I Aufgaben schulischer Datenschutzbeauftragten

Wie sieht es aus mit Personalunion von DSB und IT-Admin? Darf ein IT-Admin gleichzeitig auch die Funktion als DSB ausüben?

Falls möglich, sollte hier eine personelle Trennung erfolgen.
Siehe auch: Leitlinien der DS-Aufsichtsbehörden (S. 19)

Wie umfassend muss ein Verarbeitungsverzeichnis für die Schule sein?

Vollständige Frage:
Wie umfassend muss ein Verarbeitungsverzeichnis für die Schule sein? Müssen darin bspw. auch die Daten erwähnt werden, die auf dem Mensa-Chip gespeichert sind, bzw. die Daten, die bei der Essensbestellung entstehen (externer Caterer)? Oder das Schlüsselsystem (Transponder)? Wird auch bei analogen Daten ein Verzeichnis für Verarbeitungstätigkeiten benötigt (z.B. Schülerakten, Lehrerakten usw.)? Was gilt für die Mitschriften bei Elterngesprächen?

Antwort:
Sofern ein Vertrag zur Auftragsdatenverarbeitung mit einem Caterer, einem Unternehmen (wegen der Zugangsberechtigung oder dem Mensa-Chip) etc. abgeschlossen wurde und in diesen Verträgen auch der Umfang der Datenverarbeitung geregelt ist, reicht ein Verweis auf diese Dokumente aus. Sofern analoge Daten in einem systematisch auswertbaren Dateisystem geführt werden, zählen auch sie zum Anwendungsbereich der DS-GVO. Dass Schüler- und Lehrerpersonalakten geführt werden, ist selbstverständlich und muss daher nicht in das Verzeichnis. Auch Mitschriften von Elterngesprächen gehören nicht dazu.
Siehe auch: www.datenschutz.rlp.de/de/themenfelder-themen/datenschutz-grundverordnung/verzeichnis-von-verarbeitungstaetigkeiten/

Wie funktioniert die Meldung einer Datenpanne nach Art. 33 DS-GVO, bzw. § 54 LDSG?

Die Dokumentation des Vorgangs ist wichtig (für die Frage der Sanktion und falls später Betroffene eine Beschwerde einreichen), daher jede Datenpanne bitte über ein Formular des LfDI melden: https://www.datenschutz.rlp.de/de/themenfelder-themen/datenpannen/

Wie und für was genau lege ich eine Datenschutzfolgenabschätzung an? Woher weiß ich, wie groß/klein ein Risiko ist?

Eine Datenschutzfolgenabschätzung ist nur bei besonders risikobehafteten Verfahren erforderlich, bei denen personenbezogene Daten anfallen. Siehe Positivliste des LfDI: https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/DSFA_-_Muss-Liste_RLP_OE.pdf und Hinweise unter: https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/Hinweise_DSFA_20171205.pdf

Wie muss mit DS-GVO-Anfragen von Schüler/-innen bzw. Eltern umgegangen werden?

Handelt es sich um Auskunftsansprüche, müssen diese auf jeden Fall beantwortet werden. Betroffene haben immer einen Auskunftsanspruch bei Behörden/Einrichtungen etc., die ihre Daten erheben. Dieser muss von den Schulen beantwortet werden. Unter Umständen kann die Auskunft verweigert werden, wenn beispielsweise Rechte/Datenschutzrechte Anderer verletzt werden, bei unverhältnismäßigem Aufwand (z.B. zahlreiche Ordner im Archiv zu prüfen, wenn gleichzeitig Löschfristen genannt werden). Bei missbräuchlicher Nutzung (z.B. wöchentliche Nachfrage nach den eigenen Daten) genügt es, die Anfrage einmal zu beantworten und danach nicht mehr bzw. auf die bereits erfolgte Antwort zu verweisen.

Was ist zu tun, wenn jemand z.B. die Löschung von Daten verlangt, zu deren Archivierung die Schule verpflichtet ist?

Sofern gesetzliche Aufbewahrungsfristen zu beachten sind, ist eine Löschung nicht möglich(Art. 17 Abs. 2 DS-GVO). Hinweise zu Aufbewahrungsfristen

Auf welche Daten dürfen Schulträger zugreifen? Welche Daten dürfen dem Träger übermittelt werden?

Daten, die der Träger für seine Aufgabenerfüllung benötigt.

Wann haftet ein schulischer Datenschutzbeauftragter / eine Datenschutzbeauftragte (DSB)?

Übernimmt eine Lehrkraft die Funktion, tritt die Anstellungskörperschaft für einen etwaigen Schaden ein. Nur wenn vorsätzlich/grob fahrlässig falsch beraten wird (z.B. die Nutzung von datenschutzrechtlich unzulässigen Diensten gut heißt) kann ein Rückgriff auf den / die schulische/n DSB erfolgen.

Bei Übertragung der Aufgabe auf ein externes Unternehmen, trägt dieses die Haftung selbst.

II Schul- und Klassenverwaltung

Ist ein Rechner mit zwei Festplatten (Schulnetz / Verwaltungsnetz) und einem Dual-Boot-System datenschutzkonform?

Bei der Trennung von Schulnetz und Verwaltungsnetz geht es um die NETZ-Trennung und nicht um die eigentliche Datenhaltung. Eine Netztrennung unter Nutzung einer einzelnen Netzwerkkarte ist über ein Dual-Boot-System nicht gegeben. Weiterhin ist die Möglichkeit des physikalischen Zugangs von Unbefugten zu einer Netzwerkdose die grundsätzlich den Zugang zum Verwaltungsnetz ermöglicht, weitestgehend auszuschließen.
Siehe: https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/EPoS_-_Anlage_2_Merkblatt.pdf

Darf der Vertretungsplan online abrufbar sein?

Ja, sofern lediglich mit Namenskürzeln angezeigt wird, wer eine Klasse oder einen Kurs übernimmt und der Zugang über ein (schulintern bekanntes) Passwort erfolgt.

Weitere Informationen hierzu auch im Web-Seminar Schulischer Datenschutz - Teil 4: Vertretungspläne

Wenn ein digitales Klassenbuch zur Dokumentation des Unterrichts und damit zur Verwaltung geführt wird, bedarf dies keiner expliziten Zustimmung durch jeden einzelnen Elternteil?

Die Schule entscheidet im Rahmen ihres Organisationsermessens darüber, in welcher Form sie das Klassenbuch führt. Einer Einwilligung der Eltern bedarf es aber dann, wenn z.B. deren private E-Mail-Anschriften im Zusammenhang mit der Nutzung benötigt werden.

Welche Daten von Schüler/-innen und Lehrer/-innen dürfen in Klassenbüchern festgehalten werden?

Die Grundlage bietet § 89 Abs. 6 der Übergreifenden Schulordnung (ÜSchulO) bzw. die entsprechenden Regelungen der  anderen Schulordnungen:

„In Klassenbüchern und Kursbüchern können eingetragen werden:

  1. Namen und Geburtsdatum der Schülerinnen und Schüler,
  2. Teilnahme an Schulveranstaltungen,
  3. Vermerk über unentschuldigtes und entschuldigtes Fernbleiben und über Beurlaubungen,
  4. erzieherische Einwirkungen gemäß § 96 Abs. 1,
  5. Namen und Anschrift der Eltern,
  6. Angaben zur Herstellung des Kontakts in Notfällen.“

Dürfen Notenlisten privat verwahrt werden?

Ja. Hierbei müssen Zugriffsmöglichkeiten durch Unbefugte ausgeschlossen werden, bei einer automatisierten Datenverarbeitung etwa über eine Verschlüsselung.
Siehe: www.datenschutz.rlp.de/de/themenfelder-themen/verschluesselung/

Was müssen Lehrkräfte bei der digitalen Notendokumentation (z.B. per TeacherTool) beachten?

Hier gelten die Informationspflichten nach Art. 13 DS-GVO sowie bei Speicherung auf dem privaten Endgerät die Beachtung der technisch-organisatorischen Datensicherheitsanforderungen. Eine Trennung privater Daten und schulischer Daten über Containerlösung oder ausschließliche Speicherung schulischer Daten auf verschlüsselten USB-Sticks sollte erfolgen, bis dienstliche Laptops für alle Lehrkräfte zur Verfügung stehen. Verpflichtungserklärung: medienkompetenz.bildung-rp.de/fileadmin/user_upload/medienkompetenz-macht-schule.bildung-rp.de/dateien/Schule.Medien.Recht/Mustertexte/Datenschutzerklaerung_BYOD_Lehrer_final.pdf

Was ist eine geeignete Möglichkeit, im Falle einer Schulschließung, den Schülern Noten u. ä. mitzuteilen?

Es sollte ein geschlossener Kommunikationskanal (z.B. Lernplattform auf Servern eines europäischen Anbieters) gewählt werden. Auch ein datenschutzkonformer Messenger (z.B. Threema, Signal, Wire etc.) ist möglich.
Tipp: Notenübermittlung per Telefon statt Mail.

Darf ich Passwörter zentral (etwa in moodle@RLP) zur Verfügung stellen?

Insofern die Zugangsdaten direkten Zugang zu personenbezogenen Daten (insbesondere von Schülerinnen und Schülern) herstellen oder zu administrativen Zugängen, mit denen Benutzer angelegt oder Zugriffsrechte ausgeweitet werden können, sind diese geheim zu halten und somit nicht zentral zu speichern! Im Falle von Passwörtern zu Funktionszugängen (W-LAN, Einzelarbeitsplätze) oder Softwarelizenzen, geht es weniger um den Zugang zu persönlichen Informationen als um den Zugang zu einer Infrastruktur oder zu internen Informationen die aber nicht für die Öffentlichkeit bestimmt, potentiell von Angreifern aber als „Einstieg „ genutzt werden können. Auch hier gilt: Eine zentrale Vorhaltung von Zugangsdaten erhöht immer das Risiko eines Missbrauchs, insbesondere bei Online-Diensten aufgrund deren ständiger Verfügbarkeit.

Hinweise zu Passwortgestaltung und –Aufbewahrung gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) unter:

Kontrolle privater PCs wie dienstliche Geräte? Wer darf das, wie soll so etwas funktionieren? Darf der Kontrolleur auch meine privaten Bilder untersuchen?

Nein, natürlich nicht. Daher sollte eine Trennung zwischen privaten Daten und schulischen Daten über Container-Lösung oder Speicherung schulischer Daten auf verschlüsseltem USB-Stick erfolgen.

Was muss aus Datenschutzsicht beachtet werden, wenn die Schule/der Schulträger Leihgeräte Schülern/Eltern zur Verfügung stellt?

Die Geräte müssen bei Rückgabe von Daten der vorherigen Benutzer bereinigt werden. Dies kann z.B. durch vollständiges Rücksetzen auf einen definierten Zustand erfolgen oder durch die Verwendung einer Mobile-Device-Management Software zur Kontrolle des Endgeräts.

Darf man Corona-Verdachtsfälle namentlich dem Kollegium bekannt geben?

Nein, es sollte grundsätzlich keine Namensnennung erfolgen, aber allgemeine Nennung des Verdachtsfalls ist zulässig.
Aus Fürsorgegründen zum Schutz von Risikogruppen oder wenn dies auf Bitte des Gesundheitsamtes für die Kontaktverfolgung erforderlich sein sollte, ist auch eine namentliche Nennung denkbar.

Darf ein elektronisches System (Chips, Schlüsselkarten) zur Zugangskontrolle der Toiletten und Erfassung der Nutzer genutzt werden, um Vandalismus zu verhindern?

Die Einführung einer elektronischen Zugangssicherung für bestimmte Schultoiletten begegnet dann keinen grundsätzlichen datenschutzrechtlichen Bedenken, wenn die erhobenen Daten einer engen Zweckbindung unterliegen und zeitnah gelöscht werden. Dabei sollten die erhobenen Zugangsdaten nach einer Frist von drei Tagen gelöscht oder durch neue Daten überschrieben werden. Eine Auswertung der erfassten Nutzung darf nur dann erfolgen, wenn es tatsächlich zu einem Vorfall kam, der aufgeklärt werden soll. Sofern auch Lehrkräfte mit dieser Form der Zugangssicherung ausgestattet werden, wäre mit der Personalvertretung eine Regelung zu treffen, dass die erhobenen Daten nicht für allgemeine Verhaltens- und Leistungskontrollzwecke verwendet werden dürfen. Die Betroffenen sind gem. Art. 13 DS-GVO über die Datenverarbeitungsvorgänge, die mittels Chip oder Schlüsselkarte ausgelöst werden, vorab zu informieren.

III Kommunikation mit Lehrkräften, Eltern

Darf ich mit den Eltern über E-Mail kommunizieren?

Allgemeine Hinweise, Einladungen zu Schulveranstaltungen etc. sind auch per E-Mail möglich. Persönliche Daten in Bezug auf einzelne Schülerinnen und Schüler sollten per Mail nicht unverschlüsselt versendet werden.

Schulen und Lehrkräfte können das Mailangebot des Pädagogischen Landesinstituts für den dienstlichen Einsatz nutzen.

http://bildungsnetz.bildung-rp.de/e-mail.html

Für den Gebrauch von Messengern siehe vorhergehende Frage zu sozialen Netzwerken.

Beachten Sie:
Eine E-Mail gleicht vom Sicherheitsniveau einer Postkarte.

Weitere Informationen hierzu auch im Web-Seminar Schulischer Datenschutz - Teil 6: E-Mail-Kommunikation

Was sollte eine Einwilligung der Eltern zur Kommunikation per Mail beinhalten?

„Mit der Verwendung meiner privaten E-Mail-Adresse für die schulische Korrespondenz bin ich einverstanden. Meine Einwilligung ist freiwillig; d.h. wenn ich meine private E-Mail nicht zur Verfügung stelle, entstehen weder mir noch meinem Kind Nachteile. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. In diesem Fall werden mir von Seiten der Schule alternative Kommunikationsmöglichkeiten (z.B. postalischer Versand) zur Verfügung gestellt“


Zu beachten: Es bleibt aber dabei, dass personenbezogene Daten nicht unverschlüsselt per Mail zwischen Eltern und Lehrkräften  kommuniziert werden sollen; dies kann sich die Schule auch nicht über eine Einwilligung der Eltern gewissermaßen "freizeichnen" lassen.

Dürfen LES-Gespräche, Empfehlungsgespräche und Zeugniskonferenzen datenschutzrechtlich unbedenklich über Videokonferenzsysteme geführt werden dürfen?

Ja, sofern das Videokonferenzsystem den technisch-organisatorischen Anforderungen der DS-GVO entspricht (s. Hinweise zu Videokonferenzsystemen) und es sich um eine geschlossene Benutzergruppe mit einer Ende-zu-Ende-Verschlüsselung handelt, können die entsprechenden Gespräche hierüber geführt werden. Auch hier ist eine reine Transportverschlüsselung nicht ausreichend zur Gewährleistung der Vertraulichkeit gegenüber dem Dienstleister. Selbstverständlich ist sicherzustellen, dass auch im Homeoffice die Vertraulichkeit des Gesprächs gewahrt bleibt.

IV Videokonferenzsysteme

Was müssen Schulen beim Einsatz eines Videokonferenzsystems beachten?

Aus Datenschutz-Sicht hat die vom rheinland-pfälzischen Bildungsministerium empfohlene Lösung Big Blue Button (BBB), die bei der Johannes Gutenberg-Universität Mainz gehostet wird, große Vorzüge. Bei BBB handelt es sich um eine Open Source-Lösung, die es ermöglicht, sie unter vollständiger, eigener Kontrolle und auf eigenen Systemen zu betreiben. Die Übermittlung von Nutzungsdaten an Dritte oder deren Verwendung gar für Werbezwecke kann ausgeschlossen werden

Ist der Einsatz außereuropäischer Videokonferenzsysteme in der aktuellen Corona-Situation zulässig?

Im Zusammenhang mit der Wahl eines geeigneten Videokonferenzsystems ist auf das wichtige Urteil des Europäischen Gerichtshofes vom 16.7.2020 hinzuweisen, mit welchem dieser das sog. Privacy Shield für ungültig erklärt hat. Dies ist insofern wichtig und folgenreich, als viele Datenübermittlungen in die USA auf dieses Instrument gestützt wurden. Auch beim Einsatz von Videokonferenzsystemen fallen viele personenbezogene Daten an. Handelt es sich dabei um Datenverarbeitungen durch US-amerikanischer Anbieter, lässt sich eine Übermittlung bestimmter Nutzungsdaten in die USA in der Regel nicht vermeiden. So lässt sich in der Regel eine Übermittlung von Telemetrie- und Nutzungsdaten nicht vermeiden; es ist also nicht auszuschließen, dass Daten darüber, wer von wo aus, wie lange, mit welchem Endgerät und auf welche Weise an einer Videokonferenz teilgenommen hat und welche IP-Adresse verwendet wurde, zweckwidrig verwendet werden.

Dieser Verarbeitungsvorgang ist nach dem EuGH-Urteil derzeit allerdings nur noch unter sehr engen Voraussetzungen möglich, welche nach der derzeitigen Rechtslage für Schulen nur schwer zu erfüllen sind.

Angesichts der derzeitigen Ausnahmesituation und bestehender technischer Probleme ist es vertretbar, wenn Schulen im laufenden Schuljahr 2020/21 außereuropäische Videokonferenzsoftware verwenden, um dem Bildungsauftrag nachzukommen. Die vorübergehende Nutzung amerikanischer Videokonferenzsysteme ist jedoch nur dann hinnehmbar, wenn folgende Punkte beachtet werden:

  • Bereits eingesetzte Lösungen US-amerikanischer Anbieter müssen auf schuleigenen Systemen betrieben werden, oder es müssen, bei Inanspruchnahme eines Dienstleisters im Rahmen einer (Auftragsverarbeitung gemäß Artikel 28 Datenschutz-Grundverordnung, DS-GVO) die Konferenzdaten auf Systemen deutscher oder europäischer Anbieter verarbeitet werden. Zudem müssen die Lösungen datensparsam konfiguriert und mit von der Schule vergebenen, pseudonymisierten Zugangsdaten genutzt werden. Es wird eine Verwendung der Nutzungsdaten für Werbezwecke vertraglich ausgeschlossen (§103 Übergreifende Schulordnung).
  • Die Nutzerinnen und Nutzer müssen gemäß Artikel 13 DS-GVO informiert werden.
  • Auf die in § 1 Abs. 6 Schulgesetz vorgesehene Möglichkeit, eine verbindliche Nutzung digitaler Lehr- und Lernmittel vorzusehen, wird verzichtet. Wenn Eltern, Schülerinnen oder Schüler einer Nutzung amerikanischer Softwareprodukte ausdrücklich widersprechen, werden äquivalente Lehrangebote zur Verfügung gestellt.

Können Lehrkräfte und Schülerinnen und Schüler zur Teilnahme an Videokonferenzen verpflichtet werden? Müssen sie sich vor der Kamera zeigen?

Eine Verpflichtung ein bestimmtes nach § 1 Abs. 6 Schulgesetz festgelegtes Lehrmittel zu verwenden, besteht nur, wenn dieses datenschutzkonform ist (also nicht bei der Nutzung außereuropäischer Dienste) und eine ordnungsgemäße Beteiligung der Personal- und Schülervertretung erfolgt ist. Hierbei ist dem Grundsatz der Erforderlichkeit folgend die Bildübertragung nur dann zulässig, wenn gewährleistet werden kann, dann keine Übertragung des privaten Umfeldes der SuS (z. B. durch Unkenntlichmachen des Hintergrunds) ausgeschlossen ist. Die Übertragung des Tons wird man jedenfalls bei der Lehrkraft und bei den Schülerinnen und Schülern bei Wortmeldungen  als erforderlich ansehen können. Die Rahmenbedingungen, insb. Vertraulichkeitsverpflichtung, sind hier zu beachten.

Dürfen zu Benotungszwecken SuS verpflichtet werden, bei einer Videokonferenz die Kamera ihres Endgeräts zu aktivieren?

Ja, aber nur wenn ein datenschutzkonformes Tool zum Einsatz kommt, dessen Nutzung verpflichtend angeordnet wurde (§ 1 Abs. 6 SchulG). Dabei müssen die Einzelheiten zur Gestaltung der Videokonferenz, (also z.B. Verbot einer Aufzeichnung, Nutzung der Möglichkeit den Hintergrund auszugrauen, Verpflichtung zur Bildübertragung der SuS nur, sofern dadurch nicht die Leitung überlastet wird, Sicherstellung, dass keine Unbefugten Kenntnis von der Videokonferenz erhalten etc). sollten zwischen Schulleitung und Schülervertretung bzw. Personalvertretung schriftlich in einer Vereinbarung festgelegt werden. Eine solche Regelung kann auch vorsehen, dass die Frage der verpflichtenden Bildübertragung von Schülern in das pädagogische Ermessen der Lehrkraft gestellt wird. Aufzeichnungen sind stets unzulässig.

Können Lehrkräfte und Schülerinnen und Schüler zur Teilnahme an Videokonferenzen verpflichtet werden? Müssen sie sich vor der Kamera zeigen?

Eine Verpflichtung ein bestimmtes nach § 1 Abs. 6 Schulgesetz festgelegtes Lehrmittel zu verwenden, besteht nur, wenn dieses datenschutzkonform ist (also nicht bei der Nutzung außereuropäischer Dienste) und eine ordnungsgemäße Beteiligung der Personal- und Schülervertretung erfolgt ist.. Hierbei ist dem Grundsatz der Erforderlichkeit folgend die Bildübertragung grundsätzlich freiwillig, die Übertragung des Tons wird man jedenfalls bei der Lehrkraft und bei den Schülerinnen und Schülern bei Wortmeldungen  als erforderlich ansehen können. Die Rahmenbedingungen, insb. Vertraulichkeitsverpflichtung, sind hier zu beachten.

Wie kann man verhindern, dass Webkonferenzen oder videogestützter Unterricht aufgezeichnet werden?

Vor Einsatz eines Systems sollten die Schülerinnen und Schüler sowie bei Minderjährigen deren Eltern auf die Vertraulichkeit verpflichtet werden. Ein technischer Ausschluss kann nie erfolgen, da das Bild im Zweifelsfall abgefilmt werden kann. Dies wäre dann allerdings ein Verstoß gegen die Verschwiegenheitsverpflichtung, der mit Schulordnungsmaßnahmen sowie auch strafrechtlich geahndet werden kann. 

V Clouddienste

Welche Clouddienste dürfen zum Austausch von Dateien genutzt werden?

Das Land stellt mit der GS-Box und der Schulbox entsprechende Dienste zur Verfügung.

Sollte die Schule sich gegen einer Verwendung dieser Produkte entscheiden, ist bei der Wahl eines Clouddienstes darauf zu achten, dass es sich um einen europäischen Anbieter (bzw. Datenverarbeitung auf europäischen Servern ohne Zugriffsmöglichkeit ausländischer Sicherheitsbehörden) handelt. 

Beachte: Auch dann, wenn Schülerinnen und Schüler lediglich Daten ohne Anmeldung herunterladen, wird die (häusliche) IP-Adresse des Schülers oder der Schülerin als personenbezogenes Datum vom Anbieter erfasst.

Bei Verwendung eines Dienstes außerhalb des Geltungsbereichs der DS-GVO, gilt das  zu „Schrems II“ Gesagte (s.o.).

Muss ich Daten verschlüsseln, wenn ich sie über einen Clouddienst teilen möchte?

Sofern es sich nicht um personenbezogene Daten handelt, können Dateien auch unverschlüsselt auf Cloudspeichern abgelegt werden. Insbesondere bei der Nutzung von Diensten aus Drittstaaten, ist eine Inhaltsverschlüsselung der Daten unerlässlich, die eine Kenntnisnahme durch Unbefugte und auch durch den Anbieter verhindert. Eine reine Transportverschlüsselung (https) bei der Datenübertragung ist nicht ausreichend. Hinweise zur einfachen Möglichkeit einer Inhaltsverschlüsselung finden sich unter: https://www.datenschutz.rlp.de/de/themenfelder-themen/cloud-speicher-sicher-nutzen/

 

Können digitale Pinnwände (Etherpad, Padlet etc.) verwendet werden?

Bei vielen Anwendungen (z.B. Padlet) handelt es sich um Dienste US-amerikanischer Anbieter. Nach dem Urteil des EuGH vom Juli 2020 („Schrems II“) gelten für die Datenverarbeitung in sog. Drittstaaten besondere Anforderungen.

Es sollte darauf geachtet werden, dass der Dienst keine Anmeldung durch die Schülerinnen und Schüler erfordert und keine personenbezogenen Daten (z. B. Namen der SuS) auf der digitalen Pinnwand hochgeladen werden. Auch sollten nur Dienste zum Einsatz kommen, bei denen auf ein Tracking der Nutzer verzichtet wird. Sofern Schülerinnen und Schüler allerdings unter Nutzung privater Endgeräte Uploads vornehmen oder Daten abrufen, kann es sein, dass der Anbieter beispielsweise die IP-Adresse oder andere technische Informationen des Endgeräts (z.B. Betriebssystem, Browser, etc.) verarbeitet. Da es sich hierbei letztlich um personenbeziehbare Daten handelt, die in Drittstaaten übermittelt werden, kann die Nutzung lediglich auf freiwilliger Basis erfolgen und die Eltern gem. Art. 13 Datenschutz-Grundverordnung über die Risiken und Gefahren einer Datenübermittlung in Drittstaaten unterrichtet werden. Mit Blick auf die o.g. EuGH-Rechtsprechung muss hierin auch ein Hinweis aufgenommen werden, dass die Daten dort - ohne die Möglichkeit einer gerichtlichen Überprüfung mit dem Risiko eines massenhaften geheimen Zugriffs durch Sicherheitsbehörden - zu Überwachungszwecken verarbeitet werden können.

Zur Verhinderung eines Zugriffs durch Unbefugte sollte die Pinnwand nicht öffentlich geteilt, sondern nur über einen dem Nutzerkereis bekannten Link erreichbar und - wenn möglich - mit einem Passwort geschützt sein.

Zum Austausch von Materialien gibt es darüber hinaus datenschutzkonforme Landeslösungen wie die GS-Box und die Schulbox.

VI Soziale Medien an Schulen

Darf die Schule eine Instagram- bzw. Facebookseite haben? Wenn ja, welche Einschränkungen bestehen?

Für Schulen gelten als öffentliche Stellen strengere Vorgaben bei der Nutzung von Social-Media-Plattformen, als für Privatpersonen oder Unternehmen. Ein entsprechender Handlungsrahmen des LfDI erläutert, unter welchen Voraussetzungen eine Nutzung überhaupt möglich wäre.

Mustertexte finden sich auf der Seite "Soziale Netzwerke" rechts unter "Weitere Informationen".

Darf ich mit meiner Klasse mittels Facebook, WhatsApp oder iMessage schulisch kommunizieren?

Facebook, WhatsApp oder iMessage dürfen nicht für unterrichtliche Zwecke und in anderen schulischen Zusammenhängen verwendet werden.

Zur schulischen Kommunikation zwischen Lehrkräften und Schülerinnen und Schülern steht den Schulen u. a. eine landeseigene, kostenfreie, auf Moodle basierende Lernplattform zur Verfügung.

http://lernenonline.bildung-rp.de Diese gewährleistet die Datensicherheit durch die Verwendung eines landeseigenen Servers.

Sofern eine Lehrkraft es als notwendig erachtet, über Messenger mit Eltern, Schülerinnen und Schülern zu kommunizieren, kommen nur europäische Anbieter, die eine Ende-zu-Ende-Verschlüsselung anbieten, in Betracht (z. B. Pidgin/OTR, Hoccer, Chiffry, Wire oder Threema).

Hierbei ist stets das Distanzgebot zu beachten. 

Weitere Informationen hierzu auch im Web-Seminar Schulischer Datenschutz - Teil 3: Soziale Netzwerke, Facebook, WhatsApp

VII Sonstiges

Inwieweit ist die Zustimmung zur Verwendung von personenbezogen Daten (wie z.B. Fotos) zur Veröffentlichung (z.B. auf der Schulhomepage) dauerhaft gültig?

Eine Einwilligung gilt, bis sie widerrufen wird, ist also unbefristet gültig. Einwilligungen, die bei Schuleintritt gegeben werden, müssen nicht jährlich erneuert werden, allerdings sollte einmal im Jahr, z.B. bei Schuljahresbeginn, auf die Möglichkeit zum Widerruf hingewiesen werden. Ab dem Alter von 16 Jahren oder mit Eintritt in die Oberstufe sollte die Einwilligung erneut bei den betroffenen Schülern und Schülerinnen selbst eingeholt werden. Wird die Einwilligung widerrufen, müssen die Fotos von der Homepage entfernt werden.

Recht am eigenen Bild: https://www.datenschutz.rlp.de/de/themenfelder-themen/recht-am-eigenen-bild/

Dürfen Bilder von Personen auf der Schulhomepage veröffentlicht werden?

Nur mit Einwilligung der betroffenen Schülerinnen und Schüler, Eltern und Lehrkräfte (bei Minderjährigen: Einwilligung der Eltern). Dies gilt auch für Gruppenbilder. Ausnahme: Es handelt sich um eine Schulveranstaltung, bei der keine Einzelperson, sondern das Ereignis im Vordergrund steht (z. B. Sommerfest, Tag der offenen Tür etc.).

Beachten Sie:

Auch das Fotografieren von Schülerinnen und Schülern für einen Sitzplan ist nur mit Einwilligung zulässig.

Weitere Informationen hierzu auch im Web-Seminar Schulischer Datenschutz - Teil 5: Bilder auf Schulhomepage und im Themenfeld "Recht am eigenen Bild"

Was kann ich tun, wenn heimlich gefertigte Unterrichtsmitschnitte von mir veröffentlicht werden?
  • Erzieherische Einwirkung (z. B. zeitweise Wegnahme des Handys) oder, falls erforderlich, Schulordnungsmaßnahmen ergreifen.
  • Zivilrechtliche Unterlassungs- und Beseitigungsansprüche gegenüber der/dem Schülerin/Schüler bzw. den Eltern und dem Betreiber der Internetseite geltend machen (Meldebutton des Portals nutzen).
  • Auch die Datenschutzaufsichtsbehörden des Bundes und der Länder können je nach Situation helfen oder Ansprechpartner vermitteln.
  • „Recht auf Vergessenwerden“ gegenüber Google geltend machen. Nach einem Urteil des Europäischen Gerichtshofs vom 13.05.2014 kann eine Privatperson von Google oder anderen Suchmaschinen die Löschung von Links in der Ergebnisliste einer Suche verlangen. Voraussetzung ist, dass die verlinkten Seiten die Privatsphäre des Betroffenen verletzen.
  • Je nach Schwere des Verstoßes Möglichkeiten des Strafrechts prüfen (Strafmündigkeit ab 14 J.).

In Frage kommende Straftatbestände:    

  • § 201 Strafgesetzbuch: Verbietet die unbefugte Aufnahme des nicht öffentlich gesprochenen    Wortes.
  • §§ 22, 23, 33 Kunsturhebergesetz: Verbietet die Veröffentlichung von Bildnissen ohne Einwilligung („Recht am eigenen Bild“).

Weitere Informationen hierzu auch im Web-Seminar Schulischer Datenschutz - Teil 7: Unterrichtsmitschnitte

Darf ich Handydetektoren nutzen, um Täuschungsversuche bei Klausuren aufzudecken?

Störsender dürfen nicht verwendet werden. Handydetektoren, die nur anzeigen, ob ein Gerät eingeschaltet ist, sind in der Regel datenschutzrechtlich unproblematisch, da keine personenbezogenen Daten verarbeitet werden.