Zur Haupt­na­vi­ga­ti­on sprin­gen [Alt]+[0] Zum Sei­ten­in­halt sprin­gen [Alt]+[1]

FAQ Da­ten­schutz an Schu­len (Stand April 2021)

Wel­che Schutz­klas­se und Si­cher­heits­stu­fe soll­te ein Ak­ten­ver­nich­ter in der Schu­le auf­wei­sen?

Der Ak­ten­ver­nich­ter soll­te min­des­tens die Schutz­klas­se 2 und Si­cher­heits­stu­fe 4 nach DIN 66339 auf­wei­sen.

Fra­gen zur An­la­ge 1- Nut­zung von pri­va­ter IT Aus­stat­tung durch Lehr­kräf­te (An­la­ge 1 zur VwV Da­ten­schutz an öf­fent­li­chen Schu­len)

  1. Müs­sen alle im For­mu­lar auf­ge­ühr­ten Da­ten­schutz­maß­nah­men ge­trof­fen wer­den?

    In Aus­nah­me­fäl­len: Nein!

    Maß­ge­bend ist al­lei­ne die Summe aller Maß­nah­men, um ins­be­son­de­re einen un­be­fug­ten Zu­griff auf die Daten zu ver­hin­dern.
    Die Ver­nei­nung einer ge­trof­fe­nen tech­ni­schen und or­ga­ni­sa­to­ri­schen Maß­nah­me ist per se noch kein Ab­leh­nungs­grund für die Schul­lei­tung. Sie ist je­doch An­lass für eine be­son­de­re Prü­fung der Ver­hin­de­rung des Zu­griffs von un­be­fug­ten Per­so­nen auf die per­so­nen­be­zo­ge­nen Daten.
    Es kann näm­lich im Ein­zel­fall auch vor­kom­men, dass nicht jede Maß­nah­me ge­trof­fen wer­den muss: So muss eine al­lein le­ben­de Lehr­kraft selbst­ver­ständ­lich den Raum, in dem sich ihr Com­pu­ter be­fin­det, nicht ab­schlie­ßen, so­lan­ge der Com­pu­ter in einer ab­ge­schlos­se­nen Woh­nung steht. Zudem kann diese Maß­nah­me durch Ver­schlüs­se­lung und pass­wort­ge­schütz­ten Zu­gang zum Com­pu­ter er­setzt wer­den. Soll­te also nicht jede der im For­mu­lar dar­ge­stell­ten tech­ni­schen und or­ga­ni­sa­to­ri­schen Maß­nah­men ge­trof­fen wor­den sein, muss sich die Schul­lei­tung im Ein­zel­fall damit be­fas­sen.

    Das For­mu­lar dient als Grund­la­ge für eine Ge­neh­mi­gung durch die Schul­lei­tung. Es soll eine Basis bie­ten, um die Ent­schei­dung zu er­leich­tern und dafür sor­gen, dass alle Maß­nah­men be­dacht wer­den. Auf eine kon­kre­te Dar­stel­lung der ge­trof­fe­nen Maß­nah­men wurde ver­zich­tet, da diese vom Ein­zel­fall ab­hän­gen. Bei­spie­le zur Um­set­zung sind in der An­la­ge 1 zur VwV "Da­ten­schutz an öf­fent­li­chen Schu­len" auf­ge­führt.

  2. Muss ich mei­nen Com­pu­ter zur Kon­trol­le bei der Schul­lei­tung ab­ge­ben?

    Nein!

    Eine sol­che Kon­trol­le muss oh­ne­hin die Aus­nah­me sein und soll­te nur im be­grün­de­ten Ein­zel­fall (z.B. um einen Miss­brauch bzw. eine Dienst­pflicht­ver­let­zung auf­zu­klä­ren) durch­ge­ührt wer­den. Das Ver­hält­nis von Schul­lei­tung zu Lehr­kraft soll­te von Ver­trau­en ge­prägt sein.

    Die Kon­trol­le er­folgt grund­sätz­lich im 4-Augen Prin­zip in Ge­gen­wart der be­trof­fe­nen Lehr­kraft. Die Lehr­kraft bringt hier­zu das Gerät in die Schu­le. Das Kon­troll­recht er­gibt sich aus der Rolle der Schul­lei­tung als ver­ant­wort­li­che Stel­le nach Art. 24 Abs. 1 i.V. Art. 4 Abs. 7 EU-DSGVO.

    Tipp: Das Kul­tus­mi­nis­te­ri­um emp­fiehlt, sämt­li­che dienst­li­che Daten auf einem USB-Stick zu spei­chern (bitte immer ver­schlüs­selt). Durch die Nut­zung eines USB-Sticks muss im Fall einer sol­chen Kon­trol­le nur der USB-Stick an die Schu­le ge­bracht wer­den.

    Im Üb­ri­gen be­sitzt die Schul­lei­tung keine Be­fug­nis zum Be­tre­ten der Pri­vat­woh­nung einer Lehr­kraft um dort ggf. eine Kon­trol­le durch­zu­üh­ren.

  3. Müs­sen auch bei pa­pier­ge­bun­de­nen Daten (z.B. No­ten­bü­cher oder Schü­ler­ak­ten) Da­ten­schutz­maß­nah­men ge­trof­fen wer­den?

    Ja!

    Wer­den per­so­nen­be­zo­ge­ne Daten in Akten, No­ten­bü­cher, usw. ver­ar­bei­tet, dann müs­sen Maß­nah­men ge­trof­fen wer­den, um si­cher­zu­stel­len, dass Un­be­fug­te auf diese Daten bei der Be­ar­bei­tung, der Auf­be­wah­rung, dem Trans­port und der Ver­nich­tung nicht zu­grei­fen kön­nen (z.B. ver­schlos­se­ne Schub­la­de, ab­ge­schlos­se­nes Zim­mer, ver­schlos­se­ne Ta­sche).

  4. Was ge­schieht, wenn eine Lehr­kraft sich wei­gert, die Da­ten­schutz-Er­klä­rung zur An­la­ge 1 zur VwV Da­ten­schutz an öf­fent­li­chen Schu­len zu un­ter­schrei­ben?

    Dann muss die Schul­lei­tung ihr ver­bie­ten, schu­li­sche per­so­nen­be­zo­ge­ne Daten auf ihren Pri­vat­ge­rä­ten elek­tro­nisch zu ver­ar­bei­ten.
    Damit ist die Lehr­kraft auf eine Ver­wal­tung von Schü­ler­da­ten in Pa­pier­form (z.B. per No­ten­büch­lein) be­schränkt, und muss - wie jede Lehr­kraft - immer und auf jeden Fall daür sor­gen, dass auf ihr No­ten­büch­lein und an­de­ren Un­ter­la­gen mit schu­li­schen per­so­nen­be­zo­ge­nen Daten nicht von Un­be­rech­tig­ten zu­ge­grif­fen wer­den kann.

Wel­che Auf­be­wah­rungs­fris­ten (Lö­schungs­fris­ten) gel­ten für schu¬li­sche Un­ter­la­gen (siehe auch VwV Da­ten­schutz an öf­fent­li­chen Schu­len)?

Die Auf­be­wah­rungs­fris­ten gel­ten für alle an der Schu­le ge­spei­cher­ten Daten in elek­tro­ni­scher (PC, Lap­top, Ta­blet, Spei­cher­me­di­en) oder in ge­druck­ter Form, also un­ab­hän­gig davon, ob die Daten di­gi­tal oder ana­log ge­spei­chert wer­den.
Für die Lö­schung von per­so­nen­be­zo­ge­nen Daten von Schü­le­rin­nen und Schü­lern gel­ten fol­gen­de Fris­ten:

  • Schü­ler­kar­tei­kar­ten und Schü­ler­lis­ten in Pa­pier­form sowie Ab­schluss- und Ab­gangs­zeug­nis­se müs­sen spä­tes­tens nach 50 Jah­ren, nach­dem die Be­trof­fe­nen die Schu­le ver­las­sen haben, ge­löscht wer­den.
  • Klas­sen- und Kurs­ta­ge­bü­cher sind nach Ab­lauf der je­weils fol­gen­den fünf Schul­jah­re zu lö­schen.
  • Schrift­li­che Ein­wil­li­gungs­er­klä­run­gen zur Ver­öf­fent­li­chung von Fotos in einem Druck­werk sind fünf Jahre nach der Ver­öf­fent­li­chung zu lö­schen.
  • Schrift­li­che Ein­wil­li­gungs­er­klä­run­gen zur Ver­öf­fent­li­chung von Fotos auf der Home­page sind fünf Jahre nach der Her­aus­nah­me aus der Home­page zu lö­schen.
  • No­ten­lis­ten und Klas­sen­ar­bei­ten sind nach dem Ende des je­weils nächs­ten Schul­jah­res zu lö­schen, so­fern keine Rechts­mit­tel ein­ge­legt wor­den sind.
  • Prü­fungs­un­ter­la­gen wie Prü­fungs­nie­der­schrif­ten und Prü­fungs­ar­bei­ten müs­sen fünf Jahre nach Fest­stel­lung des Prü­fungs­er­geb­nis­ses ge­löscht wer­den.
  • Per­so­nen­be­zo­ge­ne Daten von Schü­le­rin­nen und Schü­lern auf pri­va­ten Da­ten­ver­ar­bei­tungs­ge­rä­ten der Lehr­kräf­te nach I. 11.1 sind spä­tes­tens nach dem Ende des je­weils nächs­ten Schul­jah­res auf dem pri­va­ten Da­ten­ver­ar­bei­tungs­ge­rät zu lö­schen, so­fern keine Rechts­be­hel­fe oder Rechts­mit­tel zum Bei­spiel gegen ein Ab­schluss­zeug­nis ein­ge­legt wor­den sind.

Wäh­rend der Auf­be­wah­rungs­zeit muss die Schu­le si­cher­stel­len, dass die per­so­nen­be­zo­ge­nen Daten vor un­be­fug­tem Zu­griff ge­schützt sind. Elek­tro­nisch ge­spei­cher­te Daten kön­nen hier­für auf ver­schlüs­sel­ten mo­bi­len Fest­plat­ten ge­spei­chert wer­den. Un­ter­la­gen mit per­so­nen­be­zo­ge­nen Daten wie Klas­sen- und Kurs­ta­ge­bü­cher oder Prü­fungs­nie­der­schrif­ten sind in ab­schließ­ba­ren Räum­lich­kei­ten bzw. Be­hält­nis­sen auf­zu­be­wah­ren.

Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Auf­trag (Auf­trags­da­ten­ver­ar­bei­tung)
Was ist das? 

Oft­mals er­folgt die Durch­füh­rung der Da­ten­ver­ar­bei­tung an Schu­len nicht durch die Schu­le selbst. Man spricht dann von einer Auf­trags­da­ten­ver­ar­bei­tung (kurz ADV). ADV im Sinne der Eu­ro­päi­schen Da­ten­schutz­grund­ver­ord­nung (EU-DSGVO) ist jede Ver­ar­bei­tung (Er­he­ben, Er­fas­sen, Or­ga­ni­sie­ren, Ord­nen, Spei­chern, An­pas­sen oder Ver­än­dern, Aus­le­sen, Ab­fra­gen, Ver­wen­den, Of­fen­le­gen durch über­mitt­lung, Ver­brei­tung oder eine an­de­re Form der Be­reit­stel­lung, Ab­gleich oder Ver­knüp­fen, Ein­schrän­ken, Lö­schen oder Ver­nich­ten) per­so­nen­be­zo­ge­ner Daten durch einen Dienst­leis­ter im Auf­trag der ver­ant­wort­li­chen Stel­le.

Die Dienst­leis­tung wird hier­bei durch einen Drit­ten, den Auf­trags­ver­ar­bei­ter, er­bracht. Dies kann z.B. die Nut­zung der Diens­te eines Re­chen­zen­trums sein (beim Schul­trä­ger, in einem an­de­ren Re­chen­zen­trum oder auch bei Cloud-Diens­te­an­bie­tern). Auch die Nut­zung vie­ler web­ba­sier­ter Tech­no­lo­gi­en (Zu­griff er­folgt über Web-Brow­ser) stellt eine ADV dar.

üb­ri­gens: auch die Durch­füh­rung von War­tungs­ar­bei­ten oder ver­gleich­ba­rer Hilfs­tä­tig­kei­ten, also z.B. Hard­ware­war­tung an Ser­vern oder Fest­plat­ten­sys­te­men, Be­treu­ung des Be­triebs­sys­tems usw. gilt als Da­ten­ver­ar­bei­tung im Auf­trag, so­fern dabei der Auf­trags­ver­ar­bei­ter auf per­so­nen­be­zo­ge­ne Daten zu­grei­fen könn­te.

Ei­ni­ge Bei­spie­le ür ADV:

  • Nut­zung von Soft­ware, wel­che web­ba­siert (über In­ter­net oder In­tra­net) zur Ver­fü­gung ge­stellt wird (z.B. Lern­stands­er­he­bung und För­der­pro­gram­me, wenn per­so­nen­be­zo­ge­ne Schü­ler- oder Leh­rer­da­ten ver­ar­bei­tet wer­den).
  • Ab­la­gen von per­so­nen­be­zo­ge­nen Daten auf ex­tern ge­hos­te­ten Ser­vern.
  • EDV-Dienst­leis­tun­gen des Schul­trä­gers oder von durch die­sen be­auf­trag­ten Fir­men.
  • War­tungs­dienst­leis­tun­gen, bei denen nicht aus­ge­schlos­sen wer­den kann, dass wäh­rend der War­tung per­so­nen­be­zo­ge­ne Daten zur Kennt­nis ge­lan­gen, bei­spiels­wei­se:
    • War­tung von IT-Sys­te­men
    • War­tung von TK-An­la­gen.
  • Ent­sor­gung von Akten oder Da­ten­trä­gern durch ex­ter­ne Un­ter­neh­men.
  • Kom­pe­tenz­ana­ly­se Pro­fil AC, ASD BW. Hier han­delt es sich vom Kul­tus­mi­nis­te­ri­um vor­ge­ge­be­ne Soft­ware, für die das Kul­tus­mi­nis­te­ri­um den Ver­trag nach Art. 28 EU-DSGVO ab­ge­schlos­sen hat.

Wel­che Fol­gen hat das?
Vor­weg: Die da­ten­schutz­recht­li­che Ver­ant­wor­tung bleibt bei der Schu­le. D.h. die Schu­le ist ver­ant­wort­lich ür den Da­ten­schutz, das Tref­fen von tech­ni­schen und or­ga­ni­sa­to­ri­schen Da­ten­schutz­maß­nah­men und auch die Aus­kunfts­er­tei­lung ge­gen­über Be­trof­fe­nen. Fer­ner daür, dass die Daten zum ge­ge­ben Zeit­punkt auch ge­löscht wer­den.

Zwi­schen Auf­trag­ge­ber - also der Schu­le - und dem Auf­trag­neh­mer - dem Dienst­leis­ter - ist zwin­gend eine schrift­li­che Be­auf­tra­gung ab­zu­schlie­ßen.
In die­sen Auf­trag sind nach Art. 28 Abs. 2 EU-DSGVO min­des­tens fol­gen­de Punk­te auf­zu­neh­men:

  • Ge­gen­stand und Um­fang der Da­ten­ver­ar­bei­tung
    Es ist dar­zu­stel­len, wel­che per­so­nen­be­zo­ge­nen Daten auf wel­che Weise zu wel­chem Zweck/mit wel­chem Ziel ver­ar­bei­tet wer­den. Wel­che Soft­ware wird dazu ein­ge­setzt?
  • Et­wai­ge Un­ter­auf­trags­ver­hält­nis­se und Be­din­gun­gen für die In­an­spruch­nah­me
    Dabei ist zu re­geln, ob Un­ter­auf­trags­ver­hält­nis­se ge­wünscht bzw. zu­ge­las­sen sind. Emp­feh­lung: Fest­le­gen, dass eine Er­tei­lung eines Un­ter­auf­trags nur nach vor­he­ri­ger Zu­stim­mung der Schu­le er­fol­gen darf
  • Be­fug­nis der Schu­le hin­sicht­lich der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten Wei­sun­gen zu er­tei­len
  • Die zu tref­fen­den tech­ni­schen und or­ga­ni­sa­to­ri­schen Maß­nah­men
    • Die Maß­nah­men sind kon­kret und de­tail­liert fest­zu­le­gen
    • Vom Auf­trag­neh­mer soll­te man sich ein Da­ten­schutz- und Si­cher­heits­kon­zept mit den von ihm ge­trof­fe­nen Maß­nah­men vor­le­gen las­sen.
  • Pflicht, den Ver­ant­wort­li­chen nach Mög­lich­keit mit ge­eig­ne­ten tech­ni­schen und or­ga­ni­sa­to­ri­schen Maß­nah­men dabei zu un­ter­stüt­zen, sei­ner Pflicht zur Be­ant­wor­tung von An­trä­gen auf Wahr­neh­mung Rech­te der be­trof­fe­nen Per­son nach­zu­kom­men
  • Pflicht, nach Ab­schluss der Er­brin­gung der Ver­ar­bei­tungs­leis­tun­gen alle per­so­nen­be­zo­ge­nen Daten nach Wahl des Ver­ant­wort­li­chen ent­we­der löscht oder zu­rück­gibt

Eine vom Kul­tus­mi­nis­te­ri­um er­stell­te Vor­la­ge ür einen sol­chen Ver­trag fin­den Sie hier.

Dar­über hin­aus än­dert eine ADV nichts an der Pflicht der Schu­le, ein Ver­fah­rens­ver­zeich­nis zu ühren und das per ADV ge­nutz­te Ver­fah­ren darin zu do­ku­men­tie­ren.

Dür­fen im päd­ago­gi­schen Netz so­wohl schul­ei­ge­ne als auch pri­va­te Ge­rä­te (BYOD) im glei­chen Netz be­trie­ben wer­den?

Ja!

Es dür­fen je­doch grund­sätz­lich keine per­so­nen­be­zo­ge­nen Daten - wie im Netz­brief dar­ge­stellt - ver­ar­bei­tet wer­den, außer Name und Klas­sen­zu­ge­hö­rig­keit von Schü­le­rin­nen und Schü­lern und die hier­für er­for­der­li­chen tech­ni­schen Daten.
Für alle Be­nut­zer muss zwin­gend eine per­sön­li­che Au­then­ti­fi­zie­rung für den Netz­zu­gang er­fol­gen. über ein Be­rech­ti­gungs­sys­tem muss zudem si­cher­ge­stellt wer­den, dass ein er­folg­reich au­then­ti­fi­zier­ter Be­nut­zer nur Zu­griff auf die für ihn au­to­ri­sier­ten Daten hat.
Beim draht­lo­sen Netz-Zu­gang (WLAN) ist WPA2-En­t­er­pri­se nach 802.11 i mit per­so­nen­be­zo­ge­ner Au­then­ti­fi­zie­rung nach 802.1X er­for­der­lich. Die Au­then­ti­fi­zie­rung hat dabei gegen eine zen­tra­le Be­nut­zer­da­ten­quel­le zu er­fol­gen - z.B. über einen RA­DI­US-Ser­ver gegen den Ser­ver des päd­ago­gi­schen Net­zes. Der ver­mit­teln­de RA­DI­US-Ser­ver hat sich dabei ge­gen­über den Cli­ents durch ein X.509- Zer­ti­fi­kat aus­zu­wei­sen bei dem die­ser das Zer­ti­fi­kat ohne Feh­ler über­prü­fen kann. Die Da­ten­über­tra­gung zwi­schen Au­then­ti­fi­zie­rungs­ser­ver und Cli­ent er­folgt über einen ver­schlüs­sel­ten Tun­nel - Rea­li­sie­rung z.B. mit Pro­tec­ted EAP (PEAP).

Was ist Cloud Com­pu­ting und was muss bei der Nut­zung be­ach­tet wer­den?

Bei Cloud-Com­pu­ting wer­den IT-In­fra­struk­tu­ren wie z. B. Re­chen­leis­tung, Da­ten­spei­cher, Netz­werk­ka­pa­zi­tä­ten oder auch kom­plet­te An­wen­dungs­soft­ware, sowie die Ver­ar­bei­tung von Daten der Kun­den mit­tels die­ser Soft­ware - von einem Dienst­leis­ter dy­na­misch an den Be­darf an­ge­passt - über ein Netz zur Ver­fü­gung ge­stellt. Da­durch er­ge­ben sich mehr Fle­xi­bi­li­tät und meist nied­ri­ge­re Kos­ten. Für den Nut­zer er­scheint die zur Ver­fü­gung ge­stell­te In­fra­struk­tur fern und un­durch­sich­tig, wie von einer „Wolke" (engl. Cloud) ver­bor­gen. Bei­spie­le für Cloud- Com­pu­ting sind Drop­box, Mi­cro­soft Cloud Ser­vices (z.B. Of­fice­365, Azure), Goog­le Drive, iCloud sowie wei­te­re Web 2.0 An­wen­dun­gen.

Bei Cloud Com­pu­ting liegt grund­sätz­lich eine Da­ten­ver­ar­bei­tung im Auf­trag vor (siehe hier­zu auch FAQ Auf­trags­da­ten­ver­ar­bei­tung).

  • Die da­ten­schutz­recht­li­che Ver­ant­wort­lich­keit ver­bleibt bei der Schu­le.
  • Der Auf­trag ist schrift­lich zu er­tei­len. Der In­halt des Ver­tra­ges rich­tet sich nach Art. 28 Abs. 3 EU-DSGVO.

Viele An­bie­ter von Cloud-Com­pu­ting erül­len nicht die da­ten­schutz­recht­li­chen An­for­de­run­gen, weil

  • es meist nicht mög­lich ist, einen Ver­trag ent­spre­chend den ge­setz­li­chen Vor­ga­ben ab­zu­schlie­ßen.
  • sich der Sitz der Dienst­leis­ter oft au­ßer­halb des Gel­tungs­be­reichs der EU-DSGVO und das dor­ti­ge Da­ten­schutz­ni­veau nicht dem ein dem EU-Recht ver­gleich­ba­res Schutz­ni­veau auf­weist.

Viele Cloud-Com­pu­ting-An­bie­ter kom­men aus die­sen Grün­den ür Schu­len nicht in Frage.

Eine Liste von al­ter­na­ti­ven, nutz­ba­ren Dienst­leis­tern fin­den Sie unter www.​it.​kul­tus-​bw.​de unter der Ru­brik „IT Da­ten­schutz und Si­cher­heit" - „Cloud- ba­sier­te Diens­te". Dort und in den FAQ zur Ver­schlüs­se­lung fin­den Sie auch Hin­wei­se zur Spei­che­rung von ver­schlüs­sel­ten per­so­nen­be­zo­ge­nen Daten in Clouds.

Ak­tu­el­le Er­gän­zung:
Ei­ni­ge Dienst­leis­ter hat­ten als recht­li­che Grund­la­ge für die Be­auf­tra­gung die so­ge­nann­ten Safe Har­bor Prin­ci­ples ge­nannt. Diese Safe Har­bor Prin­ci­ples wur­den von der Eu­ro­päi­schen Kom­mis­si­on an­er­kannt, eine Da­ten­ver­ar­bei­tung war des­halb zu­läs­sig. Vom Eu­ro­päi­schen Ge­richts­hof (EuGH) wurde je­doch jüngst die Safe Har­bor Prin­ci­ples als nicht aus­rei­chend be­wer­tet und eine Da­ten­ver­ar­bei­tung auf die­ser Grund­la­ge (Ur­teil vom 6. Ok­to­ber 2015) als un­zu­läs­sig be­wer­tet. Es ist zudem davon aus­zu­ge­hen, dass auch die EU Model Clau­ses, die an­de­re Dienst­leis­ter an­füh­ren, ähn­lich zu be­wer­ten sind. Daher ist von einer Be­auf­tra­gung von Dienst­leis­tern auf­grund die­ser Rechts­grund­la­ge ab­zu­ra­ten.

Zu be­ach­ten ist auch, dass die sog. Stan­dard­ver­trags­klau­seln die Be­hör­den des Dritt­lan­des nicht bin­den kön­nen und daher in den Fäl­len, in denen die Be­hör­den nach dem Recht des Dritt­lan­des be­fugt sind, in die Rech­te der be­trof­fe­nen Per­so­nen ein­zu­grei­fen, ohne zu­sätz­li­che Maß­nah­men der Ver­trags­part­ner kei­nen an­ge­mes­se­nen Schutz dar­stel­len. In einem sol­chen Fall muss der Ver­ant­wort­li­che zu­sätz­li­che Ga­ran­ti­en bie­ten, die einen Zu­griff durch die US-ame­ri­ka­ni­schen Ge­heim­diens­te ef­fek­tiv ver­hin­dern und so die Rech­te der be­trof­fe­nen Per­so­nen schüt­zen; dies wäre etwa in fol­gen­den Fäl­len denk­bar:

  • Ver­schlüs­se­lung, bei der nur der Da­ten­ex­por­teur den Schlüs­sel hat und die auch von US-Diens­ten nicht ge­bro­chen wer­den kann
  • An­ony­mi­sie­rung aller per­so­nen­be­zo­ge­nen Daten

Das KM emp­fiehlt:

  • aus­schließ­lich mit Dienst­leis­tern zu­sam­men­zu­ar­bei­ten, die Ihren Sitz im Gel­tungs­be­reich der EU-DSGVO haben, dabei ist auch auf Un­ter­auf­trag­neh­mer zu ach­ten.
  • sich im Ver­trag schrift­lich zu­si­chern zu las­sen, dass keine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten au­ßer­halb der EU er­folgt und auch keine Daten an Stel­len au­ßer­halb der EU (auch an staat­li­che Stel­len, Be­hör­den) über­mit­telt wer­den.

Was be­deu­tet Da­ten­schutz und wer ist ür den Da­ten­schutz an öf­fent­li­chen Schu­len ver­ant­wort­lich? 

Das Bun­des­ver­fas­sungs­ge­richt hat in sei­nem "Volks­zäh­lungs­ur­teil" von 1983 klar­ge­stellt, dass das Recht auf in­for­ma­tio­nel­le Selbst­be­stim­mung ein Grund­recht ist. Das Grund­recht ge­währ­leis­tet in­so­weit die Be­fug­nis des Ein­zel­nen, grund­sätz­lich selbst über die Preis­ga­be und Ver­wen­dung sei­ner per­sön­li­chen Daten zu be­stim­men. Alle am Schul­le­ben Be­tei­lig­ten müs­sen die Vor­ga­ben des Da­ten­schut­zes be­ach­ten. Al­lei­ne die Schul­lei­tung (also Schul­lei­te­rin  bzw. Schul­lei­ter) ist für den Da­ten­schutz an der Schu­le ver­ant­wort­lich. Zu ihrer Un­ter­stüt­zung muss ein Da­ten­schutz­be­auf­trag­ter be­nannt sein (Art. 37 Abs.1 lit. a EU-DSGVO).

Muss für die Schu­le einen Da­ten­schutz­be­auf­trag­ter be­nannt sein?

Ja!

Für jede öf­fent­li­che Schu­le muss ein be­hörd­li­cher Da­ten­schutz­be­auf­trag­ter (bDSB) be­nannt wer­den.

Für meh­re­re Schu­len kann unter Be­rück­sich­ti­gung ihrer Or­ga­ni­sa­ti­ons­struk­tur und Größe ein ge­mein­sa­mer bDSB be­nannt wer­den. Der bDSB für eine Schu­le kann auch eine Per­son  aus der Schul­auf­sicht sein. Dies gilt ins­be­son­de­re für klei­ne Schu­len wie z. B. meh­re­re Grund­schu­len, die einen ge­mein­sa­men bDSB iden­ti­fi­zie­ren könn­ten. Der bDSB wird auf der Grund­la­ge sei­ner be­ruf­li­chen Qua­li­fi­ka­ti­on und ins­be­son­de­re des Fach­wis­sens be­nannt, das er auf dem Ge­biet des Da­ten­schutz­rechts und der Da­ten­schutz­pra­xis be­sitzt.

Die Schu­le ver­öf­fent­licht die Kon­takt­da­ten des Da­ten­schutz­be­auf­trag­ten in der Regel auf der Home­page der Schu­le und teilt diese Daten zudem der Auf­sichts­be­hör­de, also dem Lan­des­be­auf­trag­ten für den Da­ten­schutz und die In­for­ma­ti­ons­frei­heit (LfDI) und ihrer un­mit­tel­bar vor­ge­setz­ten Schul­auf­sichts­be­hör­de (Schul­amt oder Re­gie­rungs­prä­si­di­um) mit.

Zu den Auf­ga­ben des bDSB ge­hö­ren ins­be­son­de­re:

  • Un­ter­rich­tung und Be­ra­tung der Schu­le, ins­be­son­de­re der Schul­lei­tung und der dort Be­schäf­tig­ten, hin­sicht­lich ihrer da­ten­schutz­recht­li­chen Pflich­ten,
  • über­wa­chung der Ein­hal­tung der da­ten­schutz­recht­li­chen Vor­schrif­ten sowie der Da­ten­schutz-Stra­te­gi­en des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters ein­schließ­lich der Zu­wei­sung von Zu­stän­dig­kei­ten, der Sen­si­bi­li­sie­rung und Schu­lung der an den Ver­ar­bei­tungs­vor­gän­gen be­tei­lig­ten Mit­ar­bei­ter und der dies­be­züg­li­chen über­prü­fun­gen,
  • Be­ra­tung - auf An­fra­ge - im Zu­sam­men­hang mit der Da­ten­schutz-Fol­gen­ab­schät­zung und über­wa­chung ihrer Durch­füh­rung,
  • Zu­sam­men­ar­beit mit dem Lan­des­be­auf­trag­ten für den Da­ten­schutz und die In­for­ma­ti­ons­frei­heit.

Die Schu­le muss ge­währ­leis­ten, dass der bDSB ord­nungs­ge­mäß und früh­zei­tig in alle mit dem Schutz per­so­nen­be­zo­ge­ner Daten zu­sam­men­hän­gen­den Fra­gen ein­ge­bun­den wird. Dies gilt ins­be­son­de­re für die Ein­füh­rung neuer Soft­ware, mit der per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den. Die Schu­le muss si­cher­stel­len, dass der bDSB bei der Er­fül­lung sei­ner Auf­ga­ben keine Wei­sun­gen be­züg­lich der Aus­übung der Auf­ga­ben er­hält.

Be­trof­fe­ne Per­so­nen (also u. a. Schü­le­rin­nen und Schü­ler, El­tern oder Lehr­kräf­te der Schu­le) kön­nen den Da­ten­schutz­be­auf­trag­ten zu allen mit der Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten und mit der Wahr­neh­mung ihrer Rech­te gemäß den da­ten­schutz­recht­li­chen Be­stim­mun­gen im Zu­sam­men­hang ste­hen­den Fra­gen zu Rate zie­hen.

Wie be­nen­ne ich einen Da­ten­schutz­be­auf­trag­ten?
Die Be­nen­nung eines be­hörd­li­chen Da­ten­schutz­be­auf­trag­ten soll­te schrift­lich er­fol­gen und der ört­li­che Per­so­nal­rat muss der Maß­nah­me zu­stim­men. Es soll­te, wenn mög­lich, eine da­ten­schutz­recht­lich und IT-tech­nisch ver­sier­te Per­son als be­hörd­li­cher Da­ten­schutz­be­auf­trag­ten be­nannt sein. Eine Interes­senskollision bei der Be­stel­lung soll­te al­ler­dings ver­mie­den wer­den (kein Mit­glied der Schul­lei­tung oder Netz­werk­be­treu­er soll­te zum be­hörd­li­chen Da­ten­schutz­be­auf­trag­ten be­stellt wer­den).
Fol­gen­de Punk­te sind zu be­ach­ten:

  • Die unter der Ru­brik For­mu­la­re be­reit ge­stell­te „Vor­la­ge Be­nen­nung DSB“ soll­te ver­wen­det wer­den
  • Der zu­stän­di­ge ört­li­che Per­so­nal­rat wurde be­tei­ligt und  hat schrift­lich zu­ge­stimmt.
  • Mel­dung der Kon­takt­da­ten an den Lan­des­be­auf­trag­ten für Da­ten­schutz und In­for­ma­ti­ons­frei­heit, am ein­fachs­ten über
    https://​www.​baden-​wue​rtte​mber​g.​da­ten­schutz.​de/​dsb-​on­line-​mel­den/
  • Ver­öf­fent­li­chung der Kon­takt­da­ten in der Regel auf der Schul­home­page (hier ge­nügt die schul­ei­ge­ne Email-Adres­se des Da­ten­schutz­be­auf­trag­ten z.B.
    da­ten­schutz@​xy-​schu­le.​de ).
  • über das Ser­vice Cen­ter Schul­ver­wal­tung kann auch eine Email-Adres­se für den Da­ten­schutz­be­auf­trag­ten er­stellt wer­den (da­ten­schutz@​xy.​schu­le.​bwl.​de)
    Tel: 0711 / 89246-0

Dür­fen Daten von Vor­sit­zen­den des El­tern­bei­rats bzw. Schü­ler­spre­chers an Stel­len au­ßer­halb der Schu­le kom­mu­ni­ziert wer­den?

Ja, al­ler­dings nur mit deren Ein­wil­li­gung.

Bei den Vor­sit­zen­den des El­tern­bei­rats und den Schü­ler­spre­chern han­delt es sich um sog. Funk­ti­ons­trä­ger, die ein öf­fent­li­ches Eh­ren­amt in­ne­ha­ben. Deren Namen und Funk­ti­on dür­fen nach außen kom­mu­ni­ziert, also z.B. auf der Home­page der Schu­le ein­ge­stellt wer­den. Ge­nannt wer­den dür­fen deren Namen und die Funk­ti­on, so­fern der Be­trof­fe­ne ein­ge­wil­ligt hat. Sol­len wei­te­re Daten ge­nannt wer­den, wie z.B. Kon­takt­da­ten oder Fotos, so darf das auch nur nach vor­he­ri­ger schrift­li­cher Ein­wil­li­gung der Be­trof­fe­nen er­fol­gen.

Name und Funk­ti­on von Klas­sen­spre­chern oder Klas­sen­el­tern­ver­tre­tern, dür­fen aber nicht kom­mu­ni­ziert wer­den, da diese nicht die Schu­le nach außen ver­tre­ten und nur im Schul­in­nen­ver­hält­nis aktiv sind.

Ist eine Da­ten­über­mitt­lung per­so­nen­be­zo­ge­ner Daten von Schü­le­rin­nen und Schü­lern sowie von deren Er­zie­hungs­be­rech­tig­ten an die ka­tho­li­sche oder evan­ge­li­sche Kir­che ohne Ein­wil­li­gung u.U. zu­läs­sig?

Ja, in den in der Ver­wal­tungs­vor­schrift „Da­ten­schutz an öf­fent­li­chen Schu­len“ ge­nann­ten Fäl­len.

Eine über­mitt­lung per­so­nen­be­zo­ge­ner Daten der Schü­le­rin­nen und Schü­ler und deren Er­zie­hungs­be­rech­tig­ten an die ka­tho­li­sche oder evan­ge­li­sche Kir­che ist an­läss­lich der Kom­mu­ni­on oder Kon­fir­ma­ti­on sowie zur Er­fül­lung wei­te­rer Auf­ga­ben die­ser Kir­chen ohne Ein­wil­li­gung der Be­trof­fe­nen zu­läs­sig.
Eine Da­ten­über­mitt­lung von per­so­nen­be­zo­ge­nen Daten an wei­te­re Re­li­gi­ons- oder Welt­an­schau­ungs­ge­mein­schaf­ten ist nur mit Ein­wil­li­gung der Be­trof­fe­nen zu­läs­sig.
Die Schu­len haben gemäß der Ver­wal­tungs­vor­schrift  die über­mitt­lun­gen zu do­ku­men­tie­ren, so dass dar­über Aus­kunft er­teilt wer­den kann.

Was muss die Schu­le bei einer Do­main be­ach­ten?

ür den Be­trieb einer Home­page wird ein Name im Sinne einer In­ter­net-Adres­se be­nö­tigt. Die­ser darf na­tür­lich nur ein­mal ver­ge­ben sein. ür Adres­sen in der Do­main .de wacht das Deut­sche Net­work In­for­ma­ti­on Cen­ter (DENIC, http://​denic.​de/) über die Ein­deu­tig­keit. Die DENIC ist ür eine Adress­re­gis­trie­rung und -ver­ga­be zu­stän­dig.
Die Re­gis­trie­rungs­be­din­gun­gen der DENIC sind in den DENIC-Do­main­richt­li­ni­en und den DENIC-Do­main­be­din­gun­gen fest­ge­hal­ten. Sie las­sen sich im We­sent­li­chen wie folgt zu­sam­men­fas­sen:
Bei der Zu­tei­lung einer Do­main herrscht das Prio­ri­täts­prin­zip. Die DENIC re­gis­triert eine Do­main ür den­je­ni­gen, der dies zu­erst be­an­tragt („First come, first ser­ved“). Eine Be­rech­ti­gungs­prü­fung da­hin­ge­hend, ob der An­mel­der mit der Re­gis­trie­rung  oder Nut­zung der Do­main bei­spiels­wei­se Kenn­zei­chen­rech­te Drit­ter ver­letzt, fin­det dabei grund­sätz­lich nicht statt. Die DENIC be­hält sich eine Ab­leh­nung des An­trags nur bei of­fen­kun­di­ger Rechts­wid­rig­keit vor. Die Re­gis­trie­rung von .de-Do­mains steht auch aus­län­di­schen Per­so­nen offen. Die DENIC hält eine Da­ten­bank ür die von ihr ver­ge­be­nen .de-Do­mains auf ihrer Home­page be­reit. ür die Durch­set­zung von An­sprü­chen ist dies hilf­reich, weil Na­mens­trä­ger und Kenn­zei­chen­in­ha­ber, die sich durch die Re­gis­trie­rung einer Do­main in ihren Rech­ten ver­letzt sehen, durch eine Ab­fra­ge der Da­ten­ban­ken schnell und ein­fach er­mit­teln kön­nen, wer In­ha­ber der je­wei­li­gen Do­main und damit pas­siv­le­gi­ti­miert ist.

Wel­che An­for­de­run­gen wer­den an eine wirk­sa­me Ein­wil­li­gung nach Art. 7 EU-DSGVO ge­stellt?

Nach Art. 7 EU-DSGVO ist die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten nur zu­läs­sig, wenn die EU-DSGVO, das LDSG oder eine an­de­re Rechts­vor­schrift sie er­laubt oder so­weit der Be­trof­fe­ne ein­ge­wil­ligt hat.

Be­ruht die Ver­ar­bei­tung auf einer Ein­wil­li­gung, muss der Ver­ant­wort­li­che nach­wei­sen kön­nen, dass die be­trof­fe­ne Per­son in die Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten ein­ge­wil­ligt hat. Die Ein­wil­li­gung ist also schrift­lich oder elek­tro­nisch ein­zu­ho­len, eine bloße münd­li­che Ein­wil­li­gung reicht nicht aus.
Er­folgt die Ein­wil­li­gung der be­trof­fe­nen Per­son durch eine schrift­li­che Er­klä­rung, die noch an­de­re Sach­ver­hal­te be­trifft, so muss das Er­su­chen um Ein­wil­li­gung in ver­ständ­li­cher und leicht zu­gäng­li­cher Form in einer kla­ren und ein­fa­chen Spra­che er­fol­gen. Die Ein­wil­li­gung soll­te von evtl. an­de­ren Sach­ver­hal­ten z. B. durch eine an­de­re Schrift­art klar un­ter­scheid­bar sei. Zudem muss die Ein­wil­li­gung in jede Ver­ar­bei­tungs­art ein­zeln er­fol­gen kön­nen. Das be­deu­tet, dass die be­trof­fe­ne Per­son die Mög­lich­keit haben muss, ein­zeln bspw. in die Ver­öf­fent­li­chung sei­nes Bil­des auf der Home­page und davon un­ab­hän­gig in die Ver­öf­fent­li­chung  sei­nes Na­mens in der ört­li­chen Ta­ges­zei­tung durch An­kreu­zen des je­wei­li­gen Sach­ver­hal­tes ein­zu­wil­li­gen.    
Die be­trof­fe­ne Per­son ist dar­über zu in­for­mie­ren, dass sie das Recht hat, ihre Ein­wil­li­gung je­der­zeit zu wi­der­ru­fen. Durch den Wi­der­ruf der Ein­wil­li­gung wird die Recht­mä­ßig­keit der auf­grund der Ein­wil­li­gung bis zum Wi­der­ruf er­folg­ten Ver­ar­bei­tung al­ler­dings nicht be­rührt. Der Wi­der­ruf der Ein­wil­li­gung muss so ein­fach wie die Er­tei­lung der Ein­wil­li­gung sein.

Der Lan­des­be­auf­trag­te für den Da­ten­schutz hatte in einem Ein­zel­fall dar­auf hin­gewiesen, dass selbst eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten mit aus­drücklicher Zu­stim­mung des Be­trof­fe­nen nicht aus­reicht und noch keine wirksa­me Ein­wil­li­gung dar­stellt, wenn fol­gen­de Vor­aus­set­zun­gen nicht er­füllt sind: Die Vor­aus­set­zun­gen einer wirk­sa­men Ein­wil­li­gung sind das Auf­klä­ren über den oder die Emp­fän­ger der Daten und der Hin­weis auf die Mög­lich­keit, die Einwilli­gung unter Dar­le­gung der Fol­gen zu ver­wei­gern.
Mus­ter­vor­la­gen fin­den Sie hier unter For­mu­la­re und auf dem Leh­rer­fort­bil­dungs­ser­ver.

Wo er­folgt die Auf­be­wah­rung der Ein­wil­li­gungs­er­klä­run­gen?

Ein­wil­li­gungs­er­klä­run­gen sind stets durch die­je­ni­ge Stel­le auf­zu­be­wah­ren, der ge­gen­über die Ein­wil­li­gung er­klärt wurde.
Der Grund hier­für liegt in der Nach­weis­pflicht. Denn be­trof­fe­ne Per­so­nen wer­den im Zwei­fels­fall bei der­je­ni­gen Stel­le an­fra­gen, die per­so­nen­be­zo­ge­ne Daten über­mit­telt hat. Diese Stel­le kann die Recht­mä­ßig­keit der über­mitt­lung nun dann nach­wei­sen, wenn sie die Ein­wil­li­gungs­er­klä­rung be­sitzt.

So wird die Ein­wil­li­gungs­er­klä­rung zur Ein­wil­li­gung in eine Wei­ter­ga­be von Kon­takt­da­ten El­tern an Klas­sen­el­tern­ver­tre­ter wird von der Schu­le ver­wahrt, so­fern die Schu­le die Daten wei­ter­gibt.

Was ist bei der Ein­rich­tung von E-Mail-Kon­ten im Un­ter­richt zu be­ach­ten? 

Grund­sätz­lich gilt die strik­te Tren­nung von pri­va­ter und un­ter­richt­li­cher E-Mail-Nut­zung. Der Bil­dungs­auf­trag für die Schu­len um­fasst nicht das Ein­rich­ten/ Nut­zen von E-Mail-Kon­ten von Schü­le­rin­nen und Schü­lern zum pri­va­ten Ge­brauch. Wer­den per­so­nen­be­zo­ge­ne E-Mail-Kon­ten über den lo­ka­len Mail-Ser­ver (z. B. pa­edML) im Schul­netz oder auf BelWü ein­ge­rich­tet, kann die Schu­le im Miss­brauchs­fall den Zu­gang lö­schen.
Da E-Mail-Nut­zung In­halt des schu­li­schen Bil­dungs- und Er­zie­hungs­auf­trags ist, ist bei min­der­jäh­ri­gen Schü­le­rin­nen und Schü­lern hier­für keine Ein­wil­li­gung der ge­setz­li­chen Ver­tre­ter er­for­der­lich.

Was ist bei der Ver­wen­dung von E-Mail-Ver­tei­ler­lis­ten zu be­ach­ten?

Ge­ra­de wenn wie­der­holt Nach­rich­ten oder News­let­ter per E-Mail an einen grö­ße­ren Emp­fän­ger­kreis ge­sen­det wer­den sol­len (Grup­pen-Kom­mu­ni­ka­ti­on), bie­tet sich die Nut­zung von so­ge­nann­ten E-Mail-Ver­tei­ler­lis­ten an.

Aber Ach­tung!
Denn aus da­ten­schutz­recht­li­cher Sicht be­steht bei der Nut­zung ein Ri­si­ko:
Trägt man näm­lich den E-Mail-Ver­tei­ler als Emp­fän­ger (bei Feld „An“ oder „Cc“) ein, kön­nen alle Emp­fän­ger lesen, wer sonst noch diese Nach­richt be­kom­men hat. Aus da­ten­schutz­recht­li­cher Sicht wer­den dabei die im Ver­tei­ler hin­ter­leg­ten E-Mail-Adres­sen (zu­sam­men mit dem sich aus dem In­halt der Nach­richt er­ge­ben­den Sach­ver­halt) an Drit­te über­mit­telt - und das ist grund­sätz­lich un­zu­läs­sig, wenn es sich um E-Mail-Adres­sen von ein­zel­nen Per­so­nen han­delt!

Aus­weg:
Trägt man den E-Mail-Ver­tei­ler im Feld „Bcc“ ein, kön­nen die Emp­fän­ger nicht er­ken­nen, wer die Nach­richt sonst noch er­hal­ten hat, weil da­durch keine an­de­ren E-Mail-Adres­sen mehr über­mit­telt wer­den.

Hin­weis:
Selbst­ver­ständ­lich darf im Rah­men der Kom­mu­ni­ka­ti­on in­ner­halb einer Schu­le oder Be­hör­de auch eine Nach­richt z.B. an alle Lehr­kräf­te so ge­sen­det wer­den, dass jede Lehr­kraft er­ken­nen kann, an wel­che an­de­ren Lehr­kräf­te diese noch ging, so­fern dienst­li­che E-Mail-Adres­sen ver­wen­det wer­den und der In­halt der Nach­richt nicht per­sön­li­che In­for­ma­tio­nen über eine oder zu einer be­stimm­ten Per­son ent­hält.

Beim Um­gang von E-Mails muss si­cher­ge­stellt wer­den, dass diese gegen un­be­fug­ten Zu­griff und jeg­li­che un­zu­läs­si­ge än­de­rung ge­schützt sind. Aus da­ten­schutz­recht­li­cher Sicht ist dafür der Ab­sen­der ver­ant­wort­lich, weil er dies si­cher­stel­len kann. Ge­ne­rell sind aus­schließ­lich die dienst­li­chen E-Mail-Ac­counts zu ver­wen­den.

Dienst­li­che Nach­rich­ten müs­sen ge­ne­rell mit den dienst­li­chen E-Mail-Ac­counts ver­sen­det wer­den. Per­so­nen­be­zo­ge­ne Daten dür­fen nur dann per E-Mail ver­sen­det wer­den, wenn Fol­gen­des be­ach­tet wird:

  • Ab­sen­der und Emp­fän­ger be­sit­zen ein E-Mail­kon­to in­ner­halb der Ver­wal­tungs­net­ze Baden-Würt­tem­bergs oder bei Bel­Wue. Dann muss für die über­mitt­lung keine zu­sätz­li­che Ver­schlüs­se­lung ge­trof­fen wer­den, weil es sich dabei um ei­ge­ne, vom In­ter­net ge­trenn­te Netze han­delt. Die Ver­wal­tungs­net­ze Baden-Würt­tem­berg be­ste­hen aus dem Lan­des­ver­wal­tungs­netz (LVN) und dem Kom­mu­na­len Ver­wal­tungs­netz (KVN). Im LVN be­fin­den sich alle Mi­nis­te­ri­en, alle RPen, SSä, das Lan­des­me­di­en­zen­trum, das Lan­des­in­sti­tut für Schul­ent­wick­lung, das Lan­des­in­sti­tut für Schul­sport, die Lan­des­aka­de­mie für Schul­kunst, die Lan­des­aka­de­mie für Fort­bil­dung, alle Se­mi­na­re und Fach­se­mi­na­re und zu­künf­tig das Zen­trum für Schul­qua­li­tät und Leh­rer­bil­dung (ZSL) und das In­sti­tut für Bil­dungs­ana­ly­sen Baden-Würt­tem­berg (IBBW). Auch die KISS In­fra­struk­tur ist Be­stand­teil des LVN. Eben­so be­fin­den sich Post­fä­cher bei Bel­Wue in der si­che­ren Um­ge­bung. Im KVN be­fin­den sich ei­ni­ge - aber nicht alle Kom­mu­nen Baden-Würt­tem­bergs.

Hin­wei­se:

  • Beide Sei­ten der Kom­mu­ni­ka­ti­on, Ab­sen­der und Emp­fän­ger, ver­wen­den   aus­schließ­lich die von BelWü zur Ver­fü­gung ge­stell­te Web­mail-Ober­flä­che im Brow­ser.
  • Die Ein­rich­tung einer Mail-Wei­ter­lei­tun­gen zu an­de­ren Mail­adres­sen (GMX, Web.​de, T-On­line, GMail, ....) ist un­zu­läs­sig.
  • Da der BelWü-Web­mai­ler keine 2-Fak­tor-Au­then­ti­fi­zie­rung un­ter­stützt, darf die An­mel­dung am BelWü-Web­mai­ler nur in dafür vor­ge­se­hen Net­zen statt­fin­den, also kon­kret in Ver­wal­tungs­netz und Lehr­kräf­tenetz (siehe Netz­brief), sowie das hei­mi­sche Netz so­fern eine Ge­neh­mi­gung für die Nut­zung pri­va­ter DV-Ge­rä­te bei
  • der Schul­lei­tung ein­ge­holt wurde. Die Nut­zung im päd­ago­gi­schen Netz ist für die­sen Zweck nicht er­laubt.
  • Das Mail­pass­wort bei­der Kom­mu­ni­ka­ti­ons­part­ner ent­spricht den Richt­li­ni­en für si­che­re Pass­wör­ter. Au­ßer­dem un­ter­schei­det sich das je­wei­li­ge Pass­wort vom Pass­wort der Lehr­kraft im Schul­netz. Eine Ver­wen­dung eines iden­ti­schen Pass­worts ist nicht er­laubt.
  • Der Ab­sen­der hat die vo­ri­gen Punk­te vor der ers­ten Kom­mu­ni­ka­ti­on mit un­ver­schlüs­sel­ten per­so­nen­be­zo­ge­nen Daten selbst zu er­fül­len, und muss diese vorab mit dem Emp­fän­ger ab­klä­ren. Beide Sei­ten än­dern an­schlie­ßend diese Ein­stel­lun­gen und Ver­fah­ren nicht mehr.

oder

  • Die zu ver­sen­den­den per­so­nen­be­zo­ge­nen Daten sind ver­schlüs­selt. Für eine Ver­schlüs­se­lung kön­nen Pro­duk­te wie Ver­a­Crypt, AxCrypt oder 7-Zip ein­ge­setzt wer­den, wobei Ver­a­Crypt auf Win­dows-, Linux- und Mac-Platt­for­men lauf­fä­hig ist. Bei 7-zip ist sogar die Er­stel­lung einer selbst­ent­pa­cken­den Datei mög­lich, das be­deu­tet, dass der Emp­fän­ger selbst keine Ver­schlüs­se­lungs­soft­ware in­stal­liert haben muss.
    Der Aus­tausch der Pass­wör­ter soll­te dann mit einem an­de­ren Me­di­um, bspw. per Te­le­fon er­fol­gen.
  • Al­ter­na­tiv bleibt ein Ver­sand per Brief­post oder per Fax.
  • So­weit E-Mails außer den E-Mail-Adres­sen von Ab­sen­der und Emp­fän­ger keine wei­te­ren per­so­nen­be­zo­ge­nen Daten be­inhal­ten, ist ein un­ver­schlüs­sel­ter Ver­sand zu­läs­sig. Dies um­fasst bspw. die Ein­la­dung zu oder das An­ge­bot eines Ter­mins oder Ge­sprächs, die Bitte um Rück­ruf, das Zu­sen­den von all­ge­mei­nen un­per­sön­li­chen Bro­schü­ren, Falt­blät­tern und der­glei­chen, fer­ner all­ge­mei­ne Hin­wei­se auf Li­te­ra­tur, die über­mitt­lung von nicht per­so­nen­be­zo­ge­nen Test­ergeb­nis­sen und Hin­wei­se auf Fort­bil­dun­gen.

Nicht er­laubt ist die Ver­wen­dung von Mail­pro­gram­men (z. B. Out­look, Thun­der­bird, Group­wi­se, Mail, ...), Mail-Apps auf mo­bi­len End­ge­rä­ten (z. B. Mail, R2­Mail2, K9­Mail, ...) sowie an­der­wei­ti­ge Web­mail-Ober­flä­chen die ex­ter­ne Mail­kon­ten ein­bin­den kön­nen (z. B. eGroup­ware, CAS, Next­cloud-Mail-App, GMail, …)
AUS­NAH­ME:

      • die Ver­wen­dung eines lokal in­stal­lier­ten Mail­pro­gram­mes ist zu­läs­sig, wenn es ent­we­der auf einem ver­schlüs­sel­ten Da­ten­trä­ger als por­ta­ble Ver­si­on in­stal­liert ist (z.B. ver­schlüs­sel­te/r USB Stick oder -Fest­plat­te) oder der Da­ten­trä­ger des Ge­rä­tes auf dem das Mail­pro­gramm in­stal­liert ist, kom­plett ver­schlüs­selt ist (z.B. Bit­lo­cker – Win­dows, LUKS – Linux, MacOS - Fi­leV­ault).
      • Eine über­mitt­lung von Mails darf so­wohl beim Ab­sen­der wie auch beim Emp­fän­ger aus­schließ­lich über die ver­schlüs­sel­ten, netz­ba­sier­ten Mail-Pro­to­kol­le SMTPS, POP3S oder IMAPS statt­fin­den
Bei einem Ver­sand an meh­re­re Emp­fän­ger ist grund­sätz­lich dar­auf zu ach­ten, dass die Emp­fän­ger nicht die E-Mail-Adres­sen der an­de­ren Emp­fän­ger sehen kön­nen. Für sol­che Fälle ist es wich­tig, die Ver­tei­ler­lis­ten nicht als Emp­fän­ger bei „An“ oder „cc“ ein­zu­ge­ben, son­dern stets bei „bcc Blind Car­bon Copy" (Blind­ko­pie) ein­zu­tra­gen

Dür­fen öf­fent­li­che Schu­len und ihre För­der­ver­ei­ne zu­sam­men­ar­bei­ten, indem sie per­so­nen­be­zo­ge­ne Daten aus­tau­schen?

Die För­der­ver­ei­ne sind auf neue Mit­glie­der an­ge­wie­sen und möch­ten des­halb von den Schul­lei­tun­gen eine Liste der jähr­lich neu hin­zu­kom­men­den Er­zie­hungs­be­rech­tig­ten haben. Dies ist da­ten­schutz­recht­lich je­doch nur zu­läs­sig, so­fern die Er­zie­hungs­be­rech­tig­ten vor­her schrift­lich hier­zu ein­ge­wil­ligt haben. Bei För­der­ver­ei­nen han­delt es sich um Stel­len au­ßer­halb des öf­fent­li­chen Be­reichs. Um eine per­so­nen­be­zo­ge­ne Da­ten­über­mitt­lung zu ver­mei­den, kann die öf­fent­li­che Schu­le mit dem För­der­ver­ein ver­ein­ba­ren, dass den Er­zie­hungs­be­rech­tig­ten bei der Auf­nah­me von Schü­le­rin­nen und Schü­lern in die öf­fent­li­che Schu­le ent­spre­chen­des In­for­ma­ti­ons­ma­te­ri­al und Bei­tritts­er­klä­run­gen des För­der­ver­eins aus­ge­hän­digt wer­den.

Im Rah­men von schu­li­schen Ver­an­stal­tun­gen müs­sen ver­schie­de­ne Si­tua­tio­nen be­trach­tet wer­den:

  1. Fo­to­gra­fie­ren/Auf­neh­men von auf­tre­ten­den Schü­le­rin­nen und Schü­lern durch die Schu­le
    Für das Fo­to­gra­fie­ren oder Auf­neh­men eines Vi­de­os von Schü­le­rin­nen und Schü­lern durch die Schu­le bei schu­li­schen Ver­an­stal­tun­gen (Ein­schu­lung, Zeug­nis­über­ga­be, Schul­ball, usw.) wird eine Ein­wil­li­gung be­nö­tigt. Bei Ver­an­stal­tun­gen wie Zir­kus­vor­stel­lun­gen oder Thea­ter­stü­cken, bei denen Schü­le­rin­nen oder Schü­ler auf­tre­ten, darf dies schon aus ur­he­ber­recht­li­chen Grün­den (Recht des aus­üben­den Künst­lers) nicht ohne Ein­wil­li­gung der Schü­le­rin­nen und Schü­ler bzw. deren Er­zie­hungs­be­rech­tig­ten er­fol­gen.
    Sol­len also Auf­nah­men durch die Schu­le ge­fer­tigt und/oder sol­len diese z. B.  zur Er­in­ne­rung wei­ter­ge­ge­ben oder ver­öf­fent­licht wer­den, so ist hier­für eine Ein­wil­li­gung der Schü­le­rin­nen und Schü­ler bzw. deren Er­zie­hungs­be­rech­tig­ten er­for­der­lich. Die Zwe­cke, zu denen die Fotos/Vi­de­os an­ge­fer­tigt wer­den, die mög­li­chen Emp­fän­ger und die Spei­cher­dau­er sind genau an­zu­ge­ben, und die Schü­le­rin­nen und Schü­ler sind über ihre Be­trof­fe­nen­rech­te (siehe Merk­blatt Be­trof­fe­nen­rech­te) zu un­ter­rich­ten. Ist für das Fo­to­gra­fie­ren/Vi­deo­gra­fie­ren ein Fo­to­graf en­ga­giert wor­den, so muss mit die­sem ein Ver­trag zur Auf­trags­da­ten­ver­ar­bei­tung ab­ge­schlos­sen wer­den (siehe Vor­la­ge auf it.​kul­tus-​bw.​de).
    Bitte be­ach­ten Sie: Die Auf­nah­me von ur­he­ber­recht­lich ge­schütz­ten Wer­ken, wäh­rend sie live vor­ge­tra­gen, vor­ge­spielt oder vor­ge­führt wer­den, ist nur mit Zu­stim­mung des Ur­he­bers mög­lich. Soll­ten also ur­he­ber­recht­lich ge­schütz­te Werke auf­ge­führt, und diese Auf­füh­rung auf­ge­nom­men wer­den, so muss die Zu­stim­mung des Be­rech­tig­ten vor­lie­gen. Bei Thea­ter­stü­cken kann diese z. B. im Rah­men der oh­ne­hin not­wen­di­gen Auf­führ­ge­neh­mi­gung mit­ein­ge­holt wer­den.

  2. Fo­to­gra­fie­ren/Auf­neh­men von auf­tre­ten­den Schü­le­rin­nen und Schü­lern durch El­tern und an­de­re Per­so­nen
    Häu­fig bei be­son­de­ren An­läs­sen wie bei­spiels­wei­se bei Ein­schu­lun­gen, Schul­fei­ern oder schu­li­schen Thea­ter­auf­füh­run­gen kommt es vor, dass El­tern und an­de­re Per­so­nen Bil­der von Schü­le­rin­nen und Schü­lern, aber auch von Lehr­kräf­ten an­fer­ti­gen wol­len.
    Per­so­nen­be­zo­ge­ne Daten dür­fen zur Aus­übung aus­schließ­lich per­sön­li­cher oder fa­mi­liä­rer Tä­tig­kei­ten von Pri­vat­per­so­nen er­ho­ben/ver­ar­bei­tet wer­den. Das trifft auf das Fo­to­gra­fie­ren auf Schul­ver­an­stal­tun­gen zu rein pri­va­ten Zwe­cken zu. Doch dabei wer­den auch Rech­te von an­de­ren Schü­le­rin­nen und Schü­lern und den Lehr­kräf­ten be­rührt. Be­son­ders pro­ble­ma­tisch ist dabei, dass für die be­trof­fe­nen Per­so­nen oft­mals fak­tisch gar keine Mög­lich­keit be­steht, dem Fo­to­gra­fiert­wer­den zu ent­ge­hen, weil, wie etwa bei Ein­schu­lungs­fei­ern, eine An­we­sen­heits­pflicht be­steht.
    Wie kann eine Schu­le nun ihren Bei­trag dazu leis­ten, dass die Rech­te der be­trof­fe­nen Per­so­nen ge­wahrt blei­ben?

    Das Kul­tus­mi­nis­te­ri­um schlägt zwei Lö­sungs­va­ri­an­ten vor:

  3. Va­ri­an­te1:
    Die Schu­le ver­bie­tet ge­ne­rell jede Fo­to­auf­nah­me wäh­rend der Ver­an­stal­tung. Dies kann sie auf­grund des Haus­rechts, über das die Schu­le ver­fügt, tun. In der Rea­li­tät dürf­te die­ses Ver­bot je­doch meist auf wenig Zu­stim­mung der­je­ni­gen, die gerne fo­to­gra­fie­ren möch­ten, sto­ßen.

    Va­ri­an­te 2:
    Die Schu­le bit­tet die El­tern darum, wäh­rend der Ver­an­stal­tung nicht zu fo­to­gra­fie­ren und bie­tet gleich­zei­tig an, am Ende der Ver­an­stal­tung an einem be­stimm­ten Ort der Schu­le Fotos an­fer­ti­gen zu kön­nen. Auf diese Weise ist mög­lich, dass Schü­le­rin­nen oder Schü­ler und an­de­re Per­so­nen, die es nicht wol­len, auch nicht fo­to­gra­fiert wer­den, indem sie die­sem Ort fern­blei­ben.

    Im üb­ri­gen ist es auch Pri­vat­per­so­nen un­ter­sagt, ur­he­ber­recht­lich ge­schütz­te Werke ohne Ein­wil­li­gung des Be­rech­tig­ten/Ur­he­bers auf­zu­neh­men, wäh­rend sie live vor­ge­tra­gen, vor­ge­spielt oder vor­ge­führt wer­den, so­fern keine Zu­stim­mung des Rech­te­inha­bers hier­für vor­liegt.
    Zu Be­ginn der Ver­an­stal­tung, an denen ur­he­ber­recht­lich ge­schütz­te Werke auf­ge­führt wer­den sol­len, soll­te das Pu­bli­kum dar­über in­for­miert wer­den, dass das Fo­to­gra­fie­ren/Fil­men nicht er­laubt ist.

  4. Fo­to­gra­fie­ren /Vi­deo­gra­fie­ren des Pu­bli­kums bei Ver­an­stal­tun­gen durch die Schu­le
    Eine An­fer­ti­gung und Ver­öf­fent­li­chung von Ver­an­stal­tungs­fo­tos und –vi­de­os des Pu­bli­kums auf­grund „be­rech­tig­ter In­ter­es­sen“ (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) ist mög­lich, da das Fo­to­gra­fie­ren der Ver­an­stal­tung zwar nicht zur Auf­ga­ben­er­fül­lung der  Schu­le er­for­der­lich ist, die Schu­le aber durch­aus ein be­rech­tig­tes In­ter­es­se daran hat, die öf­fent­lich­keit über die Ver­an­stal­tung zu in­for­mie­ren. Dies wird bei Schul­fes­ten, Sport­ver­an­stal­tun­gen usw.  re­gel­mä­ßig der Fall sein.
    Die Schu­le be­nö­tigt je­doch „Fo­to­hin­wei­se“, um ihren In­for­ma­ti­ons­pflich­ten nach Art. 13 und 14 EU-DSGVO zu ge­nü­gen.
    Es ist also genau über die Zwe­cke, für die die Fotos/Vi­de­os ver­ar­bei­tet wer­den, die Spei­cher­dau­er,  sowie über die Rechts­grund­la­ge zu in­for­mie­ren. Auch ist dar­über zu in­for­mie­ren, ob die Fotos ggf. an Drit­te wei­ter­ge­ge­ben wer­den. Fer­ner ist über das Recht auf Aus­kunft bzw. Be­rich­ti­gung und Lö­schung, auf das Wi­der­spruchs­recht gegen die Ver­ar­bei­tung sowie über das Be­ste­hen eines Be­schwer­de­rechts bei einer Da­ten­schutz­auf­sichts­be­hör­de (dem LfDI) zu in­for­mie­ren.
    Er­folgt die Ver­ar­bei­tung auf Grund­la­ge des Art. 6 Abs. 1 lit f) DS-GVO, so ist im Rah­men der In­for­ma­ti­ons­pflich­ten auch auf das be­rech­tig­te In­ter­es­se des Ver­ant­wort­li­chen hin­zu­wei­sen.
    Die In­for­ma­ti­on könn­te etwa durch einen Auf­druck auf der Ein­la­dung oder durch gut er­kenn­ba­ren Aus­hang an den Ein­gän­gen zu der Ver­an­stal­tung er­fol­gen, der die er­for­der­li­chen  An­ga­ben ent­hält und ins­be­son­de­re dar­über in­for­miert, an wen man sich wen­den kann, wenn man nicht ab­ge­lich­tet wer­den möch­te und dazu von sei­nem Wi­der­spruchs­recht Ge­brauch macht.
    Diese In­for­ma­ti­ons­pflich­ten kön­nen auch „ge­stuft“ er­füllt wer­den: So kön­nen in einem ers­ten Schritt zu­nächst aus­ge­wähl­te „Ba­sis­in­for­ma­tio­nen“ auf­ge­führt wer­den (z.B. Name und Kon­takt­da­ten des Ver­ant­wort­li­chen, Zwe­cke, für die die Bil­der ver­wen­det wer­den, Rechts­grund­la­ge der Ver­ar­bei­tung, Spei­cher­dau­er, Be­ste­hen von Be­trof­fe­nen­rech­ten und sein Wi­der­spruchs­recht), wäh­rend wei­ter­ge­hen­de In­for­ma­tio­nen in einem nach­ge­la­ger­ten Schritt etwa über eine Web­sei­te oder de­tail­lier­te­re In­for­ma­ti­ons­blät­ter ge­ge­ben wer­den.
    Das Kul­tus­mi­nis­te­ri­um hat hier­für unter der Ru­brik „For­mu­la­re“ zwei Aus­hän­ge be­reit­ge­stellt:
      • Aus­hang Ver­an­stal­tun­gen Da­ten­schutz Foto-Vi­deo­auf­nah­men
      • Aus­hang Be­trof­fe­nen­rech­te

    Diese soll­ten gut er­kenn­bar, bei­spiel­wei­se im Ein­gangs­be­reich oder am Emp­fang, aus­ge­hängt wer­den.

FAQ: Haf­tet der Da­ten­schutz­be­auf­trag­te?

Immer wie­der wird die Frage ge­stellt ob und in­wie­fern ein Da­ten­schutz­be­auf­trag­ter (DSB) für sein Han­deln und seine Emp­feh­lun­gen haf­tet.

Gemäß EU-DSGVO ob­liegt es al­lei­ne der ver­ant­wort­li­chen Stel­le, die da­ten­schutz­recht­li­chen Vor­ga­ben um­zu­set­zen. Damit liegt auch die da­ten­schutz­recht­li­che Ver­ant­wor­tung und damit auch Haf­tung nicht beim DSB son­dern bei der Lei­tung der ver­ant­wort­li­chen Stel­le.
Haf­tungs­fra­gen sind in Art. 82 EU-DSGVO ge­re­gelt. Dem­nach kann eine Per­son, der auf­grund eines da­ten­schutz­recht­li­chen Ver­sto­ßes eine ma­te­ri­el­ler oder im­ma­te­ri­el­ler Scha­den ent­stan­den ist, einen An­spruch auf Scha­den­er­satz ge­gen­über dem Ver­ant­wort­li­chen oder, so­fern vor­han­den, dem Auf­trags­ver­ar­bei­ter gel­tend ma­chen. Der DSB wird in die­ser Norm nicht er­wähnt.

Dem DSB kommt in ers­ter Linie eine be­ra­ten­de, un­ter­stüt­zen­de Rolle zu. Da­ne­ben ist es auch Auf­ga­be des DSB, die Ein­hal­tung der da­ten­schutz­recht­li­chen Vor­schrif­ten zu über­wa­chen. Bei sei­ner Auf­ga­ben­er­fül­lung ist der DSB wei­sungs­frei, d.h. der DSB darf keine Wei­sun­gen er­hal­ten, auf wel­che Weise er sei­nen Auf­ga­ben nach­zu­kom­men hat. Der DSB ist also zur pflicht­ge­mä­ßen Durch­füh­rung sei­ner über­wa­chungs- und Be­ra­tungs­tä­tig­keit ver­pflich­tet, aber nicht per­sön­lich zur Durch­set­zung der da­ten­schutz­recht­li­chen Pflich­ten des Ver­ant­wort­li­chen ver­pflich­tet.
Buss­gel­der sind gemäß Art. 83 Abs.7 EU-DSGVO i.V. § 28 LDSG weder ge­gen­über öf­fent­li­chen Stel­len noch ge­gen­über dem DSB vor­ge­se­hen.

Die Frage einer Haf­tung ist beim DSB gemäß den be­am­ten­recht­li­che Vor­schrif­ten ge­nau­so wie bei jedem an­de­ren Be­am­ten auch, zu be­ant­wor­ten. Das be­deu­tet, dass wenn ein Be­am­ter wäh­rend der Aus­übung eines öf­fent­li­chen Amtes und damit in­fol­ge ho­heit­li­cher Tä­tig­keit eine Pflicht­ver­let­zung be­gan­gen hat, sich für ihn eine Haf­tungs­pflicht für ein­ge­tre­te­ne Schä­den er­ge­ben kann. Im Au­ßen­ver­hält­nis ge­gen­über Drit­ten haf­tet grund­sätz­lich der Dienst­herr für eine schuld­haf­te Pflicht­ver­let­zung bei öf­fent­lich-recht­li­chem Han­deln des Be­am­ten. Ein Re­gress­an­spruch be­steht nur bei vor­sätz­li­chem oder grob fahr­läs­si­gem Han­deln.

Kann die Lehr­kraft im Miss­brauchs­fall die Her­aus­ga­be des Mo­bil­funk­te­le­fons von Schü­lern ver­lan­gen?

Ja!

Eine Lehr­kraft kann die Her­aus­ga­be eines Han­dys immer dann ver­lan­gen, wenn es schul­ord­nungs­wid­rig ver­wen­det wird. Dies ist z. B. dann der Fall, wenn Schü­ler beim An­schau­en von Ge­walt- oder Por­no­vi­de­os an­ge­trof­fen wer­den oder wenn die Schul- und Haus­ord­nung ver­letzt wird. Da Han­dys aber In­hal­te aus dem Pri­vat­le­ben der Schü­le­rin bzw. des Schü­lers ge­spei­chert haben kön­nen, ist es al­ler­dings nicht zu­läs­sig, dass die Lehr­kraft selbst die ge­spei­cher­ten In­hal­te ab­ruft. Neben dem Ei­gen­tums­grund­recht kön­nen auch die Grund­rech­te auf in­for­ma­tio­nel­le Selbst­be­stim­mung sowie das Post- und Fern­mel­de­ge­heim­nis be­rührt sein. Die Schu­le ist daher ver­pflich­tet, das Handy bei Ver­dacht von straf­ba­rem Ver­hal­ten der Po­li­zei oder bei sons­ti­gen Ver­stö­ßen den Er­zie­hungs­be­rech­tig­ten zu über­ge­ben mit der Bitte, dem Ver­dacht nach­zu­ge­hen.
Er­mitt­lun­gen nach § 90 SchG sind al­ler­dings mög­lich, da diese nur durch die Schu­le er­fol­gen kön­nen (z. B. schul­ord­nungs­wid­ri­ger Ge­brauch des Han­dys). Emp­feh­lens­wert ist das Er­stel­len einer Nut­zungs­ord­nung für Mo­bil­funk­te­le­fo­ne an der öf­fent­li­chen Schu­le.

Dür­fen Klas­sen­el­tern­ver­tre­ter, also Mit­glie­der des El­tern­bei­rats auf die per­so­nen­be­zo­ge­nen Daten von an­de­ren Schü­lern, nicht der ei­ge­nen Kin­der, im Rah­men ihrer Auf­ga­be­ne­rül­lung zu­grei­fen?

Nein!

An­ge­le­gen­hei­ten ein­zel­ner Schü­ler kön­nen die El­tern­ver­tre­tun­gen nur mit der Zu­stim­mung von deren El­tern be­han­deln.

Darf der Com­pu­ter (auch Lap­top, mo­bi­les End­ge­rät) einer Lehr­kraft, auf dem per­so­nen­be­zo­ge­ne Daten (z.B. Noten von Schü­lern) ge­spei­chert sind, in das päd­ago­gi­sche Netz ein­ge­bracht wer­den?

Ja!

So­weit auf dem Com­pu­ter be­reits per­so­nen­be­zo­ge­ne Daten ge­spei­chert bzw. vor­han­den sind, darf die­ses Gerät zwar in das päd­ago­gi­sche Netz ein­ge­bun­den wer­den, die per­so­nen­be­zo­ge­nen Daten müs­sen dabei in jedem Fall ver­schlüs­selt sein. Eine Ver­ar­bei­tung (Spei­chern, öff­nen der ver­schlüs­sel­ten Datei, jeg­li­che Be­ar­bei­tung, Ver­schie­ben usw.) darf je­doch ge­ne­rell nicht er­fol­gen.
Per­so­nen­be­zo­ge­ne Daten dür­fen im päd­ago­gi­schen Netz näm­lich grund­sätz­lich nicht ver­ar­bei­tet wer­den.

Warum?
Es ist re­la­tiv ein­fach, bei­spiels­wei­se durch den Ein­satz von Key­log­gern, das Pass­wort für die Ver­schlüs­se­lung aus­zu­spä­hen: Im un­si­che­ren päd­ago­gi­schen Netz könn­te eine Key­log­ger Soft­ware auf den Leh­rer-Com­pu­ter auf­ge­bracht wer­den (dies ist ganz ein­fach mög­lich z.B. über den USB An­schluss. Wird nun das Pass­wort ein­ge­ge­ben dann spei­chert der Key­log­ger das Pass­wort.

Wel­che Al­ter­na­ti­ven zur Ver­ar­bei­tung gibt es?

  1. Spei­chern der per­so­nen­be­zo­ge­nen Daten auf einem USB Stick in ver­schlüs­sel­ter Form.
  2. Spei­che­rung der per­so­nen­be­zo­ge­nen Daten im Leh­rer­netz. In die­sem Fall darf ein Zu­griff auf die Daten vom päd­ago­gi­schen Netz aus nicht er­mög­licht wer­den.
  3. Spei­che­rung der per­so­nen­be­zo­ge­nen Daten ent­spre­chend der Vor­ga­ben des Netz­briefs zur Un­ter­richts­um­ge­bung (Stich­wort: ei­ge­nes Ser­ver­netz) oder au­ßer­halb der Schu­le bei einem Dienst­leis­ter (Auf­trags­da­ten­ver­ar­bei­tung!). In bei­den Fäl­len ist die Ver­wen­dung einer zwei Fak­to­ren Au­then­ti­fi­zie­rung sowie einer Ende-zu Ende-Ver­schlüs­se­lung vor­ge­schrie­ben.

Hin­weis: Kom­pe­tenz­ras­ter an Schu­len

  • Die Kom­pe­ten­zen von Schü­le­rin­nen und Schü­ler kön­nen in Mood­le vom un­ter­richt­li­chen päd­ago­gi­schen Netz aus er­fasst wer­den, da Mood­le die Vor­ga­ben des Netz­briefs er­füllt.
  • Die in Mood­le ge­spei­cher­ten Daten die­nen als Vor­la­ge / An­la­ge für den Lern­ent­wick­lungs­be­richt.
  • Der Lern­ent­wick­lungs­be­richt / Zeug­nis darf nicht im päd­ago­gi­schen, son­dern nur im se­pa­ra­ten Leh­rer­netz oder auf einem ent­spre­chend ge­schütz­ten PC zu Hause von der Lehr­kraft er­zeugt bzw. wei­ter ver­ar­bei­tet wer­den.

Wie mache ich es mir ein­fach bei der Nut­zung von pri­va­ten Da­ten­ver­ar­bei­tungs­ge­rä­ten? 

Ist die Ver­wen­dung von pri­vat­ei­ge­nen Da­ten­ver­ar­bei­tungs­ge­rä­ten (wie Personal­Computer, Lap­top, Note­book, usw.) be­ab­sich­tigt, dann müs­sen die Vor­ga­ben in der VwV "Da­ten­schutz an öf­fent­li­chen Schu­len" (Ab­schnitt I, Nr. 11) und An­la­ge zur VwV be­rück­sich­tigt wer­den. Sie müs­sen um­fang­rei­che tech­ni­sche und or­ga­ni­sa­to­ri­sche Da­ten­schutz­maß­nah­men tref­fen, um ins­be­son­de­re jeden un­be­fug­ten Zu­griff - bei­spiels­wei­se auch bei einer Mit­nut­zung des Ge­rä­tes durch Fa­mi­li­en­an­ge­hö­ri­ge - zu ver­hin­dern. Die Nut­zung die­ser Ge­rä­te ist durch die Schul­lei­tung zu ge­neh­mi­gen. Hier­zu steht das For­mu­lar "An­trag auf Nut­zung pri­va­ter Da­ten­ver­ar­bei­tungs­ge­rä­te für dienst­li­che Zwe­cke" auf die­sem Por­tal be­reit. So­wohl der Schul­lei­tung als auch dem Lan­des­be­auf­trag­ten für den Da­ten­schutz steht ein Kon­troll­recht zu.

Doch Sie kön­nen es sich ein­fa­cher ma­chen!

Indem Sie sämt­li­che per­so­nen­be­zo­ge­nen Daten aus­schließ­lich auf einem USB- Stick ab­spei­chern und die­sen USB-Stick ver­schlüs­seln, z.B. mit­tels der Soft­ware Ver­a­Crypt, ver­rin­gern Sie Ihren Auf­wand er­heb­lich. Da­durch wird z.B. wirk­sam ein un­be­fug­ter Zu­griff auf die Daten ver­hin­dert, sie müs­sen also keine auf­wän­di­gen Be­rech­ti­gungs­struk­tu­ren hin­ter­le­gen. Fer­ner kön­nen Sie auf diese Weise leicht dem Aus­kunfts­an­spruch Ihrer Schul­lei­tung oder des Lan­des­be­auf­trag­ten für den Da­ten­schutz nach­kom­men, da Sie dann nur den USB-Stick - und nicht den gan­zen Com­pu­ter, auf dem sich u.U. auch pri­va­te Daten be­fin­den - vor­wei­sen müs­sen. Bitte den­ken Sie auch an die Si­che­rungs­ko­pie auf einem wei­te­ren USB-Stick.
Bei der Ge­neh­mi­gung durch die Schul­lei­tung sind je­doch alle ein­ge­setz­ten Ge­rä­te ge­neh­mi­gen zu las­sen: wenn Sie also zwar alle dienst­li­chen Daten auf einem USB-Stick spei­chern, die Ver­ar­bei­tung die­ser Daten aber mit­tels Ihres pri­va­ten Com­pu­ters durch­füh­ren, müs­sen Sie auch die­sen Com­pu­ter und den USB-Stick ge­neh­mi­gen las­sen.

Was sind per­so­nen­be­zo­ge­ne Daten? 

Per­so­nen­be­zo­ge­ne Daten sind nach Art. 4 Abs. 1 EU-DSGVO alle In­for­ma­tio­nen, die sich auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re na­tür­li­che Per­son (im Fol­gen­den „be­trof­fe­ne Per­son“) be­zie­hen. Als iden­ti­fi­zier­bar wird eine na­tür­li­che Per­son an­ge­se­hen, die di­rekt oder in­di­rekt, ins­be­son­de­re mit­tels Zu­ord­nung zu einer Ken­nung wie einem Namen, zu einer Kenn­num­mer, zu Stand­ort­da­ten, zu einer On­line-Ken­nung oder zu einem oder meh­re­ren be­son­de­ren Merk­ma­len, die Aus­druck der phy­si­schen, phy­sio­lo­gi­schen, ge­ne­ti­schen, psy­chi­schen, wirt­schaft­li­chen, kul­tu­rel­len oder so­zia­len Iden­ti­tät die­ser na­tür­li­chen Per­son sind, iden­ti­fi­ziert wer­den kann. Zu die­sen Daten ge­hö­ren z. B. Name, An­schrift, Ge­burts­da­tum, Te­le­fon­num­mer, Fotos, Email-Adres­se, Kon­to­num­mer, Noten usw.

Dür­fen beim Ein­satz von Lern-, In­for­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­platt­for­men Ver­hal­tens- und Leis­tungs­kon­trol­len, sta­tis­ti­sche Aus­wer­tun­gen der Be­schäf­tig­ten er­fol­gen? 

Nein!

Nach § 6 Ab­satz 1 der Rah­men­dienst­ver­ein­ba­rung zum Ein­satz von Lern-, In­for­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­platt­for­men (vom 26.01.2012) fin­det keine Ver­hal­tens- und Leis­tungs­kon­trol­le bzw. -be­wer­tung der Be­schäf­tig­ten mit­tels au­to­ma­ti­sier­ter Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten und sons­ti­ge sta­tis­ti­sche Er­fas­sung und Aus­wer­tung statt.

Wel­che Stel­le trägt die da­ten­schutz­recht­li­che Ver­ant­wor­tung bei der Aus­stat­tung und dem Be­trieb sog. elek­tro­ni­scher Schließ­sys­te­me an Schu­len?

Schul­trä­ger er­set­zen zu­neh­mend me­cha­ni­sche durch elek­tro­ni­sche Schließ­an­la­gen an Schu­len (§ 48 SchG). So­fern mit Kom­po­nen­ten einer elek­tro­ni­schen Schließ­an­la­ge (Schließ­me­di­um, Tür­zy­lin­der, Pro­gram­mier­ge­rät, Ver­wal­tungs­soft­ware) per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet wer­den (z.B. Stamm­da­ten, Er­eig­nis­pro­to­kol­le) stellt sich die Frage der da­ten­schutz­recht­lich ver­ant­wort­li­chen Stel­le (Art. 4 Abs. 7 EU-DSGVO).
Be­treibt der Schul­trä­ger im Rah­men des tech­ni­schen Ge­bäu­de­ma­nage­ments eine elek­tro­ni­sche Schließ­an­la­ge ist er für eine per­so­nen­be­zo­ge­ne Da­ten­ver­ar­bei­tung ver­ant­wort­lich. So­fern der Schul­trä­ger die Ver­wal­tung der Schließ­an­la­ge ganz oder teil­wei­se auf den Schul­lei­ter de­le­giert, nimmt die­ser im Rah­men sei­ner Auf­ga­ben nach § 41 SchG (Auf­sicht über die Schul­an­la­ge und das Schul­ge­bäu­de, Ver­wal­tung und Pfle­ge der der Schu­le über­las­se­nen Ge­gen­stän­de) Auf­ga­ben des Schul­trä­gers wahr und ist dabei an des­sen An­ord­nun­gen ge­bun­den. Da der Schul­lei­ter im Rah­men der An­ord­nung des Schul­trä­gers han­delt, bleibt der Schul­trä­ger die da­ten­schutz­recht­lich ver­ant­wort­li­che Stel­le. Aus­führ­li­che In­for­ma­tio­nen fin­den Sie auch auf dem Leh­rer­fort­bil­dungs­ser­ver, hier.

Dür­fen Schü­ler, die im Schü­ler­rat oder der Schü­ler­mit­ver­ant­wor­tung aktiv sind, auf per­so­nen­be­zo­ge­ne Daten von an­de­ren Schü­lern im Rah­men ihrer Auf­ga­be­ne­rül­lung zu­grei­fen?

Nein!

Ein Zu­griff auf per­so­nen­be­zo­ge­ne Daten ist nur nach vor­he­ri­ger Ein­wil­li­gung durch die Be­trof­fe­nen zu­läs­sig.

Dür­fen die Schul­com­pu­ter, die an das In­ter­net an­ge­schlos­sen sind, pri­vat ge­nutzt wer­den? 

Aus da­ten­schutz­recht­li­cher Sicht ja, aber das Kul­tus­mi­nis­te­ri­um rät davon ab!

Die öf­fent­li­che Schu­le kann selbst ent­schei­den, ob sie die pri­va­te In­ter­net­nut­zung ge­stat­tet oder un­ter­sagt. So­bald die öf­fent­li­che Schu­le den Lehr­kräf­ten bzw. den Schü­le­rin­nen und Schü­lern die pri­va­te In­ter­net­nut­zung ge­stat­tet, wird sie zum Diens­te­an­bie­ter nach dem Te­le­me­di­en­ge­setz (vgl. §§ 2, 11 Abs. 1 Te­le­me­di­en­ge­setz; §§ 3, 88 Abs. 2 Te­le­kom­mu­ni­ka­ti­ons­ge­setz) was zu einer Haf­tung als Pro­vi­der führt. Fer­ner sind die haus­halts­recht­li­chen Fol­gen zu be­ach­ten. In die­sem Fall müss­te die Schu­le näm­lich für die pri­va­te In­an­spruch­nah­me dienst­li­cher IuK-In­fra­struk­tur ein ent­spre­chen­des Ent­gelt er­he­ben. Die öf­fent­li­che Schu­le soll­te in einer Nut­zungs­ord­nung bzw. Dienst­an­wei­sung die da­ten­schutz­re­le­van­ten Fra­gen bei der In­ter­net­nut­zung (Pro­to­kol­lie­rung, Aus­wer­tung und Lö­schung der Daten) re­geln.

Al­ler­dings ist eine pri­va­te In­ter­net­nut­zung der Com­pu­ter, die nicht für den Un­ter­richt ­sondern für Ver­wal­tungs­zwe­cke ein­ge­setzt wer­den (z. B. KISS-Rech­ner), nicht ge­stat­tet.

Was ist bei der Ver­öf­fent­li­chung per­so­nen­be­zo­ge­ner Daten auf der Schul­home­page zu be­ach­ten?

Die per­so­nen­be­zo­ge­nen Daten von Schü­le­rin­nen, Schü­lern und Lehr­kräf­ten dür­fen ohne Ein­wil­li­gung der Be­trof­fe­nen im In­ter­net nicht ver­öf­fent­licht wer­den. Das­sel­be gilt ür Fo­to­gra­fi­en, Film und Ton­auf­nah­men.

Eine Ver­öf­fent­li­chung der dienst­li­chen Er­reich­bar­keits­da­ten (aber keine Fotos) der Schul­lei­te­rin bzw. des Schul­lei­ters und deren Stell­ver­tre­te­rin bzw. deren Stell­ver­tre­ter ist als dienst­lich er­for­der­lich und somit auch ohne deren Ein­wil­li­gung als zu­läs­sig an­zu­se­hen. Dies gilt aber nicht ür das üb­ri­ge Per­so­nal der Schu­le (Leh­rer­kol­le­gi­um, Haus­meis­ter und Schul­se­kre­tä­rin).

Dür­fen per­so­nen­be­zo­ge­ne Daten (Pri­vat­an­schrift und Te­le­fon­num­mer) von allen Lehr­kräf­ten, ohne deren Ein­wil­li­gung, von der Schul­lei­tung in das Schul­in­tra­net ein­ge­stellt wer­den?

Nein!

Zu den Auf­ga­ben des Schul­lei­ters ge­hört u. a. die An­ord­nung von Ver­tre­tun­gen. Des­halb muss er die per­sön­li­chen Daten der Lehr­kräf­te ken­nen. Nach dem Grund­satz der Zweck­bin­dung und Da­ten­spar­sam­keit ist es je­doch nicht ge­stat­tet und auch nicht er­for­der­lich, dass z. B. für Ver­tre­tungs­fäl­le alle Lehr­kräf­te im In­tra­net die pri­va­ten An­schrif­ten und Te­le­fon­num­mern der Kol­le­gin­nen und Kol­le­gen ein­se­hen kön­nen. Die von der Schul­lei­tung er­ho­be­nen Pri­vat­da­ten der Lehr­kräf­te dür­fen nur dann in das Schul­in­tra­net ein­ge­stellt wer­den, wenn sie in diese Ver­ar­bei­tungs­form schrift­lich ein­ge­wil­ligt haben.

Dür­fen ein­zel­ne Schul­no­ten vor der ge­sam­ten Klas­se be­kannt ge­ge­ben wer­den?

Nein!

Grund­sätz­lich ist dies nicht zu­läs­sig. Die Be­kannt­ga­be der Noten kann eben­so unter vier Augen statt­fin­den; zur Ori­en­tie­rung der Schü­le­rin­nen und Schü­ler ge­nügt ein No­ten­spie­gel (zah­len­mä­ßi­ger über­blick über die No­ten­ver­tei­lung ohne Na­mens­nen­nung). Aus päd­ago­gi­schen Grün­den sind Aus­nah­men nur in Ein­zel­fäl­len denk­bar, z.B. bei einer be­son­de­ren Ver­bes­se­rung eines Schü­lers im Sinne einer Vor­bild­wir­kung.

Wie lässt sich schnell und ein­fach ein ge­mein­sa­mer Ter­min aus einer Aus­wahl fin­den, ohne dood­le zu nut­zen?
Sie als Schul­lei­tung kön­nen mit Ihrer *@*.​schu­le.​bwl.​de oder *@*.​bw.​schu­le.​de unter fol­gen­dem Link Um­fra­gen zur Ter­min­fin­dung er­stel­len:
https://​oft.​kul­tus-​bw.​de/​Ter­min
Teil­neh­men kön­nen auch Per­so­nen ohne ent­spre­chen­de Email-Adres­se. Der Lan­des­be­auf­trag­te für den Da­ten­schutz und die In­for­ma­ti­ons­frei­heit (LfDI) hat auf sei­ner Home­page zudem eine quell­of­fe­nes und li­zenz­frei­es Pro­dukt emp­foh­len

Für die über­mitt­lung von Noten oder Leis­tungs­be­ur­tei­lun­gen an Schü­ler sind meh­re­re Vor­ge­hens­wei­sen denk­bar:

  1. Ver­sand per Post in ver­schlos­se­nem Um­schlag
  2. Mit­tei­lung von Noten oder Be­wer­tun­gen in Mood­le
  3. Durch tech­ni­sche und or­ga­ni­sa­to­ri­sche Maß­nah­men muss dabei si­cher­ge­stellt sein, dass die Schü­ler­be­wer­tun­gen Un­be­fug­ten nicht zu­gäng­lich wer­den.
    • Die Ver­schlüs­se­lung ist durch den Zu­griff per https für jedes bei Bel­Wue ge­hos­te­te Mood­le ge­währ­leis­tet
    • Eine si­che­re Au­then­ti­fi­zie­rung muss auf ent­spre­chend hohem Ni­veau (Pass­wort­län­ge und Kom­ple­xi­tät) ge­währ­leis­tet sein, bei Lehr­kräf­ten ist zwin­gend eine 2-Fak­to­ren-Au­then­ti­fi­zie­rung er­for­der­lich.
    • In Mood­le müs­sen hier­für ent­spre­chen­de Mo­du­le ge­wählt wer­den, die nur der be­wer­ten­den Lehr­kraft und dem je­wei­li­gen SuS al­lei­ne den Zu­griff ge­wäh­ren. (Grund­sätz­lich soll­ten Fach­leh­rer un­ter­ein­an­der nicht die Noten des Kol­le­gen sehen kön­nen. D.h. in dem Kurs, in dem die Noten be­kannt ge­ge­ben wer­den, soll­te nur die Lehr­kraft als Trai­ner ein­ge­tra­gen sein. Ggf. kann eine Er­for­der­lich­keit be­ste­hen, dass die Klas­sen­lehr­kraft die Noten sehen kann.)
  4. Ver­sand per eMail
  5. Die Noten oder Be­ur­tei­lun­gen müs­sen dabei ver­schlüs­selt sein indem ent­we­der diese in einen An­hang ge­packt wer­den, der dann ver­schlüs­selt wird oder der In­halt der Mail selbst ver­schlüs­selt wird. Das ver­wen­de­te Pass­wort darf nur dem Ab­sen­der und dem Emp­fän­ger be­kannt sei.

Muss die Schu­le ein Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten füh­ren?

Ja!

Jede Schu­le führt ein schrift­li­ches oder elek­tro­ni­sches Ver­zeich­nis aller Ver­ar­bei­tungs­tä­tig­kei­ten, die ihrer Zu­stän­dig­keit un­ter­lie­gen. Dies gilt auch für den Fall, dass die Schu­le eine Da­ten­ver­ar­bei­tung durch eine an­de­re Per­son, Be­hör­de, Ein­rich­tung oder Stel­le durch­füh­ren lässt (Auf­trags­da­ten­ver­ar­bei­tung).

Die Ver­ant­wor­tung, für das Füh­ren des Ver­zeich­nis­ses der Ver­ar­bei­tungs­tä­tig­kei­ten liegt bei der Schul­lei­tung, die selbst­ver­ständ­lich diese Auf­ga­ben de­le­gie­ren kann. Im Ver­gleich zum Lan­des­da­ten­schutz­ge­setz in sei­ner alten Fas­sung geht es nicht nur um au­to­ma­ti­sier­te Ver­fah­ren, son­dern um jede Ver­ar­bei­tung, die ganz oder teil­wei­se au­to­ma­ti­siert er­folgt oder die per­so­nen­be­zo­ge­ne Daten in Da­tei­sys­te­men spei­chert. Unter Da­tei­sys­tem sind dabei auch pa­pier­ge­bun­de­ne Akten zu ver­ste­hen, so­fern diese nach be­stimm­ten Kri­te­ri­en ge­ord­net sind.

Das Ver­zeich­nis ent­hält sämt­li­che der fol­gen­den An­ga­ben:

Das Ver­zeich­nis ent­hält sämt­li­che der fol­gen­den An­ga­ben:
  1. Namen und die Kon­takt­da­ten des Ver­ant­wort­li­chen und ge­ge­be­nen­falls des ge­mein­sam mit ihm Ver­ant­wort­li­chen, des Ver­tre­ters des Ver­ant­wort­li­chen sowie eines et­wai­gen Da­ten­schutz­be­auf­trag­ten,
  2. Zweck der Ver­ar­bei­tung,
  3. Be­schrei­bung der Ka­te­go­ri­en be­trof­fe­ner Per­so­nen und der Ka­te­go­ri­en per­so­nen­be­zo­ge­ner Daten,
  4. Ka­te­go­ri­en von Emp­fän­gern (auch an­de­re Lehr­kräf­te der ei­ge­nen Schu­le), ge­gen­über denen die per­so­nen­be­zo­ge­nen Daten of­fen­ge­legt wor­den sind oder noch of­fen­ge­legt wer­den, ein­schließ­lich Emp­fän­ger in Dritt­län­dern oder in­ter­na­tio­na­len Or­ga­ni­sa­tio­nen,
  5. ge­ge­be­nen­falls über­mitt­lun­gen von per­so­nen­be­zo­ge­nen Daten an ein Dritt­land oder an eine in­ter­na­tio­na­le Or­ga­ni­sa­ti­on, ein­schließ­lich der An­ga­be des be­tref­fen­den Dritt­lands oder der be­tref­fen­den in­ter­na­tio­na­len Or­ga­ni­sa­ti­on, sowie bei den in Ar­ti­kel 49 Ab­satz 1 Un­ter­ab­satz 2 EU-DSGVO ge­nann­ten Da­ten­über­mitt­lun­gen die Do­ku­men­tie­rung ge­eig­ne­ter Ga­ran­ti­en,
  6. die vor­ge­se­he­nen Fris­ten für die Lö­schung der ver­schie­de­nen Da­ten­ka­te­go­ri­en,
  7. eine all­ge­mei­ne Be­schrei­bung der tech­ni­schen und or­ga­ni­sa­to­ri­schen Maß­nah­men gemäß Ar­ti­kel 32 Ab­satz 1 EU DSGVO, diese Maß­nah­men schlie­ßen u. a. Fol­gen­des ein:
    • Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten,
    • Fä­hig­keit, die Ver­trau­lich­keit, In­te­gri­tät, Ver­füg­bar­keit und Be­last­bar­keit der Sys­te­me und Diens­te im Zu­sam­men­hang mit der Ver­ar­bei­tung auf Dauer si­cher­zu­stel­len,
    • Fä­hig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zu­gang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wie­der­her­zu­stel­len,
    • Ver­fah­ren zur re­gel­mä­ßi­gen über­prü­fung, Be­wer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und or­ga­ni­sa­to­ri­schen Maß­nah­men zur Ge­währ­leis­tung der Si­cher­heit der Ver­ar­bei­tung.
  8. Ein­hal­tung der Grund­sät­ze für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten nach Art 5. EU-DSGVO (Aus Grün­den der ge­setz­lich vor­ge­schrie­be­nen Re­chen­schafts­pflicht wird emp­foh­len, in dem Ver­zeich­nis auch die Um­set­zung der da­ten­schutz­recht­li­chen Grund­prin­zi­pi­en zu do­ku­men­tie­ren):
    1.       
    2. Recht­mä­ßig­keit, Ver­ar­bei­tung nach Treu und Glau­ben, Trans­pa­renz,
    3. Zweck­bin­dung (Siehe Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­keit Nr. 2 „Zwe­cke der Ver­ar­bei­tung“),
    4. Da­ten­mi­ni­mie­rung,
    5. Rich­tig­keit,            
    6. Spei­cher­be­gren­zung (Siehe Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­keit Nr. 6 „Lösch­fris­ten“),
    7. In­te­gri­tät und Ver­trau­lich­keit (Siehe Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­keit Nr. 7, „Be­schrei­bung der techn.-org. Maß­nah­men“).

Die An­ga­ben sind so kon­kret und de­tail­liert zu ma­chen, dass eine kun­di­ge Per­son in der Lage ist, diese nach­zu­voll­zie­hen.
Das Kul­tus­mi­nis­te­ri­um hat auf der web­ba­sier­ten Platt­form vvbw.​kul­tus-​bw.​de viele Mus­ter be­reit­ge­stellt (u. a. für Schul­ver­wal­tungs­soft­ware, Stun­den­plan­soft­ware, Kom­pe­tenz­ana­ly­se usw.). Da­ne­ben sind um­fang­rei­che Hin­wei­se und Tipps für das Aus­fül­len vor­han­den. Es wird emp­foh­len, dass die Schu­le dort ihr Ver­zeich­nis führt.

Die­ses Ver­zeich­nis ist vor der ers­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten zu er­stel­len. Wäh­rend das alte Ver­fah­rens­ver­zeich­nis in wei­ten Tei­len noch auf An­trag je­der­mann zu­gäng­lich zu ma­chen war, be­steht diese Pflicht bei den Ver­zeich­nis­sen von Ver­ar­bei­tungs­tä­tig­kei­ten nur noch ge­gen­über den Auf­sichts­be­hör­den auf An­fra­ge.

Art. 39 EU-DSGVO be­schreibt ge­ne­rell die Auf­ga­be des bDSB, die Be­hör­de im Be­reich des Da­ten­schut­zes zu un­ter­stüt­zen und zu be­ra­ten. Da­ne­ben ist es Auf­ga­be des bDSB, den Ver­ant­wort­li­chen bei der Ein­hal­tung der da­ten­schutz­recht­li­chen Vor­schrif­ten zu über­wa­chen. Dar­aus folgt, dass das Er­stel­len des Ver­zeich­nis­ses der Ver­ar­bei­tungs­tä­tig­kei­ten nicht zur den Auf­ga­ben des bDSB ge­hö­ren kann, sonst würde die­ser ja sich selbst über­wa­chen müs­sen.
Der Input für das Ver­zeich­nis muss also zu­min­dest bei grö­ße­ren Schu­len von den je­wei­li­gen Ver­fah­rens­ver­ant­wort­li­chen ge­leis­tet wer­den. Die not­wen­di­gen An­ga­ben für das Ver­zeich­nis müss­ten bei den für die ein­zel­nen Ver­fah­ren zu­stän­di­gen Per­so­nen er­ho­ben wer­den, bei­spiels­wei­se tech­ni­sche In­for­ma­tio­nen vom EDV-Ad­mi­nis­tra­tor bzw. vom Netz­werk­be­treu­er. Im Re­gel­fall ist an den Schu­len zur Er­stel­lung des Ver­zeich­nis­ses der Ver­ar­bei­tungs­tä­tig­kei­ten eine Zu­sam­men­ar­beit zwi­schen den Ver­fah­rens­ver­ant­wort­li­chen und der Be­ra­tung durch den bDSB er­for­der­lich.

Neben der da­ten­schutz­recht­li­chen Do­ku­men­ta­ti­on des au­to­ma­ti­sier­ten Ver­fah­rens er­füllt das Ver­fah­rens­ver­zeich­nis noch einen wei­te­ren Zweck. Durch die um­fas­sen­de Do­ku­men­ta­ti­on des je­wei­li­gen Ver­fah­rens ist näm­lich der ver­ant­wort­li­chen Stel­le eine Ei­gen­kon­trol­le des Ver­fah­rens mög­lich. Hier­bei kann ins­be­son­de­re über­prüft wer­den, ob das Ver­fah­ren recht­mä­ßig ein­ge­setzt wird und vor allem ob die ge­trof­fe­nen tech­ni­schen und or­ga­ni­sa­to­ri­schen Datenschutz-­Maßnahmen wirk­sam und aus­rei­chend sind.

Zu­sam­men­fas­send kann fest­ge­hal­ten wer­den, dass die Schul­lei­tung für die Er­stel­lung des Ver­fah­rens­ver­zeich­nis­ses ver­ant­wort­lich ist, weil sie die Ge­samt-ver­ant­wor­tung für die Ein­hal­tung des Da­ten­schut­zes an der Schu­le trägt.

Ver­öf­fent­li­chung von Fotos, Fil­men und an­de­ren di­gi­ta­len Me­di­en im In­ter­net/In­tra­net oder in Print­me­di­en
Was ist bei der Ver­öf­fent­li­chung zu be­ach­ten?

Die Ver­öf­fent­li­chung von Fotos, Fil­men und an­de­ren di­gi­ta­len Me­di­en im In­ter­net/In­tra­net oder in Print­me­di­en, auf denen Min­der­jäh­ri­ge ab­ge­bil­det sind, ist immer nur mit vor­he­ri­ger schrift­li­cher oder elek­tro­ni­scher Ein­wil­li­gung der Er­zie­hungs­be­rech­tig­ten zu­läs­sig. Nach Voll­endung des 14. Le­bens­jah­res der Schü­le­rin oder des Schü­lers muss zu­sätz­lich deren/des­sen Ein­wil­li­gung ein­ge­holt wer­den. Es han­delt sich nicht um ein Rechts­ge­schäft, wes­halb die Ein­wil­li­gung der El­tern nur bei feh­len­der Ein­sichts­fä­hig­keit des Schü­lers er­for­der­lich ist. Ab 16 Jah­ren ist der Schü­ler üb­li­cher­wei­se ein­sichts­fä­hig.
Die Ein­wil­li­gungs­er­klä­rung gilt bis zum Ende des Schul­be­suchs und kann je­der­zeit ohne An­ga­ben von Grün­den wi­der­ru­fen wer­den.

Mus­ter­vor­la­gen fin­den Sie hier.

Ein­wil­li­gung nach VwV Da­ten­schutz an Schu­len-II.1-5.12.2014 und Kunst­UrhG § 22
übersicht

Wann und wie müs­sen Daten ver­schlüs­selt wer­den?

Mit­tels Ver­schlüs­se­lung kann un­be­fug­te Kennt­nis­nah­me, un­be­fug­tes Ko­pie­ren oder Ver­än­dern von per­so­nen­be­zo­ge­nen Daten bei der Spei­che­rung, dem Trans­port und der über­tra­gung ver­hin­dert wer­den.

Per­so­nen­be­zo­ge­ne Daten von Schü­le­rin­nen und Schü­lern oder Lehr­kräf­ten, die auf mo­bi­len Spei­cher­ge­rä­ten wie z.B. ex­ter­nen Fest­plat­ten, USB Spei­cher­me­di­en, CD-ROMs, usw. ab­ge­legt wer­den, aber auch auf Lap­tops, Note­books, Ta­blets, Smart­pho­nes, PDAs, usw. müs­sen immer ver­schlüs­selt sein. Ein al­lei­ni­ger pass­wort­ge­schütz­ter Ge­rä­te­zu­gang reicht nicht aus! Auch für den Fall, dass per­so­nen­be­zo­ge­ne Daten per E-Mail über das In­ter­net über­tra­gen wer­den sol­len, ist eine Ver­schlüs­se­lung vor­ge­schrie­ben. Dar­über hin­aus ist eine Ver­schlüs­se­lung aller ge­spei­cher­ten dienst­li­cher per­so­nen­be­zo­ge­ner Daten auf pri­va­ten Da­ten­ver­ar­bei­tungs­ge­rä­ten vor­ge­schrie­ben.

Die Ver­schlüs­se­lung muss grund­sätz­lich min­des­tens gemäß AES-256 er­fol­gen. Bis auf wei­te­res kann auch eine Ver­schlüs­se­lung nach AES-128 ge­nutzt wer­den, so­fern eine Ap­pli­ka­ti­on nur diese Ver­schlüs­se­lung be­inhal­tet. Das Kul­tus­mi­nis­te­ri­um emp­fiehlt die Nut­zung der kos­ten­lo­sen Soft­ware Ver­a­Crypt. Hin­wei­se und kon­kre­te Emp­feh­lun­gen auch zu wei­te­rer ge­prüf­ter Ver­schlüs­se­lungs­soft­ware gibt das Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) www.​bsi.​de. Siehe Tech­ni­sche Richt­li­nie TR-02102 "Kryp­to­gra­phi­sche Ver­fah­ren: Emp­feh­lun­gen und Schlüs­sel­län­gen" und unter der Ru­brik "Pro­duk­te und Tools".
Sol­len ver­schlüs­sel­te per­so­nen­be­zo­ge­ne Daten bei­spiels­wei­se in einer Cloud ge­spei­chert wer­den, sind die Vor­ga­ben des Art. 28 EU-DSGVO zu be­ach­ten, weil eine sog. Auf­trags­da­ten­ver­ar­bei­tung statt­fin­det. In­for­ma­tio­nen zum In­halt des Ver­tra­ges sowie Ver­trags­vor­la­gen fin­den Sie unter http://​www.​it.​kul­tus-​bw.​de, auf dem Leh­rer­fort­bil­dungs­ser­ver und im In­tra­net der Kul­tus­ver­wal­tung. Die meis­ten An­bie­ter von Cloud Com­pu­ting oder On­line-Ab­la­ge­sys­te­men er­mög­li­chen es nicht, die da­ten­schutz­recht­li­chen Be­stim­mun­gen des LDSG ein­zu­hal­ten. Daher ist dort eine Spei­che­rung von per­so­nen­be­zo­ge­nen Daten - auch in ver­schlüs­sel­ter Form - un­zu­läs­sig.

Dür­fen Ver­tre­tungs­plä­ne auf der Schul­home­page, im In­tra­net und/oder im Schul­ge­bäu­de zu­gäng­lich sein?

Die ord­nungs­ge­mä­ße Auf­ga­ben­er­fül­lung der Schu­le be­dingt die am Schul­le­ben be­tei­lig­ten Schü­ler, El­tern und Lehr­kräf­te über Stun­den­plan-än­de­run­gen mit­tels eines Ver­tre­tungs­plans zu in­for­mie­ren.
Auch ohne Nen­nung der zu ver­tre­ten­den bzw. die Ver­tre­tung über­neh­men­den Lehr­kraft (Namen oder Na­mens­kür­zel) kann eine Per­so­nen­be­zieh­bar­keit des Ver­tre­tungs­plans (wel­che Lehr­kraft wird ver­tre­ten) nicht aus­ge­schlos­sen wer­den.

Ver­öf­fent­li­chung im In­ter­net/ In­tra­net:

Ver­tre­tungs­plan für...

Was ist sicht­bar?

In­tra­net

In­ter­net

Schü­le­rin­nen und Schü­ler

  • nur die Ver­tre­tun­gen der ei­ge­nen Klas­se
  • keine per­so­nen­be­zo­ge­nen Daten wie Namen oder Kür­zel

z.B. 5a - Deutsch - 3. Std. - Ver­tre­tung

Jede Klas­se hat ihren ei­ge­nen Be­nut­zer­na­men und ihr ei­ge­nes Klas­sen­pass­wort.

im In­ter­net ver­bie­tet sich in Er­man­ge­lung der Er­for­der­lich­keit, den Ver­tre­tungs­plan über den Kreis der am Schul­le­ben Be­tei­lig­ten zur Auf­ga­ben­er­fül­lung öf­fent­lich zu­gäng­lich zu ma­chen.

Schü­le­rin­nen und Schü­ler

  • nur die Ver­tre­tun­gen der ei­ge­nen Klas­se
  • mit per­so­nen­be­zo­ge­nen Daten (z.B. Na­mens­kür­zel)

z.B. 5a - Deutsch - 3. Stde - Ver­tre­tung: Mü - Raum 212

Jeder Schü­ler hat sei­nen ei­ge­nen Be­nut­zer­na­men und sein ei­ge­nes Pass­wort.   

 

Lehr­kräf­te

  • Alle Ver­tre­tun­gen sind aus dienst­li­chen Grün­den für alle Lehr­kräf­te sicht­bar.
  • mit per­so­nen­be­zo­ge­nen Daten
  • (z.B. Na­mens­kür­zel)

Jede Lehr­kraft hat ihren ei­ge­nen Be­nut­zer­na­men und ihr ei­ge­nes Pass­wort.

 

öf­fent­lich zu­gäng­lich im Schul­ge­bäu­de:
Im Schul­ge­bäu­de ist der Aus­hang oder die di­gi­ta­le An­zei­ge von Ver­tre­tungs­plä­nen auch unter Nen­nung von Namen oder Na­mens­kür­zel der ver­tre­ten­den Lehr­kraft als für die Auf­ga­ben­er­fül­lung der Schu­le (Or­ga­ni­sa­ti­on des Schul­be­triebs) er­for­der­lich und somit als zu­läs­sig an­zu­se­hen. Al­ler­dings muss be­ach­tet wer­den, dass es sich um einen schu­li­schen Raum han­deln muss, der in der Regel der all­ge­mei­nen öf­fent­lich­keit nicht zu­gäng­lich ist. Wo schul­frem­de Per­so­nen häu­fig ver­keh­ren, soll­ten Bild­schirm­an­zei­gen/Pa­pier­aus­hän­ge von Ver­tre­tungs­plä­nen mög­lichst nicht ein­ge­setzt wer­den. Ein Schul­ein­gangs­be­reich dürf­te sich dann nicht zum Ein­satz von Bild­schirm­an­zei­gen/Pa­pier­aus­hän­gen von Ver­tre­tungs­plä­nen eig­nen, wenn dort Be­su­cher bzw. Nut­zer an­de­rer Ein­rich­tun­gen im Ge­bäu­de (z.B. wie Kreis­me­di­en­zen­trum oder Kreis­bi­blio­thek) ver­keh­ren.
In jedem Fall ist die Nen­nung des Grun­des der Ver­tre­tung zu ver­mei­den und eine Bild­schirm­an­zei­ge/Pa­pier­aus­hang nach Un­ter­richts­schluss nicht mehr er­for­der­lich.

Dür­fen zu un­ter­richt­li­chen Zwe­cken Video- und Ton­auf­nah­men von Per­so­nen auf pri­va­ten Ge­rä­ten von Schü­le­rin­nen und Schü­lern er­fol­gen?

Nein!

Auch bei der Nut­zung von pri­va­ten Schü­ler­ge­rä­ten bleibt die je­wei­li­ge Schu­le die da­ten­schutz­recht­lich ver­ant­wort­li­che Stel­le und hat somit ins­be­son­de­re si­cher­zu­stel­len, dass tech­nisch-or­ga­ni­sa­to­ri­sche Da­ten­schutz­maß­nah­men ge­trof­fen wer­den.
In der Regel ist je­doch die (tech­ni­sche) Kon­fi­gu­ra­ti­on eines schüler­ei­ge­nen Ge­rä­tes der Lehr­kraft nicht be­kannt, eine über­prü­fung ist zudem kaum mög­lich. Damit ist un­klar, ob und ggf. wel­che tech­nisch-or­ga­ni­sa­to­ri­schen Da­ten­schutz­maß­nah­men ge­trof­fen wur­den.
Fer­ner haben Lehr­kräf­te keine oder nur sehr we­ni­ge Mög­lich­kei­ten, zu über­prü­fen, was mit die­sen Daten ge­schieht. So ist es kaum mög­lich, fest­zu­stel­len, ob diese Daten ge­löscht wur­den. Dar­über hin­aus ist es ge­ra­de bei Smart­pho­nes sehr ein­fach, diese Auf­nah­men in eine Cloud oder ein so­zia­les Netz­werk hoch­zu­la­den.
Aus die­sen Grün­den ist von einer Nut­zung von pri­va­ten Ge­rä­ten der Schü­le­rin­nen und Schü­ler ab­zu­ra­ten. Auch mit einer von den Be­trof­fe­nen ein­ge­hol­ten Ein­wil­li­gung ist von der Nut­zung von pri­va­ten Schü­ler­ge­rä­ten ab­zu­se­hen, weil auch in einem sol­chen Fall die Schu­le ihre da­ten­schutz­recht­li­che Ver­pflich­tung, u.a. tech­nisch-or­ga­ni­sa­to­ri­sche Da­ten­schutz­maß­nah­men zu er­grei­fen, nicht er­fül­len kann.
Es kann al­len­falls zu­ge­las­sen wer­den, dass die Schü­le­rin­nen und Schü­ler mit dem ei­ge­nen Gerät Video- und Ton­auf­nah­men von sich selbst an­fer­ti­gen, aber kei­nes­falls von wei­te­ren Per­so­nen.

Die Ver­wen­dung von schul­ei­ge­nen Ge­rä­ten, auch von an Schü­ler aus­ge­ge­be­ne Ta­blets oder die Nut­zung der Pri­vat­ge­rä­te der Lehr­kräf­te (nach Ge­neh­mi­gung durch die Schul­lei­tung (Siehe An­la­ge 1 der VwV „Da­ten­schutz an öf­fent­li­chen Schu­len“) ist je­doch zu­läs­sig.

Sind Video- und Ton­auf­nah­men im Schul­un­ter­richt zur Leis­tungs­be­ur­tei­lung oder No­ten­bil­dung oder zur Do­ku­men­ta­ti­on von Fehl­ver­hal­ten zu­läs­sig?

Video- und Ton­auf­nah­men von Schü­lern stel­len eine Er­he­bung per­so­nen­be­zo­ge­ner Daten dar. Diese ist zu­läs­sig, wenn hier­für eine Rechts­grund­la­ge vor­liegt oder die be­trof­fe­ne Per­son ein­ge­wil­ligt hat. Das Ver­ar­bei­ten per­so­nen­be­zo­ge­ner Daten ist zudem nur zu­läs­sig, wenn die stren­gen An­for­de­run­gen, die die EU-DSGVO an die Da­ten­ver­ar­bei­tung durch Be­hör­den stellt, durch eine ufer­lo­se Ein­wil­li­gung nicht aus­ge­he­belt wer­den. 

In § 115 Abs. 3 SchG neu wird ge­re­gelt, dass zur Er­fül­lung des Er­zie­hungs- und Bil­dungs­auf­tra­ges Bild- und Ton­auf­nah­men der Schü­le­rin­nen und Schü­ler her­ge­stellt und wei­ter­ver­ar­bei­tet wer­den kön­nen. Im Rah­men der Leis­tungs­fest­stel­lung gilt dies je­doch nur, wenn die je­wei­li­ge Auf­zeich­nung die zu be­wer­ten­de Schü­ler­ar­beit ist. Damit ist nun die An­fer­ti­gung von Bild- und Ton­auf­nah­men auch ohne Ein­wil­li­gung zu­läs­sig, al­ler­dings gilt dies nur so­weit dies zur Er­fül­lung des schu­li­schen Er­zie­hungs- und Bil­dungs­auf­tra­ges er­for­der­lich ist. Soll also bei­spiels­wei­se im Sport­un­ter­richt ein Schü­ler un­ter­stützt wer­den, indem die­ser bei einer Sport­übung ge­filmt wird, um da­nach sei­nen Be­we­gungs­ab­lauf zu be­spre­chen, wäre dies auch ohne Ein­wil­li­gung mög­lich. Glei­ches gilt z. B. für die Ver­bes­se­rung der Re­de­fä­hig­kei­ten bei einem münd­li­chen Vor­trag.
Der be­trof­fe­nen Per­son steht je­doch ein Wi­der­spruchs­recht nach Art. 21 EU-DSGVO zu, weil keine Pflicht der Schu­le be­steht, sol­che Auf­zeich­nun­gen an­zu­fer­ti­gen. Es kann näm­lich Grün­de geben, die sich aus der be­son­de­ren pri­va­ten Si­tua­ti­on der be­trof­fe­nen Per­son er­ge­ben (z. B. star­ke Ner­vo­si­tät wäh­rend einer Auf­zeich­nung, kör­per­li­che Merk­ma­le, die für die be­trof­fe­ne Per­son pein­lich sind, …). Im Falle eines Wi­der­spruchs muss eine sol­che Auf­zeich­nung un­ter­blei­ben. Es wird emp­foh­len, einen evtl. kom­mu­ni­zier­ten Wi­der­spruch grund­sätz­lich zu be­ach­ten und in einem sol­chen Fall die be­trof­fe­ne Per­son über mög­li­che Fol­gen zu in­for­mie­ren (z. B. we­ni­ger ef­fek­ti­ve Be­ra­tungs­mög­lich­kei­ten). Die be­trof­fe­ne Per­son muss auf die­ses Recht vor An­fer­ti­gung der Auf­zeich­nung hin­ge­wie­sen wer­den, in der An­la­ge 4 zur Ver­wal­tungs­vor­schrift „Da­ten­schutz an öf­fent­li­chen Schu­len“ ist die­ses Wi­der­spruchs­recht er­läu­tert.

So­fern eine Leis­tungs­be­ur­tei­lung mit­tels Bild- oder Tonauf­zeich­nun­gen vor­ge­se­hen ist, muss strikt be­ach­tet wer­den, dass dies nur dann zu­läs­sig ist, wenn die Auf­zeich­nung selbst (und nicht etwa der In­halt der Auf­zeich­nung) die zu be­wer­ten­de Schü­ler­leis­tung ist. So darf bei­spiels­wei­se weder ein Vor­trag einer Schü­le­rin oder eines Schü­lers noch eine Sport­übung an­hand einer Auf­zeich­nung be­wer­tet wer­den. Das Film­pro­jekt an sich (z.B. Re­gie­füh­rung, Schnitt) darf be­no­tet wer­den. Nicht je­doch das dar­auf fest­ge­hal­te­ne Ver­hal­ten von Schü­le­rin­nen und Schü­lern.
üb­ri­gens: die Ein­ho­lung einer Ein­wil­li­gung, um eine Leis­tungs­be­ur­tei­lung den­noch durch­füh­ren zu kön­nen, ist un­zu­läs­sig.

Die Auf­zeich­nun­gen sind un­ver­züg­lich nach Auf­ga­ben­er­le­di­gung, bzw. die zur Leis­tungs­fest­stel­lung er­stell­ten Auf­zeich­nun­gen sind spä­tes­tens am Ende des dar­auf­fol­gen­den Schul­jah­res zu lö­schen.

Nicht er­for­der­lich und damit un­zu­läs­sig ist auch das Fil­men der Klas­se - auch das  An­fer­ti­gen von Ton­auf­nah­men - um Fehl­ver­hal­ten (ins­be­son­de­re in Ab­we­sen­heit der Lehr­kraft) vor­zu­beu­gen oder zu­min­dest auf­zu­klä­ren. Hier scheint schon die Le­gi­ti­mi­tät des Ver­fah­rens zwei­fel­haft; je­den­falls sind mil­de­re - päd­ago­gi­sche - Mit­tel ohne wei­te­res denk­bar.

Wel­che Re­geln sind zum Ein­satz von Vi­deo­über­wa­chung an Schu­len zu be­ach­ten?

Der Ein­satz von op­ti­scher und/oder elek­tro­ni­scher Vi­deo­über­wa­chung an Schu­len (dies um­fasst auch die Vi­de­obe­ob­ach­tung, nicht nur die Vi­deo­auf­zeich­nung) ist ein be­son­ders schwer­wie­gen­der Ein­griff in das Recht auf in­for­ma­tio­nel­le Selbst­be­stim­mung. Der Ge­setz­ge­ber hat daher (in Art. 35 Abs. 3 lit c EU-DSGVO und § 18 LDSG) sehr re­strik­ti­ve Be­din­gun­gen für den Ein­satz von Vi­deo­über­wa­chung fest­ge­legt.

Die über­wa­chung öf­fent­lich zu­gäng­li­cher Räume muss er­for­der­lich sein um Rechts­gü­ter (wie Leben, Ge­sund­heit, Frei­heit oder Ei­gen­tum), Ein­rich­tun­gen oder Ob­jek­te zu schüt­zen. In jedem Ein­zel­fall muss zudem streng ge­prüft wer­den, ob es nicht da­ten­schutz-freund­li­che­re Al­ter­na­ti­ven gibt, die den Ein­satz einer Vi­deo­über­wa­chung ent­behr­lich ma­chen.
Beim Ein­satz einer Vi­deo­über­wa­chung dür­fen fer­ner keine An­halts­punk­te dafür be­ste­hen, dass schutz­wür­di­ge In­ter­es­sen der Be­trof­fe­nen über­wie­gen; daher kein Ein­satz in Um­klei­de­räu­men, Toi­let­ten usw. zur Wah­rung der In­tim­sphä­re der Be­trof­fe­nen. Be­trof­fe­ne kön­nen neben Schü­le­rin­nen und Schü­lern auch Lehr­kräf­te und ggf. El­tern und wei­te­re Per­so­nen sein. Zu be­rück­sich­ti­gen ist dabei, dass ge­ra­de Schü­le­rin­nen und Schü­ler und Lehr­kräf­te u. U. über­haupt nicht die Mög­lich­keit haben, der Vi­deo­über­wa­chung zu ent­ge­hen, da sie ver­pflich­tet sind, an der Schu­le zu sein. Für Schü­le­rin­nen und Schü­ler auf­grund der Schul­pflicht, für Lehr­kräf­te aus ar­beits- bzw. be­am­ten­recht­li­chen Grün­den.

Für öf­fent­li­che Schu­len gilt daher, dass der Ein­satz von Vi­deo­über­wa­chung wäh­rend des Schul­be­trie­bes auf dem Schul­hof sowie allen für den Schul­be­trieb ge­nutz­ten Räum­lich­kei­ten, also allen Un­ter­richts­räu­men, Auf­ent­halts­be­rei­chen, Flu­ren, Toi­let­ten, Sport­hal­le usw. grund­sätz­lich nicht zu­läs­sig ist.  

Even­tu­el­le Straf­ver­fol­gungs­maß­nah­men sind zudem nicht Auf­ga­be der Schu­le son­dern soll­ten den dafür zu­stän­di­gen Be­hör­den, also der Po­li­zei über­las­sen wer­den.

Für die öf­fent­lich zu­gäng­li­chen Be­rei­che und die Au­ßen­haut des Ge­bäu­des samt Stell­flä­chen für PKW und Fahr­rä­der ent­schei­det grund­sätz­lich der Schul­trä­ger, ob bei Vor­lie­gen der ge­setz­li­chen Vor­aus­set­zun­gen von der Vi­deo­über­wa­chung Ge­brauch ge­macht wer­den soll. Der Schul­trä­ger ist hier­für da­ten­schutz­recht­lich ver­ant­wort­lich. Der Da­ten­schutz­be­auf­trag­te des Schul­trä­gers ist zwin­gend bei der Ein­füh­rung einer sol­chen Vi­deo­über­wa­chung zu be­tei­li­gen

Wei­ter zu Links zu Da­ten­schutz