Einwilligung ohne Papier in Zeiten von Corona

Lesezeit: < 1 Minute

In Zeiten des Corona Virus sind die Schulen geschlossen und trotzdem muss der Unterrichtsbetrieb irgendwie weiterlaufen. Auch die Kommunikation mit Schülern und Erziehungsberechtigten muss möglichst reibungslos und unaufwändig weiterhin möglich sein. Schulen setzen von daher vermehrt auf Online-Plattformen und Apps. Da diese in der Vergangenheit jedoch entweder noch nicht genutzt wurden oder nur von einem Teil der Schülerinnen, Schüler, Lehrkräfte und eventuell auch Eltern, ist es oftmals erforderlich, eine Einwilligung der Betroffenen einzuholen. Wollte man dieses in Papierform erledigen, wäre solches mit sehr viel Aufwand verbunden. Außerdem müsste damit gerechnet werden, dass die Rücklaufquote nicht 100 % ist und je nach Situation sogar extrem gering ausfallen könnte, etwa weil Person das Haus nicht verlassen können.

Was viele nicht bekannt ist, Einwilligungen können durch aus auch elektronisch von den Betroffenen eingeholt werden. Auf welcher  Rechtsgrundlage dieses für Schulen in Nordrhein-Westfalen möglich ist wie man elektronische Einwilligungen umsetzen kann, wird in dem Beitrag Einwilligung einholen ohne Papier ausführlich erklärt.

Einwilligung einholen ohne Papier

Lesezeit: 7 Minuten

Ausgangslage

Bisher haben Schulen Einwilligungen in die Verarbeitung von personenbezogenen Daten, für die es keine Rechtsgrundlage aus dem SchulG NRW gibt, überwiegend in Papierform eingeholt. Das liegt zum einen daran, dass die elektronische Einwilligung bisher eher als Ausnahme gesehen und deshalb vermieden wurde, und zum anderen an den fehlenden Möglichkeiten dazu. Aber es geht auch anders, denn weder die DS-GVO noch das Schulrecht in NRW untersagen sie. Bisher ging es bei der Möglichkeit der elektronischen Einwilligung vor allem um die Einwilligung bei Online Plattformen. Entsprechend betrachten Rechtstexte das Thema der elektronischen Einwilligung vor allem mit Bezug auf diesen Anwendungsfall.

Elektronische Einwilligung im Schulrecht NRW

In der §3 Abs. 2  VO-DV I heißt es zur elektronischen Einwilligung (in die Verarbeitung von personenbezogenen Daten):

“(2) Nicht in den Anlagen aufgeführte Daten dürfen nur erhoben werden, wenn die oder der Betroffene eingewilligt hat. Die Einwilligung ist schriftlich gegenüber der Schulleitung zu erklären. Sofern dies wegen besonderer Umstände angemessen ist, kann die Einwilligung ausnahmsweise in elektronischer Form erfolgen. Dabei sind die Grundsätze des § 13 Absatz 2 des Telemediengesetzes vom 26. Februar 2007 (BGBl. I S. 179), das zuletzt durch Artikel 1 des Gesetzes vom 21. Juli 2016 (BGBl. I S. 1766) geändert worden ist, zu erfüllen.”

Die Vorgabe zur Erfüllung der Grundsätze des § 13 Absatz 2 des Telemediengesetzes hat damit zu tun, dass sich diese Aussage vor allem auf Online-Plattformen bezieht. Hintergrund bei der Ausgestaltung der Passage der VO-DV I war, dass man eine Möglichkeit schaffen wollte, wie Nutzer online ohne den Zwischenschritt Papier in die Datenverarbeitung durch die Online Plattform Logineo NRW einwilligen können. 1In der Begründung zum vorangegangenen Entwurf zur Änderung der VO-DV I 2016 (Stand: 18.10.2016) heißt es:
“Die Abgabe der erforderlichen Einwilligung zur Datenverarbeitung soll ausnahmsweise auch elektronisch ermöglicht werden. Dabei sind die Standards des Telemediengesetzes einzuhalten. Die elektronische Einwilligung ist z.B. aus verwaltungsökomischen Gründen erforderlich zur gemeinsamen Nutzung einer IT- Basisstruktur. Der Prozess entspricht der üblichen Vorgehensweise bei der Zustimmung z.B. zu AGBs für die Nutzung von Diensten und Anwendungen im Netz: Bei Erstanmeldung an LOGINEO NRW werden die Nutzungsbedingungen angezeigt. Eine Zustimmung muss durch aktives Anklicken erfolgen, wobei dann Datum und Uhrzeit im Profil des Nutzers I der Nutzerin protokolliert werden. Zusätzlich können Nutzerinnen und Nutzer uneingeschränkt über die Internetseiten von LOGINEO NRW vorab auf die Nutzungsbedingungen zugreifen. Nach Anmeldung sind sie zudem ständig über einen Link im Nutzerprofil aufrufbar. Ein Widerruf der Einwilligung ist
jederzeit möglich und führt zur Deaktivierung des Accounts.”
Dabei orientierte man sich an einer Stellungnahme der LDI NRW2Der Hintergrund zu dieser Regelung ist eine Stellungnahme der LDI NRW zu den geplanten Änderungen der VO-DV I vom 26. Juni 2016. Dort heißt es entsprechend:
§3 Datenerhebung, Berichtigung, Auskunft, Einsicht in Akten
Die Möglichkeit, eine elektronische Einwilligung nach § 13 Abs. 2 TMG zu erteilen, ist nur dann eine gangbare Alternative zur grundsätzlich schriftlich zu erteilenden Einwilligungserklärung, wenn der Anwendungsbereich des TMG eröffnet ist. Dies ist gemäß § 1 Abs. 1 TMG der Fall, wenn es sich um Telemedien, also alle elektronischen Informations- und Kommunikationsdienste handelt. In allen anderen Fällen bleibt es bei dem grundsätzlichen Schriftformerfordernis (vgl. § 4 Abs. 1 S. 3 DSG NRW). Da die Schule unter den o.g. Anforderungen kein Anbieter von Telemedien ist, ist eine elektronische Einwilligung in direkter Anwendung des § 13 Abs. 2 TMG nicht möglich.

Im Einzelfall kann vom Schriftformerfordernis abgewichen und eine Einwilligung auf elektronischem Wege eingeholt werden, wenn gemäß § 4 Abs. 1 S. 3 DSG NRW wegen besonderer Umstände eine andere Form angemessen ist. Wenn dies von der Schulleiterin oder dem Schulleiter konkret festgestellt worden ist, sollte sich die Ausgestaltung einer elektronischen Einwilligung an den inhaltlichen Vorgaben des § 13 Abs. 2, 3 TMG orientieren.”
.

Die VO-DV I geht von der Schriftform als Normalfall aus, räumt Schulen jedoch die Möglichkeit ein, bei Vorliegen besonderer Umstände Einwilligungen ausnahmsweise auch elektronisch einzuholen. In den Überlegungen, die zur oben zitierten Formulierung der Ausnahme in der VO-DV I führten, war „Die elektronische Einwilligung ist z.B. aus verwaltungsökomischen Gründen erforderlich zur gemeinsamen Nutzung einer IT- Basisstruktur.“3Begründung zum vorangegangenen Entwurf zur Änderung der VO-DV I 2016 (Stand: 18.10.2016) Man wollte mit der Regelung eine Möglichkeit schaffen, den Einwilligungsvorgang für Schulen mit geringerem Aufwand zu organisieren. Die Entscheidung, ob besondere Umstände vorliegen, trifft die Schulleitung.4„Im Einzelfall kann vom Schriftformerfordernis abgewichen und eine Einwilligung auf elektronischem Wege eingeholt werden, wenn gemäß § 4 Abs. 1 S. 3 DSG NRW wegen besonderer Umstände eine andere Form angemessen ist. Wenn dies von der Schulleiterin oder dem Schulleiter konkret festgestellt worden ist, sollte sich die Ausgestaltung einer elektronischen Einwilligung an den inhaltlichen Vorgaben des § 13 Abs. 2, 3 TMG orientieren.“ – aus der Stellungnahme der LDI NRW zu den geplanten Änderungen der VO-DV I vom 26. Juni 2016.

Vor dem Hintergrund, dass die aktuell noch gültigen Vorgaben zur Einwilligung in der VO-DV I bereits 2016 erarbeitet wurden, zwei Jahre vor Beginn der Umsetzung der DS-GVO, ist es sinnvoll, zu betrachten, wie die DS-GVO das Thema Einwilligung und die Formerfordernis regelt.

Elektronische Einwilligung in der DS-GVO

Die DS-GVO regelt das Thema Einwilligung in Artikel 7. Eine Formerfordernis für die Einwilligung sucht man dort vergeblich. In Erwägungsgrund 32 wird jedoch eine Aussage hierzu gemacht.

„Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung.“

Entsprechend kommentiert auch die Fachliteratur.

“Die DSGVO verlangt keine bestimmte materielle Verstetigung oder Übermittlung der Willensbekundungen. Es gilt der Grundsatz der Formfreiheit. Eine Erklärung kann schriftlich, mündlich und auch elektronisch an den Adressaten gerichtet werden (EG 32 S. 1). Im Sinne der DSGV erfolgt „elektronisch“ auch eine durch einfache E-Mail oder über ein Onlineformular übermittelte Einwilligung. § 126 a BGB und § 3 a Abs. 2 S. 1 VwVfG sind nicht anwendbar.”5Klement in Simitis DS-GVO Art. 7 Rn. 39

Datenschutzgesetz NRW (neue Fassung)

Entsprechend der DS-GVO, welche die dem Datenschutzgesetz NRW übergeordnete Rechtsnorm ist, hat sich der Gesetzgeber auch hier nicht auf eine bestimmte Form der Einwilligung festgelegt. Im neuen DSG NRW heißt es deshalb unter Begriffsbestimmungen § 36 Nr. 19 “19. „Einwilligung“ jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist,”

Fazit

Die elektronische Einwilligung ist möglich für Schulen in NRW, schon seit fast drei Jahren. Allerdings ist sie auf Ausnahmen beschränkt, noch. Das Schulgesetz NRW ist seit Mitte 2019 in Überarbeitung und auch die anhängigen Verordnungen zur Datenverarbeitung VO-DV I und II werden Veränderungen erfahren. Bis zur Verabschiedung der Neufassungen von Schulgesetz und VO-DV I und II wird es vermutlich noch eine Weile dauern und solange gelten die bestehenden Regelungen fort.

Sie geben Schulen jedoch auch jetzt schon einen Handlungsspielraum. Gerade in Zeiten von Schulschließungen, in welchen die Möglichkeiten, Einwilligungen in Papierform einzuholen sehr beschränkt, aufwändig und zeitraubend sind, kann eine Schule ohne Probleme von den Möglichkeiten von §3 Abs. 2  VO-DV I Gebrauch machen. Schulschließungen sind ganz sicher besondere Umstände. Es ist lediglich erforderlich, dass wie in der Stellungnahme der  LDI NRW zu den geplanten Änderungen der VO-DV I vom 26. Juni 2016 beschrieben, die Schulleitung die besonderen Umstände konkret feststellt und dokumentiert. Dann ist es möglich, Einwilligungen in elektronischer Form einzuholen bei den Erziehungsberechtigten und älteren Schülerinnen und Schülern.

Praktische Umsetzung

Bezüglich der elektronischen Einwilligung gibt es verschiedene Möglichkeiten. Für den Fall, dass es beispielsweise um die Einwilligung zur Nutzung einer App oder einer Onlineplattform geht, welche der Schule selbst keine Möglichkeit gibt, darüber die Einwilligung der Erziehungsberechtigten beziehungsweise Schüler einzuholen wie bei Logineo NRW, dann bleibt immer der Weg über E-Mail, ein von der Schule genutztes App zur Kommunikation oder einen sicheren Messenger. Wichtig ist, dass die Schule die Einwilligung der Betroffenen dokumentieren kann. Dazu muss die elektronische Einwilligung in irgendeiner Form, idealerweise als PDF, gespeichert werden. Bei der Übermittlung sollte auf Sicherheit geachtet werden und es sollten nur die personenbezogenen Daten in der Einwilligung erfasst werden, welche dafür zwingend erforderlich sind (Datenminimierung).

E-Mail – direkt

Eine Möglichkeit, die Einwilligung einzuholen, ist direkt über E-Mail. Dazu werden wie in der Papierversion die Informationen zur Datenverarbeitung entsprechend Art. 13 DS-GVO In das E-Mail gepackt, wie auch der eigentliche Einwilligungstext mit einem Anschreiben der Schulleitung. Anstelle der Unterschrift reicht dann, wenn die Betroffenen ihre Einwilligung beispielsweise durch Schreiben des Wortes JA geben.

Die Rück Antwort der Betroffenen mit der Einwilligung sollte als PDF gedruckt und mit einem eindeutigen Dateinamen gesichert werden, um die Einwilligung nachweisen zu können.

Ein Beispiel, wie man das E-Mail mit der Einwilligung gestalten könnte:

E-Mail – PDF

Eine andere Möglichkeit besteht darin, die für Papier entworfene Einwilligung in ein PDF Formular umzuwandeln. Dieses kann man relativ leicht mit LibreOffice tun. Diese kostenlose Office Suite bietet die Möglichkeit, Eingabefelder für Text und Auswahlfelder (Checkboxen) anzulegen und das gesamte Text Dokument anschließend als PDF Dokument abzuspeichern.Dieses wird dann von den Betroffenen an einem Computer, Tablet oder Smartphone ausgefüllt und an die Schule zurück geschickt.

Das von den Betroffenen rückübermittelte PDF sollte mit einem eindeutigen Dateinamen gesichert werden, um die Einwilligung rechtssicher nachweisen zu können.

Ein Beispiel, wie eine als PDF gestaltete Einwilligung aussehen könnte6In diesem Formular müsste die Schule auf der ersten Seite den Namen der Schulleitung ergänzen und auf der zweiten Seite die Kontaktdaten der Schulleitung und des Datenschutzbeauftragten.:

E-Mail – Microsoft Word Dokument

Aus Sicherheitsgründen wird von einer Nutzung dieses Formats abgeraten. Dabei geht es weniger darum, dass die Schule eventuell Betroffene gefährdet, sondern umgekehrt dass das Verwaltungsnetz der Schule durch zurückgeschickte und eventuell infizierte Word Dateien gefährdet wird

Schul App

Schulen, die eine Schul App nutzen, die eine Kommunikation mit den Betroffenen ermöglicht, wie etwa Schulmanger Online, Elternnachricht, Sdui, Schul-Info-App, schul.cloud Pro, Elternportal, SchoolFox Plus, ISY-Schule, Die SchulApp u. Ä. können diese Plattformen zur Übermittlung eines PDF nutzen.

Messenger

Ein PDF könnte auch mit einem sicheren Messenger übermittelt werden, etwa Wire oder Threema7Die Schule sollte mit diesen Anbietern einen Vertrag zur Auftragsverarbeitung abgeschlossen haben.

Hinweis – direktes Einholen Einwilligung online

Logineo NRW erlaubt es, die Einwilligung der Betroffenen direkt bei der Anmeldung an der Plattform einzuholen. Wichtig ist hierbei, dass es sich um eine Einwilligung gegenüber der Schule bzw. Schulleitung handelt, die über den Weg der Plattform eingeholt wird. Auch an anderen Plattformen können Nutzereinwilligungen geholt werden. Diese stellen in der Mehrzahl der Fälle jedoch eine Einwilligung gegenüber dem Plattformbetreiber dar. Das ist nicht gleichzusetzen mit einer Einwilligung gegenüber der Schule. Man sollte hier als Schule genau hinsehen, ob dieses Verfahren den rechtlichen Vorgaben zur Erteilung einer Einwilligung gegenüber der Schule tatsächlich Genüge tut. Genauso müsste mit der Einwilligung gegenüber der Schule auch über die Datenverarbeitung durch die Schule bei Nutzung der Plattform informiert werden. Diese Informationen sind nicht gleichzusetzen mit der Datenschutzerklärung des Anbieters, auch wenn es inhaltliche Überschneidungen gibt.

Andere Bundesländer

Sofern das Schulrecht anderer Bundesländer eine elektronische Einwilligung nicht ausdrücklich ausschließt, können Schulleitungen das Einholen elektronische Einwilligungen probemlos auf Artikel 7 DS-GVO und Erwägungsgrund 32 abstellen. Mit großer Wahrscheinlichkeit finden sich ähnlich wie in Nordrhein-Westfalen auch im jeweiligen Landes Datenschutzgesetz keine Vorgaben zur Form Erfordernis der Einwilligung.

Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse, hat sich im April 2020 zum Thema geäußert, wonach die Einholung einer Einwilligung nicht in Schriftform erfolgen muss.

„Ebenso muss bei der Einwilligung nach Artikel 7 DS-GVO nicht zwingend der Weg über das „Papier“ gewählt werden. Bei der Einwilligung ist nach Artikel 7 Absatz 2 DSGVO keine Schriftform erforderlich.“

„Einwilligung einholen ohne Papier“ weiterlesen

Brauchen Schülerfotos mit unkenntlich gemachtem Gesicht eine Einwilligung?

Lesezeit: 3 Minuten

Die Frage, ob man bei Fotos auf denen Personen abgebildet sind, um die lästige Einwilligung umhin kommen kann, wenn man die Gesichter der abgebildeten Personen unkenntlich macht, stellen sich Lehrkräfte in Schule immer wieder. Manchmal sind es bloggende Lehrkräfte aus dem Twitterlehrerzimmer, die einen Einblick in ihre Unterrichtsprojekte mit digitalen Medien geben möchten, oder es geht Lehrkräfte, die mit ihren Schülern Projekte aus dem Unterricht im Klassen-Blog vorstellen möchten. Auch bei der Erstellung von Präsentationen für den Informationsabend für Eltern neuer Schüler stellt sich die Frage immer wieder, wenn man im Archiv nach brauchbaren Aufnahmen sucht, welche den Unterricht und dasSchulleben anschaulich illustrieren.

Gemein ist allen Beispielen, dass es um Personenaufnahmen geht und deren Veröffentlichung setzt in den meisten Fällen eine Einwilligung der Betroffenen voraus1Siehe hierzu auch den Beitrag Alte Klassenfotos für Festschrift und Ausstellung nutzen – geht das?, wo Ausnahmen beschrieben sind, bei denen keine Einwilligung erforderlich ist, auch wenn die betroffene Person erkennbar abgebildet ist.. Während es im ersten und zweiten Beispiel um aktuelle Aufnahmen geht, sind im dritten Beispiel oft auch ältere Aufnahmen betroffen, Fotos, auf denen Schüler abgebildet sind, die nicht einmal mehr auf der Schule sind. Eine Einwilligung für die geplanten Veröffentlichungszwecke liegt dort meist nicht vor und kann auch nicht mehr eingeholt werden. Die bloggenden Lehrkräfte bzw. Lehrkräfte, die mit ihren Schülern im Unterricht einen Internetauftritt gestalten, hätten zwar die Möglichkeit, Einwilligungen einzuholen, versuchen aber, um die lästige Formalie herumzukommen.

Bild von Toller Unterricht verlinkt. Im unteren Bild sind die abgebildeten Schüler vermutlich eher nicht zu identifizieren. Eine Einwilligung dürfte dort nicht erforderlich sein. Beim oberen Bild könnte von den beiden Schülern vorne, zumindest der rechts sitzende Schüler anhand der Kleidung erkennbar sein, auch über die Klassen- oder Kursgruppe hinaus.

Immer wieder wird deshalb die Frage an Datenschutzbeauftragte gerichtet, ob es reicht, die Gesichter mit einem Smiley 😀 zu überdecken oder sonst unkenntlich zu machen, um die Fotos dann ohne vorliegende Einwilligung für Zwecke wie die oben beschriebenen nutzen zu können?

Auch mit unkenntlich gemachten Gesichtern fallen Personenabbildungen weiterhin unter die DS-GVO und KUG, solange die abgebildeten Personen erkennbar bleiben, wie der Tweet von Jörn Erbguth beschreibt.

Bei Bildern, auf denen Gesichter durch Smileys überdeckt oder anders unkenntlich gemacht sind,  fällt zwar das Gesicht als identifizierendes Merkmal weg, doch es verbleiben oftmals viele weitere Merkmale, wie die Kleidung, Statur und Körpergröße. An diesen können zumindest Personen, welche die Schüler kennen, diese meist problemlos identifizieren.2Darüber hinaus ist nicht auszuschließen, dass über entsprechende Programme und weiteres vorliegendes Bildmaterial aus anderen Quellen eine Identifizierung der abgebildeten Schüler möglich ist, wenn die Aufnahmen im Internet veröffentlicht werden.

Auch wenn alle Gesichter auf einer Aufnahme unkenntlich gemacht wurden, bedeutet dieses nicht automatisch, dass solche Fotos von Schülerinnen und Schülern ohne Einwilligung der Betroffenen veröffentlicht werden können. Dabei ist es unerheblich, ob es sich um eine Nutzung der Aufnahmen auf einer Website handelt oder um eine Nutzung für eine Präsentation, welche interessierten Eltern bei der Vorstellung der Schule am Informationsabend gezeigt wird.

Da die Identifizierung der Schüler durch das Unkenntlichmachen jedoch nur für einen kleinen Personenkreis aus dem unmittelbaren Umfeld der Schüler möglich ist, sollte für Eltern kaum etwas dagegen sprechen, Lehrkräften bzw. der Schule der Kinder eine Einwilligung zur Nutzung derart bearbeiteter Aufnahmen für die in den Beispielen beschriebenen Zwecke zu erteilen. Dass die Aufnahmen entsprechend bearbeitet werden, um die Identität der Kinder zu schützen, sollte in der Einwilligung deshalb ausdrücklich erwähnt werden.3 Normalerweise werden Einwilligungen für die Anfertigung und Nutzung bzw. Veröffentlichung von Aufnahmen in der Schule immer gegenüber der Schulleitung erteilt. Im Fall, dass eine Lehrkraft Fotos für ihr privates Lehrerblog nutzen möchte, muss die Einwilligung gegenüber der Lehrkraft erteilt werden. Die Lehrkraft sollte dieses jedoch mit der Schulleitung absprechen und diese Information entsprechend in die Einwilligung mit aufnehmen, eventuell sogar mit einer Unterschrift der Schulleitung. Eine Ausnahme bilden nur solche Aufnahmen, bei denen über das unkenntlich gemachte Gesicht hinaus keine weiteren Merkmale erkennbar sind, die es zulassen würden, die abgebildete Person zu identifizieren.

Auch bei Aufnahmen, bei welchen Schülerinnen und Schüler so fotografiert werden, dass sie nicht direkt in die Kamera schauen, muss darauf geachtet werden, ob sie trotzdem noch einfach zu erkennen sind, zumindest für die Personen in ihrem Umfeld. Ist das der Fall, sollte über eine Einwilligung nachgedacht werden.

Wie gut Algorithmen zur Gesichtserkennung mittlerweile sind, zeigt der Beitrag Gesichtserkennung und Identifikation trotz Atemmaske möglich von Datenschutz-Notizen.de und die Entwicklung geht hier in großen Schritten weiter.

NextCloud – Plattform – Datenschutz für Schulen mit Open Source

Lesezeit: 2 Minuten

NextCloud ist eine Open Source Plattform, die für Schulen gut geeignet ist, für Teamarbeit im Kollegium, zur Abbildung von schulischen Organisationsstrukturen und -abläufen und zur Durchführung von Unterricht. Die Plattform zeichnet sich durch Flexibilität aus, einfache Bedienung und sehr gute Sicherheitsmerkmale1300.000 Bedienstete der Bundesverwaltung nutzen die NextCloud statt Dropbox oder Google Drive.. Eine Dateiablage, ein ausgefeiltes Rechte- und Rollenmanagement für Nutzer und Ressourcen, Kollaborationswerkzeuge wie ein OnlineOffice, ein Messenger, ein Kalender, Verschlüsselung, 2-Faktor-Authentifizierung und weitere Module ermöglichen eine sichere Nutzung für Schüler und Lehrkräfte. Man kann die kostenlose Plattform als Schule selbst aufsetzen, durch den Schulträger oder einen von diesem beauftragten Dienstleister betreiben lassen oder man nimmt die Dienste eines anderen Anbieters in Anspruch. Neben diversen großen Webspace Anbietern gibt es auch Anbieter, die sich auf den Bereich Schule spezialisiert haben. Einer von diesen ist beispielsweise EduDocs aus Lübeck. Dort hat man die Möglichkeit, die schulische NextCloud so einzurichten, dass sie den datenschutzrechtlichen Vorgaben aus Westfalen entspricht.2Wer hier mehr Informationen haben möchte, kann mich gerne kontaktieren.  Da ich immer auf der Suche nach guten, datenschutzkonformen Lösungen bin, habe ich den Anbieter bei der Konzeption einer Lösung für Schulen in NRW, die sich ein wenig an Logineo NRW orientiert, in meiner Freizeit beraten. Disclaimer: Meine Beratung erfolgte rein idealistisch. Ich habe keinerlei finanzielle Vorteile von einer Nennung des Anbieters. Anders als bei großen internationalen Anbietern von Plattformen braucht eine Schule sich mit einer in Deutschland betriebenen NextCloud keine Sorgen machen wegen einer Verarbeitung von personenbezogenen Daten auf Servern außerhalb der EU und den damit einhergehenden datenschutzrechtlichen Problemen.

Die Nutzung einer schulischen NextCloud bedeutet auch immer, es werden personenbezogene Daten von Schülern und Lehrkräften verarbeitet. Dafür braucht es eine Einwilligung. In die Vorlage integriert sind eine Nutzungsvereinbarung und Informationen zur Datenverarbeitung in der NextCloud. Da sich die Nutzung für Schüler und Lehrkräfte deutlich unterscheidet, gibt es zwei Vorlagen.3Als Zugabe gibt es noch eine Vorlage für ein Nutzungskonzept Nutzungskonzept für NextCloud – EduDocs.docx Die Vorlage für Schüler ist zusätzlich in vereinfachter Sprache abgefasst, so dass auch Schüler und Personen mit geringeren Deutschkenntnissen die Informationen verstehen können.

Auf die Information nach Art. 13 bei der Anmeldung an der Schule kommt es an

Lesezeit: < 1 Minute

Bei der Anmeldung von Schülern an einer Schule werden umfänglich personenbezogene Daten erhoben. Entsprechend der Vorgaben von Art. 13 DSGVO Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person sind die Betroffenen zu informieren.

Ist man dieser Informationspflicht nachgekommen und es werden später im Laufe der Schulzeit anlassbezogene Einwilligungen eingeholt, kann auf einen Teil der nach Art. 13 vorgeschriebenen Informationen verzichtet werden, da sie bereits bei der Anmeldung umfänglich gegeben wurden.1„Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt.“ Art. 13 Abs. 4 DS-GVO

Bei einer anlassbezogenen Einwilligung könnte man dann auf folgende Punkte verzichten2Achtung – sämtliche andere Informationen müssen gegeben werden, um eine rechtswirksame Einwilligung einholen zu können. und damit die Einwilligung deutlich verkürzen:

  • Kontaktdaten des Verantwortlichen (und eventuell des Vertreters)
  • Kontaktdaten des Datenschutzbeauftragten
  • Information über die Rechte der Betroffenen gegenüber der Schule (Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht gegen die Verarbeitung, Recht auf Datenübertragbarkeit)
  • Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird
  • Beschwerderecht bei einer Aufsichtsbehörde

In den Vorlagen für Einwilligungen könnten dann diese Punkte gelöscht werden. Es empfielt sich jedoch, auf die Möglichkeit hinzuweisen, die Informationen entsprechend Art. 13 in der Schule jederzeit zu erhalten oder auf der Schulhomepage einsehen zu können.3Auch ein Hinweis auf den Ablageort auf der Schulhomepage wäre sinnvoll.

Ausführliche Informationen zur Erstellung einer Einwilligung finden sich unter Wie erstellt man eine datenschutzrechtlich korrekte Einwilligung für Schule?

Sind Einwilligungen jetzt nur noch ab 16 Jahren möglich?

Lesezeit: < 1 Minute

Die europäische Datenschutz Grundordnung berücksichtigt den Schutz der personenbezogenen Daten von Kindern und Jugendlichen besonders und hat deshalb, zum Selbstschutz der Kinder, mit einer Altersvorgabe geregelt, ab wann sie eine rechtswirksame Einwilligung abgeben können. In Art. 8 Abs. 1 wird ein Mindestalter angegeben und unter welchen Bedingungen diese Vorgabe gilt. An vielen Stellen liest man, dass dadurch nun rechtswirksame Einwilligungen von Kindern generell erst ab Vollendung des 16. Lebensjahres abgegeben werden können. Bisher gängige Praxis in Schulen war, dass man die Entscheidung, ob ein Kind eigenständig eine Einwilligung abgeben kann, von der Einwilligungsfähigkeit abhängig machte, unter Berücksichtigung der Komplexität der Datenverarbeitungsprozesse und der Tragweite der mit einer Einwilligung verbundenen Entscheidung. Die Einwilligungsfähigkeit setzte man so bei etwa 14 bis 15 Jahren an. Bei nicht gegebener Einwilligungsfähigkeit war dann die Zustimmung bzw. Einwilligung der Eltern einzuholen.

Ist es nun seit Mai 2018 tatsächlich so, dass unsere Schülerinnen und Schüler jetzt grundsätzlich erst ab Vollendung des 16. Lebensjahres eine rechtswirksame Einwilligung abgeben können, egal ob es sich um Fotos für die Schulhomepage handelt oder um die Anmeldung an einer Plattform im Internet? Dieser Frage geht der Themenbeitrag Auswirkungen der DS-GVO auf die Einwilligungsfähigkeit von Schülern nach.

Auswirkungen der DS-GVO auf die Einwilligungsfähigkeit von Schülern

Lesezeit: 9 Minuten

Mit der zunehmenden Integration von digitalen Medien in den Unterricht kommt es immer häufiger vor, dass dabei personenbezogene Daten von Schülerinnen und Schülern verarbeitet werden sollen, zu deren Angabe sie nicht aufgrund einer Rechtsvorschrift verplichtet sind. Dann braucht es eine Einwilligung. Ob es die der Eltern sein muss oder ob die der Schüler ausreichend ist, hängt dabei grundsätzlich von der Einwilligungsfähigkeit der Schüler selbst ab. In diese Vorgaben des Schulgesetzes greift nun die Datenschutz Grundverordnung einschränkend ein. Bevor es um diese Änderung geht und wann genau sie greift, soll zunächst näher erklärt werden, was mit der Einwilligungsfähigkeit gemeint ist.

Was bedeutet Einwilligungsfähigkeit?

Das Schulgesetz NRW führt dazu aus:

„Minderjährige Schülerinnen und Schüler sind einwilligungsfähig, wenn sie die Bedeutung und Tragweite der Einwilligung und ihre rechtlichen Folgen erfassen können und ihren Willen hiernach zu bestimmen vermögen.“1§120 Abs. 2 Satz 3 SchulG NRW

Eine Altersvorgabe fehlt, denn bei der Einwilligungsfähigkeit kommt es sowohl auf den jeweiligen Entwicklungsstand des Minderjährigen an wie auch die Art, den Umfang, den Zweck und Verwendungszusammenhang der Daten, um welche es geht. Eine Orientierung, ab welchem Alter Kinder ihren Willen bestimmen können, findet sich jedoch in anderen Gesetzgebungen. Die Strafmündigkeit beginnt mit Vollendung des 14. Lebensjahres 2(§19 StGB, §1 Abs. 2 JGG und §3 JGG) und ab diesem Alter kann ein Kind auch eine eigene Entscheidung über ein religiöses Bekenntnis treffen3(§5 Satz 1 KErzG). Mit Vollendung des 15. Lebensjahres darf man Sozialleistungen beantragen und entgegennehmen4§36 Abs. 1 Satz 1 SGB I. Entsprechend heißt es in einem Kommentar zum Schulgesetz NRW:

„In der Regel dürfen jedenfalls vierzehn- oder fünfzehnjährige Schülerinnen und Schüler über die erforderliche Einwilligungsfähigkeit zum Beispiel hinsichtlich der Entscheidung verfügen, ob sie mit der Veröffentlichung von Fotos, auf denen sie abgebildet sind, auf der Schulhomepage einverstanden sind oder ob sie an einer wissenschaftlichen Befragung in der Schule teilnehmen wollen.“5Katernberg in SchulG NRW-Kommentar, März 2015

In vielen Schulen in NRW hat sich so ein Alter von 14 oder 15 Jahren für eine ausreichende Einwilligungsfähigkeit etabliert. Es empfiehlt sich jedoch, bei einer Entscheidung über sehr komplexe Datenverarbeitungsvorgänge, deren rechtliche Folgen Schüler mit 14 oder 15 eventuell doch nicht gänzlich in ihrer Tragweite abschätzen können, die Eltern vorher zumindest zu informieren. Je nach Fall kann es sinnvoll sein, zusätzlich die Einwilligung der Eltern einzuholen.6Sollen bei den Schülern Daten über die Eltern selbst erhoben werden, ist die Einwilligung der Eltern unumgänglich.7Wurde bei der Anmeldung an der weiterführenden Schule eine Einwilligung der Eltern bezüglich der Aufnahme und Veröffentlichung von Fotografien und personenbezogenen Daten auf der Schulhomepage und in der Presse eingeholt, so empfiehlt es sich darüber hinaus, die Einwilligung zu erneuern, sobald die Schüler 14 oder 15 Jahre alt sind, um ihnen die Wahrnehmung ihres Rechtes auf informationelle Selbstbestimmung zu ermöglichen. Schüler hierzu zu befähigen gehört auch zu den Aufgaben einer Schule.

Genau bei der oben erwähnten Einwilligungsfähigkeit bezüglich komplexer Datenverarbeitungsvorgänge greifen nun die Vorgaben der DS-GVO in die bestehenden Regelungen des Schulgesetzes ein.

Art. 8 Abs. 1 DS-GVO

Mit Umsetzung der Datenschutz Grundverordnung seit Mai 2018 sind die Vorgaben des SchuG zur Einwilligungsfähigkeit eingeschränkt worden, jedoch nicht generell, sondern nur auf einen bestimmten Bereich bezogen. In Art. 8 Abs. 1 heißt es,

„Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat.“

Die DS-GVO macht hier eine genaue Altersvorgabe, Vollendung des 16. Lebensjahres. In Artikel 6 Absatz 1 Buchstabe a geht es um die Einwilligung als Voraussetzung für eine Verarbeitung von personenbezogenen Daten. Zur Anwendung kommt diese Vorgabe, wenn einem Kind Dienste der Informationsgesellschaft direkt angeboten werden.

Während nach dem Schulgesetz die Einwilligungsfähigkeit des minderjährigen Schülers einzelfallbezogen beurteilt wird, in Abhängigkeit von der Fähigkeit des Schülers zu selbständigem und verantwortungsbewusstem Handeln und Art und Zweck der Daten, um die es geht, normiert Art. 8 Abs. 1 nun die Altersgrenze für die Einsichtsfähigkeit minderjähriger Personen auf die Vollendung des 16. Lebensjahres, dieses allerdings nur wenn es um ein direktes Angebot von Diensten der Informationsgesellschaft geht. Damit soll der Schutz der personenbezogenen Daten von Kindern sichergestellt werden8Siehe entsprechend Erwägungsgrund 38 „Ein solcher besonderer Schutz sollte insbesondere die Verwendung personenbezogener Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die Kindern direkt angeboten werden, betreffen.“.

Was sind Dienste der Informationsgesellschaft?

Leider definiert die DS-GVO den Begriff nicht selbst. Über einen Verweis in Art. 4 Nr. 25 DSGVO auf die EU-Richtlinie 2015/1535 lässt sich der Rechtsbegriff näher bestimmen. In der Richtlinie aus dem Jahr 20159RICHTLINIE (EU) 2015/1535 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 9. September 2015 und dort Art. 1 Nr. 1 lit. b heißt es:

„„Dienst“ eine Dienstleistung der Informationsgesellschaft, d. h. jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung.“

Aus der Definition und den weiteren Ausführungen dazu in der Richtlinie10Im Sinne dieser Definition bezeichnet der Ausdruck
i) „im Fernabsatz erbrachte Dienstleistung“ eine Dienstleistung, die ohne gleichzeitige physische Anwesenheit der Vertragsparteien erbracht wird;
ii) „elektronisch erbrachte Dienstleistung“ eine Dienstleistung, die mittels Geräten für die elektronische Verarbeitung (einschließlich digitaler Kompression) und Speicherung von Daten am Ausgangspunkt gesendet und am Endpunkt empfangen wird und die vollständig über Draht, über Funk, auf optischem oder anderem elektromagnetischem Wege gesendet, weitergeleitet und empfangen wird;
iii) „auf individuellen Abruf eines Empfängers erbrachte Dienstleistung“ eine Dienstleistung die durch die Übertragung von Daten auf individuelle Anforderung erbracht wird.
ergeben sich fünf Voraussetzungen, die kumulativ zu erfüllen sind11„kumulativ zu erfüllen“ bedeutet, alle fünf Vorraussetzungen sind zu erfüllen., damit die Altersvorgabe, Vollendung des 16. Lebensjahres, für eine rechtswirksame Einwilligung von Minderjährigen bindend ist.

„Das Angebot muss eine

  1. in der Regel gegen Entgelt,
  2. elektronisch,
  3. im Fernabsatz,
  4. auf individuellen Abruf eines Empfängers erbrachte
  5. Dienstleistung

darstellen.“12Buchner/ Kühling in: Kühling/Buchner Art. 4 Nr. 25 DS-GVO Rn. 4

Alle online angebotenen Plattformen stellen Dienstleistungen dar, die elektronisch bereitgestellt werden, auf den individuellen Abruf eines Nutzers. Bis auf Ausnahmen erbringt der Nutzer dafür eine Gegenleistung (ein Entgelt) und da er dazu nicht physisch am gleichen Ort weilt wie der Anbieter, handelt es sich um Fernabsatz. Selbst kostenlose Online Angebote und Apps sind in der Regel nicht wirklich kostenlos nutzbar, auch wenn es keine Geldzahlung zwischen Dienstnehmer und Dienstgeber gibt.

„Für die Bejahung des Merkmals „in der Regel gegen Entgelt erbracht“ genügt es daher, wenn sich der betreffende Dienst durch Werbung oder durch den Handel mit Nutzerdaten oder anderweitig (quer-)finanziert.“ 13Buchner/Kühling in: Kühling/Buchner Art. 4 Nr. 25 DS-GVO Rn. 6

Direkt angeboten, meint?

Auch wenn man die Formulierung so verstehen könnte, dass es nur um Angebote geht, die speziell auf Kinder ausgerichtet sind, so ist man sich in der Fachliteratur doch einig, dass auch Angebote gemeint sind, die sich sowohl an Kinder als auch an Erwachsene richten 14Vielmehr werden Dienste, die sowohl an Erwachsene als auch an Kinder adressiert (dual use) sind, unzweifelhaft erfasst.“ Buchner/Kühling in: Kühling/Buchner Art. 8 DS-GVO Rn. 16 oder an die Allgemeinheit wie etwa Youtube, Instagram, Facebook oder WhatsApp. Nicht betroffen von der Regelung nach Art. 8 Abs. 1 sind hingegen Angebote, die sich eindeutig an Erwachsene oder auch Jugendliche ab 16 Jahren richten und dieses über Altersbeschränkungen oder entsprechende Nutzungsbedingungen deutlich machen.15S. zu diesem Hinweis Greve in Eßer/Kramer/ v. Lewinsky Art. 8 Rn. 9

Was bedeutet dieses für die schulische Praxis?

Wie aus den Ausführungen deutlich geworden sein sollte, gilt die Vorgabe aus Art. 8 Abs. 1 nicht für sämtliche Einwilligungen bezüglich der Verarbeitung von personenbezogenen Daten von Kindern und Jugendlichen, mit welchen man es im schulischen Alltag zu tun hat. Sie gilt nur für einen bestimmten, eingegrenzten Bereich.

Wo Art. 8 Abs. 1 ganz sicher nicht wirksam ist

Die Mehrheit der bisher üblichen Einwilligungen bezüglich der Aufzeichnung, Verarbeitung und Veröffentlichung von personenbezogenen Daten ist von der Regelung nicht betroffen. Will eine Schule Fotos machen, Tonaufnahmen oder Videos und diese im Internet veröffentlichen, egal, ob es um die Schulhomepage geht, um YouTube oder Flickr, so reicht es weiterhin sich bezüglich einer Einwilligung an der Einwilligungsfähigkeit der Schüler zu orientieren. Gleiches gilt auch bei Einwilligungen in die Teilnahme an wissenschaftlichen Untersuchungen oder zur Verarbeitung von personenbezogenen Daten in einem schulischen Lernmanagementsystem. Ein schuleigenes Moodle ist von der Vorgabe aus Art. 8 Abs. 1 genauso wenig betroffen wie ein von der Schule im Unterricht offiziell genutztes Office 365 mit Cloud, iServ oder auch Logineo NRW. Von schulischen Geräten aus lassen sich viele Plattformen nutzen, ohne das Art. 8 Abs. 1 ins Spiel kommt. Dazu gehören auch Angebote wie Kahoot, die mit Fantasienamen genutzt werden können, oder Plattformen, bei denen die Anmeldung mittels Single Sign-on erfolgt.

Wo Art. 8 Abs. 1 wirksam ist

In dem Moment, wo es um Online Angebote oder Apps (mit Online Anbindung) geht, die einem Dienst der Informationsgesellschaft im oben beschriebenen Sinne entsprechen und es sind zur Nutzung personenbezogene Daten erforderlich, dann können Schüler entsprechend Art. 8 Abs. 1 erst ab Vollendung des 16. Lebensjahres selbst eine Einwilligung zu Nutzung bzw. Anmeldung abgeben. Die bisher vorausgesetzte Einwilligungsfähigkeit mit 14 oder 15 Jahren reicht in diesen Fällen nicht aus. Hier ist vor der Nutzung des Angebotes bzw. Dienstes die Einwilligung oder Zustimmung durch die Eltern einzuholen. Ein gutes Beispiel hier für ist ZUM.de, definitiv kein kommerzieller Anbieter, zur Finanzierung der Plattform wird jedoch Werbung geschaltet. Möchte man mit Schülern unter 16 Jahren an einem Wiki auf der Plattform arbeiten, brauchen die Schüler eine schriftliche Einwilligung der Erziehungsberechtigten, auch wenn als Benutzername nur ein Pseudonym verwendet wird.16Auch Pseudonyme sind personenbezogene Daten. ZUM handelt hier sehr vorbildlich und gibt in seiner Datenschutzerklärung vor, dass eine Einwilligung durch die Lehrkräfte einzuholen ist.

In Schulen mit BYOD Projekten kommen personenbezogene Daten immer dann ins Spiel, wenn Apps installiert oder Online Plattformen genutzt werden. Sobald bei diesen entweder Werbung geschaltet ist, die Nutzung kostenpflichtig für die Schüler ist oder vermutet werden muss, dass die Nutzerdaten durch den Anbieter zu Geld gemacht werden, gilt die Vorgabe aus Art. 8 Abs. 1. Warum ist das so? Bei persönlichen Geräten ist der Nutzer immer über das Gerät identifizierbar. Selbst wenn keine Anmeldung mit Nutzername und Passwort erforderlich ist, werden über eine Abfrage der Gerätedaten personenbezogene Daten des Geräteeigners erhoben. Das ist auch der Fall, wenn ein App erst heruntergeladen wird. Und damit sind alle fünf Bedingungen, wie oben vorgestellt, erfüllt. Werbung meint dabei übrigens nicht nur fremde Werbung, sondern auch solche für inApp Käufe oder andere Produkte des Betreibers des Apps oder der Online Plattform.

Auch wenn eine Schule mit schuleigenen Accounts arbeitet, und diese werden mit Klarnamen gebildet, etwa lisa.schneider@musterschule-blaustadt.de, kann die Vorgabe der DS-GVO wirksam werden. Möchte man im Unterricht eine kommerzielle Plattform/App mit einem eingeschränkten, kostenlosen Angebot nutzen und auf der Seite bzw. im App wird die Nutzung der Zahlversion beworben, dann gilt, Einwilligung erst ab Vollendung des 16. Lebensjahres. Dabei ist es egal, ob man aus dem PC Raum arbeitet oder in der Klasse von schuleigenen Mobilgeräten.

Es gibt immer wieder Fälle, wo Lehrkräfte im Unterricht Schüler bitten, sich mit ihren privaten E-Mail Accounts bei einer tollen Online Plattform anzumelden. „Dann kann ich euch in meine Klassengruppe einladen. Und ihr könnt euch auch zu Hause einloggen und seht, wie weit ihr gekommen seid.“ Beispiele dafür können Trainingsplattformen für Mathematik oder Sprachen sein, die kommerzielle Absichten verfolgen. Auch Sofatutor fällt darunter. 

Man ist immer auf der sicheren Seite, dass Art. 8 Abs. 1 nicht gilt, wenn

  • keine personenbezogenen oder personenbeziehbare Daten im Spiel sind, d.h.
    • es wird nicht von einem privaten Gerät gearbeitet oder
    • es wird von einem schulischen Gerät ohne Nutzung eines personenbeziehbaren Nutzeraccounts gearbeitet
  • die Plattform bzw. das online angebundene App
    • keine Werbung enthält, auch nicht für Angebote des Anbieters der Plattform bzw. des Apps
    • keine Nutzerdaten erhoben und kommerziell verwertet werden17Hier für muss man die Datenschutzerklärung des Online Angebots bzw. Apps finden und studieren. Auch die AGB/TOS bieten Hinweise.
    • keine Nutzungsgebühr erhebt18Diese könnte auch durch das Beantworten von Fragen oder auf andere Art und Weise durch den Nutzer abgegolten werden.

Man sollte sehr genau hinsehen, wenn

  • es sich um die kostenfreie Variante eines sonst kostenpflichtigen Angebotes handelt
  • das Angebot kostenlos und sehr umfangreich ist, und unklar bleibt, wie der Anbieter sich finanziert.

Wenn man sich nicht sicher ist

Ist man sich nicht sicher, ob ein Dienst, in den Bereich der Regelung von Art. 8 Abs. 1 fällt, empfielt es sich, die Einwilligung grundsätzlich erst ab Vollendung des 16. Lebensjahres bei den Schülern selbst und vorher zumindest die Einwilligung oder Zustimmung der Eltern einzuholen.19Thomas Feil, ein Fachanwalt für IT-Recht und Arbeitsrecht und externer Datenschutzbeauftragter bei Unternehmen und  Behörden empfiehlt Unternehmen in seiner Broschüre „Leitfaden zur Umsetzung der Datenschutzgrundverordnung„, unter Dienst „im Zweifel jeden Onlinedienst zu verstehen (§ 1 Abs. 1 Satz 1 Telemediengesetz)“.

Eine wichtige Ausnahme

Nach Erwägungsgrund 38 Satz 3 sollen Kindern Präventions- und Beratungsdienste auch weiterhin ohne das Wissen der Eltern zu Verfügung gestellt werden können. Diese sind also von der Vorgabe von Art. 8 Abs. 1 ausgenommen. Sucht man also im Unterricht entsprechende Angebote auf und Kinder machen von diesen unter Nutzung von ihren eigenen personenbezogenen Daten Gebrauch, so ist dieses in Ordnung.

Kinder und Jugendliche haben ein Recht auf informationelle Selbstbestimmung

Auch wenn man im Netz an verschiedenen Stellen Aussagen findet, welche die Art. 8 Abs. 1 dahingehend interpretieren, dass die Vorgabe grundsätzlich für alle Online Angebote gilt oder gar für jegliche Einwilligung in die Verarbeitung personenbezogener Daten, so sollte man hier doch differenzieren. Sicherlich könnte man in einer Schule sämtliche Einwilligungen bei den Eltern einholen, solange die Schüler unter 16 Jahre alt sind. Es soll sogar Schulen geben, die grundsätzlich jede Einwilligung bei den Eltern einholen, solange die Schüler noch nicht volljährig sind. Es fragt sich nur, ob dieses im Sinne der Erziehungs- und Bildungsauftrags von Schule ist. Zur Medienkompetenz gehört auch ein schrittweises Heranführen an informationelle Selbstbestimmung. Diese ist ein Grundrecht und auch von Kindern und Jugendlichen. Selbst wenn Eltern eines Grundschulkindes in seine Teilnahme an einer wissenschaftlichen Befragung eingewilligt haben, hat dieses Kind in Ausübung seines Rechtes auf informationelle Selbstbestimmung jederzeit die Möglichkeit, die Teilnahme zu verweigern oder abzubrechen. Und so sollte man auch Einwilligungen, ob es nur um das Foto für die Schulhomepage geht oder die Nutzung bzw. Anmeldung an einem schulischeigenen Moodle, Schülern überlassen, sobald sie über eine ausreichende Einwilligungsfähigkeit verfügen.

 

 

 

 

 

„Auswirkungen der DS-GVO auf die Einwilligungsfähigkeit von Schülern“ weiterlesen

Wie erstellt man eine datenschutzrechtlich korrekte Einwilligung für Schule?

Lesezeit: 5 Minuten

Achtung! Diese Seite ist noch „work in progress“ – inhaltlich ist alles OK. Die Seite hat jedoch noch nicht die endgültige Form.

Eine Einwilligung selbst zu erstellen, ist eigentlich nicht schwierig, wenn man sich an die Vorgaben hält. Damit das einfacher geht, wird hier vorgestellt, was zu einer datenschutzrechtlich korrekten Einwilligung gehört.

Grundsätzlich gilt, damit eine Einwilligung wirksam ist, werden Freiwilligkeit, Bestimmtheit, Informiertheit und Einwilligungsbewusstsein vorausgesetzt. Bestimmtheit und Informiertheit sind dabei gerade für die Gestaltung der Einwilligung die zentralen Begriffe. Eine Einwilligung muss deshalb so gestaltet sein, dass der Betroffene ausreichend informiert wird, um selbst abschätzen zu können, wie groß das datenschutzrechtliche Risiko der Datenverarbeitung ist, zu welcher die Einwilligung gegeben werden soll. Informiert werden muss in der Einwilligung somit darüber,

  • wer verantwortlich ist,
  • welche Art bzw. Arten von Daten
  • in welchem Umfang und
  • zu welchem Zweck bzw. welchen Zwecken
  • in welcher Weise

verarbeitet werden sollen. Anzugeben ist auch wie lange die Daten aufbewahrt bzw. wann sie gelöscht werden. Werden die Daten an Dritte übermittelt, ist anzugeben, an wen sie zu welchen Zwecken übermittelt werden sollen. Geht es um verschiedene Datenarten und Formen der Verarbeitung müssen jeweils alle die genannten Informationen gegeben werden.

Bei komplexen Datenverarbeitungsprozessen kann es sinnvoll sein, ein separates Informationsblatt zu erstellen, auf welches in der Einwilligung ausdrücklich verwiesen wird. Dieses Informationsblatt verbleibt dann bei den Betroffenen. Somit erhalten die Betroffenen eine Möglichkeit, sich auch nachträglich noch einmal über die Datenverarbeitung und ihre Rechte als Betroffene gegenüber der Schule zu informieren.

In Bezug auf das Einwilligungsbewusstsein ist auch das Alter der Betroffenen zu berücksichtigen. Freiwilligkeit hat mit dem Gegenstand der Einwilligung zu tun und Handlungsalternativen.

1) Formularname/ -überschrift

Aus dem Titel des Formulares sollte hervorgehen, dass es sich um eine datenschutzrechtliche Einwilligung handelt und welches ihr Gegenstand ist.

2) Kontaktdaten und Datenschutzbeauftragter

Diese Informationen sind an einer Schule vor allem bei Einholung der ersten Einwilligung von Bedeutung. Wurde den Erziehungsberechtigten bei der Anmeldung ihres Kindes an der Schule ein Informationsschreiben nach Art. 13 DS-GVO ausgehändigt, in welchem diese Informationen enthalten sind, kann bei weiteren Einwilligungen auf diese Angaben verzichtet werden. Schulname und Ort sollten jedoch immer genannt werden, damit klar ist, welches die verantwortliche Stelle ist.1Es kann durchaus Fälle geben, wo eine Schule ein Einwilligungsformular ausgibt, welches nicht von der Schule selbst stammt. Das könnte ein Einwilligungsformular des Schulträgers, eines Mensa Betreibers oder Anbieters anderer Dienste sein. Um hier keine Verwirrung zu stiften, sollte deshalb aus dem Kopfbereich des schulischen Einwilligungsformulars immer klar hervorgehen, dass eine Einwilligung gegenüber der Schule abgegeben werden soll.

3) Die Schulleitung ist verantwortlich

Entsprechend VO-DV I §3 Abs. 2 Satz 2

„Die Einwilligung ist schriftlich gegenüber der Schulleitung zu erklären.“

muss aus der Einwilligung hervorgehen, dass sie gegen über der Schulleitung als verantwortlicher Person abgegeben wird. Das geschieht am einfachsten, indem im Formular die Schulleitung um die Einwilligung ersucht. Für Lehrkräfte bedeutet dieses, eine Einwilligung kann und sollte nur mit Kenntnis der Schulleitung eingeholt werden.

4) Betroffener

Aus der Einwilligung muss hervorgehen, wer Betroffener ist. Wird die Einwilligung bezüglich personenbezogener Daten eines Schülers eingeholt, muss dieser dort eingetragen werden und zwar so, dass eine Verwechslung ausgeschlossen ist.

5) Welche personenbezogenen Daten für welchen Zweck

Betroffene sind zu informieren, um welche personenbezogenen Daten (Art und Umfang) es genau geht, etwa Fotos, und für welchen Zweck und in welcher Weise diese verarbeitet werden sollen. Das kann man am besten in einem kurzen leicht verständlichen Text erläutern. Werden personenbezogene Daten an Dritte übermittelt, ist hier eine gute Stelle, darauf hinzuweisen. Dabei sollte der Empfänger genannt werden wie auch der Zweck der Übermittlung z.B. Übermittlung der Portraitfotos an die Firma XYZ zum Druck der Schülerausweiskarten.

Wichtig ist bei der Angabe der Art der personenbezogenen Daten und des Zweckes, dass dieses nicht zu allgemein gehalten ist.2„Eine Einwilligungserklärung, deren Gegenstand nicht hinreichend bestimmt ist, ist unwirksam, …“ Katernberg in SchulG NRW-Kommentar, März 2015

Anfertigung von Fotos für die Nutzung durch die Schule.“ geht nicht, denn es ist nicht klar, welche Art von Fotos für welchen Zweck in welcher Weise genutzt werden sollen. Geht es um Einzelfotos oder um Gruppenfotos, sind sie für Öffentlichkeitsarbeit gedacht z.B. über die Homepage oder in Form von Zeitungsberichten, für die Schulverwaltung etwa in SchiLD, für allgemeine Information in der Schule in Form einer Fotowand oder was auch immer?

Anfertigung von Einzel- und Gruppenfotos für einen Zeitungsbericht in der Lokalpresse über den Vorlesewettbewerb unter Angabe von Vor- und Zunamen.“ ist hier präziser.

6) Auswahlmöglichkeit

Damit Betroffene eine Wahlmöglichkeit haben, sollte das Formular eine Auswahlmöglichkeit bieten bezüglich der personenbezogenen Daten, die verarbeitet werden sollen und der Zwecke und Formen. Vielleicht ist die betroffene Person damit einverstanden, dass Fotos zur Öffentlichkeitsarbeit für die Tageszeitung verwendet werden können, jedoch nicht im Internet und auch nicht unter Nennung des Namens. Durch eine Ankreuzmöglichkeit oder Ja/ Nein  bei den einzelnen Wahlmöglichkeiten, gibt man den Betroffenen eine Möglichkeit ihre Auswahl kenntlich zu machen.

6.1 Rechteeinräumung

Auch wenn das mit Datenschutz nicht direkt zu tun hat, ist es bei Fotos und Videos sinnvoll, unter diesem Bereich auch noch einen Hinweis bezüglich der Rechteeinräumung zu geben. In Schule erfolgt die Rechteeinräumung in der Regel ohne Vergütung. Angegeben werden kann hier zusätzlich, ob die Rechteeinräumung ein Recht zur Bearbeitung, soweit nicht entstellend, einschließt oder nicht.3Aus der Praxis empfielt es sich, dass Betroffene der Schule ein Bearbeitungsrecht einräumen, da nur so noch Fehler korrigiert und Bildausschnitte und vor allem Bildeinstellungen bezüglich Helligkeit, Farben, Schärfe etc. verändert werden können.

6.2 Weitere Informationen

Wenn nicht 5) nicht bereits darauf hingewiesen, macht es Sinn, spätestens hier Angaben zu machen bezüglich einer Namensnennung bei Fotos, etwa dass man Klassenfotos nur mit einer alphabetischen Liste der Nachnamen veröffentlicht.

6.3 Informationen bezüglich Veröffentlichung im Internet

Geht es um die Veröffentlichungen von personenbezogenen Daten im Internet, sollte im Sinne einer umfassenden Information auch immer ein datenschutzrechtlicher Hinweis zu möglichen Auswirkungen, die dieses haben kann, gegeben werden.4Ein Standardtext dafür lautet „Bei einer Veröffentlichung im Internet können die personenbezogenen Daten (einschließlich Fotos) jederzeit und zeitlich unbegrenzt weltweit abgerufen und gespeichert werden. Die Daten können damit etwa auch über so genannte  „Suchmaschinen“ aufgefunden werden. Dabei kann nicht ausgeschlossen werden, dass andere Personen oder Unternehmen die Daten mit weiteren im Internet verfügbaren personenbezogenen Daten verknüpfen und damit ein Persönlichkeitsprofil erstellen, die Daten verändern oder zu anderen Zwecken verwenden.“

7) Hinweis auf Widerrufssmöglichkeit und Löschfristen

Betroffene müssen auf die Möglichkeit hingewiesen werden, ihre Einwilligung jederzeit zu widerrufen. Dazu gehören auch Informationen über die Auswirkung des Widerrufs auf bereits verarbeitete Daten und bis wann gegebenfalls ein Widerruf möglich ist, um wirksam zu sein (z.B. bei Druckwerken). Außerdem muss über Löschfristen aufgeklärt werden. Wichtig ist auch die Angabe, wo und in welcher Form die Betroffenen Widerspruch einlegen können.

Wie die Löschfristen angegeben werden, hängt von den Daten und dem Zweck ab. Videoaufnahmen werden in der Regel maximal bis zum Ende des Schuljahres aufbewahrt. Bei Fotos hängt es davon ab, wie sie genutzt werden. Klassenfotos für die Homepage der Schule wird man vielleicht länger als der betroffene Schüler an der Schule ist, dort belassen wollen.

8) Freiwilligkeit der Einwilligung

Eine Einwilligung sollte in Schule immer freiwillig sein, also ohne Zwang. Dafür muss es eine Handlungsalternative geben.5In bestimmten Fällen kann es hier aber Ausnahmen geben. Wenn ein Schulträger ein Freizeit Ticket anbietet, führt eine Nichteinwilligung zum Verzicht auf das Ticket. Darauf kann man schon hinweisen. Letztlich ist der Verzicht bei einem freiwilligen Angebot, eine Handlungsalternative. Bei einer Lernplattform, die nicht als Lehrmittel durch ein Bundesland eingeführt worden ist, besteht die Alternative darin, alle Materialien in Papierform zu erhalten.

9) Rechte der betroffenen Person

Betroffene sind auf die von der DS-GVO vorgebenen Rechte gegenüber der datenverarbeitenden Stelle hinzuweisen. Das sind das Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung , ein Widerspruchsrecht gegen die Verarbeitung und ein Recht auf Datenübertragbarkeit. Und dazu kommt noch ein Beschwerderecht bei der Aufsichtsbehörde.

10) Ort, Datum und Unterschrift

Damit klar ist, wann die Einwilligung abgegeben wurde, sollte ein Datum angegeben werden, üblicherweise geschieht dieses mit einer Ortsangabe. Bei Schülern unter 14 Jahren unterschreiben die Eltern. Je nach Datenart und Verarbeitungszweck unterschreiben bei Schülern ab 14 Jahren diese alleine oder gemeinsam mit den Eltern. Hier spielen Einsichtsfähigkeit des Schülers und Komplexität der geplanten Datenverarbeitung eine Rolle. Muss man davon ausgehen, dass ein Schüler auch mit 14 oder 15 Jahren die Folgen und Tragweite einer Einwilligung nicht abschätzen können, sollten immer auch die Eltern mit unterschreiben.


Es sind einige Informationen, die so gegeben werden müssen, damit eine Einwilligung rechtswirksam ist. Das macht Einwilligungsformulare lang und kostet Platz und Papier. Es gibt jedoch durchaus Möglichkeiten, eine Einwilligung inhaltlich zu verkürzen, wenn den Betroffenen bereits entsprechende Informationen an anderer Stelle, etwa bei der Anmeldung an der Schule gegeben wurden. Wie dieses genutzt werden kann, erklärt der Beitrag Auf die Information nach Art. 13 bei der Anmeldung an der Schule kommt es an.

v.1.1

Die Einwilligung

Lesezeit: < 1 Minute

Im Schulalltag werden die meisten personenbezogenen Daten auf gesetzlicher Grundlage verarbeitet. Es gibt jedoch viele Fälle, wo personenbezogene Daten benötigt werden, deren Verarbeitung nicht zu den durch das Schulgesetz und die Verordnungen zur Datenverarbeitung legitimiert ist. Vielfach kommt so etwas im Zusammenhang mit Unterricht vor. Hier erfahren Sie alles, was man zum Thema Einwilligung im schulischen Alltag wissen sollte.

DS-GVO – Datenschutz – welche Baustellen sind für Schulen aktuell wichtig?

Lesezeit: 6 Minuten

Mit Beginn der Umsetzung der Datenschutz Grundverordnung (DS-GVO) im Mai diesen Jahres begann für viele Schulen eine Zeit mit großen Unsicherheiten. Kann mir als Schule etwas passieren? Wo muss etwas getan werden? Sind Abmahnungen und Bußgelder in Millionenhöhe eine Gefahr und wie kann ich sie vermeiden? Vor allem die Homepages der Schulen wurden vielfach zum Sorgenkind, da sich hartnäckig Gerüchte über Abmahnungen für fehlende Datenschutzerklärungen und Datenerhebungen ohne Einwilligung hielten. Auch was Fotografien angeht, war und ist die Unsicherheit groß, wie Beispiele mit Fotoverboten bei Entlass- und Einschulungsfeiern und Massenlöschungen von Bildern auf Schulhomepages zeigen.

Mittlerweile hat sich die Aufregung gelegt. Manches wird klarer. Einige Reaktionen an Schulen waren vielleicht etwas übereilt und teilweise auch völlig überzogen, wenngleich verständlich und nachvollziehbar. Bei aller Aufregung um die Datenschutz Grundverordnung sollte jedoch nicht vergessen werden – im schulischen Alltag funktioniert der Datenschutz bisher mehrheitlich gut, und daran hat sich seit Mai diesen Jahres auch nichts geändert.

Nichts wird so heiß gegessen, wie es gekocht wird. Das gilt hier ebenso. Ganz sicher gibt es an fast jeder Schule Optimierungsbedarf beim Datenschutz, doch Schulen haben genug andere, drängendere Probleme zu bewältigen. Die folgende Übersicht soll vermitteln,  wo zeitnah Handlungsbedarf besteht und bei welchen Datenschutzthemen man es ruhiger angehen lassen kann.

Einwilligungen

Sie stellen das vermutlich dringlichste Thema dar, denn eine Schule muss nachweisen können, dass eine Einwilligung vorliegt, wenn personenbezogene Daten verarbeitet werden, die nicht auf gesetzlicher Grundlage (SchulG NRW, DS-GVO I & II) erhoben wurden. Nur so kann sie sich vor rechtlichen Folgen schützen. Alte Einwilligungen können, wenn sie gewisse Vorgaben erfüllen, weiter genutzt werden. Trifft das nicht zu oder es gibt gar keine Einwilligungen, sollte man mit gesundem Menschenverstand abwägen, ob es Sinn macht, die Einwilligung zu erneuern bzw. nachträglich einzuholen. Sind die Betroffenen noch Schüler bzw. Beschäftigte der Schule, sollte man auf jeden Fall aktuelle Einwilligungen dieser Personen haben, wenn es um neue Fotografien und Videos geht. Auch bei Zweckänderungen in der Verarbeitung von bereits erhobenen personenbezogenen Daten sollte man sich entsprechend durch eine Einwilligung absichern. Geht es um Bilder oder Berichte auf der Schulhomepage, die Personen sind nicht mehr an der Schule, haben sich aber nie beschwert, so belässt man die Dinge wie sie sind. Sollte irgendwann doch einmal ein Betroffener eine Löschung wünschen, kommt man dieser nach und das Thema ist damit in der Regel erledigt. Dass sich hieraus ein Rechtsstreit ergibt ist mit der DS-GVO nicht wahrscheinlicher geworden als zuvor.

Einwilligungen stehen hier an erster Stelle, da Betroffene vor Gericht auf Schadensersatz klagen können, wenn die Schule personenbezogene Daten ohne ihre Einwilligung verarbeitet und diese z.B. auf der Schulhomepage veröffentlicht oder an Dritte übermittelt.

Risiken minimieren

Auch wenn es insgesamt gut bestellt ist um den Datenschutz in der Schule, so beobachtet man doch immer wieder Praktiken, die riskant sind und zu viel Ärger und empfindlichen Strafen führen können, wenn es dann doch einmal schief geht. Gemeint sind folgende Bereiche:

  1. Keine personenbezogenen Daten per E-Mail versenden, wenn das E-Mail nicht verschlüsselt ist. Der Schulträger, die Verkehrsbetriebe oder eine andere Stelle benötigt eine Liste mit Teilnehmern oder das Schulamt fragt an wegen eines Schülers. Tabellen und Word Dokumente werden dann schnell verschickt. Es ist einfach und bequem – aber extrem unsicher! Auch wenn es mehr Arbeit macht, nutzen Sie einen sicheren Weg und wenn es per Brief ist oder Fax – falls Sie nicht in der Lage sind, E-Mails zu verschlüsseln.
  2. Transport von personenbezogenen Daten nur auf gesicherten Datenträgern! Einen USB Stick hat man schnell verloren, eine externe Festplatte bleibt auch einmal wo liegen. Ungesichert kann jeder den Inhalt auslesen. Falls man selbst keinen USB Stick verschlüsseln kann – es gibt solche mit integrierter Verschlüsselung. Sie kosten zwischen 20 und 30 € und sind einfach zu nutzen und sicher.
  3. Keine Aufnahmen von Schülerinnen und Schülern mal eben so! Es gibt viele schöne Projekte im Unterricht, wo es passend scheint, Aufnahmen zu anzufertigen, Bewegungsanalysen im Sportunterricht, ein Sketch im Fremdsprachunterricht und ähnlich. Auch wenn die Schüler nichts dagegen haben, sichert man sich besser durch eine Einwilligung ab. Man kann dieses bei der Anmeldung an der Schule machen oder später anlassbezogen nachholen. Besondere Anlässe benötigen immer eine anlassbezogene Einwilligung!
  4. Vor Veröffentlichung von personenbezogenen Daten – insbesondere Fotos und Videos – vergewissern, dass eine Einwilligung vorliegt! Wenn es an ihrer Schule Schüler oder Lehrkräfte gibt, die eine Einwilligung für die Veröffentlichung von personenbezogenen Daten generell oder bestimmten Formen (z.B. Fotos) nicht gegeben oder diese widerrufen haben, gehen sie vor jeder Veröffenlichung sicher, dass hier kein Fehler gemacht wird, denn dieses kann teuer werden. Wer nicht einwilligt oder eine Einwilligung widerruft, wird mit Sicherheit auf seinem Recht bestehen, auch vor Gericht.
  5. Melden sie ihre Schüler nicht mal einfach so auf irgendeiner Plattform an! Solange eine Plattform ohne Anmeldung mit personenbezogenen Daten genutzt werden kann, gibt es keine Probleme. Wenn sie für ihre Schüler ohne Einwilligung auf einer Plattform unter Verwendung personenbezogener Daten User anlegen, kann das Ärger geben. Bitte beachten sie, nach der DS-GVO sind in Deutschland Schüler selbst erst ab 16 Jahren einwilligungsfähig! Denken sie außerdem daran, dass die Nutzung einer externen Plattform mit personenbezogenen Daten eine Genehmigung durch die Schulleitung braucht und eventuell einen Vertrag zur Auftragsverarbeitung.
  6. Geben Sie keine personenbezogenen Daten ohne die entsprechende Einwilligung weiter! Eine Telefonliste für alle Eltern, die am ersten Elternabend anwesend sind, einschließlich der Telefonnummern der Eltern, die nicht anwesend sind, was ist schon dabei? Das örtliche Geldinstitut möchte gerne eine Teilnehmerliste der Zehner haben, die am Seminar in der Filiale teilnehmen. Kein Problem, oder? Leider doch. Schulen dürfen ohne Einwilligung nur personenbezogene Daten weitergeben, wenn dieses durch entsprechende Rechtsvorschriften abgedeckt ist, sonst nicht. Bevor also die Telefonliste herausgegeben wird an alle Eltern mit allen Nummern, muss erst die Einwilligung der fehlenden Eltern eingeholt werden. Bei den Zehnern braucht es die der Schülerinnen und Schüler, schriftlich, damit sie die Einwilligung nachweisen können.
  7. Vernichten bzw. löschen sie personenbezogene Daten sicher! Wenn personenbezogene Daten aus der Schule im Müll auftauchen oder auf dem Flohmarkt, gespeichert auf einer entsorgten Festplatte, dann kann das schwer ins Auge gehen. Deswegen sollten alle diese Unterlagen, ob in Form von Papier oder digitalen Medien sachgerecht und sicher entsorgt werden. In jedes Schulsekretariat gehört ein guter Schredder zumindest DIN 66399‎. Ausgediente digitale Medien sollte man entweder selbst physikalisch zerstören oder durch einen Profi Entsorger vernichten lassen. Gleiches gilt für gößere Aktenmengen. Schulträger haben die entsprechenden Kontakte. Sicheres Löschen bzw. Vernichten gilt auch für Lehrkräfte. Sollen digitale Medien weiter im Haus genutzt werden, müssen sie durch entsprechende Software sicher gelöscht werden. Gehen sie außer Haus ist eine Zerstörung bzw. professionelle Entsorgung der bessere Weg.
  8. Verzichten sie als Schule auf einen Facebook Auftritt – aktuell sieht es sehr danach aus, dass man als Betreiber einer eigenen Facebook Fanpage, und darunter fällt auch eine schulische Facebook Präsenz, Mitverantwortung für die Datenerhebung und -verarbeitung durch Facebook trägt. Wer der Schule übel will, könnte das ausnutzen, um rechtliche Schritte gegen die Schule einzuleiten.1Sollten sie nicht auf die Facebook Präsenz ihrer Schule verzichten wollen, so würde ich auf jeden Fall dringend von der Veröffentlichung irgendwelcher personenbezogener Daten von Schülern und Lehrkräften abraten, vor allem von Fotos und Videos.

Schulhomepage

Auch wenn es bei der Schulhomepage bezüglich des Datenschutz keine Angriffspunkte gibt, wegen derer eine Schule abgemahnt werden könnte, sollte man vorbeugen und die Verarbeitung von personenbezogenen Daten auf das notwendige Minimum reduzieren. Es empfiehlt sich sehr, auf Website Elemente zu verzichten, die Daten erheben und an Dritte weiterleiten und stattdessen auf datenschutzfreundliche Alternativen zu setzen. Wenn es doch nicht ohne geht, dann muss in der Datenschutzerklärung darüber informiert werden. Aktuell gehen rechtliche Risiken in Bezug auf die Schulhomepage weniger von Seiten des Datenschutz aus als von Verletzungen des Urheberrechts oder des Persönlichkeitsrechts. Viele Schulen waren hier schon aktiv und es sollte kaum noch Handlungsbedarf bestehen.

Vertrag zur Datenverarbeitung im Auftrag

Wenn Schulen personenbezogene Daten durch externe Dienstleister verarbeiten lassen, sei es der Hoster für die Website, der Schulträger für ein Lernmanagementsystem, die Office 365 Cloud, Apple für die Managed Apple IDs, Westermanns Leseplattform Antolin oder ähnlich, so muss dieser dazu beauftragt werden. Hier gibt es eine Vorgabe für Schulen in NRW in der VO-DV I §2 Abs. 32(3) Die Schulen und Schulaufsichtsbehörden sind berechtigt, unter Beachtung der Voraussetzung des § 11 DSG NRW die Datensicherheit gewährleistende und zuverlässige Institutionen mit der Verarbeitung ihrer Daten zu beauftragen. Die Datenverarbeitung im Auftrag ist nur zulässig nach Weisung der Schule oder der Schulaufsichtsbehörden und ausschließlich für deren Zwecke.. Das Mittel, um die Beauftragung zu dokumentieren, ist ein Vertrag zur Auftragsverarbeitung, der auch elektronisch abgeschlossen werden kann. Es ist gut, wenn man die entsprechenden Verträge hat. Wer wird es kontrollieren? Vermutlich niemand. Sollte es beim Anbieter zu einem Datenschutzvorfall kommen, ist man mit einem Vertrag aber eindeutig auf der sicheren Seite.

Verzeichnis von Verarbeitungstätigkeiten

Die DS-GVO macht die Vorgabe, diese Verzeichnisse zu erstellen. Was genau eine Verarbeitungstätigkeit von einer anderen abgrenzt, bleibt bislang unklar. Wird der Datenschutz besser durch dieses Verzeichnis? Wohl nicht. Anders als noch die alten Verfahrensverzeichnisse, müssen die neuen Verzeichnisse Betroffenen nicht offengelegt werden. Auch die Vorabkontrolle durch die Datenschutzbeauftragten gibt es nicht mehr. Wenn überhaupt, dann könnte die Aufsichtsbehörde sie anfordern. Aber auch damit ist nicht zu rechnen, denn die geringe Zahl der Mitarbeiter lässt der Aufsichtbehörde dafür kaum Zeit. Man muss sich um Betriebe kümmern. Und anders als bei öffentlichen Stellen, zu denen Schulen zählen, können Betriebe mit Bußgeldern belegt werden, wenn die Dokumentation fehlt oder nicht stimmig ist. Das heißt: Schulen können dieses Thema weit hintenanstellen. Wenn Zeit und Ressourcen da sind, lädt man die passenden Vorlagen herunter, füllt das Vorblatt und ergänzt oder streicht, wo erforderlich und gut ist.