Zum Inhalt springen
Du bist hier:

Das Problem

»Darf ich die Zeugnisse auf meinem Rechner speichern?«

»Gelangt der private Schulträger an meine Daten der Dienststelle?«
»Darf ich eine WhatsApp-Gruppe mit meinen Kolleg:innen anlegen?«

»Darf ich mit meinem Smartphone Fotos meiner Schüler:innen machen?«

Die Rechtslage im Überblick

Mit der neuen Datenschutzgrundverordnung (DSGVO1) der EU und dem neuen Bundesda-tenschutzgesetz (BDSG) sowie dem Bayerischen Datenschutzgesetz (BayDSG) ergeben sich viele Anforderungen, die auch auf Beschäftigte an Schulen eine große Auswirkung haben. Denn diese Gesetzestexte zielen auf den Schutz von Menschen, deren Daten verwendet werden, also u. a. auch von Schüler:innen und Lehrer:innen. Dabei geht es vor allem um die »informationelle Selbstbestimmung«: das Recht, selbst über die Erhebung, Speicherung, Verarbeitung und Weitergabe eigener Daten zu bestimmen. Besonders wichtig ist dabei der Schutz sogenannter »personenbezogener Daten«. Das BayEUG regelt in Art. 852, welche Daten an der Schule erfasst werden dürfen:

  • Schüler:innen: Name, Adressdaten, Staatsangehörigkeit, Religionszugehörigkeit, Migrationshintergrund, Leistungsdaten, Daten zur schulischen und beruflichen Vorbildung sowie zur Berufsausbildung
  • Lehrkräfte: Name, Staatsangehörigkeit, Adressdaten, Angaben zur Lehrbefähigung und zum Unterrichtseinsatz, Beurteilungen
  • Erziehungsberechtigte: Name und Adressdaten

Die DSGVO trat am 25. Mai 2018 in Kraft und listet in Artikel 5 folgende Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten auf:

  • Die personenbezogenen Daten müssen rechtmäßig und für die betroffene Person transparent verarbeitet werden.
  • Die Datenverarbeitung darf nur für vorab festgelegte Zwecke erfolgen.
  • Die Verarbeitung muss auf das notwendige Maß beschränkt sein (Datenminimierung).
  • Die personenbezogenen Daten müssen sachlich richtig und auf dem neuesten Stand sein.
  • Die Speicherung darf nur solange erfolgen, wie es für die Verarbeitungszwecke notwendig ist (Speicherbegrenzung).
  • Die Daten müssen angemessen geschützt werden.

Mit der neuen Verordnung hat sich auch die Beweislast umgekehrt. Wenn bis dato einer Schule nachgewiesen werden musste, dass diese unsauber mit personenbezogenen Daten umging, muss nach der Neuregelung die Schule aktiv und lückenlos aufzeigen können, wie Daten erhoben, gespeichert und verarbeitet werden. Ob eine Datenverarbeitung zur Aufgabenerfüllung der Schule erforderlich ist, muss in jedem Einzelfall mit Blick auf die konkret zugewiesene Aufgabe beurteilt werden.

Verantwortlichkeiten

Für den Datenschutz der Beschäftigten ist die Dienststellenleitung verantwortlich, für den Datenschutz an der Schule liegt die Verantwortung bei der Schulleitung. Sollte in der täglichen Arbeit eine Datenschutzpanne entstehen, so sollte zur eigenen Absicherung diese umgehend an die verantwortliche Stelle gemeldet werden! Als Lehrkraft ist man nicht persönlich strafbar (es sei denn, es wäre vorsätzlich passiert).

Daten von Beschäftigten

Die Dienststelle besitzt als Arbeitgeber naturgemäß viele persönliche Informationen der Beschäftigten. Diese sind in der Personalakte vermerkt (vgl. Kapitel Personalakte!). Die Dienststelle unterliegt selbst den Datenschutzverordnungen.

Dies betrifft auch den Austausch mit privaten Schulträgern: Nach Art. 5 Abs. 1 Buchst. c DSGVO müssen »personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein«. Aus Sicht der Verfasser stellt die Religionszugehörigkeit von staatlich Beschäftigten keine notwendige Information für die Weitergabe dar, wenn der Beschäftigte zu einer privaten Schule abgeordnet ist.

Die DSGVO sieht auch vor, dass Personen bestimmte Schutzrechte genießen. Dazu gehören das Auskunftsrecht (Art. 15) sowie das Recht auf Berichtigung (Art. 16) oder Löschung (Art. 17) der Daten. Eine Löschung muss eigenständig erfolgen, wenn die Daten für den Verarbeitungszweck nicht mehr erforderlich sind. Jede betroffene Person hat zudem das Recht, den behördlichen Datenschutzbeauftragten zurate zu ziehen (Art. 38 Abs. 4) oder sich bei der Aufsichtsbehörde zu beschweren (Art. 77). Übrigens ist auch vor dem Aushängen bzw. Veröffentlichen persönlicher Daten der Lehrkräfte (Fotos!) die Einverständniserklärung der Betroffenen einzuholen.

Eigene Geräte, Speicherung von Daten

Grundsätzlich sind personenbezoge Daten von Schüler:innen auf privaten Geräten sowohl digital als auch analog bis zum Ende des nächsten Schuljahres zulässig. Verwendete Rechner und Programme sowie Dateien müssen jedoch mit Passwort, Virenscanner und Firewall geschützt werden, auf dem aktuellen Stand gehalten werden (Sicherheits-Updates) und dürfen Dritten nicht zugänglich sein (z. B. auch Personen der eigenen Familie). Online-Speichersysteme dürfen nur genutzt werden, wenn sie die Anforderungen des Bayerischen Datenschutzes und der DSGVO erfüllen. Dies betrifft auch das Fotografieren mit dem Handy (Vorsicht vor automatischer Cloud-Speicherung!).

Bei Verkauf oder Entsorgung des Privatgerätes ist darauf zu achten, alle Daten durch mehrfaches Formatieren zu löschen.

Unterrichtsalltag, Klassenzimmer, Schulhaus

Schüler:innenakten verlassen nicht die Schule. Die Bearbeitung sollte zeitlich und räumlich festgelegt sein. Auch Klassenbücher enthalten in der Regel personenbezogene Daten. Sie sind sicher und abgeschlossen aufzubewahren, wenn Schüler:innen alleine in der Klasse sind oder Dritte das Klassenzimmer betreten können (Reinigungspersonal, Gebäudetechnik etc.). Schulnoten und andere personenbezogene Daten (z. B. Ordnungsmaßnahmen) dürfen nicht vor der gesamten Klasse bekannt gegeben werden, Listen mit persönlichen Daten nicht öffentlich im Klassenzimmer ausgehängt werden – besser abgeschlossen oder in einem verschlossenen Umschlag aufbewahren.

Foto- und Videoaufnahmen

Das Aufnehmen eines Fotos oder eines Videos stellt eine Datenerhebung dar. Eine gesetzliche Verpflichtung, sich in der Schule fotografieren zu lassen, besteht nicht. Deshalb ist für die Anfertigung und Veröffentlichung von Fotos eine schriftliche Einwilligungserklärung der Erziehungsberechtigten und ab dem 14. Lebensjahr zusätzlich auch die Zustimmung der Schüler:innen notwendig. Diese muss freiwillig erfolgen, d. h. bei Verweigerung darf keine Benachteiligung (z. B. Ausschluss von einer Veranstaltung) entstehen. Außerdem müssen die Betroffenen vollständig aufgeklärt werden über den konkreten Zweck der Fotos, über die Form und Dauer der Speicherung, über Zugriff und Weitergabe sowie über die Möglichkeit des Widerrufs der Einwilligung ohne Angabe von Gründen. Die Einwilligung ist auch bei Gruppenfotos notwendig. Es ist deshalb nicht ausreichend, wenn die Schule lediglich in Elternbriefen auf eine Fotoaktion hinweist, selbst wenn hierbei die Möglichkeit zum Widerspruch eingeräumt wird. Zuordnungen von Fotos und Namen der Schüler:innen (z. B. auf Türplakaten) sind im Schulhaus zu vermeiden. Auch im Klassenzimmer ist das Anfertigen und Aufhängen von Fotos nur mit Genehmigung der Eltern möglich. Dabei ist auch darauf zu achten, dass bei externer Nutzung (z. B. bei Wahlen) die Fotos abgehängt werden müssen.


Kommunikation, Soziale Netzwerke, Onlinedienste

Personenbezogene Daten dürfen grundsätzlich nur an Berechtigte weitergegeben werden. Bei E-Mail-Kontakt ist es zu vermeiden, dass sensible Daten unverschlüsselt übermittelt werden. Für die Verwendung von E-Mails sollten dienstliche Mailadressen verwendet werden. Ehepartner:innen, Kinder oder Freund:innen der Lehrkraft sind im Übrigen Dritte – Schüler:innendaten dürfen ihnen nicht zugänglich gemacht werden.

Die Nutzung Sozialer Netzwerke wirft unter zahlreichen Gesichtspunkten datenschutzrechtliche Fragen auf. Soziale Netzwerke und Messenger sind für den dienstlichen Austausch und für die Kommunikation mit Schüler:innen oder Eltern untersagt. Entsprechende Freundschaftsanfragen sollten zurückgewiesen werden.

Lernplattformen und Videokonferenzsysteme

Das Bayerische Staatsministerium für Unterricht und Kultus stellt mit »mebis« eine DSGVO-konforme Lernplattform zu Verfügung, die von allen Lehrkräften und Schüler:innen verwendet werden kann.

Für alle weiteren Lernplattformen muss eine Beschreibung der Verarbeitungstätigkeit vorliegen. Solange und soweit der Einsatz von Lernplattformen nicht aufgrund von Regelungen des Staatsministeriums für Unterricht und Kultus zu einem verpflichtenden Bestandteil des Unterrichts erklärt wird, ist die Angabe personenbezogener Daten für die Schülerinnen und Schüler und die Lehrkräfte in diesem Rahmen freiwillig und bedarf der Einholung einer schriftlichen Einwilligung. Dabei darf aber bei Verweigerung kein Nachteil für die Betroffenen entstehen. Wichtig: Auch bei Videokonferenzen werden persönliche Daten verarbeitet. Aus Sicht des Datenschutzes ist es unerheblich, ob der Zugang zu einer Plattform anonym oder mit einer Anmeldung erfolgt.

Werden im Rahmen der Nutzung einer Lernplattform oder eines Videokonferenzsystems Daten auf einem schulexternen Server gespeichert, ist eine Vereinbarung zur Auftragsverarbeitung zu schließen. Der Bayerische Landesbeauftragte für den Datenschutz stellt hierzu Informationen bereit3.

Internetpräsenz und Jahresberichte

In Jahresberichten dürfen von Schüler:innen und Lehrer:innen Name, Geburtsdatum, Jahrgangsstufe und Klasse der Schülerinnen und Schüler, Name, Fächerverbindung und Verwendung der einzelnen Lehrkräfte, Angaben über besondere schulische Tätigkeiten und Funktionen einzelner Lehrkräfte, Schülerinnen und Schüler und Erziehungsberechtigter veröffentlicht werden, Klassenfotos jedoch nur mit Einwilligung.

Bei der Schulhomepage bedarf es datenschutzrechtlich hierfür grundsätzlich einer freiwilligen, informierten und schriftlichen Einwilligung der betroffenen Schüler:innen, Eltern und Lehrer:innen (siehe im Einzelnen Art. 15 Abs. 2 bis 4 und 7 BayDSG). Auch hier ist die vom Kultusministerium online zur Verfügung gestellte Muster-Einverständniserklärung4 zu verwenden. Eine Ausnahme von diesem Einwilligungserfordernis besteht im Hinblick auf die Veröffentlichung dienstlicher Kommunikationsdaten der Schulleitung und von Lehrkräften, die an der Schule eine Funktion mit Außenwirkung wahrnehmen.

Private Nutzung der Schulrechner

Wird Lehrkräften die Nutzung der EDV-Einrichtung und des Internets zu privaten Zwecken gestattet, dürfen die Internetaktivitäten aufgrund der Vorgaben des Telekommunikationsge-setzes nur nach vorheriger Einwilligung der Lehrkraft protokolliert werden.

Tipps für die Praxis

  • Personenbezogene Daten nur auf passwortgeschützten USB-Sticks oder externen Fest­platten speichern
  • Digitale Dokumente mit Passwort verschlüsseln
  • Regelmäßig die Passwörter für die dienstliche E-Mail-Adresse und für die Schüler:innendaten ändern
  • Bei Lernplattformen und Apps nur mit Vornamen oder Synonym registrieren
  • In E-Mails keine personenbezogenen Daten beschreiben, persönliche Daten nach Mög­lichkeit schwärzen und unbedingt als verschlüsselten Anhang verschicken
  • Fotos benötigen immer die Einverständniserklärung; informieren Sie die Eltern anlassbe­zogen!
  • Grundsätzlich keine Fotos mit dem Privathandy machen
  • Bei Schulveranstaltungen deutlicher Hinweis an die Eltern zum Fotografieverbot und speziell zum Verbot der Veröffentlichung, nur die eigenen Kinder fotografieren
  • Im Schulhaus Zuordnung von Bild und Namen vermeiden
  • Analog erfasste Daten, z. B. Notenbücher, am besten in einer Schublade verschließen oder so verwahren, dass kein Unbefugter darauf zugreifen kann

Forderungen der GEW

  • Bereitstellung von Dienstgeräten und angemessener IT-Infrastruktur mit entsprechender IT-Sicherheit
  • Bereitstellung von passwortgesicherten USB-Sticks
  • Ausreichende Beratungsmöglichkeiten und Hilfestellung durch Experten
  • Genügend Fortbildungsangebote zu Datenschutz- und Digitalisierungsthemen

von Siegfried Grob und Stefan Prazeres da Costa

Quellen:

1 https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32016L0680

2 https://www.gesetze-bayern.de/Content/Document/BayEUG-85

3 www.datenschutz-bayern.de

4 www.schuldatenschutz.bayern.de

Literatur:

Art. 31 Abs. 1 Satz 2, 75, 85, 85a, 88a, 111, 113a, 113b und 113c des Bayerischen Gesetzes über das Erziehungs- und Unterrichtswesen (BayEUG)

Bayerisches Datenschutzgesetz (BayDSG)

Datenschutzverordnung (DSchV)

Bekanntmachung zum Vollzug des Bayerischen Datenschutzgesetzes (VollzBekBayDSG)

Bundesdatenschutzgesetz (BDSG)

Rechtliche Hinweise zur Nutzung der EDV-Einrichtung und des Internets an Schulen (Bekanntmachung des Staatsmi­nisteriums für Unterricht und Kultus vom 12. September 2012 Az.: II.7-5 O 4000-6b.122 162)

Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Per­sonen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates

https://www.datenschutz-bayern.de/datenschutzreform2018/https://www.datenschutz-bayern.de/0/Broschuere_Schule.pdfhttps://www.km.bayern.de/ministerium/recht/datenschutz.html

Bekanntmachung über erläuternde Hinweise zum Vollzug der datenschutzrechtlichen Bestimmungen für die Schulen (Bekanntmachung des Bayerischen Staatsministeriums für Unterricht und Kultus vom 11. Januar 2013 Az.: I.5-5 L 0572.2-1a.54 865)

https://www.km.bayern.de/lehrer/meldung/1832/umgang-mit-sozialen-medien-leitfaden-fuer-staatsbedienstete-vorgestellt.html