© Bezirksregierung Münster
Hauptinhalt
Datenschutz und IT-Sicherheit an Schulen
Schule datenschutzkonform aufstellen
Pflichten und Rechte
Die Erfüllung des Bildungs- und Erziehungsauftrags der Schule geht mit der Erhebung und Verarbeitung von teils sensiblen Daten mit Personenbezug einher. Da der Schulbesuch in der Regel verpflichtend ist, bedeutet dieser die Einschränkung eines Grundrechts: des Rechts auf informationelle Selbstbestimmung.
Die Einschränkung von Grundrechten ist an enge Vorgaben geknüft. Unter welchen Bedingungen eine Verarbeitung von Daten zulässig ist, also die Einschränkung des Grundrechts auf informationelle Selbstbestimmung rechtmäßig, ist in der Datenschutzgrundverordnung (DSGVO) verankert (vgl. Art 6 DSGVO, „Rechtmäßigkeit der Verarbeitung“).
Mit der Pflicht, ihre Daten preisgeben zu müssen, gehen für die betroffenen Personen allerdings auch Rechte einher.
Sie haben u. a. das Recht auf Information über die sie angehenden Datenverarbeitungen oder auf Datenlöschung, wenn Daten nicht mehr erforderlich sind oder ihre Einwilligung in eine Verarbeitung widerrufen wurde.
Auf der anderen Seite ist für Schulen das Recht, Daten erheben und verarbeiten zu dürfen, an Pflichten geknüpft.
So sind Schulen u. a. dazu verpflichtet, die von ihr vorgenommenen Datenverarbeitungen zu dokumentieren. Sie müssen zudem die Sicherheit der von ihr - schulintern wie auch bei externen Dienstleistern - verarbeiteten Daten gewährleisten.
Vorgaben erfüllen, Maßnahmen ergreifen
Eine Schule datenschutzkonform aufzustellen bedeutet nicht allein, Eltern bei Schulanmeldung eine wie auch immer geartete Einwilligungserklärung zur Unterschrift vorzulegen. Um eine Schule datenschutzkonform aufzustellen, ist es unbedingt erforderlich, den Fokus zu weiten. Nur dann gelangen alle zu beachtenden Aspekte des Themengebiets - Pflichten wie auch Rechte - in das Blickfeld. Unter dieser Voraussetzung können die sich aus den vorgesehenen Datenverarbeitungen ergebenden Aufgaben strukturiert und unaufgeregt erfüllt werden. Im Ergebnis steht eine Schule als datenverarbeitende Stelle auf datenschutzrechtlich sicherem Boden und kann sich ihrem Kerngeschäft, dem ihr übertragenen - mit der Verarbeitung von Daten mit Personenbezug einhergehenden - Bildungs- und Erziehungsauftrag widmen.
Das im Rahmen der Initiative Datenschutz erarbeitete Konzept, Schule datenschutzkonform aufzustellen, beinhaltet die folgenden von der einzelnen Schule zu implementierenden Bausteine:
gesetzliche Vorgaben erfüllen
- Führen eines Verzeichnisses der Verarbeitungstätigkeiten (VVT)
zur Erfüllung der Dokumentationspflicht gem. Art. 30 DSGVO - Bereitstellen einer allgemeinen Datenschutzerklärung der Schule zur Erfüllung der Informationspflichten gem. Art. 13 / 14 DSGVO
- Etablieren wirksamer Einwilligungsprozesse, als „Cluster“ schon bei Schulanmeldung sowie anlassbezogen, z. B. für eine Veröffentlichung von Fotos auf der Homepage zur Gewährleistung überschaubarer Verwaltungsprozesse
- Abschließen einer Vereinbarung zur Auftragsverarbeitung (AVV) mit dem Schulträger und ggf. weiteren externen Dienstleistern zur Gewährleistung datenschutzkonformer Verarbeitungsprozesse in extern gehosteten Systemen gem. Art. 28 DSGVO
organisatorische Maßnahmen ergreifen
- Festlegen der von der Schule genutzten Systeme, Anwendungen und Apps (z. B. für die digitale dienstliche/schulische Kommunikation, für den Distanz-/Hybridunterricht, im Rahmen der Medienkompetenzförderung und Mediennutzung) zur Gewährleistung abgestimmter Verarbeitungssprozesse
- Abstimmen einer Struktur zur Ablage von Dokumenten zur Gewärleistung überschaubarer Dateiverwaltungsprozesse
- Sensibilisieren von Administrator:innen in Bezug auf Rechte und Pflichten bei deren erweiterten Nutzerrechten (Administratorenverpflichtung)
organisatorische Maßnahme: Medienkompetenzförderung
Allein durch die Implementierung der genannten Bausteine, der technischen Konfiguration von Datenverarbeitungssystemen durch Administrator:innen sowie durch Dienstanweisungen kann der Datenschutz und die Datensicherheit an Schule allerdings nicht vollständig gewährleistet werden.
Technisch kann beispielsweise niemals verhindert werden,
- dass eine Lehrkraft Daten unrechtmäßig auf einem Privatgerät verarbeitet,
- dass eine Schülerin ein im Unterricht für eine Collage erstelltes Foto eines Mitschülers ohne dessen Zustimmung auf Instagram postet oder
- dass Eltern Fotos von einer Klassenfahrt ihres Kindes über facebook teilen.
Diesem kann nur durch Bewusstsein dafür, was zulässig ist, welche Auswirkungen eigenes, unzulässiges Handeln hat und welche Konsequenzen dieses nach sich ziehen kann, begegnet werden. Die Nutzer selbst, Schulpersonal, Schülerinnen und Schüler wie auch Eltern müssen sich als Teil des Systems anerkennen und ihren Beitrag zum Schutz des Grundrechts auf informationelle Selbstbestimmung sowie für den rechtmäßigen Umgang mit Daten anderer als Teil unseres sozialen Zusammenlebens in der Digitalität leisten. Durch Verbote oder die Androhung von Konsequenzen erzeugt man Widerstände. Ein Bewusstsein wird deshalb vor allem durch Medienkompetenzförderung geschaffen.
praktische Umsetzung: Anleitung und Checkliste
Eine Anleitung mit Erläuterungen sowie eine Checkliste, welche Schritte und Maßnahmen eine Schule ergreift, um sich entlang des Konzepts der „Initiative Datenschutz“ der Bezirksregierung Münster datenschutzkonform aufzustellen, findet sich im Dokument „Schule datenschutzkonform aufstellen – Leitfaden.pdf“.
Alle weiteren zur Umsetzung erforderlichen Dokumente finden sich in der Datei „Datenschutz - Dokumentation.zip“
- Schule datenschutzkonform aufstellen - Leitfaden (Stand: 06.03.2023) (pdf, 1.1 MB) (Link öffnet sich in neuem Fenster)
- Datenschutz-Dokumentation (Stand:12.12.2023) (zip, 6.4 MB) (Link öffnet sich in neuem Fenster)