Fragen und Antworten zum Datenschutz

Hier finden Sie weitere Informationen zum Datenschutz im Schulbereich.

Genehmigung zur Nutzung privater ADV-Anlagen

Antrag nach Genehmigungsvordruck
  •  Hat meine alte Genehmigung auch weiterhin Gültigkeit?

Frühere gemäß § 2 Abs. 2 VO DV I erteilte Genehmigungen haben weiterhin Bestand. Dies gilt auch beim Wechsel der Leitung der Schule oder der Leitung des ZfsL. Wenn Zweifel bestehen, ob solche früheren Genehmigungen wirklich noch ausreichen, sollten Schulleitungen in Erwägung ziehen, neue Genehmigungen nach dem Vordruck zu erteilen.

Im Übrigen sind neue Genehmigungen oder Anpassungen an die bestehenden immer dann erforderlich, wenn sich zu den individuell anzugebenen Daten Änderungen ergeben haben. Bei neu zu erteilenden Genehmigungen ist die jeweils aktuelle Fassung des Genehmigungsvordrucks zu verwenden.

  • Sind einschränkende Anmerkungen im Antrag zulässig?     

Anpassungen des Genehmigungsvordrucks durch einschränkende Anmerkungen einer Lehrkraft z. B. in Bezug auf die verfügbare Sicherheitssoftware des individuell verwendeten Gerätes oder weitergehende Konkretisierungen der Schulleitung sind durchaus zulässig. Es liegt jedoch in der Verantwortung der Schulleitung, ob sie die Genehmigung auf Basis der Änderungen erteilt, denn das Mindestmaß an notwendigen Maßnahmen zum Datenschutz darf nicht unterschritten werden. Dabei sollte sie sich von der bzw. dem zuständigen behördlichen Datenschutzbeauftragten beraten lassen.

  • Zu welchem Zweck wird die Seriennummer der Hardware auf dem Genehmigungsvordruck abgefragt?

Die Seriennummer dient der Identifizierung eines genehmigten Gerätes und somit dem Nachweis, dass auf diesem Gerät personenbezogene Schülerdaten verarbeitet werden dürfen. Die Angabe kann zudem hilfreich sein, wenn z.B. über einen Schadensersatzanspruch bei Beschädigung eines Gerätes zu entscheiden ist.

  • Was soll als Seriennummer bei selbst zusammengestellten Rechnern angegeben werden?

Bei selbst konfigurierten Geräten handelt es sich in der Regel um Desktoprechner, die nicht in der Schule, sondern im häuslichen Umfeld einer Lehrkraft zum Einsatz kommen. Hier ist die Seriennummer einer zentralen Hardwarekomponente anzugeben.

  • Sind Tablets und Handys generell unsicher? Welches sichere Gerät darf ich für die Arbeit mit Schülerdaten benutzen?

Zwar sind Tablets oder Handys nicht grundsätzlich unsicherer als Notebooks oder stationäre Desktop-PC. Es können jedoch nur Geräte eingesetzt werden, bei denen die nach § 2 Abs. 2 VO DV I geforderten und in der Genehmigung benannten Maßnahmen zum Datenschutz und zur Datensicherheit umgesetzt werden können. Wichtig ist bei allen Geräten und Betriebssystemen die Pflege und Wartung der verwendeten Software. Beim häuslichen Einsatz von Tablets und Handys ist die Zweckmäßigkeit und Erforderlichkeit einer Verwendung stets zu bedenken:

Sinn und Zweck der Verordnungsregelung ist, die Verarbeitung von Schülerdaten in privaten ADV-Anlagen (z.B. Laptop, Tablet oder Handy) aufgrund einer Genehmigung zu ermöglichen, weil Lehrkräfte einen Teil ihrer Arbeit am häuslichen Arbeitsplatz erledigen oder wenn sie dies mobil in der Schule erledigen.

Verbleiben trotz Beachtung der Regelungen und Umsetzung der empfohlenen Maßnahmen im konkreten Fall Zweifel, ob die datenschutzrechtlichen Bedingungen mit einzelnen mobilen oder auch stationären Geräten erfüllt werden können, ist die Verarbeitung personenbezogener Schülerdaten darauf nicht vertretbar.

  • Sind private NAS zulässig?

NAS („Network Attached Storages“) sind so zu bewerten wie jedes andere Speichermedium (z. B. externe Festplatte). Besonderes Augenmerk sollte beim Einsatz von privaten NAS auf die Zugriffsrechte bezüglich der gespeicherten dienstlichen Daten gelegt werden. Grundsätzlich ist es zu begrüßen, wenn Lehrkräfte mit NAS konsequent Datensicherungen vornehmen; Maßnahmen zur Datensicherung werden in „Teil B – Datensicherheit“ der Genehmigung auch ausdrücklich gefordert.

  • Wie soll eine Schulleitung reagieren, wenn Genehmigungen nicht eingeholt werden?

Keine Lehrkraft ist verpflichtet, private Endgeräte für dienstliche Zwecke zu nutzen. Die Schulleitung sollte das Kollegium jedoch darauf hinweisen, dass die Verarbeitung von personenbezogenen Daten von Schülerinnen, Schülern und Eltern auf Privatgeräten ohne Genehmigung nicht zulässig ist.

Gleiches gilt für die Verarbeitung der Daten von Lehramtsanwärterinnen und –anwärtern und Lehrkräften in Ausbildung auf Privatgeräten der mit Ausbildung betrauten Personen (vgl. § 2 Abs. 4 VO DV II).

  • Muss der Abschnitt über die Verarbeitung von Daten von Referendarinnen und Referendaren auch von Lehrkräften ausgefüllt werden, die Gutachten im Rahmen des Ausbildungsunterrichts anfertigen?  

Lehrkräfte, die an Schulen in die Ausbildung von Lehramtsanwärterinnen, Lehramtsanwärtern oder Lehrkräften in Ausbildung eingebunden sind, benötigen für die Verarbeitung von Daten dieser Personen eine Genehmigung. Dazu wurde festgelegt, dass die Genehmigung - anders als im Vordruck vorgesehen - ebenfalls von der Schulleitung erteilt wird.  

Bis zu einer entsprechenden Änderung des Genehmigungsvordrucks (die erst nach klarstellender Änderung der VO DV II möglich sein wird) sind somit die Teile E und F des Genehmigungsvordrucks für diese Ausbildungslehrkräfte an Schulen im Einzelfall von der Schulleitung - und nicht von einer ZfsL-Leitung - auszufüllen.

  • Wo werden die Anträge gesammelt?      

Es gehört zum Verantwortungsbereich der Lehrkräfte, sich für die Nutzung ihrer Privatgeräte eine Genehmigung der Schulleitung erteilen zu lassen. Falls erforderlich, muss diese auch nachgewiesen werden können. Es ist daher ratsam, ein Exemplar zu den eigenen Unterlagen zu nehmen.  Daneben ist ein Exemplar in die persönliche Akte jeder Lehrkraft beim Schulleiter aufzunehmen, vgl. § 5 Abs. 2 VO DV II.      

  • Wer genehmigt den Einsatz privater Endgeräte, wenn eine Lehrkraft an mehreren Schulen tätig ist?

Die Genehmigung zur Nutzung von privaten ADV-Geräten ist von der Schulleitung auszufüllen, die für die personenbezogenen Daten der konkret zu beschulenden Schülerinnen und Schüler verantwortlich ist. Sofern Lehrkräfte z.B. wegen Teilabordnung oder als HSU-Lehrkraft an mehreren Schulen tätig sind, kann als Behelf für die Praxis wie folgt vorgegangen werden:

Die Schulleitung der Stammschule erteilt ihrer Lehrkraft eine Genehmigung zur Nutzung eines privaten ADV-Gerätes für die Verarbeitung von personenbezogenen Schülerdaten der Stammschule.
Die Lehrkraft legt diese ausgefüllte Genehmigung auch den Schulleitungen der anderen Schulen vor. Diese Schulleitungen zeichnen nur den Teil D des Genehmigungsvordrucks gegen, unter Angabe von Name/Adresse der Schule.

Die Lehrkraft verfügt somit über eine qualifizierte Genehmigung zur Verarbeitung der erforderlichen Schülerdaten, die in den darin genannten Schulen von ihr unterrichtet werden. Die Genehmigung zur Nutzung des Privatgerätes umfasst die in Anlage 3 zur VO DV I genannten Daten.
Es muss nicht in jeder der anderen Schulen eine vollständige Genehmigung vorgehalten werden; die Genehmigung wird der Lehrkraft als Person erteilt und ein Exemplar ist in ihrer persönlichen Akte in ihrer Stammschule abzulegen [vgl. § 5 Abs. 2 VO DV II i.V.m. Anlage 2 Nr. IV 8].

  • Wer genehmigt Schulleitungen den Einsatz von Privatgeräten?

Es ist in den schulischen Regularien zum Datenschutz nicht vorgesehen, dass die Schulaufsichtsbehörde eine solche Genehmigung für Schulleitungen zu erteilen hat.
Zur eigenen Sicherheit sollte die Schulleitung sich an den Inhalten des Genehmigungsvordrucks orientieren. Sie kann sich zudem von der bzw. dem schulischen Datenschutzbeauftragten beraten lassen.

  • Wie verhält es sich mit den Bedenken der LDI zum Einsatz von Privatgeräten?

Die Bedenken der LDI sind dem MSB bekannt. Angesichts des Umstands, dass Lehrkräfte traditionell einen Teil ihrer dienstlichen Tätigkeit zu Hause erbringen, ist Absicht des MSB, Lehrkräften am heimischen Arbeitsplatz auch den Einsatz privater ADV-Geräte zu ermöglichen.

Deshalb ist die Genehmigungspflicht vorgegeben. Sie beinhaltet u. a. die datenschutzrechtlich erforderlichen technischen und organisatorischen Maßnahmen, die zu treffen sind. Die Lehrkraft ist damit verpflichtet, die personenbezogenen Schülerdaten nur für dienstliche Zwecke zu verarbeiten und die technischen und organisatorischen Vorgaben umzusetzen und einzuhalten.

Den Einsatz von Privatgeräten unter der Voraussetzung einer qualifizierten Genehmigung zu ermöglichen, ist aus Sicht des MSB vertretbar, um datenschutzrechtliche Anforderungen mit der Praxis und der fortschreitenden Digitalisierung vereinbaren zu können.

Zulässige Datenverarbeitungen auf privaten Endgeräten
  • Welche Daten dürfen wie lange auf privaten Endgeräten gespeichert werden?

Die zur Verarbeitung - und somit auch zur Speicherung - auf privaten ADV-Anlagen zugelassenen Daten sind in Anlage 3 zur VO DV I abschließend aufgeführt und im Genehmigungsvordruck unter Nr. 3 entsprechend benannt.

Die Aufbewahrungsfrist für die auf privaten Endgeräten von Lehrkräften gespeicherten Daten beträgt ein Jahr. Sie beginnt mit Ablauf des Kalenderjahres, in dem die Schülerin oder der Schüler nicht mehr von der Lehrkraft unterrichtet wird (§ 9 Abs. 2 S. 2 u.3 VO DV I). Darunter fallen auch ggf. erstellte Backups. Sollten Daten über diese Frist hinaus gespeichert werden, so sind diese auf schulische Anlagen zu übertragen.

  • Dürfen Wortzeugnisse auf privaten Endgeräten erstellt werden, obwohl diese ja Verhaltensinformationen enthalten können?

In Anlage 3 zur VO DV I sind abschließend die Daten aufgeführt, deren Verarbeitung auf Privatgeräten zulässig ist. Unter Abschnitt I Nr. 10 sind genannt: „Leistungsbewertungen in den Fächern, in denen die Lehrkraft die Schülerinnen und Schüler unterrichtet.“ „Leistungsbewertungen“ können nach Maßgabe des § 48 Abs. 1 SchulG anstelle von Noten auch schriftliche Aussagen sein.
Die einzelne Lehrkraft hat also die Möglichkeit, Bewertungen und Textpassagen automatisiert zu verarbeiten, die vorbereitend für spätere Zeugniseintragungen für ihre jeweiligen Schülerinnen und Schüler sind, - allerdings nur bezogen auf die konkreten Fächer der Lehrkraft.
Der Personenkreis, der vollständige Zeugnisse (also sämtliche Angaben für alle Fächer und Zeugnisbemerkungen) auf Privatgeräten verarbeiten darf, ist unter Abschnitt II der Anlage 3 genannt, nämlich: Schulleitung bzw. Stellvertretung, Beauftragte sowie Klassen-/Stufenleitung.

  •  Dürfen Gutachten, Zeugnisse etc. mit Pseudonymen auch ohne Genehmigung auf Privatgeräten erstellt werden?

Sofern die Identität der Betroffenen soweit geschützt ist, dass ein Rückschluss auf die betreffende Person nicht möglich ist, ist dieses Vorgehen zulässig. Zu beachten ist, dass in den entsprechenden Dokumenten nicht nur keine Klarnamen verwendet werden, sondern auch andere Daten mit Personenbezug zu pseudonymisieren sind. Denn ein Personenbezug kann sich auch durch Kombination verschiedener Informationen oder Zusatzwissen ergeben. Insgesamt ist daher darauf zu achten, dass abgesehen von eindeutig personenbezogenen Daten  (z. B. Name, Geburtsdatum, Adresse) auch durch sonstige Angaben (wie z. B. ungewöhnlicher Bildungsweg, ausführliche Anamnese) kein Bezug zu einzelnen Personen herstellbar ist.
Die „Funktionstabelle“, also die Zuordnung eines Dokuments zu einer Person, darf jedoch nicht auf dem Privatgerät gespeichert werden. Denn sie müsste zwangsläufig personenbezogene Daten enthalten und deren Verarbeitung ist ohne die Genehmigung ja gerade nicht zulässig.
Ohne die Genehmigung zur Nutzung des Privatgeräts für personenbezogene Schülerdaten ist die Zuordnungstabelle getrennt in analoger Form zu führen und vor unbefugtem Zugang geschützt aufzubewahren.

  • Welche Inhalte dürfen mit Eltern über E-Mail ausgetauscht werden?

Datenschutzrechtlich relevant sind nur Inhalte, die personenbezogene Daten der Schülerinnen und Schüler enthalten. Derartige dienstliche Kommunikation über E-Mail kommt daher aus datenschutzrechtlicher Sicht nur über dienstliche E-Mail-Adressen in Betracht, die von der Schulleitung bzw. dem Schulträger bereitgestellt wurden.

Voraussetzung dafür ist allerdings, dass die Eltern bzw. die einwilligungsfähigen Schülerinnen und Schüler mit der E-Mail-Kommunikation einverstanden sind; denn die Angabe ihrer privaten E-Mail-Adresse ist nach der VO DV I freiwillig und jederzeit widerrufbar. In der Schulpraxis kann das Einverständnis auch konkludent erfolgen, indem Eltern sich z.B. mit Anfragen selber per E-Mail an die Schule wenden.

Unter der gleichen Voraussetzung können z.B. über LOGINEO NRW oder andere dienstlich zur Verfügung gestellte Systeme auch von Privatgeräten E-Mails mit personenbezogenen Daten versendet werden, wenn in dem System eine dienstliche E-Mail-Adresse zur Verfügung gestellt wird. Die Verarbeitung der Daten auf Privatgeräten unterliegt allerdings den dafür üblichen Bedingungen (Genehmigung) und ist auch bei der E-Mail-Kommunikation auf die in Anlage 3 zur VO DV I aufgelisteten Daten beschränkt.    
Soweit Lehrkräfte ihre privaten E-Mail-Konten mit Schülerinnen und Schülern oder Eltern kommunizieren, ist dies ihre persönliche Entscheidung, die einvernehmlich mit Eltern bzw. Schülerinnen und Schülern zu erfolgen hat. Diese Kommunikation fällt nicht in die datenschutzrechtliche Verantwortung der Schulleitung.

  • Wie gehe ich mit sensiblen Dokumenten um, die mir Eltern oder Schüler per E-Mail zukommen lassen?

Sollten Schülerinnen oder Schüler sowie Eltern sensible Dokumente per E-Mail versenden, so liegt dies in deren eigener Verantwortung. Lernende sollten im Rahmen der Medienkompetenzbildung über die Folgen informiert werden.    
Sollte eine Lehrkraft sensible Dokumente per E–Mail erhalten, so sind diese Dokumente umgehend in eine datenschutzrechtlich konforme Umgebung zu überführen.

  • Wie lange darf ich Fotos auf meinem Handy speichern?

Fotos sind - wie alle anderen auf Basis einer Einwilligung durch die betroffenen Schülerinnen und Schüler bzw. deren Eltern erhobenen Daten mit Personenbezug - nach Wegfall des in der Einwilligungserklärung angegebenen Verarbeitungszweckes oder ggf. nach Maßgabe gesonderter Festlegungen in der Einwilligungserklärung zu löschen. (Weitere Informationen unter dem Reiter "Sonstige Fragen zum Datenschutzrecht an Schulen").

  • Dürfen Lehrkräfte ihr Handy für die telefonische Kommunikation mit Eltern nutzen? 

Telefongespräche mit einzelnen Eltern von einem mobilen Telefon aus zu führen ist unproblematisch. Telefonnummern oder Namenslisten von Schülerinnen und Schülern und Eltern mit Kontaktdaten auf einem mobilen Handy zu speichern, bedarf dagegen der Einwilligung der Betroffenen, oder, sofern die Speicherung erforderlich ist, der Genehmigung der Schulleitung zur Nutzung dieses Gerätes für personenbezogene Schüler-/Elterndaten. (Weitere Informationen unter dem Reiter "Sonstige Fragen zum Datenschutzrecht an Schulen").

  • Darf pädagogisches und sonstiges Personal (z.B. Ganztagspersonal, Integrationshelfer) Daten auf privaten Endgeräten verarbeiten?

Nach § 2 Abs. 2 Satz 1 VO DV I ist nur zugelassen, dass Lehrkräften eine Genehmigung erteilt werden kann, personenbezogene Schülerdaten auf ihren privaten ADV-Anlagen zu verarbeiten. Nach der Definition im Schulgesetz fällt das pädagogische und sozialpädagogische Personal nach § 58 SchulG nicht unter den Begriff der Lehrkräfte. Eine solche Genehmigung kann diesem Personenkreis nach geltender Rechtslage somit nicht erteilt werden.
Auch für sonstiges Hilfspersonal (z. B. Integrationshelfer, externes Personal für die Ganztagbetreuung) fehlt eine gesetzliche Grundlage zur Verarbeitung der Schülerdaten auf Privatgeräten. Dazu wäre eine Einwilligung im Einzelfall im Rahmen des jeweiligen Vertragsverhältnisses erforderlich.

Umsetzung der in der Genehmigung festgelegten Maßnahmen

Woher erhalten Lehrkräfte und Schulleitungen Anleitungen und Unterstützung zur Umsetzung der geforderten Maßnahmen? Bei allgemeinem Beratungsbedarf kann die Schule auf die Unterstützungsangebote der behördlichen Datenschutzbeauftragten für die Schulen, der Medienberaterinnen und Medienberater oder der Medienberatung NRW zurückgreifen. Welche Fachkenntnisse werden von Lehrkräften zur Umsetzung der Maßnahmen gefordert? Die geforderten Maßnahmen übersteigen nicht die Anforderungen an die erforderlichen Kenntnisse, die auch bei einer rein privaten Nutzung von Informationstechnologie zu beachten sind. Wird in der Schule oder bei einzelnen Lehrkräften diesbezüglich ein Qualifizierungsbedarf festgestellt, sollte dieser durch entsprechende Informationsveranstaltungen und Fortbildungsmaßnahmen gedeckt werden. Wie wird sichergestellt, dass die Maßnahmen von den Lehrkräften umgesetzt werden? Die Umsetzung liegt in der Eigenverantwortung der Lehrkraft. Es ist praktisch nicht möglich, dass eine Schulleitung die Einhaltung dienstlicher Pflichten jeder einzelnen Lehrkraft ständig kontrolliert, sei es an dienstlich zur Verfügung gestellten oder sei es an privaten Endgeräten. Ebenso ist es auch nicht gewährleistet, dass die vom Schulträger zur Verfügung gestellte Hard- und Software von der Schulleitung ständig auf die Einhaltung der Informationssicherheits- und Datenschutzvorgaben überprüft wird. Vorhandener Qualifizierungsbedarf sollte in der Schule festgestellt und durch entsprechende Informationsveranstaltungen und Fortbildungsmaßnahmen gedeckt werden. Zusätzlich kann die Schule und können einzelne Lehrkräfte bei allgemeinem Beratungsbedarf auf die Unterstützungsangebote der behördlichen Datenschutzbeauftragten für die Schulen, der Medienberaterinnen und Medienberater und der Medienberatung NRW zurückgreifen. Wer darf die privaten Geräte auf Umsetzung der geforderten Maßnahmen prüfen? Die geregelten Bedingungen in der Genehmigung beinhalten selbstverständlich nicht die Berechtigung, private Endgeräte von Lehrkräften persönlich zu überprüfen. Wie wird im Schadensfall nachgewiesen, dass die geforderten Maßnahmen umgesetzt wurden? Die Art und Weise des Nachweises hängt vom Einzelfall ab und kann daher nicht pauschal beantwortet werden. Grundsätzlich kann nur die Lehrkraft selber den Nachweis erbringen, ob und welche Maßnahmen sie umgesetzt hat.

Fragen zu konkreten IT-Anwendungen

Welche Anwendungen sind erlaubt? Zulässig sind Anwendungen, bei denen sichergestellt werden kann, dass Daten mit Personenbezug aus der Schule nach den Vorgaben der DSGVO verarbeitet werden können. Es muss u.a. sichergestellt sein, dass die Daten nur von berechtigten Personen und bei cloudbasierten Systemen auf Basis gültiger Vereinbarungen zur Auftragsverarbeitung verarbeitet und nicht an unberechtigte Dritte weitergegeben werden. Dürfen Webanwendungen wie SchiLD Web oder LOGINEO NRW auch ohne Genehmigung auf privaten Endgeräten genutzt werden? Eine Genehmigung ist für die Nutzung eines privaten Endgerätes einzuholen, sobald Daten mit Personenbezug auf diesem verarbeitet werden sollen (vgl. § 2 Abs. 2 Satz 1 VO DV I bzw. § 2 Abs. 4 VO DV II). Dieses gilt auch, wenn z. B. Webanwendungen mit personenbezogenen Daten nur aufgerufen werden; auch das reine Betrachten bzw. Lesen von Daten auf dem Bildschirm fällt bereits unter den Begriff der Datenverarbeitung. Darf ich auf privaten Endgeräten Programme wie 'Whatsapp', IMessage' oder 'Telegram' benutzen, wenn ich auf dem gleichen Gerät meine dienstlichen Daten verarbeite? Grundsätzlich gibt es keine rechtliche Regelung, die Schulen sowie Lehrkräften die Verwendung von modernen Kommunikationsmedien wie WhatsApp ausdrücklich verbietet. Die Zulässigkeit der Datenverarbeitung und -speicherung ist vielmehr umfassend durch Gesetz, Verordnungen und Erlasse geregelt. Die Schulleitung steht in der Verantwortung für die Beachtung der Datenschutzbestimmungen. Nach diesen Vorgaben muss bei der dienstlichen Kommunikation an öffentlichen Schulen gewährleistet sein, dass der gewählte Kommunikationskanal die datenschutzrechtlichen Voraussetzungen erfüllt. Sofern personenbezogene Schülerdaten übermittelt werden, erfüllt WhatsApp diese datenschutzrechtlichen Voraussetzungen nicht. Wenn Lehrkräfte mit Eltern sowie Schülerinnen und Schülern über WhatsApp kommunizieren und personenbezogene Daten übermittelt werden, liegt dies daher im persönlichen Ermessen aller Beteiligten und ist keine von der Schulleitung zu verantwortende dienstliche Kommunikation. Sinnvollerweise ist eine schriftliche Einverständniserklärung der betroffenen Personen bzw. der Erziehungsberechtigten für diese Form der Kommunikation einzuholen. Den Schulen stehen bei Fragen die Medienberaterinnen und -berater vor Ort sowie die schulischen Datenschutzbeauftragten in den Schulamtsbezirken zur Seite.

Ausstattung durch den Dienstherrn

Werden Lehrkräften digitale Endgeräte zur dienstlichen Nutzung bereitgestellt? Werden Schulen mit ausreichenden Endgeräten ausgestattet, die den Anforderungen genügen? Das MSB wird zeitnah die Fragen der Bereitstellung und des Supports von digitalen Endgeräten für Lehrkräfte sowie der Ausstattung von Schulen mit Endgeräten zur spezifischen Speicherung und Verarbeitung von sensiblen Schülerdaten klären. Hierzu sind noch Abstimmungen – auch zur Frage der Finanzierung – innerhalb der Landesregierung und mit den kommunalen Schulträgern nötig. Der rechtliche und politische Klärungsprozess wird intensiv vorangetrieben, dauert aber naturgemäß noch an. Ziel des MSB ist es, in den Schulen gemeinsam mit den Schulträgern moderne Arbeitsbedingungen für Schulleitungen und Lehrkräfte zu schaffen, wozu auch eine entsprechende IT-Ausstattung gehört (vgl. auch Schulmail vom 09.07.2018). Wenn Lehrkräfte private Endgeräte benutzen, wer trägt dann die Kosten der geforderten Sicherheitsvorkehrungen für das eigene Gerät? Die Genehmigung bezieht sich auf die Nutzung privater Endgeräte. Die Finanzierung der Geräte selbst, wie auch die Umsetzung der für die Erteilung der Genehmigung erforderlichen Maßnahmen z. B. durch den Erwerb von Virenschutz-Software, trägt die einzelne Lehrkraft. Die entstandenen Kosten können ggf. steuerlich geltend gemacht werden.

Schulhomepage

Was ist beim Betrieb einer Schulhomepage zu beachten?

Beim Betrieb einer Homepage sind u. a. die Vorgaben gem. § 5 Telemediengesetz (TMG, Impressumspflicht) sowie die Informationsrechte der Betroffenen zu beachten, die in der Datenschutzerklärung erfüllt werden. Bei Daten mit Personenbezug ist zu beachten, dass eine Veröffentlichung nur auf Grundlage einer Einwilligung erfolgen kann. Etwas anderes gilt nur, wenn entsprechende Veröffentlichungspflichten bestehen (z. B. Name der Datenverantwortlichen, Art. 13 Abs. 1 a) DSGVO; Geschäftsverteilungspläne/Organigramme mit Namen der Beschäftigten gem. § 12 IFG). (Weitere Informationen unter dem Reiter "Sonstige Fragen zum Datenschutzrecht an Schulen")

Es ist zudem sicherzustellen, dass eine technische Pflege der Schulhomepage gewährleistet wird. Beispielsweise sollte das System, mit dem die Schulhomepage betrieben wird (meist ein Content-Management-System), regelmäßig mit Sicherheitsupdates versorgt werden.

Es ist zu begrüßen, wenn der Schulträger den Schulen Angebote für ihre Webauftritte zur Verfügung stellt.

Gibt es Vorlagen für Datenschutzbestimmungen einer Schulhomepage?

Ein Muster einer Datenschutzerklärung ist im Bildungsportal eingestellt unter Einzelne Regelungsbereiche 

Muss der Datenschutzbeauftragte mit Klarnamen benannt werden?

Zu den zu veröffentlichenden Kontaktdaten des Datenschutzbeauftragten gehören mindestens folgende Informationen: dienstliche Adresse, Telefonnummer und E-Mail-Adresse (vgl. o. g. Muster-Datenschutzerklärung im Bildungsportal). Artikel 37 Abs. 7 DSGVO gibt nicht vor, dass auch der Name der oder des Datenschutzbeauftragten zu den zu veröffentlichenden Daten gehört. Empfohlen wird, zumindest für die Beschäftigten auch den Namen der/des Datenschutzbeauftragten zugänglich zu machen.        

Nach Art. 37 Abs. 7 DSGVO ist die Schulleitung verpflichtet, die Kontaktdaten der bzw. des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde (LDI) mitzuteilen. Die LDI hat dazu auf ihrer Homepage ein Meldeportal eingerichtet.

Dürfen Fotos von Schülerinnen und Schülern, Eltern oder Lehrkräften auf der Schulhomepage oder in Jahrbüchern eingestellt werden?

Fotos von Schülerinnen, Schülern, Eltern und Lehrkräften dürfen nur auf Grundlage der Einwilligung der Betroffenen veröffentlicht werden. Diese ist mit Wirkung für die Zukunft widerrufbar. Die Bedingungen für eine Einwilligung nach der DSGVO entsprechen im Wesentlichen denen, die bisher bereits nach Datenschutzgesetz NRW für eine Einwilligung galten. (Weitere Informationen unter dem Reiter "Sonstige Fragen zum Datenschutzrecht an Schulen").

Für die Veröffentlichung von Fotos in Jahrbüchern und auf der Homepage ist es grundsätzlich nicht möglich, eine einmal erteilte Einwilligung dauerhaft gelten zu lassen. Dies ist allenfalls denkbar, wenn klar wäre, um welche Fotos es sich handelt, wie z.B. ein Klassenfoto, das jeweils zu Schuljahresbeginn zentral in der Schule gemacht wird und das die Eltern/Betroffenen vor Veröffentlichung gesehen haben.

Nicht ausreichend ist, dass Eltern bei der Einschulung eine „General“-Einwilligung für mehrere Schuljahre abgeben, ohne zu wissen, welches Foto ihres Kindes konkret veröffentlicht wird.

Sonstige Fragen zum Datenschutzrecht an Schulen

Welche Aufgaben haben die behördlichen Datenschutzbeauftragten gem. DSGVO?

Datenschutzbeauftragte unterstützen die Verantwortlichen oder die Auftragsverarbeiter in allen mit dem Schutz personenbezogener Daten zusammenhängenden Fragen. Die Aufgaben ergeben sich aus Art. 39 DSGVO (https://dsgvo-gesetz.de/art-39-dsgvo/).

Datenschutzbeauftragte für Schulen haben demnach insbesondere folgende Aufgaben:

  • Unterrichtung und Beratung der Schulleitung und der Lehrkräfte hinsichtlich ihrer Pflichten nach der Datenschutzgrundverordnung und der schulspezifischen Regelungen
  • Überwachung der Einhaltung aller Datenschutzvorschriften einschließlich Überprüfungen, Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter
  • Anlaufstelle für Anfragen von Lehrkräften, Schülerinnen, Schülern und Eltern in mit der Verarbeitung ihrer personenbezogenen Daten und der Ausübung ihrer Rechte zusammenhängenden Fragen.

Die LDI hat auf ihrer Homepage ausführliche Informationen zur Tätigkeit der Datenschutzbeauftragten im Rahmen einer FAQ eingestellt:     https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzbeauftragte/Inhalt/Datenschutzbeauftragte_nach_der_DS-GVO_und_der_JI-RL/Inhalt/FAQ_zum_Datenschutzbeauftragten/FAQ_ein_Dokument.pdf.

Erfordernis der Einwilligung zu bestimmten Datenverarbeitungen

In welchen Fällen ist eine Einwilligung zur Datenverarbeitung erforderlich und was muss diese enthalten?

Immer dann, wenn eine bestimmte Verarbeitung von Schüler- oder Lehrerdaten nicht durch eine konkrete Rechtsgrundlage gestattet ist, ist eine Einwilligung der Betroffenen erforderlich. Für den Schulbereich bestimmen §§ 120 bis 122 SchulG i.V. mit der VO DV I und VO DV II, welche Datenverarbeitungen zulässig sind.       

Bei minderjährigen Schülerinnen und Schülern ist in der Regel die Einwilligung der Eltern erforderlich, es sei denn, sie können aufgrund ihres Alters und Reife in der konkreten Angelegenheit selbst Bedeutung und Tragweite der Einwilligung sowie ihrer rechtlichen Folgen beurteilen und danach entscheiden (vgl. § 120 Abs. 2 Satz 3 SchulG).         

Die Bedingungen für die vorherige Einwilligung in eine Datenverarbeitung ergeben sich aus Art.7 EU-DSGVO und entsprechen im Wesentlichen denen, die bisher bereits nach Datenschutzgesetz NRW für eine Einwilligung galten:    

  • Die Einwilligung muss durch eine eindeutige Handlung der betroffenen Person erfolgen, mit der freiwillig und unmissverständlich erklärt wird, dass die betroffene Person mit der Verarbeitung ihrer personenbezogenen Daten für einen bestimmten Zweck oder mehrere konkrete Zwecke einverstanden ist. Dabei muss die einwilligende Person über die Bedeutung der Einwilligung informiert sein. Zudem dürfen ihr keinerlei Nachteile entstehen, wenn sie die Einwilligung verweigert.
  • Die Erklärung kann schriftlich, mündlich oder elektronisch erfolgen. Die Erteilung der Einwilligung unterliegt grundsätzlich keinem Schriftformerfordernis. Etwas anderes gilt, wenn eine speziellere Rechtsvorschrift ein Schriftformerfordernis vorsieht (zum Beispiel § 3 Abs. 2 VO DO I). Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit bedeuten noch keine Einwilligung.
  • Die betroffene Person muss vor Abgabe der Einwilligung auf die Möglichkeit des Widerrufs mit Wirkung für die Zukunft hingewiesen werden.
  • Dass eine wirksame Einwilligung für die Datenverarbeitung vorliegt, muss der Verantwortliche nachweisen können. Deshalb ist die Schriftform gemäß § 3 Abs. 2 VO DV I verpflichtend (ggf. ausnahmsweise elektronische Form), wenn Daten, die nicht in den Anlagen zur VO DV I aufgeführt sind, verarbeitet werden; auch in sonstigen Fällen ist stets die Schriftform zu empfehlen.

Existiert ein Genehmigungsvordruck zum Erstellen von Fotos in der Schule?

Da Anlässe und Verarbeitungszwecke in der Regel sehr individuell sind, ist es nicht zweckmäßig, einen allgemeingültigen Vordruck für Einwilligungen zu entwickeln.

Wie kann sichergestellt werden, dass Bild- und Tonaufnahmen aus unterrichtlichem Kontext oder dem Schulleben nicht unzulässig in die Öffentlichkeit geraten?

Bild- und Tonaufnahmen des Unterrichts bedürfen der Genehmigung des Ministeriums (§ 120 Abs. 6 SchulG). Hierzu sind die Betroffenen/Eltern vorab zu informieren; die Aufnahmen können nur erfolgen, wenn dem Vorhaben nicht widersprochen wurde.

Ansonsten sind Bild- und Tonaufnahmen von Schülerinnen und Schülern nur mit deren Einwilligung bzw. der Einwilligung der Eltern zulässig. Die Lehrkraft muss sicherstellen, dass Schülerinnen und Schülern, die einer Verarbeitung nicht zustimmen, nachteilsfrei das erwartete Unterrichtsziel erreichen.

Schülerinnen und Schüler, die ihre eigenen Geräte einsetzen, sind im Rahmen der Medienkompetenzbildung bzgl. der Rechte, Pflichten und Konsequenzen zu sensibilisieren, z. B. Fotos nicht ungefragt in sozialen Netzwerken zu posten.    

Wie ist das private Fotografieren von Schülerinnen und Schülern bei Schulveranstaltungen zu bewerten?

Bei Schulveranstaltungen, wie Einschulung, Abschlussfeiern, Schulfesten, u. ä, möchten Eltern häufig Fotos von ihren Kindern machen oder auch Schülerinnen und Schüler sich untereinander fotografieren.

Zwar sind die Schulleitungen und Lehrkräfte nach datenschutzrechtlichen Maßgaben nicht dafür verantwortlich, dass und welche privaten Fotos von Eltern oder Schülerinnen und Schülern erstellt werden und wie damit umgegangen wird.

Problematisch kann es jedoch werden, wenn solche Fotos in soziale Netzwerke eingestellt werden und auf ihnen auch fremde Kinder identifizierbar zu erkennen sind. Denn die Persönlichkeitsrechte jedes Einzelnen sind regelmäßig verletzt, wenn Bilder ohne Einwilligung der betroffenen Person veröffentlicht werden (vgl. § 22 Satz 1 Kunsturhebergesetz).    

Zweckmäßig wäre es daher, wenn die Schulleitungen anlässlich von Schulveranstaltungen die Eltern vorher für dieses Thema sensibilisieren.

Daneben steht es einer Schulleitung frei, darüber zu entscheiden, ob sie bei einzelnen Schulveranstaltungen auf Grundlage ihres Hausrechts gemäß § 59 SchulG das Fotografieren einschränken oder gar gänzlich versagen möchte, falls sie dies zum Schutz der Persönlichkeitsrechte insbesondere der Schülerinnen und Schüler für erforderlich hielte.

Darf ich Schülernoten in eine Papiertabelle eintragen, wenn ich am privaten Arbeitsplatz bin?

Wie in der Vergangenheit auch, sind bei der Verarbeitung analoger Daten im häuslichen Umfeld die Vorgaben zum Datenschutz und der Datensicherheit zu beachten. Insbesondere muss sichergestellt sein, dass Dokumente mit Schülerdaten nicht unberechtigten Personen zugänglich sind. Wenn dies gewährleistet ist, steht auch der traditionellen Führung von Notenlisten auf Papier nichts im Wege.

Welche Personen dürfen in der Schule Kenntnis von Schüler- und Elterndaten erhalten?

In § 120 Abs.1 SchulG ist festgelegt, dass in der Schule personenbezogene Daten nur denjenigen Personen zugänglich gemacht werden dürfen, die sie zur Erfüllung ihrer Aufgaben benötigen.

Damit hat sich der Gesetzgeber bewusst dafür entschieden, den Kreis der Berechtigten nicht abschließend aufzuzählen, sondern die Zugänglichkeit der personenbezogenen Daten allein von der Aufgabenerfüllung abhängig zu machen.

Zu dem grundsätzlich berechtigten Personenkreis zählen sicherlich die Lehrerinnen und Lehrer nach § 57 SchulG und das sonstige im Landesdienst stehende pädagogische und sozialpädagogische Personal nach § 58 SchulG. Darüber hinaus gibt es im System Schule aber noch weitere Personen, die personenbezogene Daten von Schülerinnen und Schüler zur Aufgabenerfüllung benötigen können. Ohne Anspruch auf Vollständigkeit seien genannt:

Personal im Schulsekretariat, Schulverwaltungsassistenz, Integrationshelferinnen und -helfer, Hausmeister, Eltern, die sich gemäß § 44 Abs. 3 SchulG in der Schule engagieren, Schülerinnen, Schüler und Eltern, die in Mitwirkungsgremien gem. §§ 62 ff SchulG tätig sind.

Ebenso ist es im Rahmen der Aufgabenerfüllung zulässig, den Mitarbeiterinnen und Mitarbeitern der Multiprofessionellen Teams (vgl. Rd. Erl. BASS 21-13 Nr. 9) eine Liste mit den Namen der Schülerinnen und Schüler, die sie zu betreuen haben, auszuhändigen. 

Daneben darf auch Personal, das im Ganztagsangebot eingesetzt wird (vgl. Nr. 7 des Rd. Erl. zum Ganztagsangebot – BASS 12-63 Nr. 2), Schüler- und Elterndaten erhalten. Denn Ganztagsangebote auch außerschulischer Träger gelten als schulische Veranstaltung. Entsprechend dürfen den Mitarbeiterinnen und Mitarbeitern des Ganztags diejenigen Daten zugänglich gemacht werden, die diese zur Erfüllung der Angebote des Ganztags benötigen.

Dabei gilt für sämtliche vorgenannten gem. § 120 Abs. 1 SchulG berechtigten Personen, dass ihnen nur diejenigen Daten und nur in dem Umfang zur Verfügung gestellt werden dürfen, soweit dies zu deren konkreten Aufgabenerfüllung tatsächlich erforderlich ist (Grundsätze der Erforderlichkeit und Datensparsamkeit).

Darf die Schule Elterndaten an die Klassen-/Schulpflegschaft übermitteln?

Die Erhebung und sonstige Verarbeitung (z.B. Übermittlung) personenbezogener Daten wie Name, Anschrift und Telefonnummer von Eltern durch die Schule ist insoweit zulässig, als es zur Erfüllung der der Schule durch Rechtsvorschrift übertragenen Aufgaben erforderlich ist (§ 120 Abs. 1 S. 1 SchulG).

Zu den Aufgaben der Schule gehört es auch, zu gewährleisten, dass Eltern durch ihre Vertretungen auf unterschiedlichen Ebenen an der Gestaltung des Schulwesens zum Beispiel in der Klassen- und Schulpflegschaft mitwirken können (§§ 62, 72 Abs. 2 und 4, 73 SchulG).

Für eine datenschutzrechtliche Prüfung der Arbeit der Gremien ist relevant, welche Aufgaben ein Gremium konkret hat und inwieweit dazu die Verarbeitung von Schüler-/Elterndaten tatsächlich notwendig ist.

  1. Danach dürfen den Klassenpflegschaften und den Schulpflegschaften die Kontaktdaten aller Eltern einer Klasse, Stufe oder Schule prinzipiell nicht durch die Schule zur Verfügung gestellt werden.
    Die Kenntnis dieser Daten wäre zur Erfüllung ihrer Funktion zwar dienlich und nützlich, sie sind zur Erfüllung der Aufgaben aber nicht erforderlich. Die Einladungen zu den Sitzungen oder zu ähnlichen Veranstaltungen können durch die Schule weitergeleitet werden, indem die Klassenleitung die Einladungsschreiben über die Kinder an die Eltern ausgibt. Insoweit ist die Schule verpflichtet, die Mitwirkungsgremien wirksam zu unterstützen.
    Im Übrigen ist es z.B. Klassenpflegschaftsvorsitzenden unbenommen, die Eltern bei der konstitutiven Sitzung oder bei einem anderen Elternabend um ihre Einwilligung zur Aufnahme ihrer Kontaktdaten in eine Klassenliste zum Zwecke der Kontaktpflege untereinander zu bitten. Abwesende Eltern können wiederum über die Klassenleitung, wie oben beschrieben, um ihre Einwilligung gebeten werden.
  2. Anders zu beurteilen ist dagegen die Weitergabe der Namen, Anschriften und Telefonnummern nur der Klassenpflegschaftsvorsitzenden, Jahrgangsstufenvertretungen und deren Stellvertretungen an die Schulpflegschaftsvorsitzenden und deren Stellvertretungen. Diese Mitglieder der Schulpflegschaft sind ehrenamtliche Funktionsträger der Schule, die sich zur Übernahme ihrer besonderen Aufgaben in ihr Amt haben wählen lassen. Zur Erfüllung dieser Aufgaben kann es erforderlich werden, dass die oder der Vorsitzende kurzfristig Kontakt zu Mitgliedern der Schulpflegschaft aufnehmen muss, um z. B. Termine abzustimmen oder Besprechungsinhalte zu koordinieren. Aus datenschutzrechtlicher Sicht ist es daher hinnehmbar, wenn die Schule die relevanten Daten der Klassenpflegschaftsvorsitzenden, Jahrgangsstufenvertretungen und ggf. Vertretungen ohne Einwilligung der Betroffenen an die Schulpflegschaftsvorsitzenden/Stellvertretungen weiterleitet.
    Die Daten dürfen nur für die Zwecke des Schulpflegschaftsamtes verwendet werden und sind vertraulich zu behandeln.
Wie sieht die datenschutzrechtliche Bewertung von Microsoft Office 365 für den schulischen Einsatz in NRW aus?

Von der LDI NRW ist mitgeteilt worden, dass ein bundesländerübergreifendes Verfahren zur datenschutzrechtlichen Beurteilung von Microsoft Office 365 stattfindet. Eine abschließende bundesländerübergreifende Bewertung der Datenschutzbeauftragten in Abstimmung mit Microsoft liegt noch nicht vor.

Vor diesem Hintergrund musste daher von der LDI die Verarbeitung von personenbezogenen oder personenbeziehbaren Daten innerhalb von Microsoft Office 365 aktuell als datenschutzrechtlich bedenklich eingestuft werden.

Es wird stattdessen vielmehr empfohlen, bei der Beschaffung und Nutzung von cloudbasierten Anwendungen auf das landesseitig zur Verfügung gestellte Angebot LOGINEO NRW für Datenspeicherung und E-Mail-Verkehr, auf LOGINEO NRW LMS als Lernmanagementsystem sowie auf LOGINEO NRW Messenger mit integrierter Videokonferenzoption zurückzugreifen. Zudem ist künftig für LOGINEO NRW die Anbindung einer Office-Komponente vorgesehen.

Welche Verfahren bedürfen einer Datenschutzfolgeabschätzung (DSFA)?

Nach den Regelbeispielen im Verordnungstext ist dies insbesondere bei der Verwendung neuer Technologien und nur für Verarbeitungen vorgesehen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (z. B. systematisches Profiling; kommunale Meldedaten; umfangreiche behördliche Erhebungen im Zuge der Bewilligung von Sozialleistungen).

Daher besteht für die Verarbeitung von personenbezogenen Lehrer- und Schülerdaten für schulische Zwecke, über die auf Ebene einer Einzelschule üblicherweise entschieden wird, nach hiesiger Einschätzung in der Regel keine Verpflichtung der Schulleitung, eine DSFA durchzuführen.

Welche Kriterien gelten für eine Videoüberwachung an Schulen?

Videoüberwachungen von öffentlich zugänglichen Räumen, zu denen auch Schulgebäude und Schulhöfe zählen, sind nur innerhalb der engen datenschutzrechtlichen Grenzen des § 20 Datenschutzgesetz Nordrhein-Westfalen (DSG NRW) zulässig:

In Wahrnehmung des Hausrechts könnte eine Videoüberwachung in Betracht kommen, wenn sie erforderlich ist, um Personen, die sich im öffentlich zugänglichen Bereich des Schulgebäudes oder auf dem Schulgelände aufhalten, vor Gefahren für Leib und Leben zu schützen oder um erhebliche Eigentumsbeeinträchtigungen, insbesondere nach Ende des regulären Unterrichtbetriebs, zu verhindern.

Ob eine Videoüberwachung im Einzelfall erforderlich ist, muss jeder Schulträger in eigener Zuständigkeit im Dialog mit der Schule vor Ort entscheiden. Dabei ist stets die gesetzliche Regelung des § 20 DSG NRW zu beachten, wonach eine umfassende Interessenabwägung im Sinne einer Verhältnismäßigkeitsprüfung erfolgen muss. Zudem ist gemäß § 20 Abs. 2 DSG NRW auf die Videobeobachtung deutlich hinzuweisen und es sind die in dieser Vorschrift genannten Informationspflichten zu erfüllen.        

Dürfen personenbezogene Daten von Lehrkräften in elektronischen Schließanlagen der Schulen gespeichert werden?

In Schulen werden teilweise zur Gebäudesicherung elektronische Schließanlagen mit Zugangskontrollsystemen betrieben. Es besteht keine rechtliche Grundlage, personenbezogene Daten von Lehrkräften zu verarbeiten, z.B. mittels Erfassen von Nutzungszeiten oder Aufschließzeiten der Räume mit Personenzuordnung.    

Zulässig ist, Schließanlagen mit Funktionalitäten zu betreiben, die eine reine Zugangskontrolle sicherstellen; dem Zweck, die Sicherheit für Personen, Anlagen und Gegenstände in Schulgebäuden zu erhöhen, ist damit gedient.