Logo Ministerium für Schule und Bildung

Einzelne Regelungsbereiche

Orientierungsbereich (Sprungmarken)

Navigation ein/aus

Einzelne Regelungsbereiche

Unabhängig von den grundsätzlichen Aussagen zur Anwendbarkeit der bestehenden Rechtsgrundlagen im Schulbereich sind die nachfolgenden Regelungen der DSGVO erwähnenswert und bereits zu beachten:

Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DSGVO

Die bisherige Pflicht gem. §§ 8, 10 DSG, ein Verfahrensverzeichnis zur Führung und Einsichtnahme bei den behördlichen Datenschutz-beauftragten zu erstellen und ihnen das Verzeichnis zur Vorabkontrolle vorzulegen, entfällt.       

Allerdings hat künftig der bzw. die für die Datenverarbeitung Verantwortliche (Schulleitung; ZfsL-Leitung) ein Verzeichnis über alle Verarbeitungstätigkeiten mit personenbezogenen Daten zu führen. Dies soll der strukturierten Datenschutzdokumentation und als Nachweis der Einhaltung der Vorgaben aus der DSGVO dienen (Rechenschaftspflicht aus Art. 5 Abs. 2  DSGVO).        

Das neue Verzeichnis erfordert im Wesentlichen die gleichen Angaben, wie das bisherige Verfahrensverzeichnis. Daher wird es nicht für erforderlich gehalten, bestehende Verfahrensverzeichnisse durch ein neues Verzeichnis zu ersetzen.

Es reicht vielmehr aus, wenn die vorhandenen Verfahrensverzeichnisse vom Verantwortlichen gesammelt vorgehalten werden und die Datenverarbeitung damit insgesamt nachweisbar dokumentiert ist.

Erst für neue Verarbeitungstätigkeiten ist das Verzeichnis laut DSGVO zu erstellen. Ein Muster ist auf der Homepage der LDI eingestellt. Zusätzlich wird es hier als ausfüllbares Word-Dokument zur Verfügung gestellt.

Die in dem Verzeichnis anzugebenden technischen und organisatorischen Maßnahmen (TOM) gemäß Art. 32 Abs.1 DSGVO entsprechen im Wesentlichen den Angaben, die auch bislang schon in dem bisherigen Verfahrensverzeichnis (unter Teil B Sicherheitskonzept) auszufüllen waren. Auf der Hompage der LDI sind hierzu ergänzende Informationen eingestellt, vgl. Ziffer 6.7 und 6.8 der Hinweise.

Zwar sind die Datenschutzbeauftragten zur Vorabkontrolle des Verzeichnisses nicht mehr konkret gesetzlich verpflichtet. Gleichwohl wird den Schulleitungen dringend empfohlen, sie weiterhin um Prüfung neuer Dokumentationen zu bitten. Dies unterfällt dem Beratungsrecht der Schulleitungen bzw. der korrespondierenden Pflicht der Datenschutzbeauftragten.      

Entsprechendes gilt für die Genehmigung zur Nutzung von privaten ADV-Geräten der Lehrkräfte:

Der Genehmigungsvordruck, der mit der Dienstanweisung (BASS 10-41 Nr. 4) zur Verfügung gestellt worden ist, sieht die Dokumentation der Vorabkontrolle nach bislang geltender Rechtslage vor. Hierzu wird ebenfalls empfohlen, die Datenschutzbeauftragten weiterhin im Wege der Beratung einzubeziehen und dies vom Verantwortlichen (Schulleitung oder ZfsL-Leitung) entsprechend dort im Vordruck zu vermerken.

Die bzw. der Datenschutzbeauftragte ist nicht mehr zur schriftlichen Prüfungsbestätigung verpflichtet.

Datenschutz-Folgeabschätzung (DSFA)

Der europäische Gesetzgeber hat die für die Datenverarbeitung Verantwortlichen verpflichtet, unter bestimmten Voraussetzungen eine DSFA durchzuführen (Art. 35 DSGVO). Dabei handelt es sich um eine aufwändige, systematische Beschreibung der geplanten Verarbeitungsvorgänge und ihrer Zwecke, die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung sowie die Beschreibung und Beurteilung der Risiken und der Abhilfemaßnahmen zur Risikoeindämmung.

Nach den Regelbeispielen im Verordnungstext ist dies jedoch insbesondere bei der Verwendung neuer Technologien und nur für Verarbeitungen vorgesehen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben (z.B. systematisches Profiling; kommunale Meldedaten; umfangreiche behördliche Erhebungen im Zuge der Bewilligung von Sozialleistungen).

Daher besteht für die auf Ebene der Einzelschule übliche Verarbeitung von personenbezogenen Lehrer- und Schülerdaten für schulische Zwecke nach hiesiger Einschätzung in der Regel keine Verpflichtung der Schulleitung, eine DSFA durchzuführen.

Ohnehin sind bereits bestehende Verfahren von einer Datenschutz-Folgenabschätzung ausgenommen, wenn bereits ein Verfahrensverzeichnis erstellt war, die seinerzeitige Vorabkontrolle durch den Datenschutzbeauftragten erfolgte, der Verarbeitungsvorgang noch immer auf dieselbe Art durchgeführt wird und sich das mit dem Verarbeitungsvorgang verbundene Risiko nicht geändert hat.

Kopien von Unterlagen mit personenbezogenen Daten

Schülerinnen und Schüler sind berechtigt, bei Bedarf Einsicht in die sie betreffenden Unterlagen zu nehmen und Auskunft über die sie betreffenden Daten zu erhalten. Dies beinhaltet auch das Recht, Kopien zu erhalten. Bislang sieht dazu § 120 Abs. 7 Satz 2 SchulG vor, dass die Erstattung von Auslagen für Kopien von Schülerunterlagen verlangt werden kann. Nach Art. 15 Abs. 3 DSGVO ist jedoch eine Kopie unentgeltlich zur Verfügung zu stellen. Diese Vorgabe der höherrangigen DSGVO gilt unmittelbar und ist daher bereits zu beachten; die Regelung im SchulG wird angepasst.   

Entsprechendes gilt z. B. für Abschlussklausuren[1] ehemaliger Schülerinnen und Schüler oder für die in der Schule aufbewahrten Zweitschriften von Abgangs- und Abschlusszeugnisse. Auch hier gilt: Eine Kopie ist unentgeltlich zur Verfügung zu stellen, Auslagen können nur für weitere Kopien verlangt werden.



[1] vgl. hierzu: https://www.schulministerium.nrw.de/docs/Recht/Schulrecht/FAQ-Schulrecht/FAQ-Schulrecht-Unterricht/Notengebung-Zeugnisse-Versetzung/index.html; „Wann kann ich meine schriftlichen Abschlussklausuren, z. B. der Zentralen Prüfungen 10 oder die Abiturklausuren, einsehen oder diese zurückbekommen?“

Informationspflicht, Art. 13, 14 DSGVO

Zur Erfüllung der Grundsätze einer fairen und transparenten Verarbeitung personenbezogener Daten ist mit der DSGVO die neue Verpflichtung vorgegeben, dass der Verantwortliche den betroffenen Personen zum Zeitpunkt der Erhebung mitteilt, zu welchen Zwecken die Daten verarbeitet werden, Name und Kontaktdaten der Verantwortlichen, u.v.m.      

 Auch bislang hatten Betroffene selbstverständlich bereits das Recht, sich über die Verarbeitung ihrer Daten informieren zu lassen (vgl. § 120 Abs. 7 SchulG). Dies allerdings auf ihre eigene Initiative hin. Nunmehr ist aber umgekehrt der Verantwortliche in der Pflicht, von sich aus unaufgefordert die Betroffenen – also Schüler, Eltern und Lehrkräfte – darüber zu informieren.

1. Das Ministerium des Inneren (MI) hat zu den Informationspflichten gemäß Art. 13 und 14 DSGVO folgende Muster und ergänzende Hinweise auf seiner Homepage eingestellt:

Muster und Hinweise MI Informationspflichten bei Datenerhebung nach Artikel 13 Absatz 1 DSGVO

Muster und Hinweise MI Informationspflichten bei Datenerhebung nach Artikel 14 Absatz 1 DSGVO

Die erforderlichen Informationen z.B. zu Zweck der Datenverarbeitung, Speicherdauer u.ä. sind im Schulbereich bereits detailliert und umfassend in den VO DV I und VO DV II enthalten; es ist nicht möglich, diese Angaben nochmals gesondert in Kurzform in diesem Vordruck zusammenzufassen. Daher ist es zweckmäßig und ausreichend, wenn mittels Link auf die ausführlichen Vorgaben der VO DV I und II verwiesen wird.

Für Schulen und ZfsL sind entsprechende Angaben, soweit dies zentral und generalisierend möglich ist, als Hilfestellung bereits in den Muster-Informationsdokumenten ausgefüllt und werden nachfolgend als bearbeitbare Word-Dokument bereitgestellt. Eintragungen sind nur noch an den kursiv in Klammern kenntlich gemachten Stellen erforderlich. 

Dabei ist zu differenzieren zwischen den Informationen, die für

  • Eltern, Schülerinnen und Schüler   und
  • Personal an Schulen einschließlich Personen am ZfsL

bereitgestellt werden müssen.

Für jede der beiden Personengruppen ist jeweils ein Muster auszufüllen. Abweichend von den Mustern des MI sind die Angaben für Daten, die bei den Betroffenen selbst erhoben werden (Art. 13 DSGVO) und solchen Daten, die bei Dritten (z.B. Schulaufsichtsbehörden) erhoben werden (Art. 14 DSGVO), in einem Dokument zusammen erfasst.

Muster MSB Informationspflicht Schülerinnen und Schüler Datenerhebung Artikel 13, 14 DSGVO

Muster MSB Informationspflicht Lehrkräfte Datenerhebung Artikel 13, 14 DSGVO

2. Damit das Erfüllen der Informationspflichten ohne unverhältnismäßigen Verwaltungsaufwand praktikabel ist,  ist es zweckmäßig, wenn diese grundsätzlichen Informationsdokumente ausgefüllt auf der Homepage der jeweiligen Schule veröffentlicht werden.

Die DSGVO verlangt allerdings, dass im Zeitpunkt der Datenerhebung über die Datenverarbeitung informiert wird. Dieser Pflicht kann auf folgende Weise nachgekommen werden:

Schülerinnen und Schüler

  • Anlässlich der Anmeldung einer Schülerin oder eines Schülers an einer Schule ist den Eltern bzw. dem volljährigen Schüler oder der Schülerin ein Papierausdruck des Informationsdokuments (zu Art. 13 und Art. 14 DSGVO) und der VO DV I auszuhändigen.    
  • Aber auch von Schülerinnen und Schülern, die sich bereits im Schulverhältnis befinden, werden im Schulalltag fortlaufend Daten erhoben (z.B.: Notenvergabe; Schulpflichtüberwachung, u.a.). Für sie muss ebenfalls sichergestellt werden, dass sie darüber informiert werden, wie ihre Daten verarbeitet werden. Die bloße Möglichkeit der Kenntnisnahme der Informationen aus der Schulhomepage reicht dazu nicht aus.  
        
    Es empfiehlt sich daher, in jedem Schuljahr z.B. in den Einladungen zur Versammlung der Klassen-/Jahrgangsstufenpflegschaft insbesondere zu Schuljahresbeginn den Hinweis auszubringen, dass die nach DSGVO notwendigen Informationen über die Verarbeitung der Schülerdaten auf der Schulhomepage veröffentlicht sind. Zudem sollte angeboten werden, dass bei Bedarf auch ein Ausdruck des Informationsdokuments sowie der VO DV I im Schulsekretariat abgeholt werden kann.    

    Der Datenverantwortliche muss nachweisen können, dass die Information auf diesem Wege angeboten wurde; dazu bietet sich z.B. das übliche Verfahren an, dass die o.g. Einladungen gegen Empfangsbestätigung der Erziehungsberechtigten ausgegeben werden.     
  • Zudem ist es zweckmäßig, bei der Beantwortung von E-Mails von Eltern, Schülerinnen und Schülern standardmäßig unter der Signatur einen Hinweis auszubringen, dass Informationen über die Verarbeitung personenbezogener Daten durch die Schule in der Datenschutzerklärung und dem Informationsdokument auf der Homepage zu finden sind (Erklärung und Dokument verlinken).

Lehrkräfte und sonstiges sozial-/pädagogisches Personal im Landesdienst

Den Lehramtsanwärterinnen und Lehramtsanwärtern und Lehrkräften in Ausbildung ist bei Aufnahme der Ausbildung im ZfsL ein Exemplar des Informationsdokuments und der VO DV II auszuhändigen.        

Bereits im Dienst befindliche Lehrkräfte sowie an der Schule eingesetzte Lehramtsanwärterinnen, Lehramtsanwärter und Lehrkräfte in Ausbildung und sonstiges Landespersonal müssen ebenfalls nachweisbar auf die Informationen, die auf der Schulhomepage veröffentlicht sind, hingewiesen werden sowie auf die Möglichkeit, bei Bedarf ein ausgedrucktes Exemplar des Informationsdokuments sowie der VO DV II ausgehändigt zu bekommen.     

Homepage der Schulen

Datenschutzhinweise; Angaben zu Datenschutzbeauftragten                                 

Die oben genannte Informationspflicht gemäß Artikel 13 DSGVO besteht auch gegenüber Personen, die die Homepage von Schulen nutzen. Sofern auf der Homepage einer Schule Cookies, Besucherzähler, Fragebögen o.ä. eingerichtet sind und in der Schule somit Daten von Personen, die die Homepage besucht haben, verarbeitet werden, muss auch ein Hinweis erfolgen, ob und wie bei Zugriff auf das Homepageangebot personenbezogene Daten verarbeitet werden. Entsprechend der Zielsetzung der DSGVO, Transparenz im Umgang mit dem Daten zu erreichen, müssen Besucher der Webseite informiert werden, was im Hintergrund mit ihren Daten geschieht.           

Zudem ist nach Artikel 37 Absatz 7 DSGVO verpflichtend, die Kontaktdaten des bzw. der zuständigen schulischen Datenschutzbeauftragten zu veröffentlichen. Dazu eignet sich ebenfalls ein Hinweis auf der Homepage der Schule. Die Angabe der dienstlichen E-Mail-Adresse und der Telefonnummer ist ausreichend.           

Ein Muster einer Datenschutzerklärung finden Sie hier.

Zusätzlich wird es hier als ausfüllbares Word-Dokument zur Verfügung gestellt.

Fotos, Namen

Namen von Schülerinnen und Schülern und Eltern sowie Fotos von Personen dürfen – wie bisher – nur auf Grundlage der Einwilligung der Betroffenen auf der Homepage veröffentlicht werden. Die Einwilligung ist mit Wirkung für die Zukunft widerrufbar.

Die Namen der Lehrkräfte zu veröffentlichen ist dagegen zulässig, weil die DSGVO den Mitgliedsstaaten nationale Regelungsmöglichkeiten eröffnet. Indem öffentliche Stellen gemäß § 12 des Informations-freiheitsgesetzes NRW (IFG) verpflichtet sind, unter anderem Organigramme und Geschäftsverteilungspläne (soweit vorhanden) zu veröffentlichen, umfasst dies auch die gesetzliche Ermächtigung, die Namen der Mitarbeiter bzw. Lehrkräfte auf der Homepage anzugeben.

Weiterführende Informationen

Auf der Homepage der LDI sind der Text der DSGVO sowie vielfältige ergänzende Informationen, FAQ-Listen und Kurzpapiere zu einzelnen Themen eingestellt, die im Zuge des weiteren Umsetzungsprozesses kontinuierlich aktualisiert werden dürften.

Im Übrigen bleibt es im Bereich des Datenschutzrechts bei den bisherigen Beratungsstrukturen durch Bezirksregierungen sowie behördliche Datenschutzbeauftragte an Schulen und Medienberatung NRW.

Zum Seitenanfang

Bildungsthemen im Zuständigkeitsbereich anderer Landesministerien

Ministerium für Schule und Bildung des Landes Nordrhein-Westfalen
Völklinger Straße 49, 40221 Düsseldorf