I Aufgaben schulischer Datenschutzbeauftragten
Falls möglich, sollte hier eine personelle Trennung erfolgen.
Siehe auch: Leitlinien der DS-Aufsichtsbehörden (S. 19)
Vollständige Frage:
Wie umfassend muss ein Verarbeitungsverzeichnis für die Schule sein? Müssen darin bspw. auch die Daten erwähnt werden, die auf dem Mensa-Chip gespeichert sind, bzw. die Daten, die bei der Essensbestellung entstehen (externer Caterer)? Oder das Schlüsselsystem (Transponder)? Wird auch bei analogen Daten ein Verzeichnis für Verarbeitungstätigkeiten benötigt (z.B. Schülerakten, Lehrerakten usw.)? Was gilt für die Mitschriften bei Elterngesprächen?
Antwort:
Sofern ein Vertrag zur Auftragsdatenverarbeitung mit einem Caterer, einem Unternehmen (wegen der Zugangsberechtigung oder dem Mensa-Chip) etc. abgeschlossen wurde und in diesen Verträgen auch der Umfang der Datenverarbeitung geregelt ist, reicht ein Verweis auf diese Dokumente aus. Sofern analoge Daten in einem systematisch auswertbaren Dateisystem geführt werden, zählen auch sie zum Anwendungsbereich der DS-GVO. Dass Schüler- und Lehrerpersonalakten geführt werden, ist selbstverständlich und muss daher nicht in das Verzeichnis. Auch Mitschriften von Elterngesprächen gehören nicht dazu.
Siehe auch: www.datenschutz.rlp.de/de/themenfelder-themen/datenschutz-grundverordnung/verzeichnis-von-verarbeitungstaetigkeiten/
Die Dokumentation des Vorgangs ist wichtig (für die Frage der Sanktion und falls später Betroffene eine Beschwerde einreichen), daher jede Datenpanne bitte über ein Formular des LfDI melden: https://www.datenschutz.rlp.de/de/themenfelder-themen/datenpannen/
Eine Datenschutzfolgenabschätzung ist nur bei besonders risikobehafteten Verfahren erforderlich, bei denen personenbezogene Daten anfallen. Siehe Positivliste des LfDI: https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/DSFA_-_Muss-Liste_RLP_OE.pdf und Hinweise unter: https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/Hinweise_DSFA_20171205.pdf
Handelt es sich um Auskunftsansprüche, müssen diese auf jeden Fall beantwortet werden. Betroffene haben immer einen Auskunftsanspruch bei Behörden/Einrichtungen etc., die ihre Daten erheben. Dieser muss von den Schulen beantwortet werden. Unter Umständen kann die Auskunft verweigert werden, wenn beispielsweise Rechte/Datenschutzrechte Anderer verletzt werden, bei unverhältnismäßigem Aufwand (z.B. zahlreiche Ordner im Archiv zu prüfen, wenn gleichzeitig Löschfristen genannt werden). Bei missbräuchlicher Nutzung (z.B. wöchentliche Nachfrage nach den eigenen Daten) genügt es, die Anfrage einmal zu beantworten und danach nicht mehr bzw. auf die bereits erfolgte Antwort zu verweisen.
Sofern gesetzliche Aufbewahrungsfristen zu beachten sind, ist eine Löschung nicht möglich(Art. 17 Abs. 2 DS-GVO). Hinweise zu Aufbewahrungsfristen.
Daten, die der Träger für seine Aufgabenerfüllung benötigt.
Übernimmt eine Lehrkraft die Funktion, tritt die Anstellungskörperschaft für einen etwaigen Schaden ein. Nur wenn vorsätzlich/grob fahrlässig falsch beraten wird (z.B. die Nutzung von datenschutzrechtlich unzulässigen Diensten gut heißt) kann ein Rückgriff auf den / die schulische/n DSB erfolgen.
Bei Übertragung der Aufgabe auf ein externes Unternehmen, trägt dieses die Haftung selbst.
II Schul- und Klassenverwaltung
Bei der Trennung von Schulnetz und Verwaltungsnetz geht es um die NETZ-Trennung und nicht um die eigentliche Datenhaltung. Eine Netztrennung unter Nutzung einer einzelnen Netzwerkkarte ist über ein Dual-Boot-System nicht gegeben. Weiterhin ist die Möglichkeit des physikalischen Zugangs von Unbefugten zu einer Netzwerkdose die grundsätzlich den Zugang zum Verwaltungsnetz ermöglicht, weitestgehend auszuschließen.
Siehe: https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/EPoS_-_Anlage_2_Merkblatt.pdf
Ja, sofern lediglich mit Namenskürzeln angezeigt wird, wer eine Klasse oder einen Kurs übernimmt und der Zugang über ein (schulintern bekanntes) Passwort erfolgt.
Weitere Informationen hierzu auch im Web-Seminar Schulischer Datenschutz - Teil 4: Vertretungspläne
Die Schule entscheidet im Rahmen ihres Organisationsermessens darüber, in welcher Form sie das Klassenbuch führt. Einer Einwilligung der Eltern bedarf es aber dann, wenn z.B. deren private E-Mail-Anschriften im Zusammenhang mit der Nutzung benötigt werden.
- Namen und Geburtsdatum der Schülerinnen und Schüler,
- Teilnahme an Schulveranstaltungen,
- Vermerk über unentschuldigtes und entschuldigtes Fernbleiben und über Beurlaubungen,
- erzieherische Einwirkungen gemäß § 96 Abs. 1,
- Namen und Anschrift der Eltern,
- Angaben zur Herstellung des Kontakts in Notfällen.“
Ja. Hierbei müssen Zugriffsmöglichkeiten durch Unbefugte ausgeschlossen werden, bei einer automatisierten Datenverarbeitung etwa über eine Verschlüsselung.
Siehe: www.datenschutz.rlp.de/de/themenfelder-themen/verschluesselung/
Hier gelten die Informationspflichten nach Art. 13 DS-GVO sowie bei Speicherung auf dem privaten Endgerät die Beachtung der technisch-organisatorischen Datensicherheitsanforderungen. Eine Trennung privater Daten und schulischer Daten über Containerlösung oder ausschließliche Speicherung schulischer Daten auf verschlüsselten USB-Sticks sollte erfolgen, bis dienstliche Laptops für alle Lehrkräfte zur Verfügung stehen. Verpflichtungserklärung: medienkompetenz.bildung-rp.de/fileadmin/user_upload/medienkompetenz-macht-schule.bildung-rp.de/dateien/Schule.Medien.Recht/Mustertexte/Datenschutzerklaerung_BYOD_Lehrer_final.pdf
Es sollte ein geschlossener Kommunikationskanal (z.B. Lernplattform auf Servern eines europäischen Anbieters) gewählt werden. Auch ein datenschutzkonformer Messenger (z.B. Threema, Signal, Wire etc.) ist möglich.
Tipp: Notenübermittlung per Telefon statt Mail.
Nein, natürlich nicht. Daher sollte eine Trennung zwischen privaten Daten und schulischen Daten über Container-Lösung oder Speicherung schulischer Daten auf verschlüsseltem USB-Stick erfolgen.
Die Geräte müssen bei Rückgabe von Daten der vorherigen Benutzer bereinigt werden. Dies kann z.B. durch vollständiges Rücksetzen auf einen definierten Zustand erfolgen oder durch die Verwendung einer Mobile-Device-Management Software zur Kontrolle des Endgeräts.
Nein, es sollte grundsätzlich keine Namensnennung erfolgen, aber allgemeine Nennung des Verdachtsfalls ist zulässig.
Aus Fürsorgegründen zum Schutz von Risikogruppen oder wenn dies auf Bitte des Gesundheitsamtes für die Kontaktverfolgung erforderlich sein sollte, ist auch eine namentliche Nennung denkbar.
Die Einführung einer elektronischen Zugangssicherung für bestimmte Schultoiletten begegnet dann keinen grundsätzlichen datenschutzrechtlichen Bedenken, wenn die erhobenen Daten einer engen Zweckbindung unterliegen und zeitnah gelöscht werden. Dabei sollten die erhobenen Zugangsdaten nach einer Frist von drei Tagen gelöscht oder durch neue Daten überschrieben werden. Eine Auswertung der erfassten Nutzung darf nur dann erfolgen, wenn es tatsächlich zu einem Vorfall kam, der aufgeklärt werden soll. Sofern auch Lehrkräfte mit dieser Form der Zugangssicherung ausgestattet werden, wäre mit der Personalvertretung eine Regelung zu treffen, dass die erhobenen Daten nicht für allgemeine Verhaltens- und Leistungskontrollzwecke verwendet werden dürfen. Die Betroffenen sind gem. Art. 13 DS-GVO über die Datenverarbeitungsvorgänge, die mittels Chip oder Schlüsselkarte ausgelöst werden, vorab zu informieren.
III Kommunikation mit Lehrkräften, Eltern
Schulen und Lehrkräfte können das Mailangebot des Pädagogischen Landesinstituts für den dienstlichen Einsatz nutzen.
http://bildungsnetz.bildung-rp.de/e-mail.html
Für den Gebrauch von Messengern siehe vorhergehende Frage zu sozialen Netzwerken.
Beachten Sie:
Eine E-Mail gleicht vom Sicherheitsniveau einer Postkarte.
Weitere Informationen hierzu auch im Web-Seminar Schulischer Datenschutz - Teil 6: E-Mail-Kommunikation
Zu beachten: Es bleibt aber dabei, dass personenbezogene Daten nicht unverschlüsselt per Mail zwischen Eltern und Lehrkräften kommuniziert werden sollen; dies kann sich die Schule auch nicht über eine Einwilligung der Eltern gewissermaßen "freizeichnen" lassen.
Ja, sofern das Videokonferenzsystem den technisch-organisatorischen Anforderungen der DS-GVO entspricht (s. Hinweise zu Videokonferenzsystemen) und es sich um eine geschlossene Benutzergruppe mit einer Ende-zu-Ende-Verschlüsselung handelt, können die entsprechenden Gespräche hierüber geführt werden. Auch hier ist eine reine Transportverschlüsselung nicht ausreichend zur Gewährleistung der Vertraulichkeit gegenüber dem Dienstleister. Selbstverständlich ist sicherzustellen, dass auch im Homeoffice die Vertraulichkeit des Gesprächs gewahrt bleibt.
Ja. Eine Einwilligung ist auch dann rechtsgültig, wenn dies auf elektronischem Wege geschieht; Bedingung ist, dass eine eindeutig bestätigende Handlung erfolgt (Art.7 DS-GVO; EG 32). Beispielsweise kann beim Anmelden an einen Dienst mit dem Anklicken eines Auswahlfeldes diese Handlung aktiv getätigt werden. Wichtig ist, dass die Betroffenen auf der Seite, auf der sie die Einwilligung geben, die Informationen zur Datenverarbeitung nach Art. 13 DS-GVO bereitgestellt bekommen. Diese müssen einsehbar bzw. herunterladbar sein, bevor die Einwilligung gegeben wurde. Weiterhin gilt auch bei elektronisch erteilten Einwilligungen der Grundsatz der Freiwilligkeit sowie ein Kopplungsverbot.
Siehe auch: https://www.datenschutz.rlp.de/de/themenfelder-themen/datenschutz-grundverordnung/einwilligung/
Wird ein digitales Lehr-und Lernsystem (z.B. Landeslösung Bildungsportal RLP, Moodle, Schulcampus oder privater Anbieter, wie z.B. IServ etc.) als verbindliches Lehr- und Lernmittel eingeführt, ist hierzu keine Einwilligung der Eltern oder der Schülerinnen und Schüler erforderlich. Das zusätzliche Einholen einer Einwilligung würde - im Gegenteil - den Eltern sogar eine Wahlmöglichkeit suggerieren, die nicht besteht. Daher ist für ein System, welches gem. § 1 Abs. 6 i.V.m § 67 Abs. 1 SchulG als datenschutzkonformes Lehrmittel über einen Beschluss der Gesamtkonferenz unter ordnungsgemäßer Beteiligung der schulischen Interessengruppen eingeführt wurde, keine Einwilligung der Eltern einzuholen. Sofern diese Programme auch die Kommunikation mit den Eltern unterstützen und diese hierfür ihre privaten Endgeräte nutzen, ist dies jedoch nur mit Einwilligung der Eltern zulässig.
IV Videokonferenzsysteme
https://www.datenschutz.rlp.de/de/themenfelder-themen/videogestuetzte-kommunikationstechnik/
Der Ausbau der landeseignen Plattformen, insbesondere BigBlueButton und dem Schulcampus RLP, ist mittlerweile weiter fortgeschritten. Da somit einerseits alternative landeseigene Softwarelösungen mehr und mehr zur Verfügung stehen und andererseits eine datenschutzkonforme Nutzung von cloudbasierten amerikanischen Software-Produkten derzeit nicht möglich erscheint, sollten Schulen, soweit sie aktuell MS Teams für die Unterrichtsarbeit einsetzen, bis zum 1. August auf ein datenschutzkonformes System umsteigen.
Nach einer Umfrage des BM nutzen rund 10 Prozent der allgemeinbildenden Schulen aktuell MS Teams. Diesen Schulen soll vorrangig der Umstieg auf den Schulcampus ermöglicht werden. Ein Zugang zum Schulcampus kann über folgenden Link beantragt werden: https://schulcampus.bildung-rp.de/beantragung.html
Weitere Hinweise zu Videokonferenzsystemen unter: https://www.datenschutz.rlp.de/de/themenfelder-themen/videogestuetzte-kommunikationstechnik/
Eine Verpflichtung ein bestimmtes nach § 1 Abs. 6 Schulgesetz festgelegtes Lehrmittel zu verwenden, besteht nur, wenn dieses datenschutzkonform ist (also nicht bei der Nutzung außereuropäischer Dienste) und eine ordnungsgemäße Beteiligung der Personal- und Schülervertretung erfolgt ist. Hierbei ist dem Grundsatz der Erforderlichkeit folgend die Bildübertragung nur dann zulässig, wenn gewährleistet werden kann, dass eine Übertragung des privaten Umfeldes der SuS (z. B. durch Unkenntlichmachen des Hintergrunds) ausgeschlossen ist. Die Übertragung des Tons wird man jedenfalls bei der Lehrkraft und bei den Schülerinnen und Schülern bei Wortmeldungen als erforderlich ansehen können. Die Rahmenbedingungen, insb. Vertraulichkeitsverpflichtung, sind hier zu beachten.
V Clouddienste
Sofern es sich nicht um personenbezogene Daten handelt, können Dateien auch unverschlüsselt auf Cloudspeichern abgelegt werden. Insbesondere bei der Nutzung von Diensten aus Drittstaaten, ist eine Inhaltsverschlüsselung der Daten unerlässlich, die eine Kenntnisnahme durch Unbefugte und auch durch den Anbieter verhindert. Eine reine Transportverschlüsselung (https) bei der Datenübertragung ist nicht ausreichend. Hinweise zur einfachen Möglichkeit einer Inhaltsverschlüsselung finden sich unter: https://www.datenschutz.rlp.de/de/themenfelder-themen/cloud-speicher-sicher-nutzen/
Die grundsätzlichen Bedenken, die aus Datenschutzsicht gegenüber Padlet bestehen, sind auch einer diesbezüglichen Veröffentlichung des Hessischen Datenschutzbeauftragten zu entnehmen.
Die datenschutzrechtlichen Vorgaben sind nicht auf Daten begrenzt, die der Geheimhaltung unterliegen, sondern gelten für alle Arten personenbezogener Daten. Für Kinder bzw. Minderjährige sieht zudem die Europäische Datenschutzgrundverordnung einen besonderen Schutz vor (vgl. Erwägungsgrund 38 der DS-GVO). Die Aufgabe der Datenschutzaufsichtsbehörden, im Hinblick auf den Schutz der Daten von Kindern die Öffentlichkeit aufzuklären (Art. 58 Absatz 1 Buchstabe b DS-GVO), ist besonders wichtig und verdeutlicht das besondere Schutzbedürfnis. Neben Inhaltsdaten, die bei der Nutzung von Videokonferenzsystemen auch biometrischen Charakter haben können (Gesichts- oder Stimmaufnahmen) und damit dem besonderen Schutz des Art. 9 DS-GVO unterfallen, fällt eine Vielzahl von Nutzungsdaten an.
Sofern an der Schule keine lokale Installation von Word, Excel oder Outlook etc. sondern Office 365 zum Einsatz kommt, ist dies beispielsweise nur als „on premises“-Lösung oder mittels eines entsprechenden Treuhandmodells und unter Einhaltung technisch-organisatorischer Maßnahmen zulässig. Gleiches gilt, sofern der Schulträger der Schule diese Systeme zur Verfügung stellt. Die datenschutzrechtlichen Vorgaben zum Einsatz von Office 365 sind dieser Seite zu entnehmen:
https://www.datenschutz.rlp.de/de/themenfelder-themen/microsoft-office-365/
VI Soziale Medien an Schulen
Mustertexte finden sich auf der Seite "Soziale Netzwerke" rechts unter "Weitere Informationen".
Facebook, WhatsApp oder iMessage dürfen nicht für unterrichtliche Zwecke und in anderen schulischen Zusammenhängen verwendet werden.
Zur schulischen Kommunikation zwischen Lehrkräften und Schülerinnen und Schülern steht den Schulen u. a. eine landeseigene, kostenfreie, auf Moodle basierende Lernplattform zur Verfügung.
http://lernenonline.bildung-rp.de Diese gewährleistet die Datensicherheit durch die Verwendung eines landeseigenen Servers.
Sofern eine Lehrkraft es als notwendig erachtet, über Messenger mit Eltern, Schülerinnen und Schülern zu kommunizieren, kommen nur europäische Anbieter, die eine Ende-zu-Ende-Verschlüsselung anbieten, in Betracht (z. B. Pidgin/OTR, Hoccer, Chiffry, Wire oder Threema).
Hierbei ist stets das Distanzgebot zu beachten.
Weitere Informationen hierzu auch im Web-Seminar Schulischer Datenschutz - Teil 3: Soziale Netzwerke, Facebook, WhatsApp
VII Sonstiges
Eine Einwilligung gilt, bis sie widerrufen wird, ist also unbefristet gültig. Einwilligungen, die bei Schuleintritt gegeben werden, müssen nicht jährlich erneuert werden, allerdings sollte einmal im Jahr, z.B. bei Schuljahresbeginn, auf die Möglichkeit zum Widerruf hingewiesen werden. Ab dem Alter von 16 Jahren oder mit Eintritt in die Oberstufe sollte die Einwilligung erneut bei den betroffenen Schülern und Schülerinnen selbst eingeholt werden. Wird die Einwilligung widerrufen, müssen die Fotos von der Homepage entfernt werden.
Recht am eigenen Bild: https://www.datenschutz.rlp.de/de/themenfelder-themen/recht-am-eigenen-bild/
Weitere Informationen hierzu auch im Web-Seminar Schulischer Datenschutz - Teil 5: Bilder auf Schulhomepage und im Themenfeld "Recht am eigenen Bild"
- Erzieherische Einwirkung (z. B. zeitweise Wegnahme des Handys) oder, falls erforderlich, Schulordnungsmaßnahmen ergreifen.
- Zivilrechtliche Unterlassungs- und Beseitigungsansprüche gegenüber der/dem Schülerin/Schüler bzw. den Eltern und dem Betreiber der Internetseite geltend machen (Meldebutton des Portals nutzen).
- Auch die Datenschutzaufsichtsbehörden des Bundes und der Länder können je nach Situation helfen oder Ansprechpartner vermitteln.
- „Recht auf Vergessenwerden“ gegenüber Google geltend machen. Nach einem Urteil des Europäischen Gerichtshofs vom 13.05.2014 kann eine Privatperson von Google oder anderen Suchmaschinen die Löschung von Links in der Ergebnisliste einer Suche verlangen. Voraussetzung ist, dass die verlinkten Seiten die Privatsphäre des Betroffenen verletzen.
- Je nach Schwere des Verstoßes Möglichkeiten des Strafrechts prüfen (Strafmündigkeit ab 14 J.).
- § 201 Strafgesetzbuch: Verbietet die unbefugte Aufnahme des nicht öffentlich gesprochenen Wortes.
- §§ 22, 23, 33 Kunsturhebergesetz: Verbietet die Veröffentlichung von Bildnissen ohne Einwilligung („Recht am eigenen Bild“).
Weitere Informationen hierzu auch im Web-Seminar Schulischer Datenschutz - Teil 7: Unterrichtsmitschnitte
Störsender dürfen nicht verwendet werden. Handydetektoren, die nur anzeigen, ob ein Gerät eingeschaltet ist, sind in der Regel datenschutzrechtlich unproblematisch, da keine personenbezogenen Daten verarbeitet werden.