Brauchen Schulen Datenschutzerklärungen zu den Verarbeitungsprozessen in der Schule?

Lesezeit: 6 Minuten

Frage

Vor einiger Zeit kam die Frage auf, ob Schulen neben der Datenschutzerklärung der Homepage zusätzlich auch eine Datenschutzerklärung bezüglich der Verarbeitung von personenbezogenen Daten in der Schule benötigen, die dann ebenfalls auf der Schulhomepage veröffentlich wird.

Rechtliche Grundlagen

Art. 12 DS-GVO Abs. 1 fordert ein, dass Betroffene informiert werden und diese Informationen leicht zugänglich sind.

“Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; […] Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch.”

Entsprechend gibt der zugehörige Erwägungsgrund 58 folgende Erläuterung:

“Der Grundsatz der Transparenz setzt voraus, dass eine für die Öffentlichkeit oder die betroffene Person bestimmte Information präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst ist und gegebenenfalls zusätzlich visuelle Elemente verwendet werden. Diese Information könnte in elektronischer Form bereitgestellt werden, beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist.”

Das Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen (IFG NRW) führt aus:

§ 12
Veröffentlichungspflichten
Geschäftsverteilungspläne, Organigramme und Aktenpläne sind nach Maßgabe dieses Gesetzes allgemein zugänglich zu machen. Die öffentlichen Stellen sollen Verzeichnisse führen, aus denen sich die vorhandenen Informationssammlungen und -zwecke erkennen lassen. Soweit möglich hat die Veröffentlichung in elektronischer Form zu erfolgen. § 4 Abs. 2 Satz 1 dieses Gesetzes bleibt unberührt.

Wie sind diese Vorgaben zu verstehen?

Von rechtlicher Seite gibt es Vorgaben, sowohl von der DS-GVO wie auch vom IFG. Beide lassen jedoch Spielraum für die Umsetzung. Zu beachten ist dabei ein Unterschied zwischen DS-GVO und IFG. Während es bei der DS-GVO ausschließlich um die Rechte der Betroffenen geht, betrifft das IFG die Öffentlichkeit und deren Recht auf Informationen.

Schulen unterliegen entsprechend der DS-GVO dem Gebot der Transparenz wie jede andere datenverarbeitende öffentliche Stellen. Nach Art. 13 sind Betroffene zum Zeitpunkt der Erhebung von personenbezogenen Daten bezüglich der beabsichtigten Verarbeitung und ihrer Rechte zu informieren. Werden die personenbezogenen Daten nicht beim Betroffenen selbst erhoben, sind diese nach Art. 14 entsprechend nachträglich zu informieren.

Das IFG fordert von öffentlichen Stellen, Informationen zu verarbeiteten Daten und den Verarbeitungszwecken möglichst in elektronischer Form zu veröffentlichen. Es geht hier um eine Veröffentlichungspflicht. Die Veröffentlichung auf einer Internetseite wäre eine elektronische Form. Zum Vergleich: auf Bundesebene gibt es für Behörden gemäß dem IFG des Bundes eine Veröffentlichungspflicht im Internet.1 Der Bund gibt unter Anwendungshinweise zum Informationsfreiheitsgesetz zur Veröffentlichung folgende Informationen:
Welche Veröffentlichungspflichten bestehen im Internet?
Die Behörden des Bundes sollen geeignete Informationen möglichst umfassend im Rahmen aktiver Informationspolitik nach und nach in das Internet einstellen (§ 11 Abs. 3). Das IFG geht jedoch nicht über die bestehenden Verpflichtungen aus dem Kabinettbeschluss zur langfristigen Sicherung der im Rahmen der eGovernment-Initiative BundOnline 2005 getätigten Investitionen vom 9. März 2005 hinaus.
Insbesondere Organisations- und Aktenpläne ohne Angabe personenbezogener Daten sollen beim Internetauftritt jeder Behörde berücksichtigt werden. Solche Organisations- und Aktenpläne sollen es dem Bürger erleichtern, sich einen Überblick der vorhandenen Informationen zu verschaffen. Wie detailliert solche Pläne eingestellt werden, entscheidet jede Behörde selbst.

Zwischen den Vorgaben der DS-GVO und des IFG gibt es Unterschiede im Umfang der Informationen. Während sich das IFG auf eine Information über vorhandene Informationssammlungen und -zwecke beschränkt, geht es bei der DS-GVO um sehr viel genauere Informationen (z.B. Betroffene, Rechtsgrundlage, Zwecke der Verarbeitung, Kategorien von Daten und Empfängern, Dauer der Speicherung, Rechte der Betroffenen).

In Art. 12 ist vorgegeben, dass der Verantwortliche, hier die Schulleitung, “geeignete Maßnahmen” trifft, die Betroffenen zu informieren, und dass die Informationen in “leicht zugänglicher Form” bzw. “leicht zugänglich” zu übermitteln sind. Für die Form gibt es keine exakt definierten Vorgaben. Die Bereitstellung in elektronischer Form auf einer Website wird im Erwägungsgrund als eine Möglichkeit angegeben. Das IFG  wird etwas deutlicher und fordert die elektronische Form, sofern möglich.

Entsprechend dem IFG würde es praktisch ausreichen, auf die VO-DV I und II zu verlinken, da das IFG selbst keinerlei Vorgaben macht, wie einfach oder verständlich diese Angaben sein müssen. Auch der Begriff Verzeichnis ist nicht exakt definiert. Eine Formulierung auf der Schulhomepage könnte so lauten, wie die obere Tabellenzelle. Wenn man etwas ausführlicher sein möchte, fügt man die Inhalte der restlichen Zellen an.

Information über Informationssammlungen und -zwecke gemäß §12 Gesetz über die Freiheit des Zugangs zu Informationen für das Land Nordrhein-Westfalen  (IFG NRW)

Die Schule verarbeitet die personenbezogenen Daten von Schülern, Erziehungsberechtigten und Lehrkräften in dem Umfang und für die Zwecke, wie sie durch das SchulG NRW, VO-DV I (Schüler, Erziehungsberechtigte) und VO-DV II (Lehrkräfte) vorgegeben sind.

Informationssammlung Schüler/ Erziehungsberechtigte
Schülerstammblatt

  1. die Personaldaten der in § 1 Abs. 1 Nr. 1 – 3 genannten Personen (Individualdaten) gemäß Abschnitt A Nr. I der Anlage 1,
  2. die Information zur schulischen Laufbahn der Schülerin oder des Schülers (Organisations- bzw. Schullaufbahndaten) gemäß Abschnitt A Nr. II der Anlage 1,
  3. die Angaben über den individuellen Leistungsstand der Schülerin oder des Schülers (Leistungsdaten) gemäß Abschnitt B der Anlage 1,
  4. die für die einzelnen Schulformen oder Schulstufen benötigten zusätzlichen Informationen (schulform- oder schulstufenspezifische Zusatzdaten) gemäß Abschnitt C der Anlage 1.

sonstiger Datenbestand

Zwecke
  • Schülerverwaltung
  • Leistungsdatenverwaltung
  • Zeugniserstellung
  • Unterrichtsplanung
  • Schulstatistik
  • Diagnostik/ Erstellung von Förderempfehlungen/ individuellen Förderplänen
  • Schulpflichtüberwachung
  • Kontaktaufnahme mit den Erziehungsberechtigten
  • Evaluation und Qualitätsentwicklung
  • Öffentlichkeitsarbeit
  • Erstellung von Fördergutachten (AO-SF Verfahren)
  • Schülerspezialverkehr (an Förderschulen)
  • Praktikumsverwaltung
  • Erziehungs- und Ordnungsmaßnahmen
  • Dokumentation im Klassenbuch
  • Dokumentation von Konferenzen
Informationssammlung Lehrkräfte
 Datenbestand in der Schule

  • Person
  • Werdegang
  • Vorbereitungsdienst,   Staatsprüfung
  • Qualifikationen
  • Laufbahn
  • Beschäftigung
  • Unterricht
  • Geschäftsablauf

Akten der Schulleitung

  • Persönliche Angaben
  • Ausbildung, sonstige Tätigkeiten, besondere Fähigkeiten
  • Tätigkeiten an der Schule
  • Weitere Angaben
Zwecke
  1. Planung und Ermittlung des Unterrichtsbedarfs, Durchführung des Unterrichts
  1. Planung und Einrichtung von Bildungsgängen, Klassen und Gruppen; Ermittlung und Deckung besonderer Bedarfe und Förderungsbedarfe; Unterrichtsorganisation; Unterrichtsverteilung
  2. Aufstellen von Aufsichts-, Prüfungs-, Stunden- und Vertretungsplänen, Sprechstundenlisten sowie Übersichten der an der Schule Beschäftigten
  1. Erledigung der laufenden schulischen Angelegenheiten
  1. Berichte in arbeits-, dienst- und personalrechtlichen Angelegenheiten und Angelegenheiten der Lehrerversorgung
  2. Berichte zur Vorbereitung von Dienstleistungszeugnissen, Beratung zur dienstlichen Beurteilung, Berichte in disziplinarrechtlichen Angelegenheiten
  3. Beantwortung von Anfragen und Erhebungen der Schulaufsichtsbehörden sowie anderer Behörden aus dem Geschäftsbereich des für die Schule zuständigen Ministeriums
  4. Durchführung von Maßnahmen der Qualitätsentwicklung und Qualitätssicherung gemäß § 3 Abs. 4 SchulG
  1. Statistische Daten
  2. Lehrerausbildung (Ausbildungslehrerinnen und -lehrer, Lehramtsanwärterinnen und Lehramtsanwärter und Lehrkräfte in Ausbildung)
  3. Lehrerfortbildung
  4. Erfüllung der Schulleitungsaufgaben

Entsprechend der DS-GVO müssen Betroffene (Schüler und Erziehungsberechtigte sowie Lehrkräfte) bei der Erhebung von Daten oder, sofern die Daten nicht bei ihnen direkt erhoben wurden, nachträglich informiert werden. Die unmittelbare Information kann mittels eines entsprechenden Informationsschreibens2„Informationen Schule (NRW) – datenschutz-schule.info.“ https://datenschutz-schule.info/service-downloads/informationen-schule-nrw/. gegeben werden, welches den Betroffenen ausgehändigt wird, so dass sie jederzeit über die von der Schule verarbeiteten Daten und ihre Rechte im Bilde sind. Erforderlich ist diese Art von Information bei Schülern und ihren Erziehungsberechtigten erstmals bei der Anmeldung an der Schule, bei Lehrkräften, wenn sie den Dienst an einer neuen Schule aufnehmen, welche dazu personenbezogene Daten von ihnen selbst oder einer anderen Stelle (Stammschule/ abgebende Schule/ Schulamt/ Bezirksregierung) erhält.

Die DS-GVO unterscheidet beim Transparenzgebot im Erwägungsgrund 58 zwischen betroffener Person und Öffentlichkeit. Nur wenn es um Informationen zur Herstellung von Transparenz geht, welche für die Öffentlichkeit bestimmt sind, wird die Veröffentlichung auf einer Website als Möglichkeit vorgeschlagen. Für die Information der Betroffenen selbst wird dieses nicht vorgeschlagen. Da die Formulierung von Art. 12 Abs. 1 Satz 1 sehr offen ist, bleibt dem Verantwortlichen Gestaltungsspielraum.

“Insgesamt belässt Abs. 1 S. 1 dem Verantwortlichen bei der Wahl der Darstellungsweise einen beträchtlichen Gestaltungsspielraum.”3Bäcker in Kühling/Buchner Art. 12 Abs. 1 Rn. 12

Es lässt sich aus keiner Stelle in der DS-GVO eine eindeutige Vorgabe ableiten, dass zur Herstellung von Transparenz eine Veröffentlichung von Informationen entsprechend Art. 13 und 14 auf der Schulhomepage erforderlich ist. Genausowenig ist ersichtlich, dass eine Schule die Öffentlichkeit informieren muss.

Abgesehen davon spricht jedoch auch nichts dagegen, die Informationen zur Verarbeitung von personenbezogenen Daten von Betroffenen zusätzlich leicht auffindbar auf der Schulhomepage zu hinterlegen als Informationen über die Datenverarbeitung an der Schule nach DS-GVO Art. 12. Dort könnte man dann die Informationen aus den Informationsschreiben direkt in die Webseite einstellen und eventuell auch noch die Schreiben als PDFs zum Download anzubieten.

Wie das MSB das Thema sieht

Das Ministerium für Schule und Bildung (MSB) hat sich auf den Seiten der Medienberatung zum Thema Informationspflicht nach Art. 13 DS-GVO geäußert4„Homepage der Schulen – Bildungsportal NRW.“ https://www.schulministerium.nrw.de/docs/Recht/Datenschutz/Umsetzung-EU-Datenschutzgrundverordnung/Regelungsbereiche/Homepage-der-Schulen/index.html.. Das MSB schlägt vor, der Informationspflicht über die Schulhomepage nachzukommen, um den Verwaltungsaufwand für die Schule in Grenzen zu halten. Es sollte dann ausreichend sein, “mittels Link auf die ausführlichen Vorgaben der VO DV I und II” zu verweisen. Da die DS-GVO Information aber auch eine Information zum Zeitpunkt der Datenerhebung verlangt, sollen Schulen den Erziehungsberechtigten bzw. volljährigen Schülern bei Anmeldung an der Schule einen “einen Papierausdruck der VO DV I” aushändigen.

Auch wenn dieser Vorschlag gut gemeint ist, so widerspricht er einem der wichtigen Grundsätze der DS-GVO, wie dem Zitat zu Beginn des Textes zu entnehmen. Der Erwägungsgrund wird noch deutlicher. Die Information soll in “präzise, leicht zugänglich und verständlich sowie in klarer und einfacher Sprache abgefasst” sein. Dem entspricht die VO-DV I wohl kaum.

Aus den Ausführungen des MSB lässt sich, was für die Fragestellung hier noch bedeutsamer ist, keinerlei Verpflichtung zur Veröffentlichung dieser Informationen auf der Schulhomepage ableiten.

Fazit

  • Schulen müssen entsprechend der Vorgaben der DS-GVO Besucher ihrer Schulhomepage (Betroffene) über die Verarbeitung von personenbezogenen Daten auf der Website selbst in Form einer Datenschutzerklärung informieren.
  • Schulen sollen als öffentliche Stellen gemäß der Vorgaben des IFG NRW in elektronischer Form Verzeichnisse führen, welche die Öffentlichkeit über Informationssammlungen und -zwecke informiert. Das erfolgt am zweckmäßigsten vermutlich über die Schulhomepage.5Mir ist bisher keine Schule bekannt, welche derartige Informationen nach dem IFG auf ihrer Schulhomepage eingestellt hat. Auch, dass es wegen des Fehlens solcher Informationen Probleme gegeben hat, ist mir nicht bekannt.
  • Schulen können ergänzend zu einer direkten Information der Betroffenen vor oder nach der Datenerhebung zusätzlich über die Verarbeitung personenbezogener Daten entsprechend Art. 13 und 14 auf ihrer Homepage informieren, wenn die Schulleitung darin eine geeignete Maßnahme sieht, der Informationspflicht nachzukommen.

Zu den Informationen, die nach dem IFG NRW auf einer Schulhomepage veröffentlicht werden sollen, gehören neben Informationen über die Schulleitung auch solche über die Lehrkräfte, deren Funktion in der Schule und Angaben zur dienstlichen Erreichbarkeit. Siehe dazu den Beitrag: Welche personenbezogenen Daten von Lehrkräften dürfen OHNE Einwilligung auf die Schulhomepage?

Die Schulhomepage

Lesezeit: 1 Minute

Bei der Schulhomepage gibt es in Bezug auf das Thema Datenschutz einige Dinge zu beachten. Das beginnt bei den Funktionalitäten der Webseite, geht weiter bei einer den Vorgaben entsprechenden Datenschutzerklärung an und endet bei den erforderlichen Einwilligungen für die Nutzung personenbezogener  Daten von Personen aus der Schule. Der Vollständigkeit halber gibt es hier auch ein paar Informationen zum Thema Impressum und zum Persönlichkeitsrecht, da es hier Überschneidungen mit dem Datenschutz gibt.

Die Datenschutzerklärung gibt Informationen darüber, wer auf der Schulhomepage personenbezogenen Daten erhebt, für welchen Zweck dieses geschieht, auf welcher Rechtsgrundlage, wie lange die Daten gespeichert werden und welche Rechte der Nutzer der Webseite hat in Bezug auf die von ihm genutzten personenbezogenen Daten. Die folgenden Hinweise zur Datenschutzerklärung entstanden in Anlehnung an eine Handreichung des Kultusministerium Baden-Württemberg.

Weiterlesen Datenschutzerklärung

Schulen wird schon lange empfohlen, auf ihren Homepages ein Impressum einzustellen. Das Schulministerium NRW bzw. die Medienberatung NRW legen dieses seit Jahren nahe. Von daher ist man immer auf der sicheren Seite, wenn man eines hat.

Hinweise, wie ein Impressum für Schulen in NRW aussehen könnte

Eine Schulhomepage wird erst dann richtig mit Leben gefüllt, wenn es dort auch Fotos gibt, eventuell auch Videos. Das kann, ohne die erforderlichen rechtlichen Vorkehrungen, schnell ins Auge gehen. Es geht hier um das Persönlichkeitsrecht.

Wer prüfen möchte, ob die eigene Schulhomepage den rechtlichen Vorgaben in Bezug auf den Datenschutz, das Telemediengesetz, das Urheber- und das Persönlichkeitsrecht entspricht, kann dieses mit der Checkliste Schulhomepage tun.

Download Checkliste Schulhomepage.pdf

Auf der Schulhomepage dürfen personenbezogenen Daten von Schülerinnen und Schülern nur mit Einwilligung veröffentlicht werden. Bei Lehrkräften sind in NRW im Rahmen des Informationsfreiheitsgesetzes bei Lehrkräften Name, dienstliche Erreichbarkeit und Funktionsbezeichnung von dieser Einwilligungspflicht ausgenommen. Für die Veröffentlichung aller anderen personenbezogenen Daten braucht es jedoch einer Einwilligung.

Downloads Einwilligungen unter EINWILLIGUNGEN SCHULE (NRW)

Abmahnung & Schulhomepage

Lesezeit: 3 Minuten

Die Umsetzung der Datenschutz Grundverordnung (DS-GVO) steht unmittelbar bevor. Überall im Internet werkeln die Betreiber von Blogs und anderen Internetauftritten an den Einstellungen ihrer Webseiten, um die Erhebung von personenbezogenen Daten bei den Besuchern zu vermeiden oder zumindest zu reduzieren. Mechanismen zur Einholung von Einwilligungen bei Cookies, Kommentaren und dem Abonnement von Newslettern werden eingerichtet. Datenschutzerklärungen werden schnell noch angepasst oder gar erst erstellt, um den Pflichten der DS-GVO nachzukommen. Gleiches ist auch bei den Machern von Schulhomepages zu beobachten.

Alle haben Angst vor der drohenden Abmahnung!!!! 

Das ist es das Unwort, AbMahnung. Muss eine Schule sich hier überhaupt Gedanken machen? Kann eine Schule wegen ihrer Schulhomepage und dort begangenen Rechtsverstößen abgemahnt werden?

Beschäftigt man sich näher mit dem Thema Abmahnung, dann sieht man schnell, dass eine Schule prinzipiell zwar durchaus abgemahnt werden kann wegen Inhalten der Schulhomepage, dass dieses wegen des Thema Datenschutzes jedoch eher unwahrscheinlich ist. Warum?

JuraWiki beschreibt den Begriff Abmahnung wie folgt:

„Allen Abmahnungen gemeinsam ist, dass sie ein bestimmtes Verhalten rügen. Es wird darauf hingewiesen, dass man dies nicht toleriert und bei forgesetztem Fehlverhalten Konsequenzen drohen.“

Abmahnungen sind in verschiedenen Rechtsbereichen vertreten. Arbeitsrecht, Mietrecht und Verwaltungsrecht treffen auf eine Schulhomepage nicht zu. Schulen in öffentlicher Trägerschaft können eindeutig auch nicht vom Wettbewerbsrecht betroffen sein. Es bleiben noch das Urheberrecht, das Markenrecht und das Persönlichkeitsrecht.

Hier können sich tatsächlich Konstellationen in Bezug auf die Homepage ergeben, aus denen Abmahnungen folgen könnten.

Urheberrecht

Finden sich auf einer Schulhomepage urheberrechtlich geschützte Materialien, die ohne Erlaubnis des Rechteinhabers dort genutzt werden, so hat der Rechteinhaber die Möglichkeit, sich über eine Abmahnung dagegen zu wehren. Alternativ werden auch Lizenzkosten erhoben. Fälle, dass dieses sogar mit Creative Commons lizenzierten Bildern geschieht, sind bekannt. Dabei waren dann die Lizenzangaben nicht richtig oder unvollständig gemacht worden.

Markenrecht

Die Nutzung urheberrechtlich geschützter Markenzeichen kann auf einer Schulhomepage, sofern keine Einwilligung des Rechteinhabers vorliegt, eine Abmahnung zur Folge haben. Dazu gehören auch die Logos von Sportmannschaften.

Persönlichkeitsrecht

Auch bei Verletzungen des Persönlichkeitsrechts sind Abmahnungen möglich, auch gegen Schulen. Das könnte der Fall sein, wenn auf einer Schulhomepage über eine Person berichtet wird, so dass das Persönlichkeitsrecht verletzt wird, etwa durch eine grob sachlich falsche oder beleidigende Darstellung einer Person.

An dieser Stelle sind durchaus Überschneidungen mit dem Datenschutzgesetz möglich, etwa wenn Informationen ohne Einwilligung des Betroffenen auf der Schulhomepage veröffentlich werden und diese Informationen rufschädigende Wirkung haben.

Da es bei einer Abmahnung darum geht, jemanden dazuzubringen, ein Verhalten zu unterlassen, und es bei den Inhalten von Schulhomepages in der Regel um Personen geht, die der Schule bekannt sind, muss es schon weit kommen, dass eine Person zur Abmahnung als letztes Mittel greift, wenn es zu einer Verletzung des Persönlichkeitsrechts kommt.

Was ist mit dem Impressum?

Eine Abmahnung wegen fehlenden oder fehlerhafen Impressums ist eine Abmahnung aus dem Bereich des Wettbewerbsrechts. Auf Schulen in öffentlicher Trägerschaft trifft das normalerweise nicht zu.6Ob man einer Schule, die Werbebanner auf ihrer Homepage betreibt und Amazon Affiliate Links nutzt, einen Strick daraus drehen könnte, halte ich für wenig wahrscheinlich. Eine Abmahnung wegen fehlenden Impressums ist von daher auch nicht wirklich möglich. Haben sollten Schulhomepages ein Impressum aber auf jeden Fall.

Gibt es nicht doch Möglichkeiten, wo eine Schule wegen der Schulhomepage in Bezug auf Verletzungen des Datenschutz abgemahnt werden kann?

Schaut man sich die Rechtsbereiche an, bei denen Abmahnungen üblich sind, so ist schnell klar, dass bei Verstößen gegen die Datenschutzgesetzgebung, wenn es um Schulen geht, nicht mit Abmahnungen gerechnet werden muss. Möglich sind in sochen Fällen Beschwerden bei den Aufsichtsbehörden.

Ist eine fehlende oder fehlerhafte Datenschutzerklärung nicht doch ein Abmahnungsgrund?

Nein, auch nicht. Weder nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) noch nach dem Unterlassungsklagengesetz (UKlaG) ist hier eine Abmahnung möglich, denn in beiden Fällen geht es immer um kommerzielle Interessen des Betreibers der Homepage. Das ist bei einer Schule in öffentlicher Trägerschaft eindeutig nicht der Fall. Eine Datenschutzerklärung ist nach der DS-GVO natürlich trotz allem ein verpflichtender Bestandteil der Schulhomepage.

Fazit

Schulen brauchen sich, wenn es um das Thema Datenschutz und DS-GVO geht, bezüglich ihrer Schulhomepage keine Gedanken machen. Die Wahrscheinlichkeit, dass hier ein Abmahnanwalt ein Geschäft wittert, ist eher gering. Um eine Abmahnung erteilen zu können, braucht es eine Rechtsgrundlage und solange auf einer Schulhomepage keine Urheberrechtsverletzung begangen wird oder die Persönlichkeitsrechte einer Person missachtet werden, ist mit einer Abmahnung nicht zu rechnen. Trotzdem gelten auf jeden Fall die Vorgaben der Datenschutzgesetzgebung, die dazu anhalten die Erhebung von personenbezogenen Daten auf ein Minimum zu beschränken und Nutzer über die Erhebung in Kenntnis zu setzen, ihre Einwilligung einzuholen, wo erforderlich und die Datenverarbeitung über die Homepage allgemein mittels einer Datenschutzerklärung zu informieren.

Bitte beachten, für Privatschulen, die kommerziell betrieben werden, gelten obige Aussagen nicht uneingeschränkt.

Siehe auch:

In einer Reihe von Tweets hat die Rechtsanwältin Nina Diercks am 20.05.2018 sehr gut erklärt, wie es mit dem Abmahnrisiko für Websiten in Bezug auf die DS-GVO aussieht.

Link zum ersten Tweet: https://twitter.com/RAinDiercks/status/998079439727661056

Link zum restlichen Thread (11 Tweets): https://twitter.com/RAinDiercks/status/998080633464344576

Krankmeldung über die Schulhomepage

Lesezeit: 4 Minuten

An Schulen kommt von Seiten der Eltern immer wieder der Wunsch auf, Krankmeldungen zu vereinfachen. Was liegt da näher als ein entsprechendes Formular in die Schulhomepage einzubauen. So hat man, besser als bei einer E-Mail, eine standardisierte Krankmeldung mit allen erforderlichen Informationen. Lästige Telefonanrufe im Sekretariat entfallen. Aus rechtlichen Gründen wird die Entschuldigung anschließend auf Papier nachgereicht. Alles gut, oder doch nicht?

Das Beispiel von der Homepage einer Schule zeigt, wie viele personenbezogene Daten in diesem Fall verarbeitet werden. Je nachdem, was Eltern eintragen, können diese Informationen hochsensibel sein. Hinzu kommt noch die IP Adresse, die ebenfalls ein personenbezogenes Datum darstellt. Alle diese Informationen werden, sofern für die Forumular Funktion nicht externe Dienstleister genutzt werden, in der Datenbank der Webseite gespeichert. Je nach Einstellung wird die Schule über den Eintrag per E-Mail informiert.

Die Krankmeldung in dieser Form ist von der Technik her vergleichbar einem Kontaktformular. Welche Vorgaben sich aus der DS-GVO dafür ergeben, wird an vielen Stellen im Netz ausführlich erläutert. Sie heißt es zum Beispiel bei datenschmutz.net.

„Werden mittels Formularen Daten erhoben und gespeichert (zum Beispiel durch ein Formular-Plugin, das alle Einträge auch in der Datenbank speichert), so muss der Nutzer dazu explizit seine Einwilligung erteilen. Eine entsprechende Checkbox zur Einholung der Zustimmung des Nutzers (darf standardmäßig nicht angehakt sein) ist die sicherste Art der Umsetzung.“

erecht24 fragt Achtung Abmahnung: Ist eine Einwilligung bei Kontaktformularen notwendig? und kommt mit Verweis auf ein Urteil des OLG Köln zu dem Schluss, dass es ohne Einwilligung nicht geht und die Datenschutzerklärung einen „Passus zum Umgang mit Daten aus dem Kontaktformular“ enthalten sollte. Unter das Formular sollte eine Checkbox zur Einwilligung eingebunden werden und daneben soltel es einen „Einwilligungstext zum Umgang mit den Daten der Nutzer und Ihr Recht auf Widerspruch“ geben.

Was müssen Schulen bei Online Krankmeldungen in Formularform beachten?

  • Vertrag zur Auftragsverarbeitung (AV Vertrag)
    Schulen können nach VO-DV I §2 Abs 3 externe Anbieter mit der Verarbeitung ihrer Daten beauftragen.7„Die Schulen und Schulaufsichtsbehörden sind berechtigt, unter Beachtung der Voraussetzung des § 11 DSG NRW die Datensicherheit gewährleistende und zuverlässige Institutionen mit der Verarbeitung ihrer Daten zu beauftragen. Die Datenverarbeitung im Auftrag ist nur zulässig nach Weisung der Schule oder der Schulaufsichtsbehörden und ausschließlich für deren Zwecke.“ Wenn die schulische Homepage, wie wohl in den meisten Fällen über einen Hoster (z.B. 1&1, Strato, Kommunales Rechenzentrum, …) betrieben wird, ist dafür ohnehin ein AV Vertrag erforderlich, denn es werden immer personenbezogene Daten von Besuchern der Homepage verarbeitet. Wichtig! Die personenbezogenen Daten, welche über das Formular verarbeitet werden, müssen im AV Vertrag berücksichtigt werden.
  • Als Verarbeiter muss die Schule den Datenschutz sicherstellen. Bei sensiblen Daten wie Gesundheitsdaten ist dieses umso wichtiger. Das bedeutet, die Schule muss sicher sein, dass der gewählte Auftragsverarbeiter das erforderliche Schutzniveau durch technisch organisatorische Maßnahmen (Art 25, 32 DS-GVO) gewährleistet. Ein Severstandort in Deuschland ist zu empfehlen, jedoch kein Muss, da ab dem 25.05.2018 überall in EU Land die gleichen Regeln gelten. Deutsche Anbieter haben allerdings einen Vorteil, die Kommunikation ist einfacher und der AV Vertrag ist in deutscher Sprache. Wer für die Krankmeldung ein Google Formular nutzen möchte (auch schon gesehen), sollte davon besser Abstand nehmen. 
  • Die Schule muss durch die technische Gestaltung des Online Formulars und Informierung der Betroffenen dafür sorgen, dass
    • eine eindeutige Einwilligung der Betroffenen möglich ist und dokumentiert wird, (Häkchen)
    • die Betroffenen über ihre Rechte bezüglich der Verarbeitung der Daten informiert werden (Datenschutzerklärung)
    • die Betroffenen ihre Rechte auf Auskunft, Widerruf, Berichtigung und Löschung wahrnehmen können.
    • die Übermittlung der personenbezogenen Daten sicher abläuft (SSL)
  • Darüber hinaus muss die Schule im Sinne der Datenminimierung dafür sorgen, dass
    • die IP Nummern sobald möglich entweder gelöscht oder pseudonymisiert werden,
    • die Formulardaten in kürzest möglicher Zeit gelöscht werden, bzw. sobald sie nicht mehr erforderlich sind. Das ist in der Regel der Fall, wenn das E-Mail mit dem Inhalt des Formulars an die Schule verschickt worden ist.
    • auch die E-Mails gelöscht werden, sobald sie ihren Zweck erfüllt haben.
  • Zu regeln ist von Seiten der Schule, dass nur Berechtigte Zugriff auf die Daten aus dem Formular haben8VO-DV I §2 Abs 1 „Insbesondere ist sicherzustellen, dass Berechtigte nur Zugang zu personenbezogenen Daten erhalten, die für die jeweilige Aufgabenerfüllung erforderlich sind.“, auf dem Webserver selbst (über die Adminoberfläche der Webseite) und in der Schule, der/die Empfänger der E-Mails.
  • In der Datenschutzerklärung sollte die Schule bezüglich der Online Krankmeldung informieren über:
    • die erhobenen Daten,
    • den Zweck der Verarbeitung,
    • die Art und Weise der Verarbeitung der Formulardaten (und der dabei erhobenen IP Adresse), wozu auch die Übermittlung per E-Mail gehört,
    • die Speicherdauer
    • die Verarbeitung im Auftrag,
    • die Sicherheitsmaßnahmen (SSL, Updates der Software auf der die Website läuft, z.B. WordPress, und der Plugins) und
    • die Kategorien von Zugriffsberechtigten bezüglich der erhobenen Daten (Empfänger)

Empfehlung für einen Text beim Kästchen für die Einwilligung beim Senden Button:

Mit der Nutzung dieser Online Krankmeldung erklärst du dich mit der Speicherung und Verarbeitung deiner Daten durch diese Website einverstanden. Weitere Informationen zu den verarbeiteten personenbezogenen Daten, deinem Recht auf Widerruf, Widerspruch, Auskunft, Berichtigung und Löschung findest du in der Datenschutzerklärung.

Die „Datenschutzerklärung“ ist dabei verlinkt.

Thema Löschen

Je nach der für Plattform, die für den Betrieb der Schulhomepage genutzt wird, könnte es schwierig sein, eine automatische Löschroutine für die gespeicherten Formulareinträge einzurichten. Hier sollte eine Lösung gefunden werden, etwa in der Form, dass die Einträge jede Woche oder jede zweite Woche von Hand gelöscht werden. Entsprechend sollte dieses in der Datenschutzerklärung bei Speicherdauer berücksichtigt werden.

Missbrauch vorbeugen

Formulare für eine Krankmeldung lassen sich leicht missbrauchen. Niemand hindert Personen daran, einen Schüler über das Formular krankzumelden, und diesen dann irgendwo einzusperren. Bis Mittag merkt hier niemand etwas. Solches lässt sich unterbinden, wenn man ein Formular nutzt, welches eine Bestätigung per E-Mail einfordert, indem an die angegebene E-Mail Adresse eine Nachricht mit einem Bestätigungslink gesendet wird. Erst dann wird der Eintrag im Formular gespeichert. Der hierbei entstehende zusätzliche Verarbeitungsschritt ist entsprechend zu dokumentieren. Es muss darauf auch beim Formular selbst hingewiesen werden.

Muss der Datenschutzbeauftragte auf die Schulhomepage?

Lesezeit: 2 Minuten

Die Europäische Datenschutz Grundverordnung (DS-GVO) ist zwar schon in Kraft, wird aber noch nicht umgesetzt. Am 25.05.2018 ist es soweit. Viele Schulen sind aus diesem Grund aktuell dabei, ihren Internetauftritt an die Vorgaben anzupassen. Dabei taucht auch immer wieder die Frage auf, muss auf der Homepage ein Datenschutzbeauftragter genannt werden?

Was sagen das Gesetz und die Literatur?

In dem Beitrag Oft gefragt: Muss der Datenschutzbeauftragte zwingend auf der Internetseite genannt werden? ging die itrecht Kanzlei München der Frage schon 2015 nach. Seinerzeit ließ sich aus dem BDSG keinerlei solche Notwendigkeit ableiten.

Aber mit der DS-GVO ändert sich dieses nun. Zwar gibt es auch hier keine Stelle im Gesetzestext, wo eine spezielle Erfordernis zur Veröffentlich auf der Webseite der Institution ausdrücklich benannt ist, doch Datenschutzexperten leiten aus anderen Aussagen eine Notwendigkeit ab. Art. 37 DSGVO Benennung eines Datenschutzbeauftragten führt in Abs. 7 aus:

„Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten …“

Eine entsprechende Passage findet sich im neuen Bundesdatenschutzgesetz §5 Benennung Abs. 5:

„Die öffentliche Stelle veröffentlicht die Kontaktdaten der oder des Datenschutzbeauftragten …“

Entsprechend kommen Datenschutzexperten zu dem Schluss:

„Ist ein DSB benannt, sind dessen Kontaktdaten (mindestens Anschrift, E-Mail-Adresse, nicht jedoch der Name, vgl. Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, Kap. 6, Rn. 19) zu veröffentlichen, z. B. auf der Website des Verantwortlichen.“

Koreng/Lachmann

„Eine spezielle Form der Veröffentlichung sieht das Gesetz nicht vor. Aus dem Zweck des Gesetzes folgt jedoch, dass beispielsweise ein Aushang am Unternehmenssitz nicht genügt. Vielmehr wird zu verlangen sein, dass die Angaben an gut auffindbarer Stelle in der WWW Seite gemacht werden (vergl. Helfrich in HK-EuDSchVO Art 37 Rn 129), etwa im Impressum und einer eventuellen Datenschutzerklärung.“ … „Zu den Kontaktdaten gehört nicht der Name des Datenschutzbeauftragten: Das Gesetz unterscheidet zwischen dem Namen und den Kontaktdaten des Datenschutzbeauftragten“

Kühling/Buchner

Als vertrauensbildende Maßnahme wird in dieser Literatur empfohlen, auch den Namen des DSB zu veröffentlichen.

Was bedeutet das für die Schulhomepage?

Es empfiehlt sich, auf der Schulhomepage entweder in der Datenschutzerklärung selbst oder im Impressum eine Angabe zum Datenschutzbeauftragten zu machen. Genannt werden kann dabei entweder der behördlich bestellte schulische Datenschutzbeauftragte oder eine Person aus der Schule, welche als Datenschutzbeauftragter benannt wurde.

Es ist dabei jedoch nicht erforderlich, den Namen der Person zu nennen. Anschrift und E-Mail Adresse genügen. Für Nutzer der Webseite wird es sicher schöner sein, wenn sie in Bezug auf den Datenschutz auch einen Namen finden, der für eine Person steht, an die man sich wenden kann. Wenn von Seiten des/der Datenschutzbeauftragten keine Einwände bestehen, sollte man dann auch den Namen nennen.

Einwilligungen Schule (NRW)

Lesezeit: 7 Minuten

Datenschutzrechtliche Einwilligungen

Schulen dürfen viele personenbezogenen Daten auf gesetzlicher Grundlage verarbeiten. Für alle anderen personenbezogenen Daten, die eine Schule verarbeiten möchte, braucht es eine datenschutzrechtliche Einwilligung. Bitte beachten Sie, dass diese Einwilligungen auf die schulrechtlichen Vorgaben von NRW ausgelegt sind.9Je nach Bundesland sind einige Einwilligungen nicht erforderlich oder müssen entsprechend der rechtlichen Vorgaben der jeweiligen Schulgesetze und abgeleiteten Dienstanweisungen modifiziert werden.

Allgemeine Einwilligung personenbezogene Daten, Fotos & Videos

Wenn es um die Nutzung von personenbezogenen Daten im allgemeinen Rahmen geht, für die Presse und die Schulhomepage, wie auch die unterrichtliche Nutzung von Videoaufnahmen, dann genügt diese Einwilligung. Für alle darüber hinausgehenden Nutzungen ist eine gesonderte, anlassbezogene datenschutzrechtliche Einwilligung einzuholen.

Beispiele dafür finden sich unter Download weitere Einwilligungen (NRW)10Die Sammlung dort wird ergänzt, wie der Bedarf entsteht.

Die Einwilligung ist durch die Schulleitung zu unterschreiben (am besten vor dem Vervielfältigen). Zu ergänzen ist auch die URL der Schulhomepage. Für Videoaufnahmen im Rahmen des Sportunterrichts oder sonstigen Unterrichts ist ein Zweck zu definieren. Aufnahmen dürfen dann auch nur diesem Zweck entsprechend gemacht werden. Als Datenschutzbeauftragter wird der behördlich bestellte DSB eingetragen.

Diese Einwilligungen entsprechen den Vorgaben der Datenschutz Grundverordnung und wurden aus Vorlagen aus BaWü adaptiert.11Siehe auch Datenschutz an Schulen, Formulare.

Allgemeine Einwilligung personenbezogene Daten & Fotos (ohne Videos)

Nicht jede Grundschule möchte Videos zu Unterrichtszwecken nutzen. Dafür gibt es die Version ohne Einwilligung für Videoaufnahmen.

Einwilligung Schüler für die Anfertigung von Fotos und Veröffentlichung mit alphabetischer Namensliste

Diese Einwilligung ist nutzbar, wenn es um Fotos/ Gruppenfotos und Veröffentlichungen im Rahmen der Entlassung geht. Für andere Zwecke ist die Einwilligung leicht anzupassen. Anders als die anderen Einwilligungen ist diese auf unbegrenzte Gültigkeit ausgelegt, wie das bei Entlassbildern Sinn machen kann.

Einwilligung Schüler für die Anfertigung von Fotos für eine Fotowand und Klassenfotos für die Klasse

Ein Beispiel für eine anlassbezogene Einwilligung. Es geht darum, Fotos für eine Fotowand in der Schule anzufertigen und Klassenfotos, die an Mitschüler und Lehrkräfte in der Klasse ausgegeben werden sollen.

Einwilligung Schüler für die Anfertigung von Videoaufzeichnungen innerhalb des Unterrichts

Der exakte Zweck ist in der Einwilligung anzugeben. Für spätere Unterrichtsvorhaben, die einen anderen Zweck haben, ist eine neue angepasste Einwilligung einzuholen.

Einwilligung Schüler für die Verarbeitung von Daten zwecks Erstellung eines Schülerausweises

Firmen bieten als Service das Anfertigen von Schülerausweisen im Scheckkartenformat an. Das geht nicht ohne eine umfassende Erklärung über die geplante Datenverarbeitung und auch die (eventuelle) Beauftragung eines Fotografen mit der Anfertigung des für den Schülerausweis notwendigen Fotos. Die personenbezogenen Daten, die auf den Schülerausweis kommen, sind entsprechend anzupassen.12Im November 2018 habe ich diese Einwilligung verändert. Es entfällt die Einwilligung in die Übermittlung an die Firma, da es sich hier um eine Datenverarbeitung im Auftrag handelt. Eine Einwilligung in die Verarbeitung ist jedoch trotzdem erforderlich mit einer umfassenden Information in die Erstellung im Auftrag durch eine Firma. Hintergrund: Bei der LDI NRW vertritt man die Meinung, dass es sich bei der Anfertigung von Schülerausweisen auf Wunsch der Schüler um eine Aufgabe der Schule handelt und eine Anfertigung durch eine Firma von daher nur im Rahmen eines  Auftragsverarbeitungsvertragtes erfolgen kann, womit „Übermittlung“ nicht zutreffend ist.

Für Schulen, welche ihre Schülerausweise selbst erstellen, sind die folgenden Anträge mit Einwilligung gedacht.

Einwilligung Lehrkräfte personenbezogene Daten (mit Einwilligung Funktionsdaten)

Auch wenn nach  §§ 12 und 9 Absatz 3
Informationsfreiheitsgesetz Nordrhein-Westfalen dienstliche Kommunikationsdaten auch ohne Einwilligung der Lehrkräfte auf der Schulhomepage veröffentlicht werden können, empfiehlt es sich vielleicht, doch lieber eine Einwilligung einzuholen, um den Frieden im Kollegium zu wahren.

Einwilligung Lehrkräfte personenbezogene Daten (ohne Einwilligung Funktionsdaten)

Diese Einwilligung geht von §§ 12 und 9 Absatz 3 Informationsfreiheitsgesetz Nordrhein-Westfalen aus, wonach dienstliche Kommunikationsdaten auch ohne Einwilligung der Lehrkräfte auf der Schulhomepage veröffentlicht werden können. Siehe dazu auch den Beitrag „Welche personenbezogenen Daten von Lehrkräften dürfen OHNE Einwilligung auf die Schulhomepage?“ Die Einwilligung informiert darüber und räumt die Möglichkeit ein, zu widersprechen, wenn diesem schutzwürdige Belange entgegenstehen.

Einwilligung Lehrkräfte – freiwillige Angaben

Ahnlich wie bei Schülern gibt es auch bei Lehrkräften einige personenbezogene Daten, deren Angabe freiwillig ist. Entsprechend dürfen diese Daten auch nur verarbeitet werden, wenn die Einwilligung dafür nachgewiesen werden kann. Das sind Angaben zu besonderen Kenntnissen und Erfahrungen.13VO-DV II Anlage 2, Fußnote (1) Angabe ist freiwillig und kann widerrufen werden.). Bei der privaten E-Mail Adresse, Fax14VO-DV II Anlage 1 Nr. 1.10 und Wünschen zum Unterrichtseinsatz15VO-DV II Anlage 1 Nr. 7.8 ist eine Einwilligung nur zu dokumentieren, wenn die Angaben im Einzelfall nicht erforderlich sind, aber freiwillig erfolgen.16Ob man diese Einwilligung einholen sollte, um sich abzusichern, muss jede Schule für sich entscheiden. Rein formal wäre sie nach der DS-GVO erforderlich, da die Angabe von besonderen Kenntnissen und Erfahrungen nach der VO-DV II auf jeden Fall freiwillig ist. Das entspricht einer Verarbeitung nach Art. 6 lit. a – Verarbeitung auf der Grundlage einer Einwilligung. Eine solche ist immer nachzweisen, vor allem, wenn Daten digital verarbeitet werden, d.h. hier, wenn die Schulleitung diese Informationen in ihrer Akte der Schulleitung digital speichert.

Einwilligung Lehrkräfte – elektronische Schließanlage

Schulträger setzen heute zunehmend auf elektronische Schließanlagen zur Zutrittssicherung der Schulgebäude. Da eine solche Schließanlage und die zugehörige Verwaltungssoftware personenbezogene Daten verarbeiten, ist eine Einwilligung erforderlich. Diese wird durch Hinweise zur Nutzung ergänzt. Bitte beachten Sie, dass der datenschutzkonforme Betrieb einer elektronischen Schließanlage in NRW nur unter bestimmten Voraussetzungen möglich ist. 17Weitere Hinweise darauf finden sich im Anhang der Einwilligungsvorlage und im Beitrag Elektronische Schließanlagen in Schulen – ein Problem – zwei Sichten

Einwilligung Erziehungsberechtigte zusätzliche Daten zur Erreichbarkeit

Nach VO-DV I Anlage I dürfen bestimmte Daten der Erreichbarkeit von Erziehungsberechtigten nur mit einer Einwilligung verarbeitet werden. Das sind die Faxnummer am Wohnort, die private E-Mail Adresse und die Telefonnummer am Arbeitsplatz. Eine Einwilligung ist auch für die Verarbeitung von Notfallinformationen erforderlich. In der zweiten Version ist die Vorlage ergänzt um eine Einwilligung zur Nutzung von Daten für eine Klassenliste, die an die Eltern in der Klasse verteilt werden darf.

Anmeldebogen Grundschule mit Einwilligung zusätzliche Daten zur Erreichbarkeit

Wer Papier sparen möchte, ist mit diesem Anmeldebogen richtig, denn er erhebt nicht nur die üblichen Informationen, sondern auch die zusätzlichen Daten zur Erreichbarkeit und holt zu deren Nutzung durch die Schule eine Einwilligung ein. Dazu kommt noch eine Einwilligung zur Nutzung von Informationen für eine Klassenliste, welche an alle Eltern der Klasse ausgegeben wird, und das alles auf nur zwei Seiten. Wichtig! Dieser Vordruck kann nur in Kombination mit dem passenden Informationen zur Datenverarbeitung genutzt werden. Detaillierte Erklärungen sind dem Vordruck als 3. Seite angefügt.

Einwilligung Schüler für die Weitergabe von Informationen an den Träger des Offenen Ganztags

Schulen mit offenem Ganztag arbeiten in der Regel mit einem externen Träger zusammen. Damit der Träger und seine Mitarbeiter die Schüler im offen Ganztagsangebot entsprechend unterstützen können, sei es bei den Hausaufgaben oder mit speziellen Förderangeboten, werden regelmäßig aktuelle Informationen aus der Schule benötigt. Das entspricht aus Sicht des Datenschutz einer Übermittlung an Dritte und sollte über eine Einwilligung abgesichert werden. Siehe auch – Übermittlung personenbezogene Daten von Schülern an Träger im offenen Ganztag.

Die zweite Variante dieser Einwilligung ist vor allem für Schulen gedacht, die eine sehr enge Zusammenarbeit im Morgen- wie im Nachmittagsbereich pflegen.19Der Vergleich beider Varianten zeigt hoffentlich auch, dass es relativ einfach ist, diese Vorlagen auf die eigenen Bedürfnisse anzupassen, solange man die Formalien inhaltlich nicht verändert.

Einwilligung zur Übermittlung von personenbezogenen Daten von Schülern zur Erstellung einer Schülerfahrkarte

Ob und wann eine Einwilligung erforderlich ist, hängt davon ab, wer der Empfänger ist, der Schulträger oder ein Verkehrsunternehmen. Je nach Auslegung der rechtlichen Vorgaben kann auch bei der Vergabe eines Schülertickets an alle Schüler, auch die ohne gesetzlichen Anspruch, eine Einwilligung erfordern. Siehe hierzu den Beitrag: Schülerfahrverkehr – wann braucht es eine Einwilligung in die Datenübermittlung?

Einwilligung Schüler EU-DSGVO konform in Verarbeitung personenbezogener Daten bei der Nutzung des pädagogischen Netzes und schulischen WLAN (BYOD) + Feld für Nutzungsvereinbarung und Anerkennung derselben

Dieses Formular besteht aus zwei Teilen. Im ersten Teil findet sich vorbereitet Platz für eine Nutzervereinbarung zur Nutzung des pädagogischen Netzes und eine Nutzervereinbarung zur Nutzung des schulischen WLAN mit einem eigenen Gerät (BYOD). Darunter finden sich die entsprechenden Informationen zur Verarbeitung von personenbezogenen Daten entsprechend Art. 13 DS-GVO. Auf diesen ersten Teil, der beim Nutzer verbleibt, nimmt das letzte Blatt bezug. Hier findet sich die Anerkennung der Nutzervereinbarung und die Einwilligung in die Datenverarbeitung. Nutzervereinbarungen für das pädagogische Netz und schulische WLAN findet man im Internet leicht, passt sie an und setzt sie im ersten Teil ein. Bei den Angaben  entsprechend Art. 13 DS-GVO sollte man die Kategorien personenbezogener Daten auf die technischen Gegebenheiten der Schule anpassen. Der gesamte Vordruck lässt sich leicht anpassen, indem man etwa den WLAN Teil herausnimmt, wenn solches nicht benötigt wird.

Einwilligung Schüler EU-DSGVO konform in Verarbeitung personenbezogener Daten bei der Nutzung des pädagogischen Netzes und von Office 365 + Nutzungsvereinbarung

Viele Schulen nutzen mittlerweile Office 365, teilweise in der ProPlus Variante. In der Regel hat die Schule auch ein pädagogisches Netz, in welchem lokal gearbeitet werden kann, über welches jedoch auch ein Zugang zu Office 365 möglich ist. Damit dieses datenschutzrechtlichen Anforderungen genügt, braucht es eine Nutzungsvereinbarung und eine Einwilligung. 20Die Vorlage müsste gegebenenfalls noch um einen Antrag auf den ProPlus Zugang ergänzt werden, je nach dem welches Modell genutzt wird. In einigen Kommunen, zahlt der Schulträger und man kann den ProPlus Zugang mit Annahme der Nutzungsvereinbarung und Einwilligung ausgeben. Manche Kommunen erwarten eine finanzielle Beteiligung. Hier müsste eine Anpassung erfolgen.

Einwilligung Schüler EU-DSGVO konform in Verarbeitung personenbezogener Daten bei der Nutzung des pädagogischen Netzes und von G Suite for Education + Nutzungsvereinbarung

Auch die G Suite for Education erfreut sich an Schulen trotz Vorbehalten zunehmender Beliebtheit. Die Plattform, die mittlerweile das C5 Testat des BSI vorweisen kann, wird komplett online genutzt. Diese Einwilligung ist mit einer Nutzungsvereinbarung kombiniert, welche sicherstellt, dass die Plattform datenschutzkonform genutzt wird. Ergänzt ist dieses mit entsprechenden Informationen und Einwilligung bezüglich des pädagogischen Netzes.21Stellt die Schule nur ein WLAN für den Zugang zu G Suite for Education zur Verfügung muss eine entsprechende Anpassung vorgenommen werden.

Einwilligung Schüler EU-DSGVO konform in Verarbeitung personenbezogener Daten bei der Nutzung von Apple iPads mit managed Apple ID

iPads werden mittlerweile an vielen Schulen genutzt. Spätestens wenn mit managed Apple IDs gearbeitet wird, etwa wenn es um shared iPads geht, muss über die erforderliche Verarbeitung von personenbezogenen Daten informiert und eine Einwilligung eingeholt werden. Hierbei ist dann ASM zu berücksichtigen und das genutzte MDM, in diesem Fall ZuluDesk. Da MDM in ihren Funktionen oft ähnlich sind, kann die Vorlage leicht angepasst werden. Eine mit einer Nutzungsvereinbarung kombinierte Vorlage ist in Vorbereitung.

Nutzungsvereinbarung – Einwilligung – EU-DSGVO konform – NextCloud

Die open source Plattform NextCloud ist eine sehr datenschutzfreundliche Cloud-Lösung für Schulen, um Teamarbeit im Kollegium zu gestalten wie auch sie im Unterricht mit Schülern zu nutzen. Hier wird von einer NextCloud ausgegangen, die von einem Dienstleister betrieben wird. Weitere Infos unter NextCloud – Plattform – Datenschutz für Schulen mit Open Source.

Einwilligung Schüler in die Teilnahme an einer wissenschaftlichen Untersuchung/ Befragung

Die Teilnahme an wissenschaftlichen Untersuchungen und Befragungen ist nach §120 Abs. 4 SchulG NRW nur mit Einwilligung der Betroffenen zulässig. Die folgende Vorlage muss auf die jeweilige Situation angepasst werden. Wichtig ist dabei, dass die Betroffenen eine informierte Entscheidung treffen können.22Sehr nützlich in dem Zusammenhang ist eine Checkliste aus Rheinland Pfalz, die man als Schule vor Einholen der Einwilligung unbedingt berücksichtigen sollte.

Leseplattform Antolin

Der Westermann Verlag stellt die Plattform Antolin zur Verfügung. Die Verarbeitung der dafür erforderlichen Daten ist nur mit Einwilligung zulässig. Die beiden Vorlagen lassen sich auch leicht auf andere Angebote des Verlages wie Zahlenzorro anpassen.23Die passende Dokumentation für das Verzeichnis der Verarbeitungstätigkeiten findet sich unter Verzeichnis von Verarbeitungstätigkeiten

Einwilligung und Entbindung von der Schweigepflicht

Wann es einer Einwilligung in die Übermittlung von personenbezogenen Daten bedarf und wann einer Entbindung von der Schweigepflicht wird im Datenschutz und Schweigepflicht erklärt.

In einigen Situation kann auch ein kombiniertes Formular erforderlich sein.

Für die Entbindung von der Schweigepflicht zwischen Kita und Grundschule ist die folgende Vorlage gedacht. Weitere Infos zur Thematik unter Austausch von Grundschule und Kita.

Einwilligung Schüler in die Teilnahme an standardisierten Testverfahren

Hinweis: Aktuell bin ich mir nicht 100% sicher, ob die genannten Tests tatsächlich unter §120 Abs. 4 SchulG NRW fallen. Einiges spricht dafür, anderes dagegen. 

Während die Durchführung bestimmter standardisierter Testverfahren durch §120 Abs. 3 SchulG NRW24(3) Standardisierte Tests und schriftliche Befragungen von Schulanfängerinnen und -anfängern (§ 36) und Schülerinnen und Schülern dürfen in der Schule nur durchgeführt werden, soweit dies für die Feststellung der Schulfähigkeit oder des Sprachstandes, für eine sonderpädagogische Förderung oder für Maßnahmen zur Qualitätsentwicklung und Qualitätssicherung geeignet und erforderlich ist. ohne Einwilligung der Betroffenen möglich ist, braucht es zur Durchführung anderer Tests, wie DST, HSP, DEMAT4  und DEMAT 6 +, nach §120 Abs. 4 SchulG NRW25(4) Andere wissenschaftliche Untersuchungen, Tests und Befragungen sind nur mit Einwilligung im Rahmen des Absatz 2 Sätze 2 und 3 zulässig, wenn dadurch die Bildungs- und Erziehungsarbeit und schutzwürdige Belange einzelner Personen nicht beeinträchtigt werden oder die Anonymität der Betroffenen gewahrt bleibt. einer Einwilligung der Betroffenen. Da die getesteten Schüler jünger sind und entsprechend §120 Abs. 2 SchulG NRW26 Minderjährige Schülerinnen und Schüler sind einwilligungsfähig, wenn sie die Bedeutung und Tragweite der Einwilligung und ihre rechtlichen Folgen erfassen können und ihren Willen hiernach zu bestimmen vermögen. wohl eher nicht in der Lage, die Tragweite ihrer Entscheidung zu verstehen, sollten hier immer die Eltern die Einwilligung erteilen. Die Einwilligung muss eventuell bezüglich der an der Schule genutzten Tests angepasst werden.


Weiter zu Beispiele für anlassbezogene Einwilligungen.

Viele Schulhomepages laufen über Auftragsdatenverarbeitung

Lesezeit: 2 Minuten

Die meisten Schulhomepages dürften wohl nicht auf Servern laufen, die von der Schule selbst betrieben werden. Stattdessen laufen sie auf Servern, die entweder durch den Schulträger oder einen von ihm beauftragten IT-Dienstleister bereitgestellt werden oder, und das wird bei der überwiegenden Zahl aller Schulhomepages der Fall sein, sie laufen auf dem Server eines Web-Hosters wie 1&1, Strato, Domainfactory, Host Europe o.ä.

In Bezug auf den Datenschutz kann dieses von Bedeutung sein. Vermutlich gibt es kaum eine Schulhomepage, auf der nicht personenbezogene Daten verarbeitet werden. Lehrerinnen und Lehrer werden mit Name, Klasse und Informationen zur dienstlichen Erreichbarkeit aufgeführt und Schülerinnen und Schüler eventuell namentlich genannt bei Berichten über Projekte oder teilnahmen an Wettbewerben.

Trifft dieses zu, gilt Art. 28 Datenschutz Grundverordnung bzw. § 62 BDSG Auftragsverarbeitung. Ein Fall von Auftragsdatenverarbeitung liegt vor.

„Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags27Art. 28 DSGVO Auftragsverarbeiter, Abs. 3

Die Verarbeitung durch einen Auftragsverarbeiter hat auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments zu erfolgen, der oder das den Auftragsverarbeiter an den Verantwortlichen bindet und der oder das den Gegenstand, die Dauer, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Rechte und Pflichten des Verantwortlichen festlegt.28§ 62 BDSG Auftragsverarbeitung, Abs. 5

Gegenwärtig dürften wohl nur die wenigsten Schulen einen solchen Vertrag mit dem Betreiber des Servers abgeschlossen haben, auf welchen ihrer Homepage betrieben wird. Ein solcher Vertrag ist nicht erst seit der DS-GVO erforderlich, sondern war auch schon die ganze Zeit durch die Datenschutzgesetzgebung vorgeschrieben. Mit der DS-GVO werden die Rechte der einzelnen Personen jedoch deutlich gestärkt und Schulen sollten aus Eigeninteresse sobald wie möglich einen solchen Vertrag abschließen. Auf den Webseiten der verschiedenen Web-Hoster sind die entsprechenden Unterlagen nicht immer leicht zu finden. Zur Not muss man Kontakt aufnehmen.

Üblicherweise findet man diese Verträge in Form eines PDF und dieses ist von Seiten des Anbieters bereits unterzeichnet. Man trägt in den Vertrag die eigenen Kontaktdaten und die Verantwortlichen ein und macht Angaben zur Art und zum Zweck der Verarbeitung. Häufig gibt es dafür vorgefertigte Listen, wo man entsprechende Angaben durch Ankreuzen machen kann. Der ausgefüllte unterschriebene Vertrag wird anschließend an den Web-Hoster zurückgeschickt. Er ist damit rechtlich gültig.

Liegt die Homepage auf einem Server des Schulträgers (z.B. bei der kommunalen IT im Rathaus) oder eines beauftragten Dienstleisters (zum Beispiel Kommunales Rechenzentrum), muss der entsprechende Vertrag beim Schulträger angefordert werden.

Ist die Schulhomepage auf einem Server untergebracht, der im Schulgebäude steht, ist zumindest das Führen eines Verzeichnisses der Verarbeitungstätigkeiten erforderlich.

Datenschutz wird auch für Schulwebseiten durch die DSGVO wieder ein Thema

Lesezeit: 2 Minuten

Der 25. Mai 2018 rückt näher und damit auch der Termin, mit welchem sich in Bezug auf das Thema Datenschutz und Schulhomepage noch einmal ein paar Dinge etwas verändern.

Schon jetzt waren die Betreiber von Schulhomepages gehalten, ein Impressum zu führen. Auch zu einer Datenschutzerklärung war von verschiedenen Stellen geraten worden. Mit der Europäischen Datenschutz Grundverordnung (DSGVO) werden diese Dinge nun Pflicht. Fehlen Impressum und Datenschutzerklärung können Schulen nicht nur potentielle Opfer von Abmahnern werden, sondern geraten auch in Gefahr, von Besuchern der Webseite wegen Verletzung des Datenschutzes angezeigt zu werden.

Nach der DSGVO hat jederman das Recht, über die Erhebung und Verarbeitung von Daten aufgeklärt zu werden (siehe Art. 13 DSGVO Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person). Der Betrieb von Webseiten ist fast immer mit der Erhebung und Verarbeitung von Daten der Besucher verbunden.

Bei der Abgabe eines Kommentars werden eventuell Nutzername, E-Mail Adresse und IP Nummer gespeichert. IP Nummern werden auch abgespeichert, wenn eine Webseite Tools benutzt, um Zugriffsstatistiken zu erstellen, z.B. Google Analytics. Dabei landen Nutzerdaten nicht nur in der Datenbank der Webseite, sondern eben auch bei Dritten, etwa Google.

Die Integration von Facebook Like Buttons, Teilen auf Twitter und ähnliche Social Media Share Funktionalitäten funktionieren, indem sie Daten der Webseitenbesucher erheben.

Das Abonnement von E-Mail Benachrichtigungen über neue Blogeinträge und ähnlich sind mit der Erhebung von Nutzerdaten verbunden.

Mit der DSGVO ist dieses nicht plötzlich verboten. Man kann es weiterhin nutzen, muss die Nutzer jedoch darüber aufklären und ihre Einwilligung einholen. Dieses kann z.B. durch das Setzen eines zusätzlichen Hakens erfolgen.

Aktuell findet man zahlreiche Hinweise, worauf man als Webseitenbetreiber achten muss und wie man die neuen Vorgaben der DSGVO erfüllen kann. Zwei davon möchte ich hier empfehlen.