Mit Inkrafttreten der Europäischen Datenschutzgrundverordnung am 25. Mai 2018 erreichen uns viele Fragen, wie der Datenschutz in der Schule zu gewährleisten ist. Wir haben geben auf dieser Seite Antworten auf Fragen, die uns erreichten. Die Seite wird fortlaufend aktualisiert.

Gibt es einen roten Faden, der mich durch die Regeln der Datenschutzverordnung führt?

Ja, den gibt es. Im Artikel 5 der DSGVO werden folgende Grundsätze genannt:
– Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
– Zweckbindung (Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke) Datenminimierung („dem Zweck angemessen und erheblich sowie auf das […] notwendige Maß beschränkt“)
– Richtigkeit („es sind alle angemessenen Maßnahmen zu treffen, damit [unrichtige] personenbezogene Daten unverzüglich gelöscht oder berichtigt werden“)
– Speicherbegrenzung (Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es […] erforderlich ist“)
-Integrität und Vertraulichkeit („angemessene Sicherheit der personenbezogenen Daten […], einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“)

[collapse]
Was müssen Schulen, Unis und Kitas jetzt tun?

Im Wesentlichen sind es drei wichtige erste Schritte:
1. Die Bestellung eines/einer Datenschutzbeauftragten.
2. Die Erstellung einer schriftlichen Dokumentation, in der präzise aufgeführt wird, wie und warum personenbezogene Daten erhoben werden.
3. Die Überprüfung der eigenen Homepage (hier muss zwingend eine Datenschutzerklärung eingefügt werden).

[collapse]
Was sind die Aufgaben des/der Datenschutzbeauftragten?

Die oder der Datenschutzbeauftragte sollte Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzen. Der Besuch einer entsprechenden Fortbildung sollte in der Regel aber ausreichen, um dieses Wissen zu erwerben. Im Bereich der Schule ist die oder der Datenschutzbeauftragte lediglich dazu verpflichtet, die Schulleitung zu beraten und auf mögliche Datenschutzverstöße hinzuweisen.

[collapse]
Was ist bei der Erstellung der schriftlichen Dokumentation zu beachten?

Das Dokument sollte vor allem vollständig sein und damit den Umgang mit personenbezogenen Daten, die in der jeweiligen Institution anfallen, erfassen. Dabei sind die Grundsätze bei der Erfassung und Verarbeitung einzuhalten. Die Dokumentation enthält also zu jedem Schritt Aussagen zum
Was (Welche Daten werden erhoben?),
Wie (Wie werden die Daten erhoben, gespeichert, vor unbefugtem Zugriff gesichert und  wie lange aufbewahrt) und
Warum (Was begründet die Datenerhebung und die Art der Verarbeitung).

[collapse]
Wir haben eine Homepage. Was ist zu beachten?

Auf der Homepage muss zwingend eine Datenschutzerklärung zu finden sein, die von jeder Unterseite der Webseite erreichbar ist. In der Regel ist es daher sinnvoll, sie im Menü zu platzieren. Die Erklärung sollte jetzt präzise aufführen, was die Webseite “macht”, wenn ein(e) Besucher(in) sie aufruft oder sogar Daten in vorgefertigte Formulare einträgt. Dabei ist zu beachten, dass auch die Provider, bei denen die Webseite eingestellt sind, Daten erheben. Auch dieser Verarbeitungsprozess ist präzise zu dokumentieren. Arbeitet eine Webseite mit kleinen Unterprogrammen (die können z. B. Plugins sein), so ist ggf. aufzuführen, welche Daten diese Programme erfassen und was mit ihnen im Weiteren geschieht. Unter Umständen werden diese sogar an Drittanbieter weitergeleitet. In diesem Fall ist auch darzulegen, was dieser mit Daten macht. Setzt die Webseite bei Nutzung Cookies,  so muss der jeweilige Nutzer/die jeweilige Nutzerin aktiv zustimmen.
Die Datenschutzerklärungen der Webseiten sind also individuell auf das jeweilige System angepasst und müssen nach Installation neuer Funktionen ggf. neu überarbeitet werden.
Zusätzlich sind die Kontaktdaten des/der Datenschutzbeauftragten aufzuführen (es genügt eine Telefonnummer oder eine Email-Adresse).

[collapse]
Was kommt dauerhaft auf die Institutionen zu?

Wenn die Bildungseinrichtung – also die Hochschule, die Schule oder die Kita – personenbezogene Daten direkt erhebt, zum Beispiel bei der Aufnahme eines Kindes oder eines Studierenden, muss sie diese oder diesen darüber informieren. Auch wenn die Schule personenbezogene Daten von anderen Stellen oder Personen erhält, muss sie die betroffene Person darüber aufklären. Jede und jeder, über den personenbezogene Daten erhoben werden, hat zudem das Recht, zu erfahren, um welche Daten es sich konkret handelt – und kann auch die Löschung dieser Daten verlangen, etwa wenn sie für die Schule nicht mehr notwendig sind. Sichergestellt werden muss, dass Schülerinnen und Schülern, Studierende, Eltern sowie Lehrkräften und Erzieherinnen und Erzieher die gesetzlich geforderten Informationen transparent und verständlich übermittelt werden. Dies gilt insbesondere für Informationen, die sich an Kinder richten. Die Schulen müssen regelmäßig eine Überprüfung, Bewertung und Evaluierung der Wirksamkeit ihrer Datenschutzmaßnahmen durchzuführen. Ist das Risiko für die Rechte und Freiheiten der betroffenen Nutzerinnen und Nutzer möglicherweise hoch – etwa durch die Nutzung neuer Technologien – müssen die Bildungseinrichtungen eine sogenante Datenschutz-Folgenabschätzung machen.

[collapse]
Ich bin Lehrkraft. Was muss ich beachten?

Sofern die Erhebung von personenbezogenen Daten analog erfolgt, so muss eine Lehrkraft nur darauf achten, dass niemand, der nicht befugt ist, darauf Zugriff hat. Die kann z. B. das klassische Notenbuch sein, das bei Nichtnutzung sicher aufbewahrt wird.
Bei elektronischer Verarbeitung von Daten auf privaten IT-Systemen (Handy, Computer, Tablet) gelten die Bestimmungen der DSVGO vollumfänglich. Insofern muss die Lehrkraft z. B. sicherstellen, dass die Daten so geschützt sind, dass niemand darauf zugreifen kann. Aus diesem Grund sind die Speichermedien, auf denen personenbezogene Daten liegen, zu verschlüsseln. Zudem ist darauf zu achten, dass Daten nur zeitlich begrenzt aufbewahrt werden dürfen. Bei der Nutzung von Cloud-Speichern sollten die Daten ebenfalls dort verschlüsselt abgelegt werden.

[collapse]
Was ist bei der Email-Nutzung zu beachten?

Werden wiederholt Nachrichten oder Newsletter per E-Mail an einen größeren Empfängerkreis gesendet, werden dazu meist E-Mail-Verteilerlisten genutzt. Dies ist indes aus datenschutzrechtlicher Sicht bedenklich, da unter Umständen alle Empfängerinnen und Empfänger sehen können, wer die Nachricht sonst noch bekommen hat. Empfohlen wird daher, den E-Mail-Verteiler im Feld „Bcc“ einzutragen, so dass nicht erkennbar ist, an wen die Nachricht sonst noch ging. Vorsicht ist auch bei der Nutzung externer E-Mail-Dienste wie Gmail, Gmx.de oder Web.de geboten. Die offizielle Kommunikation in der Universität, Schule oder Kita beinhaltet häufig personenbezogene Daten, die in dem Fall verschlüsselt an den Dienstleister übermittelt werden. Die GEW empfiehlt daher, für die Kommunikation mit Eltern oder Verwaltung auch eine offizielle E-Mail-Adresse der Stadt oder der Kommune zu verwenden. Hochschulen bieten sehr häufig eine eigene E-Mail-Adresse an. Die Kommunen, das Land und der Bund sind in der Pflicht, eine gute digitale Infrastruktur bereitzustellen.

[collapse]
Was passiert bei Verstößen gegen den Datenschutz?

Ist es an einer Schule zu einer Datenschutzpanne gekommen, so ist diese der Datenschutzbehörde zu melden. Geeignete Sicherungsmaßnahmen sind einzuleiten. Wird die Datenschutzbehörde auf einen Verstoß aufmerksam, so drohen Bußgelder. Aber: Dies gilt nur für Unternehmen, die sich im Wettbewerb befinden, also nicht für Schulen. Hier wird die Aufsichtsbehörde und/oder die Schule informieren und aufgefordern, den Missstand zu beseitigen. Verstöße gegen datenschutzrechtliche Bestimmungen können allerdings dienstrechtlich geahndet werden.

[collapse]
Wo gibt es weitere zuverlässige Informationen?

Verschiedene Landesbehörden stellen Material zur Verfügung.
In Niedersachsen hat die Landesbeauftragte für den Datenschutz Material auf folgender Seite zusammengestellt:
Datenschutzbeauftragte in Niedersachsen

Kultusministerium in Baden-Württemberg

[collapse]