Schlagwort: Schulhomepage

Veröffentlicht am

Google Analytics und Schulhomepage

Lesezeit: 2 Minuten

Lange Zeit war Google Analytics ein beliebtes Tool für die Betreiber von Websites, Informationen über die Anzahl der täglichen Besucher, besuchte Seiten, verwendete Suchbegriffe und ähnlich zu erhalten. Dass man damit auch Google die Türe öffnete, umfangreich Informationen über die Website Besucher zu sammeln, war dabei nur wenigen bewusst. Auch auf Schulhomepages wurde das kostenlose Tool häufig verwendet, bis zum Beginn der Umsetzung der DS-GVO. Mit der dann einsetzenden Unsicherheit bezüglich der rechtlichen Zulässigkeit einer Nutzung verabschiedeten sich viele Schulen von Google Analytics und wechselten zu datenschutzfreundlicheren Alternativen oder verzichteten komplett auf eine Erhebung und Auswertung der Besucherzahlen.

Mittlerweile haben sich einige Veränderungen ergeben. Google hat nachgebessert bei den Administrationsmöglichkeiten in Google Analytics. Das hat auch Auswirkungen auf die datenschutzrechtliche Zulässigkeit der Nutzung dieses Tools.*

Nach Aussagen des Bayerischen Landesamtes für Datenschutzaufsicht im 9. Tätigkeitsbericht (2019) ist eine Nutzung von Google Analytics durchaus möglich, auch ohne Einwilligung, setzt dann jedoch die richtige Konfiguration des Tools voraus. Entsprechend heißt es im Bericht auf S. 30f:

Google Analytics kann datenschutzkonform eingesetzt werden. Voraussetzung dafür ist aber, dass der Website-Betreiber neben der erforderlichen Information auch die notwendigen Konfigurationen vornimmt.

Schulen, die auf ihrer Homepage noch immer Google Analytics nutzen, sollten also unbedingt prüfen, ob sie das Tool so eingestellt haben, dass keine Daten mit Google geteilt werden. Standardmäßig ist die sogenannte „Datenfreigabe“ an Google durch den Dienst aktiviert. Sie muss durch die Schule deaktiviert werden, um eine datenschutzfreundliche Nutzung zu ermöglichen. Die Einstellungen findet man unter Tab Verwaltung > Kontoeinstellungen > „Einstellungen für die Datenfreigabe“. Wie im Screenshot gezeigt, sollten keine der Optionen ausgewählt sein.

Auch wenn mit diesen Einstellungen keine Einwilligung der Seitenbesucher zur Nutzung von Google Analytics mehr einzuholt werden muss, ist eine Information über den Einsatz des Tools zur Reichweitenmessung in der Datenschutzerklärung der Homepage notwendig.

Nicht zu vergessen ist, dass auch ohne eine Weitergabe der Analytics Daten an Google ein Vertrag zur Auftragsverarbeitung mit Google weiterhin erforderlich ist und auch die IP Nummern der Nutzer nicht vollständig erfasst werden sollten.1Weitere Informationen dazu finden sich bei Google unter https://support.google.com/analytics/answer/3379636 Dort finden sich im Menü auf der rechten Seite auch Informationen zu Einstellungen und zum Thema IP-Anonymisierung; abgerufen am 29.01.2020

Mit diesem Beitrag sollen Schulen ausdrücklich nicht motiviert werden, Google Analytics zu nutzen. Es gibt andere Werkzeuge, die aus Sicht des Datenschutz eindeutig sicherer sind. Der Beitrag richtet sich an Schulen, die das Google Tool weiterhin nutzen.

* Der Beitrag stellt die datenschutzrechtliche Lage mit Stand von Januar 2020 dar. Bitte beachten Sie, dass sich durch Änderungen Seitens Google eine neue datenschutzrechtliche Bewertung bezüglich der Zulässigkeit einer Nutzung von Google Analytics ergeben kann.

Social Media in die Schulhomepage einbinden

Lesezeit: 5 Minuten

Nutzt eine Schule Social Media Kanäle zur Außendarstellung direkt über die Seiten der Anbieter, so ist dieses in Bezug auf das Thema Datenschutz eine Sache. Werden die Social Media Auftritte der Schule zusätzlich in die Schulhomepage eingebunden, kommen ergeben sich in Bezug auf die datenschutzrechtliche Verantwortung der Schule weitere Aspekte, die zu berücksichtigen sind. Diese sollen hier beleuchtet werden.

Datenfluss bei Embed von Social Media

Werden Social Media wie Twitter oder Instagram über ein Embed in die Website eingebunden, fließen automatisch Daten der Besucher der Seite an den Social Media Anbieter, nicht anders als würde man diesen Anbieter direkt auf der Seite besuchen. Entsprechend äußert sich auch der LDI Baden Württemberg, dessen Behörde einen Twitter Account betreibt bis Ende Januar 2020 einen Twitter Account betrieb, zu dieser Thematik1Quelle des Zitats: https://www.baden-wuerttemberg.datenschutz.de/twitter-datenschutzfolgenabschaetzung/ (abgerufen 11/2019) Die Datenschutzfolgenabschätzung ist mittlerweile nicht mehr online verfügbar (03.2020).

Technisch besteht die Möglichkeit, in eigene Webseiten aktive Elemente von Sozialen Netzwerken, auch von Twitter, zu integrieren. Derartige Elemente informieren das Soziale Netzwerk (oder ggf. sonstige Dritte) von dem Besuch auf einer bestimmten Seite. Ist der Besucher mit seinem (z.B. Twitter-)Account angemeldet, so ist er für den Dritten (z.B. Twitter) identifiziert. Auch wenn er nicht angemeldet oder sogar gar nicht registriert ist, sind Profilbildung und Wiedererkennung möglich.

Danach ist die Einbindung derartiger Elemente nicht erlaubt, wenn nicht die informierte, freiwillige und vorherige, aktiv und separat erklärte Einwilligung des Nutzers vorliegt.

Daraus ergibt sich die Erfordernis, die Besucher vorher über diese Art von Datenverarbeitung zu informieren, ähnlich wie diese jetzt bei den nicht erforderlichen Cookies oder bei der Einbettung von Social Media Buttons notwendig ist. Erst wenn die Besucher diesbezüglich einwilligen oder einen Link klicken, werden die Cookies gesetzt, die Social Media Sharing Buttons auf der Website aktiviert und können genutzt werden. Entsprechend ist es aus Sicht des Datenschutzes erforderlich, wenn man Twitter, Instagram oder ähnliche Anbieter entsprechend einbindet. 

Lösungsmöglichkeiten

Es gibt verschiedene Möglichkeiten, die Datenerhebung durch Social Media Embed Elemente2Embed bezeichnet die technische Möglichkeit, Inhalte anderer Websites innerhalb der eigenen Website einzubetten, so das der Inhalt der anderen Website unmittelbar von der Quelle angezeigt wird, so als würde man diese Seite direkt aufrufen. in einer Seite zu unterbinden.

Information

Datenschutzerklärung

Die saubere Einbettung von externen Social Media Inhalten ist die eine Seite der Medaille. Die andere ist die Information der Website Besucher über die Datenschutzerklärung. Dort muss ein entsprechender Passus enthalten sein. Dieser sollte nicht nur auf die Datenschutzerklärung des Social Media Anbieters verlinken, sonder auch darüber hinausgehend informieren, welche Datenverarbeitung im Zusammenhang mit der Einbettung in die Schulhomepage erhoben werden. Dazu gehört die Identifizierung des Besuchers durch den Social Media Anbieter. Ist der Besucher gleichzeitig bei diesem Anbieter eingeloggt, kann der Anbieter dem Besucher den Seitenbesuch auf der Schulhomepage zuordnen. Je nach Anbieter kann solches auch ohne Anmeldung oder eigenes Profil beim Social Media Anbieter möglich sein (z.B. Facebook Schatten Profil).

Information beim Embed

Wichtig ist, dass die Besucher der Seite vor Aktivierung der Social Media Embeds bzw. Besuch des Social Media Angebotes (auf einer andere Seite der eigenen Homepage) einen Hinweis erhalten über die damit einhergehende Datenerhebung, der auch auf die Datenschutzerklärung verweist für vertiefende Informationen. Es sollte in den meisten Fällen ausreichen, wenn außerdem darauf hingewiesen wird, dass die Besucher durch Anklicken in die erforderliche Datenverarbeitung einwilligen.

Plugins & Tools

Welche Möglichkeiten es dazu in technischer Hinsicht gibt, hängt vom genutzten System für die Website ab. Bei WordPress kann man so etwas über Plugins lösen, bei anderen Systemen muss man eventuell etwas von Hand erstellen. Es gibt darüber hinaus verschiedene Techniken. Ein Beispiel ist die Einbettung von YouTube Videos, bei denen nur ein Vorschau Bild generiert wird, welches mit dem Video selbst verlinkt ist. Das wird dann in den iframe geladen, wenn dieses Bild angeklickt wird. Bis dahin fließen keine Daten an YouTube. Vergleichbare Ergebnisse bei Nutzung einer etwas anderen Technik liefert Embetty für WordPress von Heise Online 3Die Nutzung setzt allerdings die Einrichtung eines kleinen Proxy Servers voraus.

Verlinkung

Ist eine Umsetzung mittels Plugin oder anderer Tools nicht möglich, bleibt immer noch die Option, über einen Link zu arbeiten. Dieser Link kann entweder über einen Textlink oder ein Bild erfolgen. Dabei gibt es zwei Optionen, wohin der Link verweist. Er kann direkt auf das Social Media Angebot führen oder er kann auf eine andere Seite innerhalb der Homepage verweisen, in welcher das Social Media Angebot direkt eingebettet ist, ohne weitere Schutzmaßnahmen. Wichtig wäre bei letzterer Option, dass diese Seite nicht über eine Suche innerhalb der Website oder eine Suche über eine Suchmaschine direkt aufgerufen werden kann. In Systemen wie WordPress lassen sich Seiten aus der Suchfunktion ausschließen. Für Suchmaschinen muss der Ausschluss aus der Suche über einen entsprechenden Meta Tag umgesetzt werden.4Leider ist der robots txt noindex Meta Tag keine Gewähr mehr, dass Suchmaschinen eine einzelne Seite nicht in den Index aufnehmen, da Google die Berücksichtigung dieses Tags im Juli 2019 gestoppt hat.

Kann eine Schule aktuell überhaupt noch einen eigenen Social Media Kanal betreiben?

Wenn sogar Behörden und Aufsichtsbehörden eigene Social Media Auftritte haben, sollte eine Nutzung auch für Schulen möglich sein. Wie oben beschrieben, sind dabei jedoch einige Dinge zu beachten.5Da der Inhalt dieser Seite auf Anfrage entstand, überschneidet sich ein Teil der folgenden Inhalte mit denen anderer Seiten zum Thema Social Media und Schule.

Nur eine Informationsmöglichkeit von mehreren

Für Besucher der Seite, ob externe Besucher oder Schüler, Eltern und Lehrkräfte sollten die über den Social Media Account bereitgestellten Inhalte und Informationen möglichst auch auf einem anderen Weg bereitgestellt werden. Besucher dürfen nicht gezwungen sein, den Social Media Dienst zu nutzen bzw. den Embed in der Schulhomepage zu aktivieren, um an Informationen, welche sie zwingend erhalten müssen, zu gelangen. Werden in den Social Media Kanal nur “unwichtige” Informationen eingestellt, besteht keine Erfordernis, sie auch auf anderem Wege zur Verfügung zu stellen.

Alternative Zugangswege

Um Personen aus der Schule, die am Social Media Auftritt der Schule interessiert sind, eine Möglichkeit zu geben, diese Inhalte auch im Social Media Kanal selbst anzusehen könnte die Schule alternative Zugangswege bieten. Das könnte eine Einbindung in digitale Schwarze Bretter im Schulgebäude sein oder die Möglichkeit, den Social Media Kanal über schulische Rechner zu besuchen, die einen un-personalisierten Zugang erlauben (z.B. Zugang über Rechner ohne Logins an irgendwelchen externen Diensten, die eine Verbindung zu Social Media Anbietern haben, Gastzugang auf einem Rechner, Brave Browser im Anonym Modus mit Schutz durch TOR Netzwerk)

Vertrag zur Auftragsverarbeitung bzw. Gemeinsame Verantwortlichkeit

Wenn die Schule einen eigenen Social Media Auftritt hat, werden dabei personenbezogene Daten verarbeitet. Das sind auf jeden Fall personenbezogene Daten der Besucher des Auftritts und können je nach Nutzung auch personenbezogene Daten der Personen sein, welche den Auftritt betreuen. Außerdem kommen personenbezogene Daten von Personen aus der Schule in Betracht, wenn solche über den Auftritt veröffentlicht werden. Aus diesem Grund muss zwischen der Schule als verantwortlicher Stelle und dem Social Media Anbieter ein Vertrag geschlossen werden, welcher die Verantwortlichkeiten, Rechte und Pflichten beider Seiten regelt. Da Social Media Anbieter die durch die Plattform erhobenen Daten auch immer für eigene Zwecke nutzen, kommt ein Vertrag zur Auftragsverarbeitung im Sinne von Art. 28 DS-GVO in der Regel nicht in Betracht. Stattdessen bedarf es einer Vereinbarung gemäß Artikel 26 DS-GVO, in welchem die Zwecke und Mittel zur Verarbeitung gemeinsam festgelegt werden wie auch wer für die Erfüllung der verschiedenen Verpflichtungen, welche sich aus der DS-GVO ergeben, verantwortlich ist. Dabei sind insbesondere zu regeln, wer für die Wahrnehmung der Rechte der betroffenen Person zuständig ist, und in wessen Zuständigkeit die Erfüllung der Informationspflichten gemäß den Artikeln 13 und 14 liegt.

Personenbezogene Daten aus der Schule in Social Media

Solange eine Schule ihren Social Media Account ohne personenbezogene Daten aus der Schule nutzt und nur allgemeine Informationen darüber verbreitet, die gegebenenfalls auch noch auf anderem Wege genauso einfach zu erhalten sind, etwa über einen Blog oder ein Nachrichten Board auf der Schulhomepage, ist die Nutzung insgesamt datenschutzrechtlich wenig problematisch. Sollen auch personenbezogene Daten von Personen aus der Schule darüber verbreitet werden, so setzt dieses eine informierte und freiwillige Einwilligung der Betroffenen voraus. Jugendliche können hier vor Vollendung des 16. Lebensjahres nicht eigenständig einwilligen, da es sich bei Social Media Kanälen in der Regel um Dienste der Informationsgesellschaft im Sinne von Art. 8.1 DS-GVO handelt.6Siehe hierzu auch den Beitrag Auswirkungen der DS-GVO auf die Einwilligungsfähigkeit von Schülern Die Schule sollte darüber hinaus auch ihre ethische und moralische Verantwortung gegenüber den Schülerinnen und Schülern nicht außer acht lassen. Bei älteren Schülern, welche über einen eigenen Instagram Account verfügen und diesen auch aktiv nutzen, spricht sicherlich weniger gegen eine aktive Beteiligung an einem Social Media Auftritt der Schule mittels Posts und Fotos die der Person zugeordnet werden können als bei Schülern, die selbst (noch) nicht aktive Social Media Nutzer sind.

Lernanlass

Besitzt eine Schule einen Social Media Account, so sollte die damit verbundene datenschutzrechtliche Problematik mit den Schülern auf jeden Fall thematisiert werden. Es sollte für Schüler klar sein, warum die Schule dieses Medium nutzt und welche Risiken eine Nutzung für Betroffene in Bezug auf ihr Recht auf informationelle Selbstbestimmung, Profilbildung, Cyberbullying, … darstellen kann.

Weiter lesen

Wer mit dem Gedanken spielt, Social Media in die Schulhomepage einzubinden, sollte unbedingt die aktuellen Entwicklungen bezüglich der Nutzungsmöglichkeiten von Social Media durch Behörden bzw. öffentliche Stellen und Firmen berücksichtigen – siehe dazu Schule Social Media Auftritt – Stand Januar 2020.

Veröffentlicht am

Brauchen Schulen Datenschutzerklärungen zu den Verarbeitungsprozessen in der Schule?

Lesezeit: 6 Minuten

Frage

Vor einiger Zeit kam die Frage auf, ob Schulen neben der Datenschutzerklärung der Homepage zusätzlich auch eine Datenschutzerklärung bezüglich der Verarbeitung von personenbezogenen Daten in der Schule benötigen, die dann ebenfalls auf der Schulhomepage veröffentlich wird.

Rechtliche Grundlagen

Art. 12 DS-GVO Abs. 1 fordert ein, dass Betroffene informiert werden und diese Informationen leicht zugänglich sind.

“Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; […] Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch.”

Entsprechend gibt der zugehörige Erwägungsgrund 58 folgende Erläuterung:

“Der Grundsatz der Transparenz setzt voraus, dass eine für die Öffentlichkeit oder die betroffene Person bestimmte Information präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst ist und gegebenenfalls zusätzlich visuelle Elemente verwendet werden. Diese Information könnte in elektronischer Form bereitgestellt werden, beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist.”

Das Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen (IFG NRW) führt aus:

§ 12
Veröffentlichungspflichten
Geschäftsverteilungspläne, Organigramme und Aktenpläne sind nach Maßgabe dieses Gesetzes allgemein zugänglich zu machen. Die öffentlichen Stellen sollen Verzeichnisse führen, aus denen sich die vorhandenen Informationssammlungen und -zwecke erkennen lassen. Soweit möglich hat die Veröffentlichung in elektronischer Form zu erfolgen. § 4 Abs. 2 Satz 1 dieses Gesetzes bleibt unberührt.

Wie sind diese Vorgaben zu verstehen?

Von rechtlicher Seite gibt es Vorgaben, sowohl von der DS-GVO wie auch vom IFG. Beide lassen jedoch Spielraum für die Umsetzung. Zu beachten ist dabei ein Unterschied zwischen DS-GVO und IFG. Während es bei der DS-GVO ausschließlich um die Rechte der Betroffenen geht, betrifft das IFG die Öffentlichkeit und deren Recht auf Informationen.

Schulen unterliegen entsprechend der DS-GVO dem Gebot der Transparenz wie jede andere datenverarbeitende öffentliche Stellen. Nach Art. 13 sind Betroffene zum Zeitpunkt der Erhebung von personenbezogenen Daten bezüglich der beabsichtigten Verarbeitung und ihrer Rechte zu informieren. Werden die personenbezogenen Daten nicht beim Betroffenen selbst erhoben, sind diese nach Art. 14 entsprechend nachträglich zu informieren.

Das IFG fordert von öffentlichen Stellen, Informationen zu verarbeiteten Daten und den Verarbeitungszwecken möglichst in elektronischer Form zu veröffentlichen. Es geht hier um eine Veröffentlichungspflicht. Die Veröffentlichung auf einer Internetseite wäre eine elektronische Form. Zum Vergleich: auf Bundesebene gibt es für Behörden gemäß dem IFG des Bundes eine Veröffentlichungspflicht im Internet.1 Der Bund gibt unter Anwendungshinweise zum Informationsfreiheitsgesetz zur Veröffentlichung folgende Informationen:
Welche Veröffentlichungspflichten bestehen im Internet?
Die Behörden des Bundes sollen geeignete Informationen möglichst umfassend im Rahmen aktiver Informationspolitik nach und nach in das Internet einstellen (§ 11 Abs. 3). Das IFG geht jedoch nicht über die bestehenden Verpflichtungen aus dem Kabinettbeschluss zur langfristigen Sicherung der im Rahmen der eGovernment-Initiative BundOnline 2005 getätigten Investitionen vom 9. März 2005 hinaus.
Insbesondere Organisations- und Aktenpläne ohne Angabe personenbezogener Daten sollen beim Internetauftritt jeder Behörde berücksichtigt werden. Solche Organisations- und Aktenpläne sollen es dem Bürger erleichtern, sich einen Überblick der vorhandenen Informationen zu verschaffen. Wie detailliert solche Pläne eingestellt werden, entscheidet jede Behörde selbst.

Zwischen den Vorgaben der DS-GVO und des IFG gibt es Unterschiede im Umfang der Informationen. Während sich das IFG auf eine Information über vorhandene Informationssammlungen und -zwecke beschränkt, geht es bei der DS-GVO um sehr viel genauere Informationen (z.B. Betroffene, Rechtsgrundlage, Zwecke der Verarbeitung, Kategorien von Daten und Empfängern, Dauer der Speicherung, Rechte der Betroffenen).

In Art. 12 ist vorgegeben, dass der Verantwortliche, hier die Schulleitung, “geeignete Maßnahmen” trifft, die Betroffenen zu informieren, und dass die Informationen in “leicht zugänglicher Form” bzw. “leicht zugänglich” zu übermitteln sind. Für die Form gibt es keine exakt definierten Vorgaben. Die Bereitstellung in elektronischer Form auf einer Website wird im Erwägungsgrund als eine Möglichkeit angegeben. Das IFG  wird etwas deutlicher und fordert die elektronische Form, sofern möglich.

Entsprechend dem IFG würde es praktisch ausreichen, auf die VO-DV I und II zu verlinken, da das IFG selbst keinerlei Vorgaben macht, wie einfach oder verständlich diese Angaben sein müssen. Auch der Begriff Verzeichnis ist nicht exakt definiert. Eine Formulierung auf der Schulhomepage könnte so lauten, wie die obere Tabellenzelle. Wenn man etwas ausführlicher sein möchte, fügt man die Inhalte der restlichen Zellen an.

Information über Informationssammlungen und -zwecke gemäß §12 Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen  (IFG NRW)

Die Schule verarbeitet die personenbezogenen Daten von Schülern, Erziehungsberechtigten und Lehrkräften in dem Umfang und für die Zwecke, wie sie durch das SchulG NRW, VO-DV I (Schüler, Erziehungsberechtigte) und VO-DV II (Lehrkräfte) vorgegeben sind.
Informationssammlung Schüler/ Erziehungsberechtigte
Schülerstammblatt

  1. die Personaldaten der in § 1 Abs. 1 Nr. 1 – 3 genannten Personen (Individualdaten) gemäß Abschnitt A Nr. I der Anlage 1,
  2. die Information zur schulischen Laufbahn der Schülerin oder des Schülers (Organisations- bzw. Schullaufbahndaten) gemäß Abschnitt A Nr. II der Anlage 1,
  3. die Angaben über den individuellen Leistungsstand der Schülerin oder des Schülers (Leistungsdaten) gemäß Abschnitt B der Anlage 1,
  4. die für die einzelnen Schulformen oder Schulstufen benötigten zusätzlichen Informationen (schulform- oder schulstufenspezifische Zusatzdaten) gemäß Abschnitt C der Anlage 1.

sonstiger Datenbestand
Zwecke
  • Schülerverwaltung
  • Leistungsdatenverwaltung
  • Zeugniserstellung
  • Unterrichtsplanung
  • Schulstatistik
  • Diagnostik/ Erstellung von Förderempfehlungen/ individuellen Förderplänen
  • Schulpflichtüberwachung
  • Kontaktaufnahme mit den Erziehungsberechtigten
  • Evaluation und Qualitätsentwicklung
  • Öffentlichkeitsarbeit
  • Erstellung von Fördergutachten (AO-SF Verfahren)
  • Schülerspezialverkehr (an Förderschulen)
  • Praktikumsverwaltung
  • Erziehungs- und Ordnungsmaßnahmen
  • Dokumentation im Klassenbuch
  • Dokumentation von Konferenzen
Informationssammlung Lehrkräfte
 Datenbestand in der Schule

  • Person
  • Werdegang
  • Vorbereitungsdienst,   Staatsprüfung
  • Qualifikationen
  • Laufbahn
  • Beschäftigung
  • Unterricht
  • Geschäftsablauf

Akten der Schulleitung

  • Persönliche Angaben
  • Ausbildung, sonstige Tätigkeiten, besondere Fähigkeiten
  • Tätigkeiten an der Schule
  • Weitere Angaben
Zwecke
  1. Planung und Ermittlung des Unterrichtsbedarfs, Durchführung des Unterrichts
  1. Planung und Einrichtung von Bildungsgängen, Klassen und Gruppen; Ermittlung und Deckung besonderer Bedarfe und Förderungsbedarfe; Unterrichtsorganisation; Unterrichtsverteilung
  2. Aufstellen von Aufsichts-, Prüfungs-, Stunden- und Vertretungsplänen, Sprechstundenlisten sowie Übersichten der an der Schule Beschäftigten
  1. Erledigung der laufenden schulischen Angelegenheiten
  1. Berichte in arbeits-, dienst- und personalrechtlichen Angelegenheiten und Angelegenheiten der Lehrerversorgung
  2. Berichte zur Vorbereitung von Dienstleistungszeugnissen, Beratung zur dienstlichen Beurteilung, Berichte in disziplinarrechtlichen Angelegenheiten
  3. Beantwortung von Anfragen und Erhebungen der Schulaufsichtsbehörden sowie anderer Behörden aus dem Geschäftsbereich des für die Schule zuständigen Ministeriums
  4. Durchführung von Maßnahmen der Qualitätsentwicklung und Qualitätssicherung gemäß § 3 Abs. 4 SchulG
  1. Statistische Daten
  2. Lehrerausbildung (Ausbildungslehrerinnen und -lehrer, Lehramtsanwärterinnen und Lehramtsanwärter und Lehrkräfte in Ausbildung)
  3. Lehrerfortbildung
  4. Erfüllung der Schulleitungsaufgaben

Entsprechend der DS-GVO müssen Betroffene (Schüler und Erziehungsberechtigte sowie Lehrkräfte) bei der Erhebung von Daten oder, sofern die Daten nicht bei ihnen direkt erhoben wurden, nachträglich informiert werden. Die unmittelbare Information kann mittels eines entsprechenden Informationsschreibens2“Informationen Schule (NRW) – datenschutz-schule.info.” https://datenschutz-schule.info/service-downloads/informationen-schule-nrw/. gegeben werden, welches den Betroffenen ausgehändigt wird, so dass sie jederzeit über die von der Schule verarbeiteten Daten und ihre Rechte im Bilde sind. Erforderlich ist diese Art von Information bei Schülern und ihren Erziehungsberechtigten erstmals bei der Anmeldung an der Schule, bei Lehrkräften, wenn sie den Dienst an einer neuen Schule aufnehmen, welche dazu personenbezogene Daten von ihnen selbst oder einer anderen Stelle (Stammschule/ abgebende Schule/ Schulamt/ Bezirksregierung) erhält.

Die DS-GVO unterscheidet beim Transparenzgebot im Erwägungsgrund 58 zwischen betroffener Person und Öffentlichkeit. Nur wenn es um Informationen zur Herstellung von Transparenz geht, welche für die Öffentlichkeit bestimmt sind, wird die Veröffentlichung auf einer Website als Möglichkeit vorgeschlagen. Für die Information der Betroffenen selbst wird dieses nicht vorgeschlagen. Da die Formulierung von Art. 12 Abs. 1 Satz 1 sehr offen ist, bleibt dem Verantwortlichen Gestaltungsspielraum.

“Insgesamt belässt Abs. 1 S. 1 dem Verantwortlichen bei der Wahl der Darstellungsweise einen beträchtlichen Gestaltungsspielraum.”3Bäcker in Kühling/Buchner Art. 12 Abs. 1 Rn. 12

Es lässt sich aus keiner Stelle in der DS-GVO eine eindeutige Vorgabe ableiten, dass zur Herstellung von Transparenz eine Veröffentlichung von Informationen entsprechend Art. 13 und 14 auf der Schulhomepage erforderlich ist. Genausowenig ist ersichtlich, dass eine Schule die Öffentlichkeit informieren muss.

Abgesehen davon spricht jedoch auch nichts dagegen, die Informationen zur Verarbeitung von personenbezogenen Daten von Betroffenen zusätzlich leicht auffindbar auf der Schulhomepage zu hinterlegen als Informationen über die Datenverarbeitung an der Schule nach DS-GVO Art. 12. Dort könnte man dann die Informationen aus den Informationsschreiben direkt in die Webseite einstellen und eventuell auch noch die Schreiben als PDFs zum Download anzubieten.

Wie das MSB das Thema sieht

Das Ministerium für Schule und Bildung (MSB) hat sich auf den Seiten der Medienberatung zum Thema Informationspflicht nach Art. 13 DS-GVO geäußert4“Homepage der Schulen – Bildungsportal NRW.” https://www.schulministerium.nrw.de/docs/Recht/Datenschutz/Umsetzung-EU-Datenschutzgrundverordnung/Regelungsbereiche/Homepage-der-Schulen/index.html.. Das MSB schlägt vor, der Informationspflicht über die Schulhomepage nachzukommen, um den Verwaltungsaufwand für die Schule in Grenzen zu halten. Es sollte dann ausreichend sein, “mittels Link auf die ausführlichen Vorgaben der VO DV I und II” zu verweisen. Da die DS-GVO Information aber auch eine Information zum Zeitpunkt der Datenerhebung verlangt, sollen Schulen den Erziehungsberechtigten bzw. volljährigen Schülern bei Anmeldung an der Schule einen “einen Papierausdruck der VO DV I” aushändigen.

Auch wenn dieser Vorschlag gut gemeint ist, so widerspricht er einem der wichtigen Grundsätze der DS-GVO, wie dem Zitat zu Beginn des Textes zu entnehmen. Der Erwägungsgrund wird noch deutlicher. Die Information soll in “präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst” sein. Dem entspricht die VO-DV I wohl kaum.

Aus den Ausführungen des MSB lässt sich, was für die Fragestellung hier noch bedeutsamer ist, keinerlei Verpflichtung zur Veröffentlichung dieser Informationen auf der Schulhomepage ableiten.

Fazit

  • Schulen müssen entsprechend der Vorgaben der DS-GVO Besucher ihrer Schulhomepage (Betroffene) über die Verarbeitung von personenbezogenen Daten auf der Website selbst in Form einer Datenschutzerklärung informieren.
  • Schulen sollen als öffentliche Stellen gemäß der Vorgaben des IFG NRW in elektronischer Form Verzeichnisse führen, welche die Öffentlichkeit über Informationssammlungen und -zwecke informiert. Das erfolgt am zweckmäßigsten vermutlich über die Schulhomepage.5Mir ist bisher keine Schule bekannt, welche derartige Informationen nach dem IFG auf ihrer Schulhomepage eingestellt hat. Auch, dass es wegen des Fehlens solcher Informationen Probleme gegeben hat, ist mir nicht bekannt.
  • Schulen können ergänzend zu einer direkten Information der Betroffenen vor oder nach der Datenerhebung zusätzlich über die Verarbeitung personenbezogener Daten entsprechend Art. 13 und 14 auf ihrer Homepage informieren, wenn die Schulleitung darin eine geeignete Maßnahme sieht, der Informationspflicht nachzukommen.

Zu den Informationen, die nach dem IFG NRW auf einer Schulhomepage veröffentlicht werden sollen, gehören neben Informationen über die Schulleitung auch solche über die Lehrkräfte, deren Funktion in der Schule und Angaben zur dienstlichen Erreichbarkeit. Siehe dazu den Beitrag: Welche personenbezogenen Daten von Lehrkräften dürfen OHNE Einwilligung auf die Schulhomepage?

Die Schulhomepage

Lesezeit: < 1 Minute

Bei der Schulhomepage gibt es in Bezug auf das Thema Datenschutz einige Dinge zu beachten. Das beginnt bei den Funktionalitäten der Webseite, geht weiter bei einer den Vorgaben entsprechenden Datenschutzerklärung an und endet bei den erforderlichen Einwilligungen für die Nutzung personenbezogener  Daten von Personen aus der Schule. Der Vollständigkeit halber gibt es hier auch ein paar Informationen zum Thema Impressum und zum Persönlichkeitsrecht, da es hier Überschneidungen mit dem Datenschutz gibt.

Die Datenschutzerklärung gibt Informationen darüber, wer auf der Schulhomepage personenbezogenen Daten erhebt, für welchen Zweck dieses geschieht, auf welcher Rechtsgrundlage, wie lange die Daten gespeichert werden und welche Rechte der Nutzer der Webseite hat in Bezug auf die von ihm genutzten personenbezogenen Daten. Die folgenden Hinweise zur Datenschutzerklärung entstanden in Anlehnung an eine Handreichung des Kultusministerium Baden-Württemberg.

Weiterlesen Datenschutzerklärung

Schulen wird schon lange empfohlen, auf ihren Homepages ein Impressum einzustellen. Das Schulministerium NRW bzw. die Medienberatung NRW legen dieses seit Jahren nahe. Von daher ist man immer auf der sicheren Seite, wenn man eines hat.

Hinweise, wie ein Impressum für Schulen in NRW aussehen könnte

Eine Schulhomepage wird erst dann richtig mit Leben gefüllt, wenn es dort auch Fotos gibt, eventuell auch Videos. Das kann, ohne die erforderlichen rechtlichen Vorkehrungen, schnell ins Auge gehen. Es geht hier um das Persönlichkeitsrecht.

Wer prüfen möchte, ob die eigene Schulhomepage den rechtlichen Vorgaben in Bezug auf den Datenschutz, das Telemediengesetz, das Urheber- und das Persönlichkeitsrecht entspricht, kann dieses mit der Checkliste Schulhomepage tun.

Download Checkliste Schulhomepage.pdf

Auf der Schulhomepage dürfen personenbezogenen Daten von Schülerinnen und Schülern nur mit Einwilligung veröffentlicht werden. Bei Lehrkräften sind in NRW im Rahmen des Informationsfreiheitsgesetzes bei Lehrkräften Name, dienstliche Erreichbarkeit und Funktionsbezeichnung von dieser Einwilligungspflicht ausgenommen. Für die Veröffentlichung aller anderen personenbezogenen Daten braucht es jedoch einer Einwilligung.

Downloads Einwilligungen unter EINWILLIGUNGEN SCHULE (NRW)

Veröffentlicht am

Abmahnung & Schulhomepage

Lesezeit: 3 Minuten

Als dieser Beitrag ursprünglich entstand, stand der Beginn der Umsetzung der DS-GVO kurz bevor. Es herrschte große Unsicherheit, wie eine Website im Einklang mit der Datenschutz-Grundverordnung gestaltet werden sollte. Datenschutzerklärungen wurden aktualisiert oder neu erstellt, Cookie Banner eingerichtet und das Laden von kritischen externen Inhalten wie YouTube Videos so umgestellt, dass Nutzer dieses selbst aktivieren müssen. Auf einige Inhalte verzichten viele Websites seither, etwa Google Maps und Google Analytics. Auch Schulen überarbeiteten ihre Internetauftritte entsprechend.

Trotz aller Anpassungen war und ist da immer die Sorge vor dem Schreckgespenst – Abmahnung!!!! 

Auch wenn die Zeit der Abmahnwellen mittlerweile durch ist, bleiben Abmahnungen durch aus ein Thema. Doch muss eine Schule sich hier überhaupt Gedanken machen? Kann eine Schule wegen ihrer Schulhomepage und dort möglicherweise begangenen Rechtsverstößen abgemahnt werden?

Beschäftigt man sich näher mit dem Thema Abmahnung, dann sieht man schnell, dass eine Schule prinzipiell zwar durchaus abgemahnt werden kann wegen Inhalten der Schulhomepage, dass dieses wegen des Thema Datenschutzes jedoch eher unwahrscheinlich ist. Warum?

JuraWiki beschreibt den Begriff Abmahnung wie folgt:

“Allen Abmahnungen gemeinsam ist, dass sie ein bestimmtes Verhalten rügen. Es wird darauf hingewiesen, dass man dies nicht toleriert und bei forgesetztem Fehlverhalten Konsequenzen drohen.”

Abmahnungen sind in verschiedenen Rechtsbereichen vertreten. Arbeitsrecht, Mietrecht und Verwaltungsrecht treffen auf eine Schulhomepage nicht zu. Schulen in öffentlicher Trägerschaft können eindeutig auch nicht vom Wettbewerbsrecht betroffen sein. Es bleiben noch das Urheberrecht, das Markenrecht und das Persönlichkeitsrecht.

Hier können sich tatsächlich Konstellationen in Bezug auf die Homepage ergeben, aus denen Abmahnungen folgen könnten.

Urheberrecht

Finden sich auf einer Schulhomepage urheberrechtlich geschützte Materialien, die ohne Erlaubnis des Rechteinhabers dort genutzt werden, so hat der Rechteinhaber die Möglichkeit, sich über eine Abmahnung dagegen zu wehren. Alternativ werden auch Lizenzkosten erhoben. Fälle, dass dieses sogar mit Creative Commons lizenzierten Bildern geschieht, sind bekannt. Dabei waren dann die Lizenzangaben nicht richtig oder unvollständig gemacht worden. Weitere Informationen finden sich in der von der BR Münster veröffentlichten Schrift Urheberrecht trifft Schule (PDF, 2024), die sich in Kapitel 5 mit dem Thema Abmahnungen befasst und Schulen empfiehlt, sich in solchen Angelegenheiten nicht selbst mit dem Abmahner auseinanderzusetzen, sondern die Angelegenheit unmittelbar an ihre Bezirksregierung abzugeben.

Markenrecht

Die Nutzung urheberrechtlich geschützter Markenzeichen kann auf einer Schulhomepage, sofern keine Einwilligung des Rechteinhabers vorliegt, eine Abmahnung zur Folge haben. Dazu gehören auch die Logos von Sportmannschaften.

Persönlichkeitsrecht

Auch bei Verletzungen des Persönlichkeitsrechts sind Abmahnungen möglich, auch gegen Schulen. Das könnte der Fall sein, wenn auf einer Schulhomepage über eine Person berichtet wird, so dass das Persönlichkeitsrecht verletzt wird, etwa durch eine grob sachlich falsche oder beleidigende Darstellung einer Person.

An dieser Stelle sind durchaus Überschneidungen mit dem Datenschutzgesetz möglich, etwa wenn Informationen ohne Einwilligung des Betroffenen auf der Schulhomepage veröffentlich werden und diese Informationen rufschädigende Wirkung haben.

Da es bei einer Abmahnung darum geht, jemanden dazuzubringen, ein Verhalten zu unterlassen, und es bei den Inhalten von Schulhomepages in der Regel um Personen geht, die der Schule bekannt sind, muss es schon weit kommen, dass eine Person zur Abmahnung als letztes Mittel greift, wenn es zu einer Verletzung des Persönlichkeitsrechts kommt.

Was ist mit dem Impressum?

Eine Abmahnung wegen fehlenden oder fehlerhafen Impressums ist eine Abmahnung aus dem Bereich des Wettbewerbsrechts. Auf Schulen in öffentlicher Trägerschaft trifft das normalerweise nicht zu.1Ob man einer Schule, die Werbebanner auf ihrer Homepage betreibt und Amazon Affiliate Links nutzt, einen Strick daraus drehen könnte, halte ich für wenig wahrscheinlich. Eine Abmahnung wegen fehlenden Impressums ist von daher auch nicht wirklich möglich. Haben sollten Schulhomepages ein Impressum aber auf jeden Fall.

Gibt es nicht doch Möglichkeiten, wo eine Schule wegen der Schulhomepage in Bezug auf Verletzungen des Datenschutz abgemahnt werden kann?

Schaut man sich die Rechtsbereiche an, bei denen Abmahnungen üblich sind, so ist schnell klar, dass bei Verstößen gegen die Datenschutzgesetzgebung, wenn es um Schulen geht, nicht mit Abmahnungen gerechnet werden muss. Möglich sind in sochen Fällen Beschwerden bei den Aufsichtsbehörden.

Ist eine fehlende oder fehlerhafte Datenschutzerklärung nicht doch ein Abmahnungsgrund?

Nein, auch nicht. Weder nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) noch nach dem Unterlassungsklagengesetz (UKlaG) ist hier eine Abmahnung möglich, denn in beiden Fällen geht es immer um kommerzielle Interessen des Betreibers der Homepage. Das ist bei einer Schule in öffentlicher Trägerschaft eindeutig nicht der Fall. Eine Datenschutzerklärung ist nach der DS-GVO natürlich trotz allem ein verpflichtender Bestandteil der Schulhomepage.

Fazit

Schulen brauchen sich, wenn es um das Thema Datenschutz und DS-GVO geht, bezüglich ihrer Schulhomepage keine Gedanken machen. Die Wahrscheinlichkeit, dass hier ein Abmahnanwalt ein Geschäft wittert, ist eher gering. Um eine Abmahnung erteilen zu können, braucht es eine Rechtsgrundlage und solange auf einer Schulhomepage keine Urheberrechtsverletzung begangen wird oder die Persönlichkeitsrechte einer Person missachtet werden, ist mit einer Abmahnung nicht zu rechnen. Trotzdem gelten auf jeden Fall die Vorgaben der Datenschutzgesetzgebung, die dazu anhalten die Erhebung von personenbezogenen Daten auf ein Minimum zu beschränken und Nutzer über die Erhebung in Kenntnis zu setzen, ihre Einwilligung einzuholen, wo erforderlich und die Datenverarbeitung über die Homepage allgemein mittels einer Datenschutzerklärung zu informieren.

Bitte beachten, für Privatschulen, die kommerziell betrieben werden, gelten obige Aussagen nicht uneingeschränkt.

Siehe auch:

In einer Reihe von Tweets hat die Rechtsanwältin Nina Diercks am 20.05.2018 sehr gut erklärt, wie es mit dem Abmahnrisiko für Websiten in Bezug auf die DS-GVO aussieht.

Link zum ersten Tweet: https://twitter.com/RAinDiercks/status/998079439727661056

Link zum restlichen Thread (11 Tweets): https://twitter.com/RAinDiercks/status/998080633464344576

Veröffentlicht am

Krankmeldung über die Schulhomepage

Lesezeit: 4 Minuten

An Schulen kommt von Seiten der Eltern immer wieder der Wunsch auf, Krankmeldungen zu vereinfachen. Was liegt da näher als ein entsprechendes Formular in die Schulhomepage einzubauen. So hat man, besser als bei einer E-Mail, eine standardisierte Krankmeldung mit allen erforderlichen Informationen. Lästige Telefonanrufe im Sekretariat entfallen. Aus rechtlichen Gründen wird die Entschuldigung anschließend auf Papier nachgereicht. Alles gut, oder doch nicht?

Das Beispiel von der Homepage einer Schule zeigt, wie viele personenbezogene Daten in diesem Fall verarbeitet werden. Je nachdem, was Eltern eintragen, können diese Informationen hochsensibel sein. Hinzu kommt noch die IP Adresse, die ebenfalls ein personenbezogenes Datum darstellt. Alle diese Informationen werden, sofern für die Forumular Funktion nicht externe Dienstleister genutzt werden, in der Datenbank der Webseite gespeichert. Je nach Einstellung wird die Schule über den Eintrag per E-Mail informiert.

Die Krankmeldung in dieser Form ist von der Technik her vergleichbar einem Kontaktformular. Welche Vorgaben sich aus der DS-GVO dafür ergeben, wird an vielen Stellen im Netz ausführlich erläutert. Sie heißt es zum Beispiel bei datenschmutz.net.

“Werden mittels Formularen Daten erhoben und gespeichert (zum Beispiel durch ein Formular-Plugin, das alle Einträge auch in der Datenbank speichert), so muss der Nutzer dazu explizit seine Einwilligung erteilen. Eine entsprechende Checkbox zur Einholung der Zustimmung des Nutzers (darf standardmäßig nicht angehakt sein) ist die sicherste Art der Umsetzung.”

erecht24 fragt Achtung Abmahnung: Ist eine Einwilligung bei Kontaktformularen notwendig? und kommt mit Verweis auf ein Urteil des OLG Köln zu dem Schluss, dass es ohne Einwilligung nicht geht und die Datenschutzerklärung einen “Passus zum Umgang mit Daten aus dem Kontaktformular” enthalten sollte. Unter das Formular sollte eine Checkbox zur Einwilligung eingebunden werden und daneben soltel es einen “Einwilligungstext zum Umgang mit den Daten der Nutzer und Ihr Recht auf Widerspruch” geben.

Was müssen Schulen bei Online Krankmeldungen in Formularform beachten?

  • Vertrag zur Auftragsverarbeitung (AV Vertrag)
    Schulen können nach VO-DV I §2 Abs 3 externe Anbieter mit der Verarbeitung ihrer Daten beauftragen.1“Die Schulen und Schulaufsichtsbehörden sind berechtigt, unter Beachtung der Voraussetzung des § 11 DSG NRW die Datensicherheit gewährleistende und zuverlässige Institutionen mit der Verarbeitung ihrer Daten zu beauftragen. Die Datenverarbeitung im Auftrag ist nur zulässig nach Weisung der Schule oder der Schulaufsichtsbehörden und ausschließlich für deren Zwecke.” Wenn die schulische Homepage, wie wohl in den meisten Fällen über einen Hoster (z.B. 1&1, Strato, Kommunales Rechenzentrum, …) betrieben wird, ist dafür ohnehin ein AV Vertrag erforderlich, denn es werden immer personenbezogene Daten von Besuchern der Homepage verarbeitet. Wichtig! Die personenbezogenen Daten, welche über das Formular verarbeitet werden, müssen im AV Vertrag berücksichtigt werden.
  • Als Verarbeiter muss die Schule den Datenschutz sicherstellen. Bei sensiblen Daten wie Gesundheitsdaten ist dieses umso wichtiger. Das bedeutet, die Schule muss sicher sein, dass der gewählte Auftragsverarbeiter das erforderliche Schutzniveau durch technisch organisatorische Maßnahmen (Art 25, 32 DS-GVO) gewährleistet. Ein Severstandort in Deuschland ist zu empfehlen, jedoch kein Muss, da ab dem 25.05.2018 überall in EU Land die gleichen Regeln gelten. Deutsche Anbieter haben allerdings einen Vorteil, die Kommunikation ist einfacher und der AV Vertrag ist in deutscher Sprache. Wer für die Krankmeldung ein Google Formular nutzen möchte (auch schon gesehen), sollte davon besser Abstand nehmen. 
  • Die Schule muss durch die technische Gestaltung des Online Formulars und Informierung der Betroffenen dafür sorgen, dass
    • eine eindeutige Einwilligung der Betroffenen möglich ist und dokumentiert wird, (Häkchen)
    • die Betroffenen über ihre Rechte bezüglich der Verarbeitung der Daten informiert werden (Datenschutzerklärung)
    • die Betroffenen ihre Rechte auf Auskunft, Widerruf, Berichtigung und Löschung wahrnehmen können.
    • die Übermittlung der personenbezogenen Daten sicher abläuft (SSL)
  • Darüber hinaus muss die Schule im Sinne der Datenminimierung dafür sorgen, dass
    • die IP Nummern sobald möglich entweder gelöscht oder pseudonymisiert werden,
    • die Formulardaten in kürzest möglicher Zeit gelöscht werden, bzw. sobald sie nicht mehr erforderlich sind. Das ist in der Regel der Fall, wenn das E-Mail mit dem Inhalt des Formulars an die Schule verschickt worden ist.
    • auch die E-Mails gelöscht werden, sobald sie ihren Zweck erfüllt haben.
  • Zu regeln ist von Seiten der Schule, dass nur Berechtigte Zugriff auf die Daten aus dem Formular haben2VO-DV I §2 Abs 1 “Insbesondere ist sicherzustellen, dass Berechtigte nur Zugang zu personenbezogenen Daten erhalten, die für die jeweilige Aufgabenerfüllung erforderlich sind.”, auf dem Webserver selbst (über die Adminoberfläche der Webseite) und in der Schule, der/die Empfänger der E-Mails.
  • In der Datenschutzerklärung sollte die Schule bezüglich der Online Krankmeldung informieren über:
    • die erhobenen Daten,
    • den Zweck der Verarbeitung,
    • die Art und Weise der Verarbeitung der Formulardaten (und der dabei erhobenen IP Adresse), wozu auch die Übermittlung per E-Mail gehört,
    • die Speicherdauer
    • die Verarbeitung im Auftrag,
    • die Sicherheitsmaßnahmen (SSL, Updates der Software auf der die Website läuft, z.B. WordPress, und der Plugins) und
    • die Kategorien von Zugriffsberechtigten bezüglich der erhobenen Daten (Empfänger)

Empfehlung für einen Text beim Kästchen für die Einwilligung beim Senden Button:

Mit der Nutzung dieser Online Krankmeldung erklärst du dich mit der Speicherung und Verarbeitung deiner Daten durch diese Website einverstanden. Weitere Informationen zu den verarbeiteten personenbezogenen Daten, deinem Recht auf Widerruf, Widerspruch, Auskunft, Berichtigung und Löschung findest du in der Datenschutzerklärung.

Die “Datenschutzerklärung” ist dabei verlinkt.

Thema Löschen

Je nach der für Plattform, die für den Betrieb der Schulhomepage genutzt wird, könnte es schwierig sein, eine automatische Löschroutine für die gespeicherten Formulareinträge einzurichten. Hier sollte eine Lösung gefunden werden, etwa in der Form, dass die Einträge jede Woche oder jede zweite Woche von Hand gelöscht werden. Entsprechend sollte dieses in der Datenschutzerklärung bei Speicherdauer berücksichtigt werden.

Missbrauch vorbeugen

Formulare für eine Krankmeldung lassen sich leicht missbrauchen. Niemand hindert Personen daran, einen Schüler über das Formular krankzumelden, und diesen dann irgendwo einzusperren. Bis Mittag merkt hier niemand etwas. Solches lässt sich unterbinden, wenn man ein Formular nutzt, welches eine Bestätigung per E-Mail einfordert, indem an die angegebene E-Mail Adresse eine Nachricht mit einem Bestätigungslink gesendet wird. Erst dann wird der Eintrag im Formular gespeichert. Der hierbei entstehende zusätzliche Verarbeitungsschritt ist entsprechend zu dokumentieren. Es muss darauf auch beim Formular selbst hingewiesen werden.

Veröffentlicht am

Muss der Datenschutzbeauftragte auf die Schulhomepage?

Lesezeit: 2 Minuten

Die Europäische Datenschutz Grundverordnung (DS-GVO) ist zwar schon in Kraft, wird aber noch nicht umgesetzt. Am 25.05.2018 ist es soweit. Viele Schulen sind aus diesem Grund aktuell dabei, ihren Internetauftritt an die Vorgaben anzupassen. Dabei taucht auch immer wieder die Frage auf, muss auf der Homepage ein Datenschutzbeauftragter genannt werden?

Was sagen das Gesetz und die Literatur?

In dem Beitrag Oft gefragt: Muss der Datenschutzbeauftragte zwingend auf der Internetseite genannt werden? ging die itrecht Kanzlei München der Frage schon 2015 nach. Seinerzeit ließ sich aus dem BDSG keinerlei solche Notwendigkeit ableiten.

Aber mit der DS-GVO ändert sich dieses nun. Zwar gibt es auch hier keine Stelle im Gesetzestext, wo eine spezielle Erfordernis zur Veröffentlich auf der Webseite der Institution ausdrücklich benannt ist, doch Datenschutzexperten leiten aus anderen Aussagen eine Notwendigkeit ab. Art. 37 DSGVO Benennung eines Datenschutzbeauftragten führt in Abs. 7 aus:

“Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten …”

Eine entsprechende Passage findet sich im neuen Bundesdatenschutzgesetz §5 Benennung Abs. 5:

“Die öffentliche Stelle veröffentlicht die Kontaktdaten der oder des Datenschutzbeauftragten …”

Entsprechend kommen Datenschutzexperten zu dem Schluss:

“Ist ein DSB benannt, sind dessen Kontaktdaten (mindestens Anschrift, E-Mail-Adresse, nicht jedoch der Name, vgl. Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, Kap. 6, Rn. 19) zu veröffentlichen, z. B. auf der Website des Verantwortlichen.”

Koreng/Lachmann

“Eine spezielle Form der Veröffentlichung sieht das Gesetz nicht vor. Aus dem Zweck des Gesetzes folgt jedoch, dass beispielsweise ein Aushang am Unternehmenssitz nicht genügt. Vielmehr wird zu verlangen sein, dass die Angaben an gut auffindbarer Stelle in der WWW Seite gemacht werden (vergl. Helfrich in HK-EuDSchVO Art 37 Rn 129), etwa im Impressum und einer eventuellen Datenschutzerklärung.” … “Zu den Kontaktdaten gehört nicht der Name des Datenschutzbeauftragten: Das Gesetz unterscheidet zwischen dem Namen und den Kontaktdaten des Datenschutzbeauftragten”

Kühling/Buchner

Als vertrauensbildende Maßnahme wird in dieser Literatur empfohlen, auch den Namen des DSB zu veröffentlichen.

Was bedeutet das für die Schulhomepage?

Es empfiehlt sich, auf der Schulhomepage entweder in der Datenschutzerklärung selbst oder im Impressum eine Angabe zum Datenschutzbeauftragten zu machen. Genannt werden kann dabei entweder der behördlich bestellte schulische Datenschutzbeauftragte oder eine Person aus der Schule, welche als Datenschutzbeauftragter benannt wurde.

Es ist dabei jedoch nicht erforderlich, den Namen der Person zu nennen. Anschrift und E-Mail Adresse genügen. Für Nutzer der Webseite wird es sicher schöner sein, wenn sie in Bezug auf den Datenschutz auch einen Namen finden, der für eine Person steht, an die man sich wenden kann. Wenn von Seiten des/der Datenschutzbeauftragten keine Einwände bestehen, sollte man dann auch den Namen nennen.

Einwilligungen Schule (NRW)

Lesezeit: 8 Minuten

Datenschutzrechtliche Einwilligungen

Schulen dürfen viele personenbezogenen Daten auf gesetzlicher Grundlage verarbeiten. Für alle anderen personenbezogenen Daten, die eine Schule verarbeiten möchte, braucht es eine datenschutzrechtliche Einwilligung. Bitte beachten Sie, dass diese Einwilligungen auf die schulrechtlichen Vorgaben von NRW ausgelegt sind.1Je nach Bundesland sind einige Einwilligungen nicht erforderlich oder müssen entsprechend der rechtlichen Vorgaben der jeweiligen Schulgesetze und abgeleiteten Dienstanweisungen modifiziert werden.

Allgemeine Einwilligung personenbezogene Daten, Fotos & Videos

Wenn es um die Nutzung von personenbezogenen Daten im allgemeinen Rahmen geht, für die Presse und die Schulhomepage, wie auch die unterrichtliche Nutzung von Videoaufnahmen, dann genügt diese Einwilligung. Für alle darüber hinausgehenden Nutzungen ist eine gesonderte, anlassbezogene datenschutzrechtliche Einwilligung einzuholen.

Beispiele dafür finden sich unter Download weitere Einwilligungen (NRW)2Die Sammlung dort wird ergänzt, wie der Bedarf entsteht.

Die Einwilligung ist durch die Schulleitung zu unterschreiben (am besten vor dem Vervielfältigen). Zu ergänzen ist auch die URL der Schulhomepage. Für Videoaufnahmen im Rahmen des Sportunterrichts oder sonstigen Unterrichts ist ein Zweck zu definieren. Aufnahmen dürfen dann auch nur diesem Zweck entsprechend gemacht werden. Als Datenschutzbeauftragter wird der behördlich bestellte DSB eingetragen.

Diese Einwilligungen entsprechen den Vorgaben der Datenschutz Grundverordnung und wurden aus Vorlagen aus BaWü adaptiert.3Siehe auch Datenschutz an Schulen, Formulare.

Allgemeine Einwilligung personenbezogene Daten & Fotos (ohne Videos)

Nicht jede Grundschule möchte Videos zu Unterrichtszwecken nutzen. Dafür gibt es die Version ohne Einwilligung für Videoaufnahmen.

Einwilligung Schüler für die Anfertigung von Fotos und Veröffentlichung mit alphabetischer Namensliste

Diese Einwilligung ist nutzbar, wenn es um Fotos/ Gruppenfotos und Veröffentlichungen im Rahmen der Entlassung geht. Für andere Zwecke ist die Einwilligung leicht anzupassen. Anders als die anderen Einwilligungen ist diese auf unbegrenzte Gültigkeit ausgelegt, wie das bei Entlassbildern Sinn machen kann.

Einwilligung Schüler für die Anfertigung von Fotos für eine Fotowand und Klassenfotos für die Klasse

Ein Beispiel für eine anlassbezogene Einwilligung. Es geht darum, Fotos für eine Fotowand in der Schule anzufertigen und Klassenfotos, die an Mitschüler und Lehrkräfte in der Klasse ausgegeben werden sollen.

Einwilligung Schüler für die Anfertigung von Videoaufzeichnungen innerhalb des Unterrichts

Der exakte Zweck ist in der Einwilligung anzugeben. Für spätere Unterrichtsvorhaben, die einen anderen Zweck haben, ist eine neue angepasste Einwilligung einzuholen.

Einwilligung Schüler für die Verarbeitung von Daten zwecks Erstellung eines Schülerausweises

Firmen bieten als Service das Anfertigen von Schülerausweisen im Scheckkartenformat an. Das geht nicht ohne eine umfassende Erklärung über die geplante Datenverarbeitung und auch die (eventuelle) Beauftragung eines Fotografen mit der Anfertigung des für den Schülerausweis notwendigen Fotos. Die personenbezogenen Daten, die auf den Schülerausweis kommen, sind entsprechend anzupassen.4Im November 2018 habe ich diese Einwilligung verändert. Es entfällt die Einwilligung in die Übermittlung an die Firma, da es sich hier um eine Datenverarbeitung im Auftrag handelt. Eine Einwilligung in die Verarbeitung ist jedoch trotzdem erforderlich mit einer umfassenden Information in die Erstellung im Auftrag durch eine Firma. Hintergrund: Bei der LDI NRW vertritt man die Meinung, dass es sich bei der Anfertigung von Schülerausweisen auf Wunsch der Schüler um eine Aufgabe der Schule handelt und eine Anfertigung durch eine Firma von daher nur im Rahmen eines  Auftragsverarbeitungsvertragtes erfolgen kann, womit “Übermittlung” nicht zutreffend ist.

Für Schulen, welche ihre Schülerausweise selbst erstellen, sind die folgenden Anträge mit Einwilligung gedacht.

Einwilligung Lehrkräfte personenbezogene Daten (mit Einwilligung Funktionsdaten)

Auch wenn nach  §§ 12 und 9 Absatz 3
Informationsfreiheitsgesetz Nordrhein-Westfalen dienstliche Kommunikationsdaten auch ohne Einwilligung der Lehrkräfte auf der Schulhomepage veröffentlicht werden können, empfiehlt es sich vielleicht, doch lieber eine Einwilligung einzuholen, um den Frieden im Kollegium zu wahren.

Einwilligung Lehrkräfte personenbezogene Daten (ohne Einwilligung Funktionsdaten)

Diese Einwilligung geht von §§ 12 und 9 Absatz 3 Informationsfreiheitsgesetz Nordrhein-Westfalen aus, wonach dienstliche Kommunikationsdaten auch ohne Einwilligung der Lehrkräfte auf der Schulhomepage veröffentlicht werden können. Siehe dazu auch den Beitrag “Welche personenbezogenen Daten von Lehrkräften dürfen OHNE Einwilligung auf die Schulhomepage?” Die Einwilligung informiert darüber und räumt die Möglichkeit ein, zu widersprechen, wenn diesem schutzwürdige Belange entgegenstehen.

Einwilligung Lehrkräfte – freiwillige Angaben

Ahnlich wie bei Schülern gibt es auch bei Lehrkräften einige personenbezogene Daten, deren Angabe freiwillig ist. Entsprechend dürfen diese Daten auch nur verarbeitet werden, wenn die Einwilligung dafür nachgewiesen werden kann. Das sind Angaben zu besonderen Kenntnissen und Erfahrungen.5VO-DV II Anlage 2, Fußnote (1) Angabe ist freiwillig und kann widerrufen werden.). Bei der privaten E-Mail Adresse, Fax6VO-DV II Anlage 1 Nr. 1.10 und Wünschen zum Unterrichtseinsatz7VO-DV II Anlage 1 Nr. 7.8 ist eine Einwilligung nur zu dokumentieren, wenn die Angaben im Einzelfall nicht erforderlich sind, aber freiwillig erfolgen.8Ob man diese Einwilligung einholen sollte, um sich abzusichern, muss jede Schule für sich entscheiden. Rein formal wäre sie nach der DS-GVO erforderlich, da die Angabe von besonderen Kenntnissen und Erfahrungen nach der VO-DV II auf jeden Fall freiwillig ist. Das entspricht einer Verarbeitung nach Art. 6 lit. a – Verarbeitung auf der Grundlage einer Einwilligung. Eine solche ist immer nachzweisen, vor allem, wenn Daten digital verarbeitet werden, d.h. hier, wenn die Schulleitung diese Informationen in ihrer Akte der Schulleitung digital speichert.

Einwilligung Lehrkräfte – elektronische Schließanlage

Schulträger setzen heute zunehmend auf elektronische Schließanlagen zur Zutrittssicherung der Schulgebäude. Da eine solche Schließanlage und die zugehörige Verwaltungssoftware personenbezogene Daten verarbeiten, ist eine Einwilligung erforderlich. Diese wird durch Hinweise zur Nutzung ergänzt. Bitte beachten Sie, dass der datenschutzkonforme Betrieb einer elektronischen Schließanlage in NRW nur unter bestimmten Voraussetzungen möglich ist. 9Weitere Hinweise darauf finden sich im Anhang der Einwilligungsvorlage und im Beitrag Elektronische Schließanlagen in Schulen – ein Problem – zwei Sichten

Einwilligung Lehrkräfte – Kollegiumsliste

Eine Kollegiumsliste, welche über dienstliche Informationen hinaus auch private Daten enthält, setzt eine Einwilligung der Betroffenen voraus, wenn sie im Kollegium veröffentlicht werden soll, da dieses einer Übermittlung an Dritte gleichkommt. Die Vorlage enthält zwei alternative Vorlagen, eine für eine ganz normale Einwilligung, bei welcher die Lehrkräfte die Daten in die Einwilligung eintragen, welche sie in der Kollegiumsliste zulassen, und die andere eine Datenschutzinformation und eine Liste. Die Einwilligung wird dort durch die Eintragungen in die Liste abgegeben.

Einwilligung Erziehungsberechtigte zusätzliche Daten zur Erreichbarkeit

Nach VO-DV I Anlage I dürfen bestimmte Daten der Erreichbarkeit von Erziehungsberechtigten nur mit einer Einwilligung verarbeitet werden. Das sind die Faxnummer am Wohnort, die private E-Mail Adresse und die Telefonnummer am Arbeitsplatz. Eine Einwilligung ist auch für die Verarbeitung von Notfallinformationen erforderlich. In der zweiten Version ist die Vorlage ergänzt um eine Einwilligung zur Nutzung von Daten für eine Klassenliste, die an die Eltern in der Klasse verteilt werden darf.

Anmeldebogen Grundschule mit Einwilligung zusätzliche Daten zur Erreichbarkeit

Wer Papier sparen möchte, ist mit diesem Anmeldebogen richtig, denn er erhebt nicht nur die üblichen Informationen, sondern auch die zusätzlichen Daten zur Erreichbarkeit und holt zu deren Nutzung durch die Schule eine Einwilligung ein. Dazu kommt noch eine Einwilligung zur Nutzung von Informationen für eine Klassenliste, welche an alle Eltern der Klasse ausgegeben wird, und das alles auf nur zwei Seiten. Wichtig! Dieser Vordruck kann nur in Kombination mit dem passenden Informationen zur Datenverarbeitung genutzt werden. Detaillierte Erklärungen sind dem Vordruck als 3. Seite angefügt.

Einholen von Einwilligungen Grundschule für Medienarbeit im Unterricht und Veröffentlichungen in Form eines Heftes

Das Heft informiert über die  Arbeit mit Bild, Ton und Video im Unterricht, mögliche Präsentationen der Ergebnisse sowie die Öffentlichkeitsarbeit der Schule und holt für alles dieses die erforderlichen Einwilligungen ein. Eine ausführlichere Erklärung findet sich unter Das Einholen von Einwilligungen attraktiv gestalten.

Einwilligung zur Übermittlung von personenbezogenen Daten von Schülern zur Erstellung einer Schülerfahrkarte

Ob und wann eine Einwilligung erforderlich ist, hängt davon ab, wer der Empfänger ist, der Schulträger oder ein Verkehrsunternehmen. Je nach Auslegung der rechtlichen Vorgaben kann auch bei der Vergabe eines Schülertickets an alle Schüler, auch die ohne gesetzlichen Anspruch, eine Einwilligung erfordern. Siehe hierzu den Beitrag: Schülerfahrverkehr – wann braucht es eine Einwilligung in die Datenübermittlung?

Einwilligung Schüler/ Lehrkräfte – schulisches WLAN

Diese Einwilligung deckt den Fall ab, dass mit privaten Endgeräten und/ oder schulischen Leihgeräten auf ein verwaltetes schulisches WLAN mit individualisierten Zugängen zugegriffen wird.

Einwilligung Schüler in Verarbeitung personenbezogener Daten bei der Nutzung des pädagogischen Netzes und schulischen WLAN (BYOD) + Feld für Nutzungsvereinbarung und Anerkennung derselben

Dieses Formular besteht aus zwei Teilen. Im ersten Teil findet sich vorbereitet Platz für eine Nutzervereinbarung zur Nutzung des pädagogischen Netzes und eine Nutzervereinbarung zur Nutzung des schulischen WLAN mit einem eigenen Gerät (BYOD). Darunter finden sich die entsprechenden Informationen zur Verarbeitung von personenbezogenen Daten entsprechend Art. 13 DS-GVO. Auf diesen ersten Teil, der beim Nutzer verbleibt, nimmt das letzte Blatt bezug. Hier findet sich die Anerkennung der Nutzervereinbarung und die Einwilligung in die Datenverarbeitung. Nutzervereinbarungen für das pädagogische Netz und schulische WLAN findet man im Internet leicht, passt sie an und setzt sie im ersten Teil ein. Bei den Angaben  entsprechend Art. 13 DS-GVO sollte man die Kategorien personenbezogener Daten auf die technischen Gegebenheiten der Schule anpassen. Der gesamte Vordruck lässt sich leicht anpassen, indem man etwa den WLAN Teil herausnimmt, wenn solches nicht benötigt wird.

Einwilligung Schüler in Verarbeitung personenbezogener Daten bei der Nutzung des pädagogischen Netzes und von Office 365 + Nutzungsvereinbarung

Viele Schulen nutzen mittlerweile Office 365, teilweise in der ProPlus Variante. In der Regel hat die Schule auch ein pädagogisches Netz, in welchem lokal gearbeitet werden kann, über welches jedoch auch ein Zugang zu Office 365 möglich ist. Damit dieses datenschutzrechtlichen Anforderungen genügt, braucht es eine Nutzungsvereinbarung und eine Einwilligung. 11Die Vorlage müsste gegebenenfalls noch um einen Antrag auf den ProPlus Zugang ergänzt werden, je nach dem welches Modell genutzt wird. In einigen Kommunen, zahlt der Schulträger und man kann den ProPlus Zugang mit Annahme der Nutzungsvereinbarung und Einwilligung ausgeben. Manche Kommunen erwarten eine finanzielle Beteiligung. Hier müsste eine Anpassung erfolgen.

Einwilligung Schüler in Verarbeitung personenbezogener Daten bei der Nutzung von G Suite for Education + Nutzungsvereinbarung

Auch die G Suite for Education erfreut sich an Schulen trotz Vorbehalten zunehmender Beliebtheit. Die Plattform, die mittlerweile das C5 Testat des BSI vorweisen kann, wird komplett online genutzt. Diese Einwilligung ist mit einer Nutzungsvereinbarung kombiniert, welche sicherstellt, dass die Plattform mit geringem Risiko für die Betroffenen genutzt wird. Sie berücksichtigt außerdem die geänderte Rechtslage durch das Ende des EU-US Privacy Shield.

Einwilligung Schüler in Verarbeitung personenbezogener Daten bei der Nutzung von Apple iPads mit managed Apple ID

iPads werden mittlerweile an vielen Schulen genutzt. Spätestens wenn mit managed Apple IDs gearbeitet wird, etwa wenn es um shared iPads geht, muss über die erforderliche Verarbeitung von personenbezogenen Daten informiert und eine Einwilligung eingeholt werden. Hierbei ist dann ASM zu berücksichtigen und das genutzte MDM, in diesem Fall JamfSchool. Da MDM zur Verwaltung von iOS Geräten in ihren Funktionen oft ähnlich sind, kann die Vorlage leicht angepasst werden. Eine mit einer Nutzungsvereinbarung kombinierte Vorlage ist in Vorbereitung.

Nutzungsvereinbarung – Einwilligung – NextCloud

Die open source Plattform NextCloud ist eine sehr datenschutzfreundliche Cloud-Lösung für Schulen, um Teamarbeit im Kollegium zu gestalten wie auch sie im Unterricht mit Schülern zu nutzen. Hier wird von einer NextCloud ausgegangen, die von einem Dienstleister betrieben wird. Weitere Infos unter NextCloud – Plattform – Datenschutz für Schulen mit Open Source.

Nutzungsvereinbarung – Einwilligung – IServ

IServ ist ein Schulserver, der ganz klassisch in der Schule betrieben werden kann, mittlerweile jedoch auch als reine Cloud Version verfügbar ist. Er ist modular aufgebaut und setzt dabei auf viele Open Source Komponenten. Auch lokal betriebene IServ sind über ein Webportal von überall aus erreichbar. Als Schulserver ist IServ für die Organisation, Durchführung und Vor- und Nachbereitung von Unterricht sowie die damit zusammenhängende Kommunikation konzipiert. Eine Nutzung für schulinterne Verwaltungsaufgaben und die pädagogische Dokumentation ist dabei nicht vorgesehen. Auch wenn IServ auf seiner Seite viele Unterlagen bereithält, gibt es aufgrund mehrfacher Nachfrage hier Vorlagen.

Einwilligung Schüler in die Teilnahme an einer wissenschaftlichen Untersuchung/ Befragung

Die Teilnahme an wissenschaftlichen Untersuchungen und Befragungen ist nach §120 Abs. 4 SchulG NRW nur mit Einwilligung der Betroffenen zulässig. Die folgende Vorlage muss auf die jeweilige Situation angepasst werden. Wichtig ist dabei, dass die Betroffenen eine informierte Entscheidung treffen können.12Sehr nützlich in dem Zusammenhang ist eine Checkliste aus Rheinland Pfalz, die man als Schule vor Einholen der Einwilligung unbedingt berücksichtigen sollte.

Leseplattform Antolin

Der Westermann Verlag stellt die Plattform Antolin zur Verfügung. Die Verarbeitung der dafür erforderlichen Daten ist nur mit Einwilligung zulässig. Die beiden Vorlagen lassen sich auch leicht auf andere Angebote des Verlages wie Zahlenzorro anpassen.13Die passende Dokumentation für das Verzeichnis der Verarbeitungstätigkeiten findet sich unter Verzeichnis von Verarbeitungstätigkeiten

Einwilligung und Entbindung von der Schweigepflicht

Wann es einer Einwilligung in die Übermittlung von personenbezogenen Daten bedarf und wann einer Entbindung von der Schweigepflicht wird im Datenschutz und Schweigepflicht erklärt.

In einigen Situation kann auch ein kombiniertes Formular erforderlich sein.

Für die Entbindung von der Schweigepflicht zwischen Kita und Grundschule ist die folgende Vorlage gedacht. Weitere Infos zur Thematik unter Austausch von Grundschule und Kita.

Weiter zu Beispiele für anlassbezogene Einwilligungen.

Veröffentlicht am

Welche personenbezogenen Daten von Lehrkräften dürfen OHNE Einwilligung auf die Schulhomepage?

Lesezeit: 2 Minuten

Viele Schulen möchten auf ihrer Schulhomepage über das Schulpersonal und dessen Funktionen informieren, so dass jeder weiß, an wen er sich wenden kann. Dabei herrscht aber oft Unsicherheit, ob es dafür einer Einwilligung der Betroffenen bedarf. Die eine oder andere Lehrkraft möchte nicht namentlich auf der Schulhomepage genannt werden. Wie sieht die rechtliche Seite aus? Die folgenden Aussagen beziehen sich auf NRW. In anderen Bundesländern, vor allem denen ohne ein Informationsfreiheitsgesetz können andere Regelungen gelten.

In einer FAQ für den Lehrerrat des Philologen-Verband NW heißt es dazu:

In Nordrhein-Westfalen gestatten die §§ 12 und 9 Absatz 3 Informationsfreiheitsgesetz Nordrhein-Westfalen (IFG NRW) die Veröffentlichung von Namen, Titeln, akademischen Graden, Berufs- und Funktionsbezeichnungen, Büroanschriften und dienstlichen Rufnummern sowie dienstlichen E-Mail-Adressen der Lehrkräfte und des sonstigen Schulpersonals ohne deren Einwilligung, sofern keine schutzwürdigen Belange entgegenstehen. Gleichwohl sind die Betroffenen vor einer Veröffentlichung zu informieren. Das IFG NRW gilt im Übrigen nur für öffentliche Schulen in Nordrhein-Westfalen.

Das Informationsfreiheitsgesetz Nordrhein-Westfalen (IFG) gilt auch mit dem Inkrafttreten der DS-GVO weiterhin nahezu unverändert.

Von Seiten der LDI NRW gibt es ein Schreiben von 2017 (Az.LDI:212.4.1.1-4248/16)1, in welchem auch die Veröffentlichung der Daten von Lehrkräften auf der Schulhomepage thematisiert wird. Das Schreiben ist hinterlegt bei http://docplayer.org/, die sich u.A. über Google Werbung finanziert. Entsprechende Cookies und Tracker werden dort genutzt!.

Nach Einschätzung der LDI NRW ist es im Rahmen des Informationsfreiheitsgesetz NRW möglich “Übersichten über Aufgaben- und Funktionszuweisungen innerhalb des Lehrerkollegiums grundsätzlich zu veröffentlichen, wenn der Veröffentlichung nicht im Einzelfall ausnahmsweise – eng auszulegende – schutzwürdige Belange einer betroffenen Lehrerin oder eines Lehrers entgegenstehen.” Außerdem heißt es “Gemäß § 12 Satz 3 IFG NRW hat die Veröffentlichung der Übersichten – soweit möglich – elektronisch (also ggf. via Internet) zu erfolgen. Nach Maßgabe des § 9 Abs. 3 IFG NRW dürfen dabei Namen, Titel, akademischer Grad, Berufs- und Funktionsbezeichnung und ggf. dienstliche Erreichbarkeit (dienstliche Telefonnummer sowie ggf. dienstliche E-Mail-Anschrift) genannt werden, ohne dass es hierzu einer Einwilligung der Betroffenen bedarf. Neben den bereits angesprochenen Übersichten über Aufgaben- und Funktionszuweisungen können auch Stundenpläne mit den jeweils unterrichtenden Lehrkräften veröffentlicht werden.” Auch die LDI NRW empfiehlt, die Betroffenen vorab zu informieren, um “etwaige schutzwürdige Interessen, die nach § 9 Abs. 3 IFG NRW einer Veröffentlichung ausnahmsweise entgegenstehen können, geltend zu machen.

Das heißt also, wenn eine Schule auf ihrer Homepage über das Kollegium und anderes Schulpersonal informieren möchte, dann kann sie dieses ohne deren Einwilligung tun, wenn sie dabei drei Dinge beachtet:

  1. Sie hält sich an die Vorgaben und veröffentlicht nur die nach dem IFG zugelassenen personenbezogenen Daten.
  2. Sie beachtet dabei schutzwürdige Belange der betroffenen Personen.
  3. Sie informiert die Betroffenen vor der Veröffentlichung.

Fotos gehören nicht zu den durch das IFG für eine Veröffentlichung zugelassenen personenbezogenen Daten. Hierfür ist eine gesonderte Einwilligung erforderlich, die natürlich auch verweigert oder ohne Angabe von Gründen widerrufen werden kann.

Steht also auf einer Schulhomepage eine Beschreibung wie:

Johanna Schneider
Oberstudienrätin
Unterstufenkoodinatorin
Klassenlehrerin 8e
dienstliche E-Mail: johanna.schneider@mustergymnasium.de
dienstliche Telefonnummer: 02781-85 5033

dann ist dieses durch das IFG NRW abgedeckt und es bedarf keiner Einwilligung hierfür.

Mit folgendem Informationsschreiben können Lehrkräfte vorab informiert werden:

Bitte passen Sie das Schreiben entsprechend der Gegebenheiten Ihrer Schule an.

Zum Thema Digitale Stunden- und Vertretungspläne gibt es einen separaten Beitrag.

Stand 09/2022

Veröffentlicht am

Viele Schulhomepages laufen über Auftragsdatenverarbeitung

Lesezeit: 2 Minuten

Die meisten Schulhomepages dürften wohl nicht auf Servern laufen, die von der Schule selbst betrieben werden. Stattdessen laufen sie auf Servern, die entweder durch den Schulträger oder einen von ihm beauftragten IT-Dienstleister bereitgestellt werden oder, und das wird bei der überwiegenden Zahl aller Schulhomepages der Fall sein, sie laufen auf dem Server eines Web-Hosters wie 1&1, Strato, Domainfactory, Host Europe o.ä.

In Bezug auf den Datenschutz kann dieses von Bedeutung sein. Vermutlich gibt es kaum eine Schulhomepage, auf der nicht personenbezogene Daten verarbeitet werden. Lehrerinnen und Lehrer werden mit Name, Klasse und Informationen zur dienstlichen Erreichbarkeit aufgeführt und Schülerinnen und Schüler eventuell namentlich genannt bei Berichten über Projekte oder teilnahmen an Wettbewerben.

Trifft dieses zu, gilt Art. 28 Datenschutz Grundverordnung bzw. § 62 BDSG Auftragsverarbeitung. Ein Fall von Auftragsdatenverarbeitung liegt vor.

“Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags1Art. 28 DSGVO Auftragsverarbeiter, Abs. 3

Die Verarbeitung durch einen Auftragsverarbeiter hat auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments zu erfolgen, der oder das den Auftragsverarbeiter an den Verantwortlichen bindet und der oder das den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Rechte und Pflichten des Verantwortlichen festlegt.2§ 62 BDSG Auftragsverarbeitung, Abs. 5

Gegenwärtig dürften wohl nur die wenigsten Schulen einen solchen Vertrag mit dem Betreiber des Servers abgeschlossen haben, auf welchen ihrer Homepage betrieben wird. Ein solcher Vertrag ist nicht erst seit der DS-GVO erforderlich, sondern war auch schon die ganze Zeit durch die Datenschutzgesetzgebung vorgeschrieben. Mit der DS-GVO werden die Rechte der einzelnen Personen jedoch deutlich gestärkt und Schulen sollten aus Eigeninteresse sobald wie möglich einen solchen Vertrag abschließen. Auf den Webseiten der verschiedenen Web-Hoster sind die entsprechenden Unterlagen nicht immer leicht zu finden. Zur Not muss man Kontakt aufnehmen.

Üblicherweise findet man diese Verträge in Form eines PDF und dieses ist von Seiten des Anbieters bereits unterzeichnet. Man trägt in den Vertrag die eigenen Kontaktdaten und die Verantwortlichen ein und macht Angaben zur Art und zum Zweck der Verarbeitung. Häufig gibt es dafür vorgefertigte Listen, wo man entsprechende Angaben durch Ankreuzen machen kann. Der ausgefüllte unterschriebene Vertrag wird anschließend an den Web-Hoster zurückgeschickt. Er ist damit rechtlich gültig.

Liegt die Homepage auf einem Server des Schulträgers (z.B. bei der kommunalen IT im Rathaus) oder eines beauftragten Dienstleisters (zum Beispiel Kommunales Rechenzentrum), muss der entsprechende Vertrag beim Schulträger angefordert werden.

Ist die Schulhomepage auf einem Server untergebracht, der im Schulgebäude steht, ist zumindest das Führen eines Verzeichnisses der Verarbeitungstätigkeiten erforderlich.

Stolz präsentiert von WordPress