Leitfaden für Schulen

Als Verordnung gilt die DSGVO unmittelbar, es bedarf keines nationalen Umsetzungsgesetzes. Die DSGVO gilt daher für Schulen direkt wie ein nationales Gesetz. Als Grundverordnung ermöglicht es die DSGVO dem nationalen Gesetzgeber aber über Öffnungsklauseln, in bestimmten Bereichen auch eigene Regelungen zu treffen. Ergänzend sind die Landesdatenschutzgesetze heranzuziehen. Einfach wäre es ja langweilig 😀

Schulen sind Verantwortliche Stelle

Schulen sind Verantwortliche i.S.v. Art. 4 Ziff. 7 DSGVO und datenschutzrechtlich rechenschaftspflichtig. Das heißt: Die einzelne Schule muss nachweisen, dass sie die datenschutzrechtlichen Grundsätze gemäß Art. 5 Abs. 1 DSGVO einhält. Die Verarbeitung personenbezogener Daten muss rechtmäßig sein, sie muss transparent sein und die Zwecke der Verarbeitung müssen eindeutig festgelegt sein. Die Verarbeitung muss auf das erforderliche Maß
beschränkt sein und es darf nicht ohne Grund endlos gespeichert werden. Nicht zuletzt müssen
Sicherheit und Richtigkeit der Daten gewährleistet werden.

Was gilt daher für Schulen:

Datenschutzbeauftragte/r
Es besteht die Pflicht zur Bestellung eines behördlichen Datenschutzbeauftragten. Jede Schule kann einen Datenschutzbeauftragten bestellen, mehrere Schulen können aber auch gemeinsam einen Datenschutzbeauftragten bestellen. Dessen Aufgaben sind in Art. 39 DSGVO beschrieben.

Verarbeitungsverzeichnis und Tätigkeiten
Die Verarbeitung von Daten- und Prozessen mit personenbezogenen Daten muss dokumentiert werden. Hierzu dient das Verarbeitungsverzeichnis nach Art. 30 DSGVO. Schulen müssen darin alle Vorgänge und Prozesse eintragen, bei denen in der Schule personenbezogene Daten verarbeitet werden. Dabei ist der Zweck der Datenverarbeitung, wie die Kategorien der verarbeiteten personenbezogenen Daten festzuhalten. Das Verzeichnis muss fortlaufend aktualisiert werden. Die Verantwortung für das Führen des Verzeichnisses liegt bei der Schulleitung, welche einzelne Aufgaben delegieren kann und muss. Wesentlich ist keine stupiden Formulare zu erstellen, sondern die Liveprozesse zu beschreiben und zu bewerten.

Auftragsverarbeitung
Auch an Schulen setzen wir Software und Tools, wie auch unterstützende Dienstleister ein. Jeder Dienstleister der Daten erhält, oder dem durch seine Tätigkeit ein Zugang zu Daten möglich ist (technische Wartung), ist mit einem Auftragsdatenverarbeitungsvertrag zu verpflichten. Ganz wesentlich aus haftungstechnischen Gründen. Ein absolutes Muss.

Datenschutz-Folgenabschätzung
Hat eine Form der Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, ist vorab eine Datenschutzfolgeabschätzung für den Schutz der personenbezogenen Daten durchzuführen. Dies ist insbesondere bei Verwendung neuer Technologien wie sog. Smart-Technologien, digitale Schließsysteme, Zeit – Stundenerfassung und neuen Sicherheits- und Überwachungstechniken der Fall. Schulen müssen eine DatenschutzFolgenabschätzung durchführen, wenn sie zum Beispiel eine Videoüberwachung einführen möchten. Bei Installation ist ein datenschutzrechtlicher Videoleitfaden erstellt werden. Erkennt die Schule aufgrund der Folgenabschätzung, dass die geplante Datenverarbeitung ohne entsprechende „Gegenmaßnahmen“ ein hohes Risiko zur Folge hätte, muss sie vor Beginn der Installation mildere Mittel prüfen und bewerten.

Melde- und Benachrichtigungspflicht
In der DSGVO ist auch verankert, dass auch für Schulen eine Melde- und Benachrichtigungspflicht bei Datenschutzverletzungen an die Datenschutzaufsichtsbehörde besteht. Es bleibt zu bewerten wann eine Datenschutzverletzung vorliegt – anstatt BCC in CC gesetzte Emailverteiler können dazu schon ausreichend sein. Je nach Bundesland ist die Möglichkeit der Meldung verschieden geregelt. Online auf den Seiten der Behörden oder offline durch Formulare.

Technische und organisatorische Maßnahmen
Jede Schule muss geeignete technische und organisatorische Datenschutzmaßnahmen treffen, um die geforderte Sicherheit aus der DSGVO zu gewährleisten. Dazu zählen beispielsweise Zugriffskontrolle, das regelmäßige Erstellen von Back-ups sowie Pseudonymisierung und Verschlüsselung von personenbezogenen Daten. In diesem Zusammenhang sei auch auf Art. 25 DSGVO hingewiesen, der die Grundsätze des Datenschutzes durch Technik und datenschutzfreundliche Voreinstellungen regelt. Schulen müssen ihre IT-Systeme so gestalten, dass die oben angesprochenen Grundsätze des Datenschutzes wie etwa Datenminimierung wirksam umgesetzt werden. Neu in der DSGVO sind Anforderungen wie „Stand der Technik“ – „Schutzbedarfsanalyse“ – „Wirksamkeitskontrolle“ usw.. Auch die TOMs unterliegen einer zeitlich geregelten Kontrolle und Aktualisierung.

Betroffenenrechte
Die Rechte der betroffenen Personen sind weit gefasst worden, Art. 12 ff. DSGVO. Die Informationspflichten gemäß Art. 13 DSGVO ist für Schulen sehr relevant. Bei Verwendung von Formularen z. B. zur Aufnahme von Schülern, Bildrechtevereinbarungen,…… müssen die erforderlichen Informationen direkt im Formular enthalten oder beigefügt sein. Entsprechende Informationen sollten zudem auf der Homepage der Schule veröffentlicht werden. Informieren Sie klar, verständlich und transparent, gerade wenn Sie sich an Kinder richten. Das Recht auf Auskunft gegenüber Betroffenen (Eltern, Schüler und Beschäftigte) gemäß Art. 15 DSGVO spielt für Schulen ebenfalls eine Rolle. Hier sind organisatorische Vorkehrungen zu treffen, um fristgerecht reagieren zu können.

Webseite
Auch wenn Schulen vom Schreckgespenst der wettbewerbsrechtlichen Abmahnung nicht betroffen sind, ist die Website der Schule datenschutzrechtlich konform zu gestalten. Veröffentlichen Sie eine Datenschutzerklärung, die der DSGVO entspricht. Im Falle von Urheberrechtsverletzung sind auch Abmahnungen möglich. Die Webseite ist die Visitenkarte einer Schule.

Fotos von Schülerinnen und Schülern veröffentlichen
Die Veröffentlichung von Fotos von Schülerinnen und Schülern ist – zulässig, wenn eine informierte, freiwillige Einwilligung von den Schülerinnen und Schülern bzw. von deren Eltern vorliegt. Die Betroffenen müssen vorher über die Risiken (z.B. weltweite Abrufbarkeit und Nutzung in anderen Zusammenhängen), die mit der Veröffentlichung personenbezogener Daten von Print bis zum Internet verbunden sind, ausreichend informiert werden. Und: Blanko-Einwilligungen für alle Veröffentlichungen der Schule reichen definitiv nicht aus.

Was ist mit der Nutzung von WhatsApp/Facebook?
Die Antwort ist erwartbar. Es ist Lehrkräften davon abzuraten, zur Kommunikation mit Schülerinnen und Schülern die Dienste von WhatsApp und Facebook zu nutzen. Keinesfalls dürfen schulbezogene, personenbezogene Daten über diese Dienste ausgetauscht werden. Es empfiehlt sich für Schulen, Social Media Richtlinien zu erstellen, die von allen Beschäftigten anzuwenden sind. Ein Austausch ist durch gesicherte Möglichkeiten der digitalen Welt sehr gut umsetzbar.

Fazit: Der Datenschutz ist so umfangreich und anspruchsvoll geworden, dass eine konforme Umsetzung nur mit fachlicher Unterstützung möglich ist. Zwei Jahre nach Start der DSGVO ist es Zeit zu handeln.

 

Herzlichen Dank an Dieter Grohmann (Akwiso), der diesen Leitfaden für uns zusammengestellt hat!