbezogenen Daten ohne die entsprechende Einwilligung weiter! Eine Telefonliste für alle Eltern, die am ersten Elternabend anwesend sind, einschließlich der Telefonnummern der Eltern, die nicht anwesend sind, was ist schon dabei? Das örtliche Geldinstitut möchte gerne eine Teilnehmerliste der Zehner haben, die am Seminar in der Filiale teilnehmen. Kein Problem, oder? Leider doch. Schulen dürfen ohne Einwilligung nur personenbezogene Daten weitergeben, wenn dieses durch entsprechende Rechtsvorschriften abgedeckt ist, sonst nicht. Bevor also die Telefonliste herausgegeben wird an alle Eltern mit allen Nummern, muss erst die Einwilligung der fehlenden Eltern eingeholt werden. Bei den Zehnern braucht es die der Schülerinnen und Schüler, schriftlich, damit sie die Einwilligung nachweisen können.
  7. Vernichten bzw. löschen sie personenbezogene Daten sicher! Wenn personenbezogene Daten aus der Schule im Müll auftauchen oder auf dem Flohmarkt, gespeichert auf einer entsorgten Festplatte, dann kann das schwer ins Auge gehen. Deswegen sollten alle diese Unterlagen, ob in Form von Papier oder digitalen Medien sachgerecht und sicher entsorgt werden. In jedes Schulsekretariat gehört ein guter Schredder zumindest DIN 66399‎. Ausgediente digitale Medien sollte man entweder selbst physikalisch zerstören oder durch einen Profi Entsorger vernichten lassen. Gleiches gilt für gößere Aktenmengen. Schulträger haben die entsprechenden Kontakte. Sicheres Löschen bzw. Vernichten gilt auch für Lehrkräfte. Sollen digitale Medien weiter im Haus genutzt werden, müssen sie durch entsprechende Software sicher gelöscht werden. Gehen sie außer Haus ist eine Zerstörung bzw. professionelle Entsorgung der bessere Weg.
  8. Verzichten sie als Schule auf einen Facebook Auftritt – aktuell sieht es sehr danach aus, dass man als Betreiber einer eigenen Facebook Fanpage, und darunter fällt auch eine schulische Facebook Präsenz, Mitverantwortung für die Datenerhebung und -verarbeitung durch Facebook trägt. Wer der Schule übel will, könnte das ausnutzen, um rechtliche Schritte gegen die Schule einzuleiten.1Sollten sie nicht auf die Facebook Präsenz ihrer Schule verzichten wollen, so würde ich auf jeden Fall dringend von der Veröffentlichung irgendwelcher personenbezogener Daten von Schülern und Lehrkräften abraten, vor allem von Fotos und Videos.

Schulhomepage

Auch wenn es bei der Schulhomepage bezüglich des Datenschutz keine Angriffspunkte gibt, wegen derer eine Schule abgemahnt werden könnte, sollte man vorbeugen und die Verarbeitung von personenbezogenen Daten auf das notwendige Minimum reduzieren. Es empfiehlt sich sehr, auf Website Elemente zu verzichten, die Daten erheben und an Dritte weiterleiten und stattdessen auf datenschutzfreundliche Alternativen zu setzen. Wenn es doch nicht ohne geht, dann muss in der Datenschutzerklärung darüber informiert werden. Aktuell gehen rechtliche Risiken in Bezug auf die Schulhomepage weniger von Seiten des Datenschutz aus als von Verletzungen des Urheberrechts oder des Persönlichkeitsrechts. Viele Schulen waren hier schon aktiv und es sollte kaum noch Handlungsbedarf bestehen.

Vertrag zur Datenverarbeitung im Auftrag

Wenn Schulen personenbezogene Daten durch externe Dienstleister verarbeiten lassen, sei es der Hoster für die Website, der Schulträger für ein Lernmanagementsystem, die Office 365 Cloud, Apple für die Managed Apple IDs, Westermanns Leseplattform Antolin oder ähnlich, so muss dieser dazu beauftragt werden. Hier gibt es eine Vorgabe für Schulen in NRW in der VO-DV I §2 Abs. 32(3) Die Schulen und Schulaufsichtsbehörden sind berechtigt, unter Beachtung der Voraussetzung des § 11 DSG NRW die Datensicherheit gewährleistende und zuverlässige Institutionen mit der Verarbeitung ihrer Daten zu beauftragen. Die Datenverarbeitung im Auftrag ist nur zulässig nach Weisung der Schule oder der Schulaufsichtsbehörden und ausschließlich für deren Zwecke.. Das Mittel, um die Beauftragung zu dokumentieren, ist ein Vertrag zur Auftragsverarbeitung, der auch elektronisch abgeschlossen werden kann. Es ist gut, wenn man die entsprechenden Verträge hat. Wer wird es kontrollieren? Vermutlich niemand. Sollte es beim Anbieter zu einem Datenschutzvorfall kommen, ist man mit einem Vertrag aber eindeutig auf der sicheren Seite.

Verzeichnis von Verarbeitungstätigkeiten

Die DS-GVO macht die Vorgabe, diese Verzeichnisse zu erstellen. Was genau eine Verarbeitungstätigkeit von einer anderen abgrenzt, bleibt bislang unklar. Wird der Datenschutz besser durch dieses Verzeichnis? Wohl nicht. Anders als noch die alten Verfahrensverzeichnisse, müssen die neuen Verzeichnisse Betroffenen nicht offengelegt werden. Auch die Vorabkontrolle durch die Datenschutzbeauftragten gibt es nicht mehr. Wenn überhaupt, dann könnte die Aufsichtsbehörde sie anfordern. Aber auch damit ist nicht zu rechnen, denn die geringe Zahl der Mitarbeiter lässt der Aufsichtbehörde dafür kaum Zeit. Man muss sich um Betriebe kümmern. Und anders als bei öffentlichen Stellen, zu denen Schulen zählen, können Betriebe mit Bußgeldern belegt werden, wenn die Dokumentation fehlt oder nicht stimmig ist. Das heißt: Schulen können dieses Thema weit hintenanstellen. Wenn Zeit und Ressourcen da sind, lädt man die passenden Vorlagen herunter, füllt das Vorblatt und ergänzt oder streicht, wo erforderlich und gut ist.

Schülerfahrverkehr – wann braucht es eine Einwilligung in die Datenübermittlung?

Lesezeit: 3 Minuten

Das Thema Schülerfahrverkehr wird in verschiedenen Städten und Gemeinden unterschiedlich geregelt. In den meisten Fällen erhalten nur die Schüler eine Fahrkarte für Bus/Bahn, die einen gesetzlichen Anspruch auf Erstattung der Schülerfahrkosten nach §97 SchulG NRW haben. Einige Schulträger stellen allen Schülerinnen und Schülern ihrer Kommune ohne Ausnahme ein Schülerticket zur Verfügung. Je nach Schulträger werden die für die Erstellung der Tickets erforderlichen personenbezogenen Daten der Schüler durch die Schule an den Schulträger selbst übermittelt, der die Berechtigung überprüft, oder seltener auch direkt an den Betreiber des öffentlichen Nahverkehrs. Ob es einer Einwilligung durch die Betroffenen bedarf, hängt maßgeblich davon ab, an wen die Schule die Daten übermittelt. Bei Städten und Kommunen, in welchen der Prozess der Bewilligung von Schülerfahrkosten und die Vergabe von Fahrkarten, von der kommunalen Verwaltung selbst geregelt wird, ist die Schule aus Sicht des Datenschutz außen vor und das Folgende ohne Bedeutung.

Die rechtliche Seite

Grundsätzlich gilt für die Übermittlung von personenbezogenen Daten durch die Schule nach §120 SchulG

(5) Die in Absatz 1 Satz 1 genannten Daten dürfen […] dem Schulträger, [… ] nur übermittelt werden, soweit sie von diesen Stellen zur Erfüllung der ihnen durch Rechtsvorschrift übertragenen Aufgaben benötigt werden.

Da nach §97 SchulG der Schulträger für die Schülerfahrkosten zuständig ist1„§ 97 SchulG – Schülerfahrkosten (1) Den Schülerinnen und Schülern der allgemein bildenden Schulen gemäß §§ 11, 14 bis 18, der Förderschulen gemäß § 20, der Schule für Kranke gemäß § 21 und Berufskollegs in Vollzeitform gemäß § 22, die ihren Wohnsitz in Nordrhein-Westfalen haben, werden die Kosten erstattet, die für ihre wirtschaftlichste Beförderung zur Schule und zurück notwendig entstehen.“ und er im Rahmen seiner Möglichkeiten auch eine Fahrkarte stellen kann anstelle einer Kostenerstattung2§97 SchulG (3) „Werden Schülerzeitkarten nach Satz 1 zur Verfügung gestellt, sind sie die wirtschaftlichste Art der Beförderung; es entfällt jegliche Erstattung von Fahrkosten.“, liegt eine vom Land NRW an den Schulträger übertragene Rechtsvorschrift vor. Damit ist die Voraussetzung erfüllt für eine Übermittlung personenbezogener Daten von Schülern nach §120 (5) SchulG.

Was bedeutet dieses für die Praxis?

Fall 1 – nur nach §97 SchulG berechtigte Schüler erhalten die Fahrkarte und die Daten werden an den Schulträger übermittelt

Nach Art. 6 Abs. 1 c DS-GVO ist eine Verarbeitung3Nach Art. 4 Abs. 2 schließt Verarbeitung auch die „die Offenlegung durch Übermittlung“ ein. rechtmäßig, wenn

„die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;“

Eine Einwilligung durch die Betroffenen ist somit nicht erforderlich. Die Schule kann die Daten übermitteln, muss aber über die Übermittlung informieren, was bei der Anmeldung an der Schule erfolgen kann. Wechselt ein Schüler im Laufe der Schulzeit an einer Schule den Wohnort und erfüllt dadurch die Vorgaben zum Anrecht auf eine Fahrkarte, müssen die Betroffenen eventuell bezüglich der Datenübermittlung informiert werden.

Ob eine Schule vorsortiert, von welchen Schülern sie die Daten an den Schulträger übermittelt, hängt auch von den örtlichen Absprachen ab. Rechtlich ist es vertretbar, die entsprechenden Daten sämtlicher Schüler zu übermitteln, da der Schulträger nur so die Berechtigungen bzw. den Anspruch auf Zuteilung einer Fahrkarte für alle Schüler prüfen kann.

Man kann jedoch auch argumentieren, dass es nicht erforderlich ist, die Daten von Schülern zu übermitteln, die am Schulort selbst wohnen und ohnehin keinen Anspruch auf eine Fahrkarte haben.4Eine Ausnahme sind immer Schüler, die aus anderen Gründen Anspruch auf eine Beförderung haben.

Fall 2 – alle Schüler der Stadt/ Kommune erhalten ein Ticket und die Daten werden an den Schulträger übermittelt

Der Fall ist etwas anders gelagert, da es hier nicht mehr um eine Überprüfung des Anspruchs durch den Schulträger geht. Da alle Schüler eine Fahrkarte erhalten, auch die, welche nach gesetzlichen Vorgaben keinen Anspruch haben, werden hier Daten übermittelt und es besteht keine eindeutige rechtliche Grundlage. Wer sicher gehen möchte, holt eine Einwilligung dafür ein. Damit das Verfahren vereinfacht ist, holen viele Schulen die Einwilligung grundsätzlich bei allen Schülern ein. Wenn das Verfahren etabliert ist, kann man die Einwilligung direkt bei der Anmeldung an der Schule mit einholen.5In diesem Fall sollte die Einwilligung in die Datenübermittlung als Auswahloption vorgesehen sein, so dass die Betroffenen aktiv auswählen müssen.

Ob man sich als Schule in diesem Fall mit einer Einwilligung absichert, hängt letztlich auch von der Interpretation der gesetzlichen Vorgaben ab. Legt man die Vorgaben eher eng aus, empfiehlt sich die Einwilligung.

Fall 3 – die Schule übermittelt die personenbezogenen Daten der Schüler direkt an das Beförderungsunternehmen

In diesem Fall ist es egal, ob es sich nur um nach §97 SchulG berechtigte Schüler handelt oder alle. Die Übermittlung soll an eine Stelle erfolgen, welche nicht unter die nach dem Schulgesetz zulässigen Stellen fällt. Da die gesetzliche Grundlage fehlt, ist hier eine Einwilligung vor Übermittlung der Daten unbedingt erforderlich. Die Einwilligung ist für Grundschulen wie weiterführende Schulen nutzbar.6Die Formulierung „Aus der Nichterteilung oder dem Widerruf der Einwilligung entstehen keine Nachteile.“ ist eine allgemeine Formulierung. Jedem Betroffenen sollte jedoch klar sein, dass ohne Einwilligung keine Fahrkarte erstellt werden kann. Nachteil meint hier eher Nachteil in der Schule insgesamt.

Einwilligung und Zweckänderung

Lesezeit: 2 Minuten

Frage: ich fotografiere einen Schüler (anlassbezogen gibt es eine Genehmigung1Aus Sicht des Datenschutz wird immer von EINWILLIGUNG gesprochen!). Darf ich das Foto online an CEWE Fotodienst schicken zum Ausdrucken?

In der Einwilligung ist, so lässt die Frage vermuten, nicht aufgeführt, dass das Foto der betroffenen Person über einen externen Dienstleister ausgedruckt und diesem dazu das Foto übermittelt werden soll. Daher rührt wohl die Unsicherheit, ob das Foto auf der Grundlage der bestehenden Einwilligung übermittelt werden darf.

Die Antwort ist recht einfach.

Eine wirksame Einwilligung setzt voraus, dass sie bestimmt ist. Wenn eine Einwilligung sich nicht auf bestimmte Datenverarbeitungszwecke beschränkt, ist sie unwirksam. Das bedeutet nicht, dass sie sich auf einen einzigen Zweck beschränken muss. Die betroffenen Personen, Eltern oder Schüler, können ihre Einwilligung für einen oder mehrere bestimmte Zwecke geben (Art. 6 Abs. 1).

Das heißt, die Einwilligung muss die Zweckbestimmung festlegen. Sie muss eindeutig sein und legitim. Von daher ist es wichtig, dass die Zweckbestimmung so präzise wie möglich angegeben ist.

Der Verantwortliche, die Schule, muss sicherstellen, dass die personenbezogenen Daten nicht für Zwecke verarbeitet werden, mit denen die betroffene Person bei der Erhebung nicht rechnen musste.

Mit den Anforderungen an eine wirksame Einwilligung ist somit schnell zu verstehen, was dieses für eine Zweckänderung bedeutet. Eine Zweckänderung ergibt sich auch durch einen neuen Zweck. Kommt nachträglich ein neuer Verarbeitungszweck hinzu, wie vermutlich in diesem Fall mit der Übermittlung an einen Fotodienstleister, bedarf es dazu einer entsprechenden Einwilligung der betroffenen Person. 2Zwar gibt es nach (Art. 6 Abs. 4) auch die Möglichkeit, abzuwägen, ob der neue Verarbeitungszweck eine zweckkompatible Verarbeitung bedeutet. Kommt man nach den Kriterien von Abs. 4  zu dem Schluss, dass mit der Weiterverarbeitung der Daten zu einem anderen als dem ursprünglich verfolgten Zweck eine zweckkompatible Weiterverarbeitung vorliegt, braucht es keine neue Einwilligung. (Kühling/Buchner Art. 6 RN 181). Es mag Fälle geben, wo diese Abwägung einfach ist. Wer keinen Fehler machen möchte, sichert sich durch eine zusätzliche Einwilligung ab.

Im angefragten Fall bedeutet dieses: Schließen die in der Einwilligung aufgeführten Verarbeitungszwecke nicht die Übermittlung und Verarbeitung der Fotos an einen externen Dienstleister mit ein, sollte hierfür aus datenschutzrechtlciher Sicht eine zusätzliche Einwilligung eingeholt werden.

Tipp: Von daher erspart man sich Arbeit, wenn man beim Einholen der Einwilligung alle beabsichtigten Verarbeitungszwecke von vorneherein mitbedenkt. Damit ist jedoch nicht gemeint, dass man versucht, direkt pauschal jeden möglichen Verarbeitungszweck abzudecken, denn dieses würde dem Grundsatz der Bestimmtheit widersprechen.

Datenübermittlung zur Erstellung eines Schülerausweises im Scheckkarten Format

Lesezeit: 2 Minuten

Will eine Schule Schülerausweise im Scheckkarten Format durch eine Firma erstellen lassen, so ist dafür eine Übermittlung von personenbezogenen Daten der Schüler an diese Firma erforderlich. Dabei ist es egal, ob die Daten als Tabelle geliefert werden oder die Ausweise mit einer Software in der Schule erstellt und die Druckdateien dann an die Firma übermittelt werden. Mitunter wird auch noch ein Fotograf mit der Aufnahme der Fotos für den Ausweis beauftragt.

Alle Daten für den Schülerausweis liegen in jeder Schule vor1VO-DV I, Anlage 2, II. Weitere Informationssammlungen. Falls die Anfertigung des Fotos nicht bereits durch eine andere Einwilligung abgedeckt ist, muss dafür eine solche eingeholt werden, da Fotos nicht zu den personenbezogenen Daten gehören, welche eine Schule auf Grundlage des SchulG NRW verarbeiten darf.

Für den Fall, dass Ausweis und Fotos von einer Firma erstellt werden, könnte man z. B. diese Einwilligung in die Übermittlung und Erstellung der Fotos nutzen. In der ersten Variante wird eine Schüler ID mit übermittelt, um den Schülerausweis auch als Bibliotheksausweis nutzen zu können.

Die zweite Variante sieht diese Schüler ID nicht vor.

Erstellt die Schule die Fotos selbst oder wird ein unabhängiger Fotograf beauftragt, ist die Einwilligung entsprechend abzuändern2z.B. so, dass die Einwilligung klar trennt, wer die Aufnahmen macht und die Einwilligung dafür kenntlich macht.

Die dritte Variante geht davon aus, dass die Fotos bereits vorliegen und die Anfertigung auf einer bestehenden Einwilligung beruht.

Hinweis: Bitte achten Sie bei der Übermittlung der personenbezogenen Daten Ihrer Schüler an die Firma, welche die Schülerausweise erstellt, dass diese sicher erfolgt. Eine Möglichkeit dazu ist die Verschlüsselung des E-Mails oder zumindest der Datei3Ein Passwort geschütztes ZIP Archiv oder zumindest eine durch Passwort lesegeschützte Datei sind das absolute Minimum.. Das Passwort zum Entschlüsseln sollte dann jedoch separat mitgeteilt werden. Achten Sie bei Vergabe des Auftrags auch darauf, dass die Zweckbindung der Daten sowie Löschung nach Abschluss des Auftrags gewährleistet sind.

Alternative: Bei großen Schulen bietet es sich eventuell an, einen Scheckkarten Ausweisdrucker anzuschaffen und die Schülerausweise selbst zu erstellen. Liegt keine entsprechene Einwilligung zur Erstellung und Nutzung von Fotos zur Erstellung eines Schülerausweises4Zweck der Verarbeitung vor, ist diese vorher einzuholen.

Wie alle anderen Vorlagen für Einwilligungen finden sich diese unter Einwilligungen Schule (NRW).